Bir adet takip uygulamasını telefondan silmek, çoğu kullanıcının zihninde verinin de yok olduğu hissini bırakır. Oysa simgenin ana ekrandan kaybolması ile sunucudaki kaydın silinmesi arasındaki mesafe; bazen birkaç gün, bazen yıllar, bazen de hiçbir zaman kapanmayan bir mesafedir. Flo’nun 380 milyon kullanıcılı veri tabanı, Clue’nun Berlin merkezli GDPR sunucusu, Türkiye’nin yerli oyuncusu Pepapp ve yeni nesil on-device uygulamalar Stardust ile 28x, bu yolculuğun farklı duraklarını temsil ediyor. Bu yazı; “sil” düğmesine basıldığı anda sunucu tarafında ne olduğunu, hangi kaydın cihazda kaldığını, hangi metriklerin veri brokerlerine sızdığını ve post-Roe konteksti ile KVKK çerçevesinin bu zinciri nasıl şekillendirdiğini izliyor.
Adet takip uygulamaları, sağlık verisi kategorisinin en hassas alt segmentlerinden birini barındırıyor: döngü tarihleri, semptomlar, cinsel aktivite kayıtları, hamilelik denemeleri, düşük bildirimleri, ruh hali dalgalanmaları. Bu veri yalnızca tıbbi değil; sigortacılık, kredi skorlama, hedefli reklam, hatta yargı süreçleri için kullanılabilecek bir profil oluşturuyor. Sunucudaki bir tek satırlık kayıt, başka bir sistemde “şu kullanıcı luteal faza yaklaşıyor, şu tarihlerde alışveriş eğilimi yüksek olacak” tahmininin tetikleyicisi olabiliyor. Femtech ekosisteminin son beş yılda yaşadığı patlama, bu hassasiyetin paralelinde regülasyon ve şeffaflık taleplerini de büyüttü; fakat uygulamaların mimari kararları hâlâ kullanıcıya tam olarak görünür değil.
Uygulama Silindiğinde Veri Nereye Gider?
Bir adet takip uygulamasının silinmesi, teknik olarak üç farklı olayı tek bir kullanıcı eylemine sıkıştırıyor. İlki, telefonun yerel deposunda tutulan SQLite veya benzeri veri tabanının işletim sistemi tarafından kaldırılması. İkincisi, varsa iCloud veya Google Drive üzerinde tutulan şifreli yedeklerin durumu. Üçüncüsü ve en kritik olanı; uygulamanın bulut sunucusunda kayıtlı kullanıcı hesabının ne olduğu. Çoğu kullanıcı yalnızca ilk adımın gerçekleştiği varsayımı ile telefonu yere bırakıyor, oysa sunucu tarafındaki kayıt çoğu zaman dokunulmamış halde duruyor.
Sunucu tarafında verinin kaderini belirleyen kritik ayrım, hesabın “deaktive” mi yoksa “tam silme” mi prosedürüne tabi tutulduğudur. Deaktive süreci; kullanıcı adının görünmez hale getirilmesi, fakat verinin anonimleştirilmiş yedek tablolarda saklanmaya devam etmesi anlamına geliyor. Tam silme talebi ise GDPR’nin “unutulma hakkı” ve KVKK’nın “veri silme” hükümlerinin işletildiği bir prosedürü tetikliyor. Aradaki fark, kâğıt üzerinde küçük görünse de pratikte aylar süren saklama farklarına dönüşebiliyor.
Tipik bir adet takip uygulamasının arka uç mimarisinde, kullanıcı tarafından girilen her döngü kaydı önce bir uygulama sunucusuna iletiliyor, oradan analitik veri ambarına kopyalanıyor, ardından makine öğrenmesi modellerinin eğitim setine düşüyor. Hesap silindiğinde primer veri tabanından kayıt kaldırılsa bile, analitik kopyalar ve eğitim setlerine sirayet etmiş satırların geriye dönük temizlenmesi teknik olarak çoğu durumda yapılmıyor. Bu, sektörün en az konuşulan açıklarından biri.
