Gizlilik Politikası

Son güncelleme: {{LAST_UPDATED}} · Sürüm 1.0

Bu Gizlilik Politikası, {{LEGAL_ENTITY}} ("Periodix", "biz", "bize") tarafından sunulan periodix.io ve app.periodix.io alan adlarındaki hizmetler ("Hizmet") kullanılırken kişisel verilerinizin nasıl toplandığını, işlendiğini ve korunduğunu açıklar.

Hizmeti kullanarak bu politikayı okuduğunuzu ve kabul ettiğinizi beyan etmiş olursunuz. Politika hakkında sorularınız için {{DPO_EMAIL}} adresine yazabilirsiniz.

1. Hangi verileri topluyoruz?

1.1 Sizin doğrudan verdiğiniz veriler

Hesap bilgileri: ad, soyad, e-posta, parola hash'i, telefon (opsiyonel), kurum adı, rolü.
Fatura bilgileri: fatura adresi, vergi numarası (kurumsal müşteriler için). Kredi kartı bilgisi tarafımızdan saklanmaz; ödeme sağlayıcımız LemonSqueezy tarafından PCI-DSS uyumlu altyapıda işlenir.
Müşteri içeriği: ders programı verisi, öğretmen ve sınıf bilgileri, derslik tanımları, müsaitlik ve kısıtlar. Bu veriler sadece sizin tanımladığınız alanlardır.
Destek talepleri: bize e-posta veya canlı sohbet ile ilettiğiniz içerikler.

1.2 Otomatik olarak toplanan veriler

Kullanım verisi: hangi sayfaları ziyaret ettiğiniz, hangi özellikleri kullandığınız, tıklama olayları (anonim ölçüm).
Cihaz / teknik veri: IP adresi, tarayıcı türü, işletim sistemi, ekran çözünürlüğü, dil tercihi.
Çerezler: oturum çerezleri (gerekli), tercih çerezleri, anonim analitik çerezleri. Detaylar §4.

2. Verileri neden işliyoruz? (Hukuki dayanaklar)

Verileri yalnızca aşağıdaki hukuki dayanaklardan biri varsa işleriz:

Sözleşmenin ifası: hesap yaratma, hizmetin sunulması, faturalama (KVKK m.5/2-c; GDPR m.6(1)(b)).
Hukuki yükümlülük: vergi mevzuatı, MEB / kamu otoritelerinin yazılı talepleri (KVKK m.5/2-ç; GDPR m.6(1)(c)).
Meşru menfaat: hizmet güvenliği, dolandırıcılık önleme, anonim ürün analitiği (KVKK m.5/2-f; GDPR m.6(1)(f)).
Açık rıza: pazarlama e-postaları, AI özelliklerini kullanma. Rızanızı istediğiniz zaman geri alabilirsiniz.

3. Yapay zekâ (AI) ile veri işleme

Periodix; doğal dil sorgu, yerleştirme önerisi ve rapor üretimi gibi özelliklerini büyük dil modelleri (LLM) aracılığıyla sunar. Bu konuda şeffaf olmak istiyoruz:

Hangi sağlayıcılar: Anthropic (Claude), OpenAI (GPT), Google (Gemini) ve OpenRouter altyapısı. Liste değişebilir; güncel hâli için Alt İşleyiciler tablosuna bakın.
Hangi veri AI'a gider: sorgunuzun metni + ilgili program parçası (anonim olarak). Öğretmen ad-soyad, e-posta, telefon, öğrenci kişisel verileri gönderilmez.
Eğitime kullanılır mı? Hayır. Sağlayıcılarla "data processing addendum" (DPA) imzalanmıştır ve opt-out from training seçeneği aktiftir.
Saklama: AI sağlayıcılarının kayıtları 30 gün içinde silinir.
Vazgeçme: AI özelliklerini hesap ayarlarınızdan kapatabilirsiniz. Bu, temel programlama işlevini etkilemez.

4. Çerezler

Tür	Amaç	Saklama
Gerekli	Oturum, güvenlik, dil tercihi	Oturum süresi / 1 yıl
Tercih	Görsel tema, dil	1 yıl
Analitik (anonim)	Ürün kullanım istatistikleri	26 ay (Google Analytics 4)
Pazarlama	Yalnızca açık rıza ile	Maks. 13 ay

Çerez tercihlerinizi sayfa altındaki "Çerez ayarları" bağlantısından her zaman değiştirebilirsiniz.

5. Alt işleyiciler (üçüncü taraflar)

Aşağıdaki tedarikçiler hizmeti vermek için tarafımızdan kullanılır. Her biriyle veri işleme sözleşmesi (DPA) imzalanmıştır.

Sağlayıcı	Amaç	Lokasyon
Hetzner	Sunucu / depolama	Almanya (AB)
LemonSqueezy	Ödeme ve faturalama	ABD (DPA + SCC)
Anthropic / OpenAI / Google	Yapay zekâ özellikleri	ABD (DPA + SCC)
Cloudflare	CDN, DDoS koruması	Global
{{EMAIL_PROVIDER}}	Transaksiyonel e-posta	{{REGION}}

6. Yurt dışına aktarım

Bazı tedarikçilerimiz (AI sağlayıcılar, LemonSqueezy) AB veya ABD'de bulunur. Türkiye dışına aktarımlarda:

AB için Standart Sözleşme Maddeleri (SCC) imzalıdır.
KVKK kapsamında açık rıza alınır (hesap oluştururken onaylanır).
Müşteri içeriği (program verisi) varsayılan olarak AB sunucularda saklanır; Türkiye lokasyonu talep edilirse Kurumsal anlaşma ile sağlanabilir.

7. Veri saklama süreleri

Aktif hesap: Hesap aktif olduğu sürece.
Pasif hesap: Son giriş tarihinden itibaren 24 ay sonra hesap silinir; öncesinde 60 / 30 / 7 gün önceden e-posta uyarısı gönderilir.
Fatura kayıtları: Vergi mevzuatı gereği 10 yıl (Türkiye), 5 yıl (AB ülkeleri).
Destek talepleri: Kapatıldıktan 24 ay sonra anonimleştirilir.
Yedekler: 30 gün rotasyonlu; silinen veri yedeklerden de tasfiye edilir.

8. Haklarınız

KVKK m.11 ve GDPR m.15-22 kapsamında aşağıdaki haklara sahipsiniz:

Verilerinize erişim, kopya talep etme
Düzeltme ve eksik bilgileri tamamlama
Silme ("unutulma hakkı")
İşlemenin kısıtlanması
Veri taşınabilirliği (CSV/JSON formatında)
Otomatik karar verme süreçlerine itiraz
Rızanızı geri çekme

Talepler için: {{DPO_EMAIL}}. 30 gün içinde yanıt veririz. Uyumsuzluk hâlinde Türkiye'de Kişisel Verileri Koruma Kurumuna (KVKK), AB'de yerel Veri Koruma Otoritesine şikâyet edebilirsiniz.

9. Güvenlik önlemleri

Tüm trafik TLS 1.3 ile şifrelidir.
Veritabanı kayıtları AES-256 ile şifrelenir (encryption at rest).
Parolalar geri alınamaz şekilde (Argon2id) hash'lenir.
Erişim çift faktörlü kimlik doğrulamayla (2FA) güvenceye alınır.
Düzenli güvenlik denetimleri ve sızma testleri yapılır.
Veri ihlali tespit edildiğinde 72 saat içinde KVKK / DPA'lara ve etkilenen kullanıcılara bildirim yapılır.

10. Çocukların verileri

Periodix 16 yaş altı kullanıcılara hizmet sunmaz. Öğrenci kişisel verileri Hizmet'te tutulmaz; yalnızca sınıf adı (örn. "9-A") gibi kimliksizleştirilmiş veriler kullanılır. Kurum sıfatıyla hesap açan müdür/öğretmenlerin bireysel kullanıcı olarak 18 yaşını doldurmuş olması gerekir.

11. Değişiklikler

Bu politikayı zaman zaman güncelleyebiliriz. Önemli değişiklikler hesap e-postasına bildirilir ve değişiklik tarihinden 30 gün önce duyurulur. Geçmiş sürümler {{ARCHIVE_URL}} adresinde arşivlenir.

12. İletişim

Veri Sorumlusu: {{LEGAL_ENTITY}}
Adres: {{ADDRESS}}
VKN: {{VKN}} · MERSİS: {{MERSIS}}
KVKK / DPO: {{DPO_EMAIL}}
Genel iletişim: {{CONTACT_EMAIL}}

Doldurulması gereken alanlar

{{LEGAL_ENTITY}} — yasal şirket ünvanı (ör. "Periodix Teknoloji Ltd. Şti.")
{{ADDRESS}} — tebligat adresi
{{VKN}} — Vergi kimlik numarası
{{MERSIS}} — MERSİS numarası (varsa)
{{DPO_EMAIL}} — KVKK / DPO iletişim e-postası (örn. kvkk@periodix.io)
{{CONTACT_EMAIL}} — genel iletişim e-postası (örn. hello@periodix.io)
{{EMAIL_PROVIDER}} + {{REGION}} — kullandığınız transaksiyonel e-posta sağlayıcısı (ör. Postmark, Resend, AWS SES)
{{ARCHIVE_URL}} — eski sürümlerin arşivlendiği URL (ör. github.com/periodix/legal)
{{LAST_UPDATED}} — son güncelleme tarihi (ör. 11.05.2026)

Privacy Policy

Last updated: {{LAST_UPDATED}} · Version 1.0

This Privacy Policy explains how {{LEGAL_ENTITY}} ("Periodix", "we", "us") collects, uses and protects your personal data when you use the services on periodix.io and app.periodix.io (the "Service").

By using the Service you confirm that you have read and accepted this policy. For questions write to {{DPO_EMAIL}}.

1. What data we collect

1.1 Data you provide directly

Account info: name, email, password hash, optional phone, organization name, role.
Billing: billing address, tax ID (for business customers). Card details are not stored by us; they are processed by LemonSqueezy on PCI-DSS compliant infrastructure.
Customer content: schedule data, teacher and class info, room definitions, availability and constraints. You define everything in this category.
Support requests: content you send us via email or chat.

1.2 Automatically collected data

Usage: pages visited, features used, click events (anonymous telemetry).
Device / technical: IP address, browser, OS, screen size, language preference.
Cookies: session (necessary), preference, anonymous analytics. See §4.

2. Legal bases for processing

Performance of contract: account creation, service delivery, billing (GDPR Art. 6(1)(b)).
Legal obligation: tax law, official requests (GDPR Art. 6(1)(c)).
Legitimate interest: service security, fraud prevention, anonymous product analytics (GDPR Art. 6(1)(f)).
Consent: marketing emails, AI features. You can withdraw consent any time.

3. AI processing

Periodix uses Large Language Models for natural-language queries, placement suggestions and analytic reports. We are transparent about this:

Providers: Anthropic (Claude), OpenAI (GPT), Google (Gemini) and OpenRouter routing. The list may change; see Sub-processors.
What is sent: the text of your query and the relevant schedule fragment (anonymized). Teacher PII, student PII, contact details are never sent.
Training: No. We have DPAs with all providers and opt-out from training is enabled.
Retention: Provider-side logs are purged within 30 days.
Opt-out: You can disable AI features from account settings without affecting core scheduling.

4. Cookies

Type	Purpose	Retention
Necessary	Session, security, language	Session / 1 year
Preference	Theme, language	1 year
Analytics (anon.)	Product usage stats	26 months (GA4)
Marketing	Only with explicit consent	Max 13 months

5. Sub-processors

Provider	Purpose	Location
Hetzner	Hosting / storage	Germany (EU)
LemonSqueezy	Payments and billing	USA (DPA + SCC)
Anthropic / OpenAI / Google	AI features	USA (DPA + SCC)
Cloudflare	CDN, DDoS protection	Global
{{EMAIL_PROVIDER}}	Transactional email	{{REGION}}

6. International transfers

Some sub-processors are based in the EU or USA. For transfers outside the EU we rely on Standard Contractual Clauses (SCCs). For EU transfers we provide adequate safeguards per Chapter V GDPR. Default storage region for customer content is the EU.

7. Retention

Active account: for as long as the account is active.
Inactive account: deleted 24 months after last login; 60 / 30 / 7-day reminders sent.
Billing records: 5 years (EU tax law), 10 years (Türkiye).
Support tickets: anonymized 24 months after closure.
Backups: 30-day rolling; deleted data is purged from backups within retention.

8. Your rights (GDPR)

Access your data, request a copy
Rectify inaccurate data
Erase ("right to be forgotten")
Restrict processing
Data portability (CSV / JSON export)
Object to automated decision-making
Withdraw consent

Send requests to {{DPO_EMAIL}}. We respond within 30 days. You also have the right to lodge a complaint with your local Data Protection Authority.

9. Security

TLS 1.3 in transit, AES-256 at rest.
Passwords hashed with Argon2id (one-way).
2FA for account access.
Regular security audits and penetration tests.
Breach notification within 72 hours per GDPR Art. 33.

10. Children

Periodix is not intended for users under 16. Student PII is not stored in the Service; only de-identified labels (e.g. "9-A") are used.

11. Changes

We may update this policy. Material changes are notified by email at least 30 days in advance. Past versions are archived at {{ARCHIVE_URL}}.

12. Contact

Controller: {{LEGAL_ENTITY}}
Address: {{ADDRESS}}
Tax ID: {{VKN}}
DPO: {{DPO_EMAIL}}
General: {{CONTACT_EMAIL}}