Kullanım Koşulları
Son Güncelleme: 16 Mayıs 2026
EduCRS'ye hoş geldiniz! EduCRS; Icarus AI (icarusai.educrs.com) ve METUConnect (metuconnect.educrs.com) ürünlerinden oluşan bir akademik teknoloji markasıdır. Bu ürünleri kullanarak aşağıdaki koşulları kabul etmiş sayılırsınız.
1. Hizmet Kapsamı ve EduCRS Vizyonu
Icarus AI — icarusai.educrs.com: Yapay zekâ destekli akademik çalışma platformu.
- Klasik analiz akışı (DocAnalyzer): Tek bir PDF, DOCX, TXT, PPTX, PNG veya JPG yüklersiniz; akademik özet, flashcard, quiz, sezgisel anlatım veya serbest soru çıktıları üretilir.
- Çalışma Alanı (Workspace): Birden fazla kaynağı (dosya, web adresi, YouTube videosu) tek projede toplar; kaynaklara dayanan sohbet (RAG — Retrieval-Augmented Generation), zihin haritası, brifing, derinleşme dokümanı, flashcard ve quiz üretir.
- Kaynak referansları (citations): AI yanıtları, kaynağın tam sayfasına/parçasına bağlanan alıntılar içerir; "Kaynakta aç" ile orijinal metne döner.
- Studio çıktıları: İlk üretimden sonra çıktıyı seçim-bazlı düzenleme (modify) ile değiştirebilir, geri alabilirsiniz; çıktılar Çalışma Alanı içinde kalıcı olarak saklanır.
- Erişim kanalları: Web tarayıcısı (Cloudflare Pages); Android mobil uygulama (Capacitor wrapper); LMS (Moodle, Canvas vb.) için LTI 1.3 entegrasyonu.
- Dil: TR + EN tam destek; arayüz, çıktılar ve sistem prompt'ları iki dilde paralel.
METUConnect — metuconnect.educrs.com: Yalnızca ODTÜ öğrencilerine açık sosyal ağ.
- Kısıtlı erişim: Yalnızca
@metu.edu.truzantılı Google hesaplarıyla giriş yapılabilir. Doğrulanmamış kullanıcılar uygulamaya erişemez. - Sosyal özellikler: Ders grupları, kampüs toplulukları, gönderi akışı, yorum, beğeni, bire-bir mesajlaşma, bildirimler, profil, kaynak (not/dosya) paylaşımı, keşfet, yer imleri.
- İzinler: Sahip/üye bazlı izinler Firestore Security Rules ile sunucu tarafında zorunlu kılınır.
Vizyonumuz öğrencilerin bilgiye daha hızlı ulaşmasını ve birbirleriyle bağ kurmasını sağlamaktır. Ürünlerimiz birer yardımcı niteliğindedir; akademik başarının yegâne sorumlusu kullanıcının kendisidir.
2. Kullanıcı Sorumlulukları ve Akademik Dürüstlük
- Kayıt — Icarus AI: E-posta + şifre veya Google OAuth ile kayıt olunabilir; e-posta doğrulaması zorunludur (doğrulanmamış hesaplar oturum açamaz). Bot saldırılarına karşı giriş ekranı Cloudflare Turnstile ile korunur.
- Kayıt — METUConnect: Yalnızca
@metu.edu.trGoogle hesabıyla giriş yapılabilir;hdparametresi sunucu tarafında zorunlu kılınır. ODTÜ dışı hiçbir hesap kabul edilmez. - Etik Kullanım: EduCRS ürünleri öğrenmeyi kolaylaştırmak için tasarlanmıştır. AI çıktılarının ödev/proje/sınavda kullanıcının kendi eseriymiş gibi sunulması ilgili üniversitenin akademik dürüstlük kurallarına aykırı olabilir; bu kullanımdan doğacak disiplin süreçlerinin sorumluluğu kullanıcıya aittir.
- Hesap Güvenliği: Şifrenin gizliliğinden ve hesap üzerinden yapılan tüm işlemlerden bizzat siz sorumlusunuz. Şifreler hiçbir zaman EduCRS'ye düz metin olarak ulaşmaz; Firebase Authentication tarafında scrypt algoritmasıyla hash'lenerek saklanır.
- İçerik Kuralları (METUConnect): Paylaşılan içerikler ODTÜ topluluk standartlarına uygun olmalıdır. Nefret söylemi, taciz, telif ihlali, doğrulanmamış sınav cevabı veya akademik kopya materyali paylaşımı kesinlikle yasaktır.
- Kullanım Limitleri: Icarus AI'ın Gemini API çağrıları IP başına dakikada 20 talep ile sınırlandırılmıştır. AI modelinin çıktı sınırları (token, dosya boyutu, sayfa sayısı) sağlayıcı tarafından belirlenir ve haberdar edilmeksizin değişebilir.
