GDPR / KVKK

AloTech için Veri Koruma Beyanı

Politika Hakkında

Bu Gizlilik Bildirimi, AloTech’in kişisel verileri (a) Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve (b) Türkiye Kişisel Verilerin Korunması Kanunu No. 6698 (KVKK) uyarınca nasıl topladığını ve işlediğini açıklar. Web sitelerimiz, ürün ve hizmetlerimiz, destek ve pazarlama etkileşimlerimiz için geçerlidir. GDPR ve KVKK hükümleri farklılaştığında, ilgili farkları aynı madde içinde belirtiriz.

Veri Sorumlusu ve İletişim / Temsilci Bilgileri

Veri Sorumlusu (GDPR & KVKK):

AloTech Teknoloji A.Ş. (Merkez – Türkiye)
NidaKule Plaza, Kozyatağı Mah., Değirmen Sok., No:18, Kat:13, D:22, 34720 Kadıköy/İstanbul, Türkiye
Web: https://alotech.com.tr/
E-posta (gizlilik/KVKK): kvkk@alo-tech.com
Genel Müdür: Sn. Cenk Soyak

AloTech (Teknopark Ofisi – Türkiye Şube)
YTÜ Davutpaşa Kampüsü Teknoloji Geliştirme Bölgesi, Ar-Ge 1 Binası, B Blok Zemin Kat No: 2, Esenler, 34220 İstanbul, Türkiye
Web sitesi: https://alotech.com.tr/
E-posta: kvkk@alo-tech.com

AB Temsilcisi (GDPR m.27):

Call Center Studio SRL
Bucureşti Sectorul 4, Piala Natiunile Unite, Nr. 3-5, Bloc B2, Scara 1, Etaj 5, Ap. 28 Bükreş, Romanya
(Ticaret Sicili: J40/15090/2021)

Veri Koruma Görevlisi (DPO) (GDPR) / KVKK İrtibat:

Path Düsseldorf GmbH — Sertifikalı DPO: K. Hakan Hasşerbetçi
Lise-Meitner Strasse 6, 40878 Ratingen, Almanya
E-posta: h.hasserbetci@pathdusseldorf.de; hakan@pathdusseldorf.com

GDPR & KVKK Kapsamı

Bu Gizlilik Bildirimi, AloTech’in kişisel verileri (i) AB/AEA GDPR ve (ii) Türkiye KVKK hükümlerine uygun olarak nasıl topladığını, işlediğini, paylaştığını ve koruduğunu açıklar. Bildirim; web siteleri, ürün ve hizmetler, destek ve pazarlama etkileşimleri için geçerlidir. GDPR ile KVKK farklılaştığında (örn. yurt dışına aktarım, hakların kapsamı, özel nitelikli veriler, bildirim süreleri), ilgili farkı aynı madde içinde belirtiriz. Bu metin eğitsel bir mevzuat özeti değil, uygulanabilirlik ve yükümlülükleri açıklayan bir gizlilik bildirimidir.

GDPR (2016/679):

25 Mayıs 2018’den beri yürürlükte; AB/AEA içinde doğrudan uygulanır ve AB/AEA dışındaki aktörlere de geniş yetki alanı ile uygulanabilir. 72 saat ihlal bildirimi, veri konusu hakları ve hesap verebilirlik yükümlülükleri içerir.

KVKK (No. 6698):

Özel nitelikli veriler (m.6), amaç ortadan kalkınca silme/yok etme/anonimleştirme (m.7), yurt dışına aktarım (m.9) gibi başlıklarda ayrıntı getirir; Kurul rehber ve kararları uygulamayı yönlendirir; ihlaller için 72 saat esas alınır.

Ortak İlkeler:

  • Hukuka uygunluk, şeffaflık, veri minimizasyonu, saklama sınırı, güvenlik
  • Erişim/düzeltme/silme gibi haklar
  • Özel nitelikli verilerde sıkı şartlar

Farklılaşan Noktalar:

  • Uluslararası aktarım mekanizmaları
  • Hak terminolojisi/kapsamı
  • Başvuru-yanıt süreleri
  • Özel nitelikli veri şartları

Amac ve Kapsam

Kişisel verileri; bulut çağrı merkezi (SaaS) platformumuzu sunmak ve geliştirmek, entegrasyonlar, destek, faturalama, güvenlik ve uyum süreçleri, müşteri ve potansiyel müşteri iletişimleri için işleriz.