Üçüncü taraf SDK’lar ise hikâyenin başka bir boyutu. Uygulama içine gömülmüş analitik, performans izleme, reklam atıf ve crash report kütüphaneleri, kullanıcı silme talebini paylaşılan sunuculara iletmek zorunda değil. Mixpanel, Amplitude, Adjust, AppsFlyer, Firebase gibi kütüphanelere akan davranışsal veri; uygulama kapandıktan sonra bile o sağlayıcıların veri tabanlarında kalmaya devam edebiliyor. Bu noktada kullanıcı, sildiği uygulamanın tek başına değil; arkasında zincirlenmiş bir SDK ekosisteminin de muhatabı olduğunu çoğu zaman fark etmiyor.
Flo’nun Anonymous Mode Yeni Sürümü
Flo, 380 milyon civarında indirilme sayısıyla kategorinin en büyük oyuncusu konumunda. Şirket, 2022 sonrası Roe v. Wade kararının iptal edilmesinin ardından artan kullanıcı baskısı ile birlikte Anonymous Mode özelliğini öne çıkardı. Bu modda kullanıcı; ad, soyad veya e-posta gibi tanımlayıcı bilgi olmadan uygulamaya giriş yapabiliyor, döngü verisi sunucuya bağlanan bir hesap kimliğine değil, anonim bir oturum belirtecine kaydediliyor. Şirketin iletişim materyallerinde bu mod, “kullanıcının hukuki süreçte mahkemece talep edilebilecek bir kimlik bağı bırakmadan” çalışmasını sağlayan bir katman olarak konumlandırılıyor.
Anonymous Mode’un teknik mimarisine yakından bakıldığında, anonimliğin uçtan uca bir özellik olmadığı görülüyor. Kullanıcı kayıt sırasında kimlik bilgisi vermese de, telefonun cihaz parmak izi, IP adresi, oturum aralıkları ve yazılım sürümü gibi metadata akmaya devam ediyor. Şirket, son sürümde bu metadata’nın ne kadarının saklandığını ayrıştıran bir teknik beyaz kitap yayımladı ve bağımsız bir denetim kuruluşunun raporlarını kamuya açtı. Bu, kategorinin üst sıralarındaki uygulamalar için emsal niteliğinde bir adım.
Türkiye perspektifinden bakıldığında Flo’nun Anonymous Mode’u, KVKK’nın “açık rıza alınmadan işlenemeyecek özel nitelikli veri” kapsamında sağlık verisi ile çelişmemek için çabalıyor. Fakat KVKK’nın yurt dışı veri aktarımı düzenlemeleri, Flo’nun sunucularının ABD ve İrlanda’da konumlanmış olması, kullanıcı hesabı silinse bile yasal saklama yükümlülükleri gerekçesiyle verinin belirli süreler tutulması gibi noktalar; Türkiye’den yapılan kullanım için ayrı bir hukuki katman oluşturuyor. Şirketin son güncellediği gizlilik politikasında “veri kontrolörü” rolünün kullanıcı coğrafyasına göre nasıl değiştiği detaylı biçimde anlatılıyor.
Yine de Anonymous Mode’un kritik bir sınırı var: özellik yalnızca kullanıcının aktif olarak seçmesi durumunda devreye giriyor. Varsayılan kayıt akışı hâlâ e-posta tabanlı olduğu için, kullanıcıların büyük çoğunluğu bu modun varlığından haberdar bile değil. Uygulama içi onboarding ekranlarında modun ne kadar görünür yapıldığı, sektörün önümüzdeki dönem tartışacağı tasarım kararlarından biri olacak.
Clue’nun GDPR Onaylı Avrupa Sunucusu
Berlin merkezli Clue, kategoriye GDPR çerçevesinin tam kalbinden yaklaşan bir uygulama olarak konumlandı. Kurucu Ida Tin’in 2013’te ortaya attığı “femtech” terimi bile bu şirket üzerinden literatüre geçti. Clue’nun veri mimarisini diğerlerinden ayıran temel özellik; sunucuların yalnızca Avrupa Birliği topraklarında konumlanmış olması ve şirketin Alman BfDI denetimine açık şekilde faaliyet göstermesi. Bu, ABD merkezli oyuncuların aksine, kullanıcı verisinin başka bir yargı yetkisi altında talep edilmesini hukuki olarak zorlaştırıyor.
