Son güncelleme: 2 Temmuz 2026 · Bu politika KVKK (6698 sayılı Kanun, 2024 revizyonu ile), GDPR (AB 2016/679), FTC Health Breach Notification Rule (2024 güncellemesi), COPPA (16 CFR Part 312) ve California CCPA/CPRA gerekliliklerine uyumlu şekilde yeniden düzenlenmiştir.

1. Veri Sorumlusu ve İletişim

Bu Gizlilik Politikası, iki tüzel kişilik tarafından işlenen kişisel veriler için geçerlidir:

  • HMS Health Mobile Software Sağlık, Mobil Yazılım ve Eğitim A.Ş. — Türkiye tüzel kişisi, Kayseri Ticaret Sicili. Türkiye ve MENA bölgesindeki kullanıcı verilerinin veri sorumlusudur.
  • Auto Train Brain Inc. — Delaware, ABD tüzel kişisi (File 3503262, EIN 35-2850045). ABD ve diğer ülkelerdeki kullanıcı verilerinin veri sorumlusudur.

İletişim: info@autotrainbrain.com · +90 552 651 00 50 · Acıbadem, İstanbul, Türkiye

Veri Koruma Sorumlusu (DPO): dpo@autotrainbrain.com

2. Özel Nitelikli Kişisel Veri Uyarısı (KVKK Madde 6 / GDPR Art. 9)

Önemli: Auto Train Brain uygulamaları, KVKK Madde 6/1 ve GDPR Art. 9(1) kapsamında özel nitelikli kişisel veri olan aşağıdaki verileri işler:

  • EEG (elektroensefalografi) beyin dalgası verisi — Auto Train Brain, ATB Games, NeuroSphere (opsiyonel EEG cihazı ile)
  • HRV (kalp atım değişkenliği) verisi — EyeZenith, NeuroSphere
  • Biyometrik veri (yüz izleme / göz takibi) — EyeZenith kamera-tabanlı analiz
  • Nörosinyal örüntüleri ve sağlık gelişim raporları

Bu veriler yalnızca sizin açık rızanız ile işlenir. Açık rızanızı istediğiniz zaman geri çekebilirsiniz — hesap ayarlarınızdan veya dpo@autotrainbrain.com adresine talep göndererek. Rızanızı geri çekmeniz halinde, rıza tarihine kadarki işlemler hukuka uygun kalır ancak rıza sonrası işleme durdurulur.

3. İşlenen Kişisel Veri Kategorileri

3.1. Kimlik ve İletişim Verileri

  • Ad, soyad, kullanıcı adı, doğum tarihi, cinsiyet
  • E-posta adresi, telefon numarası, teslimat adresi

3.2. Müşteri İşlem ve Ödeme Verileri

  • Satın alma kayıtları, fatura bilgileri, abonelik durumu
  • Ödeme yöntemi tokenları (kart bilgileri Stripe/iyzico tarafından PCI-DSS uyumlu şekilde işlenir; biz kart numarası saklamayız)
  • Donanım seri numarası, lisans aktivasyon tarihi

3.3. Cihaz ve Log Verileri

  • IP adresi, çerez bilgileri, tarayıcı tipi, cihaz kimliği, işletim sistemi versiyonu
  • Uygulama kullanım süresi, oturum sayısı, ekran etkileşim verileri
  • Uygulama içi hata logları (crash logs) — anonimleştirilmiş

3.4. Özel Nitelikli Kişisel Veri (KVKK Madde 6)

  • EEG ham nörosinyal verisi (μV, frekans bantları)
  • HRV metrikleri (SDNN, RMSSD)
  • Kamera-tabanlı göz takibi verileri (sakkad, fiksasyon, göz bebeği hareketi — ham görüntü kaydedilmez, yalnızca sayısal ölçümler)
  • Bilişsel performans / gelişim raporları

4. İşleme Amaçları ve Hukuki Dayanaklar

Amaç Hukuki Dayanak (KVKK) GDPR
Hizmet sağlama (uygulama işleyişi) Madde 5/2-c (sözleşme) Art. 6(1)(b)
EEG / HRV / biyometri işleme Madde 6/3 (açık rıza) Art. 9(2)(a)
Fatura ve muhasebe Madde 5/2-a (yasal yükümlülük) Art. 6(1)(c)
Pazarlama iletişimi Madde 5/2-f (açık rıza) Art. 6(1)(a)
Ürün güvenliği ve hata giderme Madde 5/2-e (meşru menfaat) Art. 6(1)(f)
Akademik araştırma (anonimleştirilmiş) Madde 6/3 (açık rıza) Art. 9(2)(j)

5. Yurt Dışına Veri Aktarımı (KVKK Madde 9 / GDPR Art. 44-49)

Verileriniz aşağıdaki yurt dışı sağlayıcıların altyapısında saklanır:

  • Amazon Web Services (AWS) — ABD ve Almanya (Frankfurt) bölgeleri. EU-US Data Privacy Framework (DPF) sertifikasyonuna sahiptir. Ek olarak KVK Kurul onaylı standart sözleşme (SCC) ile korunmaktadır (KVKK Madde 9/1-b).
  • Stripe, Inc. — ödeme işleme, ABD
  • iyzico Ödeme Hizmetleri A.Ş. — Türkiye
  • Apple App Store / Google Play — uygulama dağıtımı, ABD
  • MongoDB Atlas — veritabanı, AB (Frankfurt)

Yurt dışı aktarım için hukuki güvenceler: KVKK Madde 9 standart sözleşme + GDPR Art. 46 SCC (2021/914 Modül 2) + Transfer Impact Assessment (TIA). Açık rızanız da alınmaktadır (KVKK Madde 9/1-a).

6. Veri Saklama Süreleri

  • Hesap bilgileri: hesap aktif olduğu sürece + 1 yıl
  • EEG / HRV / biyometri verisi: hesap aktif olduğu sürece + 6 ay (silme talebi ile daha erken silinebilir)
  • Fatura ve muhasebe kayıtları: yasal saklama süresi (TR: 10 yıl, VUK; US: 7 yıl, IRS)
  • Log ve çerez verileri: 12 ay
  • Silme talebi: 30 gün içinde işlenir; anonimleştirilmiş araştırma verisi süresiz saklanabilir.

7. Çocukların Gizliliği (COPPA + KVKK + GDPR Art. 8)

Auto Train Brain, ATB Edu ve ATB Games uygulamalarımız çocuklar için tasarlanmıştır (5-12 yaş). Bu uygulamaları kullanabilmek için:

  • Velayet sahibi ebeveyn açık rızası zorunludur (KVKK, GDPR Art. 8 için ülkeye göre 13-16 yaş altı, COPPA için 13 yaş altı).
  • Ebeveyn onayı e-posta doğrulaması + hesap oluşturma sırasında imzalanan onam formu ile alınır.
  • Çocuklara davranışsal reklam gösterilmez.
  • Çocuk verisi üçüncü taraf pazarlamacılarla paylaşılmaz.
  • Ebeveyn istediği zaman çocuğun hesabına erişebilir, veriyi silebilir veya rızasını geri çekebilir.

8. Kaliforniya Gizlilik Hakları (CCPA/CPRA)

Kaliforniya’da yaşıyorsanız aşağıdaki haklara sahipsiniz (Cal. Civ. Code §1798.100+):

  • Right to Know — Toplanan kişisel bilgileri öğrenme hakkı
  • Right to Delete — Silme hakkı
  • Right to Correct — Düzeltme hakkı
  • Right to Opt-Out of Sale/Sharing — Kişisel bilginin satışına/paylaşımına itiraz
  • Right to Limit Use of Sensitive Personal Information (SPI) — EEG, HRV, biyometri gibi hassas verilerin kullanımını sınırlama
  • Right to Non-Discrimination — Bu hakları kullandığınız için ayrımcılığa uğramama

Limit the Use of My Sensitive Personal Information (California)

Global Privacy Control (GPC) sinyaline uyum sağlarız.