- Yaş ve Yetkinlik: Hizmetlerimizi kullanmak için 13 yaşından büyük olmanız ve okuduğunuz materyalin telif/yasal kullanım izinine sahip olmanız beklenir.
3. Yapay Zekâ Yanıtları ve Sorumluluk Reddi (Icarus AI)
Icarus AI, sorgularınızı işlemek için Google Gemini API'yi (Google'ın bulut tabanlı büyük dil modeli servisi) kullanır. Gönderilen veriler, Google Gemini API kullanım şartları gereği model eğitiminde kullanılmaz. Çalışma Alanı sohbeti şu RAG mimarisi üzerinde çalışır:
- Yüklediğiniz kaynaklar (PDF/DOCX/PPTX/TXT/URL/YouTube transkripti) Cloudflare R2'de saklanır.
- Metin içerikleri parçalara (chunk) ayrılır, Google embedding modeliyle vektöre dönüştürülür ve Cloudflare Vectorize indeksine yazılır.
- Her soruda en alakalı parçalar getirilip Gemini'ye gönderilir; yanıt yalnızca bu kaynaklara dayanır.
Yapay zekâ teknolojisinin doğası gereği:
- Üretilen yanıtlar hatalı, eksik, halüsinatif veya güncelliğini yitirmiş olabilir.
- AI'ın sayfa referansları (citations) yanıtın hangi kaynağa dayandığını gösterir; ancak doğruluk teyidi son tahlilde kullanıcının sorumluluğundadır.
- Hassas akademik içerik (sınav cevabı, tıbbi/hukuki tavsiye, formül çözümü, kanıt) için yanıtlar mutlaka resmî kaynaklarla teyit edilmelidir.
- EduCRS; hatalı bilgilerden kaynaklanan düşük notlar, sınav başarısızlıkları, akademik disiplin süreçleri veya yanlış akademik kararlardan dolayı hukuki sorumluluk kabul etmez.
4. Fikri Mülkiyet Hakları
- EduCRS markası, Icarus AI ve METUConnect ürün isimleri, logoları, kaynak kodları, prompt mühendisliği, kullanıcı arayüzü tasarımları ve tüm yazılı/görsel içerikler EduCRS'ye aittir.
- Kullanıcıların yüklediği veya paylaştığı materyallerin (ders notları, dosyalar, gönderiler, AI çıktıları) mülkiyeti kullanıcıda kalır.
- Hizmetin işletilmesi için kullanıcı; bu materyallerin (a) Cloudflare R2'de saklanması, (b) chunk'lara bölünüp Cloudflare Vectorize'da embed edilmesi, (c) sorguya bağlı kısımlarının Google Gemini API'ye gönderilmesi konusunda EduCRS'ye sınırlı, ücretsiz ve geri alınabilir bir işleme lisansı verir.
- AI çıktıları (özet, flashcard, quiz, Studio dokümanları) için kullanım hakkı kullanıcıya aittir; ancak modelin doğası gereği benzer içeriklerin başka kullanıcılara da üretilebileceğini kabul edersiniz. Çıktılar telif korumalı eser oluşturmaz.
5. Veri Güvenliği ve Gizlilik
- Tüm trafiğimiz TLS 1.3 ve HSTS preload ile şifrelenerek aktarılır.
- Sunucu/depolama tarafında veriler Firebase Firestore ve Cloudflare R2'nin sağladığı AES-256 standardındaki at-rest şifrelemeyle korunur.
- Cloudflare ön katmanı DDoS, bot ve OWASP Top-10 saldırılarına karşı koruma sağlar; statik içerikler katı Content Security Policy (CSP) ile sunulur.
- Detaylı bilgi için Gizlilik Politikası ve KVKK Aydınlatma Metni'ni inceleyiniz.
6. Hizmet Değişiklikleri ve Fesih
EduCRS, ürünlerinin özelliklerini, Studio şablonlarını, AI model seçeneklerini, ücretlendirmeyi veya altyapısını dilediği zaman değiştirme, askıya alma veya sonlandırma hakkını saklı tutar. Kullanım koşullarına aykırı hareket eden hesaplar önceden bildirim yapılmaksızın kapatılabilir.
Hesabınızı silmek istediğinizde verilerinizin kalıcı olarak yok edilmesi KVKK'nın 11. maddesi çerçevesinde iletisim@educrs.com üzerinden talep edilebilir; istek 30 gün içinde işleme alınır.
Welcome to EduCRS! EduCRS is an academic technology brand consisting of Icarus AI (icarusai.educrs.com) and METUConnect (metuconnect.educrs.com). By using these products, you agree to the terms below.
1. Scope of Services and EduCRS Vision
Icarus AI — icarusai.educrs.com: AI-powered academic study platform.
