piston.fit / gizlilik YÜRÜRLÜK · 2026-04-17 · v1.1

Gizlilik politikası

Piston ne topluyor, neden topluyor, nerede saklıyor, sen ne yapabilirsin. Kısa ve doğrudan. Tam metin aşağıda, özet baştan.

Özet

E-posta ve şifreni Supabase'de saklıyoruz (AB bölgesi). Başka kimseyle paylaşmıyoruz.
Antrenman verilerin (setler, RPE, blok, intake) senin kişisel verilerin — sadece sen görürsün. Sosyal özellikler açılınca arkadaşlarına isteğe bağlı paylaşırsın.
Sağlık verilerin (kilo, yaş, sakatlık geçmişi) özel nitelikli kişisel veridir; ayrı bir açık rıza ile işlenir, istediğin zaman geri alabilirsin.
Ödemeyi Apple veya Google alıyor. Piston kart bilgini hiç görmüyor.
Reklam yok. Veri satışı yok. Üçüncü tarafa paylaşım sadece altyapı sağlayıcılarla ve yasal zorunluluklarla sınırlı.
Her zaman hesabını silebilirsin. Verilerini dışa aktarabilirsin. [email protected].

1. Veri sorumlusu

Piston'un veri sorumlusu Emin Can Başkaya'dır. Türkiye'de bireysel geliştirici sıfatıyla faaliyet göstermektedir. Şahıs işletmesi resmi olarak kurulduğunda kayıtlı tebligat adresi bu metne eklenecek ve sürüm güncellenecektir. İletişim: [email protected].

2. Toplanan kişisel veriler

2.1. Hesap verileri

Zorunlu: E-posta adresi ve şifre (hashlenmiş olarak saklanır — Piston ham şifreni hiçbir zaman görmez). Apple veya Google ile giriş yaparsan bu sağlayıcıların döndürdüğü e-posta ve kullanıcı tanımlayıcısı.

İsteğe bağlı: Görünen ad (display name).

2.2. Antrenman verileri

Program girdileri ve log: antrenman geçmişi, rekorlar, hedef, meet tarihi, plaka seti, bar ağırlığı; üretilen programlar (bloklar, seanslar, egzersizler); log'lanan setler (ağırlık, tekrar, RPE, RIR, notlar); autoregulation motoru geçmişi.

Sağlık verileri (özel nitelikli kişisel veri — KVKK madde 6): yaş, cinsiyet, kilo, sakatlık geçmişi, kronik rahatsızlıklar. Bu veriler yalnızca açık rıza ile işlenir ve intake sırasında ayrı bir onay ekranıyla alınır. Açık rıza vermezsen bu alanlar boş kalır; motorun sağlık verisine dayanan özellikleri (sakatlık modifikasyonu, kilo-ayarlı ilerleme, yaş-bazlı ısınma önerileri) devre dışı kalır. Uygulamanın kalan kısmını kullanmaya devam edebilirsin.

Bu veriler Piston'un koçluk motorunun doğru ayarlama yapması için kullanılır. Hepsi senin hesabına bağlıdır ve yalnızca sen erişebilirsin.

2.3. Cihaz ve teknik veriler

IP adresi (Supabase tarafından oturum güvenliği için), cihaz türü ve işletim sistemi sürümü (uyumluluk teşhisi için), uygulama sürümü, dil ayarı.

2.4. Hata ve performans verileri

Uygulama çöktüğünde veya bir hata verdiğinde Sentry'ye anonim bir hata raporu gönderilir. Rapor; hatanın oluştuğu ekran, hata mesajı, platform ve anonim bir oturum kimliği içerir. Kişisel ad, e-posta veya antrenman verisi bu raporlarda yer almaz.

2.5. Kullanım analitikleri

Hangi ekranların kaç kez açıldığı, hangi özelliklerin kullanıldığı gibi toplu istatistikler için Mixpanel kullanıyoruz. Veri anonim bir kullanıcı kimliğiyle eşleştirilir — e-postan veya adın bu sisteme gönderilmez.

2.6. Satın alma verileri

Abonelik durumun (aktif, iptal, yenilendi) RevenueCat üzerinden takip edilir. Kart bilgilerin Apple veya Google tarafında işlenir; Piston veya RevenueCat kart numaralarını hiçbir zaman görmez.

2.7. Toplamadığımız veriler

Konum verisi toplamıyoruz. Kişi rehberine erişmiyoruz. Fotoğraf veya video almıyoruz. Sağlık uygulaması (Apple Health / Google Fit) verilerine erişmiyoruz.

