Gizlilik · Privacy
Gizlilik Politikası / Privacy Policy
Document type: Working draft
Last revised: 2026-05-10
Applies to: Mevy app (iOS + Android) + mevy.health website
Languages: Turkish (canonical) + English (translation)
1. Giriş
Bu Gizlilik Politikası, Mevy mobil uygulamasının ("Uygulama") ve mevy.health web sitesinin ("Site") kullanıcılarına ait kişisel verilerin nasıl toplandığını, kullanıldığını, paylaşıldığını ve korunduğunu açıklar.
Mevy'yi yöneten [LEGAL_ENTITY_NAME] ("Mevy", "biz", "bize", "bizim") şirketi, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında Veri Sorumlusu sıfatıyla hareket eder.
Veri Sorumlusu iletişim:
- Yasal adres: [LEGAL_ENTITY_ADDRESS]
- Vergi numarası: [LEGAL_ENTITY_TAX_NUMBER]
- VERBIS kayıt: [VERBIS_REGISTRATION_NUMBER]
- E-posta: privacy@mevy.health
2. Topladığımız Veriler
Mevy aşağıdaki kategorilerde veri toplar:
2.1 Hesap Verileri
- E-posta adresi (Apple Sign In veya e-posta kayıt)
- İsteğe bağlı görünen ad
- Hesap oluşturma + son giriş zaman damgaları
2.2 Sağlık Verileri
- İlaç listesi (ad, doz, biçim, kullanım sıklığı)
- Bakım verdiğin kişilerin profili (anne, baba, eş, çocuk, vb. + isteğe bağlı doğum yılı)
- Doz kayıtları (alındı / atlandı / geç kalındı + zaman damgaları)
- Adherence (uyum) örüntüleri
- İsteğe bağlı notlar
2.3 Cihaz ve Kullanım Verileri
- Cihaz tipi + işletim sistemi sürümü
- Uygulama sürümü
- Çökme raporları (Firebase Crashlytics aracılığıyla)
- Kullanım analitiği (anonim, isteğe bağlı)
2.4 Yapay Zeka (AI) İşleme Verileri
Yapay zeka destekli özellikler (uyum içgörüleri, ilaç hatırlatıcıları, eczacı yönlendirmeleri) çalıştığında, PHI minimizasyonu uygulanır:
- İsim → sadece ilk ad + rol (örn: "Anne", "Baba")
- İlaç adı → ATC kodu veya jenerik ad (mümkün olduğunda)
- Tarihler → göreceli ifadeler ("3 gün önce", "geçen hafta")
- Doğum yılı → yaş bandı (örn: "60-70 yaş")
- Konum verisi: gönderilmez
İşlenmiş veri, Google Gemini API'ye (ABD sunucuları) gönderilir. İşleme sonrası tepki cihazına geri döner.
2.5 Abonelik Verileri
- Abonelik tier'ı (Free / Plus / Family)
- Faturalandırma durumu (RevenueCat aracılığıyla)
- Satın alma geçmişi
- Apple/Google Pay token'ları (Mevy bunları görmez — Apple/Google ödeme platformlarınca yönetilir)
3. İşleme Hukuki Dayanağı
KVKK Madde 5 ve GDPR Madde 6 kapsamında verilerinizi işleme hukuki dayanaklarımız:
| Veri | Hukuki Dayanak |
|---|---|
| Hesap verileri | Sözleşmenin kurulması ve ifası (KVKK Madde 5/2-c) |
| Sağlık verileri | Sözleşmenin ifası + açık rıza (KVKK Madde 6/2 — özel nitelikli veri) |
| Cihaz + kullanım verileri | Meşru menfaat (uygulama performans iyileştirme) |
| AI işleme | Açık rıza (bilgilendirme amaçlı AI; bu politikaya göre işlenir) |
| Çökme raporları | Meşru menfaat (kalite kontrol) |
| Abonelik | Sözleşmenin ifası |
4. Verilerinizi Nasıl Paylaşırız
Verilerinizi sadece aşağıdaki sınırlı şekillerde paylaşırız:
4.1 Hizmet Sağlayıcılarımız (Veri İşleyenler)
| Sağlayıcı | Amaç | Veri Tipi | Konum |
|---|---|---|---|
| Google (Firebase) | Bulut depolama, kimlik doğrulama, push bildirim | Hesap + sağlık verileri (şifrelenmiş) | ABD + AB |
| Google (Crashlytics) | Çökme raporları | Anonim crash payload | ABD |
| Google (Gemini API) | AI işleme | PHI-minimize edilmiş veri | ABD |
| RevenueCat | Abonelik yönetimi | Abonelik metadata | ABD |
| Apple / Google Pay | Ödeme işleme | Faturalandırma token'ı | ABD |
Tüm hizmet sağlayıcılarla GDPR Madde 28 ve KVKK Madde 8 uyumlu veri işleme sözleşmeleri mevcuttur.
4.2 Yasal Zorunluluklar
Yasal otoriteler (mahkeme kararı, savcılık talebi vb.) tarafından açıkça talep edildiğinde, yasal yükümlülükler kapsamında veri paylaşılabilir. Bu durumda kullanıcı, yasal kısıtlamalar el verirse bilgilendirilir.
4.3 Aile Üyeleri (Family Care Council)
Family tier kullanıcılarımız için aile üyeleri arasında ilaç verisi paylaşımı mümkündür. Bu paylaşım yalnızca kullanıcının açık rızası ve davet onayı ile gerçekleşir. Aile üyeleri arasında paylaşılan veriler bu Politika'nın korumasındadır.
4.4 Üçüncü Taraflara SATILMAZ
Verilerinizi reklam veya pazarlama amacıyla asla satmayız, kiralamayız veya üçüncü taraflara aktarmayız.
5. Veri Saklama Süreleri
| Veri Tipi | Saklama Süresi |
|---|---|
| Hesap verileri | Hesap silme talebine kadar |
| Sağlık verileri | Hesap silme + KVKK 7 yıl saklama yükümlülüğü (ardından imha) |
| AI işleme audit logu | KVKK + 5210 sayılı yasa gereği 730 gün |
| Çökme raporları | 12 ay |
| Abonelik kayıtları | KDV mevzuatı gereği 10 yıl |
Hesap silme talebi sonrası tüm sağlık verileri 30 gün içinde tüm sistemlerden silinir (yedeklemeler dahil).
5.1 Operasyonel ve jeton saklama pencereleri
| Veri kategorisi | Saklama süresi | Yasal dayanak |
|---|---|---|
| AI işlem audit logları | 730 gün | KVKK + 5210 sayılı Sağlık Hizmetleri Temel Kanunu (denetim yükümlülüğü) |
| Aile bağlantı (Kin) etkinlikleri | 90 gün | KVKK Madde 11 silme hakkı (bağ kaldırma geri-alma penceresi) |
| Sistem kayıtları (structured logger) | 730 gün | Operasyonel tanılama + denetim zinciri (audit log ile aynı süpürme) |
| Eşleştirme jetonları (yüz yüze QR / paylaşım) | 15 dakika (ilk kullanımdan sonra tüketilir) | Kısa ömürlü taşıyıcı kimlik bilgisi |
| E-posta davet jetonları | 7 gün | E-posta teslim gecikmesi toleransı |
| Sihirli bağlantı jetonları (hasta PWA oturumu) | 30 gün | Yenilenebilir oturum anahtarı |
6. Haklarınız (KVKK Madde 11)
Veri sorumlusu olarak Mevy'ye başvurarak aşağıdaki haklarınızı kullanabilirsiniz:
- (a) Bilgi alma: Kişisel verilerin işlenip işlenmediğini öğrenme
- (b) Erişim: İşlenen verilere erişim talep etme
- (c) Düzeltme: Yanlış/eksik verilerin düzeltilmesini isteme
- (ç) Silme: Verilerin silinmesini veya yok edilmesini isteme
- (d) Aktarma: Verilerin yapılandırılmış formatta başka veri sorumlusuna aktarılmasını isteme (taşınabilirlik)
- (e) İşlemeye itiraz: Otomatik işlemenin sonuçlarına itiraz etme
- (f) Zarar tazmini: Verilerin hukuka aykırı işlenmesi nedeniyle zarara uğranılması halinde tazminat talep etme
Talep iletişim:
- E-posta: privacy@mevy.health
- Yazılı başvuru: [LEGAL_ENTITY_ADDRESS]
- KEP: [LEGAL_ENTITY_KEP_ADDRESS]
Talepleriniz 30 gün içinde ücretsiz olarak yanıtlanır (KVKK Madde 13). Şikayet hakkı: Kişisel Verileri Koruma Kurumu (kvkk.gov.tr).
7. Veri Güvenliği
Verilerinizin korunması için aşağıdaki önlemleri alıyoruz:
- Yerel veri koruması: Yerel veriler iOS'ta Data Protection (İlk Kullanıcı Kimlik Doğrulamasına Kadar Tamamen Korumalı) ile, Android'de ise varsayılan uygulama sandbox şifrelemesi ile korunur. Veritabanı dosyaları uygulamanızın özel kapsayıcısında — cihaz kilidi açılmadan başka uygulamalar erişemez.
- Aktarım şifrelemesi: Tüm sunucu iletişimi TLS 1.3 üzerinden
- Bulut şifrelemesi: Firebase tarafında AES-256 at-rest şifreleme
- Token saklama: flutter_secure_storage (iOS Keychain + Android Keystore)
- Erişim kontrolü: Firestore production rules per-uid izolasyon
- Audit log: AI işleme + hassas operasyonlar 730 gün audit edilir
- Çift faktörlü erişim: Yönetici hesapları için zorunlu
Yine de, internet üzerinden iletim ve elektronik depolama için %100 güvenli yöntem yoktur. Tarafınıza ait şifre + cihaz güvenliğinin sağlanması sizin sorumluluğunuzdadır.
8. Uluslararası Veri Aktarımları
Hizmet sağlayıcılarımızın bir kısmı (Google, Apple, RevenueCat) verilerinizi ABD'de işleyebilir. Bu aktarımlar:
- GDPR Madde 46 kapsamında Standart Sözleşme Maddeleri (SCC) ile yapılır
- KVKK Madde 9 kapsamında açık rızanız + yeterli koruma garantileri ile yapılır
9. Çocukların Verileri
Mevy 18 yaşından küçük kullanıcılar için tasarlanmamıştır. 18 yaş altı bir bireyin Mevy hesabı olduğunu fark edersek, hesap derhal silinir.
Bir caregiver (bakıcı) kendi 18 yaş altı çocuğunun ilaçlarını Mevy üzerinde takip edebilir. Bu durumda ebeveyn/yasal vasi olarak veri sorumlusu sizsiniz.
10. Çerezler ve Analitik (mevy.health sitesi için)
Web sitemizde:
- Zorunlu çerezler: Site işlevselliği için (yetkilendirme, dil tercihi)
- Analitik çerezler: Anonim ziyaretçi sayma (devre dışı bırakılabilir)
- Pazarlama çerezleri: Yok
Mobil uygulama çerez kullanmaz. Apple App Store / Google Play kendi takip mekanizmaları ile çalışır (Apple App Tracking Transparency'ye tabi).
11. Politika Değişiklikleri
Bu Politika'da önemli bir değişiklik olduğunda:
- Uygulama içi banner ile bildirim
- E-posta ile bildirim (kayıtlı kullanıcılara)
- Site üzerinde 30 gün önceden duyuru
Değişiklik sonrası kullanıma devam etmeniz, güncellenmiş Politika'yı kabul ettiğinizi gösterir.
12. İletişim
Bu Politika veya verilerinizle ilgili sorularınız için:
- E-posta: support@mevy.health / privacy@mevy.health
- Adres: [LEGAL_ENTITY_ADDRESS]
- Veri sorumlusu unvanı: [LEGAL_ENTITY_NAME]
Son güncelleme: 2026-05-10
Yürürlük tarihi: Apple App Store / Google Play Store yayın tarihinden itibaren
1. Introduction
This Privacy Policy explains how the Mevy mobile application ("App") and mevy.health website ("Site") collect, use, share, and protect personal data of their users.
The company operating Mevy, [LEGAL_ENTITY_NAME] ("Mevy", "we", "us", "our"), acts as the Data Controller under Turkish Personal Data Protection Law No. 6698 ("KVKK") and the General Data Protection Regulation ("GDPR") for EU users.
Data Controller contact:
- Legal address: [LEGAL_ENTITY_ADDRESS]
- Tax number: [LEGAL_ENTITY_TAX_NUMBER]
- VERBIS registration: [VERBIS_REGISTRATION_NUMBER]
- Email: privacy@mevy.health
2. Data We Collect
Mevy collects data in the following categories:
2.1 Account Data
- Email address (via Apple Sign In or email registration)
- Optional display name
- Account creation + last login timestamps
2.2 Health Data
- Medication list (name, dose, form, frequency)
- Profiles of people you care for (mother, father, spouse, child, etc. + optional birth year)
- Dose records (taken / skipped / late + timestamps)
- Adherence patterns
- Optional notes
2.3 Device and Usage Data
- Device type + OS version
- App version
- Crash reports (via Firebase Crashlytics)
- Usage analytics (anonymous, optional)
2.4 AI Processing Data
When AI-powered features (adherence insights, medication reminders, refill guidance) operate, PHI minimization is applied:
- Names → first name + role only (e.g., "Mom", "Dad")
- Medication names → ATC code or generic name (when available)
- Dates → relative expressions ("3 days ago", "last week")
- Birth year → age bucket (e.g., "60-70 years")
- Location data: never sent
Processed data is sent to Google Gemini API (US servers). The response returns to your device after processing.
2.5 Subscription Data
- Subscription tier (Free / Plus / Family)
- Billing status (via RevenueCat)
- Purchase history
- Apple/Google Pay tokens (Mevy does not see these — they are managed by Apple/Google payment platforms)
3. Legal Basis for Processing
Under KVKK Article 5 and GDPR Article 6, our legal bases for processing your data are:
| Data | Legal Basis |
|---|---|
| Account data | Contract performance (KVKK Art. 5/2-c, GDPR Art. 6(1)(b)) |
| Health data | Contract performance + explicit consent (KVKK Art. 6/2 — special category) |
| Device + usage data | Legitimate interest (app performance improvement) |
| AI processing | Explicit consent (informational AI; processed under this policy) |
| Crash reports | Legitimate interest (quality control) |
| Subscription | Contract performance |
4. How We Share Your Data
We share your data only in the following limited ways:
4.1 Our Service Providers (Data Processors)
| Provider | Purpose | Data Type | Location |
|---|---|---|---|
| Google (Firebase) | Cloud storage, authentication, push notifications | Account + health data (encrypted) | US + EU |
| Google (Crashlytics) | Crash reports | Anonymous crash payload | US |
| Google (Gemini API) | AI processing | PHI-minimized data | US |
| RevenueCat | Subscription management | Subscription metadata | US |
| Apple / Google Pay | Payment processing | Billing token | US |
We have GDPR Article 28 + KVKK Article 8 compliant data processing agreements with all service providers.
4.2 Legal Obligations
When required by law (court order, prosecutorial request, etc.), data may be shared under legal obligations. In such cases, the user is notified if legal restrictions allow.
4.3 Family Members (Family Care Council)
For Family tier users, medication data sharing among family members is possible. This sharing occurs only with the user's explicit consent and invitation acceptance. Data shared among family members remains under this Policy's protection.
4.4 NOT Sold to Third Parties
We never sell, rent, or transfer your data to third parties for advertising or marketing purposes.
5. Data Retention Periods
| Data Type | Retention Period |
|---|---|
| Account data | Until account deletion request |
| Health data | Account deletion + KVKK 7-year retention obligation (then destruction) |
| AI processing audit log | 730 days (KVKK + Health Services Act 5210) |
| Crash reports | 12 months |
| Subscription records | 10 years per VAT regulation |
After account deletion request, all health data is deleted from all systems within 30 days (including backups).
5.1 Operational & token retention windows
| Data category | Retention | Legal basis |
|---|---|---|
| AI operation audit logs | 730 days | KVKK + Health Services Act 5210 (audit duty) |
| Family connection (Kin) events | 90 days | KVKK Article 11 right-to-erasure (unbind recovery window) |
| System logs (structured logger) | 730 days | Operational diagnostics + audit chain (same sweep as audit logs) |
| Pairing tokens (in-person QR / share) | 15 minutes (consumed after first use) | Short-lived bearer credential |
| Email invite tokens | 7 days | Email delivery latency tolerance |
| Magic link tokens (patient PWA session) | 30 days | Refreshable session key |
6. Your Rights (KVKK Art. 11 + GDPR Art. 15-22)
By contacting Mevy as Data Controller, you can exercise the following rights:
- (a) Information: Learn whether personal data is being processed
- (b) Access: Request access to processed data
- (c) Rectification: Request correction of inaccurate/incomplete data
- (d) Erasure ("right to be forgotten"): Request deletion of data
- (e) Restriction: Request restriction of processing
- (f) Portability: Request transfer of data in structured format to another data controller
- (g) Objection: Object to automated processing outcomes
- (h) Compensation: Claim damages for unlawful data processing
Request contact:
- Email: privacy@mevy.health
- Written application: [LEGAL_ENTITY_ADDRESS]
- KEP (Turkey): [LEGAL_ENTITY_KEP_ADDRESS]
Your requests are responded to within 30 days at no charge (KVKK Art. 13). Right to complain: Personal Data Protection Authority of Turkey (kvkk.gov.tr) for TR users; respective EU Data Protection Authority for EU users.
7. Data Security
We take the following measures to protect your data:
- Local data protection: Local data on your device is protected by iOS Data Protection (Complete Until First User Authentication) and Android's default app sandbox encryption. Database files reside in your app's private container — inaccessible to other apps without device unlock.
- Transit encryption: All server communication via TLS 1.3
- Cloud encryption: AES-256 at-rest encryption on Firebase
- Token storage: flutter_secure_storage (iOS Keychain + Android Keystore)
- Access control: Firestore production rules with per-uid isolation
- Audit log: AI processing + sensitive operations audited for 730 days
- Two-factor access: Required for administrative accounts
Nevertheless, no method of internet transmission and electronic storage is 100% secure. Securing your password and device is your responsibility.
8. International Data Transfers
Some of our service providers (Google, Apple, RevenueCat) may process your data in the United States. These transfers are made:
- Under GDPR Article 46 with Standard Contractual Clauses (SCC)
- Under KVKK Article 9 with your explicit consent + adequate safeguards
9. Children's Data
Mevy is not designed for users under 18 years of age. If we discover that a person under 18 has a Mevy account, the account is deleted immediately.
A caregiver may track their own under-18 child's medications on Mevy. In this case, you are the data controller as parent/legal guardian.
10. Cookies and Analytics (mevy.health site)
On our website:
- Essential cookies: For site functionality (authentication, language preference)
- Analytics cookies: Anonymous visitor counting (deactivatable)
- Marketing cookies: None
The mobile app does not use cookies. Apple App Store / Google Play operates with their own tracking mechanisms (subject to Apple App Tracking Transparency).
11. Policy Changes
When a significant change occurs in this Policy:
- In-app banner notification
- Email notification (to registered users)
- 30-day advance notice on the site
Continued use after the change indicates your acceptance of the updated Policy.
12. Contact
For questions about this Policy or your data:
- Email: support@mevy.health / privacy@mevy.health
- Address: [LEGAL_ENTITY_ADDRESS]
- Data Controller name: [LEGAL_ENTITY_NAME]
Last updated: 2026-05-10
Effective date: Upon publication on Apple App Store / Google Play Store
Data Collected
- Contact Info → Email Address: Linked to identity. Used for App Functionality + Account Management.
- Health & Fitness → Health: Linked to identity. Used for App Functionality. NOT used for tracking. Includes medication data + adherence patterns.
- Identifiers → User ID: Linked to identity. Used for App Functionality + Analytics.
- Usage Data → Product Interaction: Linked to identity. Used for App Functionality + Analytics.
- Diagnostics → Crash Data: NOT linked to identity. Used for App Functionality.
- Diagnostics → Performance Data: NOT linked to identity. Used for App Functionality.
Data NOT Collected (per Apple format)
- Location
- Contacts
- Browsing History
- Search History
- Photos or Videos (Box Scan: photo processed locally, NOT uploaded)
- Audio Data
- Other User Content
Tracking
No tracking across apps or websites owned by other companies.