Minik — Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni
Sürüm: v1.0 Yürürlük tarihi: 23 Nisan 2026 Son güncelleme: 23 Nisan 2026
Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) Madde 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca hazırlanmıştır. Kişisel Verileri Koruma Kurumu’nun ilke kararları ve Mart 2023 tarihli “Çocukların Kişisel Verilerinin İşlenmesine İlişkin Rehber” dikkate alınmıştır.
1. Veri Sorumlusu
| Veri sorumlusu | Görkem Çetinkaya (gerçek kişi) |
| Tebligat adresi | Fevzi Çakmak Mah. 1139. Sk. No: 15 İç Kapı No: 4, Esenler/İstanbul |
| KVKK iletişim | privacy@minik.app |
| Genel destek | support@minik.app |
Minik, bebek gelişim takibi için tasarlanmış bir mobil uygulamadır. Bu metinde “Uygulama” Minik mobil uygulamasını, “siz” / “kullanıcı” hesabı oluşturan ebeveyni veya kanuni temsilciyi, “bebek” verileri Uygulama’ya girilen 0–24 ay yaş aralığındaki çocuğu ifade eder.
2. İşlenen Kişisel Veri Kategorileri
2.1 Hesap ve kimlik verileri (kullanıcı)
Kullanıcı UUID, e-posta adresi (iletişim verisi), Apple/Google SSO tanımlayıcısı (kullanıldıysa).
2.2 Onay ve rıza kayıtları (kullanıcı)
Verdiğiniz açık rıza beyanlarının versiyon numarası, zaman damgası, onayladığınız metin sürümünün özeti ve onay anına ait IP adresi. Bu kayıtlar hukuki kanıt amacıyla, kullanıcı kimliğine bağlı asgari kayıt (proof record) olarak tutulur; kanıt değerini koruyabilmesi için anonimleştirilmez, yalnızca §7’deki süreyle saklanır.
2.3 Bebek tanımlayıcı verileri
Bebeğin adı, doğum tarihi, cinsiyeti.
2.4 Bebek sağlık verileri (KVKK m.6 — özel nitelikli)
Boy ölçümleri, kilo ölçümleri, baş çevresi ölçümleri, aşı kayıtları. Bu veriler özel nitelikli kişisel veri statüsündedir ve KVKK m.6 kapsamındaki ek güvence gereksinimleriyle korunur.
2.5 Bakım aktivite verileri
Uyku kayıtları, beslenme kayıtları (emzirme/biberon/ek gıda), bez değişimi kayıtları, kullanıcının eklediği serbest metin notları.
Not: Serbest metin not alanına sağlığa ilişkin bilgi yazmanız halinde (örn. ateş, ilaç) bu kayıtlar bağlam itibarıyla sağlık verisi niteliği taşıyabilir; bu durumda söz konusu kayıtlar da özel nitelikli veri gibi korunur.
2.6 Görsel veriler (opsiyonel)
Bebek profil fotoğrafı. Yüklemediğiniz sürece işlenmez. Yüklediğinizde özel (private) depolama alanında, yalnızca siz ve davet ettiğiniz ortak ebeveynin erişebileceği şekilde tutulur.
2.7 Abonelik verileri
Aktif/pasif durum, plan tipi, bitiş tarihi. Kredi kartı / ödeme aracı bilgileriniz Apple App Store tarafından işlenir; Minik bu verilere erişmez ve sistemlerinde tutmaz.
2.8 Teknik veriler
Cihaz tipi, iOS sürümü, uygulama sürümü; oturum sırasında işlenen IP adresi (kayıt/giriş sırasında oturum güvenliği ve rıza kanıtı amacıyla). IP adresi log kayıtlarında oturum izleme süresi boyunca, anlamlı bir güvenlik olayı yoksa azami 90 gün tutulur.
