- Giriş
Ergin ULUSOY / EduHubTr ("Veri Sorumlusu", "biz") olarak; EduHubTr platformunu kullanan akademisyenlerin, araştırmacıların ve diğer kullanıcıların kişisel verilerinin korunmasına büyük önem veriyoruz.
İşbu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") Madde 10 uyarınca bir "Aydınlatma Metni" niteliğindedir. Bu politika, "Açık Rıza" metni yerine geçmez; açık rıza gerektiren işlemler (yurt dışı veri aktarımı, pazarlama iletişimi vb.) için platformumuzda tamamen ayrı, özgür iradeye dayalı ve önceden işaretlenmemiş onay mekanizmaları (opt-in) sunulmaktadır.
Veri sorumlusu olarak, "Tasarım Gereği Gizlilik" (Privacy by Design) ilkesini benimsediğimizi, platformumuzun varsayılan ayarlarının en yüksek gizlilik seviyesinde kurgulandığını ve kullanıcılarımızın her türlü soru ve taleplerine geçiştirici olmayan, somut ve tatmin edici yanıtlar vereceğimizi taahhüt ederiz.
Toplanan Veriler
EduHubTr aracılığıyla "veri minimizasyonu" ve "ölçülülük" ilkeleri gözetilerek, yalnızca hizmetin ifası için zorunlu olan aşağıdaki kategorilerde kişisel veri toplanmaktadır:
Kimlik ve İletişim Verileri
- E-posta adresi (zorunlu - Çift taraflı doğrulama (double opt-in) ile teyit edilmeden aktif edilmez.)
- Ad, Soyad (zorunlu)
- Profil görseli (Google OAuth ile giriş yapılırsa Google'dan otomatik aktarılır)
Hesap ve Kimlik Doğrulama Verileri
- Şifre (yalnızca kriptografik özet — hash — formatında saklanır, açık metin tutulmaz)
- Google OAuth sağlayıcı kimliği (eğer Google ile giriş yapılırsa)
- Oturum belirteçleri (Supabase auth token)
- E-posta doğrulama durumu
Teknik ve Kullanım Verileri
- IP adresi, Tarayıcı bilgisi ve sürümü (user-agent), İşletim sistemi, Cihaz tipi
- Giriş tarihi ve saati, Hata kayıtları (log)
- Modül kullanımları, tıklama akışı (Sadece teknik şeffaflık ve şebeke güvenliği standartları gereği toplanır).
İçerik Verileri
- YZ modüllerine girdiğiniz prompt metinleri ve üretilen YZ çıktıları
- Çevirdiğiniz, danışman olarak ilettiğiniz akademik metinler ve yüklediğiniz dosyalar
- Not: Platformumuzda biyometrik veri veya özel nitelikli kişisel veri (sağlık, sendika üyeliği vb.) talep edilmemektedir. Kullanıcıların promptlar aracılığıyla bu verileri girmesi durumunda, veriler derhal anonimleştirme süreçlerine tabi tutulur.
Ödeme Verileri
- Satın alınan paket bilgisi, satın alma tarihi, tutar
- Fatura için ad, soyad, adres, T.C. kimlik numarası veya vergi numarası
- Kart bilgileri tarafımızdan tutulmaz; doğrudan iyzico Ödeme Kuruluşu A.Ş.'nin PCI-DSS uyumlu altyapısında işlenir. Ödeme hizmetlerinde veri sorumluluğu B2C modeli çerçevesinde ilgili ödeme kuruluşuna aittir.
Verilerin Toplanma Yöntemi
Kişisel verileriniz aşağıdaki kanallar aracılığıyla toplanmaktadır:
- Kayıt Formu: E-posta ve şifre ile kaydolunduğunda doğrudan sizin tarafınızdan. İletişim bilgilerinin doğruluğunu teyit etmek amacıyla doğrulama mekanizmaları (e-posta onay linki) işletilmektedir. Doğrulanmamış adreslere otomatik bildirim yapılmaz.
- Google OAuth: "Google ile giriş yap" seçeneği kullanıldığında Google tarafından paylaşılan profil bilgileri.
- Çerezler ve Benzer Teknolojiler: Tarayıcınız aracılığıyla otomatik olarak.
- Platform İçi Etkileşimler: Modülleri kullanırken girdiğiniz veriler.
- Destek ve İletişim Kanalları: Bize ilettiğiniz bilgiler. Üçüncü kişiler tarafından sağlanan irtibat bilgilerinin doğruluğu teyit edilmeden işlem yapılmaz.
İşleme Amaçları ve 5. Hukuki Sebepler (Faaliyet Bazlı Matris)
Kişisel verileriniz, "kabul et ya da terk et" dayatması olmaksızın, aşağıdaki faaliyet bazlı amaçlar ve hukuki sebeplere (KVKK Madde 5) dayanılarak işlenmektedir. Temel hizmetlerin sunulması, hiçbir şekilde açık rıza şartına bağlanmamıştır:
- Üyelik Sözleşmesinin Kurulması ve İfası (m.5/2-c): Hesabınızı oluşturmak, kimliğinizi doğrulamak, talep ettiğiniz YZ modüllerini ve hizmetleri sunmak, fatura kesmek.
- Hukuki Yükümlülüğün Yerine Getirilmesi (m.5/2-ç) ve Kanunlarda Açıkça Öngörülmesi (m.5/2-a): 5651 sayılı Kanun uyarınca trafik/log kayıtlarının tutulması, Vergi Usul Kanunu uyarınca fatura kayıtlarının saklanması, yetkili adli/idari mercilerin usulüne uygun taleplerine yanıt verilmesi.
- Bir Hakkın Tesisi, Kullanılması veya Korunması (m.5/2-e): Olası hukuki uyuşmazlıklarda delil sunulması ve sözleşmeden doğan haklarımızın kullanılması.
- Meşru Menfaat (m.5/2-f): Platformun teknik altyapısını çalıştırmak, dolandırıcılığı önlemek. Bu faaliyette, ilgili kişinin temel hak ve özgürlükleri ile kendi menfaatlerimiz arasında "denge testi" uygulanmakta; kişinin çalışma hürriyeti veya özel hayatın gizliliğini ihlal edebilecek hiçbir işleme yer verilmemektedir.
- Açık Rıza (m.5/1): Yalnızca yurt dışı veri aktarımı, pazarlama iletişimi ve profilleme/davranışsal analiz faaliyetleri için (ayrıca alınır).
Platformumuzda gerçekleşen her türlü davranışsal analiz veya puanlama işlemi şeffaf bir şekilde yürütülür ve kullanıcının açık rızası olmaksızın aleyhine sonuç doğuracak otomatik karar alma mekanizmaları işletilmez.
Üçüncü Taraflarla Paylaşım (Veri İşleyenler)
Hizmetin sunulabilmesi için kişisel verileriniz, "bilmesi gereken" (need-to-know) ilkesi ve veri minimizasyonu çerçevesinde, sözleşmesel ilişkimiz bulunan "Veri İşleyen" sıfatındaki aşağıdaki üçüncü taraflarla paylaşılmaktadır:
- Supabase Inc.: Veritabanı, kimlik doğrulama (Dublin, İrlanda)
- Anthropic PBC: Claude API üzerinden YZ çıktısı üretimi (ABD)
- Vercel Inc.: Web hosting, CDN (Global)
- StatCounter (Aubble Ltd.): Web analitiği, site trafiğinin anonim ölçümü (İrlanda / AB)
- iyzico: Ödeme alma ve fatura işlemleri (Türkiye)
Veri İzolasyonu ve Rekabet Hukuku Taahhüdü: Veri sorumlusu olarak, veri işleyenler üzerindeki denetim yetkimiz saklıdır. Üçüncü taraflarla paylaşılan veriler, yalnızca operasyonel süreçlerin yürütülmesi için zorunlu olan teknik verilerle sınırlıdır. Ticari sır niteliğindeki veriler veya rekabete duyarlı bilgiler (fiyatlama, strateji) kesinlikle paylaşılmaz. Departmanlar ve hizmet sağlayıcılar arasında "veri duvarları" (firewall) kurularak çapraz veri analizi yapılması engellenmiştir.
