KVKK

Kişisel Verilerin Korunmasına İlişkin Aydınlatma Metni

Yürürlük Tarihi
[YÜRÜRLÜK TARİHİ]
Versiyon
1.0
Son Güncelleme
[GÜNCELLEME TARİHİ]

İstanbul Ticaret Sicil Müdürlüğü'nde [TİCARET SİCİL NO] sicil numarası ile kayıtlı [OVOCRM ŞİRKET ÜNVANI] olarak; 6698 sayılı KVKK kapsamında Veri Sorumlusu sıfatıyla işlediğimiz kişisel verilerinize ilişkin sizi bilgilendirmek isteriz.

1. İşlenen Kişisel Veri Kategorileri

Bu Aydınlatma Metni’nde belirtilen kişisel veri işleme amaçlarımızı gerçekleştirebilmek amacıyla, aşağıdaki kişisel veri kategorilerini işleyebilmekteyiz:

Kategoriİçerik
Kimlik BilgileriAd, soyad, şirket ünvanı, T.C. Kimlik No, kimlik belgesi fotokopisi (gerekli hallerde), VKN, vergi kimlik no, uyruk, doğum tarihi/yeri, cinsiyet, medeni durum, imza
İletişim BilgileriE-posta adresi, cep telefonu, sabit telefon, faks, işyeri/işletme adresi, il, ilçe, posta kodu, vergi dairesi, KEP adresi, kurumsal web sitesi
Müşteri İşlem BilgileriMüşteri/tenant numarası, kullanılan modüller, abonelik paketi, faaliyet alanı, mali mühür bilgisi, kontör/fatura adedi, kayıtlı firma/ürün/kullanıcı sayısı, talep/şikayet kayıtları, destek talep geçmişi
Finans BilgileriVergi levhası, ödeme/fatura bilgileri, borç/cari hesap, IBAN, banka hesap bilgileri, kredi kartı (PCI-DSS uyumlu tokenize), tahsilat geçmişi, kontör satın alma kayıtları
Mesleki DeneyimÇalışılan şirket, sektör, ünvan, pozisyon, departman, eğitim durumu, sertifikalar (referans/iş ortaklığı süreçlerinde)
Hukuki İşlemDava ve icra takip bilgileri, ticaret sicil ilanları, vekaletname, imza sirküleri, yönetim kurulu/genel kurul tutanakları, sözleşmeler
İşlem GüvenliğiIP adresi, sunucu/uygulama log kayıtları, oturum açma kayıtları, şifre hash’i, 2FA kayıtları, cihaz/tarayıcı bilgisi, kullanıcı eylem kayıtları, audit log, impersonation log
PazarlamaÇerez kayıtları, kampanya/anket katılım bilgileri, referans/davet kodu kayıtları, e-posta açma/tıklama kayıtları, demo talep kayıtları
Görsel/İşitsel KayıtlarProfil fotoğrafı, şirket logosu, ürün görselleri, destek görüşmeleri/ekran kayıtları (rızanız ile), uzaktan destek oturum kayıtları
KonumSaha Servis modülü kullanımı sırasında teknisyen/servis aracı GPS konumu; IP üzerinden tahmini şehir/ülke bilgisi
RiskKara liste/dolandırıcılık kayıtları, kötüye kullanım flag’leri, MASAK uyumluluk kontrol verileri

2. Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepler

Kişisel verilerinizi, Kanun’un 4. maddesindeki genel ilkeler ışığında ve aşağıda belirtilen amaçlar kapsamında işlemekte ve gerekli alıcılara aktarmaktayız. Şirketimiz tarafından kişisel verilerinizin güvenliğinin sağlanması için KVKK m.12 uyarınca uygun teknik ve idari tedbirler alınmaktadır.

2.1 Hizmet Sunma Amaçlı İşleme

  • Üyelik/tenant kaydı, kullanıcı doğrulama, hesap aktivasyonu — Sözleşmenin kurulması veya ifası
  • OvoCRM hizmetlerinin sunulması, abonelik süreçlerinin yürütülmesi — Sözleşmenin ifası
  • Abonelik ücretlerinin tahsil edilmesi, otomatik yenileme — Sözleşmenin ifası; kanunlarda açıkça öngörülme
  • Kullanım limiti kontrolü, limit aşımı uyarıları — Sözleşmenin ifası; meşru menfaat
  • OvoCRM faturalarınızın e-Fatura/e-Arşiv olarak düzenlenip iletilmesi — Sözleşmenin ifası; kanunlarda açıkça öngörülme
  • Sizin Platform’a yüklediğiniz e-Fatura/e-Arşiv/e-İrsaliye/e-Müstahsil/e-SMM belgelerinin GİB’e iletilmesi — Sözleşmenin ifası; VUK kapsamında kanuni zorunluluk

