1. Veri Sorumlusu ve İletişim
Bu Gizlilik Politikası, iki tüzel kişilik tarafından işlenen kişisel veriler için geçerlidir:
- HMS Health Mobile Software Sağlık, Mobil Yazılım ve Eğitim A.Ş. — Türkiye tüzel kişisi, Kayseri Ticaret Sicili. Türkiye ve MENA bölgesindeki kullanıcı verilerinin veri sorumlusudur.
- Auto Train Brain Inc. — Delaware, ABD tüzel kişisi (File 3503262, EIN 35-2850045). ABD ve diğer ülkelerdeki kullanıcı verilerinin veri sorumlusudur.
İletişim: info@autotrainbrain.com · +90 552 651 00 50 · Acıbadem, İstanbul, Türkiye
Veri Koruma Sorumlusu (DPO): dpo@autotrainbrain.com
2. Özel Nitelikli Kişisel Veri Uyarısı (KVKK Madde 6 / GDPR Art. 9)
- EEG (elektroensefalografi) beyin dalgası verisi — Auto Train Brain, ATB Games, NeuroSphere (opsiyonel EEG cihazı ile)
- HRV (kalp atım değişkenliği) verisi — EyeZenith, NeuroSphere
- Biyometrik veri (yüz izleme / göz takibi) — EyeZenith kamera-tabanlı analiz
- Nörosinyal örüntüleri ve sağlık gelişim raporları
Bu veriler yalnızca sizin açık rızanız ile işlenir. Açık rızanızı istediğiniz zaman geri çekebilirsiniz — hesap ayarlarınızdan veya dpo@autotrainbrain.com adresine talep göndererek. Rızanızı geri çekmeniz halinde, rıza tarihine kadarki işlemler hukuka uygun kalır ancak rıza sonrası işleme durdurulur.
3. İşlenen Kişisel Veri Kategorileri
3.1. Kimlik ve İletişim Verileri
- Ad, soyad, kullanıcı adı, doğum tarihi, cinsiyet
- E-posta adresi, telefon numarası, teslimat adresi
3.2. Müşteri İşlem ve Ödeme Verileri
- Satın alma kayıtları, fatura bilgileri, abonelik durumu
- Ödeme yöntemi tokenları (kart bilgileri Stripe/iyzico tarafından PCI-DSS uyumlu şekilde işlenir; biz kart numarası saklamayız)
- Donanım seri numarası, lisans aktivasyon tarihi
3.3. Cihaz ve Log Verileri
- IP adresi, çerez bilgileri, tarayıcı tipi, cihaz kimliği, işletim sistemi versiyonu
- Uygulama kullanım süresi, oturum sayısı, ekran etkileşim verileri
- Uygulama içi hata logları (crash logs) — anonimleştirilmiş
3.4. Özel Nitelikli Kişisel Veri (KVKK Madde 6)
- EEG ham nörosinyal verisi (μV, frekans bantları)
- HRV metrikleri (SDNN, RMSSD)
- Kamera-tabanlı göz takibi verileri (sakkad, fiksasyon, göz bebeği hareketi — ham görüntü kaydedilmez, yalnızca sayısal ölçümler)
- Bilişsel performans / gelişim raporları
4. İşleme Amaçları ve Hukuki Dayanaklar
| Amaç | Hukuki Dayanak (KVKK) | GDPR |
|---|---|---|
| Hizmet sağlama (uygulama işleyişi) | Madde 5/2-c (sözleşme) | Art. 6(1)(b) |
| EEG / HRV / biyometri işleme | Madde 6/3 (açık rıza) | Art. 9(2)(a) |
| Fatura ve muhasebe | Madde 5/2-a (yasal yükümlülük) | Art. 6(1)(c) |
| Pazarlama iletişimi | Madde 5/2-f (açık rıza) | Art. 6(1)(a) |
| Ürün güvenliği ve hata giderme | Madde 5/2-e (meşru menfaat) | Art. 6(1)(f) |
| Akademik araştırma (anonimleştirilmiş) | Madde 6/3 (açık rıza) | Art. 9(2)(j) |
5. Yurt Dışına Veri Aktarımı (KVKK Madde 9 / GDPR Art. 44-49)
Verileriniz aşağıdaki yurt dışı sağlayıcıların altyapısında saklanır:
- Amazon Web Services (AWS) — ABD ve Almanya (Frankfurt) bölgeleri. EU-US Data Privacy Framework (DPF) sertifikasyonuna sahiptir. Ek olarak KVK Kurul onaylı standart sözleşme (SCC) ile korunmaktadır (KVKK Madde 9/1-b).
- Stripe, Inc. — ödeme işleme, ABD
- iyzico Ödeme Hizmetleri A.Ş. — Türkiye
- Apple App Store / Google Play — uygulama dağıtımı, ABD
- MongoDB Atlas — veritabanı, AB (Frankfurt)
Yurt dışı aktarım için hukuki güvenceler: KVKK Madde 9 standart sözleşme + GDPR Art. 46 SCC (2021/914 Modül 2) + Transfer Impact Assessment (TIA). Açık rızanız da alınmaktadır (KVKK Madde 9/1-a).
