Gizlilik Politikası

Tek cümlelik özet: BYOK modunda API Key'lerinizi, konuşma içeriğinizi veya model çıktılarını saklamayız; bulut senkronizasyonu, şifreli yedekleme ve Oriveo Free ücretsiz katmanı isteğe bağlı özelliklerdir ve yalnızca bunları açtığınızda ilgili veriler işlenir.

• API Key'leriniz: Yalnızca cihazınızdaki sistem güvenli depolamasında tutulur; sunucularımıza asla yüklenmez.
• Sohbetleriniz ve ekleriniz: BYOK modunda cihazınızdan doğrudan AI sağlayıcısına gider; yalnızca bulut senkronizasyonunu veya yedeklemeyi açarsanız yüklenir ve yedekler AES-256 uçtan uca şifreleme ile korunur.
• Oriveo Free ücretsiz katmanı: İstekler Oriveo sunucuları üzerinden üçüncü taraf model sağlayıcılarına iletilir; biz yalnızca kota kontrolü, kötüye kullanım önleme ve denetim için gerekli en az kaydı tutarız.
• Yapmadığımız şeyler: Kişisel verilerinizi satmayız, hedefli reklam göstermeyiz ve içeriğinizi kendi yapay zeka modellerimizi eğitmek için kullanmayız.

Bu Gizlilik Politikası kapsamında "veri sorumlusu" (veya ilgili kişisel veri koruma mevzuatı kapsamında "kişisel bilgi işleyicisi") Oriveo ekibidir.

• İşleten kuruluş: [İşleten kuruluş adı, resmi ticari sicil kaydına göre]
• Kayıtlı adres / yazışma adresi: [Daha sonra eklenecek]
• Gizlilik ve veri koruma iletişim e-postası: [email protected]
• Genel destek e-postası: [email protected]

Avrupa Ekonomik Alanı (EEA), Birleşik Krallık veya İsviçre'de bulunuyorsanız, bu Hizmet kapsamındaki kişisel veri işleme faaliyetleri hakkında bize veya ülkenizdeki veri koruma otoritesine her zaman başvurabilirsiniz.

Hizmeti işletmek için gerekli olan en az miktarda bilgiyi toplarız. Başlıca kategoriler şunlardır:

• Hesap bilgileri: Firebase Authentication üzerinden e-posta adresinizi, görünen adınızı, profil fotoğrafı URL'nizi ve oturum açma yöntemini (Google, Apple, e-posta OTP) işleriz. Hesap parolanızı saklamayız; e-posta OTP kodları Resend üzerinden gönderilir ve genellikle 10 dakika içinde geçersiz olur.
• Bulut senkronizasyonu meta verileri (açtığınızda toplanır): Konuşma başlıkları, zaman damgaları, klasörler, Skill dizinleri, Memory metinleri, tercihler ve maliyet istatistikleri Firebase Firestore üzerinden senkronize edilir. Mesaj gövdeleri varsayılan olarak buluta çıkmaz; yalnızca açıkça şifreli bir yedek oluşturduğunuzda AES-256 ile şifrelenerek Firebase Cloud Storage'a yüklenir.
• Ekler (bulut senkronizasyonu açıldığında toplanır): Resimler, PDF'ler ve diğer ekler, çoklu cihaz erişimini desteklemek amacıyla Firebase Cloud Storage üzerindeki hesap alanınıza yüklenebilir; bunları istediğiniz zaman silebilirsiniz.
• Skill bilgi tabanı dosyaları: Bir Skill için bilgi tabanı dosyası yüklediğinizde, bu dosyalar arama destekli kullanım amacıyla backend'imiz üzerinden OpenAI Vector Store'a iletilir; hem orijinal içerik hem de vektörler yalnızca sizin hesabınız için kullanılır.
• Cihaz ve teknik veriler: IP adresi (kötüye kullanım önleme, hız sınırlama ve coğrafi uyumluluk değerlendirmesi için), IP'den türetilen yaklaşık konum, cihaz modeli, işletim sistemi sürümü, uygulama sürümü, dil ve saat dilimi.
• Hata ve performans teşhisi: Sentry üzerinden yakalanmamış hata yığınları, breadcrumb kayıtları, mevcut kullanıcı tanımlayıcısı (Firebase UID) ve cihaz parmak izi toplanır. Bu kayıtlar hesabınızla ilişkilendirilebilir; tamamen anonim değildir. Gönderilmesini istemiyorsanız "Ayarlar → Gizlilik" bölümünden tanılama yüklemelerini kapatabilirsiniz.
• Oriveo Free operasyon kayıtları: Ücretsiz katmanı kullandığınızda Guest Session ID, cihaz tanımlama token'ı, her çağrı için model ID'si ve token sayımı ile ihbar ve kota denetim günlüklerini saklarız; mesaj gövdesi varsayılan olarak tutulmaz, yalnızca uyumluluk incelemesi gereken ihbar senaryolarında sınırlı örnekleme ile geçici olarak saklanabilir.
• Yönetim paneli güvenlik verileri: Yönetici oturum açarken Cloudflare Turnstile ile insan doğrulaması yapar ve oturum günlüklerini kaydederiz.

BYOK (kendi anahtarınız) modunda aşağıdaki veriler cihazınızdan asla ayrılmaz; biz bunları ne toplarız ne de okuyabiliriz:

• girdiğiniz API Key'ler;
• OpenAI, Anthropic, Google gibi üçüncü taraf AI sağlayıcılarıyla aranızdaki konuşma içeriği;
• modelin ürettiği yanıtlar ve alıntılar;
• yerel eklerin ham içeriği (siz bulut senkronizasyonunu veya şifreli yedeklemeyi açmadıkça);
• konuşma geçmişi (siz bulut senkronizasyonunu veya şifreli yedeklemeyi açmadıkça).

BYOK modunda istekleriniz, cihazınızdan seçtiğiniz AI sağlayıcısına doğrudan gönderilir ve Oriveo sunucularından geçmez. Proxy görevi görmeyiz, ayna kopya da tutmayız.

Kişisel verilerinizi aşağıdaki amaçlarla işleriz ve gerektiğinde GDPR, CCPA/CPRA, PIPL gibi düzenlemelerde öngörülen hukuki dayanaklara dayanırız:

• Hizmeti sunmak ve sürdürmek (hesap girişi, bulut senkronizasyonu, çoklu cihaz erişimi) — sözleşmenin ifası için gerekli işleme (GDPR Madde 6(1)(b)).
• Hata teşhisi ve ürün iyileştirmesi (hata günlükleri, çökme yığınları, toplu kullanım göstergeleri) — hizmeti geliştirmeye yönelik meşru menfaatimiz (Madde 6(1)(f)).
• Kötüye kullanım önleme, kota kontrolü ve güvenlik koruması (hız sınırlama, CAPTCHA, anormal oturum açma tespiti, Oriveo Free kota denetimi, dolandırıcılık önleme) — meşru menfaat ve yasal yükümlülüklerin yerine getirilmesi (Madde 6(1)(c)).
• Oriveo Free hizmetini sunmak (istek iletimi, kota ölçümü, içerik ihbarlarının işlenmesi) — sözleşmenin ifası için gerekli işleme.
• Yasal uyum taleplerine yanıt vermek (mahkeme emirleri, düzenleyici talepler, veri sahibi başvuruları) — yasal yükümlülük.
• Hizmet değişiklikleri, güvenlik olayları ve önemli bildirimler hakkında sizinle iletişim kurmak — sözleşmenin ifası veya meşru menfaat.

Yapmadığımız şeyler:

• kişisel verilerinizi üçüncü taraflara satmak veya kiralamak;
• kişisel verilerinizi hedefli reklam veya reklam profillemesi için kullanmak;
• kullanıcı içeriğinizi Oriveo'nun kendi AI modellerini eğitmek için kullanmak.

Hizmeti sunabilmek için, operasyon açısından gerekli en az veriyi aşağıdaki alt işleyenlerle (sub-processor) paylaşır ve kendileriyle veri işleme sözleşmeleri (DPA) yaparız:

• Google Firebase (Authentication / Firestore / Cloud Storage / Hosting) — hesap verileri, senkronizasyon verileri ve ekler; veri merkezleri ABD'de bulunabilir.
• Sentry (hata ve performans izleme) — hata yığınları ve tanılama verileri.
• Resend (e-posta OTP gönderimi) — alıcı e-posta adresi ve tek kullanımlık doğrulama kodu.
• Cloudflare (CDN, DDoS koruması, Admin tarafı Turnstile CAPTCHA) — istek meta verileri ve IP adresi.
• OpenAI (yalnızca Skill bilgi tabanı Vector Store için ve Oriveo Free katmanında yönlendirilen modeller için) — yüklediğiniz bilgi tabanı dosyaları veya ücretsiz katman konuşmaları.
• Sizin seçtiğiniz üçüncü taraf AI sağlayıcıları (BYOK modunda cihazınızdan doğrudan bağlanılır, sunucularımızdan geçmez) — buna OpenAI, Anthropic, Google, DeepSeek, OpenRouter, Groq, Together AI, Fireworks AI, MiniMax, Zhipu, Qwen, SiliconFlow ve sizin tanımladığınız Relay uç noktaları dahildir. Her sağlayıcının kendi gizlilik politikası ve veri işleme yöntemi vardır; bunları okuyup bunlara uymak sizin sorumluluğunuzdadır. Eğitim verisi kullanımından çıkış (opt-out) ayarı gerekiyorsa bunu ilgili resmi konsolda yapmanız gerekir.

Yukarıdaki durumlar ve yasanın zorunlu kıldığı haller dışında, kişisel verilerinizi hiçbir üçüncü tarafa açıklamayız, satmayız, kiralamayız veya devretmeyiz.

Bulut altyapımız (Firebase, Sentry, Cloudflare vb.) dünyanın farklı bölgelerinde konuşlandırılmıştır. Sunucuların bulunduğu bölgenin dışında bulunuyorsanız kişisel verileriniz sınır ötesi aktarılabilir. Bu durumda aşağıdaki hukuki mekanizmalardan yararlanırız:

• EEA / Birleşik Krallık / İsviçre kullanıcıları: Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (SCCs) ve ek koruyucu önlemler.
• Çin ana karası kullanıcıları: Yürürlükteki Kişisel Bilgilerin Korunması Kanunu kapsamındaki sınır ötesi aktarım gerekliliklerine göre değerlendirme ve bilgilendirme.
• Diğer bölgeler: İlgili yerel mevzuatın gerektirdiği aktarım mekanizmaları.

Belirli aktarım mekanizmaları veya ilgili belgelerin bir kopyası hakkında bilgi almak isterseniz [email protected] adresinden bize yazabilirsiniz.

Saklama süreleri:

• Hesap bilgileri: hesap ömrü boyunca + yanlış silme durumunda geri yükleme için hesabın silinmesinden sonra 30 günlük tampon süre
• Bulut senkronizasyonu meta verileri / ekler / bilgi tabanı dosyaları: siz silene veya hesabınızı kapatana kadar
• Oriveo Free çağrı kayıtları: en fazla 180 gün (kötüye kullanım tespiti ve uyumluluk denetimi için)
• Oriveo Free ihbar içeriği anlık görüntüleri: en fazla 12 ay veya ilgili uyuşmazlık sonuçlanana kadar
• Hata günlükleri (Sentry): en fazla 90 gün
• Giriş günlükleri (yönetim paneli): en fazla 12 ay
• OTP doğrulama kodları: 10 dakika veya doğrulama başarıyla tamamlanınca derhal geçersiz olur
• Yasal olarak saklanması gereken veriler: ilgili mevzuatın öngördüğü süre boyunca; bu süre yukarıdakilerden daha uzun olabilir

Güvenlik önlemleri:

• Aktarım sırasında şifreleme: tüm istemci-sunucu iletişimi TLS 1.2 veya üzeri ile korunur.
• Depolamada şifreleme: sunucu veritabanlarında durgun veri şifrelemesi kullanılır; kullanıcı şifreli yedekleri AES-256 uçtan uca şifreleme ile korunur ve anahtar sizde kalır.
• Cihaz tarafında anahtar koruması: API Key'ler iOS Keychain / Android Keystore / tarayıcı şifreli depolamasında saklanır.
• Erişim kontrolü: iç erişim en az ayrıcalık ilkesiyle sınırlandırılır ve hassas işlemler denetim günlüğüne alınır.
• Veri ihlali bildirimi: size yüksek risk doğurabilecek bir kişisel veri ihlali yaşanırsa, 72 saat içinde e-posta veya uygulama içi bildirim yoluyla sizi haberdar eder ve gerektiğinde yetkili makamlara da bildirimde bulunuruz.

Uygulanabilir hukuka (GDPR, UK GDPR, CCPA/CPRA, PIPL vb.) göre kişisel verileriniz üzerinde aşağıdaki haklara sahip olabilirsiniz:

• Erişim ve kopya alma: "Ayarlar → Yedekleme → Dışa Aktar" üzerinden tüm verilerinizi şifreli ZIP formatında indirerek taşıyabilirsiniz.
• Düzeltme: hesap ayarlarından bazı alanları doğrudan düzeltebilir, düzeltilemeyen alanlar için bize e-posta gönderebilirsiniz.
• Silme: "Ayarlar → Hesap → Hesabı Sil" üzerinden sunucu tarafındaki ilişkili verileri tek adımda silebilirsiniz (bazı günlükler saklama politikasına tabi olabilir).
• Taşınabilirlik: verilerinizi yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta dışa aktarabilirsiniz.
• İşlemeyi kısıtlama / itiraz etme: tanılama yüklemelerini kapatabilir, bulut senkronizasyonunu devre dışı bırakabilir veya hesabınızı istediğiniz zaman bırakabilirsiniz.
• Rızayı geri çekme: rızanıza dayalı bir işleme varsa bunu istediğiniz zaman geri çekebilirsiniz; bu, geri çekme öncesindeki işlemenin hukuka uygunluğunu etkilemez.
• Otomatik karar verme süreçlerine tabi olmama: sizin için hukuki etki doğuran otomatik kararlar uygulamıyoruz; Oriveo Free kota hesaplaması profilleme değil, operasyonel bir kötüye kullanım önleme tedbiridir.
• Denetim makamına şikayet hakkı: EEA / Birleşik Krallık kullanıcıları ilgili veri koruma otoritesine, California kullanıcıları California Başsavcılığı'na, Çin ana karası kullanıcıları ise ilgili kurumlara başvurabilir.

Yanıt süresi: doğrulanabilir bir talep aldıktan sonra 30 gün içinde yanıt veririz. Karmaşık taleplerde, yasanın izin verdiği ölçüde en fazla iki kez ve her biri 30 günü aşmamak üzere süre uzatımı yapabiliriz; böyle bir durumda gerekçeyi size bildiririz. İşleme faaliyetlerimizden memnun değilseniz önce [email protected] adresinden bizimle iletişime geçebilirsiniz.

Oriveo web sitesi ve Web uygulaması aşağıdaki depolama teknolojilerini kullanır; bunlar hedefli reklamcılık veya siteler arası takip amacıyla kullanılmaz:

• Kesinlikle gerekli (kapatılamaz): Firebase Auth oturum çerezleri, CSRF koruma token'ları ve Admin arka plan JWT çerezleri.
• İşlevsel: tema, dil, düzen gibi arayüz tercihleri; oturum taslakları ve model meta verisi önbellekleri gibi tarayıcı IndexedDB verileri.
• Güvenlik amaçlı: Admin tarafında Cloudflare Turnstile insan doğrulaması ve Cloudflare DDoS koruma token'ları.

Üçüncü taraf reklam çerezleri, siteler arası takip pikselleri veya üçüncü taraf analiz betikleri kullanmayız. Çerezleri tarayıcı ayarlarınızdan silebilir veya engelleyebilirsiniz; ancak bu durum oturumun korunmasını ve bazı işlevleri etkileyebilir.

Bu Hizmet 13 yaşın altındaki çocuklara yönelik değildir. Bulunduğunuz yargı alanında dijital rıza yaşı daha yüksekse (örneğin bazı AB ülkelerinde 16 yaş), Hizmeti kullanmak için o yasal yaşa ulaşmış olmanız gerekir. Yasal yaşın altındaki kişiler, yalnızca ebeveyn veya yasal vasi onayı ve gözetimi altında Hizmeti kullanabilir.

Yasal yaşın altındaki çocuklardan bilerek kişisel veri toplamayız. Eğer bir ebeveyn veya vasi iseniz ve çocuğunuza ait verilerin toplandığını düşünüyorsanız, lütfen derhal [email protected] adresinden bizimle iletişime geçin; doğrulamanın ardından ilgili verileri sileceğiz.

Politika değişiklikleri: Bu Gizlilik Politikasını ürün, teknoloji veya mevzuattaki değişiklikleri yansıtmak amacıyla zaman zaman güncelleyebiliriz. Önemli değişiklikler yürürlüğe girmeden önce uygulama içi bildirim, e-posta veya web sitemizde belirgin bir duyuru ile size bildirir ve "Son güncelleme" tarihini buna göre güncelleriz. Değişikliklerden sonra Hizmeti kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir; kabul etmiyorsanız Hizmeti bırakabilir ve hesabınızı silebilirsiniz.

İletişim:

• Gizlilik ve veri sahibi başvuruları: [email protected]
• Genel ürün desteği: [email protected]
• Hukuki konular: [email protected]

Taleplerinize makul süre içinde yanıt vermek için elimizden geleni yaparız.