Veri Sorumlusu olarak: web sitesi, hesap yönetimi, faturalama, pazarlama, destek vb. kendi faaliyetlerimiz.

Veri İşleyen (GDPR)/Veri İşleyeni (KVKK) olarak: kurumsal müşterilerimizin Veri Sorumlusu olduğu içerikleri yalnızca belgelendirilmiş talimatlarla ve veri işleme sözleşmesi kapsamında işleriz.

Çocuklar

Hizmetlerimiz çocuklara yönelik değildir. Ebeveyn/veli rızasının arandığı hallerde, bu rıza olmadan veri işlemeyiz.

Yapay Zekâ / Analitik Özellikler

Bazı özellikler transkripsiyon, kalite puanlama, yönlendirme optimizasyonu ve duygu/niyet analizi gibi analitik veya yapay zekâ bileşenleri kullanabilir. Bu kapsamda:

  • Varsayılan olarak veri minimizasyonu uygulanır; özellikler konfigürasyonla etkinleştirilir
  • Özel nitelikli veriler yalnızca geçerli hukuki dayanak (örn. açık rıza) mevcutsa işlenir
  • Mümkün olduğunda psödonomizasyon/anonimizasyon tercih edilir; saklama süreleri kısıtlıdır
  • Üçüncü taraf model/sağlayıcılar alt işleyen olarak sözleşmesel korumaya tabidir; kişisel veriler izinsiz şekilde genel amaçlı model eğitiminde kullanılmaz
  • Uygun hallerde insan denetimi sağlanır; ilgili kişinin bilgilendirilmesi ve itiraz/opt-out seçenekleri sunulur

Tanımlar (GDPR & KVKK)

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (GDPR m.4/1; KVKK m.3).

Özel Nitelikli / Hassas Veri: Irk/etnik köken, siyasi düşünce, din/felsefi inanç, sendika üyeliği, genetik ve biyometrik veriler (kimlik tespiti amacıyla), sağlık verileri, cinsel hayat/cinsel yönelim (GDPR m.9; KVKK m.6).

İşleme: Kişisel veriler üzerinde gerçekleştirilen her türlü işlem (toplama, saklama, kullanma, aktarma, silme vb.) (GDPR m.4/2; KVKK m.3).

Çocuklar: Hizmetlerimiz çocuklara yönelik değildir; mevzuatın aradığı hallerde ebeveyn/veli rızası alınır.

İlgili Kişi (Veri Sahibi) & Genel Haklar

Bu politika, yalnızca yaşayan gerçek kişilere ilişkin kişisel verilerin işlenmesini kapsar. Kişisel verinin belirlenebilirliği, işleme sırasında mevcut teknoloji ve gelişmeler dikkate alınarak değerlendirilir (GDPR Gerekçe 26). İlgili kişiler; bilgilendirme ve erişim, düzeltme, silme/unutulma, işlemenin kısıtlanması, itiraz (özellikle doğrudan pazarlamaya), veri taşınabilirliği (GDPR), ve yalnızca otomatik kararların konusu olmama (profil oluşturma dâhil, GDPR) gibi haklara sahiptir. KVKK kapsamında ayrıca zararın giderilmesini/tazminatı talep etme hakkı bulunmaktadır. Rızaya dayalı işleme varsa, rıza her zaman geri çekilebilir. Talepler için kvkk@alo-tech.com adresine ya da DPO/KVKK irtibatına başvurabilirsiniz; şikâyet için ilgili AB/AEA denetim otoritenize (GDPR) veya KVKK Kurumu’na başvurabilirsiniz.

Haklarınızın Kapsamı

Aşağıdaki haklar, yasal şart ve istisnalara tabidir:

  • Bilgilendirme ve Erişim: Verilerinize ve işleme hakkında bilgi alma (GDPR md.13–15; KVKK md.11(a–c)).
  • Düzeltme: Yanlış/eksik verilerin düzeltilmesi (GDPR md.16; KVKK md.11(d)).
  • Silme / Unutulma: Koşulları oluştuğunda verilerin silinmesi (GDPR md.17; KVKK md.7 ve 11(e)).
  • İşlemenin Kısıtlanması: (GDPR md.18).
  • İtiraz: Meşru menfaate dayalı işleme ve doğrudan pazarlamaya itiraz (GDPR md.21; KVKK md.11(f)).
  • Veri Taşınabilirliği: Teknik olarak mümkün olduğunda (GDPR md.20).
  • Yalnızca otomatik kararların konusu olmama: Profil oluşturma dâhil, hukukî veya benzer şekilde önemli etki doğuran kararlar (GDPR md.22).
  • Tazminat talebi: Hukuka aykırı işleme nedeniyle (KVKK md.11(ğ)).

Nasıl Kullanılır?

Taleplerinizi kvkk@alo-tech.com adresine veya DPO’ya iletebilirsiniz. Kimliğinizi doğrulamak için ek bilgi isteyebiliriz.

Yanıt süreleri: GDPR kapsamında kural olarak 1 ay, KVKK kapsamında kural olarak 30 gün.

Ayrıca, şikâyet için kendi AB/AEA denetim otoritenize veya KVKK Kurumu’na başvurabilirsiniz.

Otomatik Karar Verme ve Profil Oluşturma

AloTech, hukukî veya benzer şekilde önemli etkiler doğuran yalnızca otomatik karar verme süreçlerini kural olarak uygulamaz. Böyle bir sürecin söz konusu olduğu istisnai haller yalnızca:

  • Kanunen zorunlu olması
  • Bir sözleşmenin kurulması veya ifası için gerekli olması
  • Açık rızanızın bulunması durumlarıyla sınırlıdır

Bu hallerde anlamlı insan incelemesi sağlanır ve bilgilendirilirsiniz. İlgili kişi olarak insan müdahalesi talep etme, görüşünüzü sunma ve karara itiraz etme haklarınız vardır (GDPR md.22; KVKK hakları saklıdır). Doğrudan pazarlama amaçlı profil oluşturmaya her zaman itiraz edebilirsiniz.

Veri Koruma İlkeleri (GDPR & KVKK)

AloTech olarak tüm kişisel verileri:

  • Hukuka uygun, adil ve şeffaf işleriz
  • Belirli, açık ve meşru amaçlarla toplarız
  • Veri minimizasyonu ilkesine uygun biçimde gerektiği kadar işleriz
  • Doğru ve güncel tutarız (yanlış veriler gecikmeksizin düzeltilir/silinir)
  • Gerekli olandan uzun süre saklamayız (saklama takvimleri uygulanır)
  • Uygun teknik ve idari güvenlik önlemleri ile koruruz
  • Uluslararası aktarımlarda GDPR SCCs/yeterlilik ve KVKK m.9 gereklerini uygularız

Bireylerin bilgilendirilme, erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz ve otomatik kararların sınırlandırılması haklarına saygı gösteririz.

Veri İşleme Amaçları ve Hukuki Dayanaklar

Aşağıdaki amaçlar çerçevesinde kişisel verileri işleriz. Her amaç için ilgili veri kategorileri, hukuki dayanaklar (GDPR & KVKK) ve temel notlar belirtilmiştir.

A) Platformun Sağlanması ve İşletilmesi (SaaS)

Kapsam/Örnekler: Hesap açma ve yönetimi, kullanıcı kimlik doğrulama, oturum yönetimi, rol/izinler, hizmetin sunulması ve bakım.

Veri Kategorileri: Kimlik ve iletişim (ad, e-posta, şirket, unvan), hesap bilgileri (kullanıcı adı, rol), kullanım meta verileri.

Hukuki Dayanaklar:

  • GDPR: m.6/1(b) (sözleşme/öncesi adımlar), m.6/1(f) (hizmet sürekliliği ve kalite için meşru menfaat).
  • KVKK: m.5/2(c) (sözleşmenin kurulması/ifası), m.5/2(f) (meşru menfaat; temel haklara zarar vermeme).

Not: Veri minimizasyonu ve amaç sınırlaması uygulanır.

B) Güvenlik, Sahtekârlık Önleme ve Loglama

Kapsam/Örnekler: Sistem günlükleri, erişim kayıtları, saldırı tespiti/önleme, anomali ve kötüye kullanım izleme.

Veri Kategorileri: IP, kullanıcı aracısı, cihaz/OS bilgisi, zaman damgaları, olay günlükleri.

Hukuki Dayanaklar:

  • GDPR: m.6/1(f) (meşru menfaat: güvenlik), gerektiğinde m.6/1(c) (hukuki yükümlülük).
  • KVKK: m.5/2(f) (meşru menfaat), m.5/2(ç) (hukuki yükümlülük).

Not: Güvenlik logları genellikle 7 güne kadar saklanır; aktif soruşturmalarda makul ölçüde uzatılabilir.

C) Müşteri Desteği ve İletişim

Kapsam/Örnekler: Destek biletleri, çağrı/sohbet kayıtları, geri dönüşler; formlar ve e-postalara yanıt.

Veri Kategorileri: Kimlik/iletişim, iletişim içeriği, vaka/bilet metaverileri.

Hukuki Dayanaklar:

  • GDPR: m.6/1(b) (sözleşme/öncesi adımlar) ve/veya m.6/1(f) (meşru menfaat: müşteri memnuniyeti).
  • KVKK: m.5/2(c) ve/veya m.5/2(f).

Not: Kötüye kullanımın önlenmesi amacıyla form gönderimiyle ilişkili güvenlik metaverileri kısa süreli tutulur.

D) Faturalama, Finans ve Yasal Uyum

Kapsam/Örnekler: Fatura kesimi, tahsilat, muhasebe ve vergi yükümlülükleri; yaptırım/ambargo ve KYC benzeri kontroller (uygulanırsa).

Veri Kategorileri: Kimlik/iletişim, sözleşme ve fatura verileri, ödeme bilgileri (ödeme sağlayıcı aracılığıyla), kayıtlar.

Hukuki Dayanaklar:

  • GDPR: m.6/1(b) (sözleşme), m.6/1(c) (hukuki yükümlülük).
  • KVKK: m.5/2(c) (sözleşme), m.5/2(ç) (hukuki yükümlülük).

Not: Mali kayıtlar ilgili mevzuat uyarınca yasal sürelerle saklanır.

E) Ürün Geliştirme ve Hizmet Analitiği

Kapsam/Örnekler: Hata ayıklama, performans ölçümü, özelliğin iyileştirilmesi, kullanıcı deneyimi analizi.

Veri Kategorileri: Teknik kullanım meta verileri, anonimleştirilmiş/psödonomize edilmiş ölçümler.

Hukuki Dayanaklar:

  • GDPR: m.6/1(f) (meşru menfaat: hizmet kalitesinin artırılması); çerez/SDK gibi zorunlu olmayan teknolojiler için gerektiğinde m.6/1(a) (açık rıza).
  • KVKK: m.5/2(f) (meşru menfaat) ve açık rıza (zorunlu olmayan çerez/SDK).

Not: Zorunlu olmayan çerezler için önceden rıza alınır (bkz. Çerez Politikası).

F) Pazarlama, İletişim Tercihleri ve Etkinlik Yönetimi

Kapsam/Örnekler: Bültenler, ürün güncellemeleri, etkinlik davetleri, kampanya takibi.

Veri Kategorileri: Kimlik/iletişim, tercih ve abonelik bilgileri, kampanya etkileşimleri.

Hukuki Dayanaklar:

  • GDPR: m.6/1(a) (açık rıza) veya uygun B2B bağlamda m.6/1(f) (meşru menfaat; her ileti içinde kolay opt-out).
  • KVKK: Çoğunlukla açık rıza; ayrılma hakkı her zaman geçerlidir.

Not: Tercihler abonelikten çık bağlantılarıyla veya kvkk@alo-tech.com üzerinden yönetilir.

G) İşe Alım/İK Süreçleri

Kapsam/Örnekler: Başvuru ve CV toplama, mülakat planlama, referans kontrolleri (uygulanırsa).

Veri Kategorileri: Kimlik/iletişim, özgeçmiş, değerlendirme notları; özel nitelikli veri nadiren ve gerekli ise.

