Gizlilik Politikası

2. Toplanan Veriler

2.1 Hesap Bilgileri

Hesap oluşturduğunda şunları toplarız:

• E-posta adresi: giriş, iletişim ve şifre kurtarma için
• Şifre: scrypt ile karma olarak saklanır, düz metin olarak hiçbir zaman depolanmaz
• Hesap oluşturma tarihi

2.2 Antrenman Verileri

Kişiselleştirilmiş programlar oluşturmak için şunları toplarız:

• Fitness hedefi: kas kazanımı, yağ yakma, dayanıklılık vb.
• Deneyim seviyesi: başlangıç, orta, ileri
• Mevcut ekipman: spor salonu, vücut ağırlığı, dumbbell'lar vb.
• İstenen antrenman sıklığı: haftada seans sayısı
• Egzersiz tercihleri: favori egzersizler veya kaçınılacak egzersizler
• Antrenman geçmişi: tamamlanan seanslar, set bazında kayıtlar (ağırlık, tekrar, dinlenme süresi), kişisel rekorlar (tahmini 1RM), kas grubu başına hacim, ağırlık ölçümleri, seans geri bildirimi

2.3 Ödeme Verileri

Ödemeler münhasıran Lemon Squeezy, LLC (Kayıt Tacirlerimiz) tarafından işlenir. Lemon Squeezy ödeme işleme, vergi tahsilatı, iadeler ve geri ödemeleri ve PCI gibi ödemeyle ilgili uyumu yönetir. Bankacılık bilgilerini sunucularımızda asla saklamayız.

Lemon Squeezy toplar ve işler:

• Kredi kartı numarası, son kullanma tarihi, CVV
• Fatura adı ve adresi
• İşlem ayrıntıları (tutar, tarih, para birimi)

Hizmeti işletmek için Lemon Squeezy'den abonelik durumu, plan, yenileme veya bitiş tarihleri, Lemon Squeezy müşteri ve abonelik kimlikleri, ödeme işlemcisi, portal bağlantıları ve işlem referansları gibi sınırlı fatura ve abonelik meta verileri alırız. Destek, mutabakat ve hesap kurtarma için aboneliğe bağlı fatura e-postasını da saklayabiliriz. Tam kart bilgilerini asla almayız veya saklamayız.

2.4 Teknik Veriler

Şunları toplarız:

• Cihaz tipi: web tarayıcı veya kurulu PWA (iOS, Android, masaüstü)
• Uygulama sürümü
• İşletim sistemi sürümü
• Dil tercihi
• Hata kayıtları (hataları düzeltmek için)

İzleme amacıyla hassas coğrafi konum veya mobil reklam tanımlayıcıları (IDFA/AAID) kullanmıyoruz. IP dahil belirli teknik tanımlayıcılar güvenlik, dolandırıcılık önleme ve yönlendirme için geçici olarak işlenebilir, ardından saklama kurallarına göre en aza indirilir veya silinir.

2.5 Fitness Durumu Verileri

Kişiselleştirilmiş programlar oluşturmak için açık onayınla şunları toplarız:

• Ağırlık: egzersiz yoğunluğunu uyarlamak için
• Boy: antrenman parametrelerini hesaplamak için
• Yaş: program zorluğunu ayarlamak için
• Cinsiyet: egzersiz seçimini özelleştirmek için
• Vücut tipi: antrenman stratejisini optimize etmek için
• Antrenman hedefi: uygun programı seçmek için

3. Verilerinizi Nasıl Kullanıyoruz

3.1 Hizmet Sunumu

• Hesabını oluştur ve yönet
• AI ile kişiselleştirilmiş antrenman programları oluştur
• İlerleme ve antrenman geçmişini takip et
• Cihazların arasında verileri senkronize et

Hukuki dayanak: Sözleşme ifası (Hizmet Şartları).

3.2 İletişim

• İşlemsel e-postalar gönder (hesap onayı, şifre sıfırlama)
• Abonelik durumu hakkında bilgilendir (yenileme hatırlatmaları, ödeme başarısızlığı)
• Müşteri desteği sağla

Hukuki dayanak: Sözleşme ifası ve meşru menfaat.

3.3 Ödeme İşleme

• Lemon Squeezy aracılığıyla abonelik ödemelerini işle
• Faturaları oluştur
• İadeleri yönet

Hukuki dayanak: Sözleşme ifası ve yasal yükümlülük (vergi kayıtları: 10 yıl).

3.4 Hizmet İyileştirme

• Kullanım verilerini analiz et (onay ile PostHog aracılığıyla veya anonim olarak)
• Hataları tespit et ve düzelt
• Kullanıcı ihtiyaçlarına göre yeni özellikler geliştir

Hukuki dayanak: Tanımlanmış analitik için onay. Meşru menfaat yalnızca bellekte tutulan anonim analitik olaylardan ve kişisel olmayan kampanya parametrelerinden oluşturulan toplu istatistikler için geçerlidir.

4. Üçüncü Taraf Hizmet Sağlayıcıları

Verilerini güvenilir ortaklarımızla paylaşırız:

4.1 Altyapı

• Cloudflare, Inc. (ABD merkezli): Cloudflare Workers üzerinde tam uygulama barındırma (Akıllı Yerleştirme), Cloudflare D1'de birincil veritabanı (Cloudflare ağında SQLite), AB yargı yetkisinde R2 nesne depolama (egzersiz medyası), KV önbelleği, Durable Objects (AB yargı yetkisiyle sınırlı kullanıcı başına veri; dağıtılmış kilitler ve hesap kilitleme Batı Avrupa yerleştirme ipuçları kullanır), Workers Hız Sınırı, Cloudflare Pages (açılış sayfası), DNS, DDoS koruması, CDN, Cloudflare ağ sinyalleri aracılığıyla ülke tespiti.
• Cloudflare Turnstile (CAPTCHA): kayıt, şifre sıfırlama ve e-posta OTP isteklerinde bot ve kötüye kullanım koruması. Yalnızca minimal tarayıcı sinyalleri işler, çerez yok, parmak izi yok.
• Resend (Plus Five Five, Inc., ABD): işlemsel e-postalar (hesap onayı, e-posta OTP, şifre sıfırlama, saklama bildirimleri). Aktarımlar Standart Sözleşme Maddeleri kapsamındadır.
• Bunny.net (BunnyWay d.o.o., Slovenya, AB): yalnızca pazarlama açılış sayfası için resim CDN'i. Kimliği doğrulanmış kullanıcı verisi işlenmez.
• Strapi (Strapi SAS, Fransa, AB): yalnızca pazarlama açılış sayfasında blog içeriğini barındıran headless CMS. Kimliği doğrulanmış kullanıcı verisi işlenmez.

JCODE ve Cloudflare, Inc. arasında, AB Standart Sözleşme Maddelerini (SCC'ler) içeren, 2026-05-10 tarihli bir Veri İşleme Sözleşmesi (Cloudflare Standart DPA v4.3) imzalanmıştır.

4.2 Ödeme

• Lemon Squeezy, LLC: Kayıt Taciri, ödeme işleme, vergi yönetimi, faturalandırma, PCI-DSS uyumlu

Lemon Squeezy'nin verilerini nasıl işlediğine dair ayrıntılar için bkz. Lemon Squeezy Gizlilik Politikası.

4.3 Analitik

• PostHog (eu.posthog.com, AB bölgesi): onaya dayalı tanımlanmış analitik veya kalıcı PostHog depolaması olmadan, yalnızca bellekte çalışan anonim analitik ile toplu istatistikler.

Uluslararası Aktarımlar: Birincil veritabanın (Cloudflare D1) ve nesne depolaman (AB yargı yetkisinde Cloudflare R2) Cloudflare'nin edge ağında çalışır; Cloudflare bölgeleri arasındaki aktarımlar Cloudflare'nin Veri İşleme Eki ve Standart Sözleşme Maddeleri (SCC'ler) kapsamındadır. Cloudflare'nin kendisi, Lemon Squeezy ve Resend ABD merkezlidir ve Avrupa Ekonomik Alanı dışında veri işleyebilir; her durumda GDPR aktarım güvencelerine (SCC'ler ve/veya yeterlilik kararları) dayanıyoruz.

5. Veri Paylaşımı

Kişisel verilerini asla üçüncü taraflara satmayız.

Verileri yalnızca şu durumlarda paylaşırız:

• Onayınla: açıkça yetkilendirirsen
• Yasal yükümlülük: mahkeme kararı, düzenleyici talep
• Hizmet sağlayıcılar: yukarıdaki bölüm 4'te listelenmiştir
• İş transferi: birleşme, satın alma veya varlık satışı durumunda (bilgilendirileceksin)

6. AI İyileştirmesi için Veri Kullanımı

Açık onayınla, tüm kullanıcılar için oluşturulan programların kalitesini iyileştirmek amacıyla AI özelliklerimizi destekleyen kural ve sezgilerimizi iyileştirmek için toplu ve anonim antrenman verilerini kullanabiliriz (örn. egzersiz kümeleme, plato tespiti, yük ilerlemesi). AI Koç raporu (WorkoutGen Max), WorkoutGen tarafından toplu takipçi sinyallerinden yerel olarak oluşturulur; üçüncü taraf LLM sağlayıcılarla kişisel veri paylaşılmaz.

Güvenceler:

• Bu AI iyileştirme iş akışında doğrudan tanımlayıcılar (ad, e-posta) kullanılmaz.
• Veriler takma adlandırılmıştır (rastgele tanımlayıcı)
• Yalnızca antrenman verileri (hedef, seviye, ekipman, ilerleme)
• Tıbbi tanı veya tedavi verisi işlenmez.
• Kullanıcı başına veriler ve R2 nesneleri için AB kısıtlamalı depolama; Cloudflare'nin DPA ve SCC'leri kapsamında global edge işleme
• support@workoutgen.app aracılığıyla devre dışı bırakabilirsin

Hukuki dayanak: Açık onay (Ayarlar > Gizlilik üzerinden opt-in). Onayı istediğin zaman geri çekebilirsin.

7. Veri Saklama

• Aktif hesap: hesap aktif olduğu sürece veriler saklanır
• Silinen hesap: veriler 30 gün içinde silinir (yasal yükümlülükler hariç)
• Faturalar: 10 yıl (vergi kanunu gereği). Güvenlik denetim kaydı (karma tanımlayıcılarla hesap silme, e-posta değişikliği, abonelik iptal etkinlikleri): 3 yıl.
• Analitik kayıtlar: maksimum 12 ay
• Etkin olmayan hesaplar: 1 yıl etkinlik yok → e-posta uyarısı → 30 gün sonra silme
• Doğrulanmamış hesaplar: e-posta adresi doğrulanmazsa 90 gün sonra otomatik olarak silinir.

8. Veri Güvenliği

Sektör standardı güvenlik önlemleri uygularız:

Teknik Önlemler

• Şifreleme: aktarımdaki veriler için HTTPS/TLS, beklemedeki veriler için AES-256 (altyapı sağlayıcıları aracılığıyla)
• Kimlik doğrulama: şifreler scrypt ile karma olarak saklanır; e-posta OTP (tek kullanımlık şifreler) depolamadan önce karma olarak işlenir; 15 dakikalık süre içinde 10 başarısız girişimin ardından hesap kilitleme.
• Erişim kontrolü: en az ayrıcalık ilkesi
• İzleme ve kötüye kullanım önleme: otomatik hız sınırlama (Cloudflare Workers Hız Sınırı ve Durable Objects), 15 dakika içinde 10 başarısız girişin ardından hesap kilitleme, kayıt, şifre sıfırlama ve e-posta OTP isteklerinde Cloudflare Turnstile aracılığıyla bot koruması, otomatik saldırı tespit.

Organizasyonel Önlemler

• Düzenli güvenlik denetimleri
• Veri koruması konusunda personel eğitimi
• Olay müdahale planı

Kişisel veri ihlali durumunda, yasal süreler içinde (GDPR Md. 33) yetkili denetleyici otoriteye bildirimde bulunuruz. İhlalin hakların ve özgürlüklerin yüksek riskine yol açması halinde, sizi gecikmeksizin bilgilendiririz (GDPR Md. 34).

9. Gizlilik Haklarınız

GDPR ve ABD gizlilik yasaları (CCPA, eyalet yasaları) kapsamında aşağıdaki haklara sahipsin:

Erişim Hakkı

Hakkında tuttuğumuz tüm kişisel verilerin bir kopyasını talep et.

Düzeltme Hakkı

Kişisel verilerini doğrudan uygulamada düzelt (Ayarlar > Hesap) veya bizimle iletişime geç.

Silme Hakkı

Hesabını istediğin zaman sil (Ayarlar > Hesabı Sil). Tüm veriler, yasal yükümlülükler hariç (faturalar: 10 yıl) 30 gün içinde silinecektir.

İtiraz Hakkı

Analitik veya AI eğitimi için verilerinin işlenmesine itiraz et.

