Privacy Policy

Last Updated: January 2026

At Hermora, we provide intelligent AI assistants for businesses to manage their communications across multiple platforms. Your privacy and the privacy of your customers are central to everything we build. This policy explains what data we collect, why we collect it, how it is stored, and what rights you have over it.

Our Core Commitment

We do not train AI models on your data. We do not sell, rent, or share your data or your customers' data with third parties for commercial purposes. All data is used exclusively to deliver the Hermora service.

Data ownership belongs to you. Your business data and customer conversations remain your property at all times.

1. Information We Collect

We collect the following categories of data to provide our services:

  • WhatsApp Business API: Incoming messages, sender phone numbers, and contact names from your connected WhatsApp Business account.
  • Instagram Graph API: Direct messages and comments from your authorized Instagram Business account, including sender IDs and usernames.
  • Website Widget: Message content and anonymous session identifiers from visitors interacting with your embedded chat widget.
  • Account Information: Name, email address, and business name provided during registration.
  • Uploaded Documents: PDF files and other business documents you upload to train your AI assistant.

2. Legal Basis for Processing

We process your personal data on the following legal grounds under GDPR and KVKK:

  • Contract Necessity: Processing is required to deliver the services you have signed up for (e.g., storing conversations to enable automated replies).
  • Legitimate Interest: Improving service performance, detecting abuse, and maintaining security of our systems.
  • Consent: Where required by law, we obtain explicit consent before processing specific categories of data (e.g., marketing communications).

3. How We Use Your Data

Your data is used exclusively for the following purposes:

  • Service Delivery: Enabling your AI assistant to respond to customer messages in real time.
  • Conversation Context: Storing chat history to maintain coherent, multi-turn conversations.
  • Analytics: Generating aggregate performance insights visible in your dashboard (message volume, response time, etc.).
  • Security: Detecting unauthorized access, abuse, and policy violations.
  • Service Improvement: Improving system reliability and AI response quality using anonymized, aggregated data — never your raw customer conversations.

4. Data Retention

We retain your data for as long as your account is active and as necessary to provide the service. Specifically:

  • Conversation history: Retained for the duration of your active account.
  • Account data: Retained until you request account deletion.
  • Uploaded documents: Retained until you delete them from your dashboard or request account deletion.

Upon receiving a verified deletion request, we will permanently delete your account data and all associated message history within a reasonable timeframe. Residual copies in backups are purged within 30 days.

5. Data Storage & Sub-processors

Your data is stored and processed using the following infrastructure providers, all operating under data processing agreements:

Provider Role Data Stored Location
MongoDB Atlas Data Processor Conversation history, customer identifiers EU (Ireland)
Supabase Data Processor Uploaded documents, AI embeddings EU (North Stockholm)
OpenRouter Sub-processor (AI routing) Message content (in transit to generate AI replies) US
Meta Platform Provider Webhook payloads via WhatsApp & Instagram APIs US / EU

OpenRouter routes AI requests to underlying LLM providers (such as OpenAI). Message content is transmitted solely to generate a response and is not used for model training without explicit consent.

6. International Data Transfers

Some of our sub-processors (notably OpenRouter and Meta) operate servers in the United States. When your data is transferred outside the European Economic Area (EEA) or Turkey, we ensure appropriate safeguards are in place, including:

  • Standard Contractual Clauses (SCCs) approved by the European Commission.
  • Data Processing Agreements (DPAs) with each provider.
  • Providers that maintain adequacy decisions or equivalent protections under GDPR/KVKK.

7. Cookies & Session Tracking

Hermora uses minimal, functional cookies and session mechanisms:

  • Authentication cookies: Used to keep you logged in to the Hermora dashboard. These are strictly necessary and cannot be disabled.
  • Language preference: Stored in browser localStorage to remember your language choice (e.g., EN/TR). No personal data is associated with this.
  • Widget session identifiers: Anonymous identifiers used to maintain chat continuity within a browser session. These do not identify individual users.

We do not use advertising cookies, third-party tracking cookies, or behavioral analytics services (e.g., Google Analytics) on the Hermora dashboard or widget.

