İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 10. maddesi uyarınca, Only Focus uygulamasında kişisel verilerinizin işlenmesi süreçleri hakkında sizi bilgilendirmek amacıyla hazırlanmıştır.
1. Veri Sorumlusu (KVKK Madde 10/1-a)
Veri Sorumlusu: Mustafa Baykal
İletişim: mustafabaykal91@gmail.com
Only Focus uygulaması Türkiye Cumhuriyeti vatandaşı bireysel bir geliştirici tarafından işletilmektedir. 6698 sayılı KVKK'nın 16. maddesi uyarınca VERBİS kayıt yükümlülüğü, kişisel veri işleyen gerçek kişi geliştiriciler için yıllık 50.000 üzeri kayıt sayısına bağlıdır; bu sayı aşıldığında VERBİS kaydı yapılacaktır.
2. İşlenen Kişisel Veriler (KVKK Madde 10/1-b)
2.1 Kimlik ve İletişim Verileri
- E-posta adresi (hesap oluşturma ve oturum açma için)
- Ad / kullanıcı adı (uygulama içinde sizi tanımlamak için)
- Cihaz tanımlayıcısı (hesabınızı eski cihazlardan ayırt etmek için anonim hash)
2.2 Uygulama Kullanım Verileri
- Uygulama içi tercihler, ayarlar, dil seçimi
- Abonelik durumu (Apple/Google üzerinden doğrulanmış)
- Anonim kullanım analitikleri (sayfa görüntüleme, buton dokunması) - kişisel kimlik bilgisi içermez
2.4 Toplanmayan Veriler
Only Focus şu verileri toplamaz: konum, rehber, takvim, tarayıcı geçmişi, reklam tanımlayıcısı (IDFA), biyometrik veri (HealthKit okumaları dışında), kamera/mikrofon kayıtları (kullanıcının uygulama içinde gönderdiği fotoğraflar dışında).
3. Kişisel Verilerin İşleme Amaçları (KVKK Madde 10/1-c)
- Uygulama hizmetlerinin sunulması ve geliştirilmesi
- Hesap oluşturma, kimlik doğrulama, oturum yönetimi
- Abonelik yönetimi ve fatura kayıtlarının tutulması (Vergi Usul Kanunu Madde 253)
- Uygulama performansının ölçülmesi, hata ayıklama, anonim ürün kullanım analizi
- Yasal yükümlülüklerin (vergi, KVKK, GDPR, Apple/Google politikaları) yerine getirilmesi
- Topluluk özelliklerinde kötüye kullanımın önlenmesi ve moderasyon
4. Kişisel Veri İşlemenin Hukuki Dayanağı (KVKK Madde 5)
- Madde 5/2-c: Sözleşmenin kurulması/ifası için zorunlu olması (hesap oluşturma, abonelik yönetimi)
- Madde 5/2-ç: Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi (vergi kayıtları, KVKK/GDPR uyumluluğu)
- Madde 5/2-f: Meşru menfaat (hata raporları, anonim analitik, dolandırıcılık önleme)
- Madde 9/1: Açık rıza (yurt dışı veri aktarımı için)
7. Kişisel Verilerin Aktarıldığı Taraflar (KVKK Madde 10/1-d, Madde 8-9)
Kişisel verileriniz aşağıdaki veri işleyenlere işlevsel zorunluluk gereği aktarılır:
| Veri İşleyen | Amaç | Konum |
|---|---|---|
| Supabase, Inc. | Primary backend — anonymous account auth, focus room state, session history, Live Activity push delivery | EU (Frankfurt region) (SCC korumalı) |
| RevenueCat, Inc. | Subscription receipt validation and entitlement management | USA (SCC korumalı) |
| PostHog, Inc. | Anonymous product-usage analytics keyed to a per-install random identifier (never your name or email). User can opt out in Settings → Privacy | EU (Frankfurt region) (SCC korumalı) |
| Functional Software Inc. (Sentry) | Crash and performance reporting. PII scrubbed before upload. Crash reports older than 90 days are automatically pruned | USA (SCC korumalı) |
| Intuition Machines, Inc. (hCaptcha) | Bot defense token issued during optional account sign-up. Cannot identify the user | USA (SCC korumalı) |
| Apple, Inc. | App Store distribution, in-app purchase processing, push notification delivery (APNs), Live Activity push | Global |
Yurt dışına aktarım için tüm taraflarla Veri İşleme Sözleşmesi (DPA) imzalanmıştır.
