YASALSon güncelleme: 8 Temmuz 2026

Gizlilik Politikası

Bu politika, Mecra'yı kullandığınızda hangi kişisel verilerin, hangi amaçlarla ve hangi hukuki dayanaklarla işlendiğini açıklar. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve AB Genel Veri Koruma Tüzüğü (GDPR) esas alınarak hazırlanmıştır.

1. Bir bakışta

  • Mecra ücretsizdir ve verinizle para kazanmaz: kişisel verilerinizi satmayız, kiralamayız, reklam amaçlı profilleme yapmayız.
  • Yapay zekâ üretimi kendi API anahtarınızla çalışır; anahtarınız sunucu tarafında saklanır ve tarayıcınıza asla geri gönderilmez.
  • Sitede analitik veya izleme çerezi yoktur — yalnızca oturumunuzu ayakta tutan zorunlu çerezler kullanılır.
  • Hesabınızı sildiğinizde projeleriniz, kampanyalarınız, anahtarlarınız ve platform bağlantılarınız dâhil verileriniz kalıcı olarak silinir.

2. Kapsam ve veri sorumlusu

Bu politika, mecraapp.com alan adı üzerinden sunulan Mecra web uygulamasını ve ona bağlı hizmetleri (birlikte “Hizmet”) kapsar. KVKK kapsamında veri sorumlusu, GDPR kapsamında “data controller” sıfatıyla hareket eden taraf Mecra’dır (“biz”). İletişim bilgileri son bölümdedir.

Hizmeti kullanarak bu politikayı okuduğunuzu kabul etmiş olursunuz. Kabul etmiyorsanız Hizmeti kullanmamalısınız. Kullanım kuralları ayrıca Kullanım Koşulları’nda düzenlenmiştir.

3. Topladığımız veriler

Yalnızca Hizmeti sunmak için gereken veriyi toplarız:

KategoriİçerikKaynak
Hesap bilgileriE-posta, şifre (geri döndürülemez karma/hash olarak), ad-soyad ve profil görseli (isteğe bağlı)Kayıtta sizden
Proje ve marka verileriProje adı, sektör, marka sesi/tonu, kaçınılacak kelimeler, web sitesi adresi, marka açıklamalarıProje kurulumunda
Kampanya ve kreatiflerKampanya adları, hedefler, bütçeler, hedefleme tercihleri, reklam metinleri, yüklenen veya üretilen görsel/videolarHizmeti kullanırken
AI girdi ve çıktılarıİstemler (prompt), analiz girdileri, üretilen çıktılar; model adı ve token/maliyet istatistikleriAI araçlarını kullanırken
Platform bağlantılarıBağlanan reklam hesabı kimlikleri, hesap adları, yetki kapsamları, OAuth erişim/yenileme token'larıHesap bağlarken
AI API anahtarları (BYOK)OpenAI, Anthropic veya Google anahtarınız ve son 4 haneli maskeli gösterimiAyarlar'dan eklediğinizde
Geri bildirimMesajınız, gönderildiği sayfa ve temel istemci bilgisiGeri bildirim formundan
Teknik kayıtlarIP adresi, tarayıcı bilgisi, hata kayıtları gibi kısa ömürlü altyapı loglarıOtomatik

Toplamadıklarımız: kredi kartı/ödeme bilgisi (Hizmet ücretsizdir), reklam amaçlı davranışsal profil, başka sitelerdeki gezinme geçmişiniz.

4. İşleme amaçları ve hukuki dayanaklar

AmaçÖrnekHukuki dayanak
Hizmetin sunulmasıHesap oluşturma, kampanya üretme ve bağlı platformlarda yayınlamaSözleşmenin ifası (KVKK m.5/2-c · GDPR m.6/1-b)
AI üretimiİstemlerinizin kendi anahtarınızla seçtiğiniz sağlayıcıya iletilmesiSözleşmenin ifası (KVKK m.5/2-c · GDPR m.6/1-b)
GüvenlikOturum doğrulama, erişim kontrolü, hata kayıtlarıMeşru menfaat (KVKK m.5/2-f · GDPR m.6/1-f)
GeliştirmeGeri bildirimlerin değerlendirilmesi, hataların giderilmesiMeşru menfaat (KVKK m.5/2-f · GDPR m.6/1-f)
Hukuki yükümlülüklerYetkili makam taleplerinin karşılanmasıKanuni yükümlülük (KVKK m.5/2-ç · GDPR m.6/1-c)

Otomatik karar verme veya profilleme yapılmaz; AI önerileri (ör. bütçe dağılımı) yalnızca sizin onayınızla uygulanır.

5. Çerezler ve yerel depolama

Üçüncü taraf pazarlama, analitik veya izleme çerezi kullanmıyoruz. Aşağıdakilerin tamamı Hizmetin çalışması için zorunlu, birinci taraf kayıtlardır:

AdTürAmaçSüre
sb-*-auth-tokenZorunlu çerezOturumunuzu doğrulamak ve açık tutmak (Supabase Auth)Oturum yenilenene veya çıkışa kadar
mecra-themelocalStorageAçık/koyu tema tercihiSiz silene kadar
mecra-langlocalStorageDil tercihi (TR/EN)Siz silene kadar

Zorunlu çerezler için ayrıca rıza gerekmez. Çerezleri tarayıcınızdan silebilirsiniz; oturum çerezi silinirse yeniden giriş yapmanız gerekir.

