Çocuklar için güvenli, şeffaf, KVKK + COPPA + GDPR-K uyumlu
MIMELAX — GİZLİLİK POLİTİKASI / PRIVACY POLICY
Versiyon / Version: 1.0
Yürürlük Tarihi / Effective Date: 24 Nisan 2026 / 24 April 2026
Son Güncelleme / Last Updated: 24 Nisan 2026 / 24 April 2026
BÖLÜM 1 — TÜRKÇE METİN
0. Merhaba Çocuklar! (8 Yaş ve Üzeri İçin Özet)
Merhaba! Biz Mimelax’iz. Sen oyun oynarken sana yardımcı olmak için bazı şeyleri yalnızca kendi tabletinde ya da telefonunda hatırlıyoruz: adın, kaç yaşında olduğun, en sevdiğin hayvan ve yıldızların gibi. Bu bilgiler başka hiçbir yere gitmez, sadece senin cihazında kalır. Uygulamayı sildiğinde hepsi kaybolur. Ailene bir soru sormak istersen ya da bilgilerinin silinmesini istersen, büyüklerinden bize yazmalarını iste. Eğlenceli oyunlar dileriz!
0.A. Ebeveyn/Veli Özeti (1 Dakikalık Okuma)
Sayın Ebeveyn/Veli,
Hiçbir sunucumuz (backend) yoktur. Tüm çocuk profili verileri yalnızca cihazınızda saklanır.
Kimseye veri satmıyoruz, paylaşmıyoruz, aktarmıyoruz.
Hiçbir analitik, çerez izleme veya reklam SDK’sı kullanmıyoruz (Firebase Analytics, Google Analytics, Facebook SDK, Sentry, Crashlytics vb. YOKTUR).
Reklam yoktur. Premium içeriğe erişim için Apple/Google üzerinden abonelik satın alınabilir; ödeme yalnızca veli tarafından yapılır.
Çocuk fotoğrafı opsiyoneldir, eklerseniz yalnızca cihazda (base64) tutulur, hiçbir yere yüklenmez.
Uygulama, Apple “Made for Kids” ve Google Play Families politikalarına göre tasarlanmıştır.
2 yaş ve üstü çocuklara yöneliktir; bu nedenle tüm işlemler veli açık rızası esasına dayanır.
Gizlilik en yüksek seviyeye önceden ayarlıdır (UK AADC “default high privacy” standardına uygun).
Tüm verileri istediğiniz zaman uygulamanın “Ayarlar → Tüm Verileri Sil” menüsünden silebilirsiniz; veya uygulamayı kaldırdığınızda tüm veriler otomatik silinir.
İşbu Gizlilik Politikası (“Politika”), Mimelax uygulaması (“Uygulama”, “Hizmet”) aracılığıyla çocuk kullanıcılarımızın ve ebeveynlerinin kişisel verilerinin işlenmesine ilişkin usul ve esasları düzenlemektedir.
1. Tanımlar
İşbu Politikada aşağıdaki terimler, yanlarında belirtilen anlamlara gelir:
“Uygulama” / “Hizmet”: Mimelax adıyla sunulan, iOS (Apple App Store), Android (Google Play) ve web tabanlı çocuk eğitim ve eğlence uygulaması.
“Veri Sorumlusu”: 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) madde 3/ı kapsamında, Genel Veri Koruma Tüzüğü (“GDPR”) Madde 4(7) anlamında kişisel verilerin işleme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişi olarak Mimelax’tir (İletişim: info@mimelax.com, Adres: [Şirket adresi buraya]).
“Kişisel Veri”: KVKK madde 3/d ve GDPR Madde 4(1) uyarınca kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
“Çocuk”: COPPA kapsamında 13 yaş altı; GDPR Madde 8 kapsamında 16 yaş altı (ilgili üye devlet kuralına göre 13-16 arası); KVKK uygulamasında 18 yaş altı küçük. Uygulamamızın hedef kitlesi 2 yaş ve üstüdür.
“Ebeveyn” / “Veli” / “Vasi”: Çocuk üzerinde Türk Medeni Kanunu, GDPR ve COPPA anlamında ebeveyn/velayet sorumluluğuna sahip kişi.
“İşleme”: Kişisel veriler üzerinde gerçekleştirilen toplama, kaydetme, saklama, değiştirme, silme gibi her türlü işlem.
“Cihaz”: Kullanıcının Uygulamayı yüklediği akıllı telefon, tablet veya bilgisayar.
