← Ana Sayfa Kullanım Şartları Gizlilik Kabul Edilebilir Kullanım DMCA 🇹🇷 Türkçe · English

Gizlilik Politikası (Privacy Policy)

Sürüm: v1 — son güncelleme: 2026-04-25.

1. Toplanan veriler

1.1 Hesap

Email + parola hash'i (bcrypt; ham parola asla saklanmaz)
Ad (opsiyonel)
OAuth profil URL'i ve avatar (Google/GitHub/Microsoft/LinkedIn/ORCID girişiyle)
OAuth access_token — crypto.py Fernet (AES-128-CBC + HMAC-SHA256) ile şifrelenip saklanır; HOCA_ENCRYPTION_KEY env'inden türetilen anahtar.
Kayıt IP'si — audit ve abuse koruması için.

1.2 İş verisi

PDF dosyaları — jobs/<job_id>/ altında veya yapılandırıldıysa S3 / Azure Blob / DO Spaces.
Çıktı mp4 / mp3 — aynı yer.
Iş kayıtları: id, kullanıcı id, durum, sayfa sayısı, kredi kullanımı, hata mesajı, attestation onayları, opt-in seçenekler.
Voice clone WAV'ları — user_voices/<user_id>/<sha256>.wav altında veya storage backend'de.

1.3 Otomatik toplanan

HTTP request log'ları (IP, user-agent, endpoint, status code) — debugging ve abuse için 30 gün.
Audit log — admin moderasyon aksiyonları (kim ne zaman ne yaptı). 365 gün.

2. Kullanım amaçları

Hizmeti sağlamak (iş çalıştırma, kredi muhasebesi)
Kötüye kullanım tespiti (rate-limit, dup voice fingerprint)
Yasal yükümlülük (DMCA / takedown talepleri, savcılık talepleri)
Hesap güvenliği (login bildirimi, IP tabanlı şüpheli aktivite)

Pazarlama amaçlı veya 3.tarafa satış yoktur.

3. 3.taraf hizmetler

Servis	Veri	Politika
Anthropic API (Claude)	İş narration metinleri	Anthropic Privacy Policy — model eğitimi için kullanılmaz (commercial tier).
Groq / OpenRouter (fallback LLM)	Aynı	Provider'ın kendi politikası.
edge-tts (Microsoft)	TTS metinleri	Microsoft Privacy.
iyzico	Ödeme bilgileri	iyzico KVKK uyumlu, kart numarası bizde değil.
AWS S3 / Azure Blob / DO Spaces	Çıktı dosyaları	Sağlayıcı SLA.
OAuth (Google/GitHub/MS/LinkedIn/ORCID)	E-mail + ad	Sağlayıcı politikaları.

4. Şifreleme & güvenlik

Cookie: httponly, samesite=lax, prod'da secure=True (COOKIE_SECURE=1 env).
OAuth token: Fernet AES-128 + HMAC-SHA256 ile DB'de.
Parola: bcrypt (12 rounds default).
TLS: Reverse proxy (nginx / cloud LB) tarafından zorunlu; kendi deployment'ınızda TLS aktif olmalı.
Rate-limit: auth 5/dak, jobs 30/dak (slowapi).

5. KVKK hakları

Türkiye'de oturuyorsanız KVKK kapsamında: - Veri silme talebi: legal@hoca.example.com - Veri taşınabilirliği: mevcut işleriniz JSON+ZIP olarak indirilebilir - Veri rektifikasyonu: Settings → Profil sayfasından doğrudan - İtiraz hakkı: otomatik kararlara karşı (örn. abuse-flag disable) admin'e ulaşabilirsiniz

GDPR (AB'de oturanlar) için aynı haklar geçerli; talepler aynı kanaldan.

6. Çerezler

hoca_token — JWT auth, 30 gün, httponly+secure.
session — Starlette SessionMiddleware (OAuth state); kısa ömürlü.

3.taraf cookie kullanılmaz (analytics yok).

7. Veri saklama süreleri

Veri	Süre
Hesap	Hesap aktif olduğu sürece + silme talebinden 30 gün sonra
İş kayıtları	90 gün (sonra anonimleştirilir)
PDF / mp4	İş bitiminden 30 gün, sonra storage'dan silinir
Voice WAV	Kullanıcı silene kadar veya hesap kapanışında
OAuth access_token	OAuth provider iptal edene kadar veya kullanıcı disconnect edene kadar
Audit log	365 gün (yasal yükümlülük)

8. İletişim

Veri Koruma: dpo@hoca.example.com
Şikayet: KVKK Kurumu (Türkiye) / yerel veri koruma kurumu