Privacy Policy & Clarification Notice

Effective: 15 June 2026
Data controller: Görkem Meriç Gümüş (individual app developer)
Contact (KVKK requests & privacy): gorkemmericgumus@icloud.com

English summary

This is an English summary of the Turkish Privacy Policy below, which is the governing version.

Controller. Maya is operated by an individual developer, Görkem Meriç Gümüş (contact: gorkemmericgumus@icloud.com). Turkish KVKK and, where applicable, GDPR apply.

What we process. Your account email (or Apple/Google sign-in email, including Apple's private relay); your text chats; if you use it, voice captured from your microphone while the feature is active, plus its transcript; the people you add — names, relationship, fields, free-text notes, photos, and the relationship map between them; the AI-generated assessments derived from these (summaries, Big Five/OCEAN estimates, "State & Rhythm" and "Timeline" predictions, optional "Deep Research" reports, and "Sora" videos); subscription status (via RevenueCat/Apple — we never see card data); and basic diagnostics/usage data. We do not collect an advertising identifier, perform cross-app tracking, or import your location, contacts, or calendar.

Security — stated accurately. Your data is not end-to-end encrypted; to provide the Service it is processed in readable form on our servers and by our AI providers. It is encrypted in transit (HTTPS/TLS) and at rest by our managed providers; passwords are bcrypt-hashed; API keys are server-side only.

Sharing & transfers. We do not sell your data or use it for advertising. We use processors strictly for their function: Microsoft Azure (OpenAI for chat/OCEAN/portraits, Realtime for voice, AI Foundry for Deep Research, Sora for video — Azure does not train its base models on your data), Neon (PostgreSQL) and Redis Cloud for storage, RevenueCat + Apple for subscriptions, Google for optional sign-in, and an email/SMTP provider for verification codes. Data may be transferred outside Türkiye/EEA under appropriate safeguards (standard contractual clauses and provider data-processing commitments) consistent with KVKK Art. 9 and GDPR.

Third-party data. By entering information about other people, you confirm you are legally entitled to do so and have obtained any required consent. Blocking removes a person from analysis; deleting removes them permanently.

AI is not advice. Maya's personality and behavioral outputs are probabilistic estimates for companionship and reflection — not clinical, medical, psychological, legal, or financial advice — and Maya does not make legally significant automated decisions about you.

Your rights. You have rights of access, rectification, erasure, restriction, objection, portability, and consent withdrawal under KVKK Art. 11 / GDPR. You may exercise many of these in-app (export, purge, delete account); other requests are handled within 30 days. You may also complain to the Turkish Data Protection Authority or your competent supervisory authority.

Children. Maya is not directed to anyone under 18.

Contact: gorkemmericgumus@icloud.com.

Türkçe (yöneten sürüm)

Bu Gizlilik Politikası ve Aydınlatma Metni ("Politika"), Maya mobil uygulamasını ("Maya", "Uygulama", "Hizmet") kullanan gerçek kişilerin ("siz", "Kullanıcı", "ilgili kişi") kişisel verilerinin; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve uygulanabildiği ölçüde Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") kapsamında nasıl işlendiğini açıklar. Veri sorumlusu sıfatıyla hareket eden kişi yukarıda belirtilmiştir.

Maya'yı kullanarak bu Politikayı okuduğunuzu ve içeriğini anladığınızı kabul edersiniz. Belirli işleme faaliyetleri (örneğin sesli sohbet veya başkaları hakkında veri girilmesi) ek olarak açık rızanıza dayanır; bu rıza, ilgili özelliği kullanmaya başlamanızla verilmiş sayılır ve dilediğiniz zaman geri alınabilir.

1. Tanımlar

• Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• İşleme: Kişisel verilerin elde edilmesi, kaydedilmesi, saklanması, değiştirilmesi, aktarılması, silinmesi dâhil her türlü işlem.
• Veri sorumlusu: İşleme amaç ve vasıtalarını belirleyen kişi (bkz. başlık).
• Veri işleyen / alt-işleyen: Veri sorumlusu adına veri işleyen üçüncü taraf hizmet sağlayıcılar (§8).
• Üçüncü kişi: Kullanıcı'nın Maya'ya hakkında veri girdiği, Kullanıcı dışındaki gerçek kişiler (§6).

2. İşlediğimiz kişisel veri kategorileri

Maya'yı kullanımınıza bağlı olarak aşağıdaki veriler işlenir:

2.1. Kimlik ve hesap verileri. E-posta adresiniz; "Apple ile Giriş" veya "Google ile Giriş" kullanmanız hâlinde ilgili sağlayıcının ilettiği e-posta (Apple'ın özel yönlendirme/relay adresi dâhil) ve benzersiz kullanıcı kimliği. Parola ile kayıt olmanız hâlinde parolanız yalnızca bcrypt algoritmasıyla geri döndürülemez biçimde özetlenerek saklanır; açık (düz metin) parola hiçbir zaman tutulmaz. E-posta doğrulama ve parola sıfırlama amacıyla kısa ömürlü, özetlenmiş tek kullanımlık kodlar üretilir.

2.2. İçerik verileri (metin sohbet). Maya'ya yazdığınız mesajlar ile Maya'nın yanıtları ve bunların ait olduğu konuşma kayıtları.

2.3. Ses verileri (sesli sohbet). "Maya ile konuş" özelliğini kullanmanız hâlinde, yalnızca özelliği başlattığınız anda mikrofonunuzdan alınan ses, gerçek zamanlı yanıt üretilebilmesi için yapay zekâ hizmet sağlayıcısına aktarılır; konuşmanın metne dökülmüş hâli (transkript) ile süresi sohbet geçmişinize ve kullanım sayaçlarına kaydedilir. Mikrofon erişimi yalnızca bu özellik etkinken kullanılır ve cihaz ayarlarından geri alınabilir.

2.4. Üçüncü kişilere ilişkin veriler (kişi kartları). Uygulamaya eklediğiniz kişilerin adı, ilişki türü ve doldurduğunuz alanlar (yaş, meslek, konum, doğum tarihi, telefon, e-posta vb.); bu kişiler hakkında "Anlat" modunda paylaştığınız serbest metin notlar; eklediğiniz fotoğraflar ve Harita üzerinde kurduğunuz kişiler arası ilişki bağları. Bu kategoriye ilişkin önemli açıklama için bkz. §6.

2.5. Görsel veriler ve referans fotoğraflar. Bir kişiye eklediğiniz fotoğraflar ile "AI portre" özelliğinde "Galeriden foto seç" seçeneğini kullanmanız hâlinde referans olarak seçtiğiniz fotoğraf. Referans fotoğraf, görsel üretmek amacıyla yapay zekâ hizmet sağlayıcısına aktarılır; üretilen portre yalnızca cihazınızda saklanır — ne referans fotoğraf ne de üretilen görsel sunucularımızda tutulur.

2.6. Yapay zekâ tarafından üretilen değerlendirme verileri. Yukarıdaki bilgilerden yapay zekâ tarafından üretilen çıktılar: kişi özetleri, Beş Faktör (OCEAN) kişilik tahminleri ve alt-boyut (facet) değerlendirmeleri, "Durum & Ritim" tahminleri, "Zaman Çizgisi" projeksiyonları, talep etmeniz hâlinde üretilen "Derin Araştırma" raporu ve "Sora" ile ürettiğiniz kısa videolar. Bu çıktılar olasılıksal tahminlerdir (bkz. §7). Sora videoları yalnızca cihazınızda saklanır.

2.7. İşlem ve abonelik verileri. Plus/Pro aboneliği almanız hâlinde ödeme Apple App Store üzerinden gerçekleşir; ödeme kartı bilgilerinize erişmez ve bunları saklamayız. Abonelik durumunuzu (tür, başlangıç/bitiş) makbuz doğrulaması yoluyla RevenueCat üzerinden alır ve hesabınıza eşleriz.

2.8. İşlem güvenliği ve kullanım verileri. Hizmetin çalıştırılması, güvenliğin sağlanması ve kullanım kotalarının uygulanması amacıyla tutulan teknik kayıtlar: hata günlükleri, istek zaman damgaları, özellik bazında günlük/aylık kullanım sayaçları ve uygulama dili.

2.9. İşlemediğimiz veriler. Reklam tanımlayıcısı veya çapraz-uygulama izleme (tracking) verisi toplamayız; bu nedenle Apple Uygulama İzleme Şeffaflığı (ATT) izni istemeyiz. Konum, rehber ve takvim verilerinizi içe aktarmayız. Tuş vuruşu veya davranışsal biyometri gibi telemetriyi yayın sürümünde toplamayız. Üçüncü taraf reklam ağı veya pazarlama analitiği yazılımı (SDK) kullanmayız.

3. İşleme amaçları ve hukuki sebepler

Kişisel verileriniz aşağıdaki amaçlarla ve karşılarında gösterilen hukuki sebeplere dayanılarak işlenir:

Maya, sağlık, inanç, etnik köken, cinsel hayat gibi özel nitelikli kişisel verileri işlemeyi amaçlamaz ve bu tür veri girmemeniz önerilir. Serbest metin alanlarına böyle bir bilgi girmeniz hâlinde, bu veri açık rızanıza dayanılarak işlenmiş sayılır (KVKK m.6; GDPR md.9/2-a).

4. Yapay zekâ, otomatik işleme ve profilleme

Maya, paylaştığınız bilgiden kişilik ve davranışa ilişkin olasılıksal çıkarımlar üretir; bu, hukuken bir profilleme faaliyetidir. Bu çıktılar bilgilendirme ve eşlik amaçlıdır; klinik teşhis, tıbbi veya psikolojik değerlendirme, hukuki ya da finansal tavsiye niteliği taşımaz ve profesyonel danışmanlığın yerine geçmez. Maya, hakkınızda hukuki sonuç doğuran veya sizi benzer şekilde önemli ölçüde etkileyen otomatik kararlar üretmez (GDPR md.22). Modellerin bilimsel temeli Uygulama içindeki "Arkasındaki Bilim" bölümünde açıklanmıştır.

5. Verilerin elde edilme yöntemi

Kişisel veriler, Uygulama üzerinden doğrudan sizin tarafınızdan girilen bilgiler; Apple/Google ile giriş yapmanız hâlinde ilgili sağlayıcıdan; ve Hizmet'i kullanımınız sırasında otomatik üretilen teknik kayıtlar aracılığıyla elektronik ortamda elde edilir.

6. Üçüncü kişilere ilişkin veriler

Maya, hayatınızdaki diğer kişiler hakkında bilgi girmenize olanak tanır. Bu, Maya açısından özel önem taşıyan bir işleme faaliyetidir:

• Bir üçüncü kişi hakkında veri girerek, bu veriyi girmeye ve tarafımıza işletmeye hukuken yetkili olduğunuzu ve uygulanabilir mevzuatın gerektirdiği hâllerde ilgili kişinin rızasını/iznini aldığınızı beyan ve taahhüt edersiniz.
• Bu verileri yalnızca size, ilgili kişiyi ve onunla ilişkinizi anlamada yardımcı olmak amacıyla işleriz; bu verileri satmayız, reklam amacıyla kullanmayız, başka kullanıcılara göstermeyiz.
• Bir kişiyi engellemeniz hâlinde, o kişiye ilişkin veriler analiz ve yapay zekâ bağlamından çıkarılır; silmeniz hâlinde kalıcı olarak kaldırılır.
• Hakkında veri tuttuğumuz bir üçüncü kişinin tarafımıza başvurması hâlinde, söz konusu verinin sizin tarafınızdan girildiğini dikkate alır ve talebi değerlendirmek üzere sizinle iletişime geçebilir, gerektiğinde ilgili veriyi kaldırabiliriz.

7. Kişisel verilerin aktarılması

Verilerinizi satmayız. Hizmet'in sağlanabilmesi için aşağıdaki kategorideki hizmet sağlayıcılara (veri işleyen/alt-işleyen), yalnızca kendi işlevleriyle sınırlı ve yazılı taahhütlere tabi olarak veri aktarımı yapılır:

Microsoft Azure'ın yapay zekâ hizmetleri, aktarılan veriyi kendi temel modellerini eğitmek için kullanmaz. Yetkili bir merci tarafından hukuka uygun biçimde talep edilmesi hâlinde, yürürlükteki mevzuat çerçevesinde veri paylaşımı yapmamız gerekebilir.

Yurt dışına aktarım. Yukarıdaki sağlayıcıların sunucuları Avrupa Birliği ve/veya diğer ülkelerde bulunabilir; bu nedenle verileriniz Türkiye dışına aktarılabilir. Bu aktarımlar, KVKK m.9'da öngörülen sıraya uygun olarak (yeterlilik kararı, uygun güvenceler — özellikle standart sözleşme ve sağlayıcıların veri işleme taahhütleri — veya istisnaların varlığı) ve GDPR'ın uluslararası aktarım hükümleri çerçevesinde gerçekleştirilir.

8. Saklama süreleri ve imha

Kişisel verileriniz, işleme amacının gerektirdiği ve hesabınızın aktif olduğu süre boyunca; ilgili mevzuatta öngörülen zamanaşımı/saklama süreleri saklı kalmak üzere saklanır. Bu sürelerin sona ermesi veya talebiniz hâlinde veriler silinir, yok edilir veya anonim hâle getirilir.

Verileriniz üzerinde aşağıdaki kontrollere sahipsiniz:

• Veriyi dışa aktarma: Profil arşivinizi PDF olarak indirebilirsiniz (Gözat → Veriyi indir).
• Bulut verisini silme: Hesabınız korunarak sunucudaki içeriğiniz silinir (Gözat → Veriyi sil).
• Hesabı kalıcı silme: Hesabınızı ve sunucudaki tüm verinizi geri dönüşsüz silebilirsiniz (Gözat → Veriyi sil → "Hesabı kalıcı sil"). Silme talebi sonrasında veriler, makul bir süre içinde yedeklerden de düşer.
• Cihaz verisi: Cihazınızda saklanan içerik (AI portre, Sora videoları, indirilen arşivler) "yerel veriyi sil" işlemiyle cihazınızdan temizlenir.

9. Veri güvenliği

Verilerinizin güvenliği için sektör standardı teknik ve idari tedbirler uygulanır:

• Tüm ağ trafiği HTTPS/TLS ile şifrelenir.
• Veriler, yönetilen bulut altyapılarında dinlenme hâlinde şifreli olarak saklanır.
• Parolalar bcrypt ile özetlenir; API anahtarları yalnızca sunucu tarafında tutulur ve istemci uygulamasına gömülmez.
• Oturumlar kısa ömürlü güvenlik belirteçleri (JWT) ile yönetilir; erişim, amacı ve yetkisiyle sınırlandırılır.

Bu Politika, verilerinizin "uçtan uca şifreli" olduğu yönünde bir taahhüt içermez; Hizmet'in sunulabilmesi için veriler, sunucu tarafında ve yapay zekâ hizmet sağlayıcısında işlenebilir biçimde bulunur. Hiçbir sistem mutlak güvenlik sağlamaz; makul tedbirleri uygularız ancak koşulsuz güvenlik garantisi verilemez.

Veri ihlali bildirimi. Verilerinizi etkileyen bir güvenlik ihlali tespit etmemiz hâlinde, KVKK ve uygulanabilir mevzuatın gerektirdiği şekilde ilgili denetim makamını ve sizi gecikmeksizin bilgilendiririz.

10. Çerezler ve izleme

Maya bir mobil uygulamadır ve reklam çerezi ya da çapraz-uygulama izleme kullanmaz. Yalnızca oturum ve işlevsellik için gerekli teknik mekanizmalar kullanılır.

11. Çocukların gizliliği

Maya 18 yaşından küçüklere yönelik değildir ve bilerek 18 yaşından küçük kişilere ait kişisel veri toplamayız. Bir çocuğa ait verinin işlendiğini fark etmemiz hâlinde bu veriyi sileriz. Böyle bir durumu §13'teki iletişim kanalından bildirebilirsiniz.

12. İlgili kişinin hakları

KVKK m.11 ve uygulanabildiği ölçüde GDPR uyarınca aşağıdaki haklara sahipsiniz:

• Kişisel verinizin işlenip işlenmediğini öğrenme ve buna ilişkin bilgi talep etme;
• İşlenmişse verilere erişim ve işleme amacını öğrenme;
• Eksik/yanlış işlenmiş verilerin düzeltilmesini isteme;
• Verilerin silinmesini veya yok edilmesini isteme;
• İşlemenin kısıtlanmasını ve işlemeye itiraz etme;
• Verilerinizin taşınabilirliğini talep etme;
• Verdiğiniz açık rızayı geri alma;
• İşlenen verinin münhasıran otomatik sistemlerle analizi sonucu aleyhinize bir sonuç ortaya çıkmasına itiraz etme;
• Verilerin hukuka aykırı işlenmesi nedeniyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Bu hakların önemli bir kısmını Uygulama içinden (verileri dışa aktarma, silme, hesabı silme) doğrudan kullanabilirsiniz. Ek taleplerinizi yukarıdaki iletişim adresine iletebilirsiniz; başvurularınız en geç 30 gün içinde sonuçlandırılır. Ayrıca Kişisel Verileri Koruma Kurulu'na (veya AB'de yetkili denetim makamına) şikâyette bulunma hakkınız saklıdır.

13. Değişiklikler ve iletişim

Bu Politikayı zaman zaman güncelleyebiliriz. Esaslı değişikliklerde Uygulama içinde veya e-posta yoluyla bilgilendirir ve yürürlük tarihini güncelleriz.

Sorularınız ve veri talepleriniz için: Görkem Meriç Gümüş — gorkemmericgumus@icloud.com