6. Veri Saklama Süreleri
- Hesap bilgileri: hesap aktif olduğu sürece + 1 yıl
- EEG / HRV / biyometri verisi: hesap aktif olduğu sürece + 6 ay (silme talebi ile daha erken silinebilir)
- Fatura ve muhasebe kayıtları: yasal saklama süresi (TR: 10 yıl, VUK; US: 7 yıl, IRS)
- Log ve çerez verileri: 12 ay
- Silme talebi: 30 gün içinde işlenir; anonimleştirilmiş araştırma verisi süresiz saklanabilir.
7. Çocukların Gizliliği (COPPA + KVKK + GDPR Art. 8)
- Velayet sahibi ebeveyn açık rızası zorunludur (KVKK, GDPR Art. 8 için ülkeye göre 13-16 yaş altı, COPPA için 13 yaş altı).
- Ebeveyn onayı e-posta doğrulaması + hesap oluşturma sırasında imzalanan onam formu ile alınır.
- Çocuklara davranışsal reklam gösterilmez.
- Çocuk verisi üçüncü taraf pazarlamacılarla paylaşılmaz.
- Ebeveyn istediği zaman çocuğun hesabına erişebilir, veriyi silebilir veya rızasını geri çekebilir.
8. Kaliforniya Gizlilik Hakları (CCPA/CPRA)
Kaliforniya’da yaşıyorsanız aşağıdaki haklara sahipsiniz (Cal. Civ. Code §1798.100+):
- Right to Know — Toplanan kişisel bilgileri öğrenme hakkı
- Right to Delete — Silme hakkı
- Right to Correct — Düzeltme hakkı
- Right to Opt-Out of Sale/Sharing — Kişisel bilginin satışına/paylaşımına itiraz
- Right to Limit Use of Sensitive Personal Information (SPI) — EEG, HRV, biyometri gibi hassas verilerin kullanımını sınırlama
- Right to Non-Discrimination — Bu hakları kullandığınız için ayrımcılığa uğramama
Limit the Use of My Sensitive Personal Information (California)
Global Privacy Control (GPC) sinyaline uyum sağlarız.
9. FTC Health Breach Notification (US Kullanıcılar)
ABD’de bulunan kullanıcılar için, 16 CFR Part 318 (2024 revizyonu) uyarınca, sağlık verinizin (EEG, HRV, biyometri dahil) yetkisiz erişime maruz kalması halinde:
- 60 gün içinde e-posta ile bilgilendirilirsiniz
- 500 veya daha fazla kullanıcı etkilenirse FTC ve medya eş zamanlı olarak bildirilir
10. Veri Sahibi Hakları (KVKK Madde 11 / GDPR Art. 15-22)
KVKK Madde 11 ve GDPR Art. 15-22 uyarınca:
- Kişisel verinizin işlenip işlenmediğini öğrenme
- İşlenmişse bilgi talep etme
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içi/yurt dışı aktarılan üçüncü kişileri bilme
- Eksik veya yanlış işlenmişse düzeltilmesini isteme
- Silinmesini veya yok edilmesini isteme (unutulma hakkı)
- Aktarıldığı üçüncü kişilere bildirilmesini isteme
- Otomatik sistemlerle analiz sonucu aleyhine bir sonuç ortaya çıkmasına itiraz
- Kanuna aykırı işleme nedeniyle zararınızın giderilmesini talep etme
- Veri taşınabilirliği (GDPR Art. 20)
- Denetim otoritesine şikâyet (KVKK için Kurul; GDPR için ilgili DPA)
Nasıl talep edersiniz: dpo@autotrainbrain.com adresine yazılı talep gönderin. Talebiniz 30 gün içinde ücretsiz olarak yanıtlanır.
11. Veri Güvenliği
Uyguladığımız teknik ve idari güvenlik önlemleri:
- Aktarım sırasında TLS 1.3 şifreleme
- Depolamada AES-256 şifreleme (EEG/HRV verisi için)
- Cihaz üzerinde AI işleme (EyeZenith’te ham kamera verisi cihazdan çıkmaz)
- Rol tabanlı erişim kontrolü, multi-factor authentication
- Yıllık penetrasyon testi ve güvenlik denetimi
- Personel için KVKK/GDPR eğitimi
- Veri işleyen üçüncü taraflarla DPA (Data Processing Agreement) imzalanır
12. Çerezler ve İzleme
Web sitemiz aşağıdaki çerezleri kullanır:
- Zorunlu çerezler: oturum yönetimi (rıza gerekmez)
- Analitik çerezler: Google Analytics 4 (anonimleştirilmiş IP)
- Pazarlama çerezleri: Meta Pixel (yalnızca rıza ile)
Çerez tercihlerinizi çerez ayarlarından istediğiniz zaman değiştirebilirsiniz.
13. Tıbbi Cihaz Uyarısı ve Sınırlamalar
14. Politika Değişiklikleri
Bu politika güncellendiğinde:
- Önemli değişiklikler için e-posta ile bildirilirsiniz
- Değişiklik tarihinden 30 gün önce duyuru yapılır
- Özel nitelikli veri işleme için değişiklik yeni açık rıza gerektirir
15. Yürürlük ve İtiraz Yolları
Bu politika 2 Temmuz 2026 tarihinden itibaren yürürlüktedir.
Şikâyet ve itiraz:
- Türkiye: Kişisel Verileri Koruma Kurumu (KVKK)
- Avrupa Birliği: İlgili ülkenin Veri Koruma Otoritesi
- ABD: Federal Trade Commission (FTC)
- Kaliforniya: California Privacy Protection Agency (CPPA)