🇬🇧 English 🇹🇷 Türkçe

Privacy Policy

Last updated: 7 May 2026 · Effective: 1 May 2026

At AirSpeak we take your privacy seriously. This policy explains what data we collect, why we collect it, how we use it and what your rights are. Türkçe sürüm aşağıdadır.

1. Data Controller

AirSpeak ("the App", "we") is a mobile application. As data controller our contact address is privacy@airspeak.app. KVKK representative: kvkk@airspeak.app.

2. Data We Collect

We process personal data in the following categories:

Account data: name, email, password (hashed), username, profile photo, role (pilot / cabin / technician / ground / student), English level, date of birth (optional).
Progress data: completed lessons, XP, streak, league ranking, achievement badges, ICAO oral assessment results.
Audio recordings: up to 90 seconds during ICAO oral exercises. Transcribed via on-device STT, stored on the server for 30 days, then automatically deleted.
Device data: push notification token (Expo), app version, operating system, language preference, time zone.
Usage data: screen visits, button taps, error reports (Sentry).

3. Purposes of Processing

Create and manage your account (KVKK art.5/2-c).
Provide the educational service and track your progress (KVKK art.5/2-c).
Personalize content and run the ICAO oral assessment (KVKK art.5/2-c).
Send notifications (with explicit consent for marketing).
Improve the service and analyze errors (legitimate interest — art.5/2-f).
Comply with legal obligations (KVKK art.5/2-ç).

4. Third-Party Transfers

We process your data through service providers:

Supabase Inc. (EU / Frankfurt): database, authentication, file storage. Under KVKK-compliant Standard Contractual Clauses.
Anthropic (US): ICAO oral assessment (Claude API). Audio is not sent — only the transcribed text.
OpenAI (US): Whisper STT fallback (when on-device STT fails). Audio is sent transiently; OpenAI does not store it.
Expo (US): push notification service.
Sentry (US): crash and error reports (no personal data).
PostHog (EU): usage analytics (anonymous).
Apple / Google: in-app purchase billing.

5. Retention Periods

Active account data: until the account is deleted.
After deletion request: 30-day grace period, then permanently erased.
Audio recordings: 30 days, then automatically deleted.
Billing records: 10 years (Turkish Tax Procedure Law art.253).
Error reports: 90 days.

6. Security

Your data is transmitted over HTTPS and encrypted at rest with AES-256 in Supabase. Passwords are hashed with bcrypt. Microphone recordings only leave the device when you submit an exam; transcription happens on-device. Production runs Row Level Security (RLS) and role-based access control (RBAC).

7. Your Rights (KVKK art.11 + GDPR art.15-22)

Learn what we process about you and obtain a copy (Settings → Privacy → Export my data).
Request correction (Profile screen).
Request erasure (Settings → Privacy → Delete account permanently).
Object to or restrict processing.
Request that we stop transfers.
To exercise these rights write to privacy@airspeak.app. We respond within 30 days.

8. Children's Privacy

AirSpeak is not designed for children under 13. Users between 13–18 are advised to obtain parental consent. If we identify an account belonging to a user under 13 we delete it immediately.

9. Changes

If we update this policy we will change the "Last updated" date and notify you of significant changes via push notification. Continued use of the service indicates your acceptance of the updated policy.

10. Contact

General: privacy@airspeak.app
KVKK representative: kvkk@airspeak.app
Complaints: Personal Data Protection Authority — kvkk.gov.tr

Gizlilik Politikası

Son güncelleme: 7 Mayıs 2026 · Yürürlük: 1 Mayıs 2026

AirSpeak olarak gizliliğine önem veriyoruz. Bu politika hangi verileri topladığımızı, neden topladığımızı, nasıl kullandığımızı ve haklarını açıklar.

1. Veri Sorumlusu

AirSpeak ("Uygulama", "biz") tarafından işletilen mobil uygulamadır. Veri sorumlusu olarak iletişim adresimiz privacy@airspeak.app. KVKK temsilcisi: kvkk@airspeak.app.

