Veri Sorumlusu: Cureonics LLC
Web: cureonics.com · Uygulama: vantrix.app
İletişim: privacy@cureonics.com
1 Giriş ve Kapsam
Bu Gizlilik Politikası ("Politika"), Cureonics LLC ("Cureonics", "biz", "bize" veya "bizim") tarafından geliştirilen ve işletilen Vantrix uygulamasının ("Uygulama") kullanıcılarının kişisel verilerinin işlenmesine ilişkin esasları düzenlemektedir.
Vantrix, 10–17 yaş arası Dikkat Eksikliği ve Hiperaktivite Bozukluğu (DEHB) teşhisi konmuş veya DEHB belirtileri gösteren gençlere yönelik, bilimsel temelli, oyunlaştırmalı bir odak ve öğrenme aracıdır. Uygulama; iOS, Android ve web platformlarında hizmet vermekte olup çocuk kullanıcılar ve ebeveynleri/yasal vasileri için tasarlanmıştır.
Önemli Not: Vantrix tıbbi bir cihaz veya tedavi aracı değildir. Herhangi bir teşhis, tedavi veya terapi hizmeti sunmamaktadır. Toplanan veriler tıbbi kaynak olarak kullanılamaz.
1.1. Yasal Çerçeve
Bu Politika, aşağıdaki mevzuat ve düzenlemelere uygun olarak hazırlanmıştır:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) — Türkiye
- Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR, (AB) 2016/679)
- ABD Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA, 15 U.S.C. §§ 6501–6506)
- Google Play Aileler Politikası ve Apple App Store Çocuk Güvenliği Yönergeleri
- 5237 sayılı Türk Ceza Kanunu — Çocukların cinsel istismarı ve kişisel verilere ilişkin hükümler
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Kanunu
1.2. Tanımlar
| Terim | Tanım |
|---|---|
| Çocuk Kullanıcı | 10–17 yaş arası Uygulama kullanıcısı |
| Ebeveyn/Vasi | Çocuk Kullanıcı'nın ebeveyni veya yasal vasisi |
| Kişisel Veri | Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi |
| Özel Nitelikli Veri | Sağlık verileri dahil, KVKK m.6 kapsamındaki hassas veriler |
| Veri Sorumlusu | Cureonics LLC |
| Veri İşleyen | Veri sorumlusunun talimatıyla veri işleyen üçüncü taraflar |
| Hizmetler | Vantrix uygulaması, web sitesi ve ilişkili tüm dijital hizmetler |
| AI İşleme | Yapay zekâ tabanlı görev parçalama ve kişiselleştirme işlemleri |
2 Toplanan Kişisel Veriler
Vantrix, hizmetlerini sunabilmek için aşağıdaki kişisel veri kategorilerini toplamaktadır. Çocuk kullanıcılardan toplanan verilerin kapsamı, yasal gereklilikler doğrultusunda asgari düzeyde tutulmaktadır (veri minimizasyonu ilkesi).
2.1. Hesap Oluşturma Verileri
- E-posta adresi (ebeveyn onayı için ebeveyn e-postası + çocuk hesap bilgisi)
- Google OAuth kimlik doğrulama verileri (Google ile giriş tercih edildiğinde)
- Kullanıcı adı veya takma ad (gerçek isim zorunlu değildir)
- Doğum tarihi veya yaş bilgisi (yaş doğrulaması ve içerik uyarlaması amaçlı)
- Şifre (hash'lenmiş ve tuzlanmış olarak saklanır; düz metin olarak hiçbir zaman depolanmaz)
2.2. Profil ve Kişiselleştirme Verileri
- İlgi alanları ve hobiler (çocuk tarafından isteğe bağlı olarak girilen)
- Kişisel hedefler ve öğrenme amaçları
- Tercih edilen çalışma süresi ve mola ayarları
- Dil ve arayüz tercihleri
2.3. Kullanım ve Davranışsal Veriler
- Uygulama içi aktivite verileri: tamamlanan görevler, odak süresi istatistikleri, XP ve rozet kazanımları
- Zamanlama verileri: oturum başlangıç/bitiş zamanları, pomodoro döngü istatistikleri
- Sanal çalışma odası katılım verileri (oda giriş/çıkış, süre)
