Bu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında, Kairo mobil uygulaması ("Kairo", "Uygulama") aracılığıyla işlenen kişisel verilerinize ilişkin olarak siz ilgili kişileri bilgilendirmek amacıyla hazırlanmıştır. Kairo, yapay zeka destekli bir fitness koçluğu uygulamasıdır; uygulama içi koç kişiliği "Kai" olarak adlandırılır. Uygulama yalnızca iOS ve Android platformlarında sunulur (web sürümü yoktur). Kairo, Türkiye KVKK'sının yanı sıra AB Genel Veri Koruma Tüzüğü'ne (GDPR) uyumu da hedefler; Avrupa Ekonomik Alanı'nda (AEA) bulunuyorsanız GDPR kapsamındaki eşdeğer haklarınız (işleme için m.6, sağlık verileri için m.9 hukuki sebepleri ve m.15-22 ilgili kişi hakları) saklıdır.
Veri Sorumlusunun Kimliği
Kişisel verileriniz, veri sorumlusu sıfatıyla bir gerçek kişi (şahıs geliştirici) tarafından işlenmektedir. Veri sorumlusu bir şirket olarak tescilli değildir; Türkiye'de yerleşiktir ve işbu metin Türkiye Cumhuriyeti hukukuna tabidir. Zorunlu tüketici hakları saklıdır.
İşlenen Kişisel Veri Kategorileri
Uygulamayı kullanımınıza bağlı olarak aşağıdaki kişisel veri kategorileri işlenebilir:
a) Kimlik ve İletişim Verileri
Kairo'ya kayıt olmadan (anonim/ertelenmiş oturum ile) başlayabilirsiniz; e-posta/parola ile zorunlu kayıt duvarı yoktur. Apple ile Giriş, Google ile Giriş veya anonim giriş seçeneklerini kullandığınızda kimliğiniz sonradan talep edilebilir. Apple/Google ile giriş sırasında bize sabit bir kullanıcı kimliği (identifier) ile — izin vermeniz halinde — adınız ve e-posta adresiniz iletilebilir. Apple'ın gizli/yönlendirme (relay) e-posta tercihine saygı gösterilir. Ayrıca görüntülenen ad ve uygulama ayarlarınız işlenir.
b) Fitness ve Kullanım Verileri
- Girdiğiniz vücut ölçümleri, hedefler/seçtiğiniz kimlik, antrenman ve seans kayıtları, antrenman programları, seriler (streak) ve hazır olma (readiness) skorları,
- Kai'nin kişiselleştirmesi için tuttuğu yapay zeka "hafıza"/tercih verileri,
- Rıza kayıtları: politika sürümü, sunucu zaman damgası ve ayrı bir sağlık verisi rıza işareti.
c) Sosyal (Herkese Açık Profil) Verileri
Sosyal özellikler için herkese açık profiliniz yalnızca asgari verileri içerir: görüntülenen ad, seviye, seri (streak) ve referans (davet) kodu. Herkese açık profilde hiçbir sağlık verisi bulunmaz. Arkadaşlıklar, meydan okumalar (katılımcı sayıları), referans kodları ve paylaşılabilir "Reveal" kartları bu kapsamdadır. Paylaşım cihazınızın yerel (native) paylaşım menüsü ile yapılır; Kairo sizin adınıza otomatik paylaşım yapmaz.
d) Özel Nitelikli Kişisel Veriler (Sağlık Verileri)
Uygulamaya girdiğiniz sağlık durumları, sağlık notları ve hazır olma (readiness) sinyalleri KVKK m.6 anlamında özel nitelikli sağlık verisidir. Bu hassas alanlar, Firestore'a yazılmadan ÖNCE cihazınızda istemci tarafında AES-GCM ile şifrelenir; şifreleme anahtarı yalnızca cihazınızın güvenli deposunda (iOS Keychain / Android Keystore) tutulur. Bu veriler sunucuda düz metin olarak değil, şifreli metin (ciphertext) olarak saklanır. Anahtar yalnızca cihazda bulunduğundan, temiz bir kurulumda veya başka bir cihazda bu alanlar çözülemez (Uygulama yeniden giriş akışı sunar). Sağlık verilerinizin işlenmesi ayrı ve açık rızanıza tabidir.
e) İşlem Güvenliği Verileri
Firebase App Check, arka ucu kötüye kullanıma karşı korumak için bir cihaz doğrulama (attestation) belirteci işler (Apple App Attest / Android Play Integrity kullanılabilir).
Analitik ve reklam yoktur: Uygulama üçüncü taraf analitik SDK'sı ve reklam SDK'sı içermez (Firebase Analytics yoktur, reklam kimliği yoktur, uygulamalar arası izleyici yoktur). Yalnızca Firebase hizmetlerinin çalışması için gereken temel operasyonel/tanılama işlemleri yapılır.
Kişisel Verilerin İşlenme Amaçları
- Uygulamanın ve hesabın oluşturulması, kimlik doğrulama ve oturum yönetimi,
- Yapay zeka koçu Kai aracılığıyla kişiselleştirilmiş fitness koçluğu, antrenman planlaması ve ilerleme takibinin sağlanması,
- Girdiğiniz sağlık bilgilerine göre koçluğun kişiselleştirilmesi (yalnızca açık rıza ile),
- İsteğe bağlı sosyal özelliklerin (arkadaşlık, meydan okuma, referans, paylaşım kartları) işletilmesi,
- "Kairo Pro" aboneliğinin uygulama içi satın alma yoluyla yönetilmesi,
- Cihaz saat dilimine göre yerel hatırlatma bildirimlerinin planlanması,
- Güvenlik, kötüye kullanımın önlenmesi ve hizmetin bütünlüğünün korunması,
- Yasal yükümlülüklerin yerine getirilmesi ve ilgili kişi taleplerinin karşılanması.
Kişisel Verilerin İşlenmesinin Hukuki Sebebi
Kişisel verileriniz KVKK m.5 kapsamında aşağıdaki hukuki sebeplere dayanılarak işlenir:
- Bir sözleşmenin kurulması veya ifası: hesap, koçluk hizmeti ve abonelik için gerekli verilerin işlenmesi (m.5/2-c),
- Veri sorumlusunun hukuki yükümlülüğü: saklama ve talep karşılama yükümlülükleri (m.5/2-ç),
- Meşru menfaat: güvenlik, kötüye kullanımın önlenmesi ve hizmetin sürekliliği (m.5/2-f),
- Açık rıza: zorunlu olmayan işlemlerde ve özellikle yurt dışı aktarımda (m.5/1).
