KVKK Aydınlatma Metni

Bu metin, makul bir özenle hazırlanmış bir taslak olup hukuki mütalaa veya görüş niteliği taşımamaktadır. Yayımlanmadan önce, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) alanında uzman bir avukat tarafından incelenmesi ve resmî bilgilerin (ticaret unvanı, MERSİS numarası, adres, KEP adresi) doldurulması önemle tavsiye edilir.

İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 10. maddesi uyarınca aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanmıştır. Botçu ("Botçu" veya "Platform"), firmaların e-ticaret mağazalarını (Shopify veya PlatinMarket) ve Meta WhatsApp Business numaralarını entegre ederek son kullanıcılara/müşterilere WhatsApp üzerinden stok ve sipariş asistanlığı sunan üçüncü taraf bir entegrasyon ve SaaS (Yazılım Hizmeti) çözümüdür. Sunulan ilk modül "Stokçu"dur.

Botçu, kişisel veri işleme süreçlerinde iki farklı rol üstlenmektedir. Hangi veri akışında hangi sıfatla hareket edildiğinin anlaşılması, haklarınızı hangi tarafa karşı kullanacağınızı belirlemek açısından büyük önem taşımaktadır:

Akış 1 — Müşteri-Firma Verileri (Botçu = Veri Sorumlusu)

Hizmeti satın alan firmaya (müşteri) ait veriler bakımından (yönetici giriş e-postası, abonelik ve fatura bilgileri, entegrasyon kimlik bilgileri), Botçu "veri sorumlusu" sıfatıyla hareket etmekte olup bu akışa ilişkin aydınlatma yükümlülüğünden bizzat sorumludur.

Akış 2 — Son Müşteri Verileri (Firma = Veri Sorumlusu, Botçu = Veri İşleyen)

Firmanın sisteme aktardığı son müşterilere ait kişisel veriler bakımından (WhatsApp telefon numarası, mesaj içeriği, ad-soyad, sipariş bilgisi, ürün ve stok verileri) veri sorumlusu ilgili firmadır; Botçu, yalnızca firmanın yazılı/belgelenmiş talimatları doğrultusunda "veri işleyen" sıfatıyla hareket eder.

Akış 2 (son müşteri verileri) kapsamındaki aydınlatma yükümlülüğü, veri sorumlusu sıfatıyla doğrudan ilgili firmaya aittir. Botçu, bu akışta yalnızca veri aktarım ve saklama süreçlerine ilişkin teknik detayları firmaya sağlamakta olup son müşterilerin aydınlatılması yükümlülüğü tamamen firmanın sorumluluğundadır.

Akış 1 kapsamında veri sorumlusu, Botçu Platformu'nu işleten ve bilgileri aşağıda yer alan tüzel kişidir (KVKK m.10/1-a):

Ticaret Unvanı

«[Lumio Studio resmî ticaret unvanı]» (PLACEHOLDER — doldurulacak)

MERSİS No

«[MERSİS No]» (PLACEHOLDER — doldurulacak)

Adres

«[Şirket adresi]» (PLACEHOLDER — doldurulacak)

Web Sitesi

https://botcu.lumiostudio.co

E-posta

contact@lumiostudio.co

KEP Adresi

«[KEP adresi]» (PLACEHOLDER — doldurulacak)

Akış 1 — Müşteri ve Firma Verileri (Botçu'nun veri sorumlusu sıfatıyla işlediği veriler):

• Kimlik ve İletişim Verisi: Firma yetkilisinin ad-soyadı, sisteme giriş ve iletişim e-posta adresleri.
• Müşteri İşlem ve Finansal Veriler: Abonelik durumu, satın alınan modüller, fatura ve ödeme bilgileri (Polar aracılığıyla).
• Entegrasyon ve Erişim Bilgileri: Shopify/PlatinMarket mağaza adresi, API erişim anahtarları, Meta WhatsApp Business numarası ve phoneNumberId (hassas kimlik doğrulama bilgileri yalnızca sunucu tarafında, güvenli ortam değişkenlerinde saklanır).
• İşlem Güvenliği Verileri: Oturum çerezleri, IP adresi, sisteme erişim ve işlem kayıtları (loglar).

Akış 2 — Son Müşteri Verileri (Firmanın talimatı doğrultusunda Botçu'nun veri işleyen sıfatıyla PostgreSQL üzerinde sakladığı veriler):

• Kimlik ve İletişim Verisi: Son müşterinin WhatsApp telefon numarası ve ad-soyadı.
• Müşteri İşlem Verileri: Sipariş bilgileri, ürün ve stok verileri ile yalnızca ekleme yapılabilir (append-only) stok hareket geçmişi.
• İşlem İçeriği Verileri: WhatsApp sohbet geçmişi, mesaj içerikleri, işlenen mesaj kayıtları ve türetilmiş kiracı (tenant) yapılandırma anlık görüntüleri (snapshot).

