Glowen — Gizlilik Politikası / Datenschutzerklärung

Türkçe

Gizlilik Politikası

**Son güncelleme:** [yayın tarihi]

Bu politika, Glowen uygulamasında hangi verilerin işlendiğini, neden ve nasıl işlendiğini, kimlerle paylaşıldığını ve haklarını anlatır. Sağlık verisi taşıdığımız için her şeyi olabildiğince açık tutmaya çalıştık.

1. Veri sorumlusu

NeuraByte Labs (Mustafa Saraç)

Remigiusstr. 39, 50937 Köln, Almanya

E-posta: mustafa@neurabytelabs.com

Telefon: +49 176 74253080

2. Türkiye temsilcisi (KVKK Md. 16)

Türkiye'de yerleşik kullanıcılar için yetkili temsilci:

Çağla Sirmen

Esenevler Mh. 376. Sokak, Gülsüm Hanım Apartmanı, No: 14, Daire: 7

55200 Atakum / Samsun

E-posta: cagla_1911_08@icloud.com

Telefon: +90 545 244 1342

3. Veri Koruma Görevlisi (DPO)

Mevcut işleme ölçeğimiz ve niteliği nedeniyle DSGVO Md. 37/1 uyarınca Veri Koruma Görevlisi atama zorunluluğumuz bulunmamaktadır. Veri koruma ile ilgili tüm sorular için yukarıdaki iletişim bilgilerini kullanabilirsin.

4. Hangi verilerini işliyoruz?

**Hesap verileri**

• E-posta adresi (hesap oluşturma)
• Ad (opsiyonel, profilinde gösterilmek üzere)
• Doğum tarihi (yaş doğrulama için, 16+ kontrolü)

**Sağlık verileri** (özel nitelikli kişisel veri)

• Regl döngü bilgileri (başlangıç, süre, semptomlar, ruh hali, notlar)
• Bakım rutini (eklediğin ürünler, fotoğraflar, kullanım sıklığı)
• Vitamin alımı (vitamin adı, doz, hatırlatma saatleri)

**Abonelik verileri**

• Apple ID veya Google Play hesap kimliği (premium abonelik için)
• Abonelik durumu, başlangıç ve yenileme tarihleri
• Ödeme bilgileri Apple/Google üzerinde tutulur, biz kart bilgine erişmiyoruz

**Teknik veriler**

• Cihaz türü, işletim sistemi sürümü (uyumluluk için)
• IP adresi (sadece güvenlik amaçlı, kısa süre)

5. Hangi amaçlarla işliyoruz?

• Sana regl tahmini, bakım hatırlatması ve vitamin bildirimi sunmak
• Hesabını oluşturmak ve sürdürmek
• Premium aboneliği yönetmek
• Yasal yükümlülüklerimizi yerine getirmek
• Uygulamanın güvenliğini sağlamak

6. Hukuki temel

**DSGVO açısından (Almanya/AB):**

• Sağlık verisi (regl, bakım, vitamin): **Art. 9/2-a açık rıza** (onboarding'de aldığımız onay)
• Hesap ve abonelik: **Art. 6/1-b sözleşmenin ifası**
• Bildirimler: **Art. 6/1-a rıza** (profilden istediğin zaman kapatabilirsin)
• Yasal yükümlülükler: **Art. 6/1-c**

**KVKK açısından (Türkiye):**

• Sağlık verisi: **Md. 6 açık rıza** (özel nitelikli kişisel veri)
• Hesap ve abonelik: **Md. 5/2-c sözleşmenin kurulması**
• Bildirimler: **Md. 5/1 açık rıza**

7. Verileri kimlerle paylaşıyoruz?

Verilerini reklam veya pazarlama için satmıyoruz, üçüncü taraflarla paylaşmıyoruz. Sınırlı paylaşımlar:

**Hetzner Cloud (Almanya, Nürnberg)** — Veri saklayıcı/işleyici. Verilerin Hetzner'in Nürnberg veri merkezinde, AB içinde, şifrelenmiş olarak saklanır.

**Apple Inc. / Google LLC** — Abonelik ve ödeme işlemleri için. Sadece ödeme bilgilerini (kart, banka) onlar tutar, bizim erişimimiz yoktur.