Özel nitelikli sağlık verileri yalnızca KVKK m.6 uyarınca açık rızanıza dayanılarak işlenir. Bu rızayı vermemeniz halinde sağlığa dayalı kişiselleştirme çalışmaz; Uygulamanın diğer temel işlevlerini kullanmaya devam edebilirsiniz. AEA'da bulunan kullanıcılar bakımından bu hukuki sebepler GDPR m.6 (sağlık verileri için m.9) kapsamındaki eşdeğer dayanaklara karşılık gelir.
Kişisel Verilerin Aktarıldığı Taraflar, Amacı ve Yurt İçi/Yurt Dışı Aktarım
Verileriniz, hizmetin sunulması için gerekli olduğu ölçüde ve ilgili altyapı sağlayıcılarının bulut sunucularına aktarılabilir. Bu sunucular Türkiye dışında (yurt dışında) bulunabilir; bu nedenle yurt dışı aktarım KVKK m.9 uyarınca açık rızanıza tabidir.
- Google (Firebase / Google Cloud): Firebase Authentication, Cloud Firestore, Firebase App Check ve Firebase AI Logic (Google Gemini modelleri). Veriler Firebase tarafından beklemede (at rest) şifrelenir ve aktarımda TLS ile korunur. Kai'ye sorularınız ve bağlam (hedefler/plan gibi) koçluk yanıtı üretmek için Firebase AI Logic üzerinden Google Gemini modellerine gönderilir. Google/Firebase şartlarına göre, Firebase AI Logic müşteri istemleri Google'ın temel modellerini eğitmek için kullanılmaz. Ayrıntı: firebase.google.com/support/privacy. Google Gizlilik Politikası: policies.google.com/privacy.
- Apple ve Google (uygulama mağazaları): "Kairo Pro" aboneliği Apple App Store / Google Play üzerinden uygulama içi satın alma ile satılır ve faturalandırma bu mağazalar tarafından yapılır. Kairo ödeme kartı verilerini toplamaz veya saklamaz. Abonelik yönetimi/iptali/yenilemesi mağaza hesabınız üzerinden yapılır; iptal edilene kadar otomatik yenilenir. Apple Gizlilik Politikası: apple.com/legal/privacy. Fatura ve hesap verilerini Apple ve Google kendi politikaları kapsamında işler.
Kimlik doğrulama sağlayıcıları: Apple ile Giriş ve Google ile Giriş kullanıldığında ilgili sağlayıcıdan kimlik bilgileri alınır. İsteğe bağlı entegrasyonlar: İzin vermeniz halinde Uygulama, koçluğu kişiselleştirmek için Apple Health (HealthKit) / Google Health Connect'ten metrikleri (ör. aktivite, kalp atış hızı / dinlenme nabzı) yalnızca okuma amacıyla okuyabilir; bu izni işletim sistemi izin ekranından verir ve dilediğinizde oradan geri alabilirsiniz.
Cihazdan çıkmayan veriler: Form kontrolü özelliği kamera ile cihaz üzerinde Google ML Kit poz algılama kullanır; kamera kareleri cihazda işlenir ve hiçbir sunucuya yüklenmez. İlerleme fotoğrafları çekerseniz yalnızca cihazınızda yerel olarak saklanır, buluta yüklenmez. Bildirimler yalnızca yereldir (cihazda planlanır); pazarlama amaçlı sunucu bildirimi yoktur.
Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi
Kişisel verileriniz, mobil Uygulama üzerinden tamamen otomatik veya kısmen otomatik yollarla elektronik ortamda toplanır: doğrudan sizin girdiğiniz bilgiler, giriş sağlayıcılarından alınan kimlik bilgileri, izin vermeniz halinde sağlık uygulaması entegrasyonundan okunan metrikler ve hizmetin işletilmesi için gerekli teknik/güvenlik verileri yoluyla. Toplamanın hukuki sebepleri işbu metnin 4. bölümünde belirtilen KVKK m.5 ve m.6 dayanaklarıdır.
İlgili Kişinin KVKK m.11 Kapsamındaki Hakları
KVKK m.11 uyarınca veri sorumlusuna başvurarak aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- KVKK'da öngörülen şartlarla silinmesini veya yok edilmesini isteme,
- Düzeltme, silme ve yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Münhasıran otomatik sistemlerle analiz sonucu aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme.
Bu hakları kolaylaştırmak için Uygulama içinde şu işlevler sunulur: Verilerinizi dışa aktarma (Ayarlar → Verileri dışa aktar) — makine tarafından okunabilir JSON dosyası olarak cihazın paylaşım menüsüyle paylaşılır; ve hesabınızı silme (Ayarlar → "Hesabımı sil", yazarak onay) — bu işlem Firestore users/{uid} belgesini ve alt koleksiyonlarını, publicProfiles/{uid} kaydını, aktivite öğelerinizi, arkadaşlık kayıtlarını ve Firebase Authentication hesabınızı kaldırır. Yeniden kayıt olmanız halinde sıfırdan başlanır. AEA'da bulunan kullanıcılar aynı haklara GDPR m.15-22 kapsamında da sahiptir.
Başvuru Yöntemi
Yukarıdaki haklarınıza ilişkin taleplerinizi, kimliğinizi tevsik edici bilgilerle birlikte veri sorumlusuna info@solires.com e-posta adresi üzerinden iletebilirsiniz. Talepleriniz, niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılır; işlemin ayrıca bir maliyet gerektirmesi halinde Kurul'ca belirlenen tarifedeki ücret alınabilir. Başvurunuzun reddedilmesi, verilen yanıtı yetersiz bulmanız veya süresinde yanıt verilmemesi halinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkınız saklıdır.
Açık Rıza Metni
İşbu Aydınlatma Metni'ni okuyup anladığımı beyan ederim. Buna dayanarak, aşağıdaki hususlara açık rıza veriyorum:
a) Özel nitelikli sağlık verilerimin işlenmesi: KVKK m.6 uyarınca, girdiğim sağlık durumları, sağlık notları ve hazır olma (readiness) sinyallerinin — cihazımda AES-GCM ile istemci tarafında şifrelenerek — fitness koçluğumun kişiselleştirilmesi amacıyla işlenmesine açık rıza veriyorum.
b) Yurt dışına aktarım: KVKK m.9 uyarınca, kişisel verilerimin hizmetin sunulması amacıyla Google (Firebase / Google Cloud) ve Apple'ın yurt dışında bulunabilecek sunucularına aktarılmasına açık rıza veriyorum.
c) Yapay zeka işleme: Kai'ye ilettiğim soruların ve bağlamın koçluk yanıtı üretmek üzere Firebase AI Logic aracılığıyla Google Gemini modellerine gönderilmesine açık rıza veriyorum.
Bu rızalar isteğe bağlıdır ve dilediğim zaman info@solires.com üzerinden veya ilgili uygulama içi ayarlardan geri alınabilir; geri alma, geri alma anına kadar gerçekleştirilen işlemlerin hukuka uygunluğunu etkilemez. Rıza kayıtları politika sürümü ve sunucu zaman damgasıyla saklanır; politika sürümü değiştiğinde yeniden onayınız istenir.
Yaş: Uygulama 16 yaşından küçük çocuklara yönelik değildir; 18 yaşından küçük kullanıcılar yalnızca ebeveyn/veli onayı ile kullanmalıdır. 18 yaş altı kullanıcılar için "Nazik (Gentle-only)" güvenlik modu uygulanır ve onboarding girdileri düzensiz beslenme örüntüsüne işaret ederse vücut kompozisyonu çıktıları gizlenir ve destek kaynakları sunulur.
This Privacy Notice has been prepared under Turkey's Personal Data Protection Law No. 6698 ("KVKK") to inform you, as a data subject, about the personal data processed through the Kairo mobile application ("Kairo", the "App"). Kairo is an AI-powered fitness-coaching app; the in-app coach persona is named "Kai". The App is offered on iOS and Android only (there is no web version). Beyond Turkey's KVKK, Kairo also targets compliance with the EU General Data Protection Regulation (GDPR); if you are in the European Economic Area (EEA), your equivalent rights under the GDPR (legal bases under Art. 6 and, for health data, Art. 9, and data-subject rights under Art. 15-22) are preserved.
Identity of the Data Controller
Your personal data is processed by an individual (a natural-person developer) acting as data controller. The controller is not registered as a company; it is based in Turkey, and this notice is governed by the laws of the Republic of Turkey. Your mandatory consumer rights are preserved.
Categories of Personal Data Processed
Depending on how you use the App, the following categories of personal data may be processed:
a) Identity and Contact Data
You can start using Kairo without creating an account (via anonymous/deferred sign-in); there is no email/password signup wall. When you use Sign in with Apple, Google Sign-In, or anonymous sign-in, your identity may be claimed later. During Apple/Google sign-in we may receive a stable user identifier and — if you allow it — your name and email. Apple's private/relay email preference is honored. We also process your display name and app settings.
b) Fitness and Usage Data
- Body metrics you enter, goals/chosen identity, workout and session logs, training programs, streaks, and readiness scores;
- AI "memory"/preference data Kai keeps for personalization;
- Consent records: policy version, server timestamp, and a separate health-data consent flag.
c) Social (Public Profile) Data
For social features, your public profile contains only minimal data: display name, level, streak, and referral code. No health data ever appears in the public profile. This covers friendships, challenges (participant counts), referral codes, and shareable "Reveal" cards. Sharing uses your device's native share sheet; Kairo never auto-posts on your behalf.
d) Special-Category Personal Data (Health Data)
The health conditions, health notes, and readiness signals you enter are special-category health data within the meaning of KVKK Art. 6. These sensitive fields are encrypted CLIENT-SIDE with AES-GCM on your device BEFORE being written to Firestore; the encryption key is held only in your device's secure storage (iOS Keychain / Android Keystore). This data is stored on the server as ciphertext, not plaintext. Because the key is device-only, these fields cannot be decrypted on a fresh install or another device (the App offers a re-enter flow). Processing your health data is subject to your separate, explicit consent.
e) Transaction-Security Data
Firebase App Check processes a device attestation token to protect the backend against abuse (it may use Apple App Attest / Android Play Integrity).
No analytics or ads: The App contains no third-party analytics SDK and no advertising SDK (no Firebase Analytics, no ad IDs, no cross-app trackers). Only the basic operational/diagnostic processing needed to run Firebase services is performed.
Purposes of Processing
- Creating the App experience and your account, authentication, and session management;
- Providing personalized fitness coaching, workout planning, and progress tracking through the AI coach Kai;
- Personalizing coaching based on health information you enter (only with explicit consent);
- Operating optional social features (friendships, challenges, referrals, share cards);
- Managing the "Kairo Pro" subscription via in-app purchase;
- Scheduling local reminder notifications based on your device timezone;
- Security, abuse prevention, and safeguarding the integrity of the service;
- Fulfilling legal obligations and responding to data-subject requests.
Legal Basis for Processing
Your personal data is processed under KVKK Art. 5 on the following legal bases:
- Performance of a contract: processing data necessary for your account, the coaching service, and the subscription (Art. 5/2-c);
- Legal obligation of the controller: retention and request-handling obligations (Art. 5/2-ç);
- Legitimate interest: security, abuse prevention, and service continuity (Art. 5/2-f);
- Explicit consent: for non-mandatory processing and, in particular, cross-border transfer (Art. 5/1).
Special-category health data is processed solely on the basis of your explicit consent under KVKK Art. 6. If you do not give this consent, health-based personalization will not operate; you may continue to use the App's other core features. For users in the EEA, these grounds correspond to the equivalent bases under GDPR Art. 6 (and Art. 9 for health data).
Recipients of the Data, Purpose, and Domestic/Cross-Border Transfers
Your data may be transferred, to the extent necessary to deliver the service, to the cloud servers of the relevant infrastructure providers. These servers may be located outside Turkey (abroad); accordingly, cross-border transfer is subject to your explicit consent under KVKK Art. 9.