8. AI Processing Notice

Hermora uses large language models (LLMs) to generate automated responses on behalf of your business. You should be aware of the following:

  • AI responses are generated automatically and may occasionally be inaccurate, incomplete, or inappropriate. You are responsible for monitoring and configuring your AI assistant's behavior.
  • Customer messages are transmitted to our AI processing sub-processor (OpenRouter) to generate replies. This is a core function of the service.
  • We do not use your customer conversations to train or fine-tune AI models.
  • You can pause or disable your AI assistant at any time from your dashboard to prevent automated processing.

9. Children's Privacy

Hermora is a business-to-business service and is not directed at children under the age of 16. We do not knowingly collect personal data from minors. If we become aware that a minor has provided personal data, we will delete it promptly. If you believe we have inadvertently collected data from a minor, please contact us at info@hermora.ai.

10. Your Rights

Under GDPR and KVKK, you have the following rights regarding your personal data:

  • Access: Request a copy of the data we hold about you.
  • Correction: Request correction of inaccurate or incomplete data.
  • Deletion: Request permanent deletion of your account and all associated data.
  • Portability: Request your data in a structured, machine-readable format.
  • Objection: Object to processing based on legitimate interest.
  • Restriction: Request that we limit processing of your data in certain circumstances.
  • Withdraw Consent: Withdraw previously given consent at any time.

To exercise any of these rights, contact us at info@hermora.ai. We will respond within 30 days.

You also have the right to lodge a complaint with your local data protection authority (e.g., KVKK in Turkey, or the relevant supervisory authority in your EU member state).

11. Changes to This Policy

We may update this Privacy Policy from time to time to reflect changes in our practices or applicable law. When we make material changes, we will notify you via email or a notice on the Hermora dashboard at least 14 days before the changes take effect. The updated policy will always be available at this URL. Continued use of the Service after the effective date constitutes acceptance of the revised policy.

12. Contact Us

If you have any questions regarding this Privacy Policy or how your data is handled, please reach out to us:

Email: info@hermora.ai

© 2026 Hermora. All rights reserved.

Gizlilik Politikası

Son Güncelleme: Ocak 2026

Hermora olarak, işletmelerin birden fazla platformda müşteri iletişimini yönetmesi için akıllı yapay zekâ asistanları sunuyoruz. Gizliliğiniz ve müşterilerinizin gizliliği, her geliştirdiğimiz ürünün merkezindedir. Bu politika; hangi verileri topladığımızı, neden topladığımızı, nasıl sakladığımızı ve bu veriler üzerinde hangi haklara sahip olduğunuzu açıklamaktadır.

Temel Taahhüdümüz

Verilerinizi yapay zekâ modellerini eğitmek için kullanmıyoruz. Verilerinizi veya müşterilerinizin verilerini ticari amaçlarla üçüncü taraflara satmıyor, kiralamıyor ya da devretmiyoruz. Tüm veriler yalnızca Hermora hizmetini sunmak amacıyla kullanılmaktadır.

Veri sahipliği size aittir. İşletme verileriniz ve müşteri konuşmalarınız her zaman sizin mülkünüzdür.

1. Topladığımız Bilgiler

Hizmetlerimizi sunabilmek için aşağıdaki kategorilerdeki verileri topluyoruz:

  • WhatsApp Business API: Bağlı WhatsApp Business hesabınızdan gelen mesajlar, gönderenin telefon numarası ve iletişim adı.
  • Instagram Graph API: Yetkilendirdiğiniz Instagram Business hesabınızdan gelen doğrudan mesajlar ve yorumlar; gönderen kimliği ve kullanıcı adı dahil.
  • Web Sitesi Widget'ı: Sohbet widget'ınızla etkileşime giren ziyaretçilerden toplanan mesaj içeriği ve anonim oturum tanımlayıcıları.
  • Hesap Bilgileri: Kayıt sırasında sağlanan ad, e-posta adresi ve işletme adı.
  • Yüklenen Belgeler: Yapay zekâ asistanınızı eğitmek amacıyla yüklediğiniz PDF ve diğer işletme belgeleri.