Kişisel verileriniz; pazarlama amacıyla üçüncü kişilere kesinlikle satılmaz, kiralanmaz ve hiçbir şekilde herkesin erişimine açık dijital ortamlarda yayımlanmaz.
Yurt Dışı Veri Aktarımı
EduHubTr altyapısının bir bölümü yurt dışında yerleşik veri işleyiciler (Supabase, Anthropic, Vercel) üzerinde çalışmaktadır. Bu aktarımlar, KVKK'nın 9. maddesi uyarınca; Avrupa Komisyonu tarafından yayımlanan Standart Sözleşme Hükümleri (SCC) ve Kurul tarafından onaylanan taahhütnameler çerçevesinde, yeterli koruma sağlanarak gerçekleştirilmektedir.
Yurt dışı aktarımı için kullanıcılardan "Açık Rıza Metni" kapsamında ayrıca ve özgür iradeye dayalı onay alınmaktadır. Bu onay, temel hizmetlerin sunulması için bir ön şart (dayatma) değildir.
Veri Güvenliği
Verilerinizin güvenliği için KVKK Madde 12 uyarınca aşağıdaki teknik ve idari tedbirler eksiksiz uygulanmaktadır:
- Teknik Tedbirler: Tüm bağlantılar TLS 1.2+ üzerinden HTTPS ile şifrelenir. Veriler at-rest ve in-transit olarak AES-256 ile şifrelidir. Veri sızıntısını önleyici (DLP) çözümler aktif olarak kullanılır. Sistem güncellemelerinde "Güvenlik Tasarımı" (Privacy by Design) prensibi uygulanır ve düzenli sızma testleri yapılır.
- İdari Tedbirler (Erişim Kontrolü): Çalışanların verilere erişimi "Rol Bazlı Erişim Kontrolü" (RBAC) ve "bilmesi gerekenler" ilkesiyle sınırlandırılmıştır. Tüm erişimlerin log (iz) kayıtları tutulur ve periyodik olarak denetlenir. Çalışanların kişisel verileri şahsi cihazlarına (WhatsApp vb.) aktarması kesinlikle yasaktır. Düzenli KVKK farkındalık eğitimleri verilmektedir.
- İhlal Bildirimi: Olası bir veri ihlali durumunda, ihlalin öğrenildiği andan itibaren KVKK’nın öngördüğü 72 saatlik bildirim süresi içinde hem ilgili kişilere hem de Kurul'a bildirim yapılacaktır.
Saklama Süresi ve İmha Politikası
Kişisel verileriniz, işleme şartlarının ortadan kalktığı tarihten itibaren periyodik imha takvimimize uygun olarak silinir, yok edilir veya anonim hale getirilir. İmha yöntemlerinin gerekçeleri denetlenebilir şekilde kayıt altına alınır.
- Hesap, kimlik ve modül çalışma verileri: Krediniz bittikten sonra 5 gün içinde yeniden kredi yüklenmezse hesabınız (profil/kimlik) ve tüm çalışma verileriniz kalıcı olarak silinir. Bu süre içinde yeniden yükleme yapılırsa hesabınız ve çalışmalarınız kaldığı yerden korunur.
- Yasal saklama zorunluluğu bulunan kayıtlar (fatura/ödeme, trafik logları) hesap silinse dahi kişi bağlantısı koparılarak (anonimleştirilerek) aşağıdaki mevzuat süreleri boyunca saklanır.
- Fatura ve ödeme kayıtları: Vergi Usul Kanunu ve TTK uyarınca yasal zorunluluk gereği 10 yıl saklanır.
