Privacy Policy

1. Data Controller

This Privacy Policy explains how Hywick (“Platform,” “we,” “our”) collects, uses, stores, and protects your personal data. Hywick is a SaaS platform that provides digital marketing analytics and management services.

2. Collected Data

2.1. Account Information

When you register with Hywick, the following information is collected:

• Name and Surname
• E-mail
• Password (stored only as a hash)
• Company/organization name
• User role

2.2. Google API Data

Access to the following Google data is granted with your explicit consent via OAuth 2.0. Each scope is requested only when you connect the relevant service:

• Google Analytics (analytics.readonly, analytics): Read-only access to your Google Analytics data is provided for the purpose of creating marketing performance reports and dashboards.
• Google Search Console (webmasters.readonly): Read-only access is provided to view your website's search performance metrics.
• Google Ads (AdWords): Access your Google Ads data for advertising campaign metrics, spending data, and conversion tracking.
• YouTube Data (youtube.readonly): Read-only access is provided to view channel statistics, video performance, and subscriber information.
• YouTube Analytics (yt-analytics.readonly): Read-only access is provided for the purpose of generating detailed analysis reports, including viewing duration, viewer demographics, and engagement metrics.
• Google E-Tablolar (sadece okunabilir): Read-only access is provided to enable you to transfer external data to Hywick for consolidated reporting.
• User Profile (userinfo.email, userinfo.profile): Only your basic profile information and email address will be accessed for identity verification purposes.

All Google API data is read-only and accessible only with your explicit permission. No changes, deletions, or writing operations are performed on your Google accounts.

2.3. Meta (Facebook/Instagram) API Data

• Page and profile statistics
• Post engagement metrics (likes, comments, shares, reach)
• Ad campaign performance data (impressions, spending, conversions)
• Mass demographic information

2.4. TikTok API Data

• Public profile information (username, avatar, number of followers)
• Public video statistics (views, likes, comments, shares)

Access to private messages, drafts, or confidential content is not provided.

2.5. LinkedIn API Data

• Company page statistics and follower metrics
• Post engagement data

2.6. E-Commerce Platform Data

• Order data and sales statistics
• Product performance metrics
• Turnover and transaction summaries

2.7. Usage Data

• IP address
• Browser type and version
• Device information
• Navigation within the platform and features used
• Session timestamps

2.8. AI Chatbot Data

When you use the AI Chatbot feature, the messages you send and the responses generated are processed. Conversations are used solely to provide chatbot functionality and improve service quality.

3. Google API Services — User Data Policy Compliance

The use of information obtained by Hywick from Google APIs and its transfer to any other application complies with the Google API Services User Data Policy, including the Limited Use requirements.

Limited Use Statement

• Google uses user data only to provide and improve Hywick features that are visible and accessible to the user.
• Google does not share user data with third parties, except in the following circumstances: (a) if necessary to provide or improve the features of the service for the user, (b) if necessary to comply with applicable laws, (c) if it is part of a merger, acquisition, or asset sale with the user's consent, (d) if the user gives explicit and affirmative consent.
• We do not use Google user data to serve ads (including retargeting, personalized, or interest-based advertising).
• We do not allow people to read Google user data, except in the following circumstances: (a) if the user has given affirmative consent, (b) if it is necessary for security purposes, (c) if it is necessary to comply with applicable laws, (d) if the data is aggregated and anonymized for internal operations.

4. Purposes of Data Use

Your personal data is processed for the following purposes:

• Service Delivery: Generate reports, dashboards, analyses, and performance information from your connected platforms.
• AI-Powered Insights: Generate recommendations, content suggestions, and automated analyses based on your data.
• Service Improvement: Use of aggregated and anonymized data to enhance platform features.
• Security: Monitoring against unauthorized access, misuse, and security threats.
• Legal Obligations: Compliance with applicable laws and regulations.
• Communication: Sending notifications, updates, and support responses related to the service.

5. Legal Basis for Data Processing

Your personal data is processed in accordance with Article 5 of Law No. 6698 on the Protection of Personal Data, based on the following legal grounds:

• Explicit Consent (Article 5/1): You provide explicit consent when linking your third-party accounts via OAuth authorization.
• Performance of the Contract (Article 5/2-c): Data processing activities necessary to provide platform services.
• Legitimate Interest (Article 5/2-f): Improving service quality and ensuring security.
• Legal Obligation (Article 5/2-c): Compliance with legal requirements.

6. KVKK Compliance (Law No. 6698)

This section has been prepared in accordance with our obligation to provide information under the Personal Data Protection Law No. 6698 (“KVKK”) (Article 10).

6.1. Identity of the Data Controller

[ŞİRKET_UNVANI], KVKK kapsamında veri sorumlusu sıfatıyla kişisel verilerinizi işlemektedir. VERBİS kayıt numaramız: [VERBİS_NO]

6.2. Kişisel Veri İşleme Şartları (Madde 5)

• İlgili kişinin açık rızasının bulunması (md. 5/1)
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması (md. 5/2-c)
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (md. 5/2-ç)
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması (md. 5/2-f)

6.3. Özel Nitelikli Kişisel Veriler

Hywick, özel nitelikli kişisel veri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik ve genetik veriler) işlememektedir.

6.4. Açık Rıza

Üçüncü taraf platform entegrasyonları bağlanırken OAuth yetkilendirme süreci aracılığıyla açık rızanız alınmaktadır. Açık rızanızı istediğiniz zaman geri çekebilirsiniz:

• Hywick entegrasyon ayarlarınızdan bağlantıyı kaldırarak
• İlgili platformun (Google, Meta vb.) hesap izinleri ayarlarından erişimi iptal ederek
• info@hywick.com adresine yazılı başvuru yaparak

6.5. KVKK Kapsamındaki Haklarınız (Madde 11)

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
• KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
• Düzeltme ve silme işlemlerinin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme

6.6. Başvuru Süreci

• E-mail info@hywick.com adresine kimliğinizi doğrulayıcı belgelerle başvuru
• Yazılı başvuru: [ŞİRKET_ADRESİ] adresine ıslak imzalı dilekçe
• KEP: [KEP adresi belirlenecek]

Başvurularınız en geç 30 gün içinde ücretsiz olarak sonuçlandırılır.

6.7. Kişisel Verileri Koruma Kurumu'na Şikayet

Başvurunuzun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi halinde Kişisel Verileri Koruma Kurulu'na şikayette bulunma hakkınız saklıdır. kvkk.gov.tr

7. Veri Saklama ve Süreleri

• API Verileri: Üçüncü taraf API'lerden alınan veriler performans amacıyla geçici olarak önbelleğe alınır ve hizmet sunumu için gerekli olanın ötesinde kalıcı olarak saklanmaz.
• OAuth Token'ları: Erişim ve yenileme token'ları endüstri standardı şifreleme ile korunur. Token'lar kullanıcı tarafından her zaman iptal edilebilir.
• Hesap Verileri: Hesabınız aktif olduğu sürece saklanır. Hesap silme talebi sonrasında 30 gün içinde kalıcı olarak silinir.
• AI Sohbet Verileri: Chatbot sohbetleri hizmet kalitesi amacıyla 90 gün saklanır ve ardından otomatik olarak silinir.
• Erişim Logları: Güvenlik izleme amacıyla 6 ay saklanır.
• Yedekler: Şifrelenmiş yedekler 30 gün saklanır ve ardından otomatik olarak temizlenir.

8. Verilerin Paylaşılması

Verileriniz yalnızca aşağıdaki sınırlı durumlarda paylaşılır:

• Üçüncü Taraf API Sağlayıcıları (Google, Meta, TikTok, LinkedIn): Yalnızca kimlik doğrulama ve yetkilendirme (OAuth akışı) için gerekli olduğu kadar.
• Altyapı Sağlayıcıları: Vercel (hosting), Supabase (veritabanı ve kimlik doğrulama). Bu sağlayıcılar verileri yalnızca hizmetlerini sunmak için gerekli olduğu kadar işler.
• AI Hizmet Sağlayıcısı: Anthropic (AI chatbot özelliği için). Yalnızca sohbet bağlamı paylaşılır; kişisel hesap, analitik veya entegrasyon verileri paylaşılmaz.
• Yasal Gereklilikler: Mahkeme kararı veya yetkili makam talebi halinde.

9. Veri Güvenliği

• Tüm veri iletiminde TLS 1.2+ şifreleme (HTTPS zorunlu)
• OAuth token'ları ve hassas bilgiler için AES şifreleme
• Şifreler bcrypt/scrypt algoritmaları ile hashlenmiş olarak saklanır (düz metin olarak asla saklanmaz)
• Tüm platform özellikleri için rol tabanlı erişim kontrolü (RBAC)
• Düzenli güvenlik değerlendirmeleri ve zafiyet taramaları
• Anomali tespiti için erişim günlüğü tutma ve izleme
• SOC 2 ve ISO 27001 uyumlu altyapı sağlayıcıları (Vercel, Supabase)

10. GDPR Uyumluluk (AB Kullanıcıları İçin)

Avrupa Ekonomik Alanı'nda (AEA) bulunuyorsanız, GDPR kapsamında ek haklara sahipsiniz:

• Kişisel verilerinize erişim hakkı
• Yanlış veya eksik verilerin düzeltilmesi hakkı
• Verilerinizin silinmesi hakkı ("unutulma hakkı")
• Verilerinizin yapılandırılmış formatta taşınabilirlik hakkı
• Belirli koşullarda işlemenin kısıtlanması hakkı
• Meşru menfaate dayalı işlemeye itiraz hakkı
• Rızanızı her zaman geri çekme hakkı

AEA dışına veri aktarımında, Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (SCC) uygulanır. GDPR ile ilgili sorularınız için: info@hywick.com

11. Haklarınız

• Erişim Hakkı: Hakkınızda tuttuğumuz kişisel verilerin bir kopyasını talep etme.
• Düzeltme Hakkı: Yanlış veya eksik kişisel verilerinizin düzeltilmesini talep etme.
• Silme Hakkı: Yasal saklama gereksinimleri saklı kalmak kaydıyla kişisel verilerinizin silinmesini talep etme.
• Taşınabilirlik Hakkı: Verilerinizi yapılandırılmış, makine tarafından okunabilir formatta talep etme.
• İtiraz Hakkı: Belirli amaçlar için kişisel verilerinizin işlenmesine itiraz etme.
• Kısıtlama Hakkı: Belirli koşullarda işlemenin kısıtlanmasını talep etme.
• Rıza Geri Çekme: Rızanızı istediğiniz zaman geri çekme. Hywick ayarlarınızdan entegrasyonları kaldırabilir veya ilgili platformun hesap ayarlarından erişimi iptal edebilirsiniz.

Bu haklarınızı kullanmak için info@hywick.com adresine başvurabilirsiniz. Başvurularınız en geç 30 gün içinde yanıtlanır.

12. Çerezler (Cookies)

• Zorunlu Çerezler: Kimlik doğrulama, oturum yönetimi ve temel platform işlevselliği için gereklidir. Bu çerezler devre dışı bırakılamaz.
• Tercih Çerezleri: Tema tercihi (açık/koyu mod) ve dil seçimi gibi ayarlarınızı saklar.
• Analiz Çerezleri: Vercel Speed Insights aracılığıyla platform performansını ölçmek için kullanılır. Bu çerezler sizi diğer web sitelerinde takip etmez.

Çerez tercihlerinizi tarayıcı ayarlarınızdan yönetebilirsiniz. Zorunlu çerezleri devre dışı bırakmak platformun işlevselliğini etkileyebilir.

13. Çocukların Gizliliği

Hywick, 18 yaşın altındaki bireyler tarafından kullanılmak üzere tasarlanmamıştır. Bilerek reşit olmayan bireylerden kişisel veri toplamayız. Böyle bir durumun tespit edilmesi halinde ilgili veriler derhal silinir.

14. Uluslararası Veri Aktarımı

Altyapı sağlayıcılarımız (Vercel, Supabase) nedeniyle verileriniz, ikamet ettiğiniz ülke dışındaki yargı bölgelerinde (Avrupa Birliği ve Amerika Birleşik Devletleri dahil) işlenebilir. Uluslararası veri aktarımında aşağıdaki güvenceler sağlanır:

• Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (SCC)
• SOC 2 Type II ve ISO 27001 sertifikalarına sahip altyapı sağlayıcıları
• Tüm alt işleyicilerle veri işleme sözleşmeleri

15. Politika Değişiklikleri

Bu Gizlilik Politikası zaman zaman güncellenebilir. Önemli değişiklikler yapıldığında:

• E-posta ve/veya platform üzerinde belirgin bir bildirim yapılır
• Sayfanın üst kısmındaki "Son güncelleme" tarihi revize edilir
• Bildirimden sonra Hywick'i kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir

16. İletişim ve Başvuru

Bu Gizlilik Politikası veya kişisel verileriniz hakkında sorularınız, endişeleriniz veya talepleriniz için bizimle iletişime geçebilirsiniz:

KVKK kapsamındaki başvurularınız için ayrıca Kişisel Verileri Koruma Kurumu'na başvurabilirsiniz.