Clue’nun gizlilik politikası, sağlık verisinin “özel kategori” olarak GDPR Madde 9 kapsamına girdiğini açıkça belirtiyor ve veri işleme için ayrı bir açık rıza katmanı uyguluyor. Kullanıcı hesabını sildiğinde, uygulamanın iddiası; primer veritabanından kayıtların silinmesinin ardından, anonimleştirilmiş veri setlerinde de geriye dönük temizlik yapıldığı yönünde. Bu iddianın doğruluğunu, şirketin yayımladığı periyodik şeffaflık raporları ve bilim kuruluşları ile yaptığı araştırma ortaklıkları üzerinden bağımsız akademisyenler doğruluyor.
Clue’nun bir diğer farkı, bilimsel araştırma için kullanıcı verisini paylaşma sürecinin tamamen opt-in olması. Stanford, Oxford, Berlin Charité Hastanesi gibi akademik kurumlarla yapılan araştırma protokolleri kamuya açık biçimde paylaşılıyor; kullanıcı bu araştırmalara katılmak isteyip istemediğini ayrı bir ekran üzerinden onaylıyor. Kategorinin diğer oyuncularında “araştırma rızası” çoğunlukla genel kullanıcı sözleşmesine gömülmüşken, Clue bu kararı görünür bir tercih haline getiriyor.
Şirketin iş modeli, premium abonelik üzerinden çalışıyor ve reklam gelirine dayanmıyor. Bu, üçüncü taraf SDK sayısını minimumda tutmasını mümkün kılan kritik bir tasarım kararı. Crash report dışında neredeyse hiçbir analitik kütüphanesinin uygulamaya gömülü olmaması, kullanıcı verisinin “uygulamadan çıkış noktası” sayısını ciddi şekilde azaltıyor. Femtech sektörünün geri kalanı için bu, kopyalanması zor ama referans alınan bir yaklaşım haline geldi.
Türkiye’den Pepapp: Yerel Veri Politikası
Pepapp, Türkiye merkezli ve 5 milyonu aşan kullanıcı tabanı ile kategorinin yerel lideri konumunda. Uygulamanın veri mimarisini ilginç kılan, KVKK ile doğrudan muhatap olarak büyümüş olması. Şirketin Türkiye’de mukim veri sorumlusu sıfatı taşıması, kullanıcı silme taleplerinin GDPR yerine doğrudan KVKK çerçevesinde değerlendirilmesi anlamına geliyor. Bu, bürokratik açıdan kullanıcıya daha hızlı erişim imkânı sunan bir yapı.
Pepapp’in sunucu altyapısı, son dönemde yerelleştirme adımları ile birlikte Türkiye sınırları içindeki veri merkezlerine taşındı. Bu karar; KVKK Kurulu’nun yurt dışına veri aktarımı için talep ettiği taahhütname süreçlerinden bağımsızlaşmayı sağlıyor ve bürokratik açıdan kullanıcıya daha hızlı erişim imkânı tanıyor. Yerli sunucu kararının, performans açısından da Türkiye’deki kullanıcılar için ölçülebilir bir iyileşme yarattığı şirket tarafından açıklanan teknik raporlarda paylaşılıyor.
Bununla birlikte Pepapp’in veri akış zinciri tamamen yerel değil. Uygulama içinde kullanılan analitik araçları, push bildirim altyapısı ve ödeme sistemleri hâlâ ABD veya AB merkezli sağlayıcılar üzerinden çalışıyor. Bu, KVKK’nın yurt dışına veri aktarımı sınırları ile bir kesişim alanı yaratıyor. Şirketin gizlilik politikasında bu sağlayıcıların listesi açık biçimde paylaşılmış durumda; ancak ortalama kullanıcının bu zinciri okuması ve değerlendirmesi pratik olarak zor.
Pepapp ekibinin son dönem öne çıkardığı bir konu, döngü verisinin luteal faz takibi üzerinden ne kadar isabetli tahmin ürettiği. Şirketin makine öğrenmesi modelleri yıllar içinde Türkiye’deki kullanıcı verisi üzerinde eğitildi ve coğrafi olarak yerelleşmiş bir tahmin doğruluğu sergilemeye başladı. Bu, küresel oyuncuların standart modellerine karşı yerel bir rekabet avantajı yaratıyor.
