1. Giriş ve Kapsam
İşbu GDPR Uyum Beyanı, myroERP olarak Avrupa Birliği'nde ikamet eden veri sahiplerinin kişisel verilerinin işlenmesine ilişkin olarak, 27 Nisan 2016 tarihli ve 2016/679 sayılı Avrupa Parlamentosu ve Konseyi Tüzüğü ("GDPR" – General Data Protection Regulation) çerçevesinde gerçekleştirdiğimiz veri işleme faaliyetleri hakkında kapsamlı bilgi sağlamak amacıyla hazırlanmıştır.
myroERP, AB vatandaşlarına hizmet sunduğu ölçüde, GDPR'nin coğrafi kapsamına (Madde 3) tabidir ve Tüzük'ün tüm gereklilikleriyle uyumlu hareket etmeyi taahhüt eder.
Bu Beyan, GDPR'nin yanı sıra Türkiye'deki 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ile birlikte uygulanır. Türkiye Cumhuriyeti vatandaşları ve Türkiye'de mukim kişiler için ayrıca KVKK Aydınlatma Metni'mizi inceleyebilirsiniz.
2. Veri Sorumlusu (Data Controller)
GDPR Madde 4(7) anlamında veri sorumlusu sıfatına haiz olan kuruluş aşağıda belirtilmiştir:
- Veri Sorumlusu
- myroERP
- İletişim E-postası
- [email protected]
- Genel İletişim
- [email protected]
- Web
- https://myroerp.com
3. Veri Koruma Yetkilisi (DPO)
GDPR Madde 37 uyarınca, veri işleme faaliyetlerimizin niteliği ve hacmi göz önünde bulundurularak bir Veri Koruma Yetkilisi (Data Protection Officer – DPO) atadık. DPO'muz, GDPR ile uyumun sağlanmasından, izlenmesinden ve veri sahipleri ile gözetim otoriteleri ile iletişimden sorumludur.
- DPO İletişim
- [email protected]
Veri sahipleri, kişisel verileri ve bu Tüzük kapsamındaki haklarının kullanımına ilişkin tüm konularda doğrudan DPO ile iletişime geçebilir.
4. İşlenen Veri Kategorileri
myroERP olarak, hizmetimizin sunulması amacıyla aşağıdaki kategorilerde kişisel verileri işliyoruz:
4.1. Kimlik Verileri
- Ad ve soyad
- Profil fotoğrafı (isteğe bağlı)
- Doğum tarihi (isteğe bağlı)
- Kullanıcı adı / kullanıcı kimliği
4.2. İletişim Verileri
- E-posta adresi
- Telefon numarası (isteğe bağlı)
- Posta adresi (isteğe bağlı)
- Ülke ve şehir bilgisi
4.3. Hesap ve Kimlik Doğrulama Verileri
- Şifrelenmiş parola
- İki faktörlü doğrulama kayıtları
- Cihaz bilgileri ve kimlik tanımlayıcıları
- IP adresi ve bağlantı bilgileri
- Oturum ve giriş kayıtları
4.4. İşletme ve Profil Verileri
- Şirket adı
- Sektör ve şirket büyüklüğü
- Vergi numarası (isteğe bağlı)
- İş ünvanı
- Tercih edilen para birimi ve dil
4.5. Faturalama ve Ödeme Verileri
- Fatura adresi
- Abonelik bilgileri
- Ödeme geçmişi (ödeme kart bilgileri saklanmaz; bunlar Apple, Google ve RevenueCat tarafından işlenir)
4.6. Teknik ve Kullanım Verileri
- Cihaz tipi ve işletim sistemi
- Uygulama sürümü
- Kullanım istatistikleri
- Hata ve çökme raporları
- Performans verileri
5. İşleme Amaçları
Kişisel verilerinizi yalnızca aşağıdaki belirli, açık ve meşru amaçlar için işliyoruz:
- Hizmet sözleşmemizin ifası ve hesabınızın yönetilmesi;
- Kimlik doğrulama, oturum yönetimi ve güvenlik;
- Faturalama, abonelik yönetimi ve ödemelerin işlenmesi;
- Müşteri desteği ve teknik yardım sağlanması;
- Hizmetimizin sürdürülmesi, geliştirilmesi ve iyileştirilmesi;
- Önemli güvenlik ve sistem bildirimlerinin iletilmesi;
- Yasal yükümlülüklerimizi yerine getirme;
- Dolandırıcılık önleme ve hizmet güvenliği;
- Açık rızanız bulunduğunda pazarlama iletişimi;
- Toplulaştırılmış istatistiksel analizler ve ürün geliştirme.
