Hesap verileri: ad, e-posta adresi, dil tercihi, parola özeti (e-posta/parola ile kayıt kullanıldığında), kimlik doğrulama sağlayıcı tanımlayıcısı (ör. Google, Apple, GitHub), abonelik seviyesi, referans kodu ve giriş zamanı, IP adresi, tarayıcı, işletim sistemi ile IP'den türetilen yaklaşık coğrafi bölge gibi güvenlik olayları.

Çalışma alanı verileri: sohbet mesajları ve istemler, yüklenen dosyalar (PDF, görsel, Excel, düz metin), molekül çizimleri, çizilen yapılar (SMILES/InChI), kaydedilen rapor taslakları, çalışma oturumları, bilgi kartları, test denemeleri, hata geçmişi, açık akademik API'lerden çekilen referanslar ve kendi oluşturmayı seçtiğiniz dışa aktarımlar.

Dosyalar ve gömme vektörleri (embedding): bir dosya yüklediğinizde, ikili veri özel nesne kovamızda depolanır ve metin ile görsel parçalara ayrıştırılır. Dosyanın sonraki sorularınız için aranabilir hale gelmesi amacıyla vektör gömme (1024 boyutlu, BGE-M3, Almanya'daki kendi sunucumuzda üretilir) hesaplarız. Kimya görselleri ayrıca SMILES çıkarmak için yerel bir DECIMER modeli tarafından işlenebilir.

Kullanım ve telemetri: model başına tüketilen krediler, kuyruk gecikmesi, model tanımlayıcıları, hata kodları, özellik etkileşimleri, sayfa görüntülemeleri, web-vitals ölçümleri ve kötüye kullanım önleme sinyalleri. Belirli telemetri verileri, etkinleştirildiğinde Vercel Analytics, Firebase Analytics ve kendi barındırdığımız hata izleme aracılığıyla toplanır.

Ödeme meta verileri: abonelik durumu, paket, faturalar, vergi bölgesi, Stripe tarafından verilen müşteri tanımlayıcısı ve Stripe tarafından geri iletilen kart markası ile son dört hane gibi sınırlı kart meta verileri. Tam kart numarası, CVC veya bankacılık kimlik bilgilerini asla saklamayız.

İletişim: destek talepleri ve yanıtlar, opt-in pazarlama tercihleri, işlemsel e-posta için dil tercihi.

Sözleşmenin ifası (md. 6(1)(b)) — çalışma alanını işletmek, istemleri çalıştırmak, rapor üretmek, projelerinizi saklamak, ödemeleri işlemek ve ücretli özellikleri sunmak için.

Meşru menfaatler (md. 6(1)(f)) — hizmet güvenilirliğini izlemek, kötüye kullanımı önlemek, altyapıyı güvende tutmak, toplu kullanım istatistikleri türetmek ve haklarınızı aşmadan ürünü geliştirmek için.

Açık rıza (md. 6(1)(a)) — yerel mevzuatın rıza gerektirdiği zorunlu olmayan çerezler, pazarlama e-postaları ve isteğe bağlı analizler için. Rızanızı dilediğiniz an geri çekebilirsiniz.

Hukuki yükümlülük (md. 6(1)(c)) — vergi kayıtları, mevzuat soruşturmaları, geçerli kolluk talepleri için.

KVKK kapsamında eşdeğer dayanaklar md. 5(2)(c) (sözleşmenin kurulması veya ifası için gerekli olma), md. 5(2)(f) (meşru menfaat), md. 5(1) (açık rıza) ve md. 5(2)(a) (hukuki yükümlülük)'tür.

Hizmet sunumu: projeleri saklamak ve sürdürmek, RDKit ile molekül yapılarını çizmek, çoklu ajan orkestratörünü çalıştırmak, açık akademik API'lerden makale çekmek, raporlar üretmek, bunları web uygulaması üzerinden teslim etmek ve Moll'un mevcut çalışma alanına dair farkındalığını sürdürmek.

Abonelik işletimi: kullanımı haftalık kredi tahsisinize göre ölçmek, sayacı göstermek, fatura kesmek, yenilemeleri ve iptalleri Stripe üzerinden işlemek, uygun olduğunda eğitim indirimleri uygulamak, sahte ödeme davranışlarını önlemek.