Stardust ve 28x: Yeni Femtech Çıkışları
Stardust, 2022 sonrası post-Roe ortamında öne çıkan yeni nesil femtech uygulamalarından. Şirketin temel iddiası, döngü verisinin yalnızca cihazda tutulması ve sunucuya hiçbir kayıt aktarılmaması. Uygulamanın iş modeli, premium abonelik ve fiziksel ürün satışı üzerine kurulu; reklam ya da veri ortaklığı geliri yok. Stardust ayrıca Oura Ring entegrasyonu üzerinden uyku, sıcaklık ve kalp ritmi verisini cihazda birleştiriyor; bu birleştirmenin akıllı yüzük gece sayımı üzerinden işleyişi, şirketin teknik dokümantasyonunda detaylı şekilde anlatılıyor.
On-device storage’ın en büyük zaafı, cihaz kaybı veya değişimi durumunda verinin de kaybolması. Stardust bu sorunu çözmek için, kullanıcının kendi seçtiği bir parola ile şifrelenmiş yedeği iCloud veya Google Drive’a yüklemesi seçeneği sunuyor. Şirketin bu yedeklere erişimi teknik olarak mümkün değil; parolayı yalnızca kullanıcı biliyor. Bu, “zero-knowledge encryption” mimarisinin femtech kategorisindeki örneklerinden biri.
28x, Philips Foundation tarafından kısmen fonlanan ve düşük gelirli bölgelerde adet eğitimi ile birlikte takip aracı olarak konumlanan bir uygulama. Uygulamanın temel kararlarından biri, veri tabanının çevrimdışı çalışabilmesi ve sunucu maliyetini minimumda tutmak için on-device storage kullanması. 28x, ticari odaklı diğer femtech uygulamalarından farklı olarak; eğitim, sağlık okuryazarlığı ve menstrual hijyen kaynaklarına ulaşımı temel hedef olarak belirledi.
Stardust ve 28x’in temsil ettiği on-device yaklaşımı, sektörün üçüncü dalgası olarak değerlendiriliyor. Birinci dalga; verinin sınırsız toplanması ve reklam ile monetize edilmesi. İkinci dalga; GDPR sonrası Avrupa ölçeğinde başlayan kontrollü veri işleme. Üçüncü dalga ise verinin sunucuya hiç gönderilmemesi ya da yalnızca şifreli yedek olarak tutulması. Bu dalganın yaygınlaşması, kategorinin geri kalanı için baskı yaratıyor.
Veri Brokers Ekosistemi: Üçüncü Taraf Aktarımı
Adet takip verisinin en kritik ve en az görünür çıkış noktası, veri brokers ekosistemi. ABD merkezli LiveRamp, Acxiom, Epsilon gibi şirketler; çeşitli uygulamalardan topladıkları davranışsal veri parçalarını birleştirerek kullanıcı profilleri oluşturuyor ve bunları reklam ağlarına satıyor. Femtech kategorisinden gelen sinyaller; “luteal faz”, “hamilelik denemesi”, “doğum sonrası dönem” gibi etiketler altında hedefleme kategorilerine dönüşebiliyor.
Bu zincirin en şaşırtıcı yanı, uygulamaların doğrudan veri brokers ile sözleşme yapmasına gerek olmaması. Üçüncü taraf SDK’lar; analitik amaçla topladıkları davranışsal veriyi kendi iş ortakları ile paylaşabiliyor ve bu paylaşım, son kullanıcı sözleşmelerinin yüzlerce sayfası içinde yer alıyor. Federal Trade Commission’ın son yıllarda Flo, Premom ve GoodRx gibi şirketlere kestiği cezalar; bu zincirin denetim altına alınması yolunda atılan ilk ciddi adımlar oldu.
Avrupa tarafında ePrivacy Regülasyonu ve Digital Markets Act, üçüncü taraf SDK zincirini daha şeffaf hale getirmek için çalışmaya devam ediyor. KVKK Kurulu da son dönemde sağlık uygulamalarının üçüncü taraf veri paylaşımı üzerine ayrı bir ilke kararı yayımlama hazırlığında. Bu adım; Türkiye’deki uygulamaların hangi SDK’ları kullandığını ve hangi veri kategorilerini paylaştığını kullanıcıya görünür kılma yükümlülüğü getirebilir.
Veri brokers zincirinden korunmanın en etkili kullanıcı tarafı önlemi, uygulama ayarlarında “personalized ads” veya “advertising identifier” gibi seçeneklerin kapatılması. iOS’un App Tracking Transparency çerçevesi ve Android’in Privacy Sandbox girişimi, bu seçimlerin daha görünür hale gelmesini sağladı; ancak varsayılan ayarlar hâlâ çoğunlukla açık konumda geliyor.
Post-Roe Konteksti: Veri Riskinin Genişlediği Saha
2022 yılında ABD Yüksek Mahkemesi’nin Roe v. Wade kararını iptal etmesi, adet takip uygulamalarının veri mimarisini bir gecede yeniden değerlendirmeye zorladı. Eyalet düzeyinde kürtaj yasaklarının yürürlüğe girmesi, ceza soruşturmaları sırasında kullanıcının döngü verisinin mahkemece talep edilebileceği endişesini doğurdu. Bu, kategorinin tarihindeki en hızlı kullanıcı kaybı ve uygulama değiştirme hareketini tetikledi.
Flo’nun Anonymous Mode, Clue’nun Avrupa sunucusu vurgusu, Stardust’ın on-device mimarisi gibi seçimler; doğrudan bu kontekstin ürünleri. Şirketler, “veriyi koruyabiliyoruz” iddiasını teknik olarak da kanıtlamak zorunda kaldı. Üçüncü taraf güvenlik denetimleri, bağımsız akademisyenlerle yapılan ortak raporlar, açık kaynaklı kriptografi kütüphaneleri kullanımı; bu dönemde sektör standardı haline gelmeye başladı.
Türkiye perspektifinden post-Roe konteksti, doğrudan bir hukuki tehdit oluşturmasa da; “sağlık verisi mahkemece talep edilebilir” çerçevesinin sınırlarını gösterdi. KVKK kapsamında sağlık verisi özel nitelikli veri sayıldığı için, mahkeme kararı olmaksızın paylaşılması yasak. Ancak hukuki süreçte talep edilmesi durumunda; verinin nerede saklandığı, hangi yargı yetkisi altında olduğu, hangi şifreleme katmanı ile korunduğu kritik sorular haline geliyor.
Post-Roe konteksti aynı zamanda, kategorinin günlük dijital cihazlar ve uygulamalar üzerinden işleyen davranışsal sinyallerini de görünür hale getirdi. Bir uygulamanın döngü verisini saklamadığını söylemesi yetmiyor; arama geçmişi, alışveriş eğilimi, lokasyon verisi, mesaj içeriği gibi çevresel sinyaller de birleştirildiğinde aynı çıkarımlara ulaşılabiliyor. Bu, “uygulamayı silmek yeterli mi” sorusunun cevabını kategoriden çıkarıp, dijital ekosistemin tamamına genişletti.
Kullanıcı Hesabı Silme vs Veri Silme: Fark Nedir?
Uygulama üzerinde “hesabımı sil” düğmesine basmak, çoğu durumda verinin de silindiği anlamına gelmiyor. Sektörün uzun süredir kullandığı bir ayrım var: “account deletion” ve “data deletion”. İlki; kullanıcı adı, e-posta, şifre gibi kimlik bilgisinin sistemden kaldırılması anlamına geliyor. İkincisi ise döngü kayıtları, semptomlar, davranışsal veri gibi içerik verisinin de silinmesini kapsıyor. Pek çok uygulama, varsayılan olarak yalnızca ilk işlemi yapıyor ve içerik verisini “anonimleştirilmiş” başlığı altında saklamaya devam ediyor.
GDPR’nin Madde 17 ile düzenlediği “unutulma hakkı” ve KVKK’nın 7. maddesi ile getirdiği “silme, yok etme veya anonim hale getirme yükümlülüğü”; bu ayrımı kullanıcı lehine kapatmaya çalışıyor. Kullanıcının yazılı talebi ile hem hesap hem de içerik verisinin silinmesi; yasal saklama yükümlülükleri saklı kalmak kaydıyla, şirketin yerine getirmesi gereken bir yükümlülük. Ancak bu yükümlülüğün ne kadar zaman aldığı, hangi yedeklerde temizlenip hangilerinde kalmaya devam ettiği büyük ölçüde şeffaflıkla ilgili.