- Classic analysis flow (DocAnalyzer): Upload a single PDF, DOCX, TXT, PPTX, PNG, or JPG; receive an academic summary, flashcards, quiz, intuitive explanation, or open-ended Q&A.
- Workspace: Combine multiple sources (files, URLs, YouTube videos) into one project; generate source-grounded chat (RAG — Retrieval-Augmented Generation), mind maps, briefings, deep-dive documents, flashcards, and quizzes.
- Citations: AI responses include source links that jump to the exact page/chunk of the original document; "Open in source" returns to the underlying text.
- Studio outputs: After initial generation, outputs can be modified via selection-scoped edits with single-level undo; outputs are stored persistently inside the workspace.
- Access channels: Web browser (Cloudflare Pages); Android mobile app (Capacitor wrapper); LTI 1.3 integration for LMS platforms (Moodle, Canvas, etc.).
- Languages: Full TR + EN support — UI, outputs, and system prompts are bilingual.
METUConnect — metuconnect.educrs.com: A social network exclusive to METU students.
- Restricted access: Sign-in is only available via Google accounts on the
@metu.edu.trdomain. Unverified users cannot access the application. - Social features: Class groups, campus communities, post feed, comments, likes, direct messaging, notifications, profiles, resource (note/file) sharing, explore, bookmarks.
- Permissions: Owner/member-based permissions are enforced server-side via Firestore Security Rules.
Our vision is to help students access knowledge faster and connect with each other. Our products are assistants in nature; the user remains solely responsible for their academic success.
2. User Responsibilities and Academic Integrity
- Registration — Icarus AI: Sign-up via email + password or Google OAuth; email verification is mandatory (unverified accounts cannot sign in). The login screen is protected against bot attacks by Cloudflare Turnstile.
- Registration — METUConnect: Sign-in is permitted only with
@metu.edu.trGoogle accounts; thehdparameter is enforced server-side. No non-METU account is accepted. - Ethical Use: EduCRS products are designed to facilitate learning. Presenting AI-generated outputs as your own work in assignments/projects/exams may violate your university's academic integrity policy; responsibility for any disciplinary consequences rests with the user.
- Account Security: You are personally responsible for the confidentiality of your password and all activity on your account. Passwords are never received by EduCRS in plaintext; Firebase Authentication hashes them using the scrypt algorithm.
- Content Guidelines (METUConnect): Shared content must comply with METU community standards. Hate speech, harassment, copyright infringement, unverified exam answers, and academic-misconduct material are strictly prohibited.
- Usage Limits: Icarus AI's Gemini API calls are rate-limited to 20 requests per minute per IP. The AI model's output limits (token, file size, page count) are determined by the provider and may change without notice.
- Age and Eligibility: You must be at least 13 years old and hold the necessary copyright/usage rights for any material you upload.
3. AI Responses and Disclaimer (Icarus AI)
Icarus AI uses the Google Gemini API (Google's cloud-based large language model service) to process your queries. Per Google's Gemini API terms, data sent through it is not used to train models. The Workspace chat operates on the following RAG architecture:
- Sources you upload (PDF/DOCX/PPTX/TXT/URL/YouTube transcripts) are stored in Cloudflare R2.
- Text content is split into chunks, converted to vectors with Google's embedding model, and written to a Cloudflare Vectorize index.
- For each query, the most relevant chunks are retrieved and passed to Gemini; the response is grounded only in those sources.
Due to the nature of AI technology:
- Generated responses may be incorrect, incomplete, hallucinated, or outdated.
- The AI's citations indicate which source a response is based on; verification of accuracy is ultimately the user's responsibility.
- For sensitive academic content (exam answers, medical/legal advice, mathematical proofs, formula derivations), responses must be cross-checked with official sources.
- EduCRS accepts no legal liability for low grades, exam failures, academic disciplinary outcomes, or incorrect academic decisions resulting from inaccurate AI output.
4. Intellectual Property Rights
- The EduCRS brand, the Icarus AI and METUConnect product names, their logos, source code, prompt engineering, UI designs, and all written/visual content belong to EduCRS.
- Ownership of materials uploaded or shared by users (notes, files, posts, AI outputs) remains with the user.
- To operate the service, the user grants EduCRS a limited, royalty-free, revocable processing license to (a) store these materials in Cloudflare R2, (b) split them into chunks and embed them in Cloudflare Vectorize, and (c) send query-relevant portions to the Google Gemini API.
- AI-generated outputs (summaries, flashcards, quizzes, Studio documents) are usable by the user; however, due to the nature of LLMs, you acknowledge that similar content may be generated for other users. AI outputs do not constitute copyrightable works.
5. Data Security and Privacy
- All traffic is encrypted in transit via TLS 1.3 and HSTS preload.
- Server-side, data is protected at rest with AES-256 encryption provided by Firebase Firestore and Cloudflare R2.
