Gizlilik Politikası
Bu Gizlilik Politikası, {{LEGAL_ENTITY}} ("Periodix", "biz", "bize") tarafından sunulan periodix.io ve app.periodix.io alan adlarındaki hizmetler ("Hizmet") kullanılırken kişisel verilerinizin nasıl toplandığını, işlendiğini ve korunduğunu açıklar.
1. Hangi verileri topluyoruz?
1.1 Sizin doğrudan verdiğiniz veriler
- Hesap bilgileri: ad, soyad, e-posta, parola hash'i, telefon (opsiyonel), kurum adı, rolü.
- Fatura bilgileri: fatura adresi, vergi numarası (kurumsal müşteriler için). Kredi kartı bilgisi tarafımızdan saklanmaz; ödeme sağlayıcımız LemonSqueezy tarafından PCI-DSS uyumlu altyapıda işlenir.
- Müşteri içeriği: ders programı verisi, öğretmen ve sınıf bilgileri, derslik tanımları, müsaitlik ve kısıtlar. Bu veriler sadece sizin tanımladığınız alanlardır.
- Destek talepleri: bize e-posta veya canlı sohbet ile ilettiğiniz içerikler.
1.2 Otomatik olarak toplanan veriler
- Kullanım verisi: hangi sayfaları ziyaret ettiğiniz, hangi özellikleri kullandığınız, tıklama olayları (anonim ölçüm).
- Cihaz / teknik veri: IP adresi, tarayıcı türü, işletim sistemi, ekran çözünürlüğü, dil tercihi.
- Çerezler: oturum çerezleri (gerekli), tercih çerezleri, anonim analitik çerezleri. Detaylar §4.
2. Verileri neden işliyoruz? (Hukuki dayanaklar)
Verileri yalnızca aşağıdaki hukuki dayanaklardan biri varsa işleriz:
- Sözleşmenin ifası: hesap yaratma, hizmetin sunulması, faturalama (KVKK m.5/2-c; GDPR m.6(1)(b)).
- Hukuki yükümlülük: vergi mevzuatı, MEB / kamu otoritelerinin yazılı talepleri (KVKK m.5/2-ç; GDPR m.6(1)(c)).
- Meşru menfaat: hizmet güvenliği, dolandırıcılık önleme, anonim ürün analitiği (KVKK m.5/2-f; GDPR m.6(1)(f)).
- Açık rıza: pazarlama e-postaları, AI özelliklerini kullanma. Rızanızı istediğiniz zaman geri alabilirsiniz.
3. Yapay zekâ (AI) ile veri işleme
Periodix; doğal dil sorgu, yerleştirme önerisi ve rapor üretimi gibi özelliklerini büyük dil modelleri (LLM) aracılığıyla sunar. Bu konuda şeffaf olmak istiyoruz:
- Hangi sağlayıcılar: Anthropic (Claude), OpenAI (GPT), Google (Gemini) ve OpenRouter altyapısı. Liste değişebilir; güncel hâli için Alt İşleyiciler tablosuna bakın.
- Hangi veri AI'a gider: sorgunuzun metni + ilgili program parçası (anonim olarak). Öğretmen ad-soyad, e-posta, telefon, öğrenci kişisel verileri gönderilmez.
- Eğitime kullanılır mı? Hayır. Sağlayıcılarla "data processing addendum" (DPA) imzalanmıştır ve opt-out from training seçeneği aktiftir.
- Saklama: AI sağlayıcılarının kayıtları 30 gün içinde silinir.
- Vazgeçme: AI özelliklerini hesap ayarlarınızdan kapatabilirsiniz. Bu, temel programlama işlevini etkilemez.
4. Çerezler
| Tür | Amaç | Saklama |
|---|---|---|
| Gerekli | Oturum, güvenlik, dil tercihi | Oturum süresi / 1 yıl |
| Tercih | Görsel tema, dil | 1 yıl |
| Analitik (anonim) | Ürün kullanım istatistikleri | 26 ay (Google Analytics 4) |
| Pazarlama | Yalnızca açık rıza ile | Maks. 13 ay |
Çerez tercihlerinizi sayfa altındaki "Çerez ayarları" bağlantısından her zaman değiştirebilirsiniz.
5. Alt işleyiciler (üçüncü taraflar)
Aşağıdaki tedarikçiler hizmeti vermek için tarafımızdan kullanılır. Her biriyle veri işleme sözleşmesi (DPA) imzalanmıştır.
| Sağlayıcı | Amaç | Lokasyon |
|---|---|---|
| Hetzner | Sunucu / depolama | Almanya (AB) |
| LemonSqueezy | Ödeme ve faturalama | ABD (DPA + SCC) |
| Anthropic / OpenAI / Google | Yapay zekâ özellikleri | ABD (DPA + SCC) |
| Cloudflare | CDN, DDoS koruması | Global |
| {{EMAIL_PROVIDER}} | Transaksiyonel e-posta | {{REGION}} |
6. Yurt dışına aktarım
Bazı tedarikçilerimiz (AI sağlayıcılar, LemonSqueezy) AB veya ABD'de bulunur. Türkiye dışına aktarımlarda:
- AB için Standart Sözleşme Maddeleri (SCC) imzalıdır.
- KVKK kapsamında açık rıza alınır (hesap oluştururken onaylanır).
- Müşteri içeriği (program verisi) varsayılan olarak AB sunucularda saklanır; Türkiye lokasyonu talep edilirse Kurumsal anlaşma ile sağlanabilir.
7. Veri saklama süreleri
- Aktif hesap: Hesap aktif olduğu sürece.
- Pasif hesap: Son giriş tarihinden itibaren 24 ay sonra hesap silinir; öncesinde 60 / 30 / 7 gün önceden e-posta uyarısı gönderilir.
- Fatura kayıtları: Vergi mevzuatı gereği 10 yıl (Türkiye), 5 yıl (AB ülkeleri).
- Destek talepleri: Kapatıldıktan 24 ay sonra anonimleştirilir.
- Yedekler: 30 gün rotasyonlu; silinen veri yedeklerden de tasfiye edilir.
8. Haklarınız
KVKK m.11 ve GDPR m.15-22 kapsamında aşağıdaki haklara sahipsiniz:
- Verilerinize erişim, kopya talep etme
- Düzeltme ve eksik bilgileri tamamlama
- Silme ("unutulma hakkı")
- İşlemenin kısıtlanması
- Veri taşınabilirliği (CSV/JSON formatında)
- Otomatik karar verme süreçlerine itiraz
- Rızanızı geri çekme
Talepler için: {{DPO_EMAIL}}. 30 gün içinde yanıt veririz. Uyumsuzluk hâlinde Türkiye'de Kişisel Verileri Koruma Kurumuna (KVKK), AB'de yerel Veri Koruma Otoritesine şikâyet edebilirsiniz.
9. Güvenlik önlemleri
- Tüm trafik TLS 1.3 ile şifrelidir.
- Veritabanı kayıtları AES-256 ile şifrelenir (encryption at rest).
- Parolalar geri alınamaz şekilde (Argon2id) hash'lenir.
- Erişim çift faktörlü kimlik doğrulamayla (2FA) güvenceye alınır.
- Düzenli güvenlik denetimleri ve sızma testleri yapılır.
- Veri ihlali tespit edildiğinde 72 saat içinde KVKK / DPA'lara ve etkilenen kullanıcılara bildirim yapılır.
10. Çocukların verileri
Hizmet yalnızca 18 yaş ve üzerindeki bireylerin (öğretmen, idareci, kurum yetkilisi) kullanımına yöneliktir. Periodix öğrencilere veya çocuklara doğrudan hizmet sunmaz. Öğrenci kişisel verileri Hizmet'te tutulmaz; yalnızca sınıf adı (örn. "9-A") gibi kimliksizleştirilmiş veriler kullanılır.
11. Değişiklikler
Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişiklikler hesap e-postasına bildirilir ve değişiklik tarihinden 30 gün önce duyurulur. Önceki sürümlerin bir kopyasına ihtiyaç duyarsanız {{DPO_EMAIL}} adresinden talep edebilirsiniz.
12. İletişim
Veri Sorumlusu: {{LEGAL_ENTITY}}
Adres: {{ADDRESS}}
VKN: {{VKN}} · MERSİS: {{MERSIS}}
KVKK / DPO: {{DPO_EMAIL}}
Genel iletişim: {{CONTACT_EMAIL}}