6. Üçüncü taraf servisler

Hizmeti sunmak için az sayıda hizmet sağlayıcıyla çalışırız; bunlar veriyi yalnızca bizim talimatımızla işler:

Ayrıca sizin başlattığınız işlemlerle veriler şu taraflara iletilir:

  • AI sağlayıcıları (Anthropic, OpenAI, Google) — üretim başlattığınızda istemleriniz ve ilgili marka bağlamı, kendi anahtarınızla seçtiğiniz sağlayıcıya gider. Bu işleme, sağlayıcıyla aranızdaki sözleşmeye tabidir: Anthropic, OpenAI, Google
  • Reklam platformları (Meta, Google Ads, TikTok, LinkedIn, X, Reddit) — kampanya yayınladığınızda içerik ve hedefleme bilgileri bağlı reklam hesabınıza iletilir; her platformun kendi veri politikası geçerlidir.

Verilerinizi satmayız ve pazarlama amacıyla paylaşmayız.

7. Yurt dışına veri aktarımı

Altyapı sağlayıcılarımızın (Supabase, Cloudflare) ve seçtiğiniz AI sağlayıcılarının sunucuları yurt dışında (özellikle AB ve ABD’de) bulunabilir. Verileriniz, KVKK m.9 ve GDPR Bölüm V’e uygun olarak; standart sözleşme hükümleri ve sağlayıcı taahhütleri gibi güvencelerle yurt dışına aktarılabilir. Hizmeti kullanarak bu aktarımı kabul etmiş sayılırsınız; hesabınızı silerek işlemeyi dilediğiniz an durdurabilirsiniz.

8. Veri saklama süreleri

  • Hesap ve içerik verileri — hesabınız aktif olduğu sürece saklanır; hesabı sildiğinizde projeler, kampanyalar, kreatifler, AI kayıtları, platform bağlantıları ve API anahtarları otomatik ve kalıcı olarak silinir.
  • Platform bağlantıları (OAuth)— bağlantıyı kestiğinizde token’lar geçersizleştirilir ve silinir.
  • AI API anahtarları— Ayarlar’dan sildiğiniz anda kalıcı olarak silinir.
  • Teknik kayıtlar — sağlayıcıların standart, kısa ömürlü log saklama sürelerine tabidir.
  • Hukuki saklama — bir uyuşmazlık veya yasal yükümlülük varsa yalnızca ilgili veri, gereken süre boyunca saklanır.

9. Veri güvenliği

  • Tüm trafik TLS ile şifrelenir.
  • Veritabanında satır bazlı güvenlik (RLS) uygulanır: her kullanıcı yalnızca üyesi olduğu projelerin verisine erişebilir.
  • AI anahtarları sunucu tarafında saklanır; kolon bazlı erişim kısıtıyla istemciden okunamaz, tarayıcıya asla geri gönderilmez. Arayüzde yalnızca maskeli gösterim (son 4 hane) yer alır.
  • Şifreler geri döndürülemez şekilde karma (hash) olarak tutulur.

Hiçbir sistem %100 güvenli değildir; bir ihlal tespit edersek KVKK ve GDPR uyarınca ilgili makamlara ve etkilenen kullanıcılara bildirim yaparız.

10. KVKK ve GDPR kapsamındaki haklarınız

KVKK m.11 ve GDPR m.15-22 uyarınca:

  • Bilgi ve erişim — verilerinizin işlenip işlenmediğini öğrenme ve bir kopyasını isteme,
  • Düzeltme — eksik veya yanlış verilerin düzeltilmesini isteme,
  • Silme— verilerinizin silinmesini isteme (hesabınızı Ayarlar’dan kendiniz de silebilirsiniz),
  • İtiraz — meşru menfaate dayalı işlemeye itiraz etme,
  • Taşınabilirlik — verilerinizi yapılandırılmış, makine tarafından okunabilir formatta alma,
  • Şikâyet— Türkiye’de Kişisel Verileri Koruma Kurulu’na, AB’de yerel denetim makamına başvurma.

Talepler için aşağıdaki iletişim kanalını kullanın; kimlik doğrulamasının ardından en geç 30 gün içinde ücretsiz yanıtlarız.

11. Çocukların gizliliği

Hizmet 18 yaş altına yönelik değildir; bilerek 18 yaş altından veri toplamayız. Bir çocuğa ait veri işlendiğini fark edersek derhâl sileriz.

12. Değişiklikler

Bu politikayı zaman zaman güncelleyebiliriz; önemli değişikliklerde uygulama içinden veya e-posta ile bilgilendiririz. Güncel sürümün tarihi sayfanın başındadır; kullanmaya devam etmeniz güncel politikayı kabul ettiğiniz anlamına gelir.

13. İletişim

Gizlilikle ilgili soru, talep ve başvurular: info@mecraapp.com

Kullanım kuralları için Kullanım Koşulları sayfasına bakın.