- The Cloudflare front layer protects against DDoS, bot, and OWASP Top-10 attacks; static content is served under a strict Content Security Policy (CSP).
- For details, see our Privacy Policy and KVKK Disclosure.
6. Service Changes and Termination
EduCRS reserves the right to modify, suspend, or terminate product features, Studio templates, AI model options, pricing, or infrastructure at any time. Accounts in violation of the terms may be closed without prior notice.
To request permanent deletion of your account and data, contact iletisim@educrs.com under KVKK Article 11; requests are processed within 30 days.
KVKK Aydınlatma Metni
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca
Veri Sorumlusu: EduCRS Geliştirici Ekibi ("EduCRS" veya "Platform"). Kişisel verilerinizin güvenliğine ve gizliliğine büyük önem veriyoruz. Verilerinizi aşağıda açıklanan amaçlar ve sınırlar çerçevesinde, 6698 sayılı KVKK hükümlerine uygun olarak işliyoruz.
1. İşlenen Kişisel Verileriniz
Ürünlerimizi kullanımınız sırasında aşağıdaki veri kategorileri işlenebilir:
- Kimlik ve İletişim — her iki üründe ortak: Ad soyad, e-posta adresi, profil fotoğrafı (Google OAuth ile geliyorsa).
- Eğitim Bilgileri — METUConnect: ODTÜ'ye bağlılık (
@metu.edu.trdomain doğrulaması), bölüm, sınıf, ders kayıtları, üye olduğunuz topluluklar. - İçerik Verileri — Icarus AI: Yüklediğiniz kaynaklar (PDF, DOCX, TXT, PPTX, PNG, JPG dosyaları; web URL'leri; YouTube videosu transkriptleri), bu kaynaklardan üretilmiş chunk/embedding vektörleri, AI sohbet geçmişi, Studio çıktıları (özet, flashcard, quiz, zihin haritası, brifing), quiz cevaplama denemeleri.
- İçerik Verileri — METUConnect: Paylaştığınız gönderiler, yorumlar, beğeniler, bire-bir mesajlar, yüklediğiniz dosyalar (kaynaklar, post ekleri, avatar), takip ilişkileri.
- Teknik Veriler: IP adresi, kullanıcı ajanı (User-Agent), cihaz tipi, oturum tanımlayıcıları (Firebase Auth ID token),
localStoragetercih ayarları (tema, dil, layout), Cloudflare Turnstile bot doğrulama token'ı (anlık, saklanmaz). - Kullanım Verileri: Hangi özelliklerin ne sıklıkta kullanıldığı (Google Analytics — anonimleştirilmiş), AI çağrılarına ait token sayısı/maliyet kayıtları (sistem-düzeyi telemetri).
2. Kişisel Verilerin İşlenme Amaçları
- Üyelik oluşturulması, e-posta doğrulaması, oturum yönetimi (Firebase Authentication).
- Icarus AI: Yüklediğiniz kaynakların metin çıkarımı, parçalama (chunking), embedding üretimi ve Vectorize indeksine yazılması; sorgu-bazlı içerik getirme ve Google Gemini API'ye gönderim; AI çıktılarının kaydı.
- METUConnect: ODTÜ doğrulamasının yapılması (
hd=metu.edu.trzorunluluğu), sosyal akışın işletilmesi, mesajlaşma, bildirim gönderimi. - Sistem hatalarının tespiti, log analizi ve kullanıcı deneyiminin iyileştirilmesi.
- Güvenlik süreçlerinin yürütülmesi: Cloudflare Turnstile bot koruması, Firestore Security Rules ile yetkilendirme, anomali tespiti, rate-limit uygulanması (IP başına dk/20 talep).
- Yasal yükümlülüklerin yerine getirilmesi ve resmi makam taleplerine yanıt verilmesi.
3. Veri Toplama Yöntemi ve Hukuki Sebebi
Verileriniz; platforma kayıt olmanız, dosya yüklemeniz, içerik paylaşmanız veya sayfaları ziyaret etmeniz suretiyle tamamen veya kısmen otomatik yollarla toplanmaktadır. İşleme faaliyetlerimiz KVKK'nın 5/2 ve 6/3. maddelerinde belirtilen şu hukuki sebeplere dayanır:
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması — Kullanım Koşulları çerçevesinde hizmet sunumu.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması (örn. dolandırıcılık ve kötüye kullanım önleme).
- İlgili kişinin açık rızası — opsiyonel özelliklerde (örn. Google Analytics çerezleri) talep edilir.
4. Verilerin Aktarımı ve Yurt Dışına Aktarım
Kişisel verileriniz, yukarıdaki amaçların gerçekleştirilmesi için sınırlı olmak ve gerekli güvenlik tedbirleri alınmak kaydıyla şu taraflarla paylaşılabilir. Bu hizmet sağlayıcılarının önemli bir kısmı yurt dışında (ABD, AB) bulunduğundan veri aktarımı KVKK Madde 9 kapsamında yurt dışına aktarım niteliği taşır; her sağlayıcıyla GDPR'a dayanan Standart Sözleşme Maddeleri (SCC) yürürlüktedir.
- Google LLC / Firebase (ABD): Authentication (kimlik doğrulama), Firestore (NoSQL veritabanı), Cloud Storage (METUConnect için dosya depolama), Gemini API (Icarus AI yanıt üretimi), embedding modeli, Google Analytics (anonim trafik analizi).
- Cloudflare, Inc. (ABD/AB): Pages (uygulama dağıtımı), R2 (Icarus AI kaynak dosya depolama, S3-uyumlu), Vectorize (vektör veritabanı), Workers/Functions (sunucu mantığı), Queues (asenkron işleme), KV (kısa-ömürlü oturum verisi), Turnstile (bot koruması), CDN/DDoS koruması.
- Zoho Corporation (Hindistan/AB):
iletisim@educrs.comkurumsal e-posta hizmeti (mx.zoho.eu). - Yasal Makamlar (Türkiye): Mevzuat gereği veya mahkeme kararıyla talep edilmesi hâlinde yetkili kamu kurum ve kuruluşları.
• EduCRS, kullanıcı verilerini asla reklam veya pazarlama amacıyla üçüncü şahıslara satmaz.
• Google Gemini API'ye gönderilen veriler, Google'ın kullanım şartları gereği model eğitiminde kullanılmaz.
• Cloudflare Pages/R2/Vectorize verileri yalnızca işlenmek üzere geçici olarak okur; Cloudflare ürün eğitiminde kullanılmaz.
5. Saklama Süreleri
- Hesap bilgileri: Hesabınız aktif olduğu sürece saklanır; hesap silme talebinden sonra en geç 30 gün içinde imha edilir.
- Icarus AI kaynak dosyaları (Cloudflare R2): Çalışma Alanı veya kaynak silindiğinde R2'den derhal kaldırılır.
- Vektör embedding'leri (Vectorize): İlgili kaynak silindiğinde indeksten kaldırılır.
- Sohbet ve Studio çıktıları (Firestore): Kullanıcı tarafından elle silinene veya hesap kapatılana kadar saklanır.
- METUConnect içerikleri: Kullanıcı tarafından silinene kadar saklanır. Üçüncü kişilerin erişimine sunulmuş içerikler (kamuya açık postlar) silindiğinde önbellekte kısa bir süre kalabilir.
- Sistem logları: 90 gün; güvenlik olayları için yasal saklama süresi boyunca tutulabilir.
6. Veri Sahiplerinin Hakları (KVKK Madde 11)
Kanun uyarınca herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Düzeltme, silme ve yok etme işlemlerinin üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir. Başvurularınız iletisim@educrs.com üzerinden iletilebilir; en geç 30 gün içinde yanıt verilir.
7. İletişim
Data Controller: EduCRS Developer Team ("EduCRS" or the "Platform"). We attach great importance to the security and privacy of your personal data. We process your data within the purposes and limits described below, in accordance with Turkish Personal Data Protection Law No. 6698 ("KVKK").
1. Personal Data We Process
The following data categories may be processed during your use of our products:
- Identity and Contact — common to both products: Full name, email address, profile photo (when provided by Google OAuth).
- Education Information — METUConnect: METU affiliation (
@metu.edu.trdomain verification), department, year, course enrollments, communities you join. - Content Data — Icarus AI: Sources you upload (PDF, DOCX, TXT, PPTX, PNG, JPG; URLs; YouTube transcripts), chunk/embedding vectors derived from them, AI chat history, Studio outputs (summaries, flashcards, quizzes, mind maps, briefings), quiz attempts.
- Content Data — METUConnect: Posts you share, comments, likes, direct messages, files you upload (resources, post attachments, avatar), follow relationships.
- Technical Data: IP address, User-Agent, device type, session identifiers (Firebase Auth ID tokens),
localStoragepreference flags (theme, language, layout), Cloudflare Turnstile bot-verification token (transient, not stored). - Usage Data: Frequency and pattern of feature use (Google Analytics — anonymized), AI call token counts/costs (system-level telemetry).
2. Purposes of Processing
- Account creation, email verification, session management (Firebase Authentication).
- Icarus AI: Text extraction from uploaded sources, chunking, embedding generation and indexing in Vectorize; retrieval of query-relevant chunks and submission to the Google Gemini API; persistence of AI outputs.
- METUConnect: METU verification (
hd=metu.edu.trenforcement), operation of the social feed, messaging, notification delivery. - System-error detection, log analysis, and improvement of user experience.
- Security: Cloudflare Turnstile bot protection, authorization via Firestore Security Rules, anomaly detection, rate limiting (20 requests/min per IP).
- Fulfillment of legal obligations and response to authorized governmental requests.
3. Method of Collection and Legal Basis
Your data is collected fully or partially through automated means via registration, file upload, content sharing, or visiting our pages. Our processing is based on the following legal grounds under KVKK Articles 5/2 and 6/3:
- Direct relevance to the establishment or performance of a contract — provision of services under the Terms.
- Necessity for the data controller to fulfill a legal obligation.
- The legitimate interests of the data controller, provided no harm is done to the fundamental rights and freedoms of the data subject (e.g., fraud and abuse prevention).
- The data subject's explicit consent — requested for optional features (e.g., Google Analytics cookies).
4. Data Transfer and Cross-Border Transfer
Your personal data may be shared with the parties below, limited to the purposes above and with appropriate security safeguards. Many of these providers are based outside Turkey (US, EU), so transfers qualify as cross-border transfers under KVKK Article 9; Standard Contractual Clauses (SCCs) under GDPR are in place with each provider.
- Google LLC / Firebase (US): Authentication, Firestore (NoSQL database), Cloud Storage (file storage for METUConnect), Gemini API (Icarus AI response generation), embedding model, Google Analytics (anonymous traffic analysis).
- Cloudflare, Inc. (US/EU): Pages (app delivery), R2 (Icarus AI source-file storage, S3-compatible), Vectorize (vector database), Workers/Functions (server logic), Queues (async processing), KV (short-lived session data), Turnstile (bot protection), CDN/DDoS protection.
- Zoho Corporation (India/EU):
iletisim@educrs.combusiness email service (mx.zoho.eu). - Legal Authorities (Turkey): Public authorities upon lawful request or court order.
• EduCRS never sells user data to third parties for advertising or marketing.
• Data sent to the Google Gemini API is not used to train models, per Google's terms.
• Cloudflare Pages/R2/Vectorize reads data only transiently for processing; it is not used for Cloudflare product training.
5. Retention Periods
- Account information: Retained while your account is active; destroyed within 30 days of an account-deletion request.
- Icarus AI source files (Cloudflare R2): Removed from R2 immediately when the Workspace or source is deleted.
- Vector embeddings (Vectorize): Removed from the index when the corresponding source is deleted.
- Chats and Studio outputs (Firestore): Retained until manually deleted by the user or the account is closed.
- METUConnect content: Retained until deleted by the user. Publicly shared content may persist briefly in caches after deletion.
- System logs: 90 days; security-event logs may be retained longer per legal retention requirements.
6. Rights of Data Subjects (KVKK Article 11)
Under the law, every individual may apply to the data controller to:
- Learn whether their personal data is being processed,
- Request information if their personal data has been processed,
- Learn the purpose of processing and whether the data is used in line with that purpose,
- Know the third parties at home or abroad to whom personal data has been transferred,
- Request correction of personal data that has been processed incompletely or inaccurately,
- Request deletion or destruction of personal data,
- Request notification of corrections/deletions to third parties to whom data was transferred,
- Object to a result arising solely from automated processing that adversely affects them,
- Request compensation if they suffer harm due to unlawful processing.
Requests may be submitted to iletisim@educrs.com; responses are provided within 30 days.
7. Contact
Gizlilik Politikası
Son Güncelleme: 16 Mayıs 2026
Bu Gizlilik Politikası, EduCRS markası altındaki ürünlerin (Icarus AI, METUConnect) kişisel verilerinizi nasıl topladığını, kullandığını, koruduğunu ve hangi teknik altyapılar üzerinden işlediğini açıklar. KVKK Aydınlatma Metni ile birlikte okunmalıdır.
1. Toplanan Veriler — Ürün Bazında Detay
Icarus AI'da işlenenler:
- Hesap: Ad soyad, e-posta, şifre hash'i (Firebase Auth tarafında
scrypt), Google OAuth ID (giriş Google ile yapıldıysa), e-posta doğrulama durumu. - Çalışma Alanı (Workspace) kaynakları: Yüklediğiniz PDF, DOCX, TXT, PPTX, PNG, JPG dosyaları (Cloudflare R2'de), web URL'lerinden Mozilla Readability ile çıkarılmış metin, YouTube videosu transkriptleri.
- İşlenmiş türevler: Bu kaynaklardan üretilen chunk'lar (~512 token'lık parçalar), her chunk için Google embedding modeliyle üretilmiş 768-boyutlu vektör (Cloudflare Vectorize'da), her chunk'a ait metadata (kaynak ID, sayfa numarası, başlangıç offset'i).
- Sohbet verisi: Sorduğunuz sorular, AI yanıtları (Firestore'da kullanıcı UID altında), her yanıta ait citation map'i (hangi chunk hangi numara).
- Studio çıktıları: Üretilen özet/flashcard/quiz/zihin haritası/brifing/derinleşme dokümanları, kaynak ID referansları, üretim parametreleri.
