KVKK Aydınlatma Metni

Son Güncelleme: 7 Ocak 2026Sürüm: 1.0

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kişisel verilerinizin işlenmesine ilişkin aşağıda yer alan bilgiler tarafınıza sunulmaktadır. Bu aydınlatma metni, veri sorumlusu olarak MEG Digital tarafından hazırlanmıştır.

1. Veri Sorumlusu

MEG Digital

Adres: Afyonkarahisar / Türkiye

E-posta: legal@megdigital.com.tr

Gizlilik E-posta: privacy@megdigital.com.tr

Platform: GymBoost (gymboost.tr / app.gymboost.tr)

2. İşlenen Kişisel Veriler

Veri Toplama Yöntemi: GymBoost, salon üyeleri için bireysel otomatik kayıt sistemi sunmaz. Tüm üye verilerine salon yöneticileri tarafından salon içinde kayıt oluşturulması yoluyla ulaşılır. Platform üyeleri, doğrudan GymBoost'ta kayıt olamaz; yalnızca salon yöneticisi tarafından sisteme eklendikten sonra hesaplarına erişebilirler.

GymBoost platformunu kullanımınız sırasında aşağıdaki kişisel veri kategorileri işlenmektedir:

Kimlik Bilgileri

Ad, soyad, doğum tarihi, T.C. Kimlik No (isteğe bağlı)

İletişim Bilgileri

E-posta adresi, telefon numarası

Finansal Bilgiler

Fatura bilgileri (kart bilgileri GymBoost'ta TUTULMAZ, doğrudan ödeme kuruluşlarına iletilir)

Kullanım Verileri

Check-in zamanları, üyelik tipi, antrenman sıklığı

Teknik Veriler

IP adresi, cihaz bilgileri, tarayıcı türü, çerezler

AI Analiz Verileri

Üye davranış tahminleri, salon kullanım alışkanlıkları

3. Veri İşleme Amaçları

Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:

  • • Hizmetlerimizin sunulması ve üyelik yönetimi
  • • QR kod tabanlı giriş sisteminin güvenliğinin sağlanması
  • • Yapay zeka algoritmaları ile üye bağlılığının artırılması ve churn (terk) riskinin analizi
  • • Ödeme işlemlerinin gerçekleştirilmesi ve finansal takip
  • • KVKK kapsamında yasal yükümlülüklerin yerine getirilmesi
  • • Müşteri destek süreçlerinin yönetilmesi ve iletişim
  • • Platform güvenliğinin sağlanması ve dolandırıcılık tespiti
  • • İstatistiksel analiz ve raporlama

4. Hukuki Sebepler

Kişisel verileriniz, KVKK'nın 5. ve 6. maddelerinde belirtilen aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:

Sözleşmenin Kurulması veya İfası

Üyelik sözleşmesinin kurulması ve hizmet sunumu için gerekli veriler

Hukuki Yükümlülüğün Yerine Getirilmesi

KVKK, VUK ve ilgili mevzuat gereği saklama ve raporlama

Veri Sorumlusunun Meşru Menfaatleri

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, platform güvenliği ve hizmet kalitesi

Açık Rıza

İsteğe bağlı pazarlama bildirimleri ve özel nitelikli veri işleme için alınan rızalar

5. Veri Aktarımı

Yurt İçi Aktarım

  • iyzico: Online ödeme işlemleri (Türkiye, PCI-DSS uyumlu)
  • PayTR: Online ödeme işlemleri (Türkiye, PCI-DSS uyumlu)
  • Resend: E-posta bildirimleri (Avrupa)

Yurt Dışı Aktarım

KVKK'nın “Yeterlilik Kararı” veya “Uygun Güvenceler” (Standart Sözleşme Maddeleri - SCC) mekanizmaları ile güvence altına alınmıştır:

  • Supabase: Veritabanı (ABD/Avrupa, SOC 2 Type II)
  • Vercel: Hosting ve CDN (Global, SOC 2 Type II)
  • Google Cloud: AI & Analitik (ABD/Avrupa, ISO 27001)

Önemli: Ödeme kartı bilgileriniz hiçbir zaman GymBoost sunucularında saklanmaz. Ödeme işlemleri doğrudan PCI-DSS uyumlu iyzico/PayTR altyapısı üzerinden gerçekleştirilir.

6. Veri Saklama Süreleri

Kişisel verileriniz, işleme amacının gerekli kıldığı süre ve ilgili mevzuatta öngörülen süreler boyunca saklanır:

10 yıl
Fatura ve finansal kayıtlar (VUK gereği)
Aktif süre
Üyelik verileri (sözleşme devam ettiği sürece)
2 yıl
Üyelik sonrası log kayıtları (hukuki uyuşmazlık savunması)
6 ay
İnternet trafik log kayıtları (5651 sayılı kanun)

7. Veri Güvenliği Tedbirleri

Kişisel verilerinizin güvenliğini sağlamak amacıyla aşağıdaki teknik ve idari tedbirler uygulanmaktadır:

AES-256-GCM Şifreleme

API anahtarları ve hassas veriler veritabanında şifreli saklanır

TLS 1.3 Protokolü

Tüm veri aktarımları şifreli bağlantılar üzerinden gerçekleşir

Row Level Security (RLS)

Her salon yalnızca kendi verilerine erişebilir (Supabase RLS politikaları)

PCI-DSS Uyumluluk

Ödeme işlemleri sertifikalı kuruluşlar üzerinden yapılır

2FA & Email Lock

Kritik işlemler için iki faktörlü doğrulama ve email onayı

Fraud Detection

Ödeme işlemlerinde 3 seviyeli dolandırıcılık tespiti

8. Veri Sahibi Hakları (KVKK Madde 11)

KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:

1

Kişisel verilerinizin işlenip işlenmediğini öğrenme

2

Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme

3

Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme

4

Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme

5

Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme

6

KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme

7

Düzeltme, silme veya yok edilme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme

8

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme

9

Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

9. Başvuru Yöntemi

Yukarıda belirtilen haklarınızı kullanmak için aşağıdaki yöntemlerle başvurabilirsiniz:

E-posta

privacy@megdigital.com.tr

KVKK başvuruları için öncelikli

Posta

MEG Digital

Afyonkarahisar / Türkiye

Yanıt Süresi: Başvurularınız en geç 30 gün içinde ücretsiz olarak yanıtlanır. Ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınabilir.

10. Politika Değişiklikleri

Bu Aydınlatma Metni, yasal düzenlemelerdeki değişiklikler veya platformumuzda yapılan güncellemeler nedeniyle zaman zaman revize edilebilir. Önemli değişiklikler platformumuzda duyurulacak ve e-posta ile tarafınıza bildirilecektir. Son güncelleme tarihini sayfanın üst kısmında bulabilirsiniz.