Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni
Son güncelleme: 6 Haziran 2026
Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") madde 10 ve ilgili mevzuat kapsamında hazırlanmıştır.
1. Veri Sorumlusu
Veri Sorumlusu Ümit Yanmaz
Ticari Unvan Marki (markiapp.co)
2. İşlenen Kişisel Veri Kategorileri
Marki uygulaması aşağıdaki kategorilerde kişisel veri işlemektedir:
a) Kimlik Verileri
Ad ve soyad (isteğe bağlı)
b) İletişim Verileri
E-posta adresi
c) Hesap ve Kimlik Doğrulama Verileri
Şifreli parola (bcrypt ile hashlenerek saklanır, düz metin kaydedilmez); Apple/Google hesap kimliği (sosyal giriş tercih edilirse)
d) Cihaz ve Bağlantı Verileri
Cihaz parmak izi — uygulamaya özgü anonim UUID (iOS Keychain veya Android Keystore'da saklanır); IP adresi; cihaz bilgisi / User-Agent (işletim sistemi, uygulama sürümü)
e) Kullanım ve İstatistik Verileri
Pratik sayısı, pratik süresi, giriş serisi, script sayısı gibi kullanım istatistikleri; uygulama içi oturum açma/kapatma, şifre değişikliği, hesap işlemleri gibi aktivite kayıtları; kamera modu telemetrisi (teleprompter kullanım istatistikleri — metin veya görsel içerik değil)
f) İçerik Verileri
Kullanıcının uygulamaya girdiği script (replik) metinleri; script başlıkları, karakter adları, liste isimleri
g) Ses Verisi (AI Üretimi)
Kullanıcının script metinlerinden yapay zeka tarafından sentezlenen ses dosyaları (Elif/Kerem sesleri). Bu veriler kullanıcının kendi sesine ait değildir; yapay zeka tarafından üretilmektedir.
h) Push Bildirimi Verisi
Bildirim izni verildiğinde oluşan Expo push token
i) Destek Verileri
Destek talebi oluşturulursa konu, açıklama ve mesaj içeriği
3. Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepleri
Kişisel verileriniz aşağıdaki amaçlarla ve hukuki sebeplere dayanılarak işlenmektedir. KVKK madde 5'teki dayanaklar parantez içinde belirtilmiştir.
- a) Hesap oluşturma, kimlik doğrulama ve oturum yönetimi — Veriler: E-posta, şifre hash, sosyal kimlik, cihaz kimliği, refresh token. Hukuki Sebep: Sözleşmenin kurulması ve ifası için zorunlu olması (m.5/2-c)
- b) E-posta doğrulama ve şifre sıfırlama bildirimleri gönderme — Veriler: E-posta adresi. Hukuki Sebep: Sözleşmenin ifası için zorunlu olması (m.5/2-c)
- c) Uygulama güvenliği — aynı cihazdan kötüye kullanımı önleme — Veriler: Cihaz parmak izi, IP adresi. Hukuki Sebep: Meşru menfaat (m.5/2-f)
- d) Yapay zeka ses sentezi (TTS) hizmeti sunma — Veriler: Script metin içeriği, ElevenLabs'a iletilir. Hukuki Sebep: Sözleşmenin ifası (m.5/2-c). Veriler ABD'de işlenir; bu aktarım için açık rızanız ayrıca alınır (m.9).
- e) Fotoğraf/PDF'ten metin çıkarma (OCR) — Veriler: Yüklenen görsel içeriği, Google Cloud Vision'a iletilir. Hukuki Sebep: Sözleşmenin ifası (m.5/2-c). Veriler ABD'de işlenir; bu aktarım için açık rızanız ayrıca alınır (m.9).
- f) Kullanım istatistikleri ve ilerleme takibi — Veriler: Pratik verileri, aktivite kayıtları, streak bilgisi. Hukuki Sebep: Sözleşmenin ifası (m.5/2-c)
- g) Güvenlik denetim kaydı (audit log) — Veriler: IP adresi, User-Agent, oturum kayıtları. Hukuki Sebep: Meşru menfaat (m.5/2-f)
- h) Push bildirimi gönderme — Veriler: Push token. Hukuki Sebep: Açık rıza (m.5/1); bildirim izni ayrıca alınır
- i) Destek hizmetleri — Veriler: E-posta, destek talebi içeriği. Hukuki Sebep: Sözleşmenin ifası (m.5/2-c)
4. Kişisel Verilerin Aktarıldığı Taraflar
4.1 Yurt İçi Aktarım
Kişisel verileriniz yurt içinde herhangi bir üçüncü kişiye aktarılmamaktadır.
4.2 Yurt Dışı Aktarım
Hizmetlerimizin sunulabilmesi için bazı verileriniz aşağıdaki yurt dışındaki veri işleyenlere aktarılmaktadır. Bu aktarımlar KVKK madde 9 kapsamında yapılmaktadır.
- Neon, Inc. (neon.tech) — ABD — Tüm veritabanı verileri (hosting)
- Railway Corp. (railway.app) — ABD / EU West (Amsterdam) — Tüm API trafiği (backend hosting)
- ElevenLabs, Inc. (elevenlabs.io) — ABD — Script metin içeriği (AI ses sentezi)
- Google LLC (Cloud Vision API) — ABD — Görsel/PDF içeriği (OCR metin çıkarma)
- Resend, Inc. (resend.com) — ABD — E-posta adresi (doğrulama ve şifre sıfırlama iletimi)
- Cloudflare, Inc. (R2 Storage) — Küresel (ABD merkezli) — AI üretimi ses dosyaları (depolama)
- Apple Inc. / Google LLC (Sign In servisleri) — ABD — Sosyal giriş yaptıysanız kimlik doğrulama verisi
Önemli Bilgi — Yurt Dışı Aktarım ve Açık Rıza: Türkiye, Kişisel Verileri Koruma Kurulu'nun yeterlilik kararı verdiği ülkeler listesinde ABD henüz yer almamaktadır. Bu nedenle yukarıdaki ABD merkezli hizmet sağlayıcılara yapılan veri aktarımları için KVKK madde 9 kapsamında açık rızanız ayrıca alınmaktadır. Bu rızayı vermek uygulamayı kullanabilmek için zorunludur; ancak istediğiniz zaman geri alabilirsiniz. Rızanızı geri almanız halinde TTS ses sentezi ve OCR özellikleri kullanılamayacak, hesabınız kapatılabilecektir.
ElevenLabs Özel Notu: ElevenLabs'a iletilen script metin içerikleri, ElevenLabs'ın model eğitim verisi olarak kullanılmamaktadır (Model Training Opt-Out aktif edilmiştir). Verileriniz yalnızca ses sentezi amacıyla işlenmektedir.
5. Kişisel Verilerin Toplanma Yöntemi
- a) Kayıt ve giriş formları: E-posta, ad, şifre
- b) Sosyal giriş (Apple / Google): kimlik doğrulama servisleri aracılığıyla otomatik olarak
- c) Uygulama kullanımı sırasında: Pratik kayıtları, script içerikleri, istatistikler
- d) Cihaz: Cihaz parmak izi, IP adresi, User-Agent bilgisi (her API isteğinde otomatik)
- e) Kullanıcı yüklemesi: Fotoğraf/PDF yüklendiğinde görsel içerik
- f) Destek talebi formları
6. Kişisel Verilerin Saklanma Süreleri
- a) Hesap verileri (e-posta, ad, istatistikler) — Hesabınız aktif olduğu sürece saklanır. Hesap silme talebinin ardından 7 gün yumuşak-silme (soft-delete) durumunda bekletilir; bu süre içinde yeniden giriş yaparak hesabınızı geri alabilirsiniz. 7. günün sonunda tüm verileriniz kalıcı ve geri döndürülemez biçimde silinir.
- b) Aktivite kayıtları (IP, User-Agent, oturum) — Hesap silme ile birlikte kalıcı olarak silinir.
- c) Refresh token — Her yeni girişte önceki jetonlar geçersiz kılınır. Hesap silme ile kalıcı silinir.
- d) Script içerikleri — Kullanıcı tarafından silinene kadar saklanır. Hesap silme ile kalıcı silinir.
- e) TTS ses dosyaları (Cloudflare R2) — Script ile bağlantılıdır; script silindiğinde ses dosyaları da silinir. Kapasite dolduğunda en uzun süre erişilmemiş dosyalar otomatik temizlenir.
- f) ElevenLabs kayıtları — ElevenLabs'ın politikası kapsamında hesap inaktif olduktan 180 gün sonra silinir.
- g) E-posta doğrulama / şifre sıfırlama kodları — Oluşturulmasından 10-15 dakika içinde geçerliliğini yitirir; en geç hesap silindiğinde kalıcı silinir.
- h) Destek talepleri — Oluşturulma tarihinden itibaren 1 yıl saklanır, sonunda otomatik silinir.
7. Çocuk Verilerine İlişkin Politika
Marki, 13 yaş ve üzeri kullanıcılara yönelik bir uygulamadır. 13 yaşın altındaki bireylerin kişisel verilerini bilerek işlemiyoruz. 13 yaşın altında bir kullanıcının hesap oluşturduğunu tespit etmemiz durumunda söz konusu hesap ve veriler derhal silinir.
13 yaşın altında bir çocuğun hesabını tespit eden ebeveyn veya vasiler umit.yanmaz@markiapp.co adresine başvurabilir.
8. Kişisel Verilerin Güvenliği
- Parolalar bcrypt ile hashlenerek saklanır; düz metin hiçbir zaman kaydedilmez.
- JWT ve refresh token yönetiminde tek cihaz politikası uygulanır.
- API iletişimleri HTTPS/TLS şifrelemesi ile korunur.
- Ses dosyaları Cloudflare R2'de özel depolama alanında tutulur; herkese açık URL kullanılmaz, imzalı URL ile erişilir.
- E-posta doğrulama kodları SHA-256 ile hashlenerek saklanır.
9. İlgili Kişinin Hakları (KVKK Madde 11)
KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:
- a) Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- c) İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- d) Yurt içinde veya yurt dışında verilerinizin aktarıldığı üçüncü kişileri bilme,
- e) Eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
- f) KVKK madde 7'deki şartlar çerçevesinde silinmesini veya yok edilmesini isteme,
- g) (e) ve (f) uyarınca yapılan işlemlerin, verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- h) Münhasıran otomatik sistemlerle analiz sonucu aleyhinize bir sonuç çıkmasına itiraz etme,
- i) Kanuna aykırı işleme nedeniyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
10. Haklarınızı Kullanma Yöntemi
Yukarıdaki haklarınızı kullanmak için Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında aşağıdaki yöntemle başvurabilirsiniz:
E-posta ile başvuru: umit.yanmaz@markiapp.co adresine "KVKK Başvurusu" konusuyla e-posta gönderebilirsiniz.
Başvurunuzda şunlar yer almalıdır:
- Ad, soyad
- Kayıtlı e-posta adresi (hesap teyidi için)
- Talep konusu (yukarıdaki haklardan hangisini kullandığınız)
- Varsa ek açıklama veya belgeler
Başvurularınız en geç 30 gün içinde yanıtlanır. Talebin niteliğine göre ek bilgi istenebilir. Başvurunuzu ücretsiz yanıtlarız; ancak talep ayrıca bir maliyet gerektirirse KVKK'da öngörülen ücret tarifesi uygulanabilir. Yanıt almak istediğiniz yöntem (e-posta veya posta) başvurunuzda belirtilmelidir.
11. Bu Metin Hakkında
Bu aydınlatma metni, mevzuattaki değişiklikler ve sunulan hizmetlerdeki gelişmeler doğrultusunda güncellenebilir. Yapılan değişiklikler uygulama içindeki bu sayfada ve markiapp.co/kvkk adresinde yayımlanır. Önemli değişikliklerde kullanıcılara e-posta ile bildirim yapılabilir.
Bu metindeki "Marki" ifadesi, markiapp.co alan adı üzerinden sunulan uygulamayı ve hizmetleri ifade etmekte olup veri sorumlusu gerçek kişi Ümit Yanmaz'dır.
Disclosure Notice on the Processing of Personal Data
Last updated: June 6, 2026
This disclosure notice is prepared in accordance with Article 10 of the Turkish Personal Data Protection Law No. 6698 ("KVKK") and related legislation. In case of any discrepancy between the Turkish and English versions, the Turkish text shall prevail.