Hukuki Dayanaklar:

  • GDPR: m.6/1(b) (öncesi adımlar), m.6/1(f) (meşru menfaat: uygun aday tespiti), m.6/1(c) (iş hukuku yükümlülükleri).
  • KVKK: m.5/2(c), m.5/2(f) ve gerekiyorsa m.5/2(ç).

Özel Nitelikli Veriler: Sadece açık rıza veya açıkça öngörülen istisnalar kapsamında (bkz. Bölüm “Özel Nitelikli Veriler”).

H) Hukuki Talepler, Uyuşmazlık ve Hakların Tesisi

Kapsam/Örnekler: Alacak/itiraz süreçleri, dava/uyuşmazlık yönetimi, denetimler.

Veri Kategorileri: İşlemle ilişkili tüm gerekli kayıtlar; gerektiğinde özel nitelikli veriler.

Hukuki Dayanaklar:

  • GDPR: m.6/1(f) (meşru menfaat), m.9/2(f) (hukukî hakların tesisi, kullanılması veya korunması).
  • KVKK: m.5/2(e) (bir hakkın tesisi, kullanılması veya korunması için zorunlu olması).

I) Uyum, Denetim ve Risk Yönetimi

Kapsam/Örnekler: İç/dış denetimler, risk değerlendirmeleri, DPIA, politika-prosedür yönetimi.

Veri Kategorileri: Süreç kayıtları, seçili örnek veri setleri (gerektiği kadar).

Hukuki Dayanaklar:

  • GDPR: m.6/1(c) (hukuki yükümlülük, ör. hesap verebilirlik), m.6/1(f) (meşru menfaat).
  • KVKK: m.5/2(ç) (hukuki yükümlülük), m.5/2(f) (meşru menfaat).

J) Müşteri Adına İşleme

Kapsam/Örnekler: Çağrı kayıtları, meta verileri, kayıt/transkripsiyon, kalite puanları; müşterinin etkinleştirmesi halinde biyometrik ses izi veya AI analitiği.

Rol ve Sözleşme: AloTech bu durumda Veri İşleyen/Veri işleyeni’dir; amaç ve vasıtaları Veri Sorumlusu (müşteri) belirler; işleme yalnızca belgelendirilmiş talimatlar ve veri işleme sözleşmesi (GDPR m.28) kapsamında yapılır.

Hukuki Dayanaklar:

  • GDPR & KVKK: Hukuki dayanak müşterinin sorumluluğundadır (AloTech talimata bağlıdır). AloTech, güvenlik, gizlilik, alt işleyen ve işleme kayıtlarına dair sözleşmesel ve yasal yükümlülükleri yerine getirir.

K) Veri İşleyen (AloTech’in Rolü)

AloTech bazı durumlarda Veri İşleyen (GDPR) / Veri İşleyeni (KVKK) olarak hareket eder. Bu hallerde Veri Sorumlusu (kurumsal müşterimiz) işleme amaç ve vasıtalarını belirler; AloTech, yalnızca belgelendirilmiş talimatlardâhilinde ve veri işleme sözleşmesi kapsamında işlem yapar (GDPR m.28; KVKK yükümlülükleri).

İşlenen veri türleri: Çağrı kayıtları, çağrı meta verileri, transkripsiyonlar, kalite puanları ve müşterinin etkinleştirmesi hâlinde biyometrik ses izi veya yapay zekâ analitiği çıktıları olabilir.

AloTech, veri minimizasyonu, erişim kontrolü, saklama sınırı ve amaç sınırlaması ilkelerine uyar; müşteri talimatı ve sözleşme istisna getirmedikçe kendi amaçları için işleme yapmaz.

L) Veri İşleyenin Taahhütleri

AloTech, Veri İşleyen/Veri İşleyeni olarak:

