Bilgilendirme: Bu gizlilik politikası, Eryılmaz Bilgisayar Sistemleri tarafından geliştirilen mobil ve web uygulamaları ("Uygulama") kapsamında toplanan, işlenen ve korunan kişisel verileriniz hakkında sizi bilgilendirmek amacıyla 6698 sayılı KVKK ve GDPR çerçevesinde hazırlanmıştır.
Veri Sorumlusu
- Ticaret Unvanı: Eryılmaz Bilgisayar Sistemleri Sanayi ve Ticaret Limited Şirketi
- Adres: Güneştepe Mahallesi, Yavuz Selim Caddesi No:1/7, Güngören, İstanbul, Türkiye
- Telefon: +90 (212) 557 67 95
- E-posta: kvkk@eryilmaz.com
- Web: www.eryilmaz.com
- VKN: 3770064723 (Güngören Vergi Dairesi)
- MERSİS: 0037700647230001
Uygulama, müşteri kuruluşları adına veri işleyen (data processor) olarak çalışır. Her müşteri kuruluş kendi verilerinin veri sorumlusudur.
Toplanan Veriler
Uygulama aşağıdaki veri kategorilerini toplar:
Kimlik ve Hesap Bilgileri
- Ad, soyad, e-posta adresi, telefon numarası
- Kullanıcı adı, şifre (bcrypt ile tek yönlü şifrelenmiş)
- Profil fotoğrafı (isteğe bağlı)
Konum Verileri
- GPS koordinatları (enlem, boylam, yükseklik, doğruluk)
- Arka plan konum takibi (geofence — yalnızca İK yoklama özelliği aktifse)
- Konum geçmişi (son 10 pozisyon, cihazda geçici)
Biyometrik Veri
- Parmak izi / Yüz tanıma (Face ID / Touch ID) — yalnızca cihaz üzerinde doğrulama
- Biyometrik veri sunuculara gönderilmez, cihazın güvenli alanında (Keychain/Keystore) kalır
Cihaz ve Teknik Veriler
- Cihaz modeli, işletim sistemi versiyonu
- Uygulama versiyonu
- Anonim cihaz kimliği (UUID — rastgele üretilir)
- Push bildirim token'ı
- IP adresi (sunucu iletişimi sırasında)
İş Verileri
- Sipariş, satış, stok sayım kayıtları
- Müşteri/tedarikçi ticari bilgileri (VKN, ticari ünvan)
- Yoklama ve izin kayıtları
Verilerin İşlenme Amaçları
- Hizmet sunumu: ERP, stok, satış, İK modüllerinin işletilmesi
- Kimlik doğrulama: Güvenli giriş, iki faktörlü doğrulama, biyometrik erişim
- İK yönetimi: Yoklama kaydı, izin yönetimi, konum doğrulama
- Güvenlik: Yetkisiz erişim önleme, sahte GPS tespiti, brute-force koruması
- Bildirimler: İş süreçleriyle ilgili push bildirimleri (onayınız dahilinde)
- Yasal uyum: TTK, VUK ve KVKK kapsamındaki yasal yükümlülükler
Veri Güvenliği
- Şifreleme: Tüm iletişim 256-bit SSL/TLS ile şifrelenir. Şifreler bcrypt ile tek yönlü hash'lenir
- Güvenli Depolama: Hassas veriler cihazın güvenli alanında (iOS Keychain / Android Keystore) saklanır
- Erişim Kontrolü: Rol ve scope tabanlı yetkilendirme (RBAC)
- Konum Güvenliği: Sahte GPS tespiti, hız anomalisi kontrolü, doğruluk validasyonu
- Brute-Force Koruması: 5 başarısız giriş denemesinde otomatik IP engelleme
- KVKK Maskeleme: TC Kimlik No ve kişi adları yetki seviyesine göre maskelenir
Üçüncü Taraf Hizmetler ve Veri Aktarımı
Verileriniz Türkiye'deki sunucularda barındırılmaktadır. Aşağıdaki hizmetler için sınırlı veri aktarımı yapılır:
- Firebase Cloud Messaging (Google, ABD): Push bildirim altyapısı. Yalnızca bildirim token'ı aktarılır. Hukuki sebep: Meşru menfaat
- Expo Push Service (ABD): Bildirim dağıtım hizmeti. Anonim cihaz token'ı aktarılır. Hukuki sebep: Meşru menfaat
- Cloudflare (ABD): CDN ve güvenlik hizmeti. Hukuki sebep: Meşru menfaat
Firebase Analytics: Kapalıdır. Uygulama analitik verisi toplanmamaktadır.
Yurt dışı aktarım, KVKK m.9 kapsamında yalnızca açık rızanız ile veya yeterli koruma sağlayan ülkelere yapılır.
Uygulama İzinleri
- Kamera: QR kod okuma ve profil fotoğrafı çekimi
- Konum (Ön plan): Yoklama kaydı sırasında konum doğrulama
- Konum (Arka plan): Geofence — İK lokasyonlarına giriş/çıkış takibi (isteğe bağlı)
- Bildirimler: İş süreçleri ve güvenlik bildirimleri
- Biyometrik: Parmak izi / Yüz tanıma ile hızlı giriş
- Galeri: Profil fotoğrafı seçimi
Tüm izinler isteğe bağlıdır. Reddedilen izinler yalnızca ilgili özelliğin kullanılamamasına neden olur.
Otomatik Karar Alma ve Profilleme
- Başarısız giriş denemeleri ve sahte GPS kullanımı otomatik olarak tespit edilir ve engellenir
- Toplanan veriler bireysel profilleme amacıyla kullanılmaz
- Hakkınızda hukuki sonuç doğuran otomatik karar alma işlemi yapılmamaktadır
Veri Saklama Süreleri
- Hesap verileri: Hesap aktif olduğu sürece + yasal saklama süreleri
- Ticari işlem verileri: TTK ve VUK gereği en az 10 yıl
- Konum verileri: Yoklama kayıtları yasal süresince; geçici konum verisi oturum sonunda silinir
- Güvenlik logları: En az 2 yıl
- Başarısız giriş denemeleri: 30 gün sonra otomatik silinir
- Push token'ları: 6 ay kullanılmazsa pasifleştirilir
- Cihaz üzerindeki veriler: "Verileri Temizle" seçeneğiyle silinebilir
KVKK Kapsamında Haklarınız (m.11)
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 11. maddesi kapsamında:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
- Kişisel verilerinizin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme
- KVKK m.7 kapsamında kişisel verilerinizin silinmesini veya yok edilmesini isteme
- Düzeltme ve silme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
- Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme
GDPR Kapsamında Haklarınız (AB Kullanıcıları)
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında, AB/AEA'da bulunan kullanıcılar aşağıdaki ek haklara sahiptir:
- Erişim hakkı (m.15): Kişisel verilerinizin bir kopyasını talep etme
- Düzeltme hakkı (m.16): Yanlış veya eksik verilerin düzeltilmesini isteme
- Silme hakkı / Unutulma hakkı (m.17): Belirli koşullarda verilerinizin silinmesini talep etme
- İşlemeyi kısıtlama hakkı (m.18): Belirli durumlarda veri işlemenin sınırlandırılmasını isteme
- Veri taşınabilirliği hakkı (m.20): Verilerinizi yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta (JSON/CSV) alma
- İtiraz hakkı (m.21): Meşru menfaate dayalı veri işlemeye itiraz etme
- Otomatik karar almaya itiraz (m.22): Yalnızca otomatik işlemeye dayalı kararlara tabi olmama
- Onayı geri çekme: Daha önce verdiğiniz onayı istediğiniz zaman geri çekme (geri çekme öncesi işlemler etkilenmez)
- Şikâyet hakkı: Ülkenizdeki veri koruma otoritesine (DPA) şikâyette bulunma
Yasal dayanak (GDPR m.6): Sözleşmenin ifası (m.6/1-b), meşru menfaat (m.6/1-f), yasal yükümlülük (m.6/1-c), açık rıza (m.6/1-a)
Veri aktarımı: AB dışına veri aktarımı, Standart Sözleşme Hükümleri (SCC) veya yeterlilik kararı kapsamında yapılır.
Veri İşleyen ve Veri Sorumlusu Rolleri
Eryılmaz Bilgisayar Sistemleri, uygulamayı kullanan müşteri kuruluşları ("Veri Sorumlusu") adına veri işleyen (Data Processor / KVKK: Veri İşleyen) olarak hizmet verir.
- Veri Sorumlusu: Uygulamayı lisanslayan müşteri kuruluş — hangi verilerin toplanacağına ve nasıl kullanılacağına karar verir
- Veri İşleyen: Eryılmaz Bilgisayar Sistemleri Sanayi ve Ticaret Limited Şirketi — veri sorumlusu adına teknik altyapıyı işletir
- Alt Veri İşleyenler: Firebase (Google), Expo, Cloudflare — bildirim ve güvenlik hizmetleri
Veri İşleme Sözleşmesi (DPA) talep etmek için: kvkk@eryilmaz.com
Başvuru ve İletişim
- E-posta: kvkk@eryilmaz.com
- Yanıt süresi: En geç 30 gün içinde ücretsiz olarak yanıtlanacaktır
- Başvuru yöntemi: Kimlik doğrulaması yapılarak işleme alınır
Uygulama belirli bir müşteri kuruluşuna ait olarak kullanılıyorsa, ilgili kuruluşun kendi veri sorumlusu iletişim bilgilerini de kullanabilirsiniz.
Çocukların Gizliliği
Uygulama 18 yaşın altındaki bireylere yönelik değildir. Bilerek 18 yaş altı kişilerden kişisel veri toplamıyoruz.
Politika Güncellemeleri
Bu gizlilik politikası ihtiyaç halinde güncellenebilir. Önemli değişikliklerde uygulama içi bildirim ile bilgilendirilirsiniz.