- Google (Firebase / Google Cloud): Firebase Authentication, Cloud Firestore, Firebase App Check, and Firebase AI Logic (Google Gemini models). Data is encrypted at rest by Firebase and protected in transit via TLS. Your questions to Kai and context (such as goals/plan) are sent through Firebase AI Logic to Google Gemini models to generate coaching responses. Per Google/Firebase terms, Firebase AI Logic customer prompts are not used to train Google's foundation models. Details: firebase.google.com/support/privacy. Google Privacy Policy: policies.google.com/privacy.
- Apple and Google (app stores): the "Kairo Pro" subscription is sold as an in-app purchase via the Apple App Store / Google Play, and billing is handled by those stores. Kairo does not collect or store payment-card data. You manage/cancel/renew the subscription through your store account; it auto-renews until cancelled. Apple Privacy Policy: apple.com/legal/privacy. Apple and Google process billing and account data under their own policies.
Authentication providers: when you use Sign in with Apple or Google Sign-In, identity information is received from the relevant provider. Optional integrations: with your permission, the App can read metrics (e.g., activity, heart rate / resting HR) from Apple Health (HealthKit) / Google Health Connect on a read-only basis to personalize coaching; you grant this via the OS permission dialog and can revoke it there at any time.
Data that never leaves your device: the form-check feature uses the camera with on-device Google ML Kit pose detection; camera frames are processed on-device and are not uploaded to any server. If you take progress photos, they are stored locally on your device only and are not uploaded to the cloud. Notifications are local only (scheduled on-device); there is no marketing push server.
Method of Collection and Legal Basis
Your personal data is collected electronically through the mobile App by fully or partially automated means: information you enter directly, identity information received from sign-in providers, metrics read from the health-app integration (if you grant permission), and technical/security data necessary to operate the service. The legal bases for collection are the KVKK Art. 5 and Art. 6 grounds set out in Section 4 above.
Your Rights as a Data Subject under KVKK Art. 11
Under KVKK Art. 11, by applying to the data controller you have the right to:
- Learn whether your personal data is being processed;
- Request information if it has been processed;
- Learn the purpose of processing and whether it is used in line with that purpose;
- Know the third parties to whom the data is transferred domestically or abroad;
- Request correction if it has been processed incompletely or inaccurately;
- Request erasure or destruction under the conditions set out in the KVKK;
- Request that correction, erasure, and destruction be notified to third parties to whom the data was transferred;
- Object to a result adverse to you arising from analysis solely by automated systems;
- Claim compensation if you suffer damage due to unlawful processing.
To make these rights easier to exercise, the App provides the following in-app functions: Export your data (Settings → Export data) — shared as a machine-readable JSON file via the device share sheet; and delete your account (Settings → "Delete my account", typed confirmation) — which removes the Firestore users/{uid} document and subcollections, the publicProfiles/{uid} record, your activity items, friendship documents, and your Firebase Authentication account itself. Signing up again starts fresh. Users in the EEA hold the same rights under GDPR Art. 15-22.
How to Apply
You may submit requests concerning the rights above, together with information verifying your identity, to the data controller by email at info@solires.com. Depending on their nature, your requests will be concluded as soon as possible and within thirty (30) days at the latest, free of charge; where the process incurs an additional cost, the fee in the tariff set by the Board may be charged. If your application is rejected, you find the response insufficient, or no timely response is given, you retain the right to lodge a complaint with the Personal Data Protection Board.
Explicit Consent Statement
I declare that I have read and understood this Privacy Notice. On that basis, I give my explicit consent to the following:
a) Processing of my special-category health data: under KVKK Art. 6, I explicitly consent to the processing of the health conditions, health notes, and readiness signals I enter — encrypted client-side with AES-GCM on my device — for the purpose of personalizing my fitness coaching.
b) Cross-border transfer: under KVKK Art. 9, I explicitly consent to the transfer of my personal data to the servers of Google (Firebase / Google Cloud) and Apple, which may be located abroad, for the purpose of delivering the service.
c) AI processing: I explicitly consent to my questions to Kai and their context being sent through Firebase AI Logic to Google Gemini models to generate coaching responses.
These consents are optional and may be withdrawn at any time via info@solires.com or the relevant in-app settings; withdrawal does not affect the lawfulness of processing carried out before withdrawal. Consent records are kept with the policy version and a server timestamp; when the policy version changes, your renewed consent is requested.
Age: The App is not directed to children under 16; users under 18 should use it only with parental/guardian consent. A "Gentle-only" safety mode applies to users under 18, and if onboarding inputs signal disordered-eating patterns, body-composition outputs are suppressed and support resources are surfaced.
Este Aviso de Privacidad se ha elaborado en virtud de la Ley de Protección de Datos Personales n.º 6698 de Turquía ("KVKK") para informarle, como interesado, sobre los datos personales tratados a través de la aplicación móvil Kairo ("Kairo", la "App"). Kairo es una app de entrenamiento físico con inteligencia artificial; el personaje entrenador dentro de la app se llama "Kai". La App se ofrece únicamente en iOS y Android (no existe versión web). Además de la KVKK de Turquía, Kairo también busca cumplir con el Reglamento General de Protección de Datos de la UE (RGPD); si se encuentra en el Espacio Económico Europeo (EEE), se conservan sus derechos equivalentes conforme al RGPD (bases jurídicas del art. 6 y, para los datos de salud, del art. 9, y derechos del interesado de los art. 15 a 22).
Identidad del Responsable del Tratamiento
Sus datos personales son tratados por una persona física (un desarrollador individual) que actúa como responsable del tratamiento. El responsable no está registrado como empresa; tiene su domicilio en Turquía, y este aviso se rige por las leyes de la República de Turquía. Se conservan sus derechos imperativos como consumidor.