6. Hukuki Dayanaklar (GDPR Madde 6)
GDPR Madde 6(1) uyarınca, kişisel verilerinizin işlenmesi aşağıdaki hukuki dayanaklara dayalıdır:
| İşleme Faaliyeti | Hukuki Dayanak |
|---|---|
| Hesap oluşturma ve hizmet sunumu | Madde 6(1)(b) – Sözleşmenin ifası |
| Faturalama ve ödeme yönetimi | Madde 6(1)(b) ve Madde 6(1)(c) – Sözleşme ifası ve hukuki yükümlülük |
| Vergi, ticari ve hukuki kayıtların tutulması | Madde 6(1)(c) – Hukuki yükümlülük |
| Müşteri desteği | Madde 6(1)(b) – Sözleşmenin ifası |
| Güvenlik ve dolandırıcılık önleme | Madde 6(1)(f) – Meşru menfaat |
| Pazarlama iletişimi | Madde 6(1)(a) – Açık rıza |
| Hizmet geliştirme ve analitik | Madde 6(1)(f) – Meşru menfaat |
| Hayati menfaat durumları | Madde 6(1)(d) – Hayati menfaat |
Meşru menfaat değerlendirmesi: Madde 6(1)(f) hukuki dayanağına dayandığımız her durumda, meşru menfaatimizin veri sahiplerinin temel hakları ve özgürlüklerine üstün gelmediğinden emin olmak için bir denge testi yapıyoruz. Detaylı meşru menfaat değerlendirmelerimizi talep etmek için DPO'muz ile iletişime geçebilirsiniz.
7. Veri Koruma İlkeleri (GDPR Madde 5)
myroERP olarak GDPR Madde 5'te belirtilen tüm veri koruma ilkelerine sıkı sıkıya uyuyoruz:
- Hukuka uygunluk, dürüstlük ve şeffaflık: Kişisel verileri yasal, dürüst ve şeffaf bir şekilde işliyoruz.
- Amaç sınırlaması: Verileri yalnızca belirli, açık ve meşru amaçlar için topluyor; daha sonra bu amaçlarla bağdaşmayan şekilde işlemiyoruz.
- Veri minimizasyonu: Yalnızca işleme amacı için yeterli, ilgili ve gerekli olan verileri topluyoruz.
- Doğruluk: Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlıyor; yanlış verilerin gecikmeksizin silinmesi veya düzeltilmesi için makul adımlar atıyoruz.
- Saklama sınırlaması: Verileri yalnızca işleme amaçları için gerekli olan süre boyunca, tanımlanabilir formda saklıyoruz.
- Bütünlük ve gizlilik: Uygun teknik ve idari tedbirlerle kişisel verilerin güvenliğini, bütünlüğünü ve gizliliğini sağlıyoruz.
- Hesap verebilirlik: Tüm bu ilkelere uyumu kanıtlayabilecek şekilde işleme kayıtları tutuyor ve düzenli denetimler yapıyoruz.
8. Veri Sahibinin Hakları (GDPR Madde 12-22)
GDPR kapsamında veri sahibi olarak aşağıdaki haklara sahipsiniz:
8.1. Bilgi Edinme Hakkı (Madde 13-14)
Kişisel verilerinizin nasıl işlendiğine dair şeffaf ve anlaşılır bilgi alma hakkı.
8.2. Erişim Hakkı (Madde 15)
İşlenen kişisel verilerinize erişme ve bu verilerin bir kopyasını alma hakkı.
8.3. Düzeltme Hakkı (Madde 16)
Yanlış veya eksik kişisel verilerinizin düzeltilmesini veya tamamlanmasını talep etme hakkı.
8.4. Silme Hakkı / Unutulma Hakkı (Madde 17)
Belirli koşullar altında, kişisel verilerinizin silinmesini talep etme hakkı. Bu hak, aşağıdaki durumlarda kullanılabilir:
- Verilerin işleme amacı için artık gerekli olmaması;
- Açık rızanın geri çekilmesi ve başka hukuki dayanağın bulunmaması;
- Verilerin hukuka aykırı olarak işlenmiş olması;
- Hukuki yükümlülüğe uymak için silme zorunluluğu bulunması.