Güvenlik ve kötüye kullanımı önleme: kimlik bilgisi doldurma saldırılarını tespit etmek, agresif istemcileri hız sınırlamasına tabi tutmak, kabul edilebilir kullanım politikasını ihlal eden istemleri reddetmek, şüpheli hesap aktivitesini araştırmak, geçerli hukuki süreçlere uymak.

Ürün iyileştirme: çökmeleri ayıklamak, gecikmeleri azaltmak, başarısız işleri izlemek, düzeltmeleri önceliklendirmek ve toplu, kimliksizleştirilmiş kullanım örüntülerini analiz etmek.

İletişim: desteğe yanıt vermek, faturalandırma ve güvenliğe ilişkin işlemsel e-posta göndermek ve — yalnızca opt-in ile — ürün haberlerini paylaşmak.

Kullanıcı istemlerini, yüklenen dosyaları, kaydedilmiş projeleri, molekül çizimlerini, raporları, gömme vektörlerini veya bunlardan türetilen herhangi bir veri kümesini reklamcılara, veri komisyoncularına, veri pazar yerlerine veya veri kazıyıcılara satmıyoruz.

Varsayılan olarak, çalışma alanı içeriğiniz yalnızca kendi Cheemly deneyiminizi sağlamak ve geliştirmek için kullanılır. Müşteri istemlerini veya moleküllerini kamuya açık veri kümelerinde yayımlamayız.

Üçüncü taraf model sağlayıcılar istemlerinizi işlediğinde (bkz. Alt-işleyiciler), sağlayıcının böyle bir kontrol sunduğu durumlarda müşteri API girdilerinde eğitime kapatma ayarlarını uygulayacak şekilde sağlayıcı tercihlerini yapılandırırız (Google AI Studio API: ücretli API trafiğinde eğitim devre dışı; Anthropic API: eğitim varsayılan olarak devre dışı; OpenAI API: eğitim varsayılan olarak devre dışı). Kurumsal müşteriler bu hususun sipariş formunda yazılı olarak teyit edilmesini talep edebilir.

Hetzner Online GmbH (Falkenstein, Almanya) — birincil altyapı: veritabanını (PostgreSQL + pgvector), nesne depolama kovasını (kendi sanal makinemizde çalışan Supabase Storage), gömme modelini (BGE-M3, TEI), kimya OCSR'ını (DECIMER), API hizmetini ve ters proxy'yi barındıran sanal makineler. Tüm çalışma alanı içeriği burada bulunur.

Vercel Inc. (Delaware, ABD; birden çok bölgede veri merkezleri) — pazarlama sitesi ve Next.js uygulaması için barındırma ve küresel CDN; etkinleştirilirse Vercel Analytics.

Cloudflare, Inc. (San Francisco, ABD) — yetkili DNS, DDoS koruması, edge TLS, bot yönetimi ve api.cheemly.com / auth.cheemly.com için proxy. Cloudflare bu hizmetleri sunmak için istek meta verilerini (IP, başlıklar, user-agent) kısa süreliğine işleyebilir.

OpenRouter, Inc. (ABD) — istemleri seçili alt sağlayıcılara yönlendiren LLM ağ geçidi. Hâlihazırda kullanılan alt sağlayıcılar arasında Google (Gemini ailesi), Anthropic (Claude ailesi), OpenAI ve Meta (Llama, ücretsiz katmanlar üzerinden) yer alır. Model eklendikçe veya çıkarıldıkça liste değişebilir; en güncel model listesi ürün içi model seçicisinde görünür.

Stripe, Inc. (ABD) ve Stripe Payments Europe Ltd. (İrlanda, AB/UK müşterileri için) — ödeme işleme, abonelik faturalandırma, fatura düzenleme, dolandırıcılık tespiti sinyalleri. Stripe, PCI-DSS Seviye 1 sertifikalıdır.

Resend, Inc. (ABD) — işlemsel e-posta teslimatı (kayıt doğrulama, parola sıfırlama, faturalandırma makbuzları).

Google LLC (Firebase Analytics, Google ile Giriş) — analiz olayları ve kullanıcının seçtiği durumlarda Google OAuth kimlik doğrulaması.

PostHog Inc. (AB bölgesi) — etkinleştirilmişse ürün analizi (olay düzeyinde); hesap ayarlarınızdan vazgeçebilirsiniz.

Sentry — etkinleştirilmişse hata izleme.

