Veri Koruma / Data Protection
KVKK & GDPRAydınlatma Metni
Robofy olarak çalışan verilerini nasıl işlediğimizi, sakladığımızı ve koruduğumuzu bu sayfada açıkça paylaşıyoruz.
Son Güncelleme
Mart 2026
Uyumluluk
KVKK (6698) · GDPR (2016/679)
Sunucu Konumu
AWS Stockholm (eu-north-1)
Önemli Not - Tüzel Kişilik
Robofy şu anda tüzel kişilik tescil sürecindedir. Bu süreç tamamlandığında bu sayfa şirket unvanı, vergi numarası ve kayıtlı adresiyle güncellenecektir. Mevcut veri sorumlusu: Kamil Furkan Kunt.
01
Taraflar: Veri Sorumlusu & Veri İşleyen
Robofy'ın veri işleme modeli iki katmanlıdır ve KVKK ile GDPR çerçevesinde tarafların rolleri aşağıdaki gibi ayrışmaktadır:
| Taraf | Rol | Sorumluluk |
|---|---|---|
| Kurumsal Müşteri (işveren) | Veri Sorumlusu | Çalışanlarından açık rıza almak, veri doğruluğunu sağlamak, çalışanlarını bu metin kapsamında bilgilendirmek. |
| Robofy (robofy.net) | Veri İşleyen | Verileri yalnızca müşteri talimatları doğrultusunda işlemek, teknik ve idari güvenlik tedbirlerini uygulamak, KVKK ve GDPR gerekliliklerine uymak. |
Veri İşleme Sözleşmesi (DPA): Her kurumsal müşteri ile Robofy arasında, GDPR Madde 28 ve KVKK Madde 12 kapsamında yazılı bir Veri İşleme Sözleşmesi imzalanmaktadır. Bu sözleşme, kurumsal abonelik sürecinin ayrılmaz bir parçasıdır.
02
İşlenen Kişisel Veriler
Robofy iki farklı bağlamda kişisel veri işlemektedir: platform kullanımı sırasında sürekli güncellenen çalışan kayıt verileri ve yalnızca acil durum aktivasyonlarında toplanan olay verileri.
A - Çalışan Kayıt Verileri (Sürekli)
Kurumsal müşteri, çalışan verilerini CSV formatında SFTP sunucusu veya manuel yükleme aracılığıyla sisteme aktarır. Bu veriler, personel değişikliklerini yansıtmak amacıyla günlük olarak güncellenmektedir.
| Veri Kategorisi | İçerik | Sınıflandırma |
|---|---|---|
| Kimlik | Ad, soyad | Kişisel Veri |
| İletişim | Telefon numarası (WhatsApp opt-in dahil) | Kişisel Veri |
| Lokasyon | Şehir / bölge | Kişisel Veri |
| Organizasyonel | Departman | Kişisel Veri |
| İletişim Tercihi | WhatsApp onayı (opt-in/opt-out) | Kişisel Veri |
B - Acil Durum Olay Verileri (Olay Bazlı)
Aşağıdaki veriler yalnızca bir acil durum yayını (broadcast) aktif olduğunda ve çalışanın WhatsApp üzerinden yanıt vermesi durumunda işlenmektedir. Bu veriler, olay sona erdiğinde kalıcı olarak silinir.
| Veri Kategorisi | İçerik | Sınıflandırma |
|---|---|---|
| Konum | Gerçek zamanlı GPS koordinatları (WhatsApp konum paylaşımı) | Kişisel Veri |
| Sağlık Durumu | Çalışanın beyan ettiği güvenlik / yaralanma / tıbbi yardım talebi durumu | Özel Nitelikli Veri |
| Çalışabilirlik | Uzaktan / yerinde çalışabilme durumu | Kişisel Veri |
| Yanıt Metrikleri | Mesaj okunma zamanı, yanıt süresi | Kişisel Veri |
Özel Nitelikli Veri Uyarısı: Sağlık ve yaralanma durumu verileri, KVKK Madde 6 ve GDPR Madde 9 kapsamında özel nitelikli kişisel veri sayılmaktadır. Bu veriler yalnızca çalışanın açık rızasıyla işlenmekte, güçlendirilmiş güvenlik önlemleriyle korunmakta ve yalnızca kriz koordinasyon amacıyla kullanılmaktadır.
03
İşleme Amaçları & Hukuki Dayanak
| Amaç | KVKK Dayanağı | GDPR Dayanağı |
|---|---|---|
| İş sürekliliği iletişimini yönetmek ve çalışan güvenliğini sağlamak | Md. 5/2(c) - Sözleşmenin ifası; Md. 5/2(ç) - Veri sorumlusunun hukuki yükümlülüğü | Md. 6(1)(b) - Sözleşme; Md. 6(1)(c) - Hukuki yükümlülük |
| Acil durum sırasında GPS konum verisi işlemek | Md. 5/1 - Açık rıza | Md. 6(1)(a) - Açık rıza |
| Sağlık / yaralanma durumu işlemek | Md. 6/2 - Açık rıza (özel nitelikli veri) | Md. 9(2)(a) - Açık rıza |
| Anonim hale getirilerek YZ analizi ve yönetici raporu üretmek | Anonim veri - KVKK kapsamı dışında | Anonim veri - GDPR kapsamı dışında |
Açık rıza, çalışanın işveren tarafından bilgilendirilmesi ve CSV dosyasındaki WhatsApp opt-in sütunu aracılığıyla kayıt altına alınmaktadır. Rıza verilmemiş çalışanlara Robofy üzerinden mesaj gönderilmemektedir.