1. Data Controller
Data Controller Ümit Yanmaz
Trade Name Marki (markiapp.co)
2. Categories of Personal Data Processed
Marki processes personal data in the following categories:
a) Identity Data
First name and last name (optional)
b) Contact Data
Email address
c) Account and Authentication Data
Hashed password (stored using bcrypt; plain text is never saved); Apple/Google account identifier (if social sign-in is used)
d) Device and Connection Data
Device fingerprint — anonymous UUID specific to the app (stored in iOS Keychain or Android Keystore); IP address; device information / User-Agent (operating system, app version)
e) Usage and Statistics Data
Practice count, practice duration, login streak, script count and similar usage statistics; in-app activity records such as login/logout, password changes, account operations; camera mode telemetry (teleprompter usage statistics — not text or visual content)
f) Content Data
Script (line) texts entered by the user; script titles, character names, list names
g) Voice Data (AI-Generated)
Audio files synthesized by AI from the user's script texts (Elif/Kerem voices). This data does not belong to the user's own voice; it is generated by AI.
h) Push Notification Data
Expo push token generated when notification permission is granted
i) Support Data
If a support ticket is created, the subject, description and message content
3. Purposes and Legal Grounds for Processing
Your personal data is processed for the following purposes and based on the legal grounds indicated. The grounds in KVKK Article 5 are noted in parentheses.
- a) Account creation, authentication and session management — Data: Email, password hash, social identity, device identifier, refresh token. Legal Ground: Necessary for the establishment and performance of a contract (Art. 5/2-c)
- b) Sending email verification and password reset notifications — Data: Email address. Legal Ground: Necessary for the performance of a contract (Art. 5/2-c)
- c) App security — preventing abuse from the same device — Data: Device fingerprint, IP address. Legal Ground: Legitimate interest (Art. 5/2-f)
- d) Providing AI voice synthesis (TTS) service — Data: Script text content, transmitted to ElevenLabs. Legal Ground: Performance of a contract (Art. 5/2-c). Data is processed in the USA; your explicit consent for this transfer is obtained separately (Art. 9).
- e) Extracting text from photos/PDFs (OCR) — Data: Uploaded visual content, transmitted to Google Cloud Vision. Legal Ground: Performance of a contract (Art. 5/2-c). Data is processed in the USA; your explicit consent for this transfer is obtained separately (Art. 9).
- f) Usage statistics and progress tracking — Data: Practice data, activity logs, streak information. Legal Ground: Performance of a contract (Art. 5/2-c)
- g) Security audit log — Data: IP address, User-Agent, login/logout records. Legal Ground: Legitimate interest (Art. 5/2-f)
- h) Sending push notifications — Data: Push token. Legal Ground: Explicit consent (Art. 5/1); notification permission is requested separately
- i) Support services — Data: Email, support ticket content. Legal Ground: Performance of a contract (Art. 5/2-c)
4. Parties to Whom Personal Data Is Transferred
4.1 Domestic Transfer
Your personal data is not transferred to any third party within Turkey.
4.2 International Transfer
In order to provide our services, some of your data is transferred to the following data processors located abroad. These transfers are made under KVKK Article 9.
- Neon, Inc. (neon.tech) — USA — All database data (hosting)
- Railway Corp. (railway.app) — USA / EU West (Amsterdam) — All API traffic (backend hosting)
- ElevenLabs, Inc. (elevenlabs.io) — USA — Script text content (AI voice synthesis)
- Google LLC (Cloud Vision API) — USA — Visual/PDF content (OCR text extraction)
- Resend, Inc. (resend.com) — USA — Email address (verification and password reset delivery)
- Cloudflare, Inc. (R2 Storage) — Global (USA-based) — AI-generated audio files (storage)
- Apple Inc. / Google LLC (Sign In services) — USA — Authentication data if you used social sign-in
Important Notice — International Transfer and Explicit Consent: The USA is not currently included in the list of countries for which the Turkish Personal Data Protection Authority has issued an adequacy decision. Therefore, for data transfers to the USA-based service providers listed above, your explicit consent is obtained separately under KVKK Article 9. Granting this consent is mandatory to use the app; however, you may withdraw it at any time. If you withdraw your consent, TTS voice synthesis and OCR features cannot be used, and your account may be closed.