3. İşleme Amaçları, Hukuki Sebepleri ve Toplama Yöntemi
| Veri kategorisi | Amaç | Hukuki sebep | Toplama yöntemi |
|---|---|---|---|
| 2.1 Hesap | Hesap oluşturma, kimlik doğrulama | KVKK m.5/2-c (sözleşmenin kurulması/ifası) | Form + SSO sağlayıcı |
| 2.2 Rıza kayıtları | Hukuki yükümlülüğe uyum, kanıt | KVKK m.5/2-ç (hukuki yükümlülük) | Otomatik üretilir |
| 2.3 Bebek tanımlayıcı | Uygulama’nın temel işlevi (gelişim takibi) | KVKK m.5/2-c (sözleşme ifası) | Form |
| 2.4 Sağlık (boy/kilo/baş/aşı) | Persentil hesabı ve aşı takvimi gösterimi | KVKK m.6/2 — açık rıza (özel nitelikli) | Form |
| 2.5 Bakım aktiviteleri | Aktivite kaydı ve görüntüleme | KVKK m.5/2-c (sözleşme ifası) | Form |
| 2.6 Profil fotoğrafı | Hesap kişiselleştirme (opsiyonel) | KVKK m.5/1 — açık rıza | Cihaz galerisi |
| 2.7 Abonelik | Premium hizmet sunumu, fatura | KVKK m.5/2-c (sözleşme) | Apple/RevenueCat |
| 2.8 Teknik | Sistem güvenliği, hata teşhisi | KVKK m.5/2-f (meşru menfaat) | Otomatik |
| Ortak ebeveyn paylaşımı | İkinci ebeveynle veri paylaşımı (opsiyonel) | KVKK m.5/1 + m.6/2 — açık rıza | Davet bağlantısı |
| Yerel bildirim (uyku/aşı) | Cihazda yerel hatırlatma | iOS bildirim izni + sözleşme ifası | Cihaz işletim sistemi |
Önemli: Sağlık özellikleri (persentil/aşı) ve ortak ebeveyn paylaşımı opsiyoneldir. Bunlara ilişkin açık rızanızı vermemeniz veya geri almanız halinde Uygulama’nın temel işlevlerini (hesap, bebek profili, uyku/beslenme/bez aktiviteleri, notlar) kullanmaya devam edebilirsiniz; yalnızca rıza dışı bıraktığınız özellikler kapatılır.
4. Çocuk Verilerinin Korunması
Minik, doğası gereği çocuk verileri işler. Çocuğun üstün yararı ilkesi tüm tasarım ve operasyon kararlarında gözetilir. Kişisel Verileri Koruma Kurumu’nun Mart 2023 tarihli Çocukların Kişisel Verilerinin İşlenmesine İlişkin Rehberi dikkate alınarak aşağıdaki katmanlı koruma uygulanır:
4.1 Üç katmanlı doğrulama (kullanıcı kayıt akışı):
- Kimlik doğrulama — Apple/Google SSO veya doğrulanmış e-posta.
- Yaş kapısı — 18 yaş ve üzeri olduğunuza ilişkin zorunlu beyan.
- Veli/vasi yetki beyanı — Bebek üzerinde kanuni veli/vasi yetkisine sahip olduğunuza ilişkin ayrı beyan.
Bu beyanlar self-declaration niteliğindedir; tutarsızlık veya şikâyet halinde ek doğrulama tedbirleri (kimlik teyit talebi dâhil) uygulanabilir ve gerekli görüldüğünde işleme durdurulur.
4.2 Varsayılan yüksek gizlilik (privacy by default):
- Bebek profili kamuya açık değildir, keşfedilemez ve listelenmez.
- Profil fotoğrafı varsayılan olarak boştur; yüklenirse özel depoda tutulur.
- Ortak ebeveyn paylaşımı varsayılan olarak kapalıdır; yalnızca davetiye akışıyla aktive edilir ve davet edilen ebeveynin de aynı üç katmanlı doğrulamadan geçmesi gerekir.
- Reklam, davranışsal profilleme veya üçüncü taraf izleme uygulanmaz.
4.3 Veri minimizasyonu: Yalnızca seçtiğiniz özellikler için zorunlu olan veriler işlenir. Boy/kilo/baş çevresi yalnızca persentil özelliği etkin olduğunda; aşı kayıtları yalnızca aşı takvimi özelliği etkin olduğunda işlenir.