2. Topladığımız Veriler

Aşağıdaki kategorilerde kişisel veri işliyoruz:

Hesap verileri: ad, e-posta, şifre (hashlenmiş), kullanıcı adı, profil fotoğrafı, rol (pilot/kabin/teknisyen/yer hizmetleri/öğrenci), İngilizce seviyesi, doğum tarihi (opsiyonel).
İlerleme verileri: tamamlanan dersler, XP, streak, lig sıralaması, başarı rozetleri, ICAO sözlü değerlendirme sonuçları.
Ses kayıtları: ICAO sözlü egzersizleri sırasında 90 saniyeye kadar audio. Cihazda native STT ile yazıya çevrilir, sunucuda 30 gün saklanır, sonra otomatik silinir.
Cihaz verileri: push notification token (Expo), uygulama versiyonu, işletim sistemi, dil tercihi, saat dilimi.
Kullanım verileri: ekran ziyaretleri, butona tıklama, hata raporları (Sentry).

3. Veri İşleme Amaçları

Kullanıcı hesabını oluşturmak ve yönetmek (KVKK md.5/2-c).
Eğitim hizmetini sunmak ve ilerlemeni takip etmek (KVKK md.5/2-c).
İçerik kişiselleştirmesi ve ICAO sözlü değerlendirmesi (KVKK md.5/2-c).
Bildirim göndermek (açık rıza varsa pazarlama için).
Hizmeti iyileştirmek ve hata analizi (meşru menfaat — md.5/2-f).
Yasal yükümlülüklere uymak (KVKK md.5/2-ç).

4. Üçüncü Taraflara Aktarım

Verilerini hizmet sağlayıcılarımız üzerinden işleriz:

Supabase Inc. (AB / Frankfurt): veritabanı, kimlik doğrulama, dosya depolama. KVKK uyumlu standart sözleşme klozları altında.
Anthropic (ABD): ICAO sözlü değerlendirmesi (Claude API). Ses kaydı değil, sadece yazıya dökülmüş transcript gönderilir.
OpenAI (ABD): Whisper STT fallback (cihaz STT çalışmazsa). Ses kaydı geçici gönderilir, OpenAI saklamaz.
Expo (ABD): push notification servisi.
Sentry (ABD): hata raporları (kişisel veri içermez).
PostHog (AB): kullanım analizi (anonim).
Apple / Google: abonelik faturalandırma (uygulama içi satın alım).

5. Saklama Süreleri

Aktif hesap verileri: hesap silinene kadar.
Hesap silme talebi sonrası: 30 gün grace period, sonrasında kalıcı silinir.
Ses kayıtları: 30 gün, sonra otomatik silinir.
Faturalandırma kayıtları: 10 yıl (Vergi Usul Kanunu md.253).
Hata raporları: 90 gün.

6. Güvenlik

Verilerin HTTPS üzerinden iletilir, Supabase'de AES-256 ile şifrelenir. Şifreler bcrypt ile hashlenir. Mikrofon kayıtları cihaz dışına yalnız sınav gönderiminde çıkar; yazıya dökme cihazda yapılır. Production ortamında Row Level Security (RLS) ve role-based access control (RBAC) aktiftir.

7. Haklarınız (KVKK md.11 + GDPR md.15-22)

İşlenen verilerinizi öğrenme, kopyasını alma (Settings → Gizlilik → Verilerimi indir).
Düzeltme isteme (Profil ekranı).
Silinme veya yok edilme (Settings → Gizlilik → Hesabı kalıcı sil).
İşlemeye itiraz, kısıtlama isteme.
Aktarımı durdurma talebi.
Bu hakları kullanmak için privacy@airspeak.app'a yazabilirsin. 30 gün içinde yanıtlarız.

8. Çocukların Gizliliği

AirSpeak 13 yaşından küçükler için tasarlanmamıştır. 13–18 yaş aralığındaki kullanıcıların ebeveyn onayı alması önerilir. 13 yaş altı bir hesap fark edersek hemen sileriz.

9. Değişiklikler

Bu politikayı güncellersek "Son güncelleme" tarihini değiştirir, önemli değişiklikleri push bildirim ile bildiririz. Devam eden kullanım, güncel politikanın kabulü anlamına gelir.

10. İletişim

Genel: privacy@airspeak.app
KVKK temsilcisi: kvkk@airspeak.app
Şikayet: Kişisel Verileri Koruma Kurulu — kvkk.gov.tr