“Yerel Depolama” / “Local Storage”: Verilerin yalnızca kullanıcının cihazında, Capacitor Preferences, IndexedDB veya tarayıcı LocalStorage API’si üzerinden tutulması.
“Açık Rıza”: KVKK madde 3/a uyarınca belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza; GDPR Madde 4(11) ve 7 anlamında “freely given, specific, informed, unambiguous” consent.
Veri Koruma Görevlisi (DPO/VKG): Mevcut kullanıcı/veri hacmi itibarıyla KVKK ve GDPR Madde 37 kapsamında zorunlu bir DPO ataması gerekmemekle birlikte, tüm veri koruma başvuruları yukarıdaki e-posta üzerinden alınır ve makul sürede (azami 30 gün) yanıtlanır.
VERBİS Kaydı: KVKK Kurulu’nun istisna kararları ve faaliyet hacmimiz dikkate alındığında, veri işleme faaliyetlerimiz yalnızca cihaz üzerinde yürütüldüğünden VERBİS kayıt yükümlülüğü şu an için değerlendirilmekte olup, yükümlülük doğduğunda gerekli kayıt yapılacaktır.
3. Tasarım İlkelerimiz (Privacy by Design & by Default)
Mimelax, GDPR Madde 25, UK Age Appropriate Design Code (AADC) 15 standardı, KVKK veri minimizasyonu ilkesi ve Apple “Made for Kids” / Google Play Families politikaları doğrultusunda aşağıdaki ilkelere göre tasarlanmıştır:
Varsayılan Olarak Yüksek Gizlilik (Default High Privacy): Tüm gizlilik ayarları en korumacı biçimde önceden yapılandırılmıştır.
Yerel Öncelikli Mimari (Local-First Architecture): Uygulama herhangi bir backend sunucusuna sahip değildir.
Veri Minimizasyonu (Data Minimization): Yalnızca oyun deneyimi için mutlaka gerekli veriler toplanır.
Veri Satılmaz / Paylaşılmaz: Üçüncü taraflara kişisel veri aktarımı yoktur.
Reklam Yok, Takip Yok: Hiçbir reklam, analitik SDK veya davranışsal takip bulunmaz.
Manipülasyon Yok (No Dark Patterns): Çocukları daha fazla veri vermeye ya da gizlilik ayarlarını zayıflatmaya yönlendiren tasarım örüntüleri kullanılmaz.
Çocuğun Yüksek Yararı (Best Interests of the Child): BM Çocuk Hakları Sözleşmesi ve AADC Standart 1 uyarınca çocuğun yararı tasarımda önceliklidir.
4. İşlenen Kişisel Veriler, Amaçlar ve Hukuki Dayanaklar
Uygulama yalnızca kullanıcının cihazında yerel olarak aşağıdaki verileri işler. Bu verilerin hiçbiri sunucularımıza iletilmez, hiçbir üçüncü tarafa aktarılmaz.
4.1. Çocuk Profil Verileri
Veri Kategorisi
İçerik
İşleme Amacı
Hukuki Dayanak
Saklama Yeri
Ad / Takma ad
Çocuğun adı veya rumuzu
Kişiselleştirilmiş selamlama
KVKK m.5/2-a (rıza) + GDPR m.6/1-a + m.8
Cihaz — @capacitor/preferences
Cinsiyet (opsiyonel)
Kız/Erkek/Belirtmek istemiyorum
Karakter kişiselleştirme
KVKK m.5/2-a (açık rıza)
Cihaz
Profil fotoğrafı (opsiyonel)
Base64 görsel
Profil avatarı
KVKK m.6 (özel nitelikli olması halinde açık rıza)
Cihaz — @capacitor/preferences
4.2. Oyun İlerleme Verileri
Veri Kategorisi
İçerik
İşleme Amacı
Hukuki Dayanak
Saklama Yeri
Yıldız sayısı
Kazanılan puan
Motivasyon, ilerleme takibi
KVKK m.5/2-f (meşru menfaat) + GDPR m.6/1-f
Cihaz — LocalStorage
Tamamlanan oyunlar
Oyun listesi
İlerleme göstergesi
KVKK m.5/2-f + GDPR m.6/1-f
Cihaz
Dil tercihi
TR / EN
Arayüz dili
KVKK m.5/2-f + GDPR m.6/1-f
Cihaz
4.3. Teknik Veriler (Toplanmayanlar)
Aşağıdaki veriler Mimelax tarafından TOPLANMAZ, işlenmez, kaydedilmez:
Konum / GPS verisi — AADC Standart 10 uyarınca varsayılan olarak kapalı ve hiç istenmez
Kamera veya mikrofon verisi — runtime’da istenmez
Rehber, takvim, fotoğraf kitaplığı erişimi — istenmez
IP adresi — Uygulama sunucularımıza bağlanmadığı için işlenmez
Çerez (cookie) — mobil uygulamada yoktur; web versiyonunda yalnızca aşağıda madde 13’te belirtilen işlevsel tercih saklayıcıları bulunur
Davranışsal / reklam profili — oluşturulmaz
Sesli komut veya ses kaydı — alınmaz (Uygulamanın sesleri tek yönlü oynatmadır)
5. Veri Toplama Yöntemi
Veriler yalnızca şu yöntemlerle elde edilir:
Kullanıcı Doğrudan Girişi: Uygulama ilk açılışında veli rızası sonrası çocuk/veli tarafından profil bilgileri girilir.