Sizin adınıza sorguladığımız ve yalnızca kamuya açık bibliyografik sorgular gönderdiğimiz (kişisel veri iletilmez) açık akademik API'ler: Semantic Scholar (Allen Institute for AI), OpenAlex (OurResearch), Crossref, Europe PMC, arXiv, Unpaywall, PubChem (NIH/NLM), ChEMBL.

Apple Inc. ile yalnızca kullanıcı açıkça Apple ile Giriş Yap'ı seçtiğinde iletişim kurulur.

Yeni veya değiştirilen alt-işleyici bildirimleri bu sayfaya yansıtılır; önemli değişiklikler ürün içi bildirim veya e-posta ile iletilir. Kurumsal müşteriler sipariş formunda önceden yazılı bildirim alma seçeneğini tercih edebilir.

Çalışma alanı verileri (hesap, sohbetler, dosyalar, gömme vektörleri, referanslar, raporlar, faturalandırma meta verileri, aktivite günlüğü) Almanya'da Hetzner Online GmbH altyapısında (Falkenstein/Helsinki bölgeleri) barındırılır; bu bölgeler Avrupa Ekonomik Alanı (AEA) içindedir. Birincil veritabanı pgvector ile birlikte PostgreSQL 16'dır.

Web trafiği Vercel'in küresel CDN'i üzerinden sunulur; statik ve edge bölgeleri performans için dünya çapında dağıtılmıştır. Cloudflare, API ve auth isteklerini küresel edge'inden geçirir.

LLM çıkarımı, alt sağlayıcının veri merkezlerinde yapılır; bu merkezler bugün modele bağlı olarak Amerika Birleşik Devletleri ve Avrupa Birliği'ndeki konumları içerir. Üst sağlayıcıların kesin veri merkezi yönlendirmesini kontrol etmiyoruz.

Aktarımlar AEA dışına çıktığında (ör. Stripe, OpenRouter, Resend, Vercel, Cloudflare, Sentry, alt LLM sağlayıcılar), bu aktarımlar Avrupa Komisyonu'nun Standart Sözleşme Maddelerine (2021/914 sayılı Uygulama Kararı) ve uygulanabilir olduğunda AB–ABD Veri Gizliliği Çerçevesi yeterlilik kararına dayanır. Temel bir aktarım etki değerlendirmesi yaparız ve ek güvenceler (aktarım sırasında şifreleme, kısıtlı kapsamlar) uygulanır.

Hesap kayıtları: hesap aktif olduğu sürece saklanır. Hesap kapatıldıktan sonra hesap, projeler, dosyalar, gömme vektörleri, referanslar ve kayıtlı raporlar 30 gün içinde silinir; yasanın daha uzun saklama gerektirdiği durumlar (ör. on yıl tutulması gereken vergi faturaları) hariç.

Operasyonel günlükler: hata, erişim ve güvenlik günlükleri hata ayıklama ve kötüye kullanımı önleme amacıyla en fazla 90 gün saklanır; ardından silinir veya toplulaştırılır.

Kimlik doğrulama olayları (giriş IP'si, user-agent, zaman damgası): güvenlik incelemesi için en fazla 180 gün saklanır.

Faturalandırma ve faturalar: geçerli vergi mevzuatının gerektirdiği süre boyunca saklanır (genellikle 5–10 yıl).

Şifreli yedekler: 30 günlük rotasyonla saklanır. Silinen kullanıcı içeriği, rotasyon yedeği kaldırana kadar yedekte kalabilir; güvenlik veya yasanın gerektirdiği durumlar dışında silinen içeriği üretime geri yüklemeyiz.

Pazarlama e-postası opt-in kayıtları: opt-in aktif olduğu sürece ve rızanın kanıtı olarak geri çekildikten sonra 12 ay süreyle saklanır.

Kesinlikle gerekli çerezler ve yerel depolama: oturum token'ı, kimlik doğrulama durumu (Supabase SSR çerezi), dil tercihi (NEXT_LOCALE), tema tercihi, CSRF koruması. Bunlar sitenin çalışmasını bozmadan kapatılamaz.

İşlevsel depolama: çalışma alanı taslağı (zustand yerel durumu), sabitlenmiş referanslar, çalışma oturumu ilerlemesi — sayfa yüklemeleri arasında çalışma alanını duyarlı tutmak için tarayıcınızın yerel/oturum depolamasında saklanır.