Categorías de Datos Personales Tratados
Según el uso que haga de la App, pueden tratarse las siguientes categorías de datos personales:
a) Datos de Identidad y Contacto
Puede empezar a usar Kairo sin crear una cuenta (mediante inicio de sesión anónimo/diferido); no hay un muro de registro con correo/contraseña. Cuando utiliza Iniciar sesión con Apple, Iniciar sesión con Google o el inicio anónimo, su identidad puede reclamarse más tarde. Durante el inicio de sesión con Apple/Google podemos recibir un identificador de usuario estable y — si usted lo permite — su nombre y correo electrónico. Se respeta la preferencia de correo privado/de retransmisión (relay) de Apple. También tratamos su nombre visible y los ajustes de la App.
b) Datos de Fitness y de Uso
- Métricas corporales que introduce, objetivos/identidad elegida, registros de entrenamientos y sesiones, programas de entrenamiento, rachas (streaks) y puntuaciones de preparación (readiness);
- Datos de "memoria"/preferencias de IA que Kai conserva para la personalización;
- Registros de consentimiento: versión de la política, marca de tiempo del servidor y un indicador de consentimiento de datos de salud independiente.
c) Datos Sociales (Perfil Público)
Para las funciones sociales, su perfil público contiene solo datos mínimos: nombre visible, nivel, racha y código de referido. En el perfil público nunca aparecen datos de salud. Esto abarca amistades, retos (número de participantes), códigos de referido y tarjetas "Reveal" que se pueden compartir. El compartir utiliza el menú nativo de su dispositivo; Kairo nunca publica automáticamente en su nombre.
d) Datos Personales de Categoría Especial (Datos de Salud)
Las condiciones de salud, notas de salud y señales de preparación (readiness) que introduce son datos de salud de categoría especial en el sentido del art. 6 de la KVKK. Estos campos sensibles se cifran EN EL LADO DEL CLIENTE con AES-GCM en su dispositivo ANTES de escribirse en Firestore; la clave de cifrado se guarda únicamente en el almacenamiento seguro de su dispositivo (Keychain de iOS / Keystore de Android). Estos datos se almacenan en el servidor como texto cifrado, no como texto plano. Dado que la clave existe solo en el dispositivo, estos campos no pueden descifrarse en una instalación nueva ni en otro dispositivo (la App ofrece un flujo para reintroducirlos). El tratamiento de sus datos de salud está sujeto a su consentimiento explícito e independiente.
e) Datos de Seguridad de las Transacciones
Firebase App Check trata un token de atestación del dispositivo para proteger el backend frente a abusos (puede usar Apple App Attest / Android Play Integrity).
Sin analítica ni anuncios: La App no contiene ningún SDK de analítica de terceros ni SDK de publicidad (sin Firebase Analytics, sin identificadores de anuncios, sin rastreadores entre apps). Solo se realiza el tratamiento operativo/de diagnóstico básico necesario para ejecutar los servicios de Firebase.
Finalidades del Tratamiento
- Crear la experiencia de la App y su cuenta, autenticación y gestión de sesiones;
- Ofrecer entrenamiento físico personalizado, planificación de entrenamientos y seguimiento del progreso mediante el entrenador de IA Kai;
- Personalizar el entrenamiento según la información de salud que introduce (solo con consentimiento explícito);
- Operar las funciones sociales opcionales (amistades, retos, referidos, tarjetas para compartir);
- Gestionar la suscripción "Kairo Pro" mediante compra dentro de la app;
- Programar notificaciones locales de recordatorio según la zona horaria de su dispositivo;
- Seguridad, prevención de abusos y protección de la integridad del servicio;
- Cumplir obligaciones legales y responder a las solicitudes de los interesados.
Base Jurídica del Tratamiento
Sus datos personales se tratan conforme al art. 5 de la KVKK sobre las siguientes bases jurídicas:
- Ejecución de un contrato: tratamiento de los datos necesarios para su cuenta, el servicio de entrenamiento y la suscripción (art. 5/2-c);
- Obligación legal del responsable: obligaciones de conservación y de atención de solicitudes (art. 5/2-ç);
- Interés legítimo: seguridad, prevención de abusos y continuidad del servicio (art. 5/2-f);
- Consentimiento explícito: para el tratamiento no obligatorio y, en particular, para la transferencia transfronteriza (art. 5/1).
Los datos de salud de categoría especial se tratan únicamente sobre la base de su consentimiento explícito conforme al art. 6 de la KVKK. Si no otorga este consentimiento, la personalización basada en la salud no funcionará; podrá seguir usando las demás funciones esenciales de la App. Para los usuarios del EEE, estos fundamentos se corresponden con las bases equivalentes del art. 6 del RGPD (y del art. 9 para los datos de salud).
Destinatarios de los Datos, Finalidad y Transferencias Nacionales/Transfronterizas
Sus datos pueden transferirse, en la medida necesaria para prestar el servicio, a los servidores en la nube de los proveedores de infraestructura correspondientes. Estos servidores pueden estar ubicados fuera de Turquía (en el extranjero); por ello, la transferencia transfronteriza está sujeta a su consentimiento explícito conforme al art. 9 de la KVKK.
- Google (Firebase / Google Cloud): Firebase Authentication, Cloud Firestore, Firebase App Check y Firebase AI Logic (modelos Gemini de Google). Los datos se cifran en reposo por Firebase y se protegen en tránsito mediante TLS. Sus preguntas a Kai y el contexto (como objetivos/plan) se envían a través de Firebase AI Logic a los modelos Gemini de Google para generar respuestas de entrenamiento. Según los términos de Google/Firebase, las indicaciones (prompts) de los clientes de Firebase AI Logic no se utilizan para entrenar los modelos fundacionales de Google. Detalles: firebase.google.com/support/privacy. Política de Privacidad de Google: policies.google.com/privacy.
- Apple y Google (tiendas de aplicaciones): la suscripción "Kairo Pro" se vende como compra dentro de la app a través de la App Store de Apple / Google Play, y la facturación la gestionan dichas tiendas. Kairo no recopila ni almacena datos de tarjetas de pago. Usted gestiona/cancela/renueva la suscripción a través de su cuenta de la tienda; se renueva automáticamente hasta que la cancele. Política de Privacidad de Apple: apple.com/legal/privacy. Apple y Google tratan los datos de facturación y de cuenta conforme a sus propias políticas.
Proveedores de autenticación: cuando utiliza Iniciar sesión con Apple o con Google, se recibe información de identidad del proveedor correspondiente. Integraciones opcionales: con su permiso, la App puede leer métricas (p. ej., actividad, frecuencia cardíaca / FC en reposo) de Apple Health (HealthKit) / Google Health Connect en modo solo lectura para personalizar el entrenamiento; usted lo concede mediante el cuadro de diálogo de permisos del sistema operativo y puede revocarlo allí en cualquier momento.
Datos que nunca salen de su dispositivo: la función de control de forma utiliza la cámara con detección de posturas de Google ML Kit en el dispositivo; los fotogramas de la cámara se procesan en el dispositivo y no se suben a ningún servidor. Si toma fotos de progreso, se almacenan únicamente de forma local en su dispositivo y no se suben a la nube. Las notificaciones son solo locales (programadas en el dispositivo); no hay servidor de notificaciones de marketing.
Método de Recogida y Base Jurídica
Sus datos personales se recogen de forma electrónica a través de la App móvil por medios total o parcialmente automatizados: información que introduce directamente, datos de identidad recibidos de los proveedores de inicio de sesión, métricas leídas de la integración con la app de salud (si concede el permiso) y datos técnicos/de seguridad necesarios para operar el servicio. Las bases jurídicas de la recogida son los fundamentos del art. 5 y del art. 6 de la KVKK expuestos en la Sección 4 anterior.
Sus Derechos como Interesado según el art. 11 de la KVKK
Conforme al art. 11 de la KVKK, al dirigirse al responsable del tratamiento tiene derecho a:
- Saber si se tratan sus datos personales;
- Solicitar información si han sido tratados;
- Conocer la finalidad del tratamiento y si se usan conforme a esa finalidad;
- Conocer los terceros a quienes se transfieren los datos, en el país o en el extranjero;
- Solicitar la rectificación si se han tratado de forma incompleta o inexacta;
- Solicitar la supresión o destrucción en las condiciones previstas en la KVKK;
- Solicitar que la rectificación, supresión y destrucción se notifiquen a los terceros a quienes se transfirieron los datos;
- Oponerse a un resultado adverso derivado del análisis exclusivamente por sistemas automatizados;
- Reclamar una indemnización si sufre daños por un tratamiento ilícito.
Para facilitar el ejercicio de estos derechos, la App ofrece las siguientes funciones internas: Exportar sus datos (Ajustes → Exportar datos) — se comparte como archivo JSON legible por máquina mediante el menú de compartir del dispositivo; y eliminar su cuenta (Ajustes → "Eliminar mi cuenta", con confirmación escrita) — que elimina el documento Firestore users/{uid} y sus subcolecciones, el registro publicProfiles/{uid}, sus elementos de actividad, los documentos de amistad y su propia cuenta de Firebase Authentication. Si se registra de nuevo, empieza desde cero. Los usuarios del EEE disponen de los mismos derechos conforme a los art. 15 a 22 del RGPD.
Cómo Presentar una Solicitud
Puede presentar solicitudes relativas a los derechos anteriores, junto con información que verifique su identidad, al responsable del tratamiento por correo electrónico en info@solires.com. Según su naturaleza, sus solicitudes se resolverán lo antes posible y, a más tardar, en treinta (30) días, de forma gratuita; cuando el proceso conlleve un coste adicional, podrá cobrarse la tarifa fijada por el Consejo. Si su solicitud es rechazada, considera insuficiente la respuesta o no se responde a tiempo, conserva el derecho a presentar una reclamación ante el Consejo de Protección de Datos Personales.
Declaración de Consentimiento Explícito
Declaro que he leído y comprendido este Aviso de Privacidad. Sobre esa base, otorgo mi consentimiento explícito a lo siguiente:
a) Tratamiento de mis datos de salud de categoría especial: conforme al art. 6 de la KVKK, consiento explícitamente el tratamiento de las condiciones de salud, notas de salud y señales de preparación (readiness) que introduzca — cifradas en el lado del cliente con AES-GCM en mi dispositivo — con el fin de personalizar mi entrenamiento físico.
b) Transferencia transfronteriza: conforme al art. 9 de la KVKK, consiento explícitamente la transferencia de mis datos personales a los servidores de Google (Firebase / Google Cloud) y Apple, que pueden estar ubicados en el extranjero, con el fin de prestar el servicio.
c) Tratamiento con IA: consiento explícitamente que mis preguntas a Kai y su contexto se envíen a través de Firebase AI Logic a los modelos Gemini de Google para generar respuestas de entrenamiento.
Estos consentimientos son opcionales y pueden retirarse en cualquier momento a través de info@solires.com o de los ajustes correspondientes dentro de la app; la retirada no afecta a la licitud del tratamiento realizado antes de la retirada. Los registros de consentimiento se conservan con la versión de la política y una marca de tiempo del servidor; cuando cambia la versión de la política, se solicita su consentimiento renovado.
Edad: La App no está dirigida a menores de 16 años; los usuarios menores de 18 años deben usarla solo con el consentimiento de sus padres o tutores. A los usuarios menores de 18 años se les aplica un modo de seguridad "Gentle-only", y si las respuestas de la incorporación indican patrones de trastornos alimentarios, se suprimen los resultados de composición corporal y se muestran recursos de apoyo.
Cette Notice d'Information a été rédigée en application de la Loi turque n° 6698 sur la protection des données personnelles (« KVKK ») afin de vous informer, en tant que personne concernée, des données personnelles traitées via l'application mobile Kairo (« Kairo », l'« Application »). Kairo est une application de coaching sportif alimentée par l'intelligence artificielle ; le personnage coach intégré à l'application se nomme « Kai ». L'Application est proposée uniquement sur iOS et Android (il n'existe pas de version web). Outre la KVKK turque, Kairo vise également la conformité au Règlement général sur la protection des données de l'UE (RGPD) ; si vous vous trouvez dans l'Espace économique européen (EEE), vos droits équivalents au titre du RGPD (bases juridiques de l'art. 6 et, pour les données de santé, de l'art. 9, ainsi que les droits de la personne concernée des art. 15 à 22) sont préservés.
Identité du Responsable du Traitement
Vos données personnelles sont traitées par une personne physique (un développeur individuel) agissant en qualité de responsable du traitement. Le responsable n'est pas immatriculé en tant que société ; il est établi en Turquie, et la présente notice est régie par le droit de la République de Turquie. Vos droits impératifs de consommateur sont préservés.