Kullanıcı Etkileşimi: Oyun oynandıkça yıldız/ilerleme bilgisi yerel olarak güncellenir.
Opsiyonel Fotoğraf Yükleme: Kullanıcı cihazının fotoğraf seçicisinden bir fotoğraf seçerse, dosya cihazda base64 formatında kaydedilir.
Hiçbir otomatik veri toplama (telemetri, pingback, beacon, pixel) yoktur.
6. Üçüncü Taraf Servisler — Açıklama
Uygulamanın ÇALIŞMA SIRASINDA herhangi bir üçüncü taraf servisle doğrudan çocuk kullanıcı verisi paylaşan bir entegrasyonu yoktur. Ancak geliştirme sürecinde kullanılan bazı servisler şeffaflık amacıyla aşağıda belirtilmiştir:
6.1. ElevenLabs (Ses Üretim Servisi)
Kullanım Zamanı: Yalnızca geliştirme / yayın öncesi üretim aşamasında.
İşlev: Türkçe ve İngilizce seslendirme MP3 dosyalarının oluşturulması.
Çocuk Verisi Paylaşımı: YOK. Üretilen MP3 dosyaları, uygulama paketinin (bundle) içine statik varlık olarak gömülmüştür.
Çalışma Zamanı Bağlantısı: Uygulama, ElevenLabs API’sine hiçbir zaman çağrı yapmaz.
6.2. Google Flow / Imagen (AI Görsel Üretim)
Kullanım Zamanı: Yalnızca geliştirme aşamasında karakter ve sahne görsellerinin üretilmesi için.
Çocuk Verisi Paylaşımı: YOK. Görseller bundle içindedir, çalışma zamanında API çağrısı yoktur.
6.3. Uygulama Mağazaları (Apple App Store, Google Play)
Uygulama indirildiğinde ilgili mağaza, kendi gizlilik politikası çerçevesinde indirme işlemini kaydedebilir. Bu işlem Mimelax’in denetiminde değildir; mağazanın kendi gizlilik politikaları geçerlidir.
Uygulamanın çalışması için işletim sistemi tarafından sağlanan standart izinler (yalnızca yerel depolama) kullanılır.
Sonuç: Mimelax, çocuk kullanıcıya ait hiçbir veriyi herhangi bir üçüncü tarafa aktarmaz, paylaşmaz veya satmaz.
7. Çocuklara Özel Hükümler (KVKK + COPPA + GDPR Madde 8 + AADC)
7.1. Hedef Kitle ve Yaş Doğrulaması
Uygulama 2 yaş ve üstündeki çocuklara yönelik olarak tasarlanmıştır. Uygulamanın ilk açılışında ebeveyn/veli kapısı (parental gate) bulunur: Veli olduğunu teyit eden bir onay kutusu ve basit bir aritmetik/kontrol sorusu (küçük çocukların geçemeyeceği) gösterilir. Yalnızca bu onayı geçen kişi profil oluşturma adımına ilerleyebilir.
7.2. Ebeveyn Açık Rızası (Verifiable Parental Consent)
Uygulamanın yerel odaklı mimarisi, COPPA 16 C.F.R. §312.5 kapsamında “kişisel bilginin iç kullanımı” istisnası içinde değerlendirilen, verinin cihazdan dışarıya çıkmadığı bir işleme modelidir. Yine de, COPPA 2025 Güncellemesi, GDPR Madde 8 ve KVKK m.5/2-a doğrultusunda ebeveyn açık rızası alınır:
İlk açılışta görüntülenen "Ebeveyn Bilgilendirme Ekranı"nda işbu Politikanın çocuk dostu özeti ve bu tam metne bağlantı sunulur.
Ebeveyn “Okudum, Anladım, Rıza Veriyorum” butonunu onayladıktan sonra profil oluşturma adımına geçilir.
verdiği rızayı geri çekebilir. Rıza geri çekildiğinde ilgili çocuğun tüm yerel verileri silinir.
7.4. Ayrı Rıza Gereksinimleri (COPPA 2025)
2025 COPPA değişiklikleri kapsamında üçüncü taraflara veri paylaşımı için ayrı açık rıza gerekmektedir. Mimelax herhangi bir üçüncü tarafa veri paylaşmadığı için bu başlık altında ayrıca bir rıza alınmasına gerek yoktur. Gelecekte böyle bir özellik eklenirse (örn. bulut yedekleme), bu ayrı rıza, hizmet etkinleştirilmeden önce açıkça talep edilecektir.
7.5. Çocukların Özel Nitelikli Verileri (KVKK m.6)
Opsiyonel profil fotoğrafı, KVKK m.6 anlamında biyometrik/fotoğraf kategorisinde değerlendirilebilir. Bu veri:
Yalnızca cihazda saklanır,
Hiçbir biyometrik tanıma, yüz tanıma veya AI analizinden geçirilmez,
Uygulama silindiğinde silinir,
Ebeveyn açık rızasına tabidir.
8. Veri Saklama Süresi
Veri
Saklama Süresi
Çocuk profil verileri
Ebeveyn silene veya uygulama kaldırılana kadar cihazda tutulur.
Oyun ilerleme
Aynı.
Ebeveyn rıza kaydı (yerel)
Rıza geri çekilene kadar.
E-posta iletişim kayıtları (eğer siz bize yazarsanız)
Talebin işlem görmesi için gerekli süre + 1 yıl denetim kaydı.
Süresiz saklama yasaktır (COPPA 2025 §312.10 uyarınca). Mimelax’in sunucularında veri tutulmadığından bu yükümlülük, yerel cihaz silme mekanizmasıyla çözülmüştür.
9. İlgili Kişinin / Veri Sahibinin Hakları
9.1. KVKK Madde 11 Hakları
İşbu Politikaya konu veriler bakımından ilgili kişi (ebeveyn tarafından temsil edilen çocuk dahil) aşağıdaki haklara sahiptir:
a) Kişisel verinin işlenip işlenmediğini öğrenme;
b) İşlenmişse buna ilişkin bilgi talep etme;
c) İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme;
ç) Yurt içinde/dışında aktarıldığı üçüncü kişileri bilme (Bizim için: yoktur);
d) Eksik/yanlış işlenen verinin düzeltilmesini isteme;
e) KVKK m.7 kapsamında silme/yok etme isteme;
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin aktarım yapılan üçüncü kişilere bildirilmesini isteme;
g) Otomatik sistemler vasıtasıyla kişinin aleyhine sonuç doğuran analiz edilmeye itiraz etme (Bizim için: böyle bir analiz yapılmamaktadır);
ğ) Kanuna aykırı işleme sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
9.2. GDPR Hakları (AB/AEA Kullanıcıları)
Erişim hakkı (Madde 15)
Düzeltme hakkı (Madde 16)
Silme / unutulma hakkı (Madde 17)
İşlemeyi kısıtlama hakkı (Madde 18)
Veri taşınabilirliği hakkı (Madde 20): Cihazınızdaki veriler JSON olarak dışa aktarılabilir; bu işlev “Ayarlar → Verilerimi Dışa Aktar” menüsünden kullanılabilir (v1.1 itibarıyla).
İtiraz hakkı (Madde 21)
Otomatik bireysel karar vermeye karşı hak (Madde 22)
Rıza geri çekme hakkı (Madde 7/3)
Denetim otoritesine şikâyet hakkı (Madde 77)
9.3. COPPA Kapsamında Ebeveyn Hakları
Amerika Birleşik Devletleri’nde ikamet eden çocukların ebeveynleri 16 C.F.R. §312.6 uyarınca:
Toplanan verileri inceleme,
Silinmesini talep etme,
Daha fazla veri toplanmasını reddetme
haklarına sahiptir.
9.4. Başvuru Usulü
Haklarınızı kullanmak için info@mimelax.com adresine yazılı başvuru yapabilirsiniz. Talep KVKK’da azami 30 gün, GDPR’da azami 1 ay (karmaşıksa 3 ay) içinde yanıtlanır. Başvuru ücretsizdir (KVKK m.13 ve GDPR m.12/5 saklı).
10. Güvenlik Önlemleri
KVKK m.12 ve GDPR m.32 gereği uygun teknik ve idari tedbirler alınmıştır:
Yerel Mimari: Sunucu tabanlı veri sızıntısı riskini kaynağında elimine eder.
HTTPS: Uygulama güncelleme paketleri (varsa) yalnızca TLS 1.2+ üzerinden dağıtılır.
Kod İmzalama: Uygulama Apple ve Google kod imzalama mekanizmalarıyla bütünlük altında tutulur.
Yetkisiz Erişim Koruması: Mimelax sunucusuna veri gönderilmediği için, sunucu taraflı saldırı yüzeyi yoktur.
Güncelleme Takibi: Güvenlik açıkları tespit edildiğinde Apple App Store ve Google Play üzerinden güncelleme yayımlanır.
İnternet üzerinden yapılan hiçbir iletim %100 güvenli olamaz; ancak Mimelax, makul güvenlik düzeyini sağlamak için endüstri standartlarını uygular.
11. Uluslararası Veri Transferi
Mimelax, çocuk kullanıcı verilerini hiçbir ülkeye aktarmaz — zira tüm veriler cihazda kalır. Dolayısıyla:
KVKK m.9 uyarınca yurt dışına veri aktarımı: Yoktur.
GDPR m.44-50 kapsamında üçüncü ülke transferi: Yoktur.
Eğer ileride bulut yedekleme gibi yurt dışı transferi içeren bir özellik eklenirse, bu özellik yalnızca ayrı açık rıza alındıktan ve uygun güvence mekanizmaları (SCC, BCR, vb.) uygulandıktan sonra aktifleştirilecektir.
12. Çerezler ve Benzeri Teknolojiler (Web Versiyonu)
Mobil uygulama çerez (cookie) kullanmaz.
Web versiyonu (varsa) aşağıdaki zorunlu/işlevsel teknolojileri kullanır:
İsim
Amaç
Tür
Saklama Süresi
mimelax_lang
Dil tercihi (TR/EN)
localStorage
1 yıl veya kullanıcı silene kadar
mimelax_profile
Yerel profil (JSON)
IndexedDB
Kullanıcı silene kadar
Reklam çerezi, analitik çerezi veya üçüncü taraf izleyici yoktur. KVKK Kurulu’nun çerez kararları ve AB ePrivacy Direktifi m.5/3 uyarınca zorunlu nitelikte olduklarından ayrı rıza aranmaz; ancak kullanıcı tarayıcı ayarlarından veya uygulama içi “Yerel Verileri Temizle” seçeneğinden temizleyebilir.
13. Politika Değişiklikleri
İşbu Politika zaman zaman güncellenebilir. Önemli değişiklikler:
Uygulamayı bir sonraki açılışınızda bildirim ekranı ile,
Yürürlük tarihinin güncellenmesiyle,
Gerekli hallerde yeniden rıza talebiyle
size bildirilir. Önemli olmayan tashih ve açıklayıcı değişiklikler sessiz biçimde güncellenebilir. “Son Güncelleme” tarihi her zaman bu belgenin en üstünde görünür.
14. Şikâyet Hakkı
İşleme faaliyetlerimize ilişkin çekinceleriniz varsa:
Ayrıca yetkili tüketici mahkemelerine başvurma hakkınız saklıdır.
15. Uygulanacak Hukuk ve Yetkili Mahkeme
İşbu Politika Türkiye Cumhuriyeti mevzuatına tabidir. Uyuşmazlıklarda [Şirket adresi buraya] Tüketici Hakem Heyetleri ve Tüketici Mahkemeleri yetkilidir. Bununla birlikte:
AB/AEA tüketicileri kendi ülkelerindeki zorunlu tüketici koruma kurallarına ve AB Tüketici Yönergeleri’ne başvurma hakkını saklı tutar.
Birleşik Krallık tüketicileri UK Consumer Rights Act 2015 kapsamındaki haklarını saklı tutar.