  • Talimatla İşleme: Yalnızca Veri Sorumlusu’nun yazılı talimatları çerçevesinde veri işler. Talimat dışı işleme yapılmaz.
  • Gizlilik ve Personel: İşlem yapan personel gizlilik yükümlülüğü altındadır; yetkisiz erişim engellenir, düzenli eğitim sağlanır.
  • Güvenlik Önlemleri (TOMs): Uygun teknik ve idari önlemler (şifreleme, erişim kontrolü/MFA, günlükleme/izleme, ağ güvenliği, DLP, yedekleme vb.) uygulanır ve muhafaza edilir.
  • Alt İşleyenler: Alt işleyenler yazılı sözleşme ile görevlendirilir; eşdeğer veri koruma yükümlülükleri akış aşağısına (flow-down) taşınır. Değişiklikler için müşteri sözleşmesindeki bildirim/itiraz mekanizması uygulanır.
  • İlgili Kişi Talepleri: Erişim, düzeltme, silme, kısıtlama, itiraz, taşınabilirlik gibi taleplerde Veri Sorumlusu’na makul destek sağlar; talepleri tek başına yanıtlamaz.
  • İhlal Bildirimi: Kişisel veri ihlali fark edilirse Veri Sorumlusu derhâl bilgilendirilir (GDPR m.33(2)). Bildirim için gerekli olay kayıtları ve teknik bilgiler paylaşılır; KVKK kapsamındaki bildirimler için de destek verilir.
  • DPIA ve Denetimler: DPIA (Etki Değerlendirmesi), denetim ve ön danışma süreçlerinde gerekli bilgileri sağlar; makul denetim taleplerine sözleşmeye uygun şekilde imkân tanır.
  • Veri İadesi/Silme: Hizmet sonlandığında; mevzuatın zorunlu tuttuğu saklama dışında, Veri Sorumlusu talimatına göre veriler iade edilir veya silinip yok edilir; işlemlere ilişkin kanıt (silme logu vb.) sağlanır.
  • Uluslararası Aktarımlar: Yurt dışına aktarım gerekiyorsa; GDPR için SCCs/yeterlilik ve tamamlayıcı önlemler; KVKK için m.9 kapsamındaki açık rıza veya Kurulca izinli mekanizmalar uygulanır.
  • Kayıt Tutma ve Kanıt: İşleme faaliyetleri kayıtları (ROPA), alt işleyen listesi ve güvenlik dokümantasyonu güncel tutulur; uyumu gösterecek bilgi sağlanır.
  • Kendi Amaçları İçin İşlememe: AloTech, talimat ve sözleşme dışında kendi müstakil amaçları için ilgili kişisel verileri işlemez; profil çıkarma veya pazarlama yapmaz.
  • Veri Transferi Kısıtları: Veri Sorumlusu’nun ön onayı olmaksızın alıcı kapsamı değiştirilmez; aktarımın amacı ve kapsamı amaç sınırlaması ilkesine tabidir.

M) Özel Nitelikli (Hassas) Veriler

Kapsam/Örnekler: Biyometrik ses izi, sağlık verisi içerebilen çağrı içerikleri, sendika/din/siyasi görüşe dolaylı atıflar (işlemeye girmemesi için minimizasyon uygulanır).

GDPR: m.9/2 çerçevesindeki istisnalarla (özellikle açık rıza (m.9/2(a)), hukukî talepler (m.9/2(f)), hayati çıkar (m.9/2(c)), alenileştirme (m.9/2(e)) vb.).

KVKK: m.6; sağlık ve cinsel hayat verileri kural olarak açık rıza ile, kamu sağlığı istisnaları yalnızca yetkili kişi/kurumlarca; diğer özel nitelikli veriler kanunda öngörülen hallerde veya açık rıza ile işlenebilir.

Güvenlik: Rol-bazlı erişim, ek şifreleme, kısıtlı saklama, ayrıntılı erişim kayıtları, gerektiğinde DPIA; varsayılan olarak devre dışı ve özellik bazlı etkinleştirme (müşteri kontrolü).

N) Alıcılar ve Alıcı Kategorileri

Kategoriler: Altyapı ve barındırma sağlayıcıları, telekom operatörleri/taşıyıcıları, çağrı iletim sağlayıcıları, e-posta/SMS tedarikçileri, kimlik/erişim yönetimi araçları, CRM ve faturalama sağlayıcıları, müşteri destek araçları, güvenlik/fraud ve loglama hizmetleri, hukuk ve denetim danışmanları, muhasebe/finans danışmanları, alt işleyenler.

Sözleşmeler: Tüm tedarikçilerle gizlilik, veri işleme ve aktarım hükümleri; GDPR m.28 gereklilikleri ve KVKK yükümlülükleri akış aşağısına (flow-down) taşınır.

Aktarımlar: Yurt dışına aktarım varsa ilgili bölümdeki güvenceler (GDPR SCCs/yeterlilik, KVKK m.9).

O) Saklama Süreleri

Kural: Amaç gerçekleştiğinde ve yasal yükümlülükler sona erdiğinde veriler silinir, yok edilir veya anonimleştirilir (GDPR saklama sınırı, KVKK m.7).

Örnekler: Güvenlik logları tipik olarak 7 güne kadar; sözleşme/finans kayıtları yasal süreler; destek biletleri operasyonel gereklilik süresince.

Dondurma (Legal Hold): Hukukî talep/denetim halinde ilgili veriler, süreç sonuçlanana kadar dondurulabilir.

P) Meşru Menfaat Dengesi ve Haklar

Denge Testi: Meşru menfaate dayanan işlemler için dengeli değerlendirme (LIA) yapılır; birey üzerindeki etki en aza indirilir (minimizasyon, şeffaflık, kolay itiraz/opt-out).

Haklar: İlgili kişi, meşru menfaate dayalı işlemeye itiraz edebilir; başarı halinde ve başka bir hukuki dayanak yoksa işleme durdurulur (bkz. “İtiraz ve Rızanın Geri Çekilmesi”).

İşleme Faaliyetleri Kayıtları

GDPR m.30 ve KVKK gereğince; amaçlar, veri kategorileri, alıcılar, aktarımlar, saklama süreleri ve güvenlik önlemlerini içeren işleme kayıtlarını tutar, düzenli olarak güncelleriz.

Erişim ve Doğruluk

İlgili kişilerin erişim taleplerine GDPR uyarınca kural olarak 1 ay, KVKK uyarınca kural olarak 30 gün içinde yanıt veririz. Verileriniz hatalı/eksik ise gecikmeksizin düzeltiriz.

Güvenlik Önlemleri

Uygun teknik ve idari önlemler uygularız: aktarım/atıl şifreleme, MFA ve rol-tabanlı erişim, günlükleme/izleme, güvenli geliştirme, zafiyet yönetimi, çalışan gizlilik taahhütleri/eğitimleri ve DLP kontrolleri. IP ve güvenlik günlüklerini güvenlik amaçlarıyla genellikle 7 güne kadar saklarız (soruşturma gerekiyorsa daha uzun).

Veri Koruma Etki Değerlendirmeleri (DPIA)

Yüksek risk doğurma ihtimali bulunan işlemler (ör. kapsamlı kayıt/izleme, biyometrik işlemler, sistematik profilleme) için DPIA gerçekleştirilir. DPIA; işlemenin gereklilik/orantılılık analizini, risklerin belirlenmesini ve azaltıcı önlemleri içerir. Gerektiğinde ön danışma süreçleri yürütülebilir (GDPR m.36). DPIA’lar düzenli aralıklarla ve önemli değişikliklerde güncellenir.

Saklama ve Silme (GDPR & KVKK)

Verileri, amaç ve hukuki yükümlülükler için gerektiği kadar tutar; ardından silme/yok etme/anonimleştirme uygularız (GDPR saklama sınırı, KVKK m.7). IP/güvenlik günlükleri tipik olarak 7 gün tutulur.

Uluslararası Aktarımlar

Küresel altyapımız nedeniyle kişisel veriler AB/AEA veya Türkiye dışına aktarılabilir. GDPR: Yeterlilik kararları, SCCs ve gerekli tamamlayıcı önlemler uygulanır. KVKK: m.9 kapsamında açık rıza veya Kurulca izinli yöntemlerle aktarım yapılır. Aktarım alıcıları ve mekanizmaları talep üzerine paylaşılır.

İhlal Bildirimleri

GDPR: Yetkili AB/AEA denetim otoritesine 72 saat içinde bildirim; yüksek risk varsa ilgili kişilere gecikmeksizin bilgilendirme.

KVKK: KVKK Kurumu’na 72 saat içinde bildirim; gerekli hallerde ilgili kişilere duyuru.

Web Günlükleri (Loglar)

Siteyi sunmak, performans ve güvenliği sağlamak için teknik veriler (IP, kullanıcı aracısı, cihaz/OS, sayfalar, zaman damgaları) işleriz.