- Etkileşim verileri: uygulamada gezinme patıkaları, tıklama ve kaydırma verileri
- Performans metrikleri: hata raporları, çökme günlükleri, uygulama yanıt süreleri
2.4. AI Tarafından İşlenen Veriler
- AI görev parçalama girdileri: kullanıcının girdiği görev tanımları ve açıklamaları
- AI tarafından üretilen çıktılar: parçalanmış alt görevler ve öneriler
- Kişiselleştirme modeli verileri: kullanıcı davranışına dayalı tercih ve öğrenme patıkaları
2.5. Ebeveyn Paneli Verileri
- Ebeveynin hesap ve iletişim bilgileri
- Çocuğun ilerlemesine ilişkin özet raporlar (ebeveyn tarafından görüntülenen)
- Ebeveyn tarafından belirlenen hedefler ve ödüller
- Koçluk ve destek kayıtları
2.6. Teknik ve Cihaz Verileri
- Cihaz türü, işletim sistemi ve sürümü
- Tarayıcı türü ve sürümü (web erişiminde)
- IP adresi (anonimleştirilerek saklanır)
- Benzersiz cihaz tanımlayıcıları (reklam tanımlayıcıları TOPLANMAZ)
- Çerezler ve benzeri izleme teknolojileri (yalnızca işlevsel amaçlı)
2.7. Toplanmayan Veriler
Vantrix, aşağıdaki verileri hiçbir koşulda toplamaz:
- Tıbbi teşhis veya tedavi bilgileri
- DEHB ilaç kullanım bilgileri
- Kesin konum verileri (GPS)
- Rehber, arama kayıtları veya SMS verileri
- Biyometrik veriler (parmak izi, yüz tanıma)
- Reklam tanımlayıcıları (AAID, IDFA)
- Çocuklar arası doğrudan mesajlaşma içeriği (DM fonksiyonu bulunmamaktadır)
3 Verilerin İşlenme Amaçları ve Hukuki Dayanaklar
| İşleme Amacı | Veri Kategorisi | Hukuki Dayanak |
|---|---|---|
| Hesap oluşturma ve kimlik doğrulama | Hesap verileri, e-posta | Açık rıza (ebeveyn onayı) |
| Hizmetin sunulması ve kişiselleştirme | Profil, kullanım verileri | Sözleşmenin ifası |
| AI görev parçalama | Görev girdileri, AI çıktıları | Açık rıza |
| Oyunlaştırma (XP, rozet) | Kullanım verileri | Sözleşmenin ifası |
| Ebeveyn panelinin sunulması | Ebeveyn ve çocuk ilerleme verileri | Açık rıza + meşru menfaat |
| Güvenlik ve moderasyon | Sosyal etkileşim verileri | Meşru menfaat + yasal yükümlülük |
| Hata tespiti ve performans | Teknik veriler, çökme raporları | Meşru menfaat |
| Yasal yükümlülüklerin yerine getirilmesi | Zorunlu tüm kategoriler | Kanuni yükümlülük |
4 Çocuk Gizliliği ve Özel Koruma Önlemleri
Vantrix'ın birincil hedef kitlesi çocuklar (10–17 yaş) olduğundan, çocuk gizliliğine yönelik en yüksek standartlar uygulanmaktadır.
4.1. COPPA Uyumluluğu
- 13 yaşın altındaki tüm kullanıcılar için, hesap oluşturmadan önce doğrulanabilir ebeveyn onayı (Verifiable Parental Consent, VPC) alınmaktadır.
- Ebeveyn onayı, e-posta doğrulama + ek kimlik teyidi (ebeveynin kredi kartı mikro işlemi, kimlik belgesi doğrulaması veya video onay) yöntemlerinden biri ile gerçekleştirilmektedir.
- Ebeveynler, herhangi bir zamanda çocuklarının verilerini gözden geçirme, değiştirme veya silme hakkına sahiptir.
- Çocuklardan alınan veriler, hizmetin sunulması için kesinlikle gerekli olan asgari düzeyde tutulmaktadır.
- Hiçbir çocuk verisi üçüncü taraf reklamcılara veya veri brokerlerine satılmaz, kiralanmaz veya paylaşılmaz.
4.2. KVKK Kapsamında Çocuk Verileri
Türk hukukunda 18 yaşın altındaki bireylerin kişisel verilerinin işlenmesi için yasal temsilcinin açık rızası aranmaktadır. Vantrix:
- Tüm çocuk kullanıcılar için (10–17 yaş) ebeveyn/vasi onayını zorunlu kılmaktadır.