ABD tüketicileri ikamet ettikleri eyaletin tüketici koruma mevzuatına başvurma hakkını saklı tutar.
16. İletişim
Veri koruma, gizlilik ve işbu Politika ile ilgili tüm sorular için:
Hi! We are Mimelax. When you play, we remember a few things only on your own tablet or phone: your name, how old you are, your favourite animal, and your stars. This information never goes anywhere else — it stays on your device. When you delete the app, all of it disappears. If you want to ask a question or want your information deleted, ask a grown-up to write to us. Have fun!
0.A. Parent/Guardian Summary (1-Minute Read)
Dear Parent/Guardian,
We have no backend server. All child-profile data stays on your device only.
We do not sell, share or transfer data to anyone.
We use no analytics, tracking-cookie or advertising SDKs (no Firebase Analytics, Google Analytics, Facebook SDK, Sentry, Crashlytics, etc.).
There are no ads. Access to premium content is available via Apple/Google subscription; payment is made by the Parent only.
The child’s photograph is optional; if added, it is stored only on the device (base64) and never uploaded.
The app is designed under Apple “Made for Kids” and Google Play Families policies.
The target audience is ages 3–8; therefore all processing is based on verifiable parental consent.
Privacy is set to the highest level by default (UK AADC “default high privacy” standard).
You may delete all data at any time via “Settings → Delete All Data”, or by uninstalling the app (which also clears all data).
This Privacy Policy (“Policy”) governs the processing of personal data of our child users and their parents/guardians through the Mimelax application (“App”, “Service”).
1. Definitions
For the purposes of this Policy, the following terms have the meanings indicated:
“App” / “Service” means the Mimelax children’s educational and entertainment application offered on iOS (Apple App Store), Android (Google Play) and the web.
“Data Controller” means, pursuant to Article 3/ı of Turkish Law No. 6698 on the Protection of Personal Data (“KVKK”) and Article 4(7) of the EU General Data Protection Regulation (“GDPR”), the natural or legal person determining the purposes and means of processing — namely Mimelax (Contact: info@mimelax.com; Address: [Company address here]).
“Personal Data” means any information relating to an identified or identifiable natural person (KVKK art. 3/d; GDPR art. 4(1)).
“Child” means, under COPPA, a person under 13; under GDPR Article 8, a person under 16 (or the lower age set by the relevant Member State, between 13 and 16); under KVKK practice, a minor under 18. Our App is targeted at ages 3–8.
“Parent” / “Guardian” means a person holding parental responsibility under the Turkish Civil Code, GDPR and COPPA.
“Processing” means any operation performed on personal data (collection, recording, storage, alteration, erasure, etc.).
“Device” means the smartphone, tablet or computer on which the User installs the App.
“Local Storage” means retention of data solely on the User’s device via Capacitor Preferences, IndexedDB or the browser localStorage API.
“Explicit Consent” means consent that is specific, informed and freely given (KVKK art. 3/a; GDPR art. 4(11) and 7 — “freely given, specific, informed, unambiguous”).
2. Identity and Contact Details of the Data Controller
Data Protection Officer (DPO): Given our current user and data volume, appointment of a DPO under KVKK and GDPR Article 37 is not mandatory. However, all data-protection requests are received at the above e-mail and answered within a reasonable period (not exceeding 30 days).
VERBİS Registration (Turkey): Considering the exceptions issued by the KVKK Board and the fact that our processing takes place solely on the user’s device, a VERBİS registration obligation is presently under review and will be fulfilled if and when triggered.
3. Design Principles (Privacy by Design & by Default)
Mimelax is engineered in line with GDPR Article 25, the UK Age Appropriate Design Code (AADC) 15 standards, KVKK data-minimisation principles, and Apple “Made for Kids” / Google Play Families policies, applying the following principles:
Default High Privacy — all privacy settings are pre-configured to the most protective state.
Local-First Architecture — the App has no backend server.
Data Minimisation — only data strictly necessary for gameplay is collected.
No Sale, No Sharing — no personal data is transferred to any third party.
No Ads, No Tracking — no advertising, analytics SDK or behavioural tracking is present.
No Dark Patterns — no design pattern pushes children to disclose more data or weaken privacy settings.
Best Interests of the Child — per the UN Convention on the Rights of the Child and AADC Standard 1, the child’s best interests are the primary design consideration.
4. Personal Data Processed, Purposes and Legal Bases
The App processes the following data solely locally on the User’s device. None of this data is transmitted to our servers nor to any third party.
The following data is NEVER collected, processed or stored by Mimelax:
Location / GPS data — disabled by default per AADC Standard 10 and never requested
Camera or microphone data — not requested at runtime
Contacts, calendar, photo-library access — not requested
Device identifiers (IDFA, AAID, IMEI) — not collected
IP address — not processed (the App does not connect to our servers)
Cookies — none in the mobile app; the web version uses only the functional preference storage described in Section 12
Behavioural or advertising profiles — none are built
Voice commands or audio recordings — none taken (audio is playback-only)
5. Data Collection Method
Data is obtained solely through:
Direct User Entry — at first launch, after parental consent, the child/parent enters profile details.
User Interaction — as games are played, stars/progress are updated locally.
Optional Photo Upload — if the User picks a photo from the device picker, the file is saved on the device in base64.
There is no automated data collection (no telemetry, pingback, beacon or pixel).
6. Third-Party Services — Disclosure
The App has no runtime integration that shares child-user data with any third party. For transparency, the following services used during development are disclosed:
6.1. ElevenLabs (Speech Synthesis)
When used: development / pre-release production only.
Function: creation of Turkish and English voice-over MP3 files.
Child-data sharing: None. MP3 files are embedded as static assets inside the application bundle.
Runtime connection: the App never calls the ElevenLabs API.
6.2. Google Flow / Imagen (AI Visual Generation)
When used: development only, to generate character and scene artwork.
Child-data sharing: None. Images are bundled; no runtime API call.
6.3. App Stores (Apple App Store, Google Play)
When the App is downloaded, the respective store may log the download under its own privacy policy. This is outside Mimelax’s control.
Standard OS-provided permissions (local storage only) are used for the App to function.
Conclusion: Mimelax does not transfer, share or sell any child-user data to any third party.
7. Special Rules for Children (KVKK + COPPA + GDPR Article 8 + AADC)
7.1. Target Audience and Age Gating
The App is designed for children aged 3–8. On first launch, a parental gate is displayed: a confirmation checkbox that the user is a parent/guardian and a simple arithmetic/control question (which young children cannot solve). Only upon passing this gate may the user proceed to profile creation.
7.2. Verifiable Parental Consent (VPC)
The App’s local-first architecture falls within the COPPA “internal use” exception of 16 C.F.R. §312.5 where personal information does not leave the device. Nonetheless, pursuant to the 2025 COPPA amendments, GDPR Article 8 and KVKK art. 5/2-a, verifiable parental consent is obtained:
A “Parent Information Screen” shown at first launch presents the child-friendly summary of this Policy plus a link to the full text.
After the parent taps “I have read, understood and consent”, the user advances to profile creation.
Withdrawal results in deletion of all local data for the child concerned.
7.4. Separate Consent (COPPA 2025)
The 2025 COPPA amendments require separate consent for disclosure to third parties. Because Mimelax does not disclose to any third party, no separate consent is currently required. If such a feature is added in the future (e.g., cloud backup), separate explicit consent will be obtained before activation.
7.5. Special Category Data (KVKK art. 6)
The optional profile photo may fall within the biometric/photograph category under KVKK art. 6. This data:
Is stored only on the device,
Is not subjected to biometric recognition, face recognition or AI analysis,
Is deleted when the App is removed,
Is subject to explicit parental consent.
8. Data Retention Period
Data
Retention
Child-profile data
Stored on device until the parent deletes it or the App is uninstalled.
Game progress
Same.
Local parental-consent record
Until consent is withdrawn.
E-mail correspondence (if you contact us)
Period necessary to handle your request + 1 year audit trail.
Indefinite retention is prohibited under COPPA 2025 §312.10. Since Mimelax holds no server-side data, this obligation is satisfied by the local-erase mechanism.
9. Data Subject Rights
9.1. KVKK Article 11 Rights
For the data subject to this Policy (including the child represented by the parent):
a) To learn whether personal data concerning them is processed;
b) To request information if such data has been processed;
c) To learn the purpose of the processing and whether the data is used in accordance with its purpose;
ç) To know the third parties to whom data is transferred at home or abroad (In our case: none);
d) To request correction of incomplete or inaccurate data;
e) To request deletion/destruction under KVKK art. 7;
f) To request notification of (d) and (e) actions to any third party the data has been transferred to;
g) To object to automated profiling causing adverse effects (In our case: no such profiling is done);
ğ) To claim compensation for damages arising from unlawful processing.
