Gizlilik Politikası
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, AutoFix AI'nin kişisel verilerinizi nasıl topladığını, işlediğini ve koruduğunu açıklar.
Veri Sorumlusu
6698 sayılı Kanun ("KVKK") uyarınca veri sorumlusu sıfatıyla işbu Aydınlatma Metni'nin muhatabı:
- Unvan: E.S.K.I Bilgi Teknolojileri
- Adres: Dikilitaş Mah. 22209 sok. No:1 Akdeniz / Mersin, Türkiye
- Vergi No: 23245957120
- İletişim: privacy@autofixtr.com
İşlenen Kişisel Veri Kategorileri
Aşağıdaki kişisel veri kategorileri, açıklanan amaçlarla işlenmektedir:
- Kimlik bilgileri: ad, soyad
- İletişim bilgileri: e-posta adresi, telefon numarası (opsiyonel)
- Müşteri işlem bilgileri: hesap oluşturma tarihi, abonelik planı, ödeme geçmişi (Stripe üzerinden), kullanım istatistikleri (teşhis sayısı, oluşturma tarihleri)
- İşlem güvenliği bilgileri: IP adresi, oturum çerezleri, giriş zaman damgaları, şifre hash'i (bcrypt — düz metin saklanmaz)
- Araç ve hizmet kullanım verileri: kayıtlı araç bilgileri (marka, model, yıl, plaka, VIN, kilometre, bakım geçmişi), teşhis oturumlarında yazılı sohbet metinleri, yüklediğin fotoğraflar, ses kayıtları, OBD-II okuma sonuçları
- Konum bilgisi (yalnızca onay verirsen): oto sanayi haritası ve acil yardım özelliklerinde kullanılır; cihaza kayıtlı tutulmaz
- Pazarlama/iletişim tercihleri: e-posta ve push bildirim tercihlerin
Kişisel Verilerin İşlenme Amaçları
Toplanan kişisel veriler aşağıdaki amaçlarla işlenmektedir:
- Üyelik ve hesap yönetimi süreçlerinin yürütülmesi
- Yapay zeka destekli araç arıza tespit hizmetinin sunulması; sesli, yazılı ve görsel girdilerin analiz edilmesi
- Kullanıcı geçmişi ile bağlam zenginleştirilmiş teşhis sağlanması (bakım kayıtları, geçmiş oturumlar)
- Abonelik, ücretlendirme ve fatura süreçlerinin yürütülmesi
- Hizmet güvenliğinin ve dolandırıcılık önleme süreçlerinin sağlanması
- Müşteri destek taleplerinin karşılanması
- Anonim agregat veriler üzerinden hizmet kalitesinin iyileştirilmesi
- Yasal yükümlülüklerin yerine getirilmesi (defter tutma, talep üzerine resmî kurumlara bilgi verme)
Kişisel Veri İşlemenin Hukuki Sebepleri
Verileriniz, KVKK madde 5/2 kapsamında aşağıdaki hukuki sebeplerle işlenmektedir:
- (c) Sözleşmenin kurulması veya ifası: üyelik sözleşmesi ve abonelik ilişkisi gereği zorunlu veriler
- (ç) Veri sorumlusunun hukuki yükümlülüğü: Vergi Usul Kanunu, Türk Ticaret Kanunu kapsamında mali kayıt tutulması
- (f) Meşru menfaat: hizmet güvenliği, dolandırıcılık önleme, ürün geliştirme (kullanıcı haklarına orantılı şekilde)
- (a) Açık rıza: opsiyonel pazarlama iletişimleri, konum erişimi ve push bildirimler için
Verilerin Aktarıldığı Üçüncü Taraflar
Hizmetin sunulabilmesi için aşağıdaki üçüncü taraflarla veri paylaşımı yapılmaktadır. Hepsi veri işleyen sıfatıyla hareket eder; verileriniz pazarlama amacıyla satılmaz:
- Anthropic, Inc. (ABD): Claude AI ile teşhis sohbeti — yazılı mesajlar ve teşhis bağlamı. Anthropic'in zero-retention sözleşmesi kapsamında veriler eğitim için kullanılmaz.
- Google LLC / Gemini API (ABD/AB): ses ve görsel analizi (motor sesi, gösterge paneli ve hasar fotoğrafları). Eğitim opt-out'lı sözleşme.
- Google LLC / OAuth (ABD/AB): Google ile giriş özelliği — e-posta ve isim profil bilgisi.
- Meta Platforms, Inc. / Facebook OAuth (ABD/AB): Facebook ile giriş — e-posta ve isim profil bilgisi.
- Supabase, Inc. (AB, eu-west-1): PostgreSQL veritabanı barındırma; tüm hesap, araç ve teşhis verisi burada saklanır.
- Vercel, Inc. (Global edge — ABD veri sorumlusu): uygulama barındırma ve sunucusuz fonksiyonlar; tüm trafik buradan geçer.
- Stripe Payments Europe Ltd. (İrlanda): abonelik ödemeleri. AutoFix AI kart bilgisini görmez/saklamaz — yalnızca Stripe müşteri ID'si tutulur.
- Resend Inc. (ABD): işlemsel e-posta gönderimi (şifre sıfırlama, hesap onayı, bildirimler).
- Upstash, Inc. (AB): Redis tabanlı oturum / rate-limit yönetimi.
Yurt Dışına Veri Aktarımı
Yukarıda sayılan üçüncü taraf hizmet sağlayıcılarının bir kısmı sunucularını Türkiye dışında (ABD, AB ülkeleri) işletmektedir. KVKK madde 9 kapsamında bu aktarımlar:
- Sözleşmenin ifası için zorunlu olduğundan ve
- Standart Sözleşme Maddeleri (SCC) veya yeterli korumayı sağlayan benzeri yapısal taahhütler eşliğinde gerçekleştirilmektedir.
Kayıt olduğunuzda ve hizmeti kullanmaya devam ettiğinizde, bu aktarımların yapılabilmesi için açık rızanız alınmış sayılmaktadır.
Saklama Süreleri
Kişisel verileriniz, işleme amacının gerektirdiği süre boyunca ve ilgili mevzuatın öngördüğü zamanaşımı sürelerine uygun olarak saklanır:
- Hesap ve profil bilgileri: aktif üyelik süresi boyunca; hesap silindikten 30 gün sonra geri dönüşsüz olarak silinir.
- Teşhis oturumları ve bakım kayıtları: aktif üyelik süresince; kullanıcı bireysel olarak da silebilir.
- Ödeme ve fatura kayıtları: 213 sayılı VUK ve 6102 sayılı TTK kapsamında 10 yıl.
- İşlem güvenliği logları: 5651 sayılı Kanun kapsamında 1–2 yıl.
- Pazarlama tercihleri: kullanıcı geri çekene kadar.
Veri Sahibinin Hakları (KVKK m.11)
Kişisel verilerinizin sahibi olarak, KVKK madde 11 uyarınca aşağıdaki haklara sahipsiniz:
- (a) Kişisel verinizin işlenip işlenmediğini öğrenme
- (b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
- (c) İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- (ç) Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
- (d) Eksik veya yanlış işlenmişse düzeltilmesini isteme
- (e) Kanunda öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
- (f) Düzeltme/silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme
- (g) İşlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhinize bir sonuç çıkmasına itiraz etme
- (h) Kanuna aykırı işleme nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme
Bu hakları kullanmak için privacy@autofixtr.com adresine yazılı başvuruda bulunabilir veya uygulama içinden "Hesabımı Sil" özelliğini kullanabilirsiniz. Başvurularınız, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca en geç 30 gün içinde sonuçlandırılır.
Veri Güvenliği Önlemleri
Verilerinizi korumak için aldığımız teknik ve idari tedbirler:
- Şifreler bcrypt algoritmasıyla hash'lenerek saklanır; düz metin tutulmaz
- Tüm trafiğin uçtan uca TLS 1.3 şifrelemesi
- Veritabanı erişiminin sınırlı IP ve role-based access ile kısıtlanması
- Şifre sıfırlama token'larının yalnızca SHA-256 hash'lerinin saklanması
- Rate limiting ile brute-force saldırılarına karşı koruma
- İşlem loglarının düzenli incelenmesi ve anormallik tespiti
- Üçüncü taraf hizmet sağlayıcılarının SOC 2 / ISO 27001 uyumluluğunun gözetilmesi
Çerezler ve Yerel Depolama
AutoFix AI yalnızca zorunlu çerezler kullanır. Bunlar oturum yönetimi (NextAuth session token), CSRF koruması ve kullanıcı tercihleri (örn. dil seçimi) için gereklidir.
Üçüncü taraf izleme veya reklam çerezleri kullanılmaz. Tarayıcı yerel depolaması (localStorage) yalnızca arayüz tercihleri (kapatılmış banner durumu, taslak giriş) için kullanılır.
Çocukların Verileri
AutoFix AI 18 yaş altındaki kullanıcılara yönelik bir hizmet sunmamaktadır. Hizmetin kayıt sırasında veya hizmetin kullanımı esnasında 18 yaşından küçük bir kişinin kişisel verisinin işlendiği tespit edilirse, ilgili veriler derhal silinir.
Politikadaki Değişiklikler
Bu Gizlilik Politikası, yasal düzenleme değişiklikleri veya hizmette yapılan önemli güncellemeler nedeniyle zaman zaman revize edilebilir. Esaslı bir değişiklik olması halinde, yürürlüğe girmesinden önce e-posta veya uygulama içi bildirim yoluyla bilgilendirileceksiniz. Sayfanın üst kısmındaki "Son güncelleme" tarihi yapılan en son revizyonu gösterir.
İletişim
Kişisel verilerinizle ilgili tüm soru, talep ve başvurularınız için:
- E-posta: privacy@autofixtr.com
- Posta: E.S.K.I Bilgi Teknolojileri, Dikilitaş Mah. 22209 sok. No:1 Akdeniz / Mersin
Başvurunuzun KVKK m.13 kapsamında değerlendirilebilmesi için adınız, T.C. kimlik numaranız (Türk vatandaşı iseniz) veya pasaport numaranız, tebligata esas adres ve talep konunuzu açıkça belirtmenizi rica ederiz.