Gizlilik Politikası

A.1 Veri Sorumlusu: AI1App LLC (ticari ad: OloSearch), kayıtlı ofis: İstanbul, Türkiye. Mersis No: [başvuru sürecinde]. Ticaret sicil numarası ve resmi adres, /contact sayfasında güncel olarak yayınlanır.

A.2 Veri Koruma Görevlisi (DPO): dpo@voltimap.com. DPO, GDPR Madde 37-39 ve KVKK Veri Sorumluları Sicili Yönetmeliği uyarınca atanmıştır ve veri sahibi başvurularını doğrudan yanıtlar.

A.3 VERBİS: AI1App LLC, Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicili'ne (VERBİS) kayıt başvurusunu tamamlamıştır. VERBİS sicil numarası: [tahsis bekleniyor — atanır atanmaz bu sayfada yayınlanacaktır].

A.4 AB Temsilcisi: GDPR Madde 27 kapsamında AB'de hizmet sunulduğunda, AB temsilcimizin iletişim bilgileri aynı sayfada beyan edilir.

KVKK Madde 10 (aydınlatma yükümlülüğü) ve GDPR Madde 13-14 uyarınca, her veri kategorisi için topladığımız bilgi, işleme amacı, hukuki dayanak ve saklama süresi aşağıda ayrı ayrı belirtilmiştir.

• B.1 Hesap verileri — e-posta, ad-soyad, bcrypt cost-12 ile karma alınmış parola hash'i, iron-session oturum belirteci. Amaç: hesap oluşturma, oturum yönetimi, kimlik doğrulama. Hukuki dayanak: GDPR 6(1)(b) sözleşmenin ifası / KVKK 5/2(c). Saklama: oturum çerezi 14 gün; hesap silme talebinde 30 gün grace süresi, ardından hard delete.
• B.2 Konum verileri — rota planlama — GPS koordinatları (başlangıç ve hedef). Amaç: rota hesaplama, şarj istasyonu önerisi. Hukuki dayanak: GDPR 6(1)(b) sözleşme. Saklama: rota planlama isteği anlık işlenir; kullanıcı “Rotamı kaydet” demedikçe ham koordinatlar saklanmaz.
• B.3 Konum verileri — canlı navigasyon — sürüş esnasında periyodik GPS okumaları. Amaç: sapma tespiti, ETA güncellemesi, rota yeniden hesaplama. Hukuki dayanak: GDPR 6(1)(b) sözleşme + 6(1)(f) meşru menfaat (hizmet kalitesi). Saklama: sürüş bitiminde otomatik silinir; yalnızca anonim ısı haritası agregatına dahil edilebilir.
• B.4 OBD-II telemetri — SoC, hız, batarya voltajı, hücre sıcaklığı, DTC (hata) kodları, menzil tahmini. Amaç: anlık menzil hesabı, batarya sağlığı izleme. Hukuki dayanak: GDPR 6(1)(b) sözleşme. İşleme yeri: verinin tamamı varsayılan olarak kullanıcının cihazında işlenir; sunucuya yalnızca kullanıcı izin verdiğinde agregat metrikler (günlük ortalama SoC, toplam km, batarya sağlığı indeksi) gider. Per-vehicle anlık veri yalnızca Fleet paylaşımı açıkça etkinleştirildiğinde sunucuya gönderilir. Saklama: cihaz cache (IndexedDB) sınırsız — kullanıcı silebilir; sunucu agregat 30 gün rolling pencere.
• B.5 Ödeme verileri — kart bilgisi Stripe'ta tokenize edilir, biz tutmuyoruz; bizde yalnızca Stripe customer ID, abonelik durumu, fatura referansı bulunur. Amaç: abonelik tahsilatı, fatura kesimi. Hukuki dayanak: GDPR 6(1)(b) sözleşme + 6(1)(c) yasal yükümlülük (vergi). Saklama: 7 yıl (Vergi Usul Kanunu Madde 253, Türk Ticaret Kanunu Madde 82).
• B.6 Cihaz verileri — User-Agent, IP adresi (kısaltılmış), tarayıcı dili, ekran boyutu, işletim sistemi. Amaç: uyumluluk sağlama, dolandırıcılık önleme, hata teşhisi. Hukuki dayanak: GDPR 6(1)(f) meşru menfaat (güvenlik). Saklama: 90 gün.
• B.7 Topluluk raporları — şarj istasyonu önerisi, durum güncellemesi, fotoğraf, oy. Amaç: şarj noktası veri kalitesi, kullanıcı doğrulaması. Hukuki dayanak: GDPR 6(1)(f) meşru menfaat (kamu yararı / harita verisi). Saklama: kayıt silinene kadar; hesap silme sonrası içerik anonimleştirilir (kullanıcı kimliği koparılır, içerik kalır).
• B.8 İletişim tercihleri — e-posta, web push, mobil push opt-in durumları. Amaç: tercihlere uygun bildirim. Hukuki dayanak: GDPR 6(1)(a) açık rıza (pazarlama) + 6(1)(b) sözleşme (işlem bildirimleri). Saklama: opt-out anına veya hesap silmeye kadar.
• B.9 Sipariş ve teslimat adresi — fiziksel ürün satışı (örn. OBD adapter) durumunda ad-soyad, adres, telefon. Amaç: sipariş ifası, kargo. Hukuki dayanak: GDPR 6(1)(b) sözleşme + 6(1)(c) yasal yükümlülük. Saklama: 7 yıl (Tüketicinin Korunması Hakkında Kanun + vergi mevzuatı).
• B.10 Çerezler ve benzeri teknolojiler — ayrı politika: /cookies. Burada genel çerçeve belirtilmiştir, kategori bazlı detay çerez politikasındadır.
• B.11 Audit / denetim logları — kim, ne zaman, hangi kaynağa erişti, hangi işlemi yaptı. Amaç: güvenlik, uyum, adli olay müdahalesi. Hukuki dayanak: GDPR 6(1)(f) meşru menfaat + 6(1)(c) yasal yükümlülük. Saklama: 1 yıl, sonra anonimleştirilir.

AI1App, hizmeti sunmak için aşağıdaki alt-işleyenleri kullanır. Her biri ile GDPR Madde 28 çerçevesinde Veri İşleme Sözleşmesi (DPA) ve gerektiğinde Standart Sözleşme Maddeleri (SCC'ler) imzalanmıştır. Her alt-işleyenin amacı ve paylaşılan veri tipi listede gösterilmiştir.

• C.1 Stripe Inc. / Stripe Payments Europe Ltd (ABD / İrlanda) — ödeme işlemleri. Paylaşılan: e-posta, kart token, fatura tutarı. Koruma: AB-ABD aktarımı için SCC + DPA + PCI-DSS Level 1.
• C.2 Hetzner Online GmbH (Almanya) — sunucu, depolama, yedekleme. Paylaşılan: tüm uygulama verisi (şifreli at-rest). Koruma: DPA, AB içi.
• C.3 OpenStreetMap Foundation (Birleşik Krallık) — coğrafi referans verisi (POI, yol ağı). Paylaşılan: harita karosu istek IP adresi (proxy üzerinden). Koruma: BK adequacy decision + OSMF kullanım koşulları.
• C.4 Open Charge Map (Birleşik Krallık) — şarj istasyonu meta verisi. Paylaşılan: anonim sorgu (kullanıcı kimliği gönderilmez). Koruma: CC-BY-SA 4.0 lisans + BK adequacy.
• C.5 OpenFreeMap (Hollanda) — vektör harita karoları. Paylaşılan: karo isteği IP adresi (proxy üzerinden). Koruma: CC0 lisans + AB içi.
• C.6 OSRM Foundation (Almanya) — açık rota hesaplama servisi. Paylaşılan: başlangıç-hedef koordinatları (anonim). Not: kullanıcı tarayıcısı doğrudan OSRM'e bağlanırsa kendi IP'sini görür; OloSearch sunucusu üzerinden proxy ile aktarımda IP gizlenir. Koruma: açık servis + AB içi.
• C.7 Capacitor / Ionic (ABD) — mobil uygulama runtime (yalnızca kütüphane; doğrudan veri aktarımı yoktur, açık kaynak).
• C.8 Resend / Postmark / SMTP sağlayıcı (Türkiye / AB) — işlemsel ve pazarlama e-postaları. Paylaşılan: e-posta adresi, mesaj içeriği. Koruma: DPA, AB/TR içi.
• C.9 Cloudflare Inc. (ABD, AB konfigürasyonu) — CDN, DDoS koruması, WAF. Paylaşılan: HTTP istek meta verisi. Koruma: SCC + EU data localization seçeneği.