8. Yurt Dışına Veri Aktarımı (KVKK Madde 9)
8.1 Aktarım Yapılan Ülkeler ve Mekanizmalar
Kişisel verileriniz aşağıdaki ülkelere KVKK Madde 9/1 kapsamında açık rızanızla aktarılır:
- ABD (Amerika Birleşik Devletleri): RevenueCat, Sentry, Apple StoreKit, Google Sign-In
- AB (Avrupa Birliği) - Frankfurt: PostHog (anonim analitik), birincil arka uç hizmetlerinin bir kısmı
8.2 Koruma Önlemleri
- Tüm yurt dışı aktarımlar TLS şifrelemesi ile yapılır
- ABD'ye aktarımlar için Standart Sözleşme Maddeleri (SCC) ve Schrems II sonrası ek korumalar uygulanır
- Tüm üçüncü taraflar ile imzalı Veri İşleme Sözleşmesi (DPA) mevcuttur
- Aktarım rızanızı dilediğiniz an geri çekebilirsiniz (Hesabı Sil veya destek e-postası)
9. Veri Saklama Süreleri (KVKK Madde 7, Madde 4/2-d)
| Veri Türü | Süre | Sebep |
|---|---|---|
| Anonymous user ID + optional display name + avatar seed | until-deletion | Required to load your streak, achievements, and room membership across devices |
| Email address + Apple display name (only if you upgrade from anonymous to Sign in with Apple) | until-deletion | Account recovery and subscription receipt linking |
| Focus session history | until-deletion | Drives weekly reports, streaks, and coach insights |
| Room content (display name, welcome message, member display name) | until-deletion-of-room | Required for other room members to see the room identity. Server-side CHECK constraints enforce length and reject profanity / URL spam |
| Reports and blocks (reporter id, reported id, category, snapshot of offending content) | until-resolved-or-deletion | Required for moderation review under App Store Guideline 1.2. Content snapshotted at report time so review survives the reported user editing or deleting their content |
| Sentry crash reports | 90-days | Auto-pruned by Sentry per their default retention |
| PostHog usage events | 365-days | Auto-pruned by PostHog per their default retention |
| Subscription receipts (via Apple + RevenueCat) | 7-years | Tax/accounting record retention required by Turkish tax law |
10. İlgili Kişi Olarak Haklarınız (KVKK Madde 11)
KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme
- KVKK Madde 7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
- 5 ve 6. bentler uyarınca yapılan işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
- Kanuna aykırı işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme
Haklarınızı nasıl kullanırsınız:
- Çoğu işlem uygulama içinde yapılabilir: Ayarlar → Hesap → Veri İndir / Hesabı Sil
- Diğer talepler için mustafabaykal91@gmail.com adresine "KVKK Madde 11 Başvurusu" konulu e-posta gönderebilirsiniz
- Başvurularınız KVKK Madde 13/2 uyarınca en geç 30 gün içinde sonuçlandırılır
- Yanıttan memnun kalmadığınız durumda Kişisel Verileri Koruma Kurumu'na şikayet hakkınız vardır: kvkk.gov.tr
11. Güvenlik Önlemleri (KVKK Madde 12)
- Tüm trafik TLS 1.2+ ile şifrelenir
- Şifreler bcrypt/argon2 ile geri döndürülemez biçimde hashlenir; ham şifre asla saklanmaz
- Veritabanı erişimi prensip olarak en az yetki ile kısıtlanır
- Üçüncü taraf hizmetler için sızdırma testleri yapılır; günlük yedekleme alınır
- Hata raporlarındaki PII (kişisel bilgi) yüklemeden önce maskelenir
12. Değişiklikler
Bu Aydınlatma Metni güncellendiğinde "Son güncelleme" tarihi değiştirilir. Önemli değişiklikler uygulama içinde bildirim ile duyurulur. Mevcut sürüm her zaman bu sayfada erişilebilir.
13. İletişim
Veri Sorumlusu: Mustafa Baykal
E-posta: mustafabaykal91@gmail.com
Web: mustafabaykal.com/onlyfocus