4.4 Sahte beyan halinde tedbir: Yaş kapısı veya veli/vasi yetki beyanının gerçeğe aykırı olduğunun tespiti halinde ilgili hesabın işleme faaliyeti durdurulur, hesap askıya alınır ve veri silme süreci başlatılır.
5. Yurt İçi ve Yurt Dışı Aktarım (KVKK m.8 ve m.9)
5.1 Yurt içi aktarım
Kişisel verileriniz Türkiye’de yerleşik üçüncü kişilere bu sürüm itibarıyla aktarılmamaktadır. Hukuki yükümlülük kapsamında yetkili kamu kurumlarına bilgi verilmesi gerekirse, aktarım ilgili mevzuat çerçevesinde yapılır.
5.2 Yurt dışı aktarım
01.06.2024 tarihinde yürürlüğe giren KVKK m.9 değişikliği uyarınca yurt dışı aktarımlar şu mekanizmalardan birine dayanmalıdır: (i) Kurul yeterlilik kararı, (ii) uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları, taahhütname), (iii) m.9/6’daki arızi haller, (iv) açık rıza. Bu sürüm itibarıyla Türkiye için Kurul tarafından ilan edilmiş bir yeterlilik kararı bulunmamaktadır; aşağıdaki aktarımlar her bir alıcı için ayrı ayrı değerlendirilen hukuki dayanağa göre yapılır:
| Alıcı | Konum | Aktarılan veri kategorileri | Amaç | Aktarım hukuki dayanağı (m.9) |
|---|---|---|---|---|
| Apple Inc. | ABD / AB | 2.1 SSO tanımlayıcı, 2.7 satın alma/abonelik teyidi | ”Apple ile giriş” ve uygulama içi satın alma akışı | m.9/6-b — sözleşmenin ifası için zorunlu (kullanıcı App Store sözleşmesinin tarafıdır; IAP yalnızca Apple altyapısı üzerinden yapılabilir) |
| Google LLC | ABD / AB | 2.1 SSO tanımlayıcı | ”Google ile giriş” (yalnızca tercih edilirse) | m.9/6-a — açık rıza (opsiyonel; kullanıcı Apple ile girişi tercih ederek aktarımdan kaçınabilir) |
| Supabase Inc. | Şirket konumu: ABD (Delaware) / Veri merkezi: Almanya — Frankfurt (eu-central-1) | 2.1, 2.2, 2.3, 2.4, 2.5, 2.6, 2.8 — TLS üzerinden, depoda şifreli | Veritabanı, kimlik doğrulama, dosya depolama, gerçek zamanlı senkronizasyon | m.9/6-a — açık rıza (bulut senkronizasyon özelliği için; rıza vermemeniz halinde Uygulama yalnızca cihaz üzerinde çalışır, bulut yedekleme ve ortak ebeveyn paylaşımı devre dışı kalır) |
| RevenueCat Inc. | ABD | Takma ad (pseudonymous) kullanıcı tanımlayıcısı, abonelik plan/durum verisi | Abonelik durumu yönetimi (yalnızca premium akışında) | m.9/6-b — sözleşmenin ifası için zorunlu (yalnızca premium aboneliğe geçtiğinizde; ücretsiz kullanıcılar için aktarım yoktur) |
Sağlık verisi koruması: Boy, kilo, baş çevresi ve aşı verileri (m.2.4) yalnızca Supabase’in Frankfurt/AB sunucularında işlenir; Apple, Google veya RevenueCat’a sağlık verisi aktarımı yapılmaz.
Şeffaflık beyanı: Yukarıdaki alıcılar AB Genel Veri Koruma Tüzüğü (GDPR) kapsamında veri işleyen sıfatıyla standart sözleşme yükümlülüklerini yerine getirmektedir. Ancak Türk hukuku bakımından KVKK Kurulu tarafından ayrıca onaylanmış bir bağlayıcı şirket kuralı veya Kurum’un Türkiye Standart Sözleşmesi henüz imzalanmamıştır; bu nedenle aktarımların hukuki dayanağı yukarıdaki tabloda gösterildiği üzere açık rıza veya sözleşmenin ifası kapsamında belirlenmiştir.
5.3 Reklam ve veri komisyoncusu yasağı
Verileriniz hiçbir koşulda reklam ağlarına, pazarlama şirketlerine veya veri komisyoncusu (data broker) niteliğindeki üçüncü kişilere aktarılmaz. Uygulama’da hiçbir üçüncü taraf reklam veya analitik/izleme SDK’sı yer almaz.
6. Kişisel Verilerin Toplama Yöntemi
Veriler tamamen elektronik ortamda ve kısmen otomatik yollarla aşağıdaki kanallardan toplanır:
- Uygulama içi formlara doğrudan girişleriniz,
- Apple veya Google kimlik sağlayıcılarından (yalnızca SSO kullandığınızda) aktarılan temel kimlik verisi,
- Sistemin arka planda otomatik olarak ürettiği teknik veriler ve rıza kayıtları.
7. Saklama Süreleri
| Veri kategorisi | Saklama süresi | Süre sonu işlemi |
|---|---|---|
| Aktif hesap verileri (2.1, 2.3, 2.5) | Hesap aktif olduğu sürece | Hesap silinmesinde §7.1’e göre silinir |
| Sağlık verileri (2.4) | Hesap aktif olduğu sürece ve açık rıza geçerli olduğu sürece | Rıza geri alındığında veya hesap silindiğinde silinir |
| Profil fotoğrafı (2.6) | Siz silinceye veya hesap silininceye kadar | Silinir |
| Rıza kayıtları (2.2) — rıza ispat amaçlı IP dahil | Hesap silindikten sonra 5 yıl (zamanaşımı süresince kanıt amacıyla) | Silinir |
| Abonelik kayıtları (2.7) | Vergi Usul Kanunu uyarınca 5 yıl (faturanın düzenlendiği yıldan itibaren) | Silinir |
| Genel oturum/güvenlik IP logları (2.8) — rıza ispat IP’sinden ayrı | Azami 90 gün (anlamlı güvenlik olayı yoksa) | Silinir |
Not — IP adresinin iki farklı kullanımı: IP adresi iki ayrı amaçla işlenir ve süreleri farklıdır:
- Rıza ispat IP’si (2.2): Açık rıza onayı verdiğiniz anda alınır ve
consent_eventskaydının ayrılmaz parçası olarak rıza ispatı için 5 yıl saklanır (KVKK m.5/2-ç hukuki yükümlülük). - Oturum/güvenlik IP’si (2.8): Genel oturum izleme ve güvenlik olayı tespiti için işlenen IP, anlamlı bir güvenlik olayı yoksa azami 90 gün içinde silinir.
7.1 Hesap silme akışı:
- Hesabınızı sildiğinizde verileriniz 30 gün boyunca soft-delete durumunda tutulur (geri yükleme penceresi).
-
- günün sonunda canlı sistemden geri dönülemez şekilde silinir.
- Felaket kurtarma amaçlı periyodik yedeklerde geçici kalan kopyalar yedek rotasyon süresi sonunda (azami 35 gün) silinir; bu süre boyunca yedeklere yalnızca olağanüstü hal restorasyonu için erişilir.
7.2 Pasif hesap politikası:
- Hesabınıza 23 ay boyunca giriş yapılmaması halinde uyarı e-postası gönderilir.
-
- ayın sonunda hesabınız ve ilişkili veriler otomatik olarak silinir.
7.3 Açık rızanın geri alınması ile saklama ilişkisi: Açık rızanıza dayalı olarak işlenen veriler (özellikle 2.4 sağlık verileri, 2.6 profil fotoğrafı, ortak ebeveyn paylaşımı) için rızanızı geri aldığınızda söz konusu işleme derhal durdurulur ve ilgili kayıtlar yukarıdaki sürelere göre silinir. Sözleşme ifası, hukuki yükümlülük veya meşru menfaat gibi başka bir hukuki sebebe dayanılarak işlenen veriler bu sebepler devam ettiği sürece işlenmeye devam edebilir.