9. FTC Health Breach Notification (US Kullanıcılar)

ABD’de bulunan kullanıcılar için, 16 CFR Part 318 (2024 revizyonu) uyarınca, sağlık verinizin (EEG, HRV, biyometri dahil) yetkisiz erişime maruz kalması halinde:

  • 60 gün içinde e-posta ile bilgilendirilirsiniz
  • 500 veya daha fazla kullanıcı etkilenirse FTC ve medya eş zamanlı olarak bildirilir

10. Veri Sahibi Hakları (KVKK Madde 11 / GDPR Art. 15-22)

KVKK Madde 11 ve GDPR Art. 15-22 uyarınca:

  • Kişisel verinizin işlenip işlenmediğini öğrenme
  • İşlenmişse bilgi talep etme
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içi/yurt dışı aktarılan üçüncü kişileri bilme
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme
  • Silinmesini veya yok edilmesini isteme (unutulma hakkı)
  • Aktarıldığı üçüncü kişilere bildirilmesini isteme
  • Otomatik sistemlerle analiz sonucu aleyhine bir sonuç ortaya çıkmasına itiraz
  • Kanuna aykırı işleme nedeniyle zararınızın giderilmesini talep etme
  • Veri taşınabilirliği (GDPR Art. 20)
  • Denetim otoritesine şikâyet (KVKK için Kurul; GDPR için ilgili DPA)

Nasıl talep edersiniz: dpo@autotrainbrain.com adresine yazılı talep gönderin. Talebiniz 30 gün içinde ücretsiz olarak yanıtlanır.

11. Veri Güvenliği

Uyguladığımız teknik ve idari güvenlik önlemleri:

  • Aktarım sırasında TLS 1.3 şifreleme
  • Depolamada AES-256 şifreleme (EEG/HRV verisi için)
  • Cihaz üzerinde AI işleme (EyeZenith’te ham kamera verisi cihazdan çıkmaz)
  • Rol tabanlı erişim kontrolü, multi-factor authentication
  • Yıllık penetrasyon testi ve güvenlik denetimi
  • Personel için KVKK/GDPR eğitimi
  • Veri işleyen üçüncü taraflarla DPA (Data Processing Agreement) imzalanır

12. Çerezler ve İzleme

Web sitemiz aşağıdaki çerezleri kullanır:

  • Zorunlu çerezler: oturum yönetimi (rıza gerekmez)
  • Analitik çerezler: Google Analytics 4 (anonimleştirilmiş IP)
  • Pazarlama çerezleri: Meta Pixel (yalnızca rıza ile)

Çerez tercihlerinizi çerez ayarlarından istediğiniz zaman değiştirebilirsiniz.

13. Tıbbi Cihaz Uyarısı ve Sınırlamalar

Auto Train Brain ve tüm ilgili uygulamalar (NeuroSphere, EyeZenith, ATB Edu, ATB Games) tıbbi cihaz DEĞİLDİR. Tanı veya tedavi amacıyla kullanılamaz. Zihinsel gelişimi destekleyen wellness (esenlik) araçlarıdır. Nörolojik, tıbbi veya psikiyatrik durumlar için mutlaka bir doktora danışın. Sonuçlar bireyden bireye değişir ve garanti edilemez. Bir tıbbi hizmet sağlayıcısı değiliz; kişisel verileriniz yalnızca KVKK kapsamında işlenir ve korunur.

14. Politika Değişiklikleri

Bu politika güncellendiğinde:

  • Önemli değişiklikler için e-posta ile bildirilirsiniz
  • Değişiklik tarihinden 30 gün önce duyuru yapılır
  • Özel nitelikli veri işleme için değişiklik yeni açık rıza gerektirir

15. Yürürlük ve İtiraz Yolları

Bu politika 2 Temmuz 2026 tarihinden itibaren yürürlüktedir.

Şikâyet ve itiraz: