🇬🇧 English | 🇫🇷 Français | 🇩🇪 Deutsch | 🇪🇸 Español | 🇹🇷 Türkçe (KVKK)
Gizlilik Bildirimi (GDPR)
hearOS — Tinnitus Farkındalığı ve Kişiselleştirilmiş Ses Rutinleri Avrupa Ekonomik Alanı ve Birleşik Krallık Kullanıcıları İçin
Yürürlük tarihi: 02.06.2025 Son güncelleme: 02.06.2025
1. Giriş
ICI Tech Teknoloji A.Ş. («Şirket», «biz», «bize» veya «bizim») kişisel verilerinizi AB Genel Veri Koruma Tüzüğü (GDPR) (Tüzük (AB) 2016/679) ve uygun olduğunda UK GDPR uyarınca işler. Bu Bildirim AEA ve Birleşik Krallık'taki kullanıcılar için geçerlidir.
| Veri Sorumlusu | ICI Tech Teknoloji A.Ş. |
| Web sitesi | https://hearos.app/ |
| E-posta | app@icitech.com.tr |
| Kuruluş ülkesi | Türkiye Cumhuriyeti |
AB Temsilcisi (GDPR Madde 27): AEA dışında kurulu, AEA sakinlerine hizmet sunan bir şirket olarak GDPR Madde 27 gereği bir AB temsilcisi atama sürecindeyiz. Atama tamamlandığında güncel iletişim bilgileri https://hearos.app/tr/privacy/ adresinde yayımlanacaktır. Bu arada app@icitech.com.tr adresinden bize ulaşın.
Veri Koruma Görevlisi: Şu anda GDPR Madde 37 kapsamında zorunlu DPO atama eşiğini karşılamıyoruz. Tüm veri koruma soruları: app@icitech.com.tr.
Tıbbi Sorumluluk Reddi: hearOS tüketicilere yönelik bir sağlıklı yaşam ve öz yönetim destek aracıdır — tıbbi cihaz, tanı aracı, tele sağlık hizmeti veya profesyonel klinik bakımın yerine geçmez. Bu uygulamadaki hiçbir şey tıbbi tavsiye teşkil etmez. Tıbbi kararlar için nitelikli sağlık uzmanlarına danışın.
2. Özel Nitelikli Veriler — Sağlık Bilgileri
GDPR Madde 9 uyarınca, hearOS tarafından işlenen aşağıdaki veri kategorileri sağlıkla ilgili veri oluşturabilir:
| Veri Kategorisi | Neden Sağlık Verisi Sayılabilir |
|---|---|
| Tinnitus frekans profili | Kronik bir işitsel durumla ilişkilidir |
| İşitme öz değerlendirme sonuçları | İşitme kapasitesi ve olası işitme kaybıyla ilişkilidir |
| Semptom günlüğü girişleri | Tinnitus yoğunluğu, ağrı, basınç, baş dönmesi, hassasiyet, işitme içerir |
Tüm özel nitelikli verileri yalnızca GDPR Madde 9(2)(a) uyarınca açık rızanıza dayanarak işliyoruz. Bu rızayı şu durumlarda verirsiniz:
- İlk frekans eşleştirme oturumunuzu tamamladığınızda
- Semptom günlüğünü etkinleştirdiğinizde
- İşitme öz değerlendirme özelliğini kullandığınızda
Bu rızayı istediğiniz zaman Ayarlar → Gizlilik → Onayları Yönet üzerinden, önceki işlemenin hukuka uygunluğunu etkilemeden geri çekebilirsiniz. Sağlık verileri için rızanın geri çekilmesi, bunlara dayanan özelliklere erişimi kısıtlar.
3. İşlediğimiz Veriler
3.1 Hesap Bilgileri
E-posta adresi, parola (hash'lenmiş), isteğe bağlı görünen ad ve profil fotoğrafı. hearOS'u kullanmak için hesap gereklidir — çevrimdışı veya misafir modu yoktur.
3.2 Tinnitus Profil Verileri *(Özel Nitelik)*
Rehberli eşleştirme oturumlarından tahmini algılanan tinnitus frekansı (Hz), ses profili tercihleri, oturum geçmişi.
3.3 İşitme Öz Değerlendirme Verileri *(Özel Nitelik)*
Uygulama içi işitme öz değerlendirmesinden sonuçlar (kişisel farkındalık aracı, tanısal odyogram değil), öz değerlendirme geçmişi ve eğilimler.
3.4 Semptom Günlüğü Verileri *(Özel Nitelik)*
Günlük kendi bildiriminizle girişler: tinnitus yoğunluğu, ağrı, basınç, baş dönmesi, ses hassasiyeti, işitme. Haftalık eğilim özetleri.
3.5 Ses Terapisi Oturum Verileri
Çalınan ses içeriği, oturum süresi, ses seviyesi tercihleri, favoriler, dinleme alışkanlıkları, Relief Studio geçmişi.
3.6 İlerleme ve Takip Verileri
Günlük rahatlama puanları, seri kayıtları, hedefler, hatırlatıcılar, kilometre taşı başarıları.
3.7 Mikrofon / Ortam Gürültüsü Verileri
Ortam gürültüsü izleme özelliği için gerçek zamanlı ortam ses seviyesi ölçümleri. Ses cihazda gerçek zamanlı işlenir ve asla kaydedilmez, saklanmaz veya iletilmez.
3.8 Abonelik ve Satın Alma Verileri
Abonelik durumu, seviye, satın alma tarihi, işlem kimliği, RevenueCat takma ad müşteri kimliği.
3.9 Cihaz ve Teknik Veriler
Cihaz türü, işletim sistemi sürümü, uygulama sürümü, IP adresi (kısaltılmış), saat dilimi, oturum zaman damgaları, çökme ve hata günlükleri.
3.10 Anlık Bildirim Verileri
Cihaz push token'ı ve bildirim etkileşim olayları (izin verilmişse).
3.11 İletişim Verileri
Destek veya geri bildirim iletişimlerinden e-posta adresi ve mesaj içeriği.
4. İşlemenin Hukuki Dayanakları (GDPR)
| Amaç | GDPR Hukuki Dayanağı |
|---|---|
| Hesap oluşturma ve yönetimi | Md. 6(1)(b) — Sözleşmenin ifası |
| Ses terapisi sunumu ve frekans eşleştirme | Md. 6(1)(b) — Sözleşmenin ifası |
| Tinnitus profil verilerinin işlenmesi | Md. 9(2)(a) — Açık rıza |
| İşitme öz değerlendirme sonuçlarının işlenmesi | Md. 9(2)(a) — Açık rıza |
| Semptom günlüğü girişlerinin işlenmesi | Md. 9(2)(a) — Açık rıza |
| Ortam gürültüsü izleme (mikrofon) | Md. 6(1)(a) — Rıza (cihaz izni) |
| Abonelik yönetimi ve Premium erişim | Md. 6(1)(b) — Sözleşmenin ifası |
| Uygulama kalitesi iyileştirme ve çökme analizi | Md. 6(1)(f) — Meşru menfaatler |
| Güvenlik izleme ve dolandırıcılık önleme | Md. 6(1)(f) — Meşru menfaatler |
| Destek talebi işleme | Md. 6(1)(b) — Sözleşmenin ifası |
| Yasal yükümlülükler | Md. 6(1)(c) — Yasal yükümlülük |
| Yasal uyuşmazlıklar | Md. 6(1)(f) — Meşru menfaatler |
| Pazarlama iletişimleri | Md. 6(1)(a) — Rıza |
Meşru menfaat değerlendirmesi: Md. 6(1)(f)'ye dayandığımızda, menfaatlerimizin haklarınızı geçersiz kılmadığını doğrulayan bir dengeleme testi yaptık. İtiraz edebilirsiniz — bkz. Bölüm 8.
5. Verilerinizi Nasıl Topluyoruz
| Yöntem | Örnekler |
|---|---|
| Doğrudan sizden | Kayıt, frekans eşleştirme, semptom günlüğü, destek mesajları |
| Otomatik | Oturum verileri, çökme raporları, cihaz bilgileri |
| Cihaz sensörleri | Mikrofon (yalnızca gerçek zamanlı ortam gürültüsü, saklanmaz) |
| Üçüncü taraf hizmetler | RevenueCat'ten abonelik durumu; Apple/Google'dan ödeme onayı |
6. Yapmadıklarımız
- Kişisel verilerinizi satmıyoruz.
- Tinnitus profili, işitme veya semptom günlüğü verilerini Meta, TikTok, Google Ads veya herhangi bir reklam ağıyla paylaşmıyoruz.
- Sağlıkla ilgili verilerinizi reklam hedefleme veya davranışsal profilleme için kullanmıyoruz.
- Mikrofon sesini kaydetmiyor, saklamıyor veya iletmiyoruz.
- Reklam tanımlayıcılarını (IDFA / GAID) kullanmıyoruz.
- Sağlık verilerinize dayalı önemli etkileri olan otomatik kararlar almıyoruz.
7. Veri Paylaşımı ve Alıcılar
| Alıcı | Amaç | Aktarım Mekanizması |
|---|---|---|
| Altyapı sağlayıcıları | Barındırma, işletim | SCC |
| RevenueCat | Abonelik yönetimi | SCC |
| Apple / Google | Ödeme işleme | SCC |
| Müşteri destek sağlayıcıları | Talep işleme | SCC |
| Mali ve hukuk danışmanları | Muhasebe, hukuk | SCC |
| Mahkemeler ve düzenleyiciler | Yasal talepler | Uygun olduğunda Md. 49 istisnası |
| Potansiyel satın alıcılar (gizlilik altında) | Due diligence | SCC |
| Pazarlama ortakları | Yalnızca açık önceden rıza ile | SCC |
8. GDPR Kapsamındaki Haklarınız
| Hak | Madde | Anlamı |
|---|---|---|
| Erişim hakkı | Md. 15 | İşlemenin onayını ve verilerinizin bir kopyasını almak |
| Düzeltme hakkı | Md. 16 | Hatalı veya eksik verileri düzeltmek |
| Silme hakkı | Md. 17 | Silme talep etmek («unutulma hakkı») |
| Kısıtlama hakkı | Md. 18 | Belirli durumlarda işlemeyi sınırlamak |
| Veri taşınabilirliği hakkı | Md. 20 | Verilerinizi makine okunabilir formatta almak (rıza veya sözleşmeye dayalı işlemede) |
| İtiraz hakkı | Md. 21 | Meşru menfaatlere dayalı işleme veya doğrudan pazarlamaya itiraz |
| Rızayı geri çekme hakkı | Md. 7(3) | Herhangi bir rızayı cezasız olarak istediğiniz zaman geri çekmek |
| Otomatik kararlara tabi olmama hakkı | Md. 22 | Önemli etkileri olan tam otomatik yöntemlerle profillenmemek |
| Şikâyet hakkı | Md. 77 | Ulusal denetim otoritenize başvurmak |
Haklarınızı nasıl kullanırsınız
app@icitech.com.tr adresine «GDPR Data Subject Request — hearOS» konulu e-posta gönderin. Bir ay içinde yanıt veriyoruz; karmaşık talepler bildirimle iki ay uzatılabilir. Tüm yanıtlar ücretsizdir.
Uygulama içi kontroller
| İşlem | Konum |
|---|---|
| Hesabı sil | Ayarlar → Hesap → Hesabı Sil |
| Sağlık verisi rızasını geri çek | Ayarlar → Gizlilik → Onayları Yönet |
| Verilerinizi dışa aktar | Ayarlar → Gizlilik → Verilerimi Dışa Aktar *(mevcut olduğunda)* |
| Pazarlama rızasını iptal et | Ayarlar → Gizlilik → Pazarlama Tercihleri |
9. Şikâyet Hakkı
Ulusal veri koruma denetim otoritenize şikâyet etme hakkınız vardır:
| Ülke | Otorite | Web sitesi |
|---|---|---|
| 🇫🇷 Fransa | CNIL | https://www.cnil.fr |
| 🇩🇪 Almanya | BfDI + eyalet DPA'ları | https://www.bfdi.bund.de |
| 🇪🇸 İspanya | AEPD | https://www.aepd.es |
| 🇬🇧 Birleşik Krallık | ICO | https://ico.org.uk |
| 🇳🇱 Hollanda | AP | https://autoriteitpersoonsgegevens.nl |
| 🇸🇪 İsveç | IMY | https://www.imy.se |
| Diğer AEA | Ulusal DPA'nız | https://edpb.europa.eu/about-edpb/about-edpb/members_en |
Önce bizimle iletişime geçmenizi öneririz — çoğu endişe hızla çözülebilir.
10. Uluslararası Veri Aktarımları
ICI Tech Teknoloji A.Ş. Türkiye'de kuruludur. Avrupa Komisyonu, bu Bildirimin yürürlük tarihi itibarıyla GDPR Madde 45 uyarınca Türkiye için yeterlilik kararı yayınlamamıştır.
AEA veya Birleşik Krallık'tan tüm aktarımlar için şunlara dayanıyoruz:
- Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (SCC) (Modül 2: Veri Sorumlusundan Veri İşleyiciye)
- Birleşik Krallık'tan aktarımlar için UK International Data Transfer Agreements (IDTA)
- İstisnai durumlarda GDPR Madde 49 istisnaları (ör. sizinle sözleşmenin ifası)
Uygulanabilir aktarım mekanizmasının bir kopyasını app@icitech.com.tr adresinden talep edebilirsiniz.
11. Veri Saklama
| Veri Kategorisi | Saklama Süresi |
|---|---|
| Hesap verileri | Hesap süresi + silinmeden sonra 3 yıl |
| Özel nitelikli sağlık verileri (tinnitus, işitme, semptom günlüğü) | Hesap süresi + silinmeden sonra 1 yıl; rıza geri çekildiğinde 30 gün içinde silinir |
| Abonelik ve işlem kayıtları | 10 yıl (Türk ticaret hukuku) |
| Destek iletişimleri | Son temastan itibaren 3 yıl |
| Çökme ve hata günlükleri | 12 ay |
| Güvenlik ve erişim günlükleri | 12 ay |
| Pazarlama rıza kayıtları | Rızadan veya son etkileşimden itibaren 3 yıl |
| Mikrofon / ortam gürültüsü verileri | Saklanmaz — yalnızca gerçek zamanlı işleme |
12. Güvenlik
- Aktarımda TLS 1.2+ şifreleme; bekleyen verilerde şifreleme
- Özel nitelikli sağlık verileri artırılmış erişim kontrolleriyle saklanır ve yetkili personele sınırlıdır
- Mikrofon sesi asla saklanmaz veya iletilmez
- Sızma testleri ve düzenli güvenlik değerlendirmeleri
- Veri ihlali bildirimi: Yetkili denetim otoritesine 72 saat içinde (GDPR Md. 33) ve yüksek risk olduğunda etkilenen kullanıcılara gecikmeksizin (Md. 34) bildiririz
13. Otomatik Karar Verme ve Profilleme
GDPR Madde 22 uyarınca yasal veya benzer şekilde önemli etkiler üreten otomatik karar verme için kişisel verilerinizi kullanmıyoruz.
Tinnitus frekans profilleri ve semptom eğilim özetleri kendi girdi verilerinizden oluşturulur ve size kişisel içgörüler olarak gösterilir — dış sonuçları olan otomatik kararlar teşkil etmezler.
14. Çocukların Gizliliği
hearOS 18 yaş ve üzeri kullanıcılar içindir. Çocukların kişisel verilerini bilerek işlemiyoruz. GDPR Madde 8 uyarınca, bilgi toplumu hizmetleri bağlamında çocuk verilerinin işlenmesi ebeveyn rızası gerektirir. Bir çocuğun veri gönderdiğine inanıyorsanız, derhal silme için app@icitech.com.tr adresine ulaşın.
15. Çerezler
Web sitemiz (https://hearos.app/) çerez kullanır. İlk ziyarette rıza banner'ı gösterilir.
| Çerez Türü | Hukuki Dayanak | Opt-out |
|---|---|---|
| Kesinlikle gerekli | Md. 6(1)(f) — Meşru menfaat | Mümkün değil |
| Analitik | Md. 6(1)(a) — Rıza | Çerez banner'ı üzerinden |
| Pazarlama | Md. 6(1)(a) — Rıza | Çerez banner'ı üzerinden |
Çerezleri tinnitus durumu, işitme durumu veya herhangi bir sağlık bilgisi çıkarmak için kullanmıyoruz. hearOS uygulaması reklam tanımlayıcıları kullanmaz.
16. Bu Bildirimdeki Değişiklikler
Önemli değişiklikler için en az 14 gün önceden uygulama içi bildirim veya e-posta ile bilgilendiririz. Güncel sürüm her zaman https://hearos.app/tr/privacy/gdpr/ adresindedir.
17. Bize Ulaşın
| E-posta | app@icitech.com.tr |
| Web sitesi | https://hearos.app/ |
| Konu | «GDPR Data Subject Request — hearOS» |
Tüm gizlilik sorularını 5 iş günü içinde onaylıyor ve bir ay içinde çözüyoruz.
*hearOS bir sağlıklı yaşam yoldaşıdır — tıbbi bakım değildir. Bu uygulamadaki hiçbir şey tıbbi tavsiye teşkil etmez veya herhangi bir sonuç garanti etmez.*