04
Üçüncü Taraf Veri İşleyenler
Robofy, kişisel verileri asla satmamakta veya ticari amaçlarla üçüncü taraflarla paylaşmamaktadır. Aşağıdaki altyapı sağlayıcıları, hizmetin sunulması için teknik düzeyde verilere erişim sağlamaktadır:
| Sağlayıcı | Rol | Konum | Güvence |
|---|---|---|---|
| Amazon Web Services (AWS) | Bulut altyapısı, veri depolama | Stockholm, İsveç (AB) | ISO 27001, SOC 2, GDPR uyumlu |
| Meta Platforms (WhatsApp Business API) | Mesaj iletimi | Meta küresel altyapısı | Meta Onaylı Teknoloji Sağlayıcısı; Meta Veri Koruma Koşulları uygulanır |
| SFTP Altyapısı | CSV veri aktarım kanalı | AWS Stockholm üzerinde barındırılmaktadır | Şifreli transfer protokolü (SSH) |
| Büyük Dil Modeli (YZ) Sağlayıcısı | Yönetici raporu üretimi | AB veya ABD | Veriler gönderilmeden önce anonimleştirilmektedir; kişisel veri iletilmemektedir |
05
Saklama Süreleri & Silme Politikası
| Veri Türü | Saklama Süresi | Silme Yöntemi |
|---|---|---|
| Çalışan kayıt verileri (isim, telefon, departman vb.) | Sözleşme süresince aktif; sözleşme sona erdiğinde silinir | Müşteriye teslim edilir, ardından tüm sistemlerden kalıcı olarak silinir |
| GPS konumu, sağlık durumu, yanıtlar (olay verileri) | Acil durum olayı kapandığında derhal silinir | Otomatik kalıcı silme |
| Ayrılan çalışan kayıtları (günlük CSV güncellemesiyle kaldırılanlar) | CSV güncellemesinin ardından 24 saat içinde silinir | Otomatik silme; bir sonraki eşitleme döngüsünde tetiklenir |
| Anonim rapor verileri (YZ çıktıları) | Tanımsız süre - kişisel veri içermez | Geçerli değil |
Veri Taşınabilirliği: Sözleşme sona erdiğinde müşteri, 30 gün içinde verilerinin makine tarafından okunabilir formatta (CSV/JSON) bir kopyasını talep edebilir. Bu sürenin ardından veriler geri alınamaz şekilde silinir.
06
Teknik & İdari Güvenlik Tedbirleri
Altyapı Güvenliği
Robofy, AWS Stockholm üzerinde çalışan sunucusuz (serverless) bir mimari kullanmaktadır. Bu yapı, saldırı yüzeyini minimize eder ve ISO 27001 sertifikalı AWS fiziksel güvenliğinden yararlanır.
Veri transit güvenliği TLS 1.2+ protokolü ile sağlanmaktadır. AWS üzerindeki veriler için sunucu taraflı şifreleme (SSE) aktif haldedir.
Erişim Kontrolü
Kişisel verilere erişim en az yetki prensibiyle yönetilmektedir. Rol tabanlı erişim kontrolü (RBAC) uygulanmakta olup her erişim kaydedilmekte ve denetlenebilir hale getirilmektedir.
Olay Müdahalesi
Veri ihlali tespit edilmesi halinde, KVKK Madde 12 ve GDPR Madde 33 uyarınca ilgili veri sorumlusu ve yetkili kuruma 72 saat içinde bildirim yapılacaktır.
Şifreleme Geliştirmesi
Şifreleme altyapımızı güçlendirme çalışmalarımız sürmektedir. Bu sayfa, uygulama tamamlandığında güncellenecektir. Mevcut güvenlik durumu hakkında bilgi almak için info@robofy.net adresine ulaşabilirsiniz.
07
Veri Sahibi Hakları
KVKK Madde 11 ve GDPR Madde 15-22 kapsamında her çalışan aşağıdaki haklara sahiptir:
Bilgi Alma & Erişim
Hangi kişisel verilerinizin işlendiğini öğrenme ve bir kopyasını talep etme hakkı.
Düzeltme
Hatalı veya eksik kişisel verilerinizin güncellenmesini talep etme hakkı.
Silme
Belirli koşullar altında kişisel verilerinizin silinmesini talep etme hakkı (unutulma hakkı).
İtiraz
Meşru menfaat veya kamu yararına dayalı işlemlere itiraz etme hakkı.
Taşınabilirlik
Verilerinizi yapılandırılmış, makine tarafından okunabilir bir formatta alma hakkı.
Rızayı Geri Çekme
Rızaya dayalı işlemleri her zaman geri alma hakkı; geri çekme geriye dönük işlemleri etkilemez.
Bu hakları kullanmak için doğrudan işvereninize (veri sorumlusuna) veya info@robofy.net adresine başvurabilirsiniz. Talepler 30 gün içinde yanıtlanmaktadır.
Şikayetlerinizi Kişisel Verileri Koruma Kurumu'na (kvkk.gov.tr) iletme hakkınız saklıdır. AB'de ikamet ediyorsanız yerel Veri Koruma Otoritenize (DPA) başvurabilirsiniz.
08
İletişim
Bu metin hakkında sorularınız veya veri işlemeye ilişkin talepleriniz için: