Biz kimiz
CVVia, MEDTIP GmbH (Innstraße 69b, 94032 Passau, Almanya; HRB 13100, Amtsgericht Passau; USt-IdNr. DE361378149) tarafından işletilen bir üründür. MEDTIP GmbH, GDPR Md. 4(7) anlamında veri kontrolörü ve KVKK Md. 3(1)(ı) anlamında „veri sorumlusu"dur.
Genel müdür: Osman Nergiz. Bu politika veya verileriniz hakkında sorularınızı her zaman privacy@cvvia.ai adresine gönderebilirsiniz. Resmi veri koruma talepleri için ayrıca dpo@cvvia.ai adresinden de ulaşılabilirsiniz.
Neyi topluyoruz
Sadece ürünün gerçekten ihtiyacı olanı topluyoruz. Aşağıdaki her şey gerçek bir özelliğe bağlı — „her ihtimale karşı" toplamıyoruz.
- Hesap: e-posta adresi, görünen ad ve (Google ile giriş yaparsanız) Google hesabınızdan bir profil fotoğrafı. Kimlik doğrulama Firebase Authentication üzerinden yapılır; parolanızı asla düz metin olarak görmeyiz.
- Tercihler: UI dili, tema, AI içerik için seçilen çıktı dili. AGB kabul zaman damgası ve sürümü ile yaş onayı zaman damgası (kayıt olurken 16 yaş veya üzeri olduğunuzu onaylarsınız).
- Profil içeriği: temel profil bilgileri, yüklenen CV'ler ve dokümanlar, manuel bilgi girişleri ve başvurularınızı kişiselleştirmek için sağladığınız diğer metinler.
- Üretilen materyaller: temel CV'ler, özelleştirilmiş CV'ler, niyet mektupları, ATS kontrol sonuçları, mülakat pratik oturumları (cevaplarınız dahil), takip e-postası taslakları ve tetiklediğiniz şirket araştırmaları.
- Başvuru meta verileri: takip ettiğiniz iş pozisyonları, şirket bilgileri, başvuru durumu, mülakat kayıtları.
- Operasyonel veriler: log verileri (istek yolları, yanıt süreleri, hatalar), rate-limit sayaçları, arka plan görev durumu, önemli eylemlere ilişkin audit kayıtları.
- Web sitesi ziyaretçi verileri: minimum istek verileri (IP, user-agent), güvenlik ve kötüye kullanım önleme için kısa süreli; reklam veya profilleme için kullanılmaz.
Neden işliyoruz (hukuki temel)
GDPR Md. 6 ve KVKK Md. 5 kapsamında şu hukuki temellere dayanıyoruz:
- Sözleşme (GDPR Md. 6(1)(b); KVKK Md. 5(2)(c)): kayıt olduğunuz CVVia hizmetini sağlamak — dokümanlar oluşturmak, analizler yapmak, çalışmanızı kaydetmek, operasyonel e-postalar göndermek.
- Meşru menfaat (GDPR Md. 6(1)(f); KVKK Md. 5(2)(f)): hizmetin güvenliğini sağlamak, kötüye kullanım ve dolandırıcılığı önlemek, güvenilirliği artırmak, hukuki taleplere karşı savunma yapmak. Her zaman itiraz edebilirsiniz.
- Açık rıza (GDPR Md. 6(1)(a); KVKK Md. 5(1) „açık rıza"): gerekli olmayan çerezler veya gelecekteki pazarlama e-postaları gibi opsiyonel her şey için. Açık rızanızı her zaman ceza olmaksızın geri çekebilirsiniz.
- Yasal yükümlülük (GDPR Md. 6(1)(c); KVKK Md. 5(2)(a)): ücretli müşteri olursanız fatura ve vergi kayıtlarını yasal saklama süreleri için tutmak (Alman HGB §257 — faturalar için 10 yıl).
AI nasıl kullanılır — ve ne yapmaz
CVVia AI destekli bir üründür. Yapay zekamız sizin hakkınızda karar vermez — sizin için içerik üretir, siz inceler ve ne yapacağınıza karar verirsiniz. GDPR Md. 22 anlamında otomatik karar verme yoktur (otomatik işe alım kararı, kredi kontrolü, hukuki etkili profilleme yok). İnsan kararı sizdedir.
Bir AI özelliği kullandığınızda, o özellik için gereken metin (özelleştirilmiş CV için CV içeriğiniz, ATS kontrolü için iş ilanı, mülakat pratiği için arka plan özetiniz artı cevabınız) kendi barındırdığımız AI ağ geçidi üzerinden bir büyük dil modeli sağlayıcısına gönderilir. Sağlayıcılar:
- OpenAI Ireland Ltd. (İrlanda; işlem gücü ABD'ye uzanabilir) — CV uyarlama, niyet mektubu, ATS skorlama, mülakat pratiği, takip e-postaları ve embedding'ler için birincil LLM sağlayıcı.
- Anthropic PBC (ABD) — yapılandırıldığında kullanılan alternatif LLM sağlayıcı.
- Google LLC (ABD) — Gemini modelleri, şirket araştırması ve yapılandırılmış çıkarım için.
- Microsoft Corporation (ABD) — mülakat pratiğinin opsiyonel sesli okuma özelliği için metin-konuşma. Sadece soru metni gönderilir; mikrofon sesi gönderilmez. Best-effort özellik — geçici olarak kullanılamayabilir; tarayıcının yerel konuşma sentezi fallback'tir.
AI sağlayıcılar verilerinizle ne yapar
Sağlayıcı saklama: OpenAI API isteklerini 30 güne kadar güvenlik ve kötüye kullanım izleme için saklar ve sonra siler. Anthropic 30 güne kadar saklar. Google'ın API katmanı benzer politika izler. AI ağ geçidimiz istek loglarını (sadece metadata, tam prompt değil) 14 gün tutup siler.
Eğitim verisi: girdileriniz ve çıktılarınızın sağlayıcı modellerini eğitmek için kullanılmasını sözleşmeyle açıkça hariç tutan API katmanlarını kullanıyoruz. Hiçbir „sağlayıcıyla model geliştirme için paylaş" şalterini açmıyoruz. Bir sağlayıcı bunu değiştirirse maddi politika değişikliği olarak ele alır ve size önceden bildiririz.
Verilerinizi ne kadar süre saklarız
Kişisel verileri sadece sizin için yararlı veya yasal olarak gerekli olduğu sürece saklarız. Aşağıdaki tablo uyguladığımız her saklama süresini listeler:
- Kimlik doğrulama (Firebase Auth): hesabınızı silene kadar veya Free planda 24 ay boyunca ardışık giriş yapılmaması halinde (önce 30 günlük hatırlatma e-postası gönderilir).
- Profil, yüklenen dokümanlar, CV'ler, niyet mektupları, mülakat oturumları, sohbet geçmişi: hesap silinene veya yukarıdaki Free plan kuralı kapsamında inaktiflik nedeniyle askıya alınana kadar; sonrasında 30 gün içinde birincil depodan kaldırılır.
- Şifrelenmiş off-site yedekler (AB bölgesi): 7 günlük dönen pencere — otomatik üzerine yazılır.
- Üretim sunucusunda yerel panik veritabanı dump'ları: 3 günlük dönen pencere — otomatik üzerine yazılır.
- Önemli kullanıcı eylemlerinin audit log'u (hesap silmeden sonra anonimleştirilir): 12 ay — meşru menfaat (kötüye kullanım ve dolandırıcılık soruşturması).
- Hata izleme olayları: 90 gün, alımdan önce kişisel veri scrubbing uygulanır.
- AI ağ geçidi istek logları (tam prompt'lar saklanmaz): 14 gün.
- Google Workspace gelen kutumuzdaki iletişim formu mesajları: 24 ay — meşru menfaat (takip yazışması).
- cvvia.ai domain'i için DMARC toplam raporları: 6 ay.
- Anonim, kimliği tespit edilemez agregat istatistikler (örn. „bu ay X CV oluşturuldu"): süresiz tutulabilir — bu veriler size geri bağlanamaz.
Güncel alt işleyici listesi
Alt işleyicilerin kanonik, her zaman güncel listesi — tüzel kişilik, yargı yetkisi, işledikleri veri kategorisi ve transfer mekanizması dahil — /subprocessors sayfamızda bulunur. Kişisel veriyi işleyen yeni bir alt işleyici eklemeden, normal şartlarda en az 14 gün önce e-posta ve uygulama içi banner ile size bildiririz. Bir güvenlik olayı, yasal veya düzenleyici bir yükümlülük ya da mevcut alt işleyicinin kullanılamaz hale gelmesi daha hızlı bir değişikliği gerektirirse, mümkün olduğunca kısa sürede bildiririz; bu durumlarda 14 günlük süre uygulanmaz. Yeni alt işleyiciye itiraz edebilirsiniz; bu alt işleyici olmadan devam edemezsek, hesabınızı kapatabilir ve verilerinizi önceden dışa aktarabilirsiniz.
Uluslararası transferler
Birincil altyapımız, veritabanımız ve yedeklerimiz Almanya ve AB'dedir. Bazı işleyiciler ABD merkezlidir ancak kullandığımız hizmetleri AB bölgelerinden işletirler.
OpenAI, Anthropic, Google AI veya Microsoft Edge TTS endpoint'leri kullanırken bazı veriler ABD'de işlenir. Bu transferler, AB Standart Sözleşme Maddelerine (Modül 2 — Kontrolör-İşleyici, 2021/914), sağlayıcıların AB-ABD Veri Gizliliği Çerçevesi sertifikalarına (uygulanabilir olduğunda) ve ek teknik önlemlere (iletimde TLS, eğitim yok sözleşmeleri) dayanır.
privacy@cvvia.ai adresine e-posta göndererek hangi spesifik verinizin AB'yi terk ettiğine dair tam bir resim isteyebilirsiniz.
Haklarınız
GDPR Md. 15–22 ve KVKK Md. 11 kapsamında her zaman aşağıdaki haklara sahipsiniz:
- Erişim — sizinle ilgili hangi verileri tuttuğumuzu sorma ve bir kopyasını alma (GDPR Md. 15; KVKK Md. 11(1)(b)(c)).
- Düzeltme — yanlış veya eksik olanı düzeltme (GDPR Md. 16; KVKK Md. 11(1)(e)).
- Silme — hesabınızı ve tüm ilgili kişisel verileri silme; unutulma hakkı (GDPR Md. 17; KVKK Md. 11(1)(e)).
- Kısıtlama — bir sorun çözülürken verinizin işlenmesini sınırlama (GDPR Md. 18).
- Veri taşınabilirliği — verilerinizi yapılandırılmış, makine tarafından okunabilir bir formatta dışa aktarma (GDPR Md. 20).
- İtiraz — meşru menfaate dayalı işlemeye, gelecekteki profilleme dahil itiraz (GDPR Md. 21; KVKK Md. 11(1)(g)).
- Hakkınızda otomatik karar verme yok — zaten hariç tutulmuştur, „AI nasıl kullanılır" bölümüne bakın (GDPR Md. 22).
- Açık rızayı geri çekme — açık rızaya dayalı her şey için, her zaman, ceza olmaksızın (GDPR Md. 7(3); KVKK „açık rıza").
- Denetim makamına şikayet — aşağıdaki bölüme bakın.
Haklarınızı tek tıkla nasıl kullanırsınız
Bunu hukuk diline gömmek yerine somut yapıyoruz. Ayarlar sayfanızdan en yaygın talepleri kendi kendinize yapabilirsiniz:
Self-service UI'mizin kapsamadığı her şey için — bizimle tüm yazışmaların bir kopyası, belirli bir dışa aktarma formatı, başka herhangi bir şey — privacy@cvvia.ai adresine yazın. GDPR Md. 12'nin gerektirdiği gibi 30 gün içinde yanıt veririz; KVKK Md. 13'ün 30 günlük süresi yazılı talebinizi aldığımızda başlar.
- Verilerimi indir — hesap JSON'unuzu, yüklenen dokümanlarınızı, üretilen CV'leri, niyet mektuplarını ve sohbet geçmişini içeren yapılandırılmış bir ZIP oluşturur. 24 saat içinde e-posta ile imzalı bir indirme bağlantısı alırsınız; bağlantı 24 saat geçerlidir.
- Hesabımı sil — hesabınızı ve kişisel verilerinizi birincil depodan 30 gün içinde, tüm üretilen materyaller üzerinde kaskat ile kalıcı olarak kaldırır. Off-site yedek kopyalar normal 7 günlük dönen döngüde üzerine yazılır. Audit log girişleri anonimleştirilir; zaman damgaları ve eylem türleri meşru menfaat (dolandırıcılık ve kötüye kullanım soruşturması) için korunur.
- Düzeltme — profilinizdeki ve kaydedilmiş başvurularınızdaki herhangi bir alanı doğrudan düzenleyin; kullanıcı tarafından düzenlenemeyen alanlar için privacy@cvvia.ai adresine yazın.
Güvenlik
CVVia'ya gelen ve giden tüm trafik TLS 1.2 veya üzeri ile şifrelenir (HSTS zorunlu; apex domain iki yıla sertleştirilmiştir). Parolalar Firebase Authentication tarafından işlenir ve bize hiçbir zaman düz metin olarak gözükmez. Birincil veritabanı ve Firebase Storage verileri sağlayıcı tarafından at-rest şifrelenir. Off-site yedekler AES-256 ile şifrelenir.
Üretim sistemlerine erişim SSH anahtar kimlik doğrulaması gerektirir; parola girişi devre dışıdır. Altyapımıza ve Firebase'e yönetici erişimi çok faktörlü kimlik doğrulama ile korunur.
Kişisel veri ihlali bilgilerinizi etkilerse, GDPR Md. 33'ün gerektirdiği gibi 72 saat içinde yetkili denetim makamına bildirim yaparız ve haklarınız üzerinde yüksek bir risk olasılığı varsa size de gecikmeksizin doğrudan bildiririz (Md. 34).
Çocuklar
CVVia 16 yaş ve üzeri iş arayanlara yöneliktir. Kayıt sırasında 16 yaş veya üzeri olduğunuzu onaylarsınız — bu onayın zaman damgası AGB kabul kaydınızla birlikte saklanır. 16 yaş altındaki kişilerden bilerek kişisel veri toplamayız. Bir çocuğun kayıt olduğunu düşünüyorsanız, privacy@cvvia.ai adresine yazın, hesabı kapatıp verileri sileriz.
Değişiklikler ve nasıl iletişime geçilir
Bu politikayı özellik ekledikçe, işleyici değiştirdikçe veya yasal gereklilikleri güncellediğimizde güncelleriz. Önemli değişiklikler en az 14 gün önce e-posta ve uygulama içi banner ile duyurulur. Sayfanın üst kısmındaki son güncelleme tarihi her zaman güncel sürümü yansıtır.
Herhangi bir hakkı kullanmak, soru sormak veya şikayette bulunmak için privacy@cvvia.ai adresine yazın. GDPR Md. 12 ve KVKK Md. 13'ün gerektirdiği gibi 30 gün içinde yanıt veririz.