9.2. GDPR Rights (EU/EEA Users)
Right of access (art. 15)
Right to rectification (art. 16)
Right to erasure / to be forgotten (art. 17)
Right to restriction of processing (art. 18)
Right to data portability (art. 20) — your device data can be exported as JSON via “Settings → Export My Data” (from v1.1).
Right to object (art. 21)
Rights regarding automated individual decision-making (art. 22)
Right to withdraw consent (art. 7(3))
Right to lodge a complaint with a supervisory authority (art. 77)
9.3. COPPA Parental Rights
Parents of children residing in the United States may, under 16 C.F.R. §312.6:
Review the data collected,
Request deletion,
Refuse further collection.
9.4. How to Exercise Your Rights
To exercise your rights, e-mail info@mimelax.com. Requests are answered within a maximum of 30 days (KVKK) or 1 month (GDPR, extendable to 3 months for complex requests). Requests are free of charge (subject to KVKK art. 13 and GDPR art. 12(5)).
10. Security Measures
Pursuant to KVKK art. 12 and GDPR art. 32, appropriate technical and organisational measures are in place:
Local Architecture — eliminates server-side data-breach risk at source.
Capacitor Preferences — secure local storage backed by iOS Keychain / Android EncryptedSharedPreferences.
HTTPS — update bundles (if any) are served only over TLS 1.2+.
Code Signing — the App’s integrity is maintained through Apple and Google code-signing.
No Server Exposure — because no data is sent to a Mimelax server, there is no server-side attack surface.
Patch Management — security fixes are delivered via Apple App Store and Google Play updates.
No transmission over the Internet can be guaranteed 100% secure; however, Mimelax applies industry-standard practices to ensure a reasonable level of security.
11. International Data Transfers
Mimelax transfers child-user data to no country — since all data stays on the device. Accordingly:
Cross-border transfers under KVKK art. 9: None.
Third-country transfers under GDPR arts. 44–50: None.
Should a future feature introduce cross-border transfers (e.g., cloud backup), it will be activated only after separate explicit consent and after appropriate safeguards (SCCs, BCRs, etc.) are in place.
12. Cookies and Similar Technologies (Web Version)
The mobile app uses no cookies.
The web version (if applicable) uses the following strictly necessary / functional technologies only:
Name
Purpose
Type
Retention
mimelax_lang
Language preference (TR/EN)
localStorage
1 year or until user clears
mimelax_profile
Local profile (JSON)
IndexedDB
Until user clears
There are no advertising, analytics or third-party tracking cookies. As these technologies are strictly necessary under the KVKK Board’s cookie decisions and the EU ePrivacy Directive art. 5(3), no separate consent is sought; users may clear them from browser settings or via the in-app “Clear Local Data” option.
13. Changes to this Policy
This Policy may be updated from time to time. Material changes will be notified to you:
Via an in-app notice at the next launch,
By updating the “Effective Date”,
Where required, by obtaining renewed consent.
Minor corrections and clarifying edits may be made silently. The “Last Updated” date always appears at the top.
Turkey: Personal Data Protection Authority — https://www.kvkk.gov.tr (a prior written application to the Data Controller is mandatory — KVKK arts. 13–14)
EU/EEA: the relevant national Supervisory Authority (e.g., Germany BfDI, France CNIL)
United Kingdom: Information Commissioner’s Office (ICO) — https://ico.org.uk
You may also apply to the competent consumer courts.
15. Governing Law and Jurisdiction
This Policy is governed by the laws of the Republic of Turkey. Disputes shall fall within the jurisdiction of the competent Consumer Arbitration Committees and Consumer Courts at [Company address here]. Notwithstanding:
EU/EEA consumers retain the right to invoke the mandatory consumer-protection rules of their home country and the EU Consumer Directives.
UK consumers retain their rights under the UK Consumer Rights Act 2015.
US consumers retain the right to invoke consumer-protection laws of their state of residence.
16. Contact
For any questions relating to data protection, privacy and this Policy:
Response time: up to 30 days (KVKK) / 1 month (GDPR).
İşbu belge iki dilli olarak (Türkçe ve İngilizce) düzenlenmiştir ve her iki metin de eşit hukuki geçerliliğe sahiptir. Uyuşmazlık hâlinde Türkçe metin esas alınır.
This document is drawn up bilingually (Turkish and English) and both texts have equal legal effect. In case of dispute, the Turkish text shall prevail.