**Yasal makamlar** — Mahkeme kararı veya yasal yükümlülük halinde gerekli minimum bilgileri paylaşabiliriz.

8. Yurtdışı aktarım

Türkiye'den AB'ye (Almanya) veri aktarımı söz konusudur. Bu aktarım için açık rızana güveniriz (KVKK Md. 9). AB içinde DSGVO koruması altında işlenir.

9. Saklama süresi

• Aktif hesap boyunca verilerini tutarız
• 24 ay boyunca hesabına giriş yapmazsan, hesabını otomatik silmek için sana e-posta ile bilgi verir, makul bir süre tanırız
• Hesabını silersen, verilerin 30 gün içinde sistemlerimizden silinir (yasal saklama yükümlülüğümüz olan bilgiler hariç, örn. fatura kayıtları)
• Yedek kayıtlarımız maksimum 90 gün içinde temizlenir

10. Güvenlik önlemleri

• Verilerin sunucuda **AES-256** algoritmasıyla şifrelenir
• Uygulamayla sunucu arasındaki iletişim **TLS 1.3** üzerinden gider
• Sunucularımız Almanya'da, AB içinde
• Erişim sadece yetkili teknik personele (sınırlı, izlenebilir)

11. Çerez ve izleme

Glowen'de üçüncü taraf analitik aracı (Google Analytics, Firebase Analytics, Mixpanel vb.) **kullanmıyoruz**. Çökme raporlama veya kullanıcı davranış izleme yapan harici servis **yoktur**.

12. Bildirimler

Bildirim göndermek için Apple Push (APNs) ve Google Firebase Cloud Messaging (FCM) altyapılarını kullanırız. Bunlar Apple ve Google'ın yerel hizmetleridir, ekstra üçüncü taraf yoktur.

13. Yaş sınırı

Glowen 16 yaş ve üzeri için tasarlandı. Onboarding sırasında yaş kontrolü yapılır, 16 yaş altı kullanıcılar kayıt olamaz. Eğer yanlışlıkla bir küçüğün verisini topladığımızı fark edersek, hesabı ve verileri derhal sileriz.

14. Tıbbi uyarı

**Glowen tıbbi bir cihaz veya tıbbi yazılım değildir.** Sağlık koşullarınla ilgili teşhis koymaz, tıbbi tavsiye vermez ve doktor görüşünün yerine geçmez. Regl, gebelik, doğurganlık veya başka bir sağlık konusunda karar verirken mutlaka bir sağlık uzmanına başvur. Glowen'in tahminleri yaklaşık değerlerdir; gebelik takibi veya korunma amaçlı kullanılmamalıdır.

15. Hakların

DSGVO ve KVKK kapsamında şu haklara sahipsin:

• **Erişim** (Art. 15 / Md. 11): hangi verilerinin işlendiğini öğrenme
• **Düzeltme** (Art. 16 / Md. 11): yanlış bilgileri düzeltme
• **Silme** (Art. 17 / Md. 11): "unutulma hakkı"
• **Kısıtlama** (Art. 18 / Md. 11): işlemeyi sınırlandırma
• **Veri taşınabilirliği** (Art. 20 / Md. 11): verilerini başka servise aktarma
• **İtiraz** (Art. 21 / Md. 11): belirli işlemelere itiraz
• **Rızayı geri alma** (Art. 7 / Md. 11): istediğin zaman, gelecek için
• **Şikâyet** (Art. 77 / Md. 13-14): denetim makamına başvurma

Haklarını kullanmak için:

• AB / Almanya kullanıcıları: mustafa@neurabytelabs.com
• Türkiye kullanıcıları: cagla_1911_08@icloud.com (Çağla Sirmen, Türkiye temsilcisi)

Talebine 30 gün içinde cevap veririz (KVKK için bu süre 30 gün, DSGVO için bir aydır).

16. Denetim makamları

**Almanya:**

LDI NRW — Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

https://www.ldi.nrw.de

**Türkiye:**

Kişisel Verileri Koruma Kurumu (KVKK)

https://www.kvkk.gov.tr

Bizi atlamak istemen halinde doğrudan bu makamlara şikâyet edebilirsin.

17. Politikadaki değişiklikler

Bu politikayı zaman zaman güncellememiz gerekebilir. Önemli değişiklikleri en az 30 gün önceden e-posta veya app içi bildirim yoluyla sana iletiriz.