Hukuki dayanak: GDPR m.6/1(f) ve KVKK m.5/2(f) (meşru menfaat, temel haklara zarar vermeden).

Saklama: Tipik olarak en fazla 7 gün, güvenlik soruşturmalarında daha uzun tutulabilir.

Google Fonts/varlıklar: Mümkün olduğunca yerel barındırma kullanır, gereksiz üçüncü taraf çağrılarını sınırlarız.

Çerezler ve Benzer Teknolojiler

Oturum, tercih, analitik ve güvenlik amaçlarıyla çerez/SDK kullanırız. Zorunlu olmayan çerezler için gerekiyorsa önceden rıza alırız. Tarayıcı ayarlarından yönetebilirsiniz; devre dışı bırakma bazı işlevleri etkileyebilir. Ayrıntılar için Çerez Politikası’na bakınız.

Pazarlama Tercih Merkezi

Pazarlama iletişimleri için verdiğiniz izinleri ve tercihleri dilediğiniz zaman yönetebilirsiniz. Her ticari ileti içinde abonelikten çık bağlantısı bulunur; ayrıca kvkk@alo-tech.com üzerinden de talep iletebilirsiniz.

GDPR: Gerekli hallerde açık rıza; uygun B2B bağlamda meşru menfaat ve kolay opt-out.

KVKK: Çoğunlukla açık rıza; ayrılma hakkı her zaman geçerlidir.

AloTech, üçüncü taraflara kendi pazarlama amaçları için kişisel verileri izniniz olmadan devretmez.

Hangi Kişisel Bilgileri Topluyoruz? (+ Form/E-posta)

Topladığımız Kişisel Veri Kategorileri

  • Kimlik/İletişim: Ad-soyad, unvan, şirket, e-posta, telefon, ülke.
  • Hesap/Sözleşme: Giriş bilgileri, rol, abonelik ve faturalama, kullanım meta verileri.
  • İletişimler: Destek kayıtları, çağrı/sohbet yazışmaları.
  • Teknik: IP, cihaz/tarayıcı, günlükler.
  • Pazarlama Tercihleri: İzinler ve abonelik durumları.
  • (Veri İşleyen olarak) Platform verisi: Çağrı kaydı, metaverisi, kayıtlar/transkripsiyonlar, gerekiyorsa biyometrik ses izi/AI analitiği.

İletişim Formları ve E-posta

Taleplerinizi yanıtlamak ve kayıt tutmak için form ve e-posta verilerini işleriz.

GDPR: m.6/1(b) (sözleşme öncesi adımlar) ve/veya m.6/1(f) (meşru menfaat).

KVKK: m.5/2(c) ve/veya m.5/2(f).

Not: Formla ilişkili güvenlik metaverileri (User-Agent, zaman damgası) kötüye kullanımı önlemek için genellikle 7 güne kadar tutulur.

İtiraz ve Rızanın Geri Çekilmesi

Rızaya dayalı işlemede rıza her zaman geri çekilebilir (önceki işleme etkilenmez). Meşru menfaate dayalı işleme için itiraz hakkı vardır; başka bir hukuki dayanak yoksa işlemeyi durdurur ve uygun hallerde silme yaparız.

Değişiklikler

Hukuki/teknik/iş gerekleri gerektirdiğinde bu Bildirimi güncelleyebiliriz. Güncellendiğinde Yürürlük Tarihi’ni değiştirir ve uygun olduğunda ek bildirim yaparız.

İletişim ve Şikâyet

E-posta: kvkk@alo-tech.com

DPO (GDPR) / KVKK İrtibat: Path Düsseldorf GmbH (Dikkatine: K. Hakan Hasserbetci)

Ayrıca kendi AB/AEA denetim otoritenize veya KVKK Kurumu’na başvurma hakkınız vardır.

Yürürlük Tarihi

30 Eylül 2025

AloTech hakkındaki gelişmelerden haberdar olmak için e-posta adresinizi bırakın!

Kaydınız yapıldı. İlginiz için teşekkür ederiz. Kapat

Sizlere daha iyi bir deneyim sunmak için web sitemizde çerezler kullanıyoruz. Çerez Politikası Kapat