- Trafik ve log kayıtları: 5651 sayılı Kanun uyarınca 2 yıl süreyle saklanır.
- Unutulma Hakkı: Kullanıcılar, güncelliğini yitiren veya hizmetin sona ermesinden sonra sistemde kalan YZ çıktıları ve içerik verilerinin kalıcı olarak silinmesini talep edebilir.
Not: Yasal saklama yükümlülükleri veya bir hakkın tesisi gibi işleme şartlarının devam ettiği durumlarda, silme talepleri gerekçeli olarak reddedilebilir veya erişim kısıtlaması uygulanabilir.
Çerezler
Platform; oturum yönetimi ve teknik zorunluluklar için çerezler kullanır. Profilleme, davranışsal analiz veya reklam amaçlı çerezler, kullanıcının "Çerez Ayarları" panelinden vereceği ayrı ve aktif rızaya (opt-in) tabidir. Detaylı bilgi için Çerez Politikası'na bakınız.
Kullanıcı Hakları (KVKK Madde 11)
KVKK'nın 11. maddesi uyarınca veri sahibi olarak aşağıdaki haklara sahipsiniz:
- İşlenip işlenmediğini öğrenme, bilgi talep etme, amacına uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde/dışında aktarıldığı 3. kişileri bilme, eksik/yanlış verilerin düzeltilmesini isteme.
- Şartlar çerçevesinde silinmesini/yok edilmesini isteme ve bunun 3. kişilere bildirilmesini isteme.
- Otomatik sistemler vasıtasıyla aleyhinize bir sonuç çıkmasına itiraz etme, zararın giderilmesini talep etme.
- Verilen rızayı dilediğiniz zaman, hizmetin temel işlevselliğini kaybetmeden geri çekme.
- Veri Taşınabilirliği Hakkı: Platforma yüklediğiniz veya ürettiğiniz verileri makul bir sürede, makine tarafından okunabilir (CSV, JSON vb.) formatta dışa aktarma hakkına sahipsiniz. Platformumuz, verilerinizi başka mecralara taşımanızı engelleyici hiçbir teknik veya sözleşmesel kısıtlama uygulamaz.
Hak Kullanım Yolu
Taleplerinizi, kimliğinizi tevsik edici belgelerle birlikte [email protected] adresine e-posta ile veya platform içerisindeki "Hesap Ayarları / Veri Yönetimi" paneli üzerinden kolaylıkla iletebilirsiniz.
Başvurularınız, şekilcilikten uzak bir yaklaşımla değerlendirilir ve en geç 30 gün içinde, geçiştirici olmayan, somut, açıklayıcı ve dürüstlük kuralına uygun şekilde yanıtlanır. İspat yükümlülüğü veri sorumlusu olarak tarafımıza aittir.
18 Yaş Altı Kullanıcılar
EduHubTr, yalnızca 18 yaşını doldurmuş kullanıcılar için tasarlanmıştır. Kayıt aşamasında yaş doğrulama mekanizmaları işletilmektedir. 18 yaş altı bir kullanıcının kaydolduğu tespit edildiğinde hesap derhal kapatılır ve veriler imha edilir.
Politika Güncellemeleri
Bu politika zaman zaman güncellenebilir. Esaslı değişiklikler en az 15 gün önceden duyurulur. Yapılan değişiklikler, kullanıcıların açık rızası alınmaksızın geçmişe yönelik (kazanılmış hakları ihlal edecek şekilde) uygulanamaz.
İletişim
Bu politikaya veya KVKK haklarınıza ilişkin tüm sorularınız için bize ulaşabilirsiniz:
Veri Sorumlusu: Ergin ULUSOY
Adres: Kocasinan / Kayseri, Türkiye
Vergi Dairesi / No: Gevher Nesibe Vergi Dairesi Müd. / 8900176099
KVKK İletişim: [email protected] · Telefon: 0850 840 46 05