Gizlilik politikası

ProjectMystic ("uygulama", "biz", "bizim"), Türkiye'de kurulu bir şirket tarafından geliştirilmekte ve işletilmektedir. Şirket adı ve tescil bilgileri, mağaza gönderiminden önce bu metinde güncellenecektir. Kişisel verilerinin veri sorumlusu sıfatıyla bu politikada açıklanan amaçlar doğrultusunda hareket ediyoruz.

Bu Gizlilik Politikası, uygulamayı veya pazarlama web sitemizi kullandığında hangi kişisel verileri topladığımızı, bu verileri nasıl işlediğimizi, kiminle paylaştığımızı ve haklarının neler olduğunu açıklar. Politika, 17 Nisan 2026 tarihinde yürürlüğe girmiştir.

Verilerini Türkiye'deki 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR — AB ve EEA kullanıcıları için) ve Birleşik Arap Emirlikleri Kişisel Veri Koruma Kanunu (PDPL — BAE kullanıcıları için) kapsamında işliyoruz. Bu mevzuatlar çakıştığında, sana en fazla koruma sağlayan kural esas alınır.

Uygulamayı kullanmaya devam etmek, bu politikayı okuduğunu ve içeriğini anladığını gösterir. Politikayı kabul etmiyorsan uygulamayı kullanmaman gerekir; bize her zaman verilerinin silinmesini talep edebilirsin.

Sorularını veya taleplerinizi en alt bölümde yer alan iletişim adresine iletebilirsin.

Hesap verileri: Uygulamaya Apple, Google veya e-posta ile kayıt olduğunda e-posta adresini ve kimlik doğrulama sağlayıcısından iletilen temel profil bilgilerini alırız. Ham şifreler hiçbir zaman sistemimize iletilmez; bu işlem tamamen Supabase Auth altyapısı üzerinden yürütülür.

Okuma profili verileri: Kişiselleştirilmiş fal yorumları oluşturabilmemiz için isteğe bağlı olarak ekleyeceğin görünen isim, doğum tarihi, doğum saati, doğum yeri, anne adı (Yıldızname ve Ebced modülleri için) ve burç bilgilerini işleriz. Bu bilgilerin tamamını girmek zorunda değilsin; ancak girdiğinde yorumların senin gerçek bağlamına göre şekillenir.

Medya verileri: Kahve falı modülünde fincanının üst, yan ve tabak açılarından olmak üzere üç fotoğraf yüklersin. El falı modülünde avuç içi görüntüsü alırız. Bu görseller yapay zekâ çıkarımı için kullanılır ve oturum tamamlandıktan sonra sistemlerimizde kalıcı olarak saklanmaz; yalnızca ilgili okumanın ham girdisi olarak kısa süreliğine işleme alınır.

Ses ve transkript verileri: Rüya tabiri modülünde sesli anlattıklarını metne dönüştürürüz. Sesin kendisi oturum süresinden sonra silinir; transkripti ise ilgili okuma kaydıyla birlikte hesabın aktif olduğu sürece saklarız.

Kullanım ve cihaz verileri: Hangi modülü kaç kez kullandığını, günlük seri bilgilerini (streak), token bakiyeni ve son aktiflik zamanını kaydederiz. Cihaz türü, işletim sistemi sürümü ve uygulama sürümü gibi teknik bilgiler hata tanılama amacıyla toplanabilir.

Ödeme tanımlayıcıları: Uygulama içi satın alımlarını tamamen Apple App Store ve Google Play Billing üzerinden gerçekleştiriyoruz; ham kart bilgilerini hiçbir zaman görmüyor, tutmuyor ya da işlemiyoruz. RevenueCat abonelik yönetim platformu aracılığıyla yalnızca işlem kimliğini (transaction ID) ve abonelik durumunu alırız.

Hizmeti sunmak: Fal yorumlarını üretmek, token bakiyeni yönetmek ve hesap erişimini doğrulamak için verilerini işleriz. Bu işleme faaliyeti, seninle aramızdaki hizmet sözleşmesinin ifası için zorunludur (GDPR Madde 6(1)(b); KVKK Madde 5(2)(c)).

Kişiselleştirme: Doğum tarihi, burç ve anne adı gibi profil verilerini kullanarak yorumları sana özel hâle getiririz. Bu amaçla açık rızana (GDPR Madde 6(1)(a); KVKK Madde 5(1)) dayanırız; istediğin zaman bu rızayı geri çekebilirsin.

Güvenlik ve dolandırıcılık önleme: Hesap erişim geçmişini ve teknik log verilerini yetkisiz erişimleri tespit etmek ve önlemek amacıyla işleriz. Bu, meşru menfaatimize (GDPR Madde 6(1)(f)) dayanan bir işlemedir ve seni de doğrudan korur.

Yasal yükümlülükler: Vergi ve muhasebe mevzuatı kapsamındaki saklama yükümlülükleri gibi zorunlu hallerde verilerini ilgili yasal zemine (GDPR Madde 6(1)(c); KVKK Madde 5(2)(a)) dayanarak işleriz.

Hizmet geliştirme: Toplu ve anonimleştirilmiş kullanım istatistiklerini ürünü iyileştirmek için analiz ederiz. Bu süreçte seni bireysel olarak tanımlamaya yarayan herhangi bir veri kullanılmaz.

Sesli verinin özel statüsü: Rüya anlatımlarından elde edilen sesli kayıtlar ile transkriptler, KVKK ve GDPR kapsamında özel nitelikli veri sınıfına yakın değerlendirilebilecek hassas içerikler barındırabilir. Bu verileri yalnızca okuma yorumunu üretmek için kullanır, reklam veya profilleme amacıyla işlemeyiz.

Supabase: Veritabanı ve kimlik doğrulama altyapısı olarak Supabase Inc. (ABD merkezli; Avrupa Birliği'ndeki sunuculardan hizmet veren) kullanıyoruz. Hesap, profil ve okuma verilerinin tamamı Supabase altyapısında barındırılır. Supabase, GDPR uyumlu bir hizmet sunucu sözleşmesi kapsamında çalışır.

RevenueCat: Abonelik ve token satın alım yönetimi için RevenueCat Inc. (ABD) platformunu kullanıyoruz. RevenueCat'e iletilen veriler yalnızca işlem kimliği, abonelik durumu ve anonim kullanıcı tanımlayıcısıdır; ödeme kartı bilgileri asla RevenueCat'e veya sistemlerimize ulaşmaz, bu bilgiler yalnızca Apple ve Google tarafından işlenir.

Apple ve Google: Uygulama içi satın alımların tamamı Apple App Store ve Google Play Billing altyapısı üzerinden gerçekleştirilir. Bu platformlar, kendi gizlilik politikaları kapsamında ödeme bilgilerini işler; biz bu bilgilere doğrudan erişim sahibi değiliz.

OpenAI: Belirli modüllerde (örneğin Tarot ve Rüya tabiri) GPT-4o ve benzeri modeller aracılığıyla yapay zekâ yorumu üretmek için OpenAI, L.L.C. (ABD) API'sini kullanıyoruz. OpenAI'a iletilen veriler yalnızca ilgili okumanın bağlamını içerir; doğrudan kimlik belirleyici bilgiler bu isteklere dahil edilmez.

Anthropic: Claude modeli aracılığıyla bazı modüllerde yorum üretmek için Anthropic, PBC (ABD) API'sini kullanıyoruz. Anthropic'e gönderilen veriler için OpenAI'a uygulanan aynı veri minimizasyonu ilkesi geçerlidir.

fal.ai: El falındaki yüz yaşlandırma görüntüsü ve kahve telvesi görseli gibi yapay zekâ destekli görsel çıktılar için fal.ai (ABD) altyapısını kullanıyoruz. Yüklenen görseller yalnızca ilgili işlem süresince fal.ai sistemlerinde bulunur ve işlem tamamlandıktan sonra silinir.

Bu üçüncü tarafların tamamı, kişisel verileri yalnızca sözleşmesel sınırlar içinde işleyen veri işleyenler olarak değerlendirilmekte; verilerini kendi bağımsız amaçlarıyla kullanmalarına izin verilmemektedir.

Uygulamayı Türkiye dışından kullanıyorsan verilerinin Türkiye'ye ve/veya Supabase'in AB tabanlı sunucularına aktarılabileceğini bilmen gerekir. AB/EEA kullanıcıları için bu aktarım, Avrupa Komisyonu'nun Standart Sözleşme Maddeleri (SCCs) ve Supabase'in AB sunucuları için mevcut olan yeterlilik kararı mekanizmaları kapsamında gerçekleştirilir.

OpenAI, Anthropic ve fal.ai gibi yapay zekâ servis sağlayıcılarına yapılan API çağrıları ABD'de işlenir. Bu transferler, AB'den ABD'ye veri aktarımları için Standard Contractual Clauses (SCCs) veya diğer ilgili koruma mekanizmaları kapsamındadır.

BAE kullanıcıları için Birleşik Arap Emirlikleri PDPL kapsamındaki aktarım gereklilikleri dikkate alınmaktadır. Yeterlilik kararı bulunmayan ülkelere yapılan aktarımlarda SCCs veya açık rıza mekanizmaları kullanılmaktadır.

Uygulamayı kullanarak, o an itibarıyla geçerli mevzuat çerçevesinde yukarıda açıklanan uluslararası aktarımlara onay verdiğini kabul etmiş olursun. Onayını geri almak istersen hesabını silebilir ya da bize yazabilirsin.

Kahve falı ve el falı için yüklediğin görüntüler oturum sona erdikten sonra kalıcı olarak silinir. Bu görseller okuma kaydına veya profiline bağlanmaz; arşivlenmez. Rüya tabiri için kaydettiğin ses dosyası da aynı şekilde işlendikten hemen sonra silinir; ancak üretilen transkript okuma kaydıyla birlikte hesabın aktif olduğu sürece tutulur.

Okuma kayıtları (yapay zekâ tarafından üretilen yorum metni dahil) hesabını silene kadar saklanır. Hesabını sildiğinde tüm okuma geçmişin 30 gün içinde kalıcı olarak imha edilir; bu süre zorunlu yedekleme döngüsünden kaynaklanmaktadır.

Profil verileri (doğum bilgileri, burç, anne adı) hesabın aktif olduğu süre boyunca tutulur. Hesabı silerken bu verilerin de birlikte silinmesini talep edebilirsin.

Token işlem kayıtları Türkiye Vergi Usul Kanunu gereğince 10 yıl, AB ticaret mevzuatı kapsamındaki standart uygulama çerçevesinde ise 7 yıl boyunca saklanır. Bu kayıtlar yalnızca yasal yükümlülüklerin ifası için muhafaza edilir ve başka bir amaçla işlenmez.

Hesabını uygulamanın profil ayarları bölümünden veya bize e-posta göndererek silebilirsin. Silme işlemi, yasal saklama yükümlülükleri kapsamında tutulması zorunlu olan asgari veri dışında tüm kişisel verilerinin sistemlerimizden kaldırılmasını sağlar.

Türkiye'deki kullanıcılar KVKK Madde 11 kapsamında; AB/EEA kullanıcıları GDPR Madde 15–22 kapsamında; BAE kullanıcıları PDPL kapsamında çeşitli haklara sahiptir. Bu hakların büyük bölümü tüm kullanıcılarımız için geçerlidir.

Erişim hakkı: Hakkında tuttuğumuz kişisel verilerin neler olduğunu öğrenmek için talepte bulunabilirsin. 30 gün içinde makine okunabilir ya da insan okunabilir formatta yanıt veririz.

Düzeltme hakkı: Yanlış veya eksik verilerini düzeltmemizi talep edebilirsin. Profil bilgilerinin büyük bölümünü uygulama içindeki ayarlar ekranından doğrudan düzeltebilirsin.

Silme hakkı: Kişisel verilerinin silinmesini ("unutulma hakkı") talep edebilirsin. Yukarıdaki saklama bölümünde açıklanan yasal zorunluluklar sakla, geri kalan tüm veriler silinir.

İşlemenin kısıtlanması hakkı: Belirli koşullarda verilerinin işlenmesini sınırlamamızı talep edebilirsin. Kısıtlama talebi inceleme süresince verilerini başka amaçlarla işlemeyiz.

Taşınabilirlik hakkı: Sözleşme ifası veya onayına dayalı olarak işlediğimiz verilerin yapılandırılmış ve makine okunabilir bir formatta sana iletilmesini talep edebilirsin.

İtiraz hakkı: Meşru menfaatimize dayandırdığımız işleme faaliyetlerine itiraz edebilirsin. Doğrudan pazarlama amacıyla işlemeye itiraz etme hakkın koşulsuz olarak geçerlidir.

Rıza geri çekme hakkı: İşleme için onay verdiğin durumlarda bu onayı istediğin zaman geri çekebilirsin. Geri çekme, geri çekme öncesindeki işlemlerin hukukiliğini etkilemez.

Haklarını kullanmak için aşağıdaki iletişim adresine e-posta gönderebilirsin. Türkiye'deki kullanıcılar ayrıca Kişisel Verileri Koruma Kurumu'na (KVKK); AB/EEA kullanıcıları ilgili veri koruma otoritelerine; BAE kullanıcıları ise UAE PDPL otoritesine şikâyette bulunabilir.

Tüm veriler aktarım sırasında TLS 1.2 veya üzeri şifreleme ile korunur. Supabase altyapısında depolanan veriler AES-256 şifrelemesiyle saklanır. Uygulama mimarisindeki Row Level Security (RLS) politikaları sayesinde her kullanıcı yalnızca kendi verilerine erişebilir.

Yapay zekâ API çağrıları gizli API anahtarlarıyla kimlik doğrulamasına tabi tutulur; bu anahtarlar uygulama istemcisine hiçbir zaman açık edilmez, yalnızca sunucu taraflı edge fonksiyonları aracılığıyla kullanılır.

Sistemlerimizde gerçekleşen bir güvenlik ihlalinin kişisel verilerini etkilediğini tespit etmemiz halinde, geçerli mevzuatın öngördüğü süreler içinde (GDPR kapsamında 72 saat, KVKK kapsamında en kısa sürede) yetkili otoritelere bildirimde bulunur ve seni de durumdan haberdar ederiz.

Güvenlik önlemlerimiz bilinen tehditlere karşı makul bir koruma sağlamakla birlikte, internet üzerindeki hiçbir sistemin yüzde yüz güvende olduğunu garanti edemeyiz. Hesap güvenliği için güçlü ve benzersiz bir parola kullanmanı, hesabına ait erişim bilgilerini kimseyle paylaşmamayı öneririz.

Uygulama, varsayılan olarak 16 yaş ve üzerindeki kullanıcılara yöneliktir. AB/EEA'da GDPR kapsamında kişisel verilerin işlenmesi için onay yaşı 16'dır; Türkiye'de 18 yaşın altındaki kullanıcılar için ebeveyn veya yasal vasi onayı gereklidir. ABD, Kanada ve diğer bazı ülkelerde çocuk veri gizliliği yasaları daha düşük yaş sınırları öngörebilir; ancak biz politika olarak 16 yaş sınırını esas alıyoruz.

VIP aboneliği ve token satın alımı gibi ücretli özellikler yalnızca 18 yaşını doldurmuş kullanıcılara açıktır.

13 yaşın altındaki kişilerin uygulamamıza kayıt olmaması gerekir. Bu yaş grubuna ait bir hesabın varlığından haberdar olduğumuzda söz konusu hesabı ve ilgili tüm verileri derhal sileriz. Böyle bir durumun farkındaysan lütfen aşağıdaki iletişim adresi üzerinden bize bildirin.

Bu Gizlilik Politikası'nda yapacağımız önemli değişiklikleri, değişiklik yürürlüğe girmeden en az 14 gün önce uygulama içi bildirim veya e-posta yoluyla sana duyururuz. Küçük redaksiyon düzeltmeleri için yalnızca bu sayfadaki "Son güncelleme" tarihi değiştirilir.

Politikanın güncel hâline her zaman pazarlama web sitemizin altbilgi bölümündeki bağlantıdan ulaşabilirsin.

Veri sorumlusu ProjectMystic (şirket adı, tescil adresi ve vergi numarası mağaza gönderiminden önce buraya eklenecektir). Her türlü gizlilik sorusu, hak kullanım talebi veya şikâyet için: privacy@projectmystic.app adresine yazabilirsin. Taleplerini 30 takvim günü içinde yanıtlamaya çalışıyoruz.