İyi yapılandırılmış bir veri silme prosedüründe; primer veri tabanından kayıt kaldırıldıktan sonra, analitik veri ambarındaki kopyalar belirli bir takvim içinde temizleniyor, makine öğrenmesi eğitim setlerinden geriye dönük olarak çıkarılıyor ve şifreli yedeklerin saklama süresi dolduğunda otomatik olarak siliniyor. Clue ve Stardust gibi oyuncular bu prosedürü dokümante ediyor; sektörün geri kalanı için “veri silme” hâlâ tek satırlık bir butonun arkasında saklanıyor.
Hangi Veri Cihazda, Hangisi Bulutta?
Adet takip uygulamalarının veri akışını anlamanın en pratik yolu, hangi kaydın nerede tutulduğunu netleştirmek. Tipik bir uygulamada; kullanıcı arayüzünde anında gösterilen “bir sonraki döngüye 4 gün” gibi hesaplamalar cihazda yapılıyor. Tahmin modellerinin temel parametreleri ise sunucu tarafında, makine öğrenmesi pipeline’ı içinde işleniyor. Bu, “hızlı kullanıcı deneyimi” ile “sürekli güncellenen tahmin doğruluğu” arasındaki tasarım gerilimini açıklıyor.
Semptom kayıtları, ruh hali işaretlemeleri, cinsel aktivite kayıtları gibi hassas alanlar; uygulamanın iş modeline göre farklı yerlerde tutuluyor. Reklam tabanlı modeller bu veriyi sunucuya iletmeyi tercih ederken, abonelik tabanlı ve gizlilik odaklı uygulamalar mümkün olduğunca cihazda tutmayı seçiyor. Aradaki farkı kullanıcıya görünür kılmak; sektörün bir sonraki dalgasında kazanılması gereken bir savaş.
Akıllı saatler, akıllı yüzükler, bağlı sağlık cihazları üzerinden gelen biyometrik veri ise farklı bir kategori oluşturuyor. Bu veriler tipik olarak cihazın kendi uygulamasında işleniyor ve adet takip uygulamasına ya API üzerinden ya da kullanıcının manuel onayı ile aktarılıyor. Apple Health, Google Fit, Samsung Health gibi köprü uygulamalar; bu aktarımın hangi izinler ile yapıldığını şeffaflaştırıyor. Yine de kullanıcının bu izin ekranlarını okuduğu varsayımı, pratikte gerçeklikle örtüşmüyor.
Adet Takip ile Sağlık Sinyalleri Birleştiğinde
Adet takip uygulamalarının yeni nesli, döngü verisini izole bir sinyal olarak değil; geniş bir sağlık verisi mozaiğinin parçası olarak işliyor. Uyku kalitesi, vücut sıcaklığı, kalp ritmi değişkenliği, adım sayısı, stres puanı gibi metrikler; döngü tahminlerinin doğruluğunu önemli ölçüde artırıyor. Bu birleşme; Oura, Whoop, Apple Watch gibi cihaz ekosistemleri ile femtech uygulamaları arasındaki entegrasyonun derinleşmesi anlamına geliyor.
Birleşmenin gizlilik tarafındaki sonucu; verinin kaynak sayısının artması ile birlikte profil zenginleşmesinin de artması. Bir uygulama yalnızca döngü tarihlerini biliyorsa, sınırlı bir profil oluşturabilir. Aynı uygulama uyku, sıcaklık, kalp ritmi ve aktivite verisini de birleştirdiğinde; ortaya kullanıcı hakkında çok daha derin bir tablo çıkıyor. Bu tablonun, üçüncü taraf paylaşımı durumunda yarattığı risk, izole döngü verisinden katbekat fazla.
Femtech ile sağlık verisi entegrasyonunun ekonomik tarafı ise finansal kapsayıcılık bağlamında da değerlendiriliyor. Sigortacılık, kredi skorlama, çalışan refahı programları gibi alanlar; sağlık verisinin işlenmesi üzerinden iş modellerini büyütüyor. Bu modellerin etik sınırı; verinin opt-in mi yoksa varsayılan mı olarak akıtıldığı, sigorta primlerinin hesaplanmasında dolaylı olarak kullanılıp kullanılmadığı, kredi skorlama algoritmalarının sağlık verisini değişken olarak içerip içermediği gibi sorularla çiziliyor.
