Gizlilik Politikası

BirByte Teknoloji ("Şirket"), merkezi Meşrutiyet Mah. Karanfil Sk. Zafir İş Merkezi No: 4 İç Kapı No: 91 Çankaya/Ankara adresinde bulunan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında müşteri hesap verileri (Google hesap bilgileri, çalışma alanı bilgileri, API kullanım kayıtları) bakımından veri sorumlusudur. Müşterilerin kendi son kullanıcılarına ait ilettiği alıcı telefon numaraları ve OTP teslimat kayıtları bakımından ise BirByte Teknoloji, müşteri adına veri işleyicisi konumundadır. Veri işleme faaliyetleri Türkiye Cumhuriyeti'nde gerçekleştirilmektedir.

Aşağıdaki kişisel veriler işlenmektedir:

• Hesap verileri: Google OAuth ile sağlanan e-posta adresi, ad-soyad ve profil fotoğrafı
• Çalışma alanı verileri: Çalışma alanı adı, slug, üye bilgileri ve rol atamaları
• OTP ve teslimat kayıtları: Alıcı telefon numaraları (E.164 formatında), gönderim zaman damgası, durum (gönderildi / teslim / okundu / doğrulandı / başarısız), şablon kimliği ve isteğe bağlı referans değeri
• API kullanım verileri: İstek zaman damgaları, IP adresleri, yanıt kodları ve gecikme metrikleri
• Çerezler ve oturum verileri: Kimlik doğrulama oturumu, dil tercihi ve tema tercihi

Veriler aşağıdaki amaçlarla ve KVKK madde 5 ile GDPR madde 6 kapsamındaki dayanaklara göre işlenir:

• Hizmet sunumu ve kimlik doğrulama — sözleşmenin ifası
• Faturalama ve finansal kayıt tutma — yasal yükümlülük
• Güvenlik denetimi, hata ayıklama ve dolandırıcılık tespiti — meşru menfaat
• Hizmet performansının iyileştirilmesi — meşru menfaat
• Pazarlama iletişimi (yalnızca açık onay verilmişse) — açık rıza

Veriler aşağıdaki alt işleyicilerle paylaşılabilir:

• Meta Platforms, Inc. (WhatsApp Business Cloud API): OTP mesajlarının iletimi için alıcı telefon numaraları aktarılır. Meta'nın Veri İşleme Şartları geçerlidir.
• Postal (e-posta): Sistem bildirimleri ve fatura iletimi için e-posta adresi kullanılır.
• Barındırma ve veritabanı sağlayıcısı: Veriler güvenli veri merkezlerinde saklanır; sağlayıcıyla Veri İşleme Sözleşmesi imzalanmıştır.

Verileriniz, yukarıda belirtilen alt işleyiciler dışında üçüncü taraflara satılmaz veya paylaşılmaz; ancak yasal zorunluluk veya mahkeme kararı halleri istisnadır.

• OTP ve teslimat kayıtları: 90 gün
• API istek günlükleri: 30 gün
• Faturalama kayıtları: 10 yıl (Türk vergi mevzuatı gereği)
• Hesap verileri: Hesap silinene kadar + 30 gün silme işleme süresi

Saklama süresini aşan veriler güvenli biçimde silinir veya anonimleştirilir.

Webhook imzaları HMAC-SHA256 ile doğrulanır. Aktarım sırasında TLS şifrelemesi uygulanır. Hassas değerler (API anahtarları vb.) veritabanında şifreli saklanır. API katmanında SSRF (Server-Side Request Forgery) koruması mevcuttur. Verilere erişim, iş ihtiyacı esasına göre sınırlı tutulmaktadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme
• Verilerin eksik veya yanlış işlenmesi hâlinde bunların düzeltilmesini isteme
• KVKK madde 7'de öngörülen şartlar çerçevesinde verilerin silinmesini veya yok edilmesini isteme
• İşlemeye itiraz etme ve zararın giderilmesini talep etme

Haklarınızı kullanmak için [email protected] adresine yazılı başvuruda bulunabilirsiniz. Başvurular 30 gün içinde yanıtlanır.

AB/AEA sakinleri için Genel Veri Koruma Yönetmeliği (GDPR) kapsamında aşağıdaki haklar geçerlidir:

• Erişim hakkı (Madde 15)
• Düzeltme hakkı (Madde 16)
• Silme hakkı ("unutulma hakkı", Madde 17)
• İşlemeyi kısıtlama hakkı (Madde 18)
• Veri taşınabilirliği hakkı (Madde 20)
• İtiraz hakkı (Madde 21)
• Rızanın geri alınması hakkı

Başvurular için: [email protected]. Denetim otoritesine şikâyet etme hakkınız saklıdır.

BirByte Teknoloji yalnızca zorunlu çerezleri kullanır — izleme veya reklam çerezi kullanılmamaktadır:

• Kimlik doğrulama oturumu: NextAuth.js oturum çerezi; giriş durumunu korur. Tarayıcı kapatılınca sona erer veya 30 gün geçerlidir.
• Dil ve tema tercihi: wpotp.lang anahtarıyla localStorage'da saklanır; sunucuya gönderilmez.

OTP iletimi için alıcı telefon numaraları Meta'nın (WhatsApp Cloud API) küresel altyapısına aktarılmaktadır. Meta, Standart Sözleşme Maddeleri (SCC) veya eşdeğer mekanizmalar çerçevesinde bu verileri işler. Diğer veriler öncelikli olarak Türkiye'deki sunucularda saklanır.

Gizlilik talepleriniz için: [email protected]. Genel sorular için: [email protected].