Gizlilik Politikası

Son güncelleme: 27 Nisan 2026 — Versiyon 1.0

Persona Analitik (Persona Analitik Yazılım Limited Şirketi) olarak, kullanıcılarımızın gizliliğine özen gösteririz. Bu Gizlilik Politikası, Persona Analytics EDU eğitim platformu (web ve mobil uygulama) kapsamında hangi verileri topladığımızı, neden topladığımızı ve nasıl koruduğumuzu açıklar.

1. Veri Sorumlusu

Persona Analitik Yazılım Limited Şirketi
Akat Mah. Selçuklar Sk. B1 Blok No:6/6, Beşiktaş, İstanbul, Türkiye
E-posta: info@personallytics.com

2. Politikanın Kapsamı: Web vs Mobil Uygulama

Bu politika iki farklı kanalı kapsar:

Bölüm A — Web Platformu (schools.personallytics.com): Kullanıcı kayıtları, kişilik testleri, akademik risk analizi, danışmanlık notları gibi ana veri toplama akışları burada gerçekleşir.
Bölüm B — Persona Analytics EDU (Mobil Uygulama): Yalnızca giriş (PrivacyCode + OTP), bildirim alma ve sonuçların görüntülenmesi için kullanılır. Yeni veri toplama yapılmaz; mevcut veriler yalnızca görüntülenir.

Bölüm A — Web Platformu

A.1 Topladığımız Veriler

Kimlik bilgileri: Ad, soyad, e-posta, telefon, okul/sınıf, rol (öğrenci, veli, öğretmen, danışman, yönetici)
Anonim sistem kodu (PrivacyCode): STU-XXXX, FTH-XXXX, MTH-XXXX, GRD-XXXX, TCH-XXX, COU-XXX, ADM-XXX, NET-XXX biçiminde her kullanıcıya atanan benzersiz operasyonel anonim kod.
Kişilik testi yanıtları ve hesaplanan kişilik analizi sonuçları (Enneagram tipleri, trait skorları)
Akademik veriler: Sınav sonuçları, devamsızlık, akademik risk skoru (ARI)
Danışmanlık verileri: Görüşme notları, eylem maddeleri, müdahale planları
Sosyal-Duygusal Öğrenme (SEL) değerlendirmeleri

A.2 Yapay Zeka Kullanımı ve Anonimleştirme

Persona Analytics EDU'da yapay zeka sizi tanımaz.

Kişiliğinize ve gelişiminize yönelik yorumları üretmek için yapay zeka servislerinden yararlanıyoruz. Ancak yapay zekaya gönderilen veri yalnızca anonim sayısal test skorlarınızdır; isim, okul, sınıf, e-posta, telefon ve hatta sistem içi anonim kodlarınız (PrivacyCode) dahi yapay zekaya iletilmez.

Yapay zeka tarafından üretilen yorum metinleri, daha sonra Persona Analitik'in iç sistemlerinde kimlik bilgilerinizle eşleştirilir. Yapay zeka servisinin bu eşleştirmeye erişimi yoktur. Bu yaklaşım, KVKK Madde 28(1)(b) ve GDPR Resital 26 kapsamında anonim hâle getirme (anonymization) olarak tanımlanır ve kişisel verilerinizin yapay zeka servisleriyle paylaşılması anlamına gelmez.

A.3 Veri Paylaşma Politikası

Persona Analitik, kullanıcı verilerinizi (gerçek isimleriniz veya PrivacyCode anonim kimlikleriniz dahil) hiçbir üçüncü kişi, kurum veya kuruluş ile satmaz, kiralamaz veya pazarlama amacıyla paylaşmaz. Verileriniz yalnızca aşağıdaki istisnai durumlarda aktarılabilir:

Yasal yükümlülük: Türk mevzuatı veya mahkeme kararı gereği yetkili devlet birimlerinin resmi talebi üzerine.
Altyapı sağlayıcılar (veri işleyenler): Hizmetimizin sunulması için zorunlu olan altyapı sağlayıcıları — MongoDB Atlas (veri saklama), Firebase (push bildirim altyapısı), Expo (mobil dağıtım altyapısı). Bu sağlayıcılar bizim adımıza ve sözleşmesel veri koruma yükümlülükleri altında işlem yapar; bağımsız alıcılar değildir.

A.4 PrivacyCode Anonimleştirme Sistemi ve Rol Bazlı Erişim

Persona Analitik, kullanıcı verilerinin iç sistemlerimizde işlenmesi sırasında her kullanıcıya benzersiz bir PrivacyCode atar (örneğin STU-0014). Bu kod, log'larda, raporlarda ve iç analizlerde gerçek isim yerine kullanılır.

Kişisel verilere kim erişebilir? Sistem rol bazlı erişim modeli ile çalışır:

SaaS yöneticileri (Persona Analitik ekibi): Hiçbir öğrenci, veli, öğretmen, rehber veya okul yöneticisinin ham kimlik bilgilerini (ad, soyad, e-posta, telefon) göremez. Yalnızca anonim PrivacyCode'lar ile destek ve hata ayıklama yapar.
Okul Ağı / Şube Yöneticisi (NetworkAdmin / Branch Admin): Öğrenci, veli ve sınıf bilgilerine kayıt ve atama yönetimi amacıyla erişebilir; okul personelinin (öğretmen, rehber, yönetici) iletişim bilgilerini de görebilir. Ancak kişilik analizi, sosyal-duygusal öğrenme (SDÖ) değerlendirmeleri, danışmanlık vakaları ve rehberlik raporları gibi hassas analiz verilerine erişimleri yoktur.
Rehberlik personeli (Danışman / HeadCounsellor): Görev kapsamındaki öğrenci ve veli kimlik bilgilerine erişebilir.
Öğretmen: Görevli olduğu sınıftaki öğrenci ve veli kimlik bilgilerine erişebilir.

Bu maskeleme backend tarafında uygulanır. Yani yetkisi olmayan bir rol, API yanıtlarına tarayıcı geliştirici araçlarından (DevTools) baksa bile ham kimlik bilgisi göremez. Maskeleme yalnızca arayüzde değil, sunucudan gönderilen JSON verisinde de uygulanır ve bypass edilemez.

A.5 Çocuk Verisi (13-18 Yaş)

Persona Analytics EDU ortaokul ve lise öğrencilerine yönelik bir platformdur. 13 yaş altı kullanıcı kabul etmeyiz. 13-18 yaş arası kullanıcıların verileri:

KVKK Madde 6 kapsamında özel nitelikli veri seviyesinde korunur (kişilik testi sonuçları için)
GDPR Article 8 kapsamında veli/vasi onayı ve okul sözleşmesi ile işlenir
Yalnızca eğitim ve rehberlik amacıyla kullanılır; ticari amaçla işlenmez

A.6 Saklama Süreleri

Test sonuçları ve akademik veriler: aktif eğitim süresince + 5 yıl (MEB mevzuatı)
Danışmanlık notları: 10 yıl (sağlık verisi yönetmeliği)
Akademik risk snapshot'ları: 5 yıl
Login logları: 1 yıl (5651 sayılı kanun)
Hesap profili: hesap aktif olduğu sürece + silme talebi onayı sonrası 30 gün

Bölüm B — Persona Analytics EDU (Mobil Uygulama)

B.1 Mobil Uygulamanın Topladığı Veriler

Mobil uygulama "consumer-only" mimaride çalışır — yeni veri toplama yapmaz, yalnızca mevcut verileri görüntüler. Uygulama kapsamında backend'e gönderilen veriler:

PrivacyCode (giriş yapan kullanıcının anonim kodu)
OTP doğrulama bilgisi (e-posta veya SMS kanalı tercihi; gerçek e-posta veya telefon numarası mobil tarafından gönderilmez)
Push notification token (cihaza özgü FCM/APNs tanımlayıcısı)
Cihaz parmak izi (deviceFingerprint) (cihaz tanıma için)
Veli ekran zamanı surveyi (Yalnızca Veli rolü için manuel girilen TV/tablet/telefon/bilgisayar dakikaları)

Mobil uygulama Apple/Google "Privacy Nutrition Label" sınıflandırmasında tracking yapmaz; reklam tanımlayıcılarına erişmez.

B.2 Mobil Uygulamanın Görüntülediği (Toplamadığı) Veriler

Test sonuçlarınız, kişilik analizi raporlarınız, akademik risk skorlarınız, danışmanlık notlarınız mobil uygulamada görüntülenir; ancak uygulama tarafından toplanmaz. Bu veriler web platformunda toplanır ve mobil uygulamaya yalnızca okuma amaçlı sunulur.

3. Hesap Silme Süreci

Hesabınızı silmek için mobil uygulama içinden veya web platformu üzerinden silme talebi oluşturabilirsiniz. Talebiniz, KVKK ve GDPR kapsamındaki yasal saklama yükümlülükleri kontrol edilerek 30 iş günü içinde okul yöneticisi tarafından değerlendirilir.

Silme onaylandığında verileriniz 30 gün içinde silinir veya anonim hâle getirilir. Kurumsal hesaplar (öğretmen, danışman, yönetici) için ek operasyonel kontroller uygulanır (oluşturulan kayıtların devri, audit trail koruması). Yasal saklama gereği bazı veriler ek süre korunabilir; bu durum size bildirilir.

4. KVKK Madde 11 — Haklarınız

KVKK Madde 11 ve GDPR Article 15-22 kapsamında kullanıcı olarak şu haklara sahipsiniz:

Verilerinizin işlenip işlenmediğini öğrenme
Verilerinize erişim ve kopya talep etme
Verilerinizi düzeltme veya silmemizi isteme
Aktarım yapılan kişileri öğrenme
Otomatik karar verme süreçlerine itiraz etme

Hak taleplerinizi info@personallytics.com adresine iletebilirsiniz.

5. Veri Güvenliği

Verileriniz şu güvenlik önlemleri ile korunur:

HTTPS şifreli iletim (mobil ↔ backend, backend ↔ AI servisleri)
MongoDB Atlas yatay şifreleme (encryption at rest)
Rol bazlı erişim kontrolü (RBAC)
Çok faktörlü kimlik doğrulama (OTP)
PrivacyCode anonimleştirme katmanı (iç işlemlerde)
Düzenli güvenlik denetimleri

6. Politika Değişiklikleri

Bu politikayı ihtiyaç halinde güncelleriz. Önemli değişiklikleri uygulama içi bildirim ve e-posta ile size duyururuz.

Privacy Policy

Last updated: April 27, 2026 — Version 1.0

At Persona Analytics (Persona Analitik Yazılım Limited Şirketi), we take user privacy seriously. This Privacy Policy explains what data we collect, why we collect it, and how we protect it within the Persona Analytics EDU platform (web and mobile app).

1. Data Controller

Persona Analitik Yazılım Limited Şirketi
Akat Mah. Selçuklar Sk. B1 Blok No:6/6, Beşiktaş, Istanbul, Türkiye
Email: info@personallytics.com

2. Scope: Web vs Mobile App

This policy covers two distinct channels:

Section A — Web Platform (schools.personallytics.com): User registration, personality assessments, academic risk analysis, counselling notes — primary data collection happens here.
Section B — Persona Analytics EDU (Mobile App): Used only for sign-in (PrivacyCode + OTP), receiving notifications, and viewing results. The app does not collect new data — it displays existing data.

Section A — Web Platform

A.1 Data We Collect

Identity: First/last name, email, phone, school/class, role (student, parent, teacher, counsellor, admin)
Anonymous system code (PrivacyCode): A unique operational anonymous code assigned to every user (STU-XXXX, FTH-XXXX, etc.)
Personality test responses and computed personality analyses (Enneagram types, trait scores)
Academic data: Test results, attendance, Academic Risk Index (ARI)
Counselling data: Session notes, action items, intervention plans
Social-Emotional Learning (SEL) assessments

A.2 AI Use and Anonymization

Persona Analytics EDU's AI does not know who you are.

We use AI services to generate insights about your personality and development. However, only anonymous numerical test scores are sent to AI services — your name, school, class, email, phone, and even your internal anonymous code (PrivacyCode) are never sent.

AI-generated commentary is later matched with your identity inside Persona Analytics' internal systems. The AI service has no access to that mapping. Under KVKK Article 28(1)(b) and GDPR Recital 26, this approach qualifies as anonymization — meaning personal data is not shared with the AI service.

A.3 Data Sharing Policy

Persona Analytics does not sell, rent, or share user data (real names or PrivacyCode pseudonyms) with third parties for marketing purposes. Data may only be transferred under these exceptions:

Legal obligation: Upon official requests from authorized state agencies under Turkish law or court orders.
Infrastructure providers (data processors): Required service providers — MongoDB Atlas (storage), Firebase (push notification infrastructure), Expo (mobile distribution). These act on our behalf under contractual data protection obligations; they are not independent recipients.

A.4 PrivacyCode Anonymization & Role-Based Access

Persona Analytics assigns each user a unique PrivacyCode (e.g. STU-0014). This code is used in logs, reports, and internal analyses instead of real names.

Who can access personal data? The system follows a role-based access model:

SaaS administrators (Persona Analytics team): Cannot view raw identity data (name, surname, email, phone) of any student, parent, teacher, counsellor, or school administrator. Support and debugging are performed exclusively with anonymous PrivacyCodes.
Network Admin / Branch Admin: Can access student, parent, and classroom records for enrolment and assignment management; can also view school staff (teacher, counsellor, admin) contact details. However, they have no access to sensitive analytic data such as personality assessments, social-emotional learning (SEL) evaluations, counselling cases, or guidance reports.
Counsellor / Head Counsellor: Can access identity data of students and parents within their authorized scope.
Teacher: Can access identity data of students and parents in their assigned classroom(s).

Masking is enforced at the backend layer. An unauthorized role cannot see raw identity data even by inspecting API responses through browser developer tools (DevTools). Masking is applied not just in the UI but also in the JSON payload returned by the server — and cannot be bypassed.

A.5 Children's Data (13-18)

Persona Analytics EDU serves middle and high school students. We do not accept users under 13. Data of users aged 13-18:

Is protected at sensitive-data level under KVKK Article 6 (personality test results)
Is processed under GDPR Article 8 with parental/guardian consent and a school agreement
Is used only for educational and counselling purposes; never for commercial purposes

A.6 Retention Periods

Test results and academic data: active enrolment + 5 years (per Turkish Ministry of Education)
Counselling notes: 10 years (health-data regulation)
Academic risk snapshots: 5 years
Login logs: 1 year (Turkish Law 5651)
Account profile: while active + 30 days post-approved deletion

Section B — Persona Analytics EDU (Mobile App)

B.1 What the Mobile App Collects

The mobile app is "consumer-only" — it doesn't collect new data, only displays existing data. Within the app, the following is sent to backend:

PrivacyCode (the signed-in user's anonymous code)
OTP verification info (email or SMS channel preference; raw email/phone is never sent by the app)
Push notification token (device-specific FCM/APNs identifier)
Device fingerprint (for device recognition)
Parent screen-time survey (only for Parent role — manually entered TV/tablet/phone/computer minutes)

The mobile app does not perform tracking under Apple/Google "Privacy Nutrition Label" classification, nor does it access advertising identifiers.

B.2 Data the Mobile App Displays (but Doesn't Collect)

Your test results, personality reports, academic risk scores, counselling notes are displayed in the mobile app but not collected by it. They are collected on the web platform and merely served to mobile in read-only form.

3. Account Deletion Process

You can submit an account-deletion request from inside the mobile app or via the web platform. Your request will be reviewed by your school admin within 30 business days, taking legal retention obligations under KVKK and GDPR into account.

Once approved, your data will be deleted or anonymized within 30 days. For institutional accounts (teacher, counsellor, admin) additional operational checks apply (transfer of created records, audit-trail preservation). Some data may need to be retained longer due to legal obligations; you will be informed.

4. Your Rights — KVKK Article 11 / GDPR

Under KVKK Article 11 and GDPR Articles 15-22 you have the right to:

Know whether your data is being processed
Access and request a copy of your data
Request correction or deletion
Know third parties to whom data was transferred
Object to automated decision-making

You can submit rights requests to info@personallytics.com.

5. Data Security

HTTPS encryption in transit (mobile ↔ backend, backend ↔ AI services)
MongoDB Atlas encryption at rest
Role-based access control (RBAC)
Multi-factor authentication (OTP)
PrivacyCode anonymization layer (in internal operations)
Regular security audits

6. Changes to This Policy

We update this policy as needed. Material changes are communicated via in-app notification and email.