Taşınabilirlik Hakkı

Başka yere aktarmak için verilerini yapılandırılmış formatta indir (tam hesap dışa aktarımı için JSON, ağırlık takip geçmişi için CSV).

Kısıtlama Hakkı

Bir uyuşmazlık sırasında veri işlemenin geçici olarak dondurulmasını talep et.

Onayı Geri Çekme Hakkı

İşleme onayına dayandığı durumlarda (analitik, AI eğitimi iyileştirmeleri), Ayarlar > Gizlilik bölümünden istediğin zaman geri çekebilirsin. Geri çekme, geri çekmeden önce gerçekleştirilen işlemin yasallığını etkilemez.

Vazgeçme Hakkı (CCPA)

Kaliforniya sakinleri veri 'satışlarından' vazgeçebilir (veri satmıyoruz, ancak silme talep edebilirsin).

Haklarını kullanmak için:
E-posta: support@workoutgen.app
Yanıt süresi: maksimum 30 gün
Güvenlik için kimlik doğrulaması gerekebilir

Şikayet başvurusu yap:
AB sakinleri: ulusal veri koruma otoritesi veya CNIL (cnil.fr)
ABD sakinleri: Eyalet Başsavcısı veya FTC (ftc.gov)

10. Çerezler ve İzleyiciler

WorkoutGen minimal çerezler kullanır ve gizlilik tercihlerine saygı gösterir:

Kesinlikle Gerekli Çerezler (onay gerekmez)

• Kullanıcı oturumu: giriş yapmaya devam etmek için (veritabanımızda saklanan sunucu taraflı oturum kaydına bağlı oturum çerezi)
• Arayüz tercihleri: koyu/açık tema, dil

Analitik (onaya dayalı)

• PostHog: Onayınla, tanımlanmış kullanım analizi için analitik çerezler ve yerel depolama kullanırız. Onay olmadan analitik anonim kalır ve yalnızca bellekte PostHog depolaması kullanır: hiçbir PostHog tanımlayıcısı çerezlerde veya localStorage'da kalıcı olarak saklanmaz. Olaylar toplu istatistikler için kullanılır, sınırlı süre saklanır ve reklamcılık amacıyla kullanılmaz.

İlk ziyarette, zorunlu olmayan analitik çerezleri kabul etmeni veya reddetmeni sağlayan bir onay başlığı belirir. Seçimin yerel olarak saklanır ve Ayarlar > Gizlilik bölümünden istediğin zaman değiştirilebilir.

11. Çocukların Gizliliği

WorkoutGen, ülkelerindeki dijital onay yaşının altındaki kullanıcılar için tasarlanmamıştır: Fransa'da 15 (Fransız GDPR uygulaması kapsamında), GDPR varsayılanını koruyan ülkelerde 16 ve Amerika Birleşik Devletleri'nde (COPPA) ve Birleşik Krallık'ta 13. Bu eşiklerin altındaki çocuklardan bilerek veri toplamayız.

Ebeveyn onayı olmadan bir çocuğun verilerinin toplandığını tespit edersek, derhal sileriz.

15-17 yaş arası kullanıcıların hesap oluşturmadan önce ebeveyn veya vasi onayı alması gerekmektedir.

12. 'İzleme Yapma' Sinyalleri

Bazı tarayıcılar 'İzleme Yapma' (DNT) sinyalleri sunar. WorkoutGen şu anda DNT sinyallerine yanıt vermemektedir, ancak varsayılan olarak izlemeyi en aza indiriyoruz (reklam yok, üçüncü taraf izleyici yok).

13. Politika Güncellemeleri

Yasal değişiklikleri veya yeni özellikleri yansıtmak için bu Gizlilik Politikasını güncelleyebiliriz. Önemli değişiklikleri e-posta veya uygulama içi bildirim yoluyla bildireceğiz.

Son değiştirilme tarihi bu sayfanın üstünde görüntülenir.

14. İletişim ve DPO

Veri koruma hakkında herhangi bir soru için:

E-posta: support@workoutgen.app

Telefon: +33 7 84 07 11 53

Posta adresi: JCODE, 25 rue de Ponthieu, 75008 Paris, Fransa

Veri Koruma Görevlisi (DPO): Jean-Baptiste Thery (aynı e-posta)

AB Denetleyici Otoritesi (CNIL):

Commission Nationale de l'Informatique et des Libertés

3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Fransa

Tel: +33 1 53 73 22 22

Web sitesi: www.cnil.fr