Catégories de Données Personnelles Traitées
Selon votre utilisation de l'Application, les catégories de données personnelles suivantes peuvent être traitées :
a) Données d'Identité et de Contact
Vous pouvez commencer à utiliser Kairo sans créer de compte (via une connexion anonyme/différée) ; il n'y a pas de mur d'inscription par e-mail/mot de passe. Lorsque vous utilisez Se connecter avec Apple, la connexion Google ou la connexion anonyme, votre identité peut être revendiquée ultérieurement. Lors de la connexion Apple/Google, nous pouvons recevoir un identifiant utilisateur stable et — si vous l'autorisez — votre nom et votre adresse e-mail. La préférence d'e-mail privé/relais d'Apple est respectée. Nous traitons également votre nom affiché et les paramètres de l'Application.
b) Données de Fitness et d'Usage
- Les mesures corporelles que vous saisissez, les objectifs/l'identité choisie, les journaux d'entraînements et de séances, les programmes d'entraînement, les séries (streaks) et les scores de préparation (readiness) ;
- Les données de « mémoire »/préférences d'IA que Kai conserve pour la personnalisation ;
- Les enregistrements de consentement : version de la politique, horodatage serveur et un indicateur de consentement distinct pour les données de santé.
c) Données Sociales (Profil Public)
Pour les fonctionnalités sociales, votre profil public ne contient que des données minimales : nom affiché, niveau, série (streak) et code de parrainage. Aucune donnée de santé ne figure jamais dans le profil public. Cela couvre les amitiés, les défis (nombre de participants), les codes de parrainage et les cartes « Reveal » partageables. Le partage utilise le menu de partage natif de votre appareil ; Kairo ne publie jamais automatiquement en votre nom.
d) Données Personnelles de Catégorie Particulière (Données de Santé)
Les conditions de santé, notes de santé et signaux de préparation (readiness) que vous saisissez sont des données de santé de catégorie particulière au sens de l'art. 6 de la KVKK. Ces champs sensibles sont chiffrés CÔTÉ CLIENT avec AES-GCM sur votre appareil AVANT d'être écrits dans Firestore ; la clé de chiffrement est conservée uniquement dans le stockage sécurisé de votre appareil (Trousseau iOS / Keystore Android). Ces données sont stockées sur le serveur sous forme de texte chiffré, et non de texte en clair. La clé étant présente uniquement sur l'appareil, ces champs ne peuvent pas être déchiffrés lors d'une nouvelle installation ou sur un autre appareil (l'Application propose un flux de ressaisie). Le traitement de vos données de santé est soumis à votre consentement explicite et distinct.
e) Données de Sécurité des Transactions
Firebase App Check traite un jeton d'attestation de l'appareil afin de protéger le backend contre les abus (il peut utiliser Apple App Attest / Android Play Integrity).
Aucune analytique ni publicité : L'Application ne contient aucun SDK d'analytique tiers ni SDK publicitaire (pas de Firebase Analytics, pas d'identifiant publicitaire, pas de traceurs inter-applications). Seul le traitement opérationnel/de diagnostic de base nécessaire au fonctionnement des services Firebase est effectué.
Finalités du Traitement
- Créer l'expérience de l'Application et votre compte, l'authentification et la gestion des sessions ;
- Fournir un coaching sportif personnalisé, la planification des entraînements et le suivi des progrès via le coach IA Kai ;
- Personnaliser le coaching selon les informations de santé que vous saisissez (uniquement avec consentement explicite) ;
- Exploiter les fonctionnalités sociales optionnelles (amitiés, défis, parrainages, cartes de partage) ;
- Gérer l'abonnement « Kairo Pro » via un achat intégré ;
- Programmer des notifications locales de rappel selon le fuseau horaire de votre appareil ;
- Assurer la sécurité, la prévention des abus et la préservation de l'intégrité du service ;
- Remplir les obligations légales et répondre aux demandes des personnes concernées.
Base Juridique du Traitement
Vos données personnelles sont traitées en vertu de l'art. 5 de la KVKK sur les bases juridiques suivantes :
- Exécution d'un contrat : traitement des données nécessaires à votre compte, au service de coaching et à l'abonnement (art. 5/2-c) ;
- Obligation légale du responsable : obligations de conservation et de traitement des demandes (art. 5/2-ç) ;
- Intérêt légitime : sécurité, prévention des abus et continuité du service (art. 5/2-f) ;
- Consentement explicite : pour les traitements non obligatoires et, en particulier, le transfert transfrontalier (art. 5/1).
Les données de santé de catégorie particulière ne sont traitées que sur la base de votre consentement explicite en vertu de l'art. 6 de la KVKK. Si vous ne donnez pas ce consentement, la personnalisation fondée sur la santé ne fonctionnera pas ; vous pouvez continuer à utiliser les autres fonctionnalités essentielles de l'Application. Pour les utilisateurs situés dans l'EEE, ces fondements correspondent aux bases équivalentes de l'art. 6 du RGPD (et de l'art. 9 pour les données de santé).
Destinataires des Données, Finalité et Transferts Nationaux/Transfrontaliers
Vos données peuvent être transférées, dans la mesure nécessaire à la fourniture du service, vers les serveurs cloud des prestataires d'infrastructure concernés. Ces serveurs peuvent être situés hors de Turquie (à l'étranger) ; par conséquent, le transfert transfrontalier est soumis à votre consentement explicite en vertu de l'art. 9 de la KVKK.
- Google (Firebase / Google Cloud) : Firebase Authentication, Cloud Firestore, Firebase App Check et Firebase AI Logic (modèles Gemini de Google). Les données sont chiffrées au repos par Firebase et protégées en transit via TLS. Vos questions à Kai et le contexte (tels que les objectifs/le plan) sont envoyés via Firebase AI Logic aux modèles Gemini de Google pour générer des réponses de coaching. Conformément aux conditions de Google/Firebase, les invites (prompts) des clients de Firebase AI Logic ne sont pas utilisées pour entraîner les modèles fondamentaux de Google. Détails : firebase.google.com/support/privacy. Politique de confidentialité de Google : policies.google.com/privacy.
