Gizlilik Politikası

Bu politika, hellojazari.com alan adında ve ilgili uygulamalarda sunulan JAZARI Jarvis hizmetinin ("Hizmet") tüm ziyaretçi ve kayıtlı kullanıcılarına uygulanır. Üçüncü taraf entegrasyonlar (Google, Slack, OpenAI vb.) kendi gizlilik politikalarına tabidir; biz yalnızca sizin açıkça yetkilendirdiğiniz veri akışını yönetiriz.

KVKK ve GDPR kapsamında veri sorumlusu sıfatıyla JAZARI Jarvis hareket eder. Tüm gizlilik talepleri için tek temas noktası:

• E-posta: privacy@hellojazari.com
• Güvenlik bildirimleri: security@hellojazari.com

Yalnızca hizmeti sunmak için zorunlu olan veri kategorilerini işleriz:

• Hesap ve profil: e-posta, ad, dil tercihi, saat dilimi, kişisel ton/iletişim tercihleri, çalışma ve sessiz saatleri, rol bilgisi.
• Üretkenlik içeriği: oluşturduğunuz görevler, projeler, hızlı notlar, kararlar ve raporlar; AI öncelik skorları gibi türetilmiş alanlar.
• Takvim verisi: bağladığınız takvimden çekilen etkinliklerin başlığı, açıklaması, katılımcıları, organizatör e-postası, toplantı linki, konum ve ham yanıt (yalnızca size ait kullanıcı kapsamında).
• Bağlı hesap & token verisi: her entegrasyon için OAuth token referansları, izin kapsamları, bağlı hesap etiketi ve son senkron zamanı.
• Drive / dosya metadatası: bağladığınız bulut sürücülerden alınan dosya adı, MIME türü, boyut, web URL'i, üst klasör ve değişiklik zamanı.
• Sesli asistan verisi: ses oturumu süreleri, transkriptler (kullanıcı izniyle), asistan mesaj geçmişi, seçilen sağlayıcı ve model.
• AI ve bilgi sorguları: sorgu metni, model çıktısı, token sayıları, latency, tahmini maliyet (faturalandırma ve şeffaflık için).
• Bildirim verisi: push aboneliği endpoint'i ve şifreleme anahtarları, gönderim durumları.
• Otomasyon ve iş çalıştırma kayıtları: başlattığınız otomasyonların girdi/çıktısı, durumu ve hata kayıtları.
• Bağlamsal cache: seçtiğiniz konum için hava durumu önbelleği (yalnızca sizin kullanıcınız için).
• Operasyonel loglar: önemli kullanıcı eylemlerinin denetim kaydı (audit log) ve sağlayıcı kullanım kotası.

Her tablo Satır Düzeyi Güvenlik (RLS) ile korunur ve veritabanı seviyesindeenforce_row_owner_uidtetikleyicisi, sahibinden başkasının kayıt yazmasını engeller.

Verilerinizi yalnızca aşağıdaki amaçlarla ve belirtilen hukuki dayanaklarla işleriz:

Verilerinizi pazarlama profili çıkarmak, üçüncü taraflara satmak veya AI modellerimizi sizin verinizle eğitmek için kesinlikle kullanmıyoruz.

Hizmeti sunabilmek için aşağıdaki kategorilerde alt-işleyici kullanırız: barınma (Lovable Cloud / Supabase), edge runtime (Cloudflare Workers), bağlı OAuth servisleri (Google), AI sağlayıcıları (OpenAI, Google Gemini), ses sağlayıcıları (ElevenLabs), bildirim ve e-posta (Slack, Resend, Web Push) ve bağlamsal veri (OpenWeather, Wolfram).

Tam ve güncel liste, her sağlayıcının amacı, veri kategorisi ve lokasyonu ile birlikte ayrı bir Alt-İşleyiciler sayfasında yayınlanır. Yeni bir alt-işleyici eklendiğinde bu sayfa güncellenir; önemli değişikliklerde aktif kullanıcılara bildirim gönderilir.

Google API hizmetleri: Google Calendar/Drive verilerinizi yalnızca size doğrudan görünür özellikleri sağlamak için kullanırız. Bu veriler reklam, modelin genel eğitimi veya operatörler tarafından okunma için kullanılmaz — Google API Services User Data Policy ve Limited Use şartlarına uyumluyuz.

Her bağlantı tek bir kullanıcıya özeldir. Bir Google hesabı, başka bir kullanıcının sistemdeki kimliğine bağlanamaz. Bu, hem RLS politikaları hem de veritabanı tetikleyicileri ile zorlanır.

• İstediğimiz kapsamlar (scopes): Yalnızca seçtiğiniz özelliklerin gerektirdiği minimum scope (örn. calendar.readonly, calendar.events) istenir.
• Token saklama: Erişim ve yenileme tokenları user_oauth_tokens tablosunda kullanıcıya bağlı şekilde tutulur; her satır RLS + sahiplik tetikleyicisi ile korunur.
• OAuth state TTL: Bağlantı akışındaki oauth_state kayıtları 10 dakika sonra geçersiz sayılır; CSRF saldırılarına karşı korunma sağlar.
• Bağlantıyı koparma: Bağlantılar sayfasından bir entegrasyonu sildiğinizde token kaydı kalıcı olarak silinir ve önbelleğe alınmış o sağlayıcı verisi temizlenir.

• Hangi sağlayıcı? Sohbet ve özetleme için OpenAI ve Google Gemini; sesli asistan için OpenAI Realtime ve ElevenLabs.
• Eğitim: İçeriğiniz model eğitiminde kullanılmaz — OpenAI API ve Lovable AI Gateway sıfır-saklama (zero-retention) politikalarına dayanırız.
• Transkript saklama: Sesli asistan transkriptleri (voice_sessions) yalnızca sizin hesabınız için tutulur. Sesli ayarlardan "Transkriptleri sakla" seçeneğini kapatabilirsiniz.
• Geçici kimlik bilgileri: Sesli oturumlar için kısa ömürlü token üretilir; oturum bittiğinde otomatik geçersiz olur.
• Silme: Asistan mesajlarınızı (assistant_messages) ve oturum geçmişinizi istediğinizde silebilirsiniz.

Yalnızca işlevsel veriler kullanırız:

• Auth oturum çerezleri: giriş yapmış olmanızı sürdürmek için (Supabase tarafından yönetilir).
• localStorage: dil tercihi (jazari.lang), tema gibi UI ayarları.
• Service worker: PWA çevrimdışı çalışma ve push bildirimleri için.

Reklam veya üçüncü taraf izleme çerezi kullanmıyoruz.

• Hesap verisi: hesap aktif olduğu sürece + iptalden sonra 30 gün soft delete, ardından kalıcı silme.
• Audit log: 12 ay; sonra anonimleştirilir veya silinir.
• AI kullanım logları: 6 ay (faturalama ve abuse tespiti için).
• Sesli oturum transkriptleri: kullanıcı silene kadar; "transkripti saklama"yı kapatırsanız hiç saklanmaz.
• OAuth token'ları: bağlantı koparılana kadar; kullanılmayan tokenlar 12 ay sonra otomatik temizlenir.
• Bağlamsal cache (hava, takvim): 7-30 gün.

Birincil veri barınmamız AB bölgesindedir (Lovable Cloud / Supabase). Ancak kullandığımız bazı alt-işleyiciler (OpenAI – ABD, Google – global) AB dışı sunuculara veri aktarabilir. Bu aktarımlar için Avrupa Komisyonu'nun onayladığı Standart Sözleşme Maddeleri (SCC) imzalanmıştır ve Lovable Cloud DPA çerçevesi geçerlidir.

İlgili mevzuat kapsamında aşağıdaki haklara sahipsiniz:

• Erişim: hangi verilerinizi işlediğimizi sorma.
• Düzeltme: hatalı verilerin güncellenmesini isteme.
• Silme ("unutulma"): verilerinizin tamamen silinmesini talep etme.
• Taşınabilirlik: verilerinizin makine-okunur formatta kopyasını alma.
• İşlemeye itiraz: meşru menfaate dayalı işlemeye itiraz etme.
• Rıza geri çekme: verdiğiniz açık rızayı (örn. transkript saklama) geri çekme.
• Otomatik karar verme: tamamen otomatik karara tabi olmama hakkı.

Tüm taleplere privacy@hellojazari.com adresinden yapılan başvuru tarihinden itibaren 30 gün içinde yanıt vermeyi taahhüt ederiz.

• Satır Düzeyi Güvenlik (RLS): kullanıcıya ait her tablo, sahiplik kontrolü ile filtrelenir.
• Veritabanı sahiplik tetikleyicisi: enforce_row_owner_uid trigger'ı, uygulama hatası olsa dahi başkasının kimliğiyle yazma yapılmasını engeller.
• İletimde şifreleme: tüm trafik TLS 1.2+ ile korunur.
• Sunucu tarafı sırlar: üçüncü taraf API anahtarları yalnızca sunucu boundary'sinde tutulur — tarayıcıya hiçbir zaman gönderilmez.
• OAuth state TTL: 10 dakika.
• Audit logging: önemli eylemler değiştirilemez zaman damgalarıyla kayıt altına alınır.
• İhlal bildirimi: kişisel veri ihlali tespit edildikten sonra 72 saat içinde ilgili otoriteye ve etkilenen kullanıcılara bildirim yapılır.

JAZARI Jarvis 16 yaşın altındaki çocuklara yönelik değildir. 16 yaş altı kullanıcıdan bilerek kişisel veri toplamayız; böyle bir durumun farkına varırsak hesap derhal silinir.

Bu politikayı önemli ölçüde değiştirdiğimizde, üst kısımdaki "yürürlük tarihi" güncellenir ve aktif kullanıcılara e-posta veya uygulama içi bildirimle haber verilir. Geriye dönük olumsuz değişiklikler 30 gün önceden duyurulur.

Sorularınız ve talepleriniz için: privacy@hellojazari.com

Türkiye'de yaşıyorsanız, taleplerinizin sonuçlandırılmasından memnun kalmazsanız Kişisel Verileri Koruma Kurumu'na (KVKK) başvurma hakkına sahipsiniz. AB'de yaşıyorsanız, ikamet ettiğiniz ülkenin yetkili veri koruma otoritesine şikayette bulunabilirsiniz.