Analiz: Vercel Analytics ve Firebase Analytics, toplu sayfa görüntüleme ölçümü için birinci taraf çerezleri ayarlayabilir. PostHog olay analizi yalnızca yerel mevzuatın rıza gerektirdiği yerlerde onayla etkinleştirilir.

Üçüncü taraf çerezler yalnızca Google veya Apple ile Giriş yaptığınızda ayarlanır ve sağlayıcının kimlik doğrulama akışıyla sınırlıdır.

Çerezleri tarayıcınızdan yönetebilirsiniz. Gerekli çerezleri devre dışı bırakmak girişi bozar.

GDPR / Birleşik Krallık GDPR (md. 15–22) kapsamında erişim, düzeltme, silme (unutulma hakkı), işlemenin kısıtlanması, veri taşınabilirliği (hesabınızın ve çalışma alanınızın makine tarafından okunabilir biçimde dışa aktarılması), meşru menfaate dayalı işlemeye itiraz ve yasal veya benzer şekilde önemli sonuçlar doğuran yalnızca otomatik bir karara tabi olmama haklarına sahipsiniz. Cheemly bu anlamda yalnızca otomatik kararlar vermemektedir.

KVKK (Türkiye, md. 11) kapsamında verinizin işlenip işlenmediğini, amaçlarını, alıcılarını ve kaynağını öğrenme, düzeltme, silme, anonimleştirme talep etme ve yalnızca otomatik analiz sonucu ortaya çıkan sonuçlara itiraz etme haklarına sahipsiniz.

CCPA/CPRA (Kaliforniya) kapsamında bilme hakkı, silme hakkı, düzeltme hakkı, satış veya paylaşımdan vazgeçme hakkı (CCPA anlamında kişisel veri satmıyor veya paylaşmıyoruz) ve hassas kişisel bilgilerin kullanımını sınırlama hakkına sahipsiniz.

Herhangi bir hakkı kullanmak için, hesabın e-postasından privacy@cheemly.com adresine yazın. Kimliğinizi doğrularız, 30 gün içinde yanıt veririz ve süre uzatımı gerekirse sizi bilgilendiririz. Her 12 aylık dönemdeki ilk talep ücretsizdir. Ayrıca denetim makamınıza şikâyette bulunma hakkınız vardır — örneğin Türkiye'de Kişisel Verileri Koruma Kurumu (KVKK Kurumu) veya bulunduğunuz AB üye devletinin veri koruma otoritesi.

Cheemly, 13 yaşın altındaki çocuklara (veya GDPR md. 8'in yerel uygulamasının geçerli olduğu AEA'da 16 yaşın altındakilere) yönelik değildir. Bu yaşın altındaki kullanıcılar Cheemly'yi yalnızca bir ebeveynin, yasal vasinin veya uygun yetki altında hareket eden eğitim kurumunun doğrulanabilir rızasıyla kullanmalıdır.

Cheemly'yi sınıfta kullanan eğitimciler, hukuki yetkileri ve açık bir pedagojik gereksinimleri olmadığı sürece öğrenci kişisel verilerini yüklemekten kaçınmalıdır. Cheemly, yazılı bir ek olmadan FERPA kapsamında okul yetkilisi rolünü üstlenmez.

Uygun rıza olmaksızın bir çocuğun kişisel veri sağladığını öğrenirsek, hesabı ve ilgili içeriği sileriz.

Kullanıcıların hak ve özgürlükleri açısından risk doğurması muhtemel bir kişisel veri ihlalinden haberdar olursak, yetkili denetim makamına 72 saat içinde bildirimde bulunuruz (GDPR md. 33) ve riskin yüksek olduğu hallerde etkilenen kullanıcıları gereksiz gecikme olmaksızın bilgilendiririz (GDPR md. 34).

KVKK md. 12(5) de Kurum'a ve veri sahibine en kısa sürede bildirim yapılmasını gerektirir — biz aynı 72 saatlik süreyi kesin hedef olarak kabul ediyoruz.

Bildirimler; ne olduğunu, hangi verilerin etkilendiğini, ne yaptığımızı, kullanıcıların ne yapması gerektiğini ve bizimle nasıl iletişime geçileceğini içerir.

Gizlilik / veri koruma talepleri: privacy@cheemly.com

Fikri mülkiyet ihlali bildirimleri dahil hukuki bildirimler: legal@cheemly.com

Güvenlik açıklamaları: security@cheemly.com (ayrıca /.well-known/security.txt)

Genel destek: support@cheemly.com