Gizlilik Politikası
Bu politika, Mecra'yı kullandığınızda hangi kişisel verilerin, hangi amaçlarla ve hangi hukuki dayanaklarla işlendiğini açıklar. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve AB Genel Veri Koruma Tüzüğü (GDPR) esas alınarak hazırlanmıştır.
1. Bir bakışta
- Mecra ücretsizdir ve verinizle para kazanmaz: kişisel verilerinizi satmayız, kiralamayız, reklam amaçlı profilleme yapmayız.
- Yapay zekâ üretimi kendi API anahtarınızla çalışır; anahtarınız sunucu tarafında saklanır ve tarayıcınıza asla geri gönderilmez.
- Sitede analitik veya izleme çerezi yoktur — yalnızca oturumunuzu ayakta tutan zorunlu çerezler kullanılır.
- Hesabınızı sildiğinizde projeleriniz, kampanyalarınız, anahtarlarınız ve platform bağlantılarınız dâhil verileriniz kalıcı olarak silinir.
2. Kapsam ve veri sorumlusu
Bu politika, mecraapp.com alan adı üzerinden sunulan Mecra web uygulamasını ve ona bağlı hizmetleri (birlikte “Hizmet”) kapsar. KVKK kapsamında veri sorumlusu, GDPR kapsamında “data controller” sıfatıyla hareket eden taraf Mecra’dır (“biz”). İletişim bilgileri son bölümdedir.
Hizmeti kullanarak bu politikayı okuduğunuzu kabul etmiş olursunuz. Kabul etmiyorsanız Hizmeti kullanmamalısınız. Kullanım kuralları ayrıca Kullanım Koşulları’nda düzenlenmiştir.
3. Topladığımız veriler
Yalnızca Hizmeti sunmak için gereken veriyi toplarız:
| Kategori | İçerik | Kaynak |
|---|---|---|
| Hesap bilgileri | E-posta, şifre (geri döndürülemez karma/hash olarak), ad-soyad ve profil görseli (isteğe bağlı) | Kayıtta sizden |
| Proje ve marka verileri | Proje adı, sektör, marka sesi/tonu, kaçınılacak kelimeler, web sitesi adresi, marka açıklamaları | Proje kurulumunda |
| Kampanya ve kreatifler | Kampanya adları, hedefler, bütçeler, hedefleme tercihleri, reklam metinleri, yüklenen veya üretilen görsel/videolar | Hizmeti kullanırken |
| AI girdi ve çıktıları | İstemler (prompt), analiz girdileri, üretilen çıktılar; model adı ve token/maliyet istatistikleri | AI araçlarını kullanırken |
| Platform bağlantıları | Bağlanan reklam hesabı kimlikleri, hesap adları, yetki kapsamları, OAuth erişim/yenileme token'ları | Hesap bağlarken |
| AI API anahtarları (BYOK) | OpenAI, Anthropic veya Google anahtarınız ve son 4 haneli maskeli gösterimi | Ayarlar'dan eklediğinizde |
| Geri bildirim | Mesajınız, gönderildiği sayfa ve temel istemci bilgisi | Geri bildirim formundan |
| Teknik kayıtlar | IP adresi, tarayıcı bilgisi, hata kayıtları gibi kısa ömürlü altyapı logları | Otomatik |
Toplamadıklarımız: kredi kartı/ödeme bilgisi (Hizmet ücretsizdir), reklam amaçlı davranışsal profil, başka sitelerdeki gezinme geçmişiniz.
4. İşleme amaçları ve hukuki dayanaklar
| Amaç | Örnek | Hukuki dayanak |
|---|---|---|
| Hizmetin sunulması | Hesap oluşturma, kampanya üretme ve bağlı platformlarda yayınlama | Sözleşmenin ifası (KVKK m.5/2-c · GDPR m.6/1-b) |
| AI üretimi | İstemlerinizin kendi anahtarınızla seçtiğiniz sağlayıcıya iletilmesi | Sözleşmenin ifası (KVKK m.5/2-c · GDPR m.6/1-b) |
| Güvenlik | Oturum doğrulama, erişim kontrolü, hata kayıtları | Meşru menfaat (KVKK m.5/2-f · GDPR m.6/1-f) |
| Geliştirme | Geri bildirimlerin değerlendirilmesi, hataların giderilmesi | Meşru menfaat (KVKK m.5/2-f · GDPR m.6/1-f) |
| Hukuki yükümlülükler | Yetkili makam taleplerinin karşılanması | Kanuni yükümlülük (KVKK m.5/2-ç · GDPR m.6/1-c) |
Otomatik karar verme veya profilleme yapılmaz; AI önerileri (ör. bütçe dağılımı) yalnızca sizin onayınızla uygulanır.
5. Çerezler ve yerel depolama
Üçüncü taraf pazarlama, analitik veya izleme çerezi kullanmıyoruz. Aşağıdakilerin tamamı Hizmetin çalışması için zorunlu, birinci taraf kayıtlardır:
| Ad | Tür | Amaç | Süre |
|---|---|---|---|
| sb-*-auth-token | Zorunlu çerez | Oturumunuzu doğrulamak ve açık tutmak (Supabase Auth) | Oturum yenilenene veya çıkışa kadar |
| mecra-theme | localStorage | Açık/koyu tema tercihi | Siz silene kadar |
| mecra-lang | localStorage | Dil tercihi (TR/EN) | Siz silene kadar |
Zorunlu çerezler için ayrıca rıza gerekmez. Çerezleri tarayıcınızdan silebilirsiniz; oturum çerezi silinirse yeniden giriş yapmanız gerekir.
