Gizlilik Politikası

Bu metin, makul bir özenle hazırlanmış bir taslak olup hukuki mütalaa veya görüş niteliği taşımamaktadır. Yayına alınmadan önce Türk hukukunda uzman bir avukat tarafından gözden geçirilmesi önemle tavsiye edilir.

Aşağıda köşeli çift tırnak ve köşeli parantez içinde gösterilen ifadeler («[Lumio Studio resmî ticaret unvanı]», «[MERSİS No]», «[Şirket adresi]», «[KEP adresi]») doldurulması gereken yer tutucular olup, yayından önce gerçek bilgilerle güncellenmelidir.

Botçu; işletmelerin Shopify veya PlatinMarket mağazaları ile Meta WhatsApp Business numaralarını entegre ederek, son müşterilerine WhatsApp üzerinden stok ve sipariş durumlarına ilişkin otomatik yanıtlar sunan bir üçüncü taraf entegrasyon ve yazılım (SaaS) hizmetidir. Sunulan ilk modül, "Stokçu" adlı WhatsApp stok asistanıdır.

İşletmeci

«[Lumio Studio resmî ticaret unvanı]» (MERSİS No: «[MERSİS No]», Adres: «[Şirket adresi]», KEP Adresi: «[KEP adresi]», Web Sitesi: https://botcu.lumiostudio.co, E-posta: contact@lumiostudio.co).

Müşteri-Firma

Botçu hizmetlerini satın alarak mağazasını ve WhatsApp numarasını sisteme entegre eden ticari işletme.

Son Müşteri

Müşteri-Firma'nın WhatsApp hattı üzerinden bota mesaj gönderen gerçek kişi (Müşteri-Firma'nın kendi müşterileri).

Bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında, Botçu hizmetinin sunulması sürecinde işlenen kişisel verilere ilişkin süreçleri anlaşılır bir dille açıklamaktadır.

Botçu, KVKK kapsamında işlenen verinin niteliğine göre iki farklı hukuki rol üstlenmektedir. Hangi tarafın hangi veriden sorumlu olduğunu belirleyen bu ayrım, işbu politikanın temelini oluşturur.

Akış 1 — Müşteri-Firma'nın kendi verisi (Botçu VERİ SORUMLUSU)

Müşteri-Firma'nın sisteme giriş yaptığı e-posta adresi, abonelik ve faturalandırma bilgileri ile entegrasyon kimlik bilgileri yönünden Botçu "Veri Sorumlusu" sıfatını haizdir; bu verileri kendi belirlediği amaç ve vasıtalarla işler.

Akış 2 — Son Müşteri'nin verisi (Botçu VERİ İŞLEYEN)

Müşteri-Firma tarafından sisteme aktarılan Son Müşteri verileri (WhatsApp telefon numaraları, mesaj içerikleri, ad-soyad bilgileri, sipariş ve stok/ürün detayları) yönünden "Veri Sorumlusu" Müşteri-Firma'dır. Botçu, bu veriler bakımından yalnızca Müşteri-Firma'nın yazılı talimatları doğrultusunda "Veri İşleyen" sıfatıyla hareket eder.

Akış 2 kapsamında yer alan Son Müşterilere yönelik aydınlatma yükümlülüğü tamamen Müşteri-Firma'ya aittir. Botçu, yalnızca veri alıcı grupları ve verilerin saklandığı/aktarıldığı yerler gibi teknik bilgileri Müşteri-Firma'ya sağlamakla yükümlüdür. Bu hukuki ilişkinin detayları taraflar arasında akdedilen Veri İşleme Sözleşmesi'nde düzenlenmektedir.

Müşteri-Firma'dan Toplanan Veriler (Akış 1 — Botçu'nun Veri Sorumlusu Olduğu Durum):

• Hesap ve Kimlik Bilgileri: Giriş e-posta adresi, firma unvanı, yetkili kişi ad-soyad ve iletişim bilgileri.
• Faturalandırma ve Abonelik Bilgileri: Ödeme hizmeti sağlayıcısı (Polar) aracılığıyla işlenen abonelik durumu ve ödeme geçmişi kayıtları.
• Entegrasyon Kimlik Bilgileri: Shopify/PlatinMarket API anahtarları/token bilgileri, mağaza alan adı, WhatsApp Business numarası ve "phoneNumberId" gibi yapılandırma verileri (gizli anahtarlar yalnızca sunucu tarafında, güvenli ortam değişkenlerinde saklanır).

Müşteri-Firma Aracılığıyla Son Müşteri'den Elde Edilen Veriler (Akış 2 — Botçu'nun Veri İşleyen Olduğu Durum):

• WhatsApp telefon numarası ve profil adı (görünen ad) bilgisi.
• Bota iletilen mesaj içerikleri ve konuşma geçmişi (oturum kayıtları).
• Sipariş detayları ve sorgulanan ürün/stok bilgileri.
• Mesajların mükerrer şekilde işlenmesini önlemek amacıyla tutulan işlem logları.

Botçu, çocuklara yönelik bir hizmet sunmamakta olup, bilerek ve isteyerek Özel Nitelikli Kişisel Veri (sağlık, din, biyometrik veri vb.) işlememektedir. Son Müşterilerin bota gönderdikleri mesajlarda bu tür verileri paylaşması durumunda sorumluluk, Veri Sorumlusu sıfatıyla tamamen Müşteri-Firma'ya aittir.

• Hizmetin Sunulması: Bot kurulumunun yapılması, mağaza ve WhatsApp entegrasyonlarının sağlanması, Son Müşteri mesajlarının otomatik olarak yanıtlanması.
• Mesaj Anlamlandırma: Gelen mesajların içeriğinin analiz edilerek doğru yanıtların üretilmesi.
• Stok ve Sipariş İşlemleri: Ürün sorgularının yanıtlanması ve stok hareketlerinin kayıt altına alınması.
• Faturalandırma ve abonelik süreçlerinin yönetilmesi.
• Bilgi güvenliğinin sağlanması, hata ayıklama (debugging) ve hizmetin kötüye kullanımının önlenmesi.
• Yasal yükümlülüklerin eksiksiz yerine getirilmesi.

Kişisel veri işleme faaliyetlerinin hukuki sebepleri; KVKK m. 5 kapsamında bir sözleşmenin kurulması veya ifası, Veri Sorumlusu'nun meşru menfaatleri, hukuki yükümlülüklerin yerine getirilmesi ve gerekli hallerde Açık Rıza'dır. Akış 2 kapsamındaki veri işleme faaliyetlerinin hukuki sebebi ise Veri Sorumlusu sıfatıyla Müşteri-Firma tarafından belirlenir.

KVKK m. 12 uyarınca, işlenen kişisel verilerin güvenliğini sağlamak amacıyla gerekli tüm teknik ve idari tedbirleri almaktayız:

• Şifreleme: Veriler aktarım sırasında HTTPS/TLS protokolleri ile, hizmet sağlayıcılarımız nezdinde ise durağan halde (at-rest) şifrelenerek korunur.
• Gizli Anahtar Yönetimi: Entegrasyon token'ları ve API anahtarları kaynak koda gömülmez; yalnızca sunucu tarafındaki güvenli ortam değişkenlerinde (environment variables) muhafaza edilir.
• Çoklu Kiracılı (Multi-tenant) Yalıtım: Her veri sorgusu ilgili firmaya (tenantId) göre sınırlandırılır; bir Müşteri-Firma'nın verilerine başka bir firmanın erişmesi teknik olarak engellenir.
• Sadece Ekleme Yapılabilen (Append-only) Stok Defteri: Stok hareketleri silinmez veya üzerlerine yazılmaz; her bir değişiklik yeni ve geri alınabilir bir kayıt olarak eklenir. Böylece veri bütünlüğü ve geriye dönük izlenebilirlik en üst düzeyde korunur.
• Erişim Kontrolü: Yönetim paneline erişim, güvenli oturum çerezleri ve yetkilendirilmiş yönetici beyaz listesi (whitelist) ile sınırlandırılmıştır.

İnternet ortamında hiçbir teknik tedbirin mutlak güvenlik garantisi sağlayamayacağı bilinmelidir. Olası bir Veri İhlali durumunda, KVKK ve Kişisel Verileri Koruma Kurulu düzenlemeleri uyarınca gerekli bildirimler yasal süresi içinde gerçekleştirilir. Veri İşleyen sıfatını haiz olduğumuz Akış 2 kapsamındaki olası ihlaller ise gecikmeksizin Veri Sorumlusu olan Müşteri-Firma'ya raporlanır.

Hizmetlerimizin kesintisiz sunulabilmesi amacıyla aşağıda belirtilen alt veri işleyenlerden ve hizmet sağlayıcılardan yararlanmaktayız. Bu sağlayıcıların bir kısmı verileri Türkiye dışındaki sunucularda işlemektedir (Yurt Dışına Aktarım süreçleri için bkz. Bölüm 7):

Anthropic (Claude LLM) — ABD

Mesaj metinleri, niyet sınıflandırması ve anlamlandırma amacıyla işlenir. Bu kapsamda yurt dışına aktarım gerçekleşmektedir.

Google Firebase / Google Cloud — ABD/AB

Kontrol paneli (yapılandırma/yetkilendirme) ve barındırma (hosting) altyapısı (GCP VM) hizmetleri sunar. Bu kapsamda yurt dışına aktarım söz konusu olabilmektedir.

Vercel — ABD

Yönetim panelinin (dashboard) barındırılması hizmetini sunar. Bu kapsamda yurt dışına aktarım gerçekleşmektedir.

Meta / WhatsApp Business API

WhatsApp mesajlarının iletilmesi (mesaj transportu) altyapısını sağlar.

Polar

Abonelik ve faturalandırma süreçlerinin yönetilmesini sağlar.

Belirtilen bu altyapı sağlayıcıları dışında, kişisel verileriniz yasal bir yükümlülük veya yetkili kamu kurum ve kuruluşlarının talepleri haricinde üçüncü kişilere satılmamakta ve pazarlama amacıyla paylaşılmamaktadır.

Yukarıda belirtilen bazı alt veri işleyenler (Anthropic, Vercel ve belirli durumlarda Google) verileri Türkiye sınırları dışında işlemektedir. Bu aktarımlar, KVKK m. 9'da öngörülen yasal güvenceler çerçevesinde; yeterlilik kararı bulunan ülkelere aktarım, yeterlilik kararının bulunmadığı durumlarda ise Kişisel Verileri Koruma Kurulu'na bildirilen Standart Sözleşmeler veya kanunda öngörülen diğer uygun güvenceler ve istisnalar doğrultusunda gerçekleştirilir.

Süreklilik arz eden SaaS hizmetlerinde yurt dışına aktarımın tek hukuki dayanağı Açık Rıza olmayıp; aktarım süreçleri KVKK m. 9'da düzenlenen kademeli rejime (yeterlilik kararı → uygun güvenceler/Standart Sözleşme ve Kurul bildirimi → arızi haller) uygun olarak yürütülmektedir.

• Hesap, Abonelik ve Entegrasyon Verileri: Üyelik ve hizmet ilişkisi devam ettiği sürece ve bu ilişkinin sona ermesini takiben yasal zamanaşımı ve saklama süreleri boyunca muhafaza edilir.
• Son Müşteri Mesajları, Konuşma Oturumları ve Sipariş/Stok Verileri: Veri Sorumlusu olan Müşteri-Firma'nın talimatları ve hizmetin gereklilikleri doğrultusunda saklanır. Sözleşmenin sona ermesi halinde, Müşteri-Firma'nın tercihine göre veriler iade edilir veya güvenli bir şekilde silinir.
• Sadece Ekleme Yapılabilen Stok Defteri Kayıtları: Veri bütünlüğü gereği geçmişe dönük olarak silinmez veya değiştirilmez; yapılan düzeltmeler sisteme yeni bir kayıt olarak eklenir.

Saklama süreleri sona eren kişisel veriler, KVKK ve ilgili mevzuata uygun olarak silinir, yok edilir veya anonim hale getirilir.

KVKK m. 11 uyarınca, kişisel verileri işlenen İlgili Kişi olarak aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme ve işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• KVKK'da öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Botçu'nun Veri İşleyen sıfatıyla hareket ettiği Akış 2 kapsamındaki talepleriniz, öncelikle Veri Sorumlusu konumundaki Müşteri-Firma'ya yöneltilmelidir. Botçu'ya doğrudan ulaşan bu tür talepler, taraflar arasındaki sözleşme hükümleri uyarınca makul bir süre içinde ilgili Müşteri-Firma'ya iletilecektir.

İşbu politika veya kişisel verilerinizin işlenmesine ilişkin her türlü talep ve başvurularınızı aşağıdaki iletişim kanalları vasıtasıyla tarafımıza iletebilirsiniz:

E-posta

contact@lumiostudio.co

Web

https://botcu.lumiostudio.co

KEP adresi

«[KEP adresi]»

Posta adresi

«[Şirket adresi]»

Yapacağınız başvurular, KVKK ve ilgili Kurul düzenlemelerinde öngörülen yasal süreler (en geç 30 gün) içinde değerlendirilerek sonuçlandırılacaktır.

İşbu politika, aşağıdaki tamamlayıcı belgelerle birlikte değerlendirilmelidir:

• KVKK Aydınlatma Metni — KVKK m. 10 kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin detaylı bilgilendirmeleri içerir.
• Veri İşleme Sözleşmesi (DPA) — Botçu'nun Veri İşleyen sıfatını haiz olduğu Akış 2 kapsamında tarafların karşılıklı yükümlülüklerini, veri ihlali bildirim süreçlerini, alt veri işleyen onay mekanizmalarını ve yurt dışına aktarım güvencelerini düzenler.

İşbu Gizlilik Politikası, yasal mevzuattaki güncellemeler veya sunulan hizmetlerdeki değişiklikler doğrultusunda revize edilebilir. Güncel sürüm her zaman https://botcu.lumiostudio.co adresinde yayımlanacak olup, yürürlük tarihi metnin başlangıcında belirtilen tarih olacaktır.