3. Neden topluyoruz — hukuki sebep

KVKK madde 5, madde 6 ve GDPR madde 6, madde 9 kapsamında:

Sözleşmenin ifası — hesap verileri, program girdileri ve log'lar (setler, tekrarlar, RPE, RIR), üretilen programlar, abonelik durumu. Uygulamanın hizmetini verebilmesi için zorunlu.
Açık rıza (sağlık verisi — KVKK madde 6) — yaş, cinsiyet, kilo, sakatlık geçmişi, kronik rahatsızlıklar. Özel nitelikli kişisel veridir; yalnızca açık rızayla işlenir. Intake'te ayrı onay ekranıyla alınır, istediğin zaman geri alabilirsin.
Açık rıza (analitik) — kullanım analitikleri. İlk açılışta opt-in olarak sorulur; reddedersen bu veri toplanmaz ve uygulamanın tamamı kullanılmaya devam edilebilir.
Meşru menfaat — hata raporları, güvenlik logları. Uygulamayı çalışır ve güvenli tutmak için.
Yasal yükümlülük — vergi ve muhasebe için gerekli abonelik/fatura kayıtları (Apple ve Google taraflarında).

Açık rızaya dayanan işlemeler için rızayı istediğin zaman [email protected] üzerinden veya uygulama ayarlarından geri alabilirsin. Rızanı geri alman halinde o veriye dayanan özellikler devre dışı kalır; rıza geri alımı uygulamanın tamamının kullanımını engellemez.

4. Nerede saklıyoruz — yurtdışına veri aktarımı

Ana veri tabanı Supabase (Amsterdam, AB). Hata raporları Sentry (AB). Kullanım analitikleri Mixpanel (ABD). Abonelik durumu RevenueCat (ABD). Push bildirim altyapısı Firebase Cloud Messaging (Google, ABD).

Yurtdışına veri aktarımı, 12 Mart 2024'te değişen KVKK madde 9 kapsamında, Kişisel Verileri Koruma Kurumu'nun yayımladığı Standart Sözleşme Maddeleri (SSM) bu şirketlerle imzalanarak yapılmaktadır. ABD transferlerinde ayrıca AB-ABD Veri Gizliliği Çerçevesi (Data Privacy Framework) ek güvence olarak geçerlidir. Aktarım için ayrıca açık rıza aranmaz — yasal dayanak SSM'dir.

5. Kimlerle paylaşıyoruz

Kişisel verilerini üçüncü taraflara satmıyoruz, reklam amacıyla paylaşmıyoruz. Paylaşım iki farklı hukuki nitelikte gerçekleşir:

5.1. Veri işleyenler (data processors)

Piston'un talimatları doğrultusunda, Piston adına işleyen altyapı sağlayıcılarıdır. Her biriyle Veri İşleme Sözleşmesi (DPA) imzalanmıştır.

Supabase — veritabanı, kimlik doğrulama, dosya depolama.
RevenueCat — abonelik durumu yönetimi (kart bilgisi değil).
Sentry — anonim hata takibi.
Mixpanel — anonim kullanım analitikleri (açık rızaya bağlı).

5.2. Bağımsız veri sorumluları (independent data controllers)

Bu şirketler Piston adına değil, kendi bağımsız veri sorumluluğu çerçevesinde veri işler. Onlarla DPA imzalanmaz; platformlarını kullanırken onların kendi gizlilik politikaları devreye girer. Piston ödeme ve kimlik verinin bu platformlardaki işlenmesine doğrudan müdahale etmez.

Apple — App Store dağıtımı, abonelik tahsilatı, Apple ile Giriş (iOS). Apple'ın kendi gizlilik politikası uygulanır.
Google — Google Play dağıtımı, abonelik tahsilatı, Google ile Giriş, Firebase Cloud Messaging push bildirimi (Android). Google'ın kendi gizlilik politikası uygulanır.

5.3. Yasal merciler

Sadece geçerli bir mahkeme kararı, savcılık talebi veya KVKK'nın öngördüğü yasal bir yükümlülük halinde veri paylaşılır. Her talep bireysel olarak hukuka uygunluk açısından değerlendirilir.

6. Ne kadar süre saklıyoruz

Hesap ve antrenman verileri: hesabın aktif olduğu sürece.
Hesap silme sonrası: veriler 30 gün içinde kalıcı olarak silinir. Bu süre içinde hesabı geri alabilirsin.
Fatura ve abonelik kayıtları: Türk Ticaret Kanunu gereği 10 yıl (Apple/Google tarafında).
Hata raporları: 90 gün.
Analitik: 14 ay (Mixpanel varsayılanı).

7. Haklarının

KVKK madde 11 ve GDPR madde 15–22 kapsamında şunları yapabilirsin:

Erişim — verilerinin kopyasını iste.
Düzeltme — yanlış veriyi düzelt (çoğunu uygulamadan yapabilirsin; yapamadıklarını bildir).
Silme — hesabını sil, tüm verilerin silinsin.
Taşınabilirlik — verilerini makine-okunabilir formatta (JSON) dışa aktar.
İşlemeyi kısıtlama — belirli bir işlemeyi durdurmamızı iste.
İtiraz — meşru menfaate dayanan işlemeye itiraz et.
Rızayı geri alma — analitik rızasını istediğin zaman geri alabilirsin.

Bu hakları kullanmak için [email protected] adresine yaz. 30 gün içinde dönüş yapıyoruz. Ücretsiz.

KVKK kapsamındaki başvurularda aynı zamanda KVKK'nın 13. maddesinde belirtilen süreler ve usuller geçerlidir. Çözümsüz kalırsa Kişisel Verileri Koruma Kurumu'na (kvkk.gov.tr) şikayette bulunma hakkın saklıdır.

8. Güvenlik

Veri tabanı seviyesinde satır-seviyesi güvenlik (Row-Level Security) ile her kullanıcı yalnızca kendi verisine erişebilir. Şifreler bcrypt ile hashlenir. Trafik HTTPS üzerinden şifrelenir. Kimlik jetonları cihazdaki güvenli depoda (iOS Keychain / Android EncryptedSharedPreferences) tutulur. Hiçbir sistem %100 güvenli değildir ama saldırı yüzeyini küçük tutmaya çalışıyoruz.

9. Çocuklar

Piston 16 yaş altına yöneltilmemiştir. 16 yaş altındaki bir kullanıcının veri gönderdiğini tespit edersek hesabı siler ve ebeveynle iletişime geçmek için makul adımları atarız. Çocuğunun Piston kullandığını düşünüyorsan bize yaz.

10. Bu politikadaki değişiklikler

Politika güncellendiğinde; yürürlük tarihi değişir, belirgin bir güncelleme uygulama içinde bildirilir. Değişiklik kişisel verilerin işlenmesini genişletiyorsa, devam etmeden önce açık rıza istenir.

Privacy policy (English summary)

This is a condensed English version of the Turkish policy above. Turkish is the authoritative version; where the two disagree, Turkish wins.

What we collect

Account: email, hashed password, optional display name, or the identifier returned by Apple/Google sign-in.
Training (contract): training history, records, goal, meet date, plate set, bar weight, generated programs, logged sets, autoregulation history.
Health data (special category, explicit consent only): age, sex, bodyweight, injury history, chronic conditions. Collected only if you grant explicit consent at intake. Declining does not block the rest of the app — only features that depend on health data are disabled.
Device: IP (for session security), device type, OS version, app version, language.
Errors: anonymous crash reports via Sentry.
Usage: feature analytics via Mixpanel, explicit opt-in on first launch.
Subscription: entitlement state via RevenueCat. Card data stays with Apple or Google.

We don't collect location, contacts, photos, or health-app data.

Why we collect it

Contract performance (account, training log, subscription). Explicit consent under KVKK art. 6 / GDPR art. 9 for special-category health data (age, sex, bodyweight, injury history). Explicit consent for analytics. Legitimate interest for error reporting and security. Legal obligation for billing records (retained by Apple/Google). Consent can be withdrawn at any time; withdrawal disables the dependent features but does not block overall app use.

Where it lives — cross-border transfer

Supabase (EU). Sentry (EU). Mixpanel (US). RevenueCat (US). Firebase Cloud Messaging (US). Cross-border transfers are made under the Standard Contractual Clauses published by the Turkish Data Protection Authority pursuant to KVKK art. 9 (as amended 12 March 2024), with the EU-US Data Privacy Framework as an additional safeguard for US transfers. No separate consent is required — the legal basis is the SCCs.

Who we share with

Data processors (act on our instructions under a DPA): Supabase, RevenueCat, Sentry, Mixpanel.

Independent data controllers (process under their own policies; no DPA signed): Apple (App Store, in-app subscription, Sign in with Apple), Google (Google Play, subscription, Sign in with Google, Firebase Cloud Messaging).

We do not sell data. We do not share for advertising. We respond to valid legal requests from authorities on a case-by-case basis.

How long we keep it

Account and training data: while your account is active. After deletion: 30 days then permanent wipe. Billing: 10 years (legal requirement). Errors: 90 days. Analytics: 14 months.

Your rights

Access, rectification, deletion, portability, restriction, objection, consent withdrawal. Email [email protected]. We respond within 30 days. Free.

Children

Piston is not directed at users under 16. If we learn a child has submitted data, we delete the account.

Changes

When this policy updates, the effective date at the top changes and a clear notice is shown in the app. Material expansions of processing require fresh consent before they take effect.

Contact

Data controller: Emin Can Başkaya, operating as an individual developer in Türkiye (pending sole-proprietor registration — registered service address will be added here upon incorporation). Email: [email protected].