2. İşlemenin Hukuki Dayanağı

Kişisel verilerinizi GDPR ve KVKK kapsamında aşağıdaki hukuki dayanaklar çerçevesinde işlemekteyiz:

  • Sözleşme Gerekliliği: Kayıt olduğunuz hizmetleri sunmak için işleme zorunludur (örn. otomatik yanıtları mümkün kılmak amacıyla konuşmaların saklanması).
  • Meşru Menfaat: Hizmet performansını iyileştirmek, kötüye kullanımı tespit etmek ve sistemlerimizin güvenliğini sağlamak.
  • Açık Rıza: Yasanın gerektirdiği durumlarda, belirli veri kategorilerini işlemeden önce açık rıza alınmaktadır (örn. pazarlama iletişimleri).

3. Verilerinizi Nasıl Kullanıyoruz

Verileriniz yalnızca aşağıdaki amaçlarla kullanılmaktadır:

  • Hizmet Sunumu: Yapay zekâ asistanınızın müşteri mesajlarına gerçek zamanlı yanıt vermesini sağlamak.
  • Konuşma Bağlamı: Tutarlı çok turlu konuşmaları sürdürmek amacıyla sohbet geçmişini saklamak.
  • Analitik: Kontrol panelinizde görünen toplu performans içgörüleri oluşturmak (mesaj hacmi, yanıt süresi vb.).
  • Güvenlik: Yetkisiz erişimi, kötüye kullanımı ve politika ihlallerini tespit etmek.
  • Hizmet İyileştirme: Anonimleştirilmiş ve toplu veriler kullanılarak sistem güvenilirliğini ve yapay zekâ yanıt kalitesini geliştirmek — ham müşteri konuşmaları kesinlikle kullanılmamaktadır.

4. Veri Saklama Süresi

Verileriniz, hesabınız aktif olduğu ve hizmetin sunulması için gerekli olduğu süre boyunca saklanır. Özellikle:

  • Konuşma geçmişi: Aktif hesabınız süresince saklanır.
  • Hesap verileri: Hesap silme talebinde bulunana kadar saklanır.
  • Yüklenen belgeler: Siz kontrol panelinizden silene ya da hesap silme talebinde bulunana kadar saklanır.

Doğrulanmış bir silme talebinin ardından, hesap verileriniz ve ilişkili tüm mesaj geçmişi makul bir süre içinde kalıcı olarak silinecektir. Yedeklerdeki artık kopyalar 30 gün içinde temizlenir.

5. Veri Depolama ve Alt İşleyiciler

Verileriniz, veri işleme sözleşmeleri çerçevesinde faaliyet gösteren aşağıdaki altyapı sağlayıcılarında saklanmakta ve işlenmektedir:

Sağlayıcı Rol Saklanan Veri Konum
MongoDB Atlas Veri İşleyici Konuşma geçmişi, müşteri tanımlayıcıları AB (İrlanda)
Supabase Veri İşleyici Yüklenen belgeler, yapay zekâ embedding'leri AB (Kuzey Stockholm)
OpenRouter Alt İşleyici (Yapay Zekâ Yönlendirme) Mesaj içeriği (yapay zekâ yanıtı üretmek amacıyla iletim sırasında) ABD
Meta Platform Sağlayıcı WhatsApp ve Instagram API'leri aracılığıyla gelen webhook verileri ABD / AB

OpenRouter, yapay zekâ isteklerini OpenAI gibi temel LLM sağlayıcılarına yönlendirir. Mesaj içerikleri yalnızca yanıt üretmek amacıyla iletilmekte olup açık rıza olmaksızın model eğitimi için kullanılmamaktadır.

6. Uluslararası Veri Transferleri

Bazı alt işleyicilerimiz (özellikle OpenRouter ve Meta), Avrupa Ekonomik Bölgesi (AEB) veya Türkiye dışında, Amerika Birleşik Devletleri'nde sunucular işletmektedir. Verilerinizin bu bölgeler dışına aktarılması durumunda aşağıdaki güvenceler uygulanmaktadır:

  • Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (SCC).
  • Her sağlayıcıyla imzalanan Veri İşleme Sözleşmeleri (DPA).
  • GDPR/KVKK kapsamında yeterlilik kararı veya eşdeğer koruma mekanizmalarına sahip sağlayıcılar.