2.2 Entegrasyon ve Operasyon

  • Pazaryeri entegrasyonları için API anahtarlarının AES-256-GCM şifreli saklanması — Sözleşmenin ifası
  • Banka entegrasyonu ile hesap hareketlerinin Platform’a aktarılması — Sözleşmenin ifası; açık rıza
  • Müşavir/mali müşavir portal erişimi — Sözleşmenin ifası
  • Hesabınızla bağlantılı saha servis ve üretim modüllerinin işletilmesi — Sözleşmenin ifası

2.3 Destek ve Geliştirme

  • Çağrı merkezi, e-posta destek, canlı sohbet, uzaktan destek (impersonation) — Sözleşmenin ifası; impersonation için açık rıza
  • Ürün geliştirme, hata izleme, performans monitör — Meşru menfaat
  • Eğitim videosu, webinar, kullanıcı kılavuzu sunumu — Sözleşmenin ifası

2.4 Pazarlama ve İletişim

  • Ticari elektronik ileti (e-posta, SMS, push, WhatsApp) gönderimi — Açık rıza; İYS izni
  • Davet/referans programı yürütülmesi — Meşru menfaat; pazarlama tarafı için açık rıza
  • Çerez/analitik üzerinden site içi davranış analizi — Zorunlu çerezler için meşru menfaat; analitik/pazarlama için açık rıza
  • Vaka çalışması/referans paylaşımı — Açık rıza

2.5 Hukuki Yükümlülükler ve Güvenlik

  • Yetkili makam taleplerinin karşılanması (mahkeme, GİB, MASAK, KVKK Kurulu, BTK) — Hukuki yükümlülük
  • Şirketin taraf olduğu dava/uyuşmazlık süreçleri — Bir hakkın tesisi, kullanılması veya korunması
  • Platform güvenliği, kötüye kullanım tespiti, 2FA, oturum yönetimi — Meşru menfaat; hukuki yükümlülük
  • MASAK kara liste sorgulaması — Hukuki yükümlülük
  • İç denetim, dış denetim, bilgi güvenliği denetimi — Hukuki yükümlülük; meşru menfaat

3. Müşterilerin Kendi Müşterileri Açısından (OvoCRM’in Veri İşleyen Sıfatı)

OvoCRM Kullanıcısı olarak Platform’a kendi müşterilerinizin, tedarikçilerinizin ve çalışanlarınızın kişisel verilerini kaydettiğinizde:

  • Siz, bu veriler için Veri Sorumlusu sıfatını haizsiniz.
  • OvoCRM, bu veriler için Veri İşleyen sıfatını haizdir.

Bu kapsamda; ilgili kişileri KVKK m.10 uyarınca aydınlatmak, gerekli hallerde açık rıza almak, VERBİS kaydını yapmak, ilgili kişi başvurularını yanıtlamak sizin yükümlülüğünüzdedir. OvoCRM, Veri İşleyen olarak, KVKK m.12 uyarınca uygun teknik ve idari güvenlik tedbirlerini alır ve veri ihlali durumunda sizi 72 saat içinde bilgilendirir.

4. Kişisel Verilerin Aktarıldığı Taraflar

Kişisel verileriniz, işleme amaçlarına uygun olarak aşağıdaki taraflara aktarılabilir:

  • Yurt içi ve yurt dışı bulut altyapı sağlayıcıları, e-posta servis sağlayıcıları, CDN sağlayıcıları
  • Lisanslı ödeme kuruluşları, sanal POS sağlayıcıları, banka entegratörleri, bankalar
  • Gelir İdaresi Başkanlığı ve e-Dönüşüm özel entegratörleri
  • Pazaryeri API’leri (Trendyol, Hepsiburada, N11, Amazon TR, Çiçeksepeti, Pazarama vb.)
  • Kargo şirketleri, lojistik servis sağlayıcıları
  • E-posta/SMS gönderim ve push bildirim sağlayıcıları
  • Çağrı merkezi, canlı sohbet, destek bilet sistemi sağlayıcıları
  • Hata izleme, log saklama ve performans monitör servisleri
  • Analitik ve reklam ağı sağlayıcıları (rızanız çerçevesinde)
  • Mali müşavir, hukuk müşaviri, denetim firmaları
  • Yetkili kamu kurum ve kuruluşları, mahkemeler, icra daireleri (yasal yükümlülük halinde)
  • Şirketin hakim hissedarı (varsa) ve topluluk şirketleri

5. Kişisel Verilerin Yurt Dışına Aktarılması

OvoCRM, hizmetlerin sunulması için bulut altyapısı, e-posta servisleri, çerez/analitik araçları, ödeme altyapısı, hata izleme ve müşteri destek araçları gibi bazı tedarikçilerden yararlanır. Bu tedarikçilerin sunucuları yurt dışında bulunabilir.

Kişisel verilerinizin yurt dışına aktarımı; KVKK m.9 çerçevesinde:

  • Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip ilan edilen ülkelere; ya da
  • Yeterli korumaya sahip olmayan ülkelere aktarımda standart sözleşme, bağlayıcı şirket kuralı veya açık rızanız çerçevesinde

gerçekleştirilir. Güncel alt veri işleyen ve aktarım coğrafyası listesi Platform üzerinde yayımlanır.

6. Kişisel Verilerin Toplama Yöntemleri

Kişisel verileriniz; aşağıdaki kanallar aracılığıyla otomatik veya otomatik olmayan yollarla toplanmaktadır:

  • ovocrm.com web sitesi üzerinden doldurulan iletişim, demo talep, kayıt ve abonelik formları
  • app.ovocrm.com kullanıcı paneli ve hesap ayarları
  • master.ovocrm.com paneli üzerinden tenant yönetim işlemleri
  • iOS ve Android mobil uygulamaları
  • OvoCRM API ve webhook entegrasyonları
  • E-posta yazışmaları, KEP, posta, kargo, kurye
  • Telefon, çağrı merkezi, canlı sohbet, WhatsApp Business
  • Sosyal medya hesapları
  • Yüz yüze görüşmeler, fuarlar, etkinlikler
  • Uzaktan destek (impersonation) oturumları
  • Çerezler ve benzeri izleme teknolojileri

7. Kişisel Verilerin Saklanma Süreleri

Kişisel verileriniz; işleme amacının gerektirdiği süreyle ve aşağıdaki azami sürelerle sınırlı olarak saklanır:

  • Hesap aktifken — tüm İçerik ve hesap bilgileri
  • Hesap fesih/iptalden sonra 30 gün — dondurulmuş hesap (yeniden aktive edilebilir)
  • 31. günden 6. ayın sonuna kadar — salt-okunur erişim (bir kereye mahsus 48 saat)
  • VUK kapsamındaki fatura ve mali belgeler — 10 yıl (VUK m.253)
  • Audit log, işlem güvenliği kayıtları — 2 yıl (5651 sayılı Kanun gereklilikleri saklı)
  • Sözleşme ve hukuki işlemler — TBK m.146 uyarınca 10 yıl
  • Pazarlama izinleri ve İYS kayıtları — izin geri çekilene kadar; geri çekildikten sonra 3 yıl ispat amaçlı
  • Çerez verileri — çerez türüne göre oturum sonuna kadar veya en fazla 2 yıl

Sürenin sona ermesini takiben veriler; Kişisel Veri Saklama ve İmha Politikamız uyarınca silinir, yok edilir veya anonim hale getirilir.

8. İlgili Kişinin Hakları (KVKK m.11)

Tarafımızca işlenen kişisel verilerinize ilişkin olarak, KVKK’nın 11. maddesi kapsamında aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  • Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
  • KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme,
  • Düzeltme/silme/yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Başvuru Yöntemleri

KVKK m.11 kapsamındaki taleplerinizi; Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca aşağıdaki yöntemlerle iletebilirsiniz:

  • Yazılı olarak — Şirket adresine ıslak imzalı dilekçe ile
  • Güvenli elektronik imza veya mobil imza ile e-posta
  • Sistemimizde kayıtlı e-posta adresinizden kvkk@ovocrm.com adresine gönderim
  • KEP üzerinden Şirket KEP adresine

Başvurunuzda; ad-soyad, T.C. Kimlik No (yabancılar için pasaport no/uyruk), tebligata esas adres, varsa bildirime esas e-posta/telefon/faks, talep konusu açıkça yer almalıdır.

Talepleriniz, niteliğine göre en geç 30 (otuz) gün içinde sonuçlandırılır. İşlem ayrıca bir maliyet gerektiriyorsa, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınabilir.

9. Veri Sorumlusu İletişim Bilgileri

Veri Sorumlusu[OVOCRM ŞİRKET ÜNVANI]
Adres[ŞİRKET ADRESİ]
MERSİS No[MERSİS NO]
Ticaret Sicil No[TİCARET SİCİL NO]
E-posta (KVKK Başvuru)kvkk@ovocrm.com
Genel İletişimdestek@ovocrm.com
KEP Adresi[KEP ADRESİ]
Webwww.ovocrm.com

İşbu Aydınlatma Metni, mevzuat değişiklikleri ve hizmet güncellemelerine bağlı olarak revize edilebilir. Güncel metin Platform üzerinden yayımlanır; tarihsel versiyonlar arşivlenir.