Gizlilik Politikası

Son güncelleme: 29 Nisan 2026

Bu Gizlilik Politikası, Axora Labs (“biz”, “platform”) tarafından sunulan hizmette kullanıcıların kişisel verilerinin nasıl toplandığını, işlendiğini, korunduğunu ve hangi durumlarda üçüncü taraflarla paylaşıldığını açıklar. Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uygun şekilde hazırlanmıştır. KVKK kapsamında daha ayrıntılı bilgilendirme için KVKK Aydınlatma Metni sayfasına başvurabilirsin.

1. Veri Sorumlusu

Veri sorumlusu sıfatına Axora Labs sahiptir. Operasyonel adres Köln, Almanya’da bulunmaktadır. Veri korumasına ilişkin tüm soruların ve taleplerin için iletişim adresi:legal@axoralabs.ai. Avrupa Birliği’nde yerleşik kullanıcılar GDPR Madde 27 kapsamındaki temsilci atamasının henüz yapılmadığını, ancak yetkili denetim makamına (örneğin, Almanya’daki yerel veri koruma otoritesine) her durumda doğrudan başvuru hakkına sahip olduklarını bilmelidir.

2. Topladığımız Veriler

Hizmeti sunabilmek için kullanıcılarımızdan farklı kategorilerde veri topluyoruz. Aşağıda her kategori, hangi verileri içerdiği ve hangi yöntemle elde edildiği özetlenmiştir.

Hesap verileri

Kayıt sırasında topladığımız temel verilerdir: e-posta adresin, (opsiyonel) profil ismin ve şifrenin tek yönlü hash alınmış hali. Şifrenin düz hali kesinlikle saklanmaz; doğrulama işlemleri Supabase Auth altyapısı üzerinden bcrypt benzeri güvenli bir algoritma ile gerçekleştirilir. Profil ismini kullanıcı tercihine bırakırız; girilmediğinde sistem e-posta adresinin başlangıç bölümünü görüntü adı olarak kullanır. Kayıt formundaki ad alanı yasal kimlik tespiti amaçlı değildir; takma ad veya kısaltma da kabul edilir.

Kullanım verileri

Hizmet kapsamındaki davranışlarına ilişkin verilerdir: hangi projeleri oluşturduğun, sohbet mesajlarının metni, kaç kredi harcadığın ve harcamanın hangi tipte (sohbet, küçük yapı, büyük yapı) olduğu, hangi fatura döneminde olduğun. Sohbet mesajları içerikleriyle birlikte saklanır çünkü uygulama oluşturma akışının doğası bunu gerektirir; bu içerikler ilgili projeyi sildiğinde otomatik olarak silinir. Üretilen her başarılı kod sürümü ayrıca bir “revision” kaydı olarak veritabanında tutulur ve geri dönüş özelliği için kullanılır. Kredi düşüm geçmişi, faturalandırma şeffaflığı için kullanıcıya sunulur ve dış denetim süreçlerinde kanıt olarak iletilebilir.

Teknik veriler

Hata raporlama ve güvenlik amacıyla toplanan verilerdir: IP adresi, tarayıcı bilgisi (User-Agent), işletim sistemi, dil tercihi ve istek zaman damgası. Hata raporları Sentry aracılığıyla işlenir; IP adresleri Sentry tarafında maskelenmiş olarak saklanır. Vercel sunucularında oluşan erişim günlükleri (HTTP istek yöntemi, yanıt durumu, gecikme) kısa süreli olarak tutulur ve performans analizi ile saldırı tespiti için kullanılır. Bu günlüklerden çıkarılabilecek herhangi bir kişisel tanımlayıcı, oluşumdan sonraki 90 gün içinde otomatik olarak silinir.

Ödeme verileri

Kredi kartı ve banka kartı bilgilerin Axora Labs sunucularında saklanmaz. Tüm ödeme işlemleri Lemon Squeezy üzerinden yürütülür. Bizim tarafımızda yalnızca Lemon Squeezy’nin sağladığı sipariş kimliği, müşteri kimliği ve abonelik durumu gibi soyut veriler tutulur. Faturalandırma sayfasında gösterilen son ödeme yöntemi (örneğin kart son dört hane) gibi soyut bilgiler de Lemon Squeezy’den anlık olarak çekilir; tarafımızda kalıcı olarak depolanmaz.

3. Verileri Nasıl Kullanırız

Topladığımız verileri yalnızca aşağıda listelenen amaçlarla işliyoruz. Bunların dışında herhangi bir amaca veriler kullanılmaz; verilerin satışı, kiralanması veya pazarlama amaçlı üçüncü taraflarla paylaşımı kesinlikle yapılmaz. Bir istisna olarak, yetkili kamu kurum ve kuruluşlarının yasal taleplerine yanıt vermek için zorunlu olan veri paylaşımları ilgili mevzuat çerçevesinde gerçekleştirilebilir; bu durumda, paylaşımın yasal olarak yasaklanmaması koşuluyla, etkilenen kullanıcıya bilgilendirme yapmaya çalışırız.

Hizmeti çalıştırmak ve sunmak — projeleri oluşturmak, önizlemek, yayına almak, sohbet geçmişini saklamak, üretilen kodu derlemek ve sandbox’ta önizlemek. Hesap yönetimi — giriş, şifre sıfırlama, abonelik durumunun izlenmesi, deneme süresi takibi. Kredi sayaçlarının ve faturalandırmanın doğru işlemesi; her dönem başında kredi yenileme; iptal/yenileme bildirimlerinin gönderilmesi. Hizmet kalitesini iyileştirmek — hangi özelliklerin en çok kullanıldığını anlamak için anonim kullanım istatistikleri. İşlem (transactional) e-postaları — şifre sıfırlama, ödeme onayı, abonelik yenileme bildirimi gibi hizmetin işleyişi için zorunlu olan bilgilendirmeler. Promosyonel veya pazarlama amaçlı e-postalar yalnızca açıkça opt-in verdiğin durumda gönderilir; varsayılan olarak böyle bir kayıt bulunmamaktadır.

Güvenlik amacıyla, anormal davranış kalıplarını (kısa sürede aşırı sayıda istek, birden fazla hesabı bot benzeri biçimde işletme, vb.) tespit etmek için günlük kayıtlarını analiz ederiz. Bu analiz tamamen otomatize bir biçimde gerçekleşir; insan operatörler yalnızca tetiklenen alarmlar üzerine incelemede bulunur. Kişiyi otomatik bir karara dayalı olarak olumsuz etkileyebilecek herhangi bir karar (örneğin hesap kapatma) öncesinde, mümkün olduğu durumlarda kullanıcıya bildirim ve itiraz hakkı tanınır.

4. Üçüncü Taraf Hizmet Sağlayıcılar

Hizmetin işleyebilmesi için bazı kritik fonksiyonlar üçüncü taraf altyapı sağlayıcılarına devredilmiştir. Tüm bu sağlayıcılar kendi sözleşmelerimizle veri işleme güvenliği konusunda yükümlülük altına alınmıştır.

  • Vercel (ABD/Global) — hizmetin barındırıldığı sunucu altyapısı; istek günlükleri ve performans telemetrisi için.
  • Supabase (AB-Frankfurt) — kullanıcı kimlik doğrulama, kullanıcı veritabanı, proje verileri.
  • Resend (AB) — şifre sıfırlama ve transactional e-posta gönderimleri.
  • Lemon Squeezy(ABD) — ödeme işleme ve faturalandırma. “Merchant of Record” sıfatına sahip olduğundan KKDF, KDV/VAT gibi vergileri doğrudan tahsil etmektedir.
  • Sentry (AB) — hata izleme ve raporlama; IP adresleri maskeleme ile.
  • Anthropic ve Google (ABD) — AI sağlayıcıları. Sohbet mesajının metni model tarafından işlenebilmek üzere bu sağlayıcılara iletilir. Hesap kimliği veya kişisel tanımlayıcı bilgi paylaşılmaz. Bu sağlayıcıların kendi gizlilik politikalarına da tabi olduğunu hatırlat etmek isteriz.
  • Vercel Analytics — yalnızca anonim ziyaret ve sayfa görüntüleme istatistikleri; kişisel tanımlayıcı içermez.

Bu sağlayıcılarla yaptığımız sözleşmeler, kişisel verilerin yalnızca bizim verdiğimiz talimatlar doğrultusunda işleneceğini ve uygun teknik/idari güvenlik tedbirlerinin alınacağını güvence altına alır. Yurt dışı aktarımı yapılan sağlayıcılar için (Vercel, Lemon Squeezy, Anthropic, Google), KVKK Madde 9 kapsamında ilgili kişinin açık rızası kayıt sırasındaki onay aracılığıyla alınır. GDPR Madde 46 kapsamındaki standart sözleşme maddeleri (SCC) her sağlayıcı için ayrı olarak imzalanmış ya da sağlayıcının kendisinin yayımladığı SCC çerçevesinde kabul edilmiştir.

Yapay zeka sağlayıcıları (Anthropic, Google) ile yaptığımız sözleşmelerde, modele gönderilen veriler üzerindeki şu kısıtlamalar geçerlidir: model eğitimi için kullanılmaması, insan operatörler tarafından düzenli olarak izlenmemesi (yalnızca güvenlik veya kötüye kullanım soruşturmaları istisna), işlemden sonra makul sürede silinmesi. Bu taahhütlerin sağlayıcılar tarafındaki uygulanma biçimi, ilgili sağlayıcıların kendi veri işleme eklerinde ayrıntılandırılmıştır.

5. Veri Saklama Süreleri

Hesap verilerin, hesabın aktif olduğu sürece tutulur. Hesabını sildikten 30 gün sonra hesap verilerin, projelerin ve sohbet geçmişin sistemlerimizden kalıcı olarak kaldırılır. Bu 30 günlük süre, kazara silme talebinin geri alınması için öngörülmüştür; süre dolmadan tekrar giriş yaparsan silme işlemi otomatik olarak iptal olur ve hesap aktive edilir.

Faturalandırma kayıtları, Türk Vergi Usul Kanunu ve EU eFatura mevzuatı çerçevesinde 10 yıl süreyle saklanır. Bu kayıtlar, isminden ve e-posta adresinden başka kişisel veri içermez; ödeme ayrıntıları zaten Lemon Squeezy tarafında tutulur. Hata günlükleri 90 gün, güvenlik olay günlükleri 1 yıl süreyle saklanır. Anonim kullanım istatistikleri (Vercel Analytics) tarafımızda kişiyle eşleştirilebilir biçimde tutulmaz; bu istatistikler süresiz olarak ya da Vercel Analytics’in kendi politikasında belirtilen süre boyunca saklanır.

Yedeklemeler, veritabanı altyapımızın işletim normları gereği günlük olarak alınır ve genel olarak 7 gün süreyle tutulur. Bir kullanıcının silme talebi sonrasında kullanıcının verisi yedeklerden de tabii olarak yok olur; ancak yedek rotasyonunun tamamlanması 7 günü bulabilir. Yedeklerden herhangi bir sebeple geri yükleme yapıldığı durumda, silinen kullanıcıların verilerinin yeniden ortaya çıkmaması için ek silme işlemleri uygulanır.

6. Haklarınız

KVKK Madde 11 ve GDPR Madde 15-22 kapsamında aşağıdaki haklara sahipsin:

  • Verilerine erişme — hangi verilerinin işlendiğini öğrenme.
  • Verilerini düzeltme — eksik veya hatalı verilerin güncellenmesini talep etme.
  • Verilerini silme(“unutulma hakkı”) — hesabını ve ilişkili verilerini kaldırma.
  • İşlemeye itiraz etme — meşru menfaat veya kamu yararı temelinde yapılan işlemelere itiraz etme.
  • Verilerini taşıma — verilerinin yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta dışa aktarılmasını talep etme.
  • Şikayet hakkı— KVKK için Kişisel Verileri Koruma Kurumu’na, GDPR için yerel veri koruma otoritesine başvurma.

Bu hakları kullanmak için legal@axoralabs.aiadresine yazılı talep iletebilirsin. Talebine en geç 30 gün içinde, KVKK kapsamında ücretsiz olarak yanıt veriyoruz. Sürecin daha hızlı işlemesi için talebinde hesap e-posta adresini ve hangi hakkı kullanmak istediğini açık biçimde belirtmen yararlı olur. Talebin reddedilmesi halinde, ret gerekçesiyle birlikte yazılı bir bildirim alırsın; bu gerekçeye itiraz hakkın saklıdır.

Ayrıca, bazı haklarını uygulama içi ayarlardan doğrudan kullanabilirsin: hesabını silmek, abonelik bilgilerini düzenlemek, e-posta tercihlerini güncellemek için ilgili ayar sayfaları mevcuttur. Bu işlemleri kendin başlattığında ek bir talep göndermen gerekmez; yine de işlem geçmişine ilişkin bir teyit e-postası alırsın.

Güvenlik Tedbirleri

Verilerin güvenliği için aldığımız teknik ve idari tedbirler arasında: tüm trafik için TLS 1.3 ile şifreli iletişim; veritabanı içeriğinin diskte şifreli (encryption-at-rest) tutulması; servis hesabı yetkilendirmelerinde en az ayrıcalık (least privilege) ilkesinin uygulanması; üretim ortamına erişimin yalnızca yetkili personelle ve iki faktörlü kimlik doğrulama ile kısıtlanması; düzenli güvenlik gözden geçirmeleri ve bağımlılık güncellemeleri yer almaktadır. Bir veri ihlali tespit edilmesi halinde, KVKK ve GDPR kapsamındaki bildirim yükümlülükleri çerçevesinde 72 saat içinde ilgili otoritelere ve etkilenen kullanıcılara bilgi verilir.

7. Çerez Kullanımı

Platformda zorunlu çerezler (oturum yönetimi), performans çerezleri (anonim kullanım analizi) ve işlevsel çerezler (tema, dil tercihi) kullanıyoruz. Pazarlama veya reklam amaçlı çerez kullanmıyoruz. Çerezlerin tam listesi, amaçları ve süreleri için Çerez Politikasısayfamıza bakabilirsin.

8. Çocukların Gizliliği

Hizmetimiz, 18 yaşın altındaki kişilere yönelik değildir. Bilerek 18 yaş altı kullanıcılardan veri toplamayız. 18 yaşın altındaki bir kullanıcının yanlışlıkla hesap oluşturduğu öğrenilirse hesap derhal silinir ve ilişkili veriler kaldırılır. Çocuğunun rızası olmadan kayıt olduğunu fark eden ebeveyn veya yasal vasi, legal@axoralabs.ai adresine başvurarak hesabın kapatılmasını talep edebilir.

9. Politika Değişiklikleri

Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişikliklerde — yeni veri kategorisi toplanması, yeni üçüncü taraf sağlayıcı eklenmesi, hakların kullanımına ilişkin değişiklikler — hesap e-posta adresine bildirim göndeririz ve uygulama içinde de bir bildirim çıkarırız. Küçük redaksiyon değişiklikleri ayrıca bildirilmeyebilir; en güncel sürüm her zaman bu sayfadadır ve son güncelleme tarihi sayfanın üstünde belirtilir.

10. İletişim

Bu politika veya verilerinin işlenmesi hakkında her türlü soru, talep ve şikayet için legal@axoralabs.aiadresinden bize ulaşabilirsin. Yanıt sürelerimiz hakkında ek bilgi için “Haklarınız” bölümünü gözden geçirebilirsin.