Aşağıdaki haklara sahipsiniz. Talebinizi /dashboard/settings/privacy üzerinden veya dpo@voltimap.com adresine e-posta ile iletebilirsiniz. KVKK 13/2 uyarınca ilk yanıt 72 saat, tam yanıt 30 gün içinde verilir.

• D.1 Bilgi alma hakkı — verilerinizin işlenip işlenmediğini öğrenme.
• D.2 Erişim hakkı — işlenen veriye, amaca ve kategorilere erişim (GDPR Madde 15).
• D.3 Düzeltme hakkı — yanlış veya eksik veriyi düzeltme (GDPR Madde 16).
• D.4 Silme hakkı / unutulma hakkı — verinin silinmesini isteme (GDPR Madde 17). Talep /dashboard/settings/privacy → “Hesabımı Sil” üzerinden.
• D.5 İşlemeye itiraz hakkı — meşru menfaate dayalı işlemeye itiraz (GDPR Madde 21).
• D.6 Veri taşınabilirliği hakkı — verinizi makine-okunabilir (JSON) formatta dışa aktarma (GDPR Madde 20).
• D.7 Otomatik karar verme — AI1App, hukuki sonuç doğuran veya sizi önemli ölçüde etkileyen tamamen otomatik kararlar vermez. Menzil tahmini, ETA hesabı gibi işlemler hukuki sonuç doğurmaz.
• D.8 Şikayet hakkı — KVKK Kurulu (Türkiye) veya AB'de yerleşik DPA'ya (örn. İrlanda DPC) şikayet edebilirsiniz.

E.1 OloSearch hizmetleri 18 yaş altı kullanıcılar için tasarlanmamıştır. Sürüş ve EV rota planlama özellikleri ehliyetli sürücüler içindir. Hesap açılışı sırasında yaş beyanı alınır.

E.2 18 yaş altı bir kullanıcının hesabı tespit edilirse, hesap derhal askıya alınır ve veriler KVKK Madde 7 + GDPR Madde 17 uyarınca silinir. Ebeveyn/veli bildirimi için dpo@voltimap.com.

• F.1 Tüm bağlantılarda TLS 1.2+ zorunlu (HSTS preload listesinde).
• F.2 Parolalar bcrypt cost-12 ile karma alınır; ham parola asla saklanmaz, loglanmaz.
• F.3 Iron-session oturum çerezleri: HttpOnly + SameSite=Lax + Secure + AES-GCM imzalı.
• F.4 Veri ihlali tespit edildiğinde, KVKK Madde 12/5 ve GDPR Madde 33-34 uyarınca yetkili otoriteye ve etkilenen veri sahiplerine 72 saat içinde bildirim yapılır.
• F.5 Audit log immutable (yalnızca INSERT) — değiştirilemez, silinemez.
• F.6 Rate limit + IP deduplikasyonu (brute-force ve oy dolandırıcılığı önleme).
• F.7 Stripe webhook imzaları her istekte HMAC-SHA256 ile doğrulanır.
• F.8 At-rest şifreleme: PostgreSQL + yedekler AES-256.
• F.9 Erişim “en az ayrıcalık” (least privilege); production veritabanına erişim 2FA + bastion host.

• G.1 Konum verisi yalnızca kullanıcının açık izniyle alınır. Tarayıcıda Geolocation API izni, mobilde işletim sistemi izin diyaloğu zorunludur.
• G.2 GPS doğruluğu cihaza ve sinyal koşullarına bağlıdır. OloSearch GPS sapmasından ve sonuç rota gecikmesinden sorumlu tutulamaz.
• G.3 “Konumumu paylaş” opsiyoneldir. Kapalı tutulduğunda rota planlama yine çalışır — kullanıcı başlangıç adresini manuel olarak yazabilir.
• G.4 Fleet (filo) modunda canlı konum yalnızca filo organizasyonu içinde paylaşılır. Sürücü kullanıcısı, filo paylaşımını cihazda kabul etmedikçe konum filo dashboard'una gönderilmez.
• G.5 Konum verisi hiçbir koşulda üçüncü taraf reklam ağlarıyla paylaşılmaz veya satılmaz.

• H.1 Yalnızca okuma: OloSearch OBD-II adaptörü üzerinden yalnızca pasif veri okur (SoC, hız, batarya gerilimi, sıcaklık, DTC hata kodları). Hiçbir koşulda araç ECU'larına yazma komutu, mod-08 komutu, aktüatör testi veya konfigürasyon değişikliği gönderilmez. Yazılım, OBD-II protokolünün yalnızca okuma alt kümesini (mod-01, mod-09, mod-22 okuma) çağırır.
• H.2 On-device processing: Telemetri varsayılan olarak kullanıcının cihazında işlenir (IndexedDB). Sunucuya yalnızca (a) kullanıcının açık izniyle filo paylaşımı, ya da (b) günlük agregat istatistik (ör. günlük ortalama SoC, toplam km) gönderilir. Per-vehicle gerçek zamanlı veri sunucuya gönderilmez.
• H.3 Silme hakkı: Kullanıcı OBD verilerini istediği zaman tek tıkla silebilir (/dashboard/settings/privacy → “OBD verimi temizle”). Cihaz cache'i (IndexedDB) temizlenir, sunucu agregatları anonim olduğu için ayrıca silinmez.
• H.4 Bluetooth eşleştirme: OBD adapter ile Bluetooth eşleştirmesi yalnızca cihaz üzerinde gerçekleşir. OloSearch, eşleştirme anahtarı veya adapter ile yapılan ham iletişimi hiçbir biçimde sunucuya göndermez.
• H.5 VIN ele alma: Araç VIN'i (mod-09) okunduğunda, sunucuya gönderildiği nadir durumlarda (yalnızca kullanıcı “aracımı kaydet” derse) SHA-256 ile karma alınır. Ham VIN sunucuda saklanmaz.
• H.6 Opt-out: Kullanıcı OBD özelliğini hiç kullanmamayı seçebilir; bu durumda hiçbir araç telemetrisi okunmaz ve tahmin tamamen kullanıcı tarafından girilen profil verisine dayanır.

• I.1 Detaylı çerez listesi ve süreleri için /cookies sayfasına bakın.
• I.2 Zorunlu çerezler (auth oturumu, CSRF token, dil tercihi) — kullanıcı onayı gerekmez, ePrivacy Direktifi Madde 5(3) istisnası.
• I.3 Opsiyonel çerezler (analitik, pazarlama) — yalnızca çerez banner'ında açık onay verildikten sonra etkinleştirilir; tek tıkla geri çekilebilir.
• I.4 Otomatik silme: oturum çerezi 14 gün, kalıcı tercih çerezleri 1 yıl.

• J.1 Aktif hesap: hesap aktif olduğu sürece tüm profil verisi saklanır.
• J.2 Hesap silme: kullanıcı silme talebinde 30 gün grace süresi başlar (yanlışlıkla silme koruması). 30 gün sonra hard delete: hesap, parola hash'i, oturumlar, kişisel bağlantı silinir.
• J.3 Hard delete sonrası: anonimleştirilmiş agregat istatistikler (örn. günde kaç kişi rota planladı, ortalama menzil tahmini) korunur; kişisel veriyle bağlantısı kalmaz.
• J.4 Yasal saklama yükümlülüğü: fatura, vergi belgesi, kargo belgesi 7 yıl saklanır (Vergi Usul Kanunu, Türk Ticaret Kanunu, Tüketicinin Korunması Hakkında Kanun).

• K.1 Web push (VAPID) — opt-in: kullanıcı tarayıcı izninden sonra açıkça etkinleştirir.
• K.2 Native push (FCM/APNS) — Capacitor mobil uygulama yüklü olduğunda; opt-in mecburi.
• K.3 E-posta pazarlama — yalnızca açık opt-in (çift teyit); her e-postada tek tıkla unsubscribe linki.
• K.4 İşlem bildirimleri (parola sıfırlama, ödeme makbuzu, güvenlik uyarısı) — KVKK Madde 5/2(c) sözleşmenin ifası kapsamında onaysız gönderilir; bu mesajlar ticari ileti değildir.
• K.5 Kritik güvenlik bildirimleri (oturum ihlali, abonelik iptali vb.) KVKK Madde 5/2(f) meşru menfaat kapsamında opt-out edilemez.

• L.1 AB / İngiltere içi: AB-BK adequacy decision kapsamında ek önlem gerekmeden veri akar (OpenStreetMap, Open Charge Map).
• L.2 ABD alt-işleyenler: Stripe, Cloudflare ABD merkezli olduklarında AB Standart Sözleşme Maddeleri (SCC'ler) 2021/914 + Schrems II sonrası ek teknik önlemler (uçtan uca şifreleme, dinlenmede AES-256) uygulanır.
• L.3 Türkiye dışına aktarım: KVKK Madde 9 uyarınca, yurt dışına aktarımda (i) Kurul tarafından yeterli koruma sağladığı ilan edilen ülkeye, ya da (ii) tarafların yeterli korumayı yazılı taahhüt etmesi ve Kurulca izin verilmesi halinde, ya da (iii) açık rıza ile aktarım yapılır.
• L.4 Veri lokalizasyonu: birincil veritabanı ve yedekler Hetzner Almanya (Falkenstein) bölgesinde tutulur. Yeterli koruma sağlamayan üçüncü ülkelere aktarım yapılmaz.

M.1 CCPA / CPRA: California sakinleri Cal. Civ. Code § 1798.100 vd. uyarınca, toplanan kişisel veri kategorilerini ve kaynaklarını bilme, silme talep etme, “Do Not Sell or Share My Personal Information” hakkından yararlanma ve bu hakların kullanılması nedeniyle ayrımcılığa uğramama haklarına sahiptir. AI1App kişisel veri satmaz.

M.2 LGPD (Lei Geral de Proteção de Dados, Brezilya): Brezilya'da yerleşik kullanıcılar LGPD Madde 18 kapsamında erişim, düzeltme, anonimleştirme, taşınabilirlik ve silme haklarına sahiptir. ANPD (Autoridade Nacional de Proteção de Dados)'ya şikayet hakkı saklıdır.

• N.1 Bu politikanın geçerli sürümü: 2026-05-24-v2 (24 Mayıs 2026).
• N.2 Materyal nitelikte değişiklikler en az 30 gün önce e-posta + uygulama içi banner ile duyurulur. Yürürlük tarihinden önce kullanıcı itiraz edebilir veya hesabını silebilir.
• N.3 Yürürlük tarihinden sonra hizmetin kullanılmaya devam edilmesi güncellenmiş politikanın kabulü anlamına gelir.
• N.4 Önceki sürümler arşivde tutulur ve /legal/archive üzerinden erişilebilir.

• O.1 Genel: hello@voltimap.com
• O.2 Veri Koruma Görevlisi (DPO): dpo@voltimap.com
• O.3 Yasal işler: legal@voltimap.com
• O.4 KVKK başvuru kanalı: /dashboard/settings/privacy → “Verilerime Eriş” / “Verilerimi Sil” / “Verilerimi İndir (JSON)”.
• O.5 Posta adresi: AI1App LLC, İstanbul, Türkiye. (Tam posta adresi başvuru üzerine DPO'dan alınabilir.)