6. Üçüncü taraf servisler
Hizmeti sunmak için az sayıda hizmet sağlayıcıyla çalışırız; bunlar veriyi yalnızca bizim talimatımızla işler:
- Supabase — kimlik doğrulama, veritabanı ve medya depolama. Gizlilik politikası
- Cloudflare — barındırma ve CDN. Gizlilik politikası
Ayrıca sizin başlattığınız işlemlerle veriler şu taraflara iletilir:
- AI sağlayıcıları (Anthropic, OpenAI, Google) — üretim başlattığınızda istemleriniz ve ilgili marka bağlamı, kendi anahtarınızla seçtiğiniz sağlayıcıya gider. Bu işleme, sağlayıcıyla aranızdaki sözleşmeye tabidir: Anthropic, OpenAI, Google
- Reklam platformları (Meta, Google Ads, TikTok, LinkedIn, X, Reddit) — kampanya yayınladığınızda içerik ve hedefleme bilgileri bağlı reklam hesabınıza iletilir; her platformun kendi veri politikası geçerlidir.
Verilerinizi satmayız ve pazarlama amacıyla paylaşmayız.
7. Yurt dışına veri aktarımı
Altyapı sağlayıcılarımızın (Supabase, Cloudflare) ve seçtiğiniz AI sağlayıcılarının sunucuları yurt dışında (özellikle AB ve ABD’de) bulunabilir. Verileriniz, KVKK m.9 ve GDPR Bölüm V’e uygun olarak; standart sözleşme hükümleri ve sağlayıcı taahhütleri gibi güvencelerle yurt dışına aktarılabilir. Hizmeti kullanarak bu aktarımı kabul etmiş sayılırsınız; hesabınızı silerek işlemeyi dilediğiniz an durdurabilirsiniz.
8. Veri saklama süreleri
- Hesap ve içerik verileri — hesabınız aktif olduğu sürece saklanır; hesabı sildiğinizde projeler, kampanyalar, kreatifler, AI kayıtları, platform bağlantıları ve API anahtarları otomatik ve kalıcı olarak silinir.
- Platform bağlantıları (OAuth)— bağlantıyı kestiğinizde token’lar geçersizleştirilir ve silinir.
- AI API anahtarları— Ayarlar’dan sildiğiniz anda kalıcı olarak silinir.
- Teknik kayıtlar — sağlayıcıların standart, kısa ömürlü log saklama sürelerine tabidir.
- Hukuki saklama — bir uyuşmazlık veya yasal yükümlülük varsa yalnızca ilgili veri, gereken süre boyunca saklanır.
9. Veri güvenliği
- Tüm trafik TLS ile şifrelenir.
- Veritabanında satır bazlı güvenlik (RLS) uygulanır: her kullanıcı yalnızca üyesi olduğu projelerin verisine erişebilir.
- AI anahtarları sunucu tarafında saklanır; kolon bazlı erişim kısıtıyla istemciden okunamaz, tarayıcıya asla geri gönderilmez. Arayüzde yalnızca maskeli gösterim (son 4 hane) yer alır.
- Şifreler geri döndürülemez şekilde karma (hash) olarak tutulur.
Hiçbir sistem %100 güvenli değildir; bir ihlal tespit edersek KVKK ve GDPR uyarınca ilgili makamlara ve etkilenen kullanıcılara bildirim yaparız.
10. KVKK ve GDPR kapsamındaki haklarınız
KVKK m.11 ve GDPR m.15-22 uyarınca:
- Bilgi ve erişim — verilerinizin işlenip işlenmediğini öğrenme ve bir kopyasını isteme,
- Düzeltme — eksik veya yanlış verilerin düzeltilmesini isteme,
- Silme— verilerinizin silinmesini isteme (hesabınızı Ayarlar’dan kendiniz de silebilirsiniz),
- İtiraz — meşru menfaate dayalı işlemeye itiraz etme,
- Taşınabilirlik — verilerinizi yapılandırılmış, makine tarafından okunabilir formatta alma,
- Şikâyet— Türkiye’de Kişisel Verileri Koruma Kurulu’na, AB’de yerel denetim makamına başvurma.
Talepler için aşağıdaki iletişim kanalını kullanın; kimlik doğrulamasının ardından en geç 30 gün içinde ücretsiz yanıtlarız.
11. Çocukların gizliliği
Hizmet 18 yaş altına yönelik değildir; bilerek 18 yaş altından veri toplamayız. Bir çocuğa ait veri işlendiğini fark edersek derhâl sileriz.
12. Değişiklikler
Bu politikayı zaman zaman güncelleyebiliriz; önemli değişikliklerde uygulama içinden veya e-posta ile bilgilendiririz. Güncel sürümün tarihi sayfanın başındadır; kullanmaya devam etmeniz güncel politikayı kabul ettiğiniz anlamına gelir.
13. İletişim
Gizlilikle ilgili soru, talep ve başvurular: info@mecraapp.com
Kullanım kuralları için Kullanım Koşulları sayfasına bakın.