Gizlilik Politikası
Bu politika, INNER ECHO: Meet Your Soul hizmetini (Bertan Martini) kullandığında kişisel verilerinin nasıl toplandığını, kullanıldığını, paylaşıldığını ve korunduğunu açıklar. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Kaliforniya Tüketici Gizliliği Yasası (CCPA/CPRA) ve Türkiye Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki haklarını ve yükümlülüklerimizi içerir.
1. Veri Sorumlusu ve İletişim
Veri sorumlusu: Bertan Martini. Gizlilikle ilgili her talep ve soru için: support@bertanmartini.com.
2. Topladığımız Kişisel Veriler
- Hesap verileri: e-posta adresi, ad, şifre (geri döndürülemez biçimde şifrelenir), Google ile girişte Google hesap kimliği.
- Profil / analiz verileri: ad, soyad ve doğum tarihi; bunlardan üretilen numeroloji analizi sonuçları.
- Sohbet verileri: AI koçluk sohbetinde yazdığın mesajlar ve üretilen yanıtlar.
- Ödeme verileri: ödemeler Stripe üzerinden işlenir; kart bilgilerin bizim sunucularımızda saklanmaz, yalnızca Stripe müşteri kimliği tutulur.
- Teknik veriler: IP adresi (güvenlik / hız sınırlama), cihaz/tarayıcı bilgisi, zorunlu oturum çerezi.
- Onay kayıtları: koşulları kabul tarihin, kabul ettiğin politika sürümü ve onay anındaki IP.
3. İşleme Amaçları ve Hukuki Dayanak
Verilerini şu amaçlarla ve şu hukuki dayanaklarla işleriz (GDPR md.6 / KVKK md.5):
- Hizmeti sunmak (analiz, sohbet, hesap): sözleşmenin ifası.
- Ödeme almak: sözleşmenin ifası ve yasal yükümlülük.
- Güvenlik, dolandırıcılık ve kötüye kullanım önleme: meşru menfaat.
- Yasal yükümlülükler (muhasebe, talep yanıtlama): hukuki yükümlülük.
- İsteğe bağlı bildirimler (varsa): açık rıza.
4. Yapay Zekâ ile İşleme
Sohbet koçluğu, doğrudan OpenAI dil modeli (GPT) ile çalışır. Mesajların ve analiz bağlamın (ad, doğum tarihi, cinsiyet, numeroloji sonuçların dahil) yanıt üretmek için OpenAI'a iletilir. Bu veriler yapay zeka modelini eğitmek için kullanılmaz; istekler saklama kapalı (store: false) gönderilir ve hesabımızda OpenAI'nin veri işleme şartları (DPA) kapsamında işlenir. Tamamen otomatik kararlarla senin üzerinde hukuki/benzer etki doğuran bir işleme yapılmaz; analizler bilgilendirme ve öz-gelişim amaçlıdır. Sohbet içeriğin, doğum tarihin ve cinsiyetin gibi hassas olabilecekveriler yalnızca hizmeti sunmak için, açık rızana (Türkiye'den erişimde KVKK m.9 açık rızası) dayanarak işlenir.
5. Üçüncü Taraflarla Paylaşım ve Uluslararası Aktarım
Kişisel verini satmayız. Hizmeti sağlamak için aşağıdaki işleyenlerle paylaşırız. Veri sorumlusu AB'de yerleşiktir; veriler öncelikle AB'de (Supabase, İrlanda) barındırılır. Bazı işleyenler ABD'de bulunur (OpenAI, Vercel, Resend, Google ve gerektiğinde Stripe/Upstash); bu aktarımlarAB-ABD Veri Gizliliği Çerçevesi (DPF) ve/veya Standart Sözleşme Maddeleri (SCC) kapsamında yapılır. Türkiye'den erişen kullanıcılar için yurt dışına aktarım, kayıt sırasında verilen KVKK m.9 açık rızasına dayanır.
| İşleyen | Amaç | Konum | Gizlilik |
|---|---|---|---|
| Supabase (PostgreSQL) | Veritabanı / barındırma | AB (AWS eu-west-1, İrlanda) | Politika |
| Vercel | Uygulama barındırma / dağıtım | ABD | Politika |
| Stripe | Ödeme işleme (kart verisi bizde tutulmaz) | ABD / AB | Politika |
| OpenAI | AI koçluk yanıtları ve dil modeli (GPT) işleme (veri model eğitimi için kullanılmaz) | ABD | Politika |
| Resend | E-posta gönderimi (doğrulama kodu + şifre sıfırlama) | ABD | Politika |
| Google ile giriş (OAuth), kullanırsan | ABD | Politika | |
| Upstash | Hız sınırlama (rate limit), etkinse | ABD / AB | Politika |
6. Saklama Süreleri
- Hesap ve analiz verileri: hesabın aktif olduğu sürece; hesabını sildiğinde gecikmeden silinir.
- Sohbet mesajları: sen silene veya hesabını kapatana kadar; uygulamadan istediğin an silebilirsin.
- Ödeme kayıtları: ilgili mali mevzuat gereği yasal saklama süresince (Stripe nezdinde).
- Doğrulama kodu / şifre sıfırlama token'ları: kısa ömürlü (10 dk / 1 saat); süresi dolanlar günlük otomatik olarak silinir.
- Teknik/güvenlik kayıtları: kısa süreli, gerektiği kadar.
7. Haklarınız
GDPR (AB) kapsamında: erişim, düzeltme, silme (unutulma), işlemenin kısıtlanması, veri taşınabilirliği, işlemeye itiraz ve rızayı geri çekme hakların vardır.
CCPA/CPRA (Kaliforniya) kapsamında: hangi verinin toplandığını bilme, silme, düzeltme ve satışın/paylaşımın reddi hakların vardır. Kişisel verini satmıyoruz (bkz. Verilerimi Satmayın).
KVKK (Türkiye) md.11 kapsamında: verinin işlenip işlenmediğini öğrenme, bilgi talep etme, amaca uygun kullanılıp kullanılmadığını öğrenme, düzeltme/silme isteme ve zararın giderilmesini talep etme hakların vardır.
Bu hakları uygulama içinden Profil → Gizlilik ve Verilerim bölümünden (verini indir, sohbeti sil, hesabı sil) ya da support@bertanmartini.com adresine yazarak kullanabilirsin. Taleplere en geç yasal süreler içinde (GDPR: 1 ay; KVKK: 30 gün) yanıt veririz.
8. Güvenlik
Şifreler bcrypt ile geri döndürülemez şekilde saklanır; trafik HTTPS ile şifrelenir; veriler erişim kontrollü altyapıda barındırılır; kötüye kullanıma karşı hız sınırlama uygulanır. Hiçbir yöntem %100 güvenli olmasa da uygun teknik ve idari önlemleri alırız (GDPR md.32 / KVKK md.12).
9. Çerezler
Yalnızca hizmetin çalışması için zorunlu çerezler (oturum) kullanılır; pazarlama/izleme çerezi yoktur. Ayrıntı için Çerez Politikası.
10. Çocukların Gizliliği
Hizmet 18 yaş ve üzeri içindir. 18 yaş altından bilerek veri toplamayız; böyle bir veri tespit edersek sileriz.
11. Değişiklikler
Bu politikayı güncelleyebiliriz; önemli değişikliklerde sürüm numarasını artırır ve uygun şekilde bilgilendiririz. Güncel sürüm her zaman bu sayfadadır.