- Çocuklara ait özel nitelikli kişisel veri (sağlık verisi) işlememektedir. DEHB'ye ilişkin teşhis veya tıbbi bilgi talep edilmez ve saklanmaz.
- Veri İşleme Envanteri'nde çocuk verileri ayrı bir kategori olarak sınıflandırılmıştır.
4.3. Güvenli Sosyal Ortam
- Uygulama içinde doğrudan mesajlaşma (DM) özelliği bulunmamaktadır.
- Sanal çalışma odalarındaki tüm etkileşimler, otomatik içerik filtresi ve insan moderatörler tarafından denetlenmektedir.
- Uygunsuz, zararlı veya zorbalık içeren içerikler anında tespit edilip kaldırılmaktadır.
- Çocukların kişisel iletişim bilgilerini diğer kullanıcılarla paylaşması engellenmektedir.
- Ebeveynler, çocuklarının sosyal etkileşim erişimini ebeveyn panelinden yönetebilmektedir.
5 Yapay Zekâ (AI) Veri İşleme
Vantrix, görev parçalama ve kişiselleştirme özelliklerinde yapay zekâ teknolojisi kullanmaktadır. AI veri işleme süreçlerine ilişkin şeffaflık ilkeleri aşağıda açıklanmaktadır:
5.1. AI İşleme İlkeleri
- Amaç Sınırlaması: AI yalnızca görev parçalama, öğrenme önerileri ve kullanıcı deneyimi kişiselleştirme amacıyla kullanılır.
- Veri Minimizasyonu: AI modeline yalnızca işlem için gerekli veriler iletilir.
- Anonim İşleme: AI model eğitiminde kullanıcı verileri anonim hale getirilir; bireysel profilleme yapılmaz.
- Otomatik Karar Alma Yasağı: AI, çocuğun sağlığı, eğitimi veya yaşamı üzerinde hukuki etki doğuracak otomatik kararlar almaz.
- Hata Toleransı ve Gözetim: AI çıktıları periyodik olarak insan denetimine tabi tutulur.
5.2. Üçüncü Taraf AI Hizmetleri
AI işleme amacıyla üçüncü taraf hizmet sağlayıcılar kullanılması halinde:
- Her hizmet sağlayıcı ile Veri İşleme Sözleşmesi (DPA) imzalanır.
- Hizmet sağlayıcıların COPPA, KVKK ve GDPR uyumlulukları denetlenir.
- Çocuk verileri, AI hizmet sağlayıcısının kendi model eğitimi için kullanılamaz.
- AI hizmet sağlayıcılarının listesi, bu Politika'nın Ek-A bölümünde yayınlanır.
6 Verilerin Paylaşımı ve Aktarımı
6.1. Üçüncü Taraflarla Paylaşım
Vantrix, kullanıcı verilerini hiçbir koşulda reklam verenlerle, veri aracılarıyla (data brokers) veya profilleme hizmeti sağlayıcılarıyla paylaşmaz. Veri paylaşımı yalnızca aşağıdaki durumlarda gerçekleşir:
- Hizmet Sağlayıcılar: Sunucu barındırma (hosting), veritabanı yönetimi, analitik ve AI işleme gibi teknik hizmetler için — yalnızca Veri İşleme Sözleşmesi (DPA) kapsamında.
- Yasal Zorunluluklar: Mahkeme kararı, savcılık talebi veya yetkili idari makamın yazılı talimatı doğrultusunda.
- Güvenlik: Çocukların güvenliğini tehdit eden acil durumların kolluk kuvvetlerine bildirilmesi.
- Şirket Yapısal Değişiklikleri: Birleşme, devralma veya varlık satışı halinde — kullanıcılar önceden bilgilendirilir.
6.2. Uluslararası Veri Aktarımı
Cureonics LLC, Amerika Birleşik Devletleri merkezli bir şirket olarak hizmetlerini küresel altyapı üzerinden sunmaktadır. Kişisel verileriniz, bulunduğunuz ülke dışındaki sunucularda işlenebilir. Bu durumda:
- KVKK m.9 kapsamında Kişisel Verileri Koruma Kurulu'nun yeterli koruma kararları takip edilir.
- GDPR 46. madde kapsamında Standart Sözleşme Maddeleri (SCC'ler) uygulanır.
- AB-ABD Veri Gizliliği Çerçevesi (Data Privacy Framework) uyumlu hizmet sağlayıcılar tercih edilir.
- Her durumda, çocuk verilerinin aktarıldığı ülkenin COPPA eşdeğer koruma sağlayıp sağlamadığı değerlendirilir.
7 Veri Güvenliği
Vantrix, kişisel verilerin korunması için aşağıdaki teknik ve idari tedbirleri uygulamaktadır:
7.1. Teknik Güvenlik Önlemleri
- Aktarım Şifreleme: Tüm veri aktarımları TLS 1.3 protokolü ile şifrelenmektedir.
- Depolama Şifreleme: Veriler AES-256 algoritmasıyla şifrelenmiş olarak saklanmaktadır.
- Şifre Güvenliği: Kullanıcı şifreleri bcrypt/Argon2 algoritmasıyla hash'lenir ve tuzlanır.
- Erişim Kontrolü: Rol tabanlı erişim kontrolü (RBAC) ve en az yetki ilkesi uygulanır.
- Altyapı Güvenliği: Güvenlik duvarı, DDoS koruması, izinsiz giriş tespit sistemleri (IDS/IPS) aktiftir.
- Kod Güvenliği: Açık kaynak olması nedeniyle düzenli güvenlik denetimleri ve bağımsız penetrasyon testleri uygulanır.
7.2. İdari Güvenlik Önlemleri
- Gizlilik Sözleşmeleri: Tüm personel ve hizmet sağlayıcılar gizlilik taahhütnamesi imzalamaktadır.
- Erişim Sınırlaması: Çocuk verilerine erişim, sadece görevi gereği ihtiyaç duyan, özel eğitim almış personelle sınırlıdır.
- Eğitim: Tüm ekip üyelerine düzenli çocuk gizliliği ve veri koruma eğitimi verilmektedir.
- Olay Müdahale Planı: Veri ihlali durumunda 72 saat içinde yetkili makamlara, 7 gün içinde etkilenen kullanıcılara bildirim yapılır.
8 Verilerin Saklanma Süresi
Kişisel veriler, işlenme amaçları için gerekli olan en kısa sürede saklanır:
| Veri Kategorisi | Saklama Süresi | Silme Yöntemi |
|---|---|---|
| Hesap verileri | Hesap aktif olduğu sürece + silme talebinden itibaren 30 gün | Otomatik kalıcı silme |
| Kullanım verileri | Oluştuktan itibaren 12 ay (anonimleştirme sonrası) | Anonimleştirme + silme |
| AI işleme günlükleri | 90 gün | Otomatik kalıcı silme |
| Moderasyon kayıtları | 6 ay | Kalıcı silme |
| Teknik günlükler | 90 gün | Otomatik kalıcı silme |
| Ebeveyn onay kayıtları | Hesap aktif olduğu sürece + yasal saklama süresi | Yasal süre sonunda silme |
| Yedekler | Ana veri silindikten sonra 30 gün içinde | Güvenli imha |
9 Kullanıcı Hakları
9.1. KVKK Kapsamındaki Haklar (Madde 11)
Türkiye'de yerleşik kullanıcılar ve/veya ebeveynler aşağıdaki haklara sahiptir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- Kişisel verileri işlenmiş ise buna ilişkin bilgi talep etme
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
- KVKK m.7 çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme
- Düzeltme ve silme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
9.2. GDPR Kapsamındaki Haklar
Avrupa Ekonomik Alanı'nda (AEA) yerleşik kullanıcılar ek olarak şu haklara sahiptir:
- Erişim hakkı (Madde 15)
- Düzeltme hakkı (Madde 16)
- Silme hakkı / "unutulma hakkı" (Madde 17)
- Veri taşınabilirliği hakkı (Madde 20)
- İşlemenin kısıtlanmasını isteme hakkı (Madde 18)
- İtiraz hakkı (Madde 21)
- Otomatik karar almaya maruz kalmama hakkı (Madde 22)
- Veri koruma otoritesine şikâyet hakkı
9.3. COPPA Kapsamında Ebeveyn Hakları
- Çocuktan toplanan tüm kişisel bilgileri gözden geçirme
- Veri toplama ve kullanma onayını geri çekme
- Çocuğun kişisel bilgilerinin silinmesini talep etme
- Onayın geri çekilmesi durumunda hesabın kapatılmasını sağlama
9.4. Başvuru Yöntemi
Haklarınızı kullanmak için aşağıdaki yöntemlerle başvurabilirsiniz:
- E-posta: privacy@cureonics.com
- Uygulama içi: Ayarlar > Gizlilik > Veri Talebi
- Web formu: vantrix.app/privacy-request
Başvurularınız, kimlik doğrulaması tamamlandıktan sonra en geç 30 gün içinde (KVKK ve GDPR uyarınca) yanıtlanacaktır.
10 Çerezler ve İzleme Teknolojileri
Vantrix, yalnızca uygulamanın temel işlevlerini sağlamak için gerekli olan çerezleri kullanmaktadır:
| Tür | Amaç | Süre | Zorunluluk |
|---|---|---|---|
| Oturum çerezi | Kimlik doğrulama ve güvenli giriş | Oturum süresi | Zorunlu |
| Tercih çerezi | Dil ve arayüz tercihleri | 12 ay | Zorunlu |
| Güvenlik çerezi | CSRF koruması ve sahtecilik önleme | Oturum süresi | Zorunlu |
Vantrix hiçbir analitik, pazarlama veya üçüncü taraf izleme çerezi kullanmamaktadır. Uygulamada hiçbir reklam ağı entegrasyonu bulunmamaktadır.
11 Reklam Politikası
Vantrix, sıfır reklam politikası uygulamaktadır.
Uygulama içinde hiçbir reklam gösterilmez. Hiçbir kullanıcı verisi reklam amacıyla işlenmez, paylaşılmaz veya satılmaz. Hiçbir üçüncü taraf reklam SDK'sı veya izleme pikseli entegre edilmemiştir. Bu politika, uygulamanın temel tasarım ilkesidir ve değiştirilmeyecektir.
12 Açık Kaynak ve Şeffaflık
Vantrix, şeffaflık ilkesiyle açık kaynak olarak geliştirilmektedir. Bu, aşağıdaki faydaları sağlamaktadır:
- Kod Denetimi: Bağımsız güvenlik araştırmacıları, veri işleme uygulamalarımızı kaynak kodundan doğrulayabilir.
- Topluluk Katkısı: Güvenlik açıklarının topluluk tarafından erken tespiti mümkün olmaktadır.
- Güvenlik Açığı Bildirimi: Sorumlu ifşa (responsible disclosure) politikamız kapsamında güvenlik açıkları security@cureonics.com adresine bildirilebilir.
13 Politika Değişiklikleri
Bu Gizlilik Politikası, yasal gereklilikler veya hizmet değişiklikleri doğrultusunda güncellenebilir. Değişiklikler yapıldığında:
- Güncellenen Politika, vantrix.app/privacy adresinde yayınlanır.
- Tüm kayıtlı kullanıcılara (ebeveynlere) e-posta ile bildirim gönderilir.
- Uygulama içinde görünür bir bildirim gösterilir.
- Çocuk verilerinin işlenmesini etkileyen önemli değişikliklerde, ebeveynlerden yeniden açık rıza alınır.
- Politikanın önceki sürümleri arşivlenerek erişilebilir durumda tutulur.
14 İletişim
Gizlilik politikamız hakkında sorularınız veya talepleriniz için:
Veri Koruma Sorumlusu (DPO)
E-posta: privacy@cureonics.com
Web: vantrix.app/privacy
Cureonics LLC
Web: cureonics.com
Türkiye Yetkili Makam: Kişisel Verileri Koruma Kurumu (KVKK)
15 Uygulanacak Hukuk ve Yetki
Bu Gizlilik Politikası, kullanıcının bulunduğu ülkenin veri koruma mevzuatına tabidir. Türkiye'de yerleşik kullanıcılar için 6698 sayılı KVKK, AEA'da yerleşik kullanıcılar için GDPR, ABD'de yerleşik kullanıcılar için COPPA hükümleri geçerlidir. Uyuşmazlık halinde, ilgili ülkenin yetkili mahkemeleri ve veri koruma otoriteleri yetki sahibidir.
Son Güncelleme: 24 Mart 2026 | Sürüm 1.0
© 2025 Cureonics LLC. Tüm hakları saklıdır.