8. Veri Güvenliği
Aşağıdaki teknik ve idari tedbirler uygulanmaktadır:
- Tüm trafiğin TLS üzerinden taşınması,
- Veritabanı satır düzeyi erişim kontrolü (Row Level Security) ile bebek verilerine yalnızca üye ebeveynlerin erişimi,
- Profil fotoğraflarının özel (private) depolama alanında, yetkili kullanıcı için zaman sınırlı imzalı bağlantı ile sunulması,
- Asgari yetki ilkesine göre yapılandırılmış servis hesapları,
- Düzenli güvenlik güncellemeleri ve bağımlılık taraması,
- Veri ihlali tespit ve müdahale prosedürü (§11).
Uygulanan tedbirler kötü niyetli ihlal riskini azaltmayı amaçlar; mutlak güvenlik garantisi verilemez.
9. KVKK Madde 11 Kapsamındaki Haklarınız
Veri sahibi olarak (kendiniz adına ve velisi/vasisi olduğunuz bebek adına) aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
- Kanunda öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme,
- Düzeltme/silme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme.
10. Haklarınızı Nasıl Kullanırsınız?
10.1 Uygulama içinden: Aşağıdaki haklarınızı doğrudan Uygulama içindeki Profil/Ayarlar menüsünden anında kullanabilirsiniz:
- Verileri görüntüleme ve düzeltme,
- Verilerin makine-okunabilir (CSV/JSON) kopyasını dışa aktarma,
- Açık rızanızı geri alma (özellik bazında),
- Hesabı silme (30-günlük geri yükleme penceresiyle).
10.2 Yazılı başvuru: Diğer talepleriniz için Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak:
- E-posta: privacy@minik.app (hesabınıza kayıtlı e-posta adresinden)
- Posta: §1’deki tebligat adresine ıslak imzalı dilekçe
Başvurunuzda; ad-soyad, hesabınıza kayıtlı e-posta, talep konusu ve varsa kimlik teyidini sağlayacak bilgiler bulunmalıdır. Talepleriniz, niteliğine göre en kısa sürede ve her halükarda en geç 30 gün içinde sonuçlandırılır. Başvurular kural olarak ücretsizdir; ayrıca bir maliyet gerekirse Kurul’un belirlediği tarifedeki ücret talep edilebilir.
10.3 Şikâyet hakkı: Başvurunuzun reddedilmesi, verdiğimiz cevabı yetersiz bulmanız veya süresinde yanıt verilmemesi hallerinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunma hakkınız saklıdır. Kurul’a başvurmadan önce veri sorumlusuna başvuru yapma şartı bulunmaktadır.
11. Veri İhlali Bildirim Yükümlülüğü
Kişisel verilerinizin yetkisiz kişilerce elde edilmesi halinde:
- Kişisel Verileri Koruma Kurulu’na en geç 72 saat içinde bildirim yapılır,
- Etkilendiği belirlenen kullanıcılara, etkilenenler tespit edildikten sonra makul olan en kısa sürede e-posta ve uygulama içi bildirim ile haber verilir.
12. Çerez ve Tarayıcı Takibi
Minik mobil bir uygulamadır; web tarayıcısı çerezi kullanmaz. Cihazda yalnızca oturum yönetimi için zorunlu olan yerel depolama (token, cache) kullanılır.
13. Tıbbi Tavsiye Reddi
Minik tıbbi cihaz, teşhis veya tedavi aracı değildir. Persentil hesaplamaları, aşı hatırlatmaları ve diğer hesaplanan değerler yalnızca bilgilendirme amaçlıdır ve profesyonel tıbbi tavsiye, hekim muayenesi veya teşhis yerine geçmez. Bebeğinizin sağlığına ilişkin her türlü kararda mutlaka bir çocuk sağlığı ve hastalıkları uzmanına (pediatrist) danışmanız gerekir.
14. Güncellemeler
Bu metin gerektiğinde güncellenebilir. Esaslı değişikliklerde size e-posta ve uygulama içi bildirim yapılır; özel nitelikli veri işleme kapsamını veya yurt dışı aktarım rejimini etkileyen değişikliklerde yeni bir açık rıza talep edilir.
İletişim: privacy@minik.app Sürüm geçmişi: Bu metnin önceki sürümleri ve yürürlük tarihleri kayıt altında tutulur ve talep halinde paylaşılır.