Her veri sorgusu kiracı (tenant/firma) bazında izole edilmekte olup firmaların birbirlerinin verilerine erişmesi teknik olarak engellenmiştir. Stok hareket geçmişi yalnızca eklenebilir (append-only) nitelikte olup mevcut kayıtlar üzerinde güncelleme (UPDATE) işlemi yapılmaz.

• Hizmet sözleşmesinin kurulması, abonelik süreçlerinin yürütülmesi, bot tahsisi ve kullanıcı hesaplarının yönetilmesi (Akış 1).
• E-ticaret mağazası ve WhatsApp entegrasyonlarının kurulması, yapılandırılması ve senkronizasyonunun sağlanması (Akış 1).
• Fatura, abonelik ve ödeme süreçlerinin takibi ve yürütülmesi (Akış 1).
• Son müşterilerin WhatsApp üzerinden ilettiği stok ve sipariş sorularının niyet sınıflandırması (intent classification) yapılarak yanıtlanması (Akış 2 — firma talimatı doğrultusunda).
• Stok hareketlerinin kayıt altına alınması, doğrulanması ve düzeltilebilir (CORRECTION) şekilde saklanması (Akış 2).
• Hizmet güvenliğinin ve bilgi güvenliğinin sağlanması, kötüye kullanımın önlenmesi ve yasal yükümlülüklerin yerine getirilmesi (her iki akış).

Kişisel verileriniz, KVKK m.5/2'de öngörülen ve aşağıda belirtilen hukuki sebeplere dayanılarak işlenmektedir; bu sebeplerin var olmadığı durumlarda ise KVKK m.5/1 uyarınca açık rızanıza başvurulur:

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması (m.5/2-c): Abonelik ve hizmet sözleşmelerinin akdedilmesi ve ifası.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (m.5/2-ç): Fatura, muhasebe ve vergi mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesi.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (m.5/2-e): Olası uyuşmazlıklarda delil teşkil etmesi amacıyla denetim izi ve log kayıtlarının tutulması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması (m.5/2-f): Hizmet güvenliğinin sağlanması, sistem performansının izlenmesi ve kötüye kullanımın önlenmesi.
• Akış 2 kapsamında Botçu, veri işleyen sıfatıyla, veri sorumlusu olan firmanın yukarıda belirtilen hukuki sebeplere dayanan yazılı talimatları doğrultusunda veri işleme faaliyetlerini yürütür.

Özel nitelikli kişisel verilerin (KVKK m.6) işlenmesi Botçu tarafından sunulan hizmetlerin kapsamında yer almamakta olup bu tür veriler talep edilmemektedir. İlgili firmalar ve kullanıcılar tarafından sisteme bu nitelikte veri aktarılmamalıdır.

Kişisel verileriniz, sunulan hizmetlerin kesintisiz ve güvenli bir şekilde sağlanabilmesi amacıyla, aşağıda belirtilen alt veri işleyenlere (üçüncü taraf hizmet sağlayıcılarına) yalnızca işleme amacıyla sınırlı ve ölçülü olarak aktarılmaktadır. Bu sağlayıcıların bir kısmının sunucularının yurt dışında (özellikle ABD'de) bulunması sebebiyle, söz konusu aktarımlar KVKK m.9 kapsamında yurt dışına aktarım teşkil etmektedir:

Anthropic (Claude LLM — ABD)

Mesaj içeriklerinin niyet sınıflandırması amacıyla yapay zekâ modelleri üzerinden işlenmesi. Yurt dışına aktarım.

Google Firebase / Google Cloud (ABD/AB)

Kimlik doğrulama, yetkilendirme, yapılandırma yönetimi ve sunucu barındırma (GCP sanal makineleri) hizmetlerinin sağlanması. Yurt dışına aktarım.

Vercel (ABD)

Yönetim panelinin (dashboard) barındırılması ve sunulması. Yurt dışına aktarım.

Meta / WhatsApp Business API (ABD)

WhatsApp mesaj iletim altyapısının sağlanması. Yurt dışına aktarım.

Polar (Faturalandırma)

Abonelik, faturalandırma ve ödeme süreçlerinin yönetilmesi. Yurt dışına aktarım içerebilir.

Yurt dışına aktarımın hukuki dayanağı (10.07.2024 tarihinde yürürlüğe giren KVKK m.9 değişikliği sonrası yeni rejim): Süreklilik arz eden SaaS hizmetlerinin doğası gereği, bu aktarımlarda açık rıza tek başına birincil dayanak olarak konumlandırılmamaktadır. Aktarımlar, KVKK m.9 uyarınca kademeli olarak şu hukuki güvencelere dayandırılmaktadır: (i) Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından ilan edilmiş bir yeterlilik kararının bulunması; (ii) yeterlilik kararının bulunmaması hâlinde, taraflar arasında Kurul tarafından ilan edilen Standart Sözleşme'nin akdedilmesi ve imzalanmasını takip eden 5 iş günü içinde Kurul'a bildirilmesi; (iii) bu güvencelerin sağlanamadığı durumlarda ise m.9'da öngörülen arızi (tek seferlik/geçici) aktarım istisnalarının varlığı.

Akış 2 kapsamında bu alıcılara yapılan aktarımlar, veri sorumlusu olan firmanın talimatı doğrultusunda ve onun adına gerçekleştirilir. Botçu, söz konusu hizmet sağlayıcıları aynı veri güvenliği standartlarını taahhüt edecek şekilde alt veri işleyen olarak konumlandırır ve firmanın onayına sunar.

• Firma yetkilisinin yönetim paneli (botcu.lumiostudio.co) üzerinden hesap oluşturması, e-posta doğrulama bağlantısı ile giriş yapması ve entegrasyon formlarını doldurması suretiyle doğrudan (Akış 1).
• Entegre edilen e-ticaret mağazasından (Shopify/PlatinMarket) API kanalıyla ürün ve stok verilerinin otomatik olarak senkronize edilmesiyle (Akış 2).
• Meta WhatsApp Business API üzerinden iletilen son müşteri mesajlarının webhook (veri aktarım mekanizması) aracılığıyla otomatik olarak alınmasıyla (Akış 2).
• Platformun kullanımı sırasında otomatik yöntemlerle kaydedilen oturum, log (sistem günlüğü) ve çerez (cookie) verileri vasıtasıyla.

• Müşteri ve firma hesap/abonelik verileri: Hizmet ilişkisi devam ettiği sürece ve sözleşmenin sona ermesini takiben ilgili mevzuatta öngörülen zamanaşımı süreleri boyunca saklanır.
• Fatura ve finansal kayıtlar: Türk Ticaret Kanunu ve Vergi Usul Kanunu uyarınca asgari 10 yıl süreyle saklanır.
• Son müşteri sohbet/mesaj verileri ve stok hareket geçmişi: Veri sorumlusu firmanın yazılı talimatları ve saklama politikaları doğrultusunda saklanır; hizmet ilişkisi sona erdiğinde firmanın talebi üzerine silinir, yok edilir veya iade edilir.
• Log ve işlem güvenliği kayıtları: Bilgi güvenliği gereksinimleri ve ilgili mevzuat uyarınca belirlenen yasal süreler boyunca muhafaza edilir.

Kişisel verilerin işlenmesini gerektiren amaçların ortadan kalkması ve yasal saklama sürelerinin dolması hâlinde, veriler KVKK m.7 ve ilgili yönetmelikler uyarınca silinir, yok edilir veya anonim hâle getirilir.

KVKK'nin 11. maddesi uyarınca, kişisel veri sahibi (ilgili kişi) olarak Botçu'ya başvurarak aşağıdaki haklarınızı kullanabilirsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• KVKK m.7'de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• Düzeltme, silme veya yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Akış 2 (son müşteri verileri) kapsamındaki taleplerin doğrudan veri sorumlusu olan ilgili firmaya yöneltilmesi gerekmektedir. Botçu, veri işleyen sıfatıyla kendisine ulaşan bu tür talepleri gecikmeksizin ilgili firmaya iletecek ve firmanın talebi sonuçlandırmasına teknik olarak destek sağlayacaktır.

Yukarıda belirtilen haklarınızı kullanmaya yönelik taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'e uygun olarak, kimliğinizi tevsik edici belgelerle birlikte aşağıdaki kanallar aracılığıyla tarafımıza iletebilirsiniz:

E-posta

contact@lumiostudio.co

KEP Adresi

«[KEP adresi]» (PLACEHOLDER — doldurulacak)

Posta

«[Şirket adresi]» (PLACEHOLDER — doldurulacak)

Başvurularınız, talebinizin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret talep edilebilir. Başvurunuzun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hâllerinde, Kurul'a şikâyette bulunma hakkınız saklıdır.