Gizlilik Politikası

hrai ("Platform") bir AI destekli mülakat ve yargısız gözlem aracıdır. Platform üzerinden hizmet alan kuruluş ("Müşteri") aday verileri için veri sorumlususıfatını taşır; hrai, müşteri talimatları doğrultusunda işleyen veri işleyen sıfatıyla hareket eder. KVKK kapsamında veri sorumlusu temsilcisi ve başvuru kanalı için müşterinin paylaştığı iletişim e-postasını kullanın; sistemden kaynaklı sorularda privacy@hrai.app.

• Kimlik / iletişim: ad, soyad, e-posta, telefon (opsiyonel), şehir.
• Mülakat içeriği: ses ve görüntü kaydı, transcript metni, mülakat sırasında verdiğiniz cevaplar.
• Bağlam telemetrisi: oturum sırasında sekme değişimi, tam ekrandan çıkış, yapıştırma gibi yargısız sinyaller. Kişisel içerik içermez.
• Teknik veri: IP adresi (yalnız KVKK rıza kaydı için), tarayıcı bilgisi, cihaz türü.

Özel nitelikli kişisel veri (sağlık, dini görüş vb.) bilerek toplamayız; aday cevaplarında kendisi belirtirse mülakat transcripti içinde geçici olarak yer alır, pilot saklama politikası kapsamında işlenir.

• Açık rıza (KVKK Md. 5/1, GDPR Art. 6/1-a) — başvuru formundaki KVKK + AI mülakatçı + kayıt onayları.
• Sözleşme öncesi süreç (KVKK Md. 5/2-c, GDPR Art. 6/1-b) — işe alım sürecini yürütmek.
• Hukuki yükümlülük (KVKK Md. 5/2-ç) — denetim, KVKK §28 anonimleştirme, audit log saklama.

hrai, işe alımda AI kullanımına ilişkin KVKK/GDPR, EU AI Act high-risk hiring ve NYC AEDT beklentileri göz önünde bulundurularak; aday şeffaflığı, açık rıza, insan denetimi, audit log ve skor/sıralama içermeyen yargısız gözlem ilkeleriyle tasarlanmış pilot aşaması bir üründür. Bu ifade tam uyum, sertifikasyon veya bağımsız AEDT audit tamamlandığı anlamına gelmez.

hrai karar üretmez, sıralama yapmaz, puan vermez. Mülakat sonrası AI yargısız gözlemler ve rubric kapsam durumu çıkarır; İK ekibi bu gözlemleri okur ve nihai kararı insan verir (ADVANCE, REJECT, HOLD).

AI mülakat veya kayıtla devam etmek istemeyen aday onay vermeden insan incelemesi veya alternatif süreç talep edebilir. KVKK Md. 11 ve GDPR Art. 15-22 kapsamındaki erişim, düzeltme, silme, itiraz ve açıklama talepleri için müşteri süreç sahibi veya privacy@hrai.app kullanılabilir.

Kişisel verilerinizi sınırlı ve amaca bağlı olarak şu hizmet sağlayıcılarla paylaşırız:

• Render — hosting, web servisleri, worker, veritabanı ve key-value altyapısı.
• LiveKit Cloud — gerçek zamanlı ses/video odası ve Egress recording.
• Deepgram — sesi metne çevirme (STT).
• Google AI (Gemini) — canlı görüşme akışı, analiz ve İK copilot.
• Anthropic — LLM fallback veya copilot için yalnız yapılandırıldıysa kullanılır.
• ElevenLabs — AI mülakatçı sesi (TTS).
• Silero VAD — agent içinde yerel ses aktivitesi algılama; harici veri aktarımı yapmaz.
• Cloudflare R2 veya AWS S3 — private kayıt depolama.
• Resend — OTP ve işlemsel e-posta gönderimi.
• Sentry — hata izleme; transcript ve e-posta gibi PII bilerek gönderilmez.
• Stripe — pilotta kapalıdır; pilot sonrası yalnız müşteri faturalandırması için kullanılır, aday verisi paylaşılmaz.

Gravatar/Automattic avatar lookup pilotta varsayılan kapalıdır. Açılırsa e-posta hash'i ile harici avatar sorgusu yapılabileceği ayrıca açıklanır. Yurtdışı aktarım ve alt-işleyen güvenceleri için pilot DPA talep edilebilir: dpa@hrai.app.

• Application: 14 gün default; müşteriyle yazılı uzatma varsa pilot süresince en fazla 90 gün.
• Response / transcript: Application ile aynı.
• Analysis: Application ile aynı.
• Mülakat ses/video kaydı: pilotta en fazla 90 gün; private S3/R2 lifecycle ile silinir.
• AI denetim kaydı (AnalysisAuditLog): 400 gün (audit evidence). Transcript-derived kişisel veri içerebileceği için erişim kısıtlıdır.
• KVKK rıza kaydı: 400 gün (rızanın kanıtlanabilirliği için).
• HR copilot sohbetleri: 180 gün veya workspace silinene kadar; pilot sözleşmesinde kısa süre seçilebilir.

Yalnızca oturum yönetimi (better-auth) ve CSRF koruması için zorunlu çerez kullanırız. Reklam, analitik veya üçüncü taraf takip çerezi kullanmıyoruz.

Verileriniz HTTPS üzerinden iletilir; veri tabanı bağlantıları şifrelidir. Üçüncü taraf entegrasyon anahtarları AES-256-GCM ile disk üzerinde şifrelenir (KMS_MASTER_KEY). Kayıtlar authentication-zorunlu kanallar üzerinden kısa süreli imzalanmış URL ile sunulur (5–60 dk TTL). Signed URL kalıcı paylaşım linki değildir. Sızıntı ihbar süreci için KVKK Md. 12 ve GDPR Art. 33 beklentileri gözetilir.

• İşlenen verilerinize erişme.
• Yanlış veya eksik veriyi düzeltme.
• Silme veya anonimleştirme talep etme.
• İşleme itiraz ve onayı geri çekme.
• Verileri makine-okur formatta dışa aktarma (taşınabilirlik).
• Otomatik karara konu olmama (zaten karar üretmiyoruz).

Talepleriniz için privacy@hrai.app. Cevap süresi en geç 30 gündür (KVKK), 1 ay (GDPR). Self-servis silme için giriş yapmış HR kullanıcısı Settings → Veri ve Gizlilik bölümünden hesabını ve tüm verilerini iki adımda silebilir.

Bu metin değiştiğinde yeni başvuru sahipleri için yeni sürüm uygulanır. Eski başvuruda ne onayladığınız ConsentRecord tablosunda saklanan exact metinle korunur; geriye dönük genişletme yapılmaz.