18. İletişim

Bu politika hakkında sorularını şu adrese gönder: mustafa@neurabytelabs.com

Deutsch

Datenschutzerklärung

**Stand:** [Veröffentlichungsdatum]

Diese Erklärung beschreibt, welche Daten in Glowen verarbeitet werden, warum und wie, mit wem sie geteilt werden und welche Rechte du hast. Da wir Gesundheitsdaten verarbeiten, haben wir alles so transparent wie möglich gehalten.

1. Verantwortlicher

NeuraByte Labs (Mustafa Saraç)

Remigiusstr. 39, 50937 Köln, Deutschland

E-Mail: mustafa@neurabytelabs.com

Telefon: +49 176 74253080

2. Vertreter in der Türkei (KVKK Art. 16)

Für Nutzerinnen mit Wohnsitz in der Türkei:

Çağla Sirmen

Esenevler Mh. 376. Sokak, Gülsüm Hanım Apartmanı, Nr. 14, Wohnung 7

55200 Atakum / Samsun

E-Mail: cagla_1911_08@icloud.com

Telefon: +90 545 244 1342

3. Datenschutzbeauftragter

Aufgrund der derzeitigen Größe und Art unserer Datenverarbeitung besteht gemäß Art. 37 Abs. 1 DSGVO keine Pflicht zur Bestellung eines Datenschutzbeauftragten. Für Fragen zum Datenschutz nutze bitte die obigen Kontaktdaten.

4. Welche Daten verarbeiten wir?

**Kontodaten**

• E-Mail-Adresse (für die Kontoerstellung)
• Vorname (optional, zur Anzeige im Profil)
• Geburtsdatum (zur Altersverifikation, 16+)

**Gesundheitsdaten** (besondere Kategorie nach Art. 9 DSGVO)

• Zyklusdaten (Beginn, Dauer, Symptome, Stimmung, Notizen)
• Hautpflege-Routine (hinzugefügte Produkte, Fotos, Nutzungshäufigkeit)
• Vitamineinnahme (Vitaminname, Dosis, Erinnerungszeiten)

**Abonnementdaten**

• Apple ID oder Google Play Konto-ID (für das Premium-Abonnement)
• Abonnementstatus, Start- und Verlängerungsdaten
• Zahlungsdaten werden bei Apple/Google gespeichert; wir haben keinen Zugriff auf deine Kartendaten

**Technische Daten**

• Gerätetyp, Betriebssystemversion (zur Kompatibilität)
• IP-Adresse (nur zu Sicherheitszwecken, kurzzeitig)

5. Zu welchen Zwecken verarbeiten wir?

• Bereitstellung von Zyklusvorhersagen, Hautpflege-Erinnerungen und Vitaminbenachrichtigungen
• Erstellung und Verwaltung deines Kontos
• Verwaltung deines Premium-Abonnements
• Erfüllung gesetzlicher Verpflichtungen
• Sicherstellung der App-Sicherheit

6. Rechtsgrundlage

**Nach DSGVO (Deutschland/EU):**

• Gesundheitsdaten: **Art. 9 Abs. 2 lit. a — ausdrückliche Einwilligung**
• Konto und Abonnement: **Art. 6 Abs. 1 lit. b — Vertragserfüllung**
• Benachrichtigungen: **Art. 6 Abs. 1 lit. a — Einwilligung**
• Gesetzliche Pflichten: **Art. 6 Abs. 1 lit. c**

**Nach KVKK (Türkei):**

• Gesundheitsdaten: **Art. 6 ausdrückliche Einwilligung**
• Konto und Abonnement: **Art. 5/2-c Vertragsbegründung**

7. Mit wem teilen wir deine Daten?

Wir verkaufen deine Daten nicht für Werbung oder Marketing. Eingeschränkte Weitergaben:

**Hetzner Cloud (Deutschland, Nürnberg)** — Auftragsverarbeiter zur Speicherung. Deine Daten werden im AES-256-verschlüsselten Zustand in Hetzners Nürnberg-Rechenzentrum innerhalb der EU gespeichert.

**Apple Inc. / Google LLC** — Für Abonnement- und Zahlungsabwicklung. Nur Apple/Google haben deine Zahlungsdaten (Karte, Bank); wir haben keinen Zugriff.

**Behörden** — Bei gerichtlicher Anordnung oder gesetzlicher Verpflichtung können wir das notwendige Minimum an Informationen weitergeben.