7. Çerezler ve Oturum Takibi

Hermora, yalnızca zorunlu işlevsel çerezler ve oturum mekanizmaları kullanmaktadır:

  • Kimlik doğrulama çerezleri: Hermora kontrol panelinde oturumunuzu açık tutmak için kullanılır. Bu çerezler zorunludur ve devre dışı bırakılamaz.
  • Dil tercihi: Dil seçiminizi hatırlamak için tarayıcı localStorage'ında saklanır (örn. TR/EN). Kişisel veri ilişkilendirilmez.
  • Widget oturum tanımlayıcıları: Tarayıcı oturumu boyunca sohbet sürekliliğini sağlamak için kullanılan anonim tanımlayıcılar. Bireysel kullanıcıları tanımlamaz.

Hermora kontrol panelinde veya widget'ında reklam çerezleri, üçüncü taraf izleme çerezleri ya da davranışsal analitik hizmetleri (örn. Google Analytics) kullanılmamaktadır.

8. Yapay Zekâ İşleme Bildirimi

Hermora, işletmeniz adına otomatik yanıtlar üretmek amacıyla büyük dil modelleri (LLM) kullanmaktadır. Lütfen aşağıdakilerin farkında olun:

  • Yapay zekâ yanıtları otomatik olarak üretilir ve zaman zaman hatalı, eksik veya uygunsuz olabilir. Yapay zekâ asistanınızın davranışını izlemek ve yapılandırmak sizin sorumluluğunuzdadır.
  • Müşteri mesajları, yanıt üretmek amacıyla yapay zekâ işleme alt işleyicimize (OpenRouter) iletilmektedir. Bu, hizmetin temel bir işlevidir.
  • Müşteri konuşmalarınızı yapay zekâ modellerini eğitmek veya ince ayar yapmak için kullanmıyoruz.
  • Otomatik işlemeyi durdurmak için kontrol panelinizden yapay zekâ asistanınızı istediğiniz zaman durdurabilir veya devre dışı bırakabilirsiniz.

9. Çocukların Gizliliği

Hermora, işletmeden işletmeye yönelik bir hizmettir ve 16 yaşın altındaki çocuklara yönelik değildir. Reşit olmayan bireylerden bilerek kişisel veri toplamıyoruz. Bir küçüğün kişisel veri sağladığını fark edersek, söz konusu veriyi derhal sileriz. Yanlışlıkla bir küçüğün verilerini topladığımıza inanıyorsanız lütfen info@hermora.ai adresiyle iletişime geçin.

10. Haklarınız

GDPR ve KVKK kapsamında kişisel verileriniz üzerinde aşağıdaki haklara sahipsiniz:

  • Erişim: Hakkınızda tuttuğumuz verilerin bir kopyasını talep etme.
  • Düzeltme: Hatalı veya eksik verilerin düzeltilmesini talep etme.
  • Silme: Hesabınızın ve ilişkili tüm verilerin kalıcı olarak silinmesini talep etme.
  • Taşınabilirlik: Verilerinizi yapılandırılmış, makine tarafından okunabilir bir formatta talep etme.
  • İtiraz: Meşru menfaate dayalı işlemeye itiraz etme.
  • Kısıtlama: Belirli durumlarda veri işlememizi sınırlandırmanızı talep etme.
  • Rızanı Geri Çekme: Önceden verilen rızayı istediğiniz zaman geri çekme.

Bu haklardan herhangi birini kullanmak için info@hermora.ai adresinden bizimle iletişime geçin. 30 gün içinde yanıt vereceğiz.

Türkiye'deki Kişisel Verileri Koruma Kurumu (KVKK) veya AB üye devletinizdeki ilgili denetim makamına şikâyette bulunma hakkına da sahipsiniz.

11. Bu Politikadaki Değişiklikler

Uygulamalarımızdaki veya geçerli mevzuattaki değişiklikleri yansıtmak amacıyla bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikler yaptığımızda, değişiklikler yürürlüğe girmeden en az 14 gün önce sizi e-posta veya Hermora kontrol panelindeki bir bildirim aracılığıyla bilgilendireceğiz. Güncel politika her zaman bu URL'de erişilebilir olacaktır. Yürürlük tarihinden sonra Hizmeti kullanmaya devam etmeniz, revize edilmiş politikayı kabul ettiğiniz anlamına gelir.

12. İletişim

Bu Gizlilik Politikası veya verilerinizin nasıl işlendiği hakkında sorularınız varsa lütfen bizimle iletişime geçin:

E-posta: info@hermora.ai