Son güncelleme: 2026-03-29 | Versiyon: 1.0
Bu Gizlilik Politikası, Rushly mobil uygulaması ("Uygulama") aracılığıyla toplanan kişisel verilerinizin nasıl toplandığını, işlendiğini, saklandığını ve korunduğunu açıklamaktadır.
Kişisel verilerinizin korunması bizim için en yüksek önceliklerden biridir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki tüm yükümlülüklerimize uygun hareket etmekteyiz.
Veri sorumlusu olarak bizimle aşağıdaki kanallardan iletişime geçebilirsiniz:
E-posta: support@rushly.com.tr
Uygulamayı kullanmanız sırasında aşağıdaki kategorilerde kişisel veriler toplanmaktadır:
a) Doğrudan Sizden Toplanan Veriler:
- Kimlik ve hesap bilgileri: E-posta adresi, şifre (bcrypt ile hash'lenerek saklanır, düz metin olarak kaydedilmez), profil fotoğrafı veya avatar
- Fiziksel ve demografik bilgiler: Boy, kilo, doğum tarihi, cinsiyet, aktivite seviyesi, fitness hedefi, hedef kilo
- Vücut ölçümleri: Bel, boyun ve kalça çevresi, vücut yağ oranı, kas kütlesi, su yüzdesi
- Antrenman verileri: Antrenman planları, seans kayıtları (zorluk, enerji, ağrı derecelendirmeleri), kişisel rekorlar (ağırlık, tekrar, tahmini 1RM), egzersiz geçmişi
- Beslenme verileri: Beslenme planları, yemek günlükleri (öğün türü, kalori, makro ve mikro besin değerleri), yemek fotoğrafları (base64 formatında)
- İlerleme fotoğrafları: Ön, yan ve arka açılardan çekilen fotoğraflar, ilişkili kilo ve vücut yağ verileri, notlar
b) Otomatik Olarak Toplanan Veriler:
- Sağlık entegrasyon verileri: Apple HealthKit veya Android Health Connect üzerinden açık izninizle okunan adım sayısı, aktif kalori, kalp atış hızı, uyku verisi, VO2Max, kalp atış değişkenliği (HRV), oksijen satürasyonu (SpO2), vücut yağ oranı ve kilo bilgileri
- GPS konum verileri: Koşu, bisiklet, yürüyüş gibi aktiviteler sırasında rota kaydı (enlem, boylam, yükseklik, hız, zaman damgası)
- Cihaz ve teknik bilgiler: Cihaz türü, işletim sistemi sürümü, uygulama sürümü, push bildirim tokenları
- Kullanım istatistikleri: Özellik kullanım sayıları ve zaman damgaları, hata raporları (Sentry aracılığıyla anonim olarak)
c) Üçüncü Taraflardan Toplanan Veriler:
- Apple/Google hesap bilgileri: Sosyal giriş yapmanız halinde Apple ID veya Google hesap kimliği ve doğrulanmış e-posta adresi
- Abonelik verileri: RevenueCat üzerinden abonelik durumu, satın alma doğrulama bilgileri
- Barkod gıda verileri: Open Food Facts veritabanından ürün besin değerleri ve mikro besin bilgileri
Toplanan kişisel verileriniz aşağıdaki amaçlarla ve hukuki dayanaklarla işlenmektedir:
- Kişiselleştirilmiş antrenman ve beslenme programları oluşturma: Sözleşmenin ifası (KVKK m.5/2-c, GDPR m.6/1-b)
- Yapay zeka destekli koçluk ve öneriler sunma: Meşru menfaat ve açık rıza (KVKK m.5/2-f + m.5/1, GDPR m.6/1-f + m.6/1-a)
- İlerleme takibi, analiz raporları ve hedef tahmini: Sözleşmenin ifası (KVKK m.5/2-c, GDPR m.6/1-b)
- Uygulama performansını iyileştirme ve hata tespiti: Meşru menfaat (KVKK m.5/2-f, GDPR m.6/1-f)
- Yasal yükümlülüklerin yerine getirilmesi: Kanuni zorunluluk (KVKK m.5/2-ç, GDPR m.6/1-c)
- Bildirim gönderme ve iletişim: Meşru menfaat (KVKK m.5/2-f, GDPR m.6/1-f)
Vücut ölçümleri, sağlık entegrasyon verileri (HealthKit/Health Connect), uyku ve kas ağrısı kayıtları ile ilerleme fotoğrafları KVKK kapsamında özel nitelikli kişisel veri, GDPR kapsamında hassas veri olarak kabul edilmektedir.
Bu veriler yalnızca açık rızanız ile işlenmektedir (KVKK m.6/2, GDPR m.9/2-a). Sağlık ve hassas verileriniz münhasıran size hizmet sunumu amacıyla kullanılır.
Bu veriler, Gizlilik Politikası'nda belirtilen hizmet sağlayıcılar (Google Gemini, Neon veritabanı, Sentry) dışında hiçbir üçüncü tarafla paylaşılmaz ve reklam amacıyla kesinlikle kullanılmaz.
Sağlık verilerinin işlenmesine ilişkin rızanızı istediğiniz zaman Uygulama ayarlarından veya support@rushly.com.tr adresine başvurarak geri çekebilirsiniz. Rızanın geri çekilmesi, geri çekilme öncesinde gerçekleştirilen veri işleme faaliyetlerinin hukuka uygunluğunu etkilemez.
Uygulamamız, kişiselleştirilmiş öneriler sunmak için Google Gemini yapay zeka modelini kullanmaktadır.
Yapay zeka işleme kapsamında profil bilgileriniz, vücut ölçümleriniz, antrenman geçmişiniz, beslenme verileriniz, aktivite kayıtlarınız ve AI anılarınız kullanılabilir. Bu verilerin hangilerinin yapay zeka ile paylaşılacağını Uygulama ayarlarındaki "AI Veri Paylaşım Tercihleri" bölümünden tamamen kontrol edebilirsiniz. Kapatılan kategorilerdeki veriler yapay zekaya gönderilmez.
Yapay zeka, verilerinizi yalnızca size anlık yanıt üretmek için kullanır. Verileriniz yapay zeka modeli tarafından kalıcı olarak saklanmaz, model eğitimi için kullanılmaz ve toplu veri havuzlarına dahil edilmez. Her istek bağımsız olarak işlenir.
Google Gemini hizmetinin kendi gizlilik politikası ve veri işleme koşulları ayrıca geçerlidir. Detaylı bilgi için Google'ın gizlilik politikasına başvurabilirsiniz.
Kişisel verileriniz hiçbir koşulda satılmaz ve reklam amacıyla üçüncü taraflarla paylaşılmaz.
Hizmetlerimizi sunabilmek için aşağıdaki güvenilir üçüncü taraf hizmet sağlayıcıları ile çalışmaktayız:
- Neon (Veritabanı): Verilerinizin güvenli PostgreSQL veritabanında barındırılması
- Railway (Sunucu Altyapısı): Backend uygulama sunucusunun barındırılması
- RevenueCat (Abonelik Yönetimi): App Store üzerinden abonelik satın alma işlemlerinin doğrulanması ve yönetimi
- Sentry (Hata İzleme): Uygulama hatalarının tespiti ve performans izleme; anonim hata raporları toplanır
- Google Gemini (Yapay Zeka): Antrenman/beslenme planı oluşturma, yemek fotoğrafı analizi ve AI koçluk sohbeti
Bu hizmet sağlayıcıları, verilerinizi yalnızca belirtilen amaçlar doğrultusunda ve gizlilik yükümlülükleri çerçevesinde işler.
Yasal zorunluluk halinde veya yetkili makamların talebi üzerine verileriniz ilgili kurumlarla paylaşılabilir.
Verilerinizin güvenliği için endüstri standartlarında aşağıdaki teknik ve idari önlemleri uygulamaktayız:
- Şifreleme: Verileriniz AES-256 düzeyinde şifreleme ile korunmaktadır
- Şifre koruması: Şifreler bcrypt algoritması (12 rounds) ile hash'lenerek saklanır; düz metin olarak hiçbir zaman kaydedilmez
- Token güvenliği: Şifre sıfırlama tokenları SHA-256 ile hash'lenir ve zaman-güvenli karşılaştırma (timing-safe comparison) ile doğrulanır
- İletişim güvenliği: Tüm veri aktarımı HTTPS/TLS protokolü üzerinden şifreli olarak gerçekleştirilir
- Webhook güvenliği: Üçüncü taraf webhook'ları HMAC-SHA256 imzalama ve zaman-güvenli doğrulama ile korunmaktadır
- İstek güvenliği: Keyed SHA-256 hash ile nonce ve zaman damgası bazlı istek imzalama; 5 dakikalık saat sapması toleransı ve nonce tekrar kullanım önleme (Redis/bellek içi)
- Sunucu güvenliği: Helmet.js ile HTTP güvenlik başlıkları (HSTS, CSP), CORS koruması ve çok katmanlı oran sınırlama uygulanmaktadır
- Güvenli depolama: Kimlik doğrulama tokenları cihazınızda Secure Store'da saklanır
- Düzenli denetim: Güvenlik açıkları için periyodik değerlendirmeler yapılmaktadır
Kişisel verileriniz aşağıdaki sürelere göre saklanmaktadır:
- Aktif hesap verileri: Hesabınız aktif olduğu sürece saklanır
- Hesap silme sonrası: Hesabınızı sildiğinizde tüm kişisel verileriniz 30 gün içinde kalıcı olarak silinir. Bu süre içinde ilk 7 gün boyunca hesabınızı geri alma hakkınız bulunmaktadır
- Silinen e-posta kayıtları: Ücretsiz deneme kötüye kullanımını önlemek amacıyla, silinen hesaplara ait e-posta adresleri süresiz olarak (yalnızca hash'lenmiş formda) saklanır
- Yedekleme verileri: Veritabanı yedekleri 90 gün süreyle saklanır ve ardından kalıcı olarak silinir
- Yasal yükümlülükler: Vergi, muhasebe veya diğer yasal zorunluluklar gerektirdiğinde ilgili veriler yasal saklama süresi boyunca muhafaza edilebilir
Premium kullanıcılar, kişisel verilerini CSV veya JSON formatında dışa aktarabilir. Dışa aktarılabilir veriler şunlardır:
- Antrenman geçmişi ve seans kayıtları
- Vücut ölçümleri ve ilerleme verileri
- Beslenme kayıtları ve yemek günlükleri
- Tüm veriler (toplu dışa aktarım)
Bu özelliğe Uygulama içindeki ayarlar bölümünden erişebilirsiniz. Veri taşınabilirliği hakkınız KVKK m.11 ve GDPR m.20 kapsamında güvence altındadır.
Kişisel verilerinizle ilgili aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmiş kişisel verilerinizin düzeltilmesini isteme
- KVKK m.7 çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
- Kişisel verilerinizin taşınabilirliğini talep etme (GDPR m.20)
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
Bu haklarınızı kullanmak için support@rushly.com.tr adresine e-posta gönderebilir veya uygulama içi destek bölümünden bizimle iletişime geçebilirsiniz. Talepleriniz en geç 30 gün içinde ücretsiz olarak sonuçlandırılacaktır.
Uygulamamız App Store yaş derecelendirmesine göre 9+ yaş grubuna uygundur.
13 yaşından küçük çocukların kişisel verilerini ebeveyn veya yasal veli onayı olmadan bilerek toplamıyoruz. COPPA (Children's Online Privacy Protection Act) ve ilgili yerel mevzuata uygun olarak, 13 yaşından küçük bir kullanıcının ebeveyn onayı olmaksızın kişisel veri sağladığını tespit etmemiz halinde ilgili verileri derhal sileceğiz.
13-17 yaş arası kullanıcılar için ebeveyn veya veli onayı önerilir. Ebeveynler, çocuklarının hesap ve verilerine ilişkin talepler için support@rushly.com.tr adresine başvurabilir.
Verileriniz, hizmet sağlayıcılarımızın sunucularının bulunduğu ülkelerde (ABD ve Avrupa dahil) işlenebilir ve saklanabilir.
Bu uluslararası veri transferleri, KVKK ve GDPR'ın öngördüğü güvenlik önlemleri çerçevesinde gerçekleştirilir. Standart sözleşme maddeleri (Standard Contractual Clauses) ve ek teknik güvenlik önlemleri uygulanarak verilerinizin yeterli düzeyde korunması sağlanır.
Veri transferi yapılan ülkelerin yeterli koruma sağlayıp sağlamadığı düzenli olarak değerlendirilmektedir.
Uygulama aşağıdaki türlerde push bildirimleri gönderebilir:
- Antrenman günü hatırlatmaları
- Seri koruma (streak) bildirimleri
- Haftalık özet bildirimleri
- Motivasyon mesajları
Bu bildirimlerin her birini Uygulama ayarlarından ayrı ayrı açıp kapatabilirsiniz. Tercih ettiğiniz antrenman saati ve günlerini de özelleştirebilirsiniz. Bildirim tercihleri yalnızca push bildirimlerini kapsar; hesap güvenliği ve yasal bildirimler (şifre sıfırlama, şartlar değişikliği vb.) tercihlerden bağımsız olarak gönderilir.
Bu Gizlilik Politikası zaman zaman güncellenebilir. Her güncelleme bir versiyon numarası ve tarih ile takip edilir.
Küçük değişiklikler: Hizmet kapsamını esasen değiştirmeyen düzeltmeler için uygulama içi bildirim gönderilir. Bildirim sonrasında Uygulamayı kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.
Önemli değişiklikler: Veri işleme kapsamını, paylaşım koşullarını veya haklarınızı esaslı şekilde etkileyen değişiklikler için önceden bildirim yapılır ve açık yeniden onay gerekli olabilir.
Gizlilik Politikası'nın güncel versiyonu her zaman uygulama içi ayarlar bölümünden ve rushly.com.tr/legal/privacy adresinden erişilebilir.
Gizlilik Politikası hakkında soru, öneri, talepleriniz veya veri koruma haklarınızı kullanmak için aşağıdaki kanallardan bizimle iletişime geçebilirsiniz:
E-posta: support@rushly.com.tr
Uygulama içi destek bölümü
Veri sorumlusuna başvuru hakkınız saklıdır. Başvurunuzun reddedilmesi, yetersiz bulunması veya 30 gün içinde yanıtsız kalması halinde Kişisel Verileri Koruma Kurulu'na şikayette bulunma hakkınız mevcuttur.