8. Internationaler Datentransfer

Es findet ein Datentransfer von der Türkei in die EU (Deutschland) statt. Für diesen Transfer stützen wir uns auf deine ausdrückliche Einwilligung (KVKK Art. 9). Innerhalb der EU werden die Daten unter dem Schutz der DSGVO verarbeitet.

9. Speicherdauer

• Solange dein Konto aktiv ist, speichern wir deine Daten
• Wenn du dich 24 Monate lang nicht einloggst, informieren wir dich per E-Mail über die automatische Löschung und geben dir eine angemessene Frist zur Reaktion
• Wenn du dein Konto löschst, werden deine Daten innerhalb von 30 Tagen aus unseren Systemen gelöscht (mit Ausnahme gesetzlich aufzubewahrender Daten, z. B. Rechnungsdaten)
• Backup-Daten werden spätestens innerhalb von 90 Tagen bereinigt

10. Sicherheitsmaßnahmen

• Deine Daten werden serverseitig mit **AES-256** verschlüsselt
• Die Kommunikation zwischen App und Server erfolgt über **TLS 1.3**
• Unsere Server stehen in Deutschland, innerhalb der EU
• Der Zugriff ist auf autorisiertes technisches Personal beschränkt und protokolliert

11. Cookies und Tracking

Wir verwenden in Glowen **keine** Drittanbieter-Analysetools (Google Analytics, Firebase Analytics, Mixpanel etc.). Es gibt **keinen** externen Dienst, der Crash-Reports erstellt oder das Nutzerverhalten verfolgt.

12. Benachrichtigungen

Für Push-Benachrichtigungen nutzen wir die Apple-Push-Infrastruktur (APNs) und Google Firebase Cloud Messaging (FCM). Dies sind native Dienste von Apple und Google; es gibt keine zusätzlichen Drittanbieter.

13. Altersgrenze

Glowen ist für Personen ab 16 Jahren konzipiert. Während des Onboardings findet eine Altersprüfung statt; jüngere Personen können sich nicht registrieren. Sollten wir feststellen, dass wir versehentlich Daten einer minderjährigen Person erhoben haben, löschen wir das Konto und die Daten umgehend.

14. Medizinischer Hinweis

**Glowen ist kein Medizinprodukt und keine medizinische Software.** Wir stellen keine Diagnose, geben keine medizinischen Ratschläge und ersetzen nicht die Beratung durch eine Ärztin oder einen Arzt. Bei Fragen zu Zyklus, Schwangerschaft, Fruchtbarkeit oder anderen gesundheitlichen Themen wende dich bitte an medizinisches Fachpersonal. Die Vorhersagen von Glowen sind Näherungswerte und nicht zur Schwangerschaftsplanung oder Empfängnisverhütung geeignet.

15. Deine Rechte

Du hast nach DSGVO und KVKK folgende Rechte:

• **Auskunft** (Art. 15 / Art. 11)
• **Berichtigung** (Art. 16 / Art. 11)
• **Löschung** (Art. 17 / Art. 11) — "Recht auf Vergessenwerden"
• **Einschränkung** (Art. 18 / Art. 11)
• **Datenübertragbarkeit** (Art. 20 / Art. 11)
• **Widerspruch** (Art. 21 / Art. 11)
• **Widerruf der Einwilligung** (Art. 7 / Art. 11) — jederzeit, mit Wirkung für die Zukunft
• **Beschwerde** (Art. 77 / Art. 13-14) — Beschwerde bei der Aufsichtsbehörde

Für die Ausübung deiner Rechte:

• EU / Deutschland: mustafa@neurabytelabs.com
• Türkei: cagla_1911_08@icloud.com (Çağla Sirmen, Vertreterin in der Türkei)

Wir antworten innerhalb von 30 Tagen (KVKK 30 Tage, DSGVO ein Monat).

16. Aufsichtsbehörden

**Deutschland:**

LDI NRW — Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

https://www.ldi.nrw.de

**Türkei:**

Kişisel Verileri Koruma Kurumu (KVKK)

https://www.kvkk.gov.tr

Du kannst dich auch direkt an diese Behörden wenden, ohne uns zuerst zu kontaktieren.

17. Änderungen dieser Erklärung

Wir können diese Erklärung gelegentlich aktualisieren. Wesentliche Änderungen kündigen wir mindestens 30 Tage im Voraus per E-Mail oder In-App-Benachrichtigung an.

18. Kontakt

Fragen zu dieser Erklärung sende bitte an: mustafa@neurabytelabs.com