- Apple et Google (magasins d'applications) : l'abonnement « Kairo Pro » est vendu sous forme d'achat intégré via l'App Store d'Apple / Google Play, et la facturation est assurée par ces magasins. Kairo ne collecte ni ne stocke de données de carte de paiement. Vous gérez/résiliez/renouvelez l'abonnement via votre compte du magasin ; il se renouvelle automatiquement jusqu'à résiliation. Politique de confidentialité d'Apple : apple.com/legal/privacy. Apple et Google traitent les données de facturation et de compte selon leurs propres politiques.
Fournisseurs d'authentification : lorsque vous utilisez Se connecter avec Apple ou la connexion Google, des informations d'identité sont reçues du fournisseur concerné. Intégrations optionnelles : avec votre autorisation, l'Application peut lire des mesures (p. ex. activité, fréquence cardiaque / FC au repos) depuis Apple Health (HealthKit) / Google Health Connect en lecture seule afin de personnaliser le coaching ; vous l'accordez via la boîte de dialogue d'autorisation du système d'exploitation et pouvez la révoquer à tout moment à cet endroit.
Données qui ne quittent jamais votre appareil : la fonction de vérification de la posture utilise la caméra avec la détection de posture Google ML Kit sur l'appareil ; les images de la caméra sont traitées sur l'appareil et ne sont téléversées vers aucun serveur. Si vous prenez des photos de progression, elles sont stockées uniquement localement sur votre appareil et ne sont pas téléversées vers le cloud. Les notifications sont uniquement locales (programmées sur l'appareil) ; il n'existe aucun serveur de notifications marketing.
Méthode de Collecte et Base Juridique
Vos données personnelles sont collectées par voie électronique via l'Application mobile, par des moyens entièrement ou partiellement automatisés : informations que vous saisissez directement, données d'identité reçues des fournisseurs de connexion, mesures lues depuis l'intégration avec l'application de santé (si vous accordez l'autorisation) et données techniques/de sécurité nécessaires au fonctionnement du service. Les bases juridiques de la collecte sont les fondements des art. 5 et 6 de la KVKK exposés à la Section 4 ci-dessus.
Vos Droits en tant que Personne Concernée en vertu de l'art. 11 de la KVKK
Conformément à l'art. 11 de la KVKK, en vous adressant au responsable du traitement, vous avez le droit de :
- Savoir si vos données personnelles font l'objet d'un traitement ;
- Demander des informations si elles ont été traitées ;
- Connaître la finalité du traitement et si elles sont utilisées conformément à cette finalité ;
- Connaître les tiers auxquels les données sont transférées, en Turquie ou à l'étranger ;
- Demander la rectification si elles ont été traitées de manière incomplète ou inexacte ;
- Demander l'effacement ou la destruction dans les conditions prévues par la KVKK ;
- Demander que la rectification, l'effacement et la destruction soient notifiés aux tiers auxquels les données ont été transférées ;
- Vous opposer à un résultat défavorable résultant d'une analyse effectuée exclusivement par des systèmes automatisés ;
- Demander réparation si vous subissez un préjudice du fait d'un traitement illicite.
Pour faciliter l'exercice de ces droits, l'Application propose les fonctions internes suivantes : Exporter vos données (Paramètres → Exporter les données) — partagées sous forme de fichier JSON lisible par machine via le menu de partage de l'appareil ; et supprimer votre compte (Paramètres → « Supprimer mon compte », avec confirmation saisie) — qui supprime le document Firestore users/{uid} et ses sous-collections, l'enregistrement publicProfiles/{uid}, vos éléments d'activité, les documents d'amitié et votre propre compte Firebase Authentication. Une nouvelle inscription repart de zéro. Les utilisateurs situés dans l'EEE disposent des mêmes droits au titre des art. 15 à 22 du RGPD.
Modalités de Demande
Vous pouvez soumettre vos demandes concernant les droits ci-dessus, accompagnées d'informations vérifiant votre identité, au responsable du traitement par e-mail à info@solires.com. Selon leur nature, vos demandes seront traitées dans les meilleurs délais et au plus tard dans un délai de trente (30) jours, gratuitement ; lorsque le traitement entraîne un coût supplémentaire, les frais fixés par le Conseil peuvent être facturés. Si votre demande est rejetée, si vous jugez la réponse insuffisante ou si aucune réponse n'est fournie dans les délais, vous conservez le droit de déposer une plainte auprès du Conseil de protection des données personnelles.
Déclaration de Consentement Explicite
Je déclare avoir lu et compris la présente Notice d'Information. Sur cette base, je donne mon consentement explicite à ce qui suit :
a) Traitement de mes données de santé de catégorie particulière : en vertu de l'art. 6 de la KVKK, je consens explicitement au traitement des conditions de santé, notes de santé et signaux de préparation (readiness) que je saisis — chiffrés côté client avec AES-GCM sur mon appareil — aux fins de personnaliser mon coaching sportif.
b) Transfert transfrontalier : en vertu de l'art. 9 de la KVKK, je consens explicitement au transfert de mes données personnelles vers les serveurs de Google (Firebase / Google Cloud) et d'Apple, qui peuvent être situés à l'étranger, aux fins de la fourniture du service.
c) Traitement par IA : je consens explicitement à ce que mes questions à Kai et leur contexte soient envoyés via Firebase AI Logic aux modèles Gemini de Google pour générer des réponses de coaching.
Ces consentements sont facultatifs et peuvent être retirés à tout moment via info@solires.com ou les paramètres correspondants dans l'application ; le retrait n'affecte pas la licéité du traitement effectué avant le retrait. Les enregistrements de consentement sont conservés avec la version de la politique et un horodatage serveur ; lorsque la version de la politique change, votre consentement renouvelé est demandé.
Âge : L'Application n'est pas destinée aux enfants de moins de 16 ans ; les utilisateurs de moins de 18 ans ne doivent l'utiliser qu'avec le consentement de leurs parents/tuteurs. Un mode de sécurité « Gentle-only » s'applique aux utilisateurs de moins de 18 ans, et si les réponses fournies lors de l'intégration signalent des schémas de troubles alimentaires, les résultats de composition corporelle sont supprimés et des ressources de soutien sont proposées.