- Quiz girişimleri: Hangi soruya hangi cevabı verdiğiniz, skor, tamamlanma zamanı.
- Tercihler: Tema (açık/koyu), dil (TR/EN), model tercihi (Flash/Pro), layout düzeni —
localStorage'da (sadece tarayıcınızda).
METUConnect'te işlenenler:
- Hesap: Google'dan gelen ad, soyad, profil fotoğrafı,
@metu.edu.tre-posta — diğer Google hesapları reddedilir. - Profil: Bölüm, sınıf, biyografi alanları (kullanıcı doldurursa).
- İçerik: Gönderiler (metin + ek dosya), yorumlar, beğeniler, takip ilişkileri, bire-bir mesajlar (Firestore), profil avatarı + post ekleri (Firebase Storage; avatar ≤ 5MB, post ekleri ≤ 25MB, kaynak dosyaları ≤ 50MB).
- Gruplar: Üye olduğunuz ders/topluluk grupları, grup-içi rolünüz.
- Bildirim tercihleri.
Her iki üründe ortak teknik veriler: IP adresi (Cloudflare edge log'ları), Firebase Auth ID token (oturum tanımlama), Google Analytics (gtag.js, ID G-81XCSVC1L8) anonimleştirilmiş istatistikler, hata izleme amaçlı stack trace'ler.
2. Verilerin Kullanım Amaçları
- Icarus AI çekirdek işlevi: Yüklediğiniz kaynaklardan AI çıktısı üretmek; sorularınıza kaynak-bazlı yanıt verebilmek için Vectorize üzerinden similarity search çalıştırmak ve Google Gemini API'ye prompt göndermek.
- METUConnect çekirdek işlevi: ODTÜ doğrulamasını yapmak, sosyal akışı işletmek, mesajlaşma altyapısını çalıştırmak, push/in-app bildirim göndermek.
- Kişiselleştirme: Tema/dil tercihinizi hatırlamak, son açtığınız Çalışma Alanına dönmek, kaldığınız sohbetten devam etmek.
- Güvenlik: Bot/abuse tespiti (Turnstile), şüpheli giriş denemelerini engellemek, rate-limit uygulamak.
- Ürün geliştirme: Hangi özelliklerin işe yaradığını anonim olarak ölçmek (Google Analytics), hata raporlarını analiz etmek.
3. Veri Güvenliği ve Saklama
- Transit: Tüm iletişim TLS 1.3 üzerinden şifrelenir.
Strict-Transport-Securitybaşlığı 2 yıl preload ile zorunlu kılınmıştır. - At rest: Firebase Firestore ve Cloud Storage verileri Google Cloud altyapısı tarafından AES-256 ile şifrelenir. Cloudflare R2 dosyaları AES-256 ile saklanır. Cloudflare Vectorize vektörleri şifreli olarak indekslenir.
- Şifre güvenliği: Icarus AI şifreleri Firebase Authentication tarafında
scryptalgoritmasıyla hash'lenir; EduCRS sunucularına asla düz metin şifre ulaşmaz. - Yetkilendirme: Tüm Firestore okuma/yazma istekleri sunucu-tarafı Security Rules ile
request.auth.uidkontrolünden geçer; bir kullanıcı başka bir kullanıcının verisine erişemez. - Bot koruması: Icarus AI giriş ekranı Cloudflare Turnstile ile, API çağrıları IP-bazlı rate-limit (dk/20) ile korunur.
- Tarayıcı güvenliği: Statik sayfalar katı Content Security Policy,
X-Frame-Options: SAMEORIGIN,X-Content-Type-Options: nosniff,Referrer-Policy: strict-origin-when-cross-origin,Permissions-Policybaşlıklarıyla sunulur. - İmha: Hesap silindiğinde tüm Firestore dokümanları + R2 dosyaları + Vectorize vektörleri 30 gün içinde kalıcı olarak silinir.
4. Veri Paylaşımı
Kişisel verileriniz hiçbir şekilde reklam veya pazarlama amacıyla satılmaz, kiralanmaz veya takas edilmez. Veriler yalnızca KVKK Bölümünde sıralanan altyapı sağlayıcıları (Google, Cloudflare, Zoho), yasal merciler ve sizin açık talebinizle paylaşılabilir.
5. Çocukların Gizliliği
EduCRS ürünleri 13 yaş altı çocuklara yönelik değildir. 13 yaşından küçük olduğunu fark ettiğimiz hesaplar kapatılır ve verileri silinir. Velilerin iletisim@educrs.com üzerinden bildirimi memnuniyetle karşılanır.
6. Kullanıcı Hakları
Hesabınız üzerinden kişisel verilerinize erişebilir, güncelleyebilir veya hesabınızı silebilirsiniz. KVKK Madde 11 kapsamındaki tüm haklarınız için ayrıntı: KVKK Aydınlatma Metni Bölüm 6.
7. Bu Politikadaki Değişiklikler
Bu politika, yasal düzenlemeler veya ürün değişiklikleri sonucunda güncellenebilir. Önemli değişiklikler hesabınıza kayıtlı e-posta adresine bildirilir; küçük güncellemeler için bu sayfa üzerindeki "Son Güncelleme" tarihini takip ediniz.
8. İletişim
This Privacy Policy explains how the products under the EduCRS brand (Icarus AI, METUConnect) collect, use, protect, and process your personal data — including the technical infrastructure involved. It should be read together with the KVKK Disclosure.
1. Data We Collect — By Product
Processed by Icarus AI:
- Account: Full name, email, password hash (
scryptvia Firebase Auth), Google OAuth ID (if signed in with Google), email-verification status. - Workspace sources: Uploaded PDF, DOCX, TXT, PPTX, PNG, JPG files (stored in Cloudflare R2), text extracted from URLs via Mozilla Readability, YouTube video transcripts.
- Derived data: Chunks (~512-token segments) split from those sources, 768-dimensional embedding vectors generated by Google's embedding model (stored in Cloudflare Vectorize), per-chunk metadata (source ID, page number, character offset).
- Chat data: Your questions, AI responses (stored in Firestore under your UID), citation maps per response (which chunk maps to which citation number).
- Studio outputs: Generated summaries / flashcards / quizzes / mind maps / briefings / deep-dive documents, source-ID references, generation parameters.
- Quiz attempts: Your answers per question, score, completion timestamp.
- Preferences: Theme (light/dark), language (TR/EN), model preference (Flash/Pro), layout configuration — stored in
localStorage(browser only).
Processed by METUConnect:
- Account: Name, surname, profile photo from Google,
@metu.edu.tremail — non-METU Google accounts are rejected. - Profile: Department, year, bio fields (if filled in).
- Content: Posts (text + attachments), comments, likes, follow relationships, direct messages (Firestore), avatar + post attachments (Firebase Storage; avatar ≤ 5MB, post attachments ≤ 25MB, resource files ≤ 50MB).
- Groups: Course/community groups you belong to, your role within each.
- Notification preferences.
Technical data common to both products: IP address (Cloudflare edge logs), Firebase Auth ID token (session identifier), Google Analytics (gtag.js, ID G-81XCSVC1L8) anonymized statistics, error-tracking stack traces.
2. Purposes of Use
- Icarus AI core function: Generate AI outputs from your uploaded sources; run similarity search via Vectorize and send prompts to the Google Gemini API to produce source-grounded answers.
- METUConnect core function: Perform METU verification, run the social feed, operate messaging, deliver push/in-app notifications.
- Personalization: Remember your theme/language, restore the last opened Workspace, resume an in-progress chat.
- Security: Bot/abuse detection (Turnstile), block suspicious sign-in attempts, enforce rate limits.
- Product improvement: Anonymously measure which features are used (Google Analytics), analyze error reports.
3. Data Security and Storage
- In transit: All traffic encrypted via TLS 1.3.
Strict-Transport-Securityis enforced with a 2-year preload. - At rest: Firebase Firestore and Cloud Storage data is encrypted with AES-256 by Google Cloud. Cloudflare R2 files are stored with AES-256. Cloudflare Vectorize vectors are indexed under encryption.
- Password security: Icarus AI passwords are hashed with the
scryptalgorithm by Firebase Authentication; plaintext passwords never reach EduCRS servers. - Authorization: Every Firestore read/write is checked against server-side Security Rules using
request.auth.uid; one user cannot access another user's data. - Bot protection: Icarus AI's login is gated by Cloudflare Turnstile; API calls are rate-limited per IP (20/min).
- Browser security: Static pages are served with a strict Content Security Policy,
X-Frame-Options: SAMEORIGIN,X-Content-Type-Options: nosniff,Referrer-Policy: strict-origin-when-cross-origin, andPermissions-Policyheaders. - Deletion: When an account is deleted, all Firestore documents + R2 files + Vectorize vectors are permanently erased within 30 days.
4. Data Sharing
Your personal data is never sold, rented, or traded for advertising or marketing. Data is shared only with the infrastructure providers listed in the KVKK section (Google, Cloudflare, Zoho), with legal authorities, or with your explicit request.
5. Children's Privacy
EduCRS products are not directed at children under 13. Accounts identified as belonging to users under 13 will be closed and their data deleted. Parents may notify us at iletisim@educrs.com.
6. User Rights
Through your account you may access, update, or delete your personal data. For your full rights under KVKK Article 11, see KVKK Disclosure, Section 6.
7. Changes to This Policy
This policy may be updated due to legal or product changes. Material changes will be emailed to your registered address; for minor updates, watch the "Last Updated" date on this page.