Önümüzdeki dönemde sektörün önündeki en büyük tasarım kararı, bu entegrasyonu kullanıcının onayı ile mi yoksa varsayılan akış ile mi gerçekleştireceği. Avrupa Birliği’nin AI Act çerçevesi ve KVKK’nın güncellenme çalışmaları; bu kararı şirketlerin tek başına almasından çıkarıp regülasyon zeminine taşımayı hedefliyor. Adet takip uygulamalarının veri yolculuğu; femtech kategorisinin sınırlarını aşıp dijital sağlık ekosisteminin geneline yayılan bir tartışmaya dönüşüyor.
Sıkça Sorulan Sorular
Adet takip uygulamasını sildiğimde sunucudaki verim de siliniyor mu?
Hayır, uygulamayı telefondan silmek otomatik olarak sunucudaki kaydın silinmesi anlamına gelmiyor. Verinin sunucudan silinmesi için uygulamanın ayarlar bölümünden “hesabımı sil” işlemini yapmanız ya da şirketin gizlilik e-posta adresine yazılı silme talebi göndermeniz gerekiyor. KVKK ve GDPR çerçevesinde bu talep şirket tarafından belirli süre içinde karşılanmak zorunda.
Flo Anonymous Mode gerçekten anonim mi?
Flo’nun Anonymous Mode’u, kullanıcı kimliği ile döngü verisi arasındaki doğrudan bağı koparıyor; ancak telefon parmak izi, IP adresi ve oturum metadata’sı gibi dolaylı tanımlayıcılar akmaya devam ediyor. Bu mod, mahkeme talebi durumunda kullanıcının kimliğine doğrudan bağ kurmayı zorlaştırıyor, fakat uçtan uca anonim bir mimari sunmuyor. Şirket bu durumu son sürümde yayımladığı teknik beyaz kitap ile şeffaflaştırdı.
Türkiye’den hangi uygulamayı kullanmak veri açısından daha güvenli?
“En güvenli” tek bir uygulama yok; ancak veri kontrolünün yargı yetkisi açısından, KVKK kapsamında çalışan ve sunucularını yerel veri merkezlerinde tutan Pepapp; bürokratik açıdan kullanıcı silme taleplerinin daha hızlı işlenmesini sağlıyor. GDPR sıkı çerçevesi ile çalışan Clue ve on-device storage tercih eden Stardust ise teknik açıdan farklı koruma katmanları sunuyor. Tercih, kullanıcının hangi katmana öncelik verdiğine bağlı.
Veri brokers ekosistemine veri gitmesini nasıl engelleyebilirim?
İlk adım, kullandığınız uygulamanın ayarlar bölümünde “personalized ads”, “advertising identifier” ve “data sharing for marketing” gibi seçenekleri kapatmak. iOS’ta ayarlar > gizlilik > izleme bölümünden tüm uygulamaların izleme talebi varsayılan olarak reddedilebilir. Android tarafında reklam kimliğinin sıfırlanması ve Privacy Sandbox seçeneklerinin gözden geçirilmesi etkili. Üçüncü taraf SDK zincirini tamamen engellemek için ise abonelik tabanlı ve veri ortaklığı kullanmayan uygulamalar tercih edilebilir.
Post-Roe konteksti Türkiye’deki kullanıcıları nasıl etkiliyor?
Post-Roe konteksti doğrudan Türkiye’deki hukuki çerçeveyi değiştirmedi; ancak sektörün veri saklama, sunucu konumu ve hesap silme prosedürleri konusunda küresel ölçekte daha titiz davranmasını sağladı. Türkiye’deki kullanıcılar açısından bu, uluslararası uygulamaların daha şeffaf gizlilik politikası yayımlaması ve KVKK uyum süreçlerini hızlandırması anlamına geldi. Yerel uygulamaların da bu küresel beklentiye paralel şekilde mimari kararlar alması bekleniyor.
Editör notu — Mert Şahin: Bu yazıda anılan uygulamaların sürüm bilgileri, gizlilik politikaları ve veri akış mimarileri yayın tarihi itibarıyla kamuya açık olan teknik dokümantasyon ve şeffaflık raporlarına dayanmaktadır. Şirketlerin politika güncellemeleri sık aralıklarla yapıldığı için kararlarınızı vermeden önce ilgili uygulamanın güncel gizlilik politikasını ve veri silme prosedürünü doğrudan kontrol etmenizi öneririm. Yazı bir hukuki danışmanlık metni değildir; özel durumlar için KVKK Kurulu ilke kararlarına ve uzman görüşüne başvurulması gerekir.