Special Note on ElevenLabs: Script text content transmitted to ElevenLabs is not used as training data for ElevenLabs' models (Model Training Opt-Out has been activated). Your data is processed solely for voice synthesis.
5. Method of Collecting Personal Data
- a) Registration and login forms: Email, name, password
- b) Social sign-in (Apple / Google): Automatically via authentication services
- c) During app usage: Practice records, script content, statistics
- d) Device: Device fingerprint, IP address, User-Agent (automatically with each API request)
- e) User upload: Visual content when a photo/PDF is uploaded
- f) Support ticket forms
6. Retention Periods for Personal Data
- a) Account data (email, name, statistics) — Retained as long as your account is active. Upon a deletion request, your account enters a 7-day soft-delete period; you can restore it by logging in again. At the end of the 7th day, all your data is permanently and irreversibly deleted.
- b) Activity records (IP, User-Agent, session) — Permanently deleted along with account deletion.
- c) Refresh tokens — Previous tokens are invalidated with each new login. Permanently deleted with account deletion.
- d) Script content — Retained until deleted by the user. Permanently deleted with account deletion.
- e) TTS audio files (Cloudflare R2) — Linked to the script; deleted when the script is deleted. When capacity is full, files unused for the longest time are automatically cleaned.
- f) ElevenLabs records — Deleted 180 days after the account becomes inactive, under ElevenLabs' own policy.
- g) Email verification / password reset codes — Expire 10-15 minutes after generation; permanently deleted no later than account deletion.
- h) Support tickets — Retained for 1 year from creation, then automatically deleted.
7. Policy on Minors' Data
Marki is an application intended for users aged 13 and older. We do not knowingly process the personal data of individuals under 13. If we identify an account created by a user under 13, the account and its associated data will be deleted immediately.
Parents or guardians who identify an account belonging to a child under 13 may contact umit.yanmaz@markiapp.co.
8. Security of Personal Data
- Passwords are hashed using bcrypt; plain text is never stored.
- A single-device policy is applied for JWT and refresh token management.
- API communications are protected with HTTPS/TLS encryption.
- Audio files are stored in a private storage area on Cloudflare R2; public URLs are not used, access is provided via signed URLs.
- Email verification codes are stored hashed with SHA-256.
9. Rights of the Data Subject (KVKK Article 11)
Under Article 11 of KVKK, you have the following rights:
- a) To learn whether your personal data is being processed,
- b) To request information if your personal data has been processed,
- c) To learn the purpose of processing and whether it is used appropriately,
- d) To know the third parties within Turkey or abroad to whom your data has been transferred,
- e) To request correction if processed incompletely or incorrectly,
- f) To request deletion or destruction within the conditions of KVKK Article 7,
- g) To request notification of operations under (e) and (f) to third parties to whom your data was transferred,
- h) To object to any result against you arising from analysis exclusively through automated systems,
- i) To claim compensation for damages due to unlawful processing of your personal data.
10. Method of Exercising Your Rights
To exercise the rights above, you may apply using the following method, within the scope of the Communiqué on the Procedures and Principles of Application to the Data Controller:
Application by Email: You may send an email to umit.yanmaz@markiapp.co with the subject "KVKK Application".
Your application must include:
- First name, last name
- Registered email address (for account verification)
- Subject of the request (which right you are exercising)
- Any additional explanations or documents
Your applications will be answered within 30 days at the latest. Additional information may be requested depending on the nature of the request. We respond free of charge; however, if the request requires additional cost, the fee tariff stipulated in KVKK may apply. The method by which you wish to receive a response (by email or by mail) must be specified.
11. About This Notice
This disclosure notice may be updated in line with changes in legislation and developments in the services provided. Changes are published on this page within the app and at markiapp.co/kvkk. For significant changes, users may be notified by email.
The term "Marki" in this notice refers to the application and services provided through the markiapp.co domain, and the data controller is the natural person Ümit Yanmaz.