UrClimate Tailor — Gizlilik Politikası
Yürürlük Tarihi: 4 Mayıs 2026 Sürüm: 1.0 Platform: https://tailor.urclimate.com Veri Sorumlusu: Alkazar Teknoloji A.Ş. İletişim: destek@urclimate.com
Bilgilendirme: Bu Gizlilik Politikası, UrClimate Tailor platformunun kişisel veri işleme faaliyetlerini bütüncül olarak açıklar. KVKK madde 10 kapsamındaki kısa ve teknik bilgilendirme için ayrı bir Aydınlatma Metni mevcuttur; bu politika onu tamamlayıcı niteliktedir ve çelişki halinde Aydınlatma Metni'nin özel hükümleri öncelikli uygulanır.
1. Giriş
1.1. Kapsam
Bu Gizlilik Politikası, Alkazar Teknoloji A.Ş. (bundan sonra "biz", "Alkazar" veya "Hizmet Veren") tarafından işletilen UrClimate Tailor (tailor.urclimate.com) platformunda işlenen tüm kişisel verileri kapsar. Politika şunlar için geçerlidir:
- Platforma kaydolmuş kurumsal müşteri çalışanları (saha sorumluları, operasyon ekipleri, risk yöneticileri, üst yönetim).
- Demo/pilot talebinde bulunan potansiyel müşteriler.
- Platform web sitesini ziyaret eden her kullanıcı.
- destek@urclimate.com ile iletişime geçen herkes.
1.2. Yasal Dayanak
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Kanunu
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK)
- Kişisel Verileri Koruma Kurumu tebliğleri ve rehberleri
1.3. Veri Sorumlusu
Alkazar Teknoloji A.Ş., KVKK madde 3/1-ı anlamında veri sorumlusu sıfatıyla hareket eder. Kurumsal müşteri şirketlerin kendi personeline ait verileri Platforma girdiği senaryolarda Alkazar veri işleyen (madde 3/1-ğ) sıfatı kazanabilir; bu durum ayrı bir Veri İşleme Sözleşmesi (VİS / DPA) ile düzenlenebilir.
2. Topladığımız Bilgiler
2.1. Hesap Bilgileri (Kayıt Formu)
Kayıt sırasında aşağıdaki bilgileri toplarız:
- Ad, soyad
- Kurumsal e-posta adresi
- Telefon numarası (sabit ve/veya mobil)
- Bağlı olunan şirket adı
- Şifre (tek yönlü hash olarak saklanır, düz metin asla tutulmaz)
- KVKK onay zaman damgaları (aydınlatma kabul, kullanım koşulları kabul, opsiyonel pazarlama/analitik rıza tercihleri)
2.2. Kullanım Verileri
Platform üzerindeki faaliyetlerinize ait bilgiler:
- Giriş/çıkış zamanları ve süreleri.
- Tanımlanan saha bilgileri (lokasyon, eşik ayarları, uyarı tercihleri) — bu veriler genellikle kurumsal/operasyonel niteliktedir; istisnai olarak "saha sorumlusu adı" gibi kişisel veri içerebilir.
- Yüklenen dosyalar (saha fotoğrafı, lokasyon CSV listesi, vb.).
- Oluşturduğunuz raporlar (FIRF, sezonsal), notlar ve yorumlar.
- Anasayfa varlık haritasında tenant ataması ve görüntüleme tercihleri.
- Destek talepleri ve bunlara verilen cevaplar.
2.3. Teknik Veriler
- IP adresi (KVKK kapsamında kişisel veri olarak kabul edilir).
- Tarayıcı türü ve sürümü (User-Agent).
- İşletim sistemi.
- Ekran çözünürlüğü (UX istatistiği için).
- Referans URL.
- Çerez kimlikleri (bkz. madde 6).
- Zaman damgası bazlı erişim logları (5651 sayılı Kanun uyarınca zorunlu).
2.4. Otomatik Toplanan Bilgi
- Hata logları (stack trace, istek kimliği). Bu loglar 30 gün sonra silinir veya anonimleştirilir.
- Performans ölçümleri (sayfa yüklenme süresi, API yanıt süresi).
2.5. Toplamadığımız Bilgiler
- Hassas kişisel veri (KVKK m.6 — sağlık, cinsel hayat, din, siyasi görüş, biyometrik) işlemeyiz.
- Ödeme kartı bilgisi sunucularımızda saklanmaz; ücretli planlarda ödeme banka havalesi veya PCI-DSS uyumlu 3. taraf (entegrasyon sonrası) ile yapılır.
- 18 yaş altı kullanıcılara ait veri bilerek toplanmaz (bkz. madde 7).
- Konum verisi (kullanıcı GPS'i) toplanmaz; saha lokasyonları açıkça Kullanıcı tarafından girilir, Platform kullanıcının kendi cihaz konumunu değil yalnızca girilen saha koordinatlarını işler.
3. Bilgi Kullanım Amaçları
Toplanan bilgiler aşağıdaki amaçlarla işlenir:
3.1. Hizmet Sunumu (KVKK m.5/2-c, sözleşme ifası)
- Hesap oluşturma ve yönetimi.
- Kullanıcı kimlik doğrulaması.
- Saha-bazlı tahmin/uyarı motorunu çalıştırmak ve sonuçları sunmak.
- Günlük tahmin/uyarı e-postalarının gönderimi.
- FIRF ve sezonsal raporların üretimi.
- Veri yedekleme ve restore.
3.2. İletişim (KVKK m.5/2-c ve m.5/2-f)
- Sistem bildirimleri (şifre sıfırlama, hesap uyarıları).
- Abonelik dönem sonu hatırlatmaları.
- Hizmet kesintisi/bakım duyuruları.
- Destek taleplerine cevap verme.
3.3. Hizmet Geliştirme (KVKK m.5/2-f, meşru menfaat)
- Kullanım istatistikleri (agrega).
- Hata ayıklama ve performans iyileştirme.
- A/B testleri ve UX araştırması (kişisel tanımlayıcı olmadan).
3.4. Yasal Yükümlülükler (KVKK m.5/2-a)
- Vergi, ticari kayıt zorunlulukları (VUK 253 — 5 yıl fatura saklama).
- 5651 sayılı Kanun kapsamında erişim loglarının 6 ay süreyle tutulması.
- Yetkili merciilere (savcılık, mahkeme, BTK, KVKK Kurumu) bilgi verme.
3.5. Pazarlama (Açık rıza ile — KVKK m.5/1 ve ETK m.6)
Yalnızca Kullanıcının açık rıza verdiği durumlarda:
- Ürün güncelleme duyuruları.
- Webinar/eğitim davetleri.
- Yeni özellik bildirimleri.
- Sektörel iklim risk raporları.
Açık rıza her zaman geri alınabilir; e-postadaki "abonelikten çık" bağlantısı veya destek@urclimate.com üzerinden.
4. Üçüncü Taraflarla Paylaşım
Kişisel verilerinizi yalnızca aşağıdaki durumlarda paylaşırız. Hiçbir koşulda verilerinizi üçüncü taraflara satmayız.
4.1. Altyapı Hizmet Sağlayıcıları (Veri İşleyenler)
| Sağlayıcı | Hizmet | Konum | İşlenen Veri |
|---|---|---|---|
| Supabase | Veritabanı + kimlik doğrulama + dosya depolama | Frankfurt, AB | Hesap verileri, saha tanımları, audit log |
| Vercel | Uygulama barındırma | AB (Frankfurt region) | İstek logları, teknik veriler |
| Brevo (Sendinblue) | Toplu/işlemsel e-posta (günlük bülten, uyarı) | AB (Paris) | E-posta adresi, gönderim logu, bülten içeriği |
| Resend | Yedek transactional e-posta (kayıt onayı, parola sıfırlama) | AB (eu-west-1) | E-posta adresi, gönderim logu |
| OpenStreetMap (OSM) | Anasayfa varlık haritası karoları | AB tabanlı CDN | Hiçbir kişisel veri gönderilmez (yalnızca anonim koordinat sorgusu) |
Tüm altyapı sağlayıcıları AB'de konuşlanmıştır; KVKK madde 9 kapsamında standart sözleşme ve DPA güvenceleri altında aktarım yapılır.
4.2. Yasal Zorunluluk
- Mahkeme kararı, savcılık talebi, BTK veya KVKK Kurumu yazısı üzerine.
- Bildirimler yasal olarak engellenmedikçe Kullanıcıyı bilgilendiririz.
4.3. İş Devri / Birleşme
Alkazar'ın birleşme, bölünme, devralma, satış veya benzeri bir kurumsal işlemine konu olması halinde kişisel veriler aynı gizlilik standartlarıyla devralan şirkete aktarılabilir; bu durumda Kullanıcılar e-posta ile bilgilendirilir.
4.4. Anonim/Agrega Veri
Kimlik tanımlayıcı içermeyen agrega istatistikler (örneğin "2026 Q2'de platformdaki toplam kayıtlı saha sayısı", "en sık kullanılan eşik tipi") araştırma kuruluşlarıyla, medyayla veya yatırımcı sunumlarında paylaşılabilir.
5. Güvenlik Tedbirleri
KVKK madde 12 kapsamında aldığımız teknik ve idari tedbirler:
5.1. Teknik Tedbirler
- Taşımada şifreleme: Tüm veri trafiği TLS 1.3 (HTTPS) ile şifrelenir.
- Saklamada şifreleme: Veritabanında AES-256 şifreleme.
- Parola güvenliği: Kullanıcı parolaları bcrypt (work factor 10+) ile hash'lenir; düz metin asla kaydedilmez.
- Row-Level Security (RLS): Her tenant (şirket) yalnızca kendi sahasını ve verisini görür; veri izolasyonu veritabanı seviyesinde zorlanır.
- Yedekleme: Otomatik günlük yedek; 30 gün retention; yedekler de şifrelidir.
- Çok Faktörlü Kimlik Doğrulama (MFA): Gelecek sürümde kullanıcıya sunulacak; ekip hesaplarında zorunludur.
- Güvenlik yamaları: Bağımlılık taraması (Dependabot) ve kritik CVE'ler 7 gün içinde yamalanır.
- Rate limiting ve bot koruması: DoS ve brute-force saldırılarına karşı.
- Audit log: Tüm kritik işlemler (giriş, silme, dışa aktarım, yetki değişikliği) loglanır.
5.2. İdari Tedbirler
- Personel gizlilik taahhütnamesi.
- Veri minimizasyonu ilkesi (sadece gerekli olan toplanır).
- Erişim yetkisi "en az yetki" (least privilege) ilkesi.
- Yıllık gizlilik ve siber güvenlik eğitimi.
- Olay müdahale prosedürü.
- Düzenli risk analizi.
5.3. Veri İhlal Süreci
Bir güvenlik ihlali tespit edildiğinde:
- İhlal derhal tespit edilir ve sınırlandırılır.
- 72 saat içinde KVKK Kurumu'na bildirim yapılır (KVKK m.12/5).
- Etkilenen Kullanıcılar en kısa sürede e-posta ile bilgilendirilir.
- Olay raporu hazırlanır ve önleyici tedbirler alınır.
6. Çerezler
Platform, temel işlevsellik, güvenlik ve tercih saklama amaçlı çerezler kullanır. UrClimate Tailor şu anda üçüncü taraf analitik veya pazarlama çerezi kullanmamaktadır; analitik altyapısı eklendiğinde bu metin güncellenir ve Kullanıcının ayrı açık rızası alınır.
6.1. Kullanılan Çerezler (Faz 1)
| Çerez | Amaç | Tip | Süre | Hukuki Sebep |
|---|---|---|---|---|
sb-access-token, sb-refresh-token | Supabase oturum yönetimi (kullanıcı kimlik doğrulama) | Zorunlu | Oturum süresi | KVKK m.5/2-c (sözleşme ifası) |
theme | Açık/koyu tema tercihi (light/dark mode) | Zorunlu | 1 yıl | KVKK m.5/2-f (meşru menfaat — kullanıcı tercihinin korunması) |
darkMode | Koyu mod bayrağı (kalıcı UI tercihi) | Zorunlu | 1 yıl | KVKK m.5/2-f (meşru menfaat — kullanıcı tercihinin korunması) |
csrf-token | Cross-Site Request Forgery koruması | Zorunlu | Oturum süresi | KVKK m.5/2-c (sözleşme ifası) + KVKK m.12 (güvenlik tedbiri) |
6.2. Kullanılmayan Çerezler
- Üçüncü taraf analitik çerezi (Google Analytics, PostHog vb.) — Faz 1 kapsamında KULLANILMIYOR.
- Pazarlama / reklam çerezi (Meta Pixel, LinkedIn Insight, Google Ads vb.) — KULLANILMIYOR.
- Sosyal medya çerezi — KULLANILMIYOR.
Yukarıdaki üç kategori çerezler ileride uygulanırsa, Kullanıcıdan ayrı açık rıza alınır ve bu metin güncellenir.
6.3. Çerez Yönetimi
- Tarayıcı ayarları: Tüm modern tarayıcılarda çerezler ayarlardan silinebilir veya engellenebilir. Zorunlu çerezler engellenirse Platform'a giriş yapılamaz.
- Hesap çıkışı: "Çıkış Yap" tuşu oturum çerezlerini sunucu ve tarayıcı tarafında geçersiz kılar.
7. Çocuklar ve Yaş Sınırı
UrClimate Tailor 18 yaş altı kullanıcılara yönelik bir B2B üründür. 18 yaş altı bir kişinin hesap açtığı tespit edilirse hesap derhal silinir. Kurumsal müşteri çalışanlarının yetişkin ve şirket adına işlem yapmaya yetkili olduğu varsayılır.
8. Kullanıcı Hakları (KVKK Madde 11)
Kullanıcı, KVKK madde 11 uyarınca aşağıdaki haklara sahiptir:
- Kişisel verisinin işlenip işlenmediğini öğrenme.
- İşlenmişse buna ilişkin bilgi talep etme.
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme.
- Eksik veya yanlış işlenmişse düzeltilmesini isteme.
- Şartları oluştuğunda silinmesini veya yok edilmesini isteme (unutulma hakkı).
- Düzeltme/silme işlemlerinin veri aktarılan 3. kişilere bildirilmesini isteme.
- Otomatik sistemler yoluyla analiz sonucu aleyhine bir sonuç çıkmasına itiraz etme.
- Kanuna aykırı işleme nedeniyle zarara uğraması halinde zararın giderilmesini talep etme.
8.1. Başvuru Yöntemi
Haklarınızı kullanmak için başvurularınızı:
- E-posta: destek@urclimate.com
- Telefon: 0212 270 40 57
- Yazılı: Alkazar Teknoloji A.Ş., Reşitpaşa Mh. Katar Cd. No:2/50/6 İTÜ ARI Teknokent Sarıyer/İstanbul
şeklinde yapabilirsiniz. Başvuruda kimlik doğrulama için ad-soyad, T.C. kimlik no veya pasaport no (yabancılar için), tebligat adresi ve talep konusunu belirtmeniz gerekir.
8.2. Yanıt Süresi
Başvurular en geç 30 gün içinde ücretsiz olarak cevaplanır. Talep özel maliyet gerektiriyorsa KVKK Kurulu'nun belirlediği güncel tarife uygulanır.
9. Veri Saklama Süreleri
| Veri Türü | Saklama Süresi | Dayanak |
|---|---|---|
| Hesap bilgileri | Abonelik süresi + 90 gün | Sözleşme ifası |
| Saha tanımları ve eşik ayarları | Abonelik süresi + 90 gün (sonra hard-delete) | Sözleşme ifası + Kullanıcı talebi |
| Erişim logları | 6 ay | 5651 sayılı Kanun |
| Audit log | 3 yıl | TBK m. 146 zamanaşımı, meşru menfaat |
| Fatura/muhasebe | 5 yıl (asgari), 10 yıl (TTK m. 82) | VUK 253, TTK m. 82 |
| Destek yazışmaları | 3 yıl | Meşru menfaat (uyuşmazlık savunması) |
| Yedekler | 30 gün dönen pencere | Teknik gereklilik |
| KVKK onay kaydı | Onay geri alınana + ispat için 3 yıl | KVKK m. 12, ETK m. 6 |
| Pazarlama açık rıza onayı | Rıza geri alınana kadar + ispat için 3 yıl | ETK m.6 |
Yasal saklama süresi dolduğunda veri otomatik silinir veya anonimleştirilir.
10. Değişiklikler
Bu Gizlilik Politikası zaman içinde güncellenebilir.
- Esasa ilişkin değişiklikler (yeni veri türü toplama, yeni 3. taraf, yurt dışı aktarım değişikliği) 30 gün önceden e-posta ve panel bildirimi ile duyurulur.
- Küçük düzeltmeler (yazım, bağlantı güncelleme) yürürlük tarihi güncellenerek yapılabilir.
- Politikanın önceki sürümleri arşiv olarak saklanır; talep üzerine paylaşılır.
Her güncelleme sonrası Kullanıcı, Platformu kullanmaya devam ederek yeni politikayı kabul etmiş sayılır. Kabul etmeme halinde Kullanım Koşulları madde 10 (Fesih) hükümleri uygulanır.
11. İletişim ve Şikayetler
11.1. Birinci Adım — Alkazar Destek
Gizlilik ile ilgili her türlü soru, talep ve şikayet için öncelikle bize ulaşın:
Alkazar Teknoloji A.Ş. — Veri Sorumlusu
- E-posta: destek@urclimate.com
- Web: https://tailor.urclimate.com
- Adres: Reşitpaşa Mh. Katar Cd. No:2/50/6 İTÜ ARI Teknokent Sarıyer/İstanbul
- Telefon: 0212 270 40 57
- VERBIS Sicil No: (başvuru süreci devam ediyor)
11.2. İkinci Adım — KVKK Kurumu
Alkazar'a yaptığınız başvurunun reddedilmesi, verilen cevabı yetersiz bulmanız veya 30 gün içinde cevap alamamanız halinde:
Kişisel Verileri Koruma Kurumu
- Adres: Nasuh Akar Mah. 1407. Sok. No: 4, 06520 Balgat — Çankaya / Ankara
- Web: https://www.kvkk.gov.tr
- Telefon: 0 312 216 50 50
başvuru tarihinden itibaren 30 gün, şikayet konusunu öğrendiğiniz tarihten itibaren 60 gün içinde ve her halükarda en geç 2 yıl içinde şikayette bulunabilirsiniz (KVKK m.14).
Yürürlük Tarihi: 4 Mayıs 2026 Sürüm: 1.0
Bu Gizlilik Politikası, KVKK, ETK ve ilgili tüm mevzuata uygun olarak hazırlanmıştır. Mevzuat değişikliklerine göre güncellenir. Güncel sürüm her zaman https://tailor.urclimate.com/gizlilik-politikasi adresinde yer alır.