8.5. İşlemenin Kısıtlanması Hakkı (Madde 18)
Belirli koşullar altında kişisel verilerinizin işlenmesinin kısıtlanmasını talep etme hakkı.
8.6. Veri Taşınabilirliği Hakkı (Madde 20)
Sağladığınız kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma; ve mümkün olduğu durumlarda bu verileri başka bir veri sorumlusuna aktarma hakkı.
8.7. İtiraz Hakkı (Madde 21)
Meşru menfaate veya kamu yararına dayanan veri işleme faaliyetlerine itiraz etme hakkı. Doğrudan pazarlama amacıyla işleme faaliyetlerine, herhangi bir gerekçe göstermeksizin itiraz edebilirsiniz.
8.8. Otomatik Karar Vermeye Tabi Olmama Hakkı (Madde 22)
Üzerinizde önemli etki yaratacak ve yalnızca otomatik işleme dayalı kararlara (profil oluşturma dahil) tabi olmama hakkı.
8.9. Açık Rızayı Geri Çekme Hakkı
İşlemenin açık rızanıza dayalı olduğu durumlarda, dilediğiniz zaman bu rızanızı geri çekme hakkı. Rızanın geri çekilmesi, geri çekilmeden önceki işleme faaliyetlerinin hukuka uygunluğunu etkilemez.
8.10. Şikayet Etme Hakkı
İlgili gözetim otoritesine şikayette bulunma hakkı (bkz. Madde 17 — Şikayet Hakkı).
9. Uluslararası Veri Aktarımları
Hizmetimizin küresel altyapısı ve üçüncü taraf hizmet sağlayıcılarımız nedeniyle, kişisel verileriniz Avrupa Ekonomik Alanı (EEA) dışındaki ülkelere aktarılabilir.
Bu tür aktarımlarda, GDPR'nin V. Bölümü (Madde 44-50) gereği aşağıdaki güvencelerden birini uyguluyoruz:
- Yeterlilik Kararı (Madde 45): Avrupa Komisyonu tarafından yeterli koruma düzeyine sahip olarak belirlenmiş ülkelere aktarım;
- Standart Sözleşme Maddeleri (Madde 46(2)(c) – SCCs): Avrupa Komisyonu tarafından kabul edilen standart sözleşme maddelerinin uygulanması;
- Bağlayıcı Kurumsal Kurallar (Madde 47 – BCRs): Şirket grupları içinde uygulanan, yetkili otorite tarafından onaylanmış kurallar;
- Açık Rıza (Madde 49(1)(a)): Aktarım risklerinden haberdar edildikten sonra verdiğiniz açık rıza;
- Sözleşmenin ifası (Madde 49(1)(b)): Sözleşmenin gerçekleştirilmesi için zorunlu aktarımlar.
Aktarımlar hakkında detaylı bilgi almak veya geçerli güvencelerin bir kopyasını talep etmek için DPO'muz ile iletişime geçebilirsiniz.
10. Veri Saklama Politikası
GDPR Madde 5(1)(e) "saklama sınırlaması" ilkesi uyarınca, kişisel verilerinizi yalnızca işleme amaçları için gerekli olan süre boyunca saklarız.
| Veri Kategorisi | Saklama Süresi | Kriter |
|---|---|---|
| Hesap verileri | Hesap aktif olduğu sürece + sonlandırma sonrası 30 gün | Hizmet ifası |
| Sözleşme ve fatura belgeleri | 10 yıl | Hukuki yükümlülük (TR Türk Borçlar Kanunu, AB üye devletleri vergi mevzuatı) |
| Müşteri destek kayıtları | 3 yıl | Meşru menfaat – uyuşmazlık çözümü |
| Güvenlik ve denetim kayıtları | 2 yıl | Meşru menfaat – güvenlik analizi |
| Pazarlama tercihleri | Açık rıza geri çekilene kadar | Açık rıza |
| Çerez verileri | 1 saat – 13 ay (çerez türüne göre) | Çerez politikası |
Saklama süresi sona eren veriler, geri alınamayacak şekilde silinir veya anonimleştirilir.
11. Veri Güvenliği (GDPR Madde 32)
GDPR Madde 32 uyarınca, riske uygun bir güