Gizlilik Politikası

Kişisel verilerinizin işlenmesinden sorumlu veri sorumlusu:

OKINT Dijital Dönüşüm ve Danışmanlık Limited Şirketi
Türkiye'de kayıtlı anonim şirkettir.
İletişim: info@okintdigital.com
Platform: hermes.okintdigital.com

Veri Koruma Sorumlusu (DPO) ile iletişim için: info@okintdigital.com

Platform kapsamında aşağıdaki kategorilerde kişisel veri işlemekteyiz:

2.1 Hesap ve Kimlik Bilgileri

• Ad, soyad ve iş unvanı
• Kurumsal e-posta adresi ve telefon numarası
• Şifreli parola özeti (endüstri standardı güvenlik algoritmaları ile hashlenir, düz metin saklanmaz)
• Şirket adı, sektörü ve vergi kimlik numarası (abonelik faturalandırması için)
• Abonelik planı ve ödeme durumu bilgileri

2.2 Meta / Facebook Embedded Signup Verileri

Platformumuzu Meta Business Suite ile entegre etmek için Facebook/Meta Embedded Signup akışını kullanırsanız şu verileri toplarız:

• Meta Business Manager hesap kimliği (WABA ID)
• WhatsApp Business hesap kimliği ve telefon numarası
• Meta tarafından sağlanan erişim belirteçleri (şifreli olarak saklanır)
• İşletme doğrulama durumu
• Meta hesabınıza bağlı WhatsApp Business API yapılandırma bilgileri

Önemli: Facebook/Meta Embedded Signup aracılığıyla edinilen veriler, WhatsApp Business API hizmetlerinin sağlanması dışında herhangi bir amaçla kullanılmaz ve üçüncü şahıslarla paylaşılmaz.

2.3 WhatsApp İş Platformu Verileri

• WhatsApp aracılığıyla gönderilen ve alınan mesajların içeriği (metin, medya dosyaları, belge meta verileri)
• Konuşma geçmişleri ve durum bilgileri (açık, kapandı, bot tarafından yönetilen)
• İletişim kurulan kişilerin telefon numaraları ve profil isimleri
• Mesaj teslim durumu, okunma raporları ve hata kodları
• Onaylı WhatsApp mesaj şablonları
• Bot otomasyonu akış verileri ve kullanıcı yanıtları

2.4 İş Yönetimi Verileri

• Müşteri iletişim kayıtları (CRM): ad, telefon, e-posta, özel etiketler ve notlar
• Sipariş takip numaraları ve teslimat durum sorguları
• Randevu ve takvim verileri (takvim entegrasyonu etkinleştirilmişse)
• Trendyol, Hepsiburada veya benzeri e-ticaret platformlarından çekilen API verileri
• SSS içerikleri ve özel bot modül yapılandırmaları

2.5 Teknik ve Kullanım Verileri

• IP adresi ve coğrafi konum (ülke/şehir düzeyinde)
• Tarayıcı türü, sürümü ve işletim sistemi
• Platform kullanım istatistikleri ve özellik kullanım günlükleri
• API çağrı günlükleri ve hata raporları
• Webhook olay verileri
• Oturum belirteçleri (otomatik yenileme mekanizmalı kısa ömürlü oturum belirteçleri)

Topladığımız verileri aşağıdaki amaçlarla işlemekteyiz:

3.1 Hizmetin Sunulması

• Kullanıcı hesaplarının oluşturulması, kimlik doğrulaması ve yönetimi
• WhatsApp Business API entegrasyonunun sağlanması ve sürdürülmesi
• Bot otomasyonu akışlarının çalıştırılması ve konuşmaların yönetilmesi
• Müşteri ilişkileri yönetimi (CRM) özelliklerinin işletilmesi
• Analitik paneli ve raporlama hizmetlerinin sunulması
• Randevu ve entegrasyon hizmetlerinin yönetilmesi

3.2 Meta / Facebook Embedded Signup Verilerinin Kullanımı

Meta veya Facebook Embedded Signup aracılığıyla edinilen veriler yalnızca şu amaçlarla kullanılır:

• WhatsApp Business API bağlantısının kurulması ve sürdürülmesi
• Meta platformu üzerinden mesaj gönderilmesi ve alınması
• Meta API kimlik doğrulamasının gerçekleştirilmesi
• Meta'nın Ticari Hizmet Şartları kapsamında izin verilen işlemler

Bu veriler reklamcılık, profil oluşturma, üçüncü taraf pazarlama veya yukarıda belirtilmeyen herhangi bir amaç için kullanılmaz.

3.3 Güvenlik ve Uyumluluk

• Yetkisiz erişim girişimlerinin tespiti ve önlenmesi
• Kötü amaçlı yazılım ve güvenlik açıklarına karşı koruma
• KVKK, GDPR ve Meta'nın Veri Politikasına uyumun sağlanması
• Hukuki yükümlülüklerin yerine getirilmesi ve denetim kayıtlarının tutulması

3.4 Hizmet İyileştirme

• Platform performansının izlenmesi ve iyileştirilmesi
• Yeni özelliklerin geliştirilmesi
• Müşteri destek hizmetlerinin sunulması
• Toplu ve anonimleştirilmiş istatistiksel analizler

Kişisel verilerinizi aşağıdaki hukuki dayanaklar çerçevesinde işlemekteyiz:

• Sözleşmenin ifası: Hizmet Sözleşmesinin yerine getirilmesi için zorunlu olan işlemler (hesap yönetimi, WhatsApp entegrasyonu, faturalandırma)
• Açık rıza: Pazarlama iletişimleri, belirli üçüncü taraf entegrasyonları ve isteğe bağlı özellikler
• Meşru menfaat: Platform güvenliği, dolandırıcılık önleme ve hizmet iyileştirme
• Hukuki yükümlülük: Vergi mevzuatı, savcılık talepleri ve zorunlu yasal bildirimler
• KVKK Madde 5/2: İlgili kişinin taraf olduğu sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla gerekli olması

Kişisel verilerinizi aşağıdaki taraflarla ve koşullarla paylaşmaktayız:

5.1 Meta Platforms, Inc. / WhatsApp LLC

WhatsApp Business API'nin işletilmesi için Meta ile doğrudan veri paylaşımı zorunludur. Bu kapsamda:

• WhatsApp aracılığıyla gönderilen ve alınan mesajlar Meta'nın altyapısından geçer
• Telefon numaraları ve işletme kimlik bilgileri Meta API uç noktalarına iletilir
• Bu paylaşım, Meta'nın WhatsApp Business Veri İşleme Şartları kapsamında gerçekleştirilir

5.2 Altyapı Sağlayıcıları

• Bulut altyapısı ve sunucu hizmetleri sağlayıcıları (veri işleme sözleşmesi kapsamında)
• Veritabanı yönetim hizmetleri

5.3 E-ticaret Entegrasyonları

Trendyol, Hepsiburada veya benzeri platformlarla entegrasyon etkinleştirildiğinde, API anahtarları şifreli olarak saklanır ve yalnızca ilgili platformun API'sine sorgu göndermek amacıyla kullanılır.

5.4 Hukuki Zorunluluklar

Yetkili Türk mahkemelerinin veya düzenleyici kurumların (KVKK Kurumu, BTK) geçerli kararları doğrultusunda yasal zorunluluk halinde veri paylaşımı yapılabilir.

5.5 Paylaşmadığımız Taraflar

Verilerinizi; reklam ağları, veri brokerleri, üçüncü taraf pazarlamacılar, sosyal medya platformları (Meta/WhatsApp entegrasyonu dışında) veya hizmetin sunulması için gerekli olmayan herhangi bir tarafla paylaşmayız.

6.1 Teknik Güvenlik Önlemleri

• Şifreleme (dinlenme halinde): Tüm hassas veriler güçlü şifreleme ile veritabanında saklanır. API anahtarları ve OAuth erişim belirteçleri ek bir şifreleme katmanıyla korunur
• Şifreleme (aktarım halinde): Tüm API iletişimleri TLS 1.2+ protokolü üzerinden gerçekleştirilir
• Çok kiracılı izolasyon: Satır düzeyi güvenlik politikaları ile her işletmenin verileri diğerlerinden tamamen izole edilir. Her tabloda kiracı kimliği zorunludur
• Kimlik doğrulama: Token tabanlı kimlik doğrulama; otomatik yenileme mekanizmalı kısa ömürlü oturum belirteçleri ve sunucu tarafı iptal mekanizması mevcuttur
• Parola güvenliği: Endüstri standardı güvenlik algoritmaları ile hashlenerek saklanır, düz metin parola hiçbir zaman kaydedilmez
• Belirteç iptali: İptal edilen belirteçler sunucu tarafı iptal mekanizması ile geçersiz kılınarak yeniden kullanım engellenir
• Denetim günlükleri: Tüm yönetimsel işlemler ve veriye erişim denetimleri kayıt altına alınır

6.2 Organizasyonel Önlemler

• En az ayrıcalık ilkesine dayalı erişim kontrolü
• Çalışanlar için veri gizliliği eğitimi
• Düzenli güvenlik değerlendirmeleri
• Güvenlik ihlali bildirim prosedürleri (KVKK kapsamında 72 saat)

6.3 Veri Konumu

Veriler birincil olarak Türkiye veya Avrupa Ekonomik Alanı (AEA) sınırları içindeki sunucularda işlenir ve saklanır.

WhatsApp Business API'nin niteliği gereği, mesaj verileri Meta'nın küresel altyapısından geçebilir. Bu transferler aşağıdaki güvencelerle gerçekleştirilmektedir:

• Meta ile imzalanmış WhatsApp Business Veri İşleme Sözleşmesi (DPA)
• AB Standart Sözleşme Maddeleri (SCC) veya eşdeğer koruma mekanizmaları
• Meta'nın uygun veri koruma önlemlerini taahhüt eden Veri Güvenliği Eki

Türkiye dışına yapılan diğer veri transferleri, yalnızca KVKK'nın 9. maddesi kapsamında yeterli koruma seviyesine sahip ülkelere veya yeterli güvenceler sağlanmış durumlarda gerçekleştirilir.

Platform, oturum yönetimi için minimum düzeyde çerez kullanmaktadır:

9.1 Zorunlu Çerezler

• Kimlik doğrulama belirteçleri: Oturum güvenliğini sağlamak amacıyla localStorage'da saklanır (HttpOnly çerez değildir; bu bilginin farkındayız ve gelecek sürümlerde geliştirme planlanmıştır)
• CSRF koruması: Çapraz site istek sahteciliğini önlemek amacıyla

9.2 Analitik

Platform içi kullanım analitikleri kendi altyapımızda üretilmekte olup üçüncü taraf analitik hizmetleri (Google Analytics vb.) kullanılmamaktadır.

9.3 Reklam Çerezleri

Platforma reklam çerezi veya izleme pikseli yerleştirilmemektedir.

Hermes Platformu, 18 yaşın altındaki bireylere yönelik değildir ve bu kişilere yönelik hizmet sunulmamaktadır. Platform yalnızca işletmeler adına hareket eden yetişkinler tarafından kullanılabilir. 18 yaş altı bir bireye ait kişisel veri yanlışlıkla topladığımızı fark etmemiz durumunda söz konusu verileri derhal sileriz.

Bir işletme müşterisinin 18 yaş altı bireylerle iletişim kurduğunu tespit etmemiz halinde ilgili hesabı askıya alarak araştırma başlatma hakkımızı saklı tutarız.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Genel Veri Koruma Tüzüğü (GDPR) kapsamında aşağıdaki haklara sahipsiniz:

• Bilgi edinme hakkı (KVKK Md. 11/a): Hakkınızda kişisel veri işlenip işlenmediğini öğrenme
• Erişim hakkı (KVKK Md. 11/b): İşlenen kişisel verilerinize erişim sağlama
• Düzeltme hakkı (KVKK Md. 11/c): Yanlış veya eksik verilerin düzeltilmesini talep etme
• Silme hakkı (KVKK Md. 11/e / GDPR Md. 17): Belirli koşullar altında verilerinizin silinmesini talep etme
• İtiraz hakkı (KVKK Md. 11/e): Otomatik işleme ve profil oluşturmaya itiraz etme
• Kısıtlama hakkı (GDPR Md. 18): İşlemenin kısıtlanmasını talep etme
• Taşınabilirlik hakkı (GDPR Md. 20): Verilerinizi yapılandırılmış, makine tarafından okunabilir biçimde alma
• Rıza geri alma hakkı: Rızaya dayalı işlemler için verilen rızayı istediğiniz zaman geri alma
• Şikayet hakkı: Türkiye Kişisel Verileri Koruma Kurumu'na (KVKK Kurumu) veya ilgili AB Denetim Makamına şikayette bulunma

Haklarınızı kullanmak için: info@okintdigital.com adresine yazılı başvuruda bulunabilirsiniz. KVKK kapsamındaki talepler 30 takvim günü, GDPR kapsamındaki talepler ise 30 gün içinde yanıtlanır.

Verilerinizin silinmesini talep etmek için lütfen Veri Silme Talebi sayfamızı ziyaret edin.

Hesabınızı ve ilişkili tüm verileri silmek için:

1. Platform içinden Ayarlar → Hesap → Hesabı Sil seçeneğini kullanabilirsiniz
2. Alternatif olarak Veri Silme Talebi formunu doldurabilirsiniz
3. Doğrudan info@okintdigital.com adresine e-posta gönderebilirsiniz

Silme işlemi talep tarihinden itibaren 30 gün içinde tamamlanır. Yasal saklama yükümlülüğü kapsamındaki veriler (faturalama kayıtları, denetim günlükleri) yasal süre boyunca anonimleştirilerek saklanmaya devam edebilir.

Silme talebinin ardından size bir onay e-postası gönderilir.

Bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikler söz konusu olduğunda:

• Yürürlük tarihinden en az 30 gün önce kayıtlı e-posta adresinize bildirim gönderilir
• Platform içinde belirgin bir banner bildirimi gösterilir
• Güncellenmiş politika bu sayfada yayımlanır

Güncellenmiş politika yürürlüğe girdikten sonra Platformu kullanmaya devam etmeniz, değişiklikleri kabul ettiğiniz anlamına gelir. Değişiklikleri kabul etmiyorsanız hesabınızı silebilir ve info@okintdigital.com adresine bildirimde bulunabilirsiniz.

Gizlilik uygulamalarımız, veri haklarınız veya bu politika hakkındaki sorularınız için:

Veri Koruma Sorumlusu (DPO)
OKINT Dijital Dönüşüm ve Danışmanlık Limited Şirketi
E-posta: info@okintdigital.com
Yanıt süresi: İş günü bazında 5 gün içinde (KVKK/GDPR talepleri için en fazla 30 gün)

Türkiye Kişisel Verileri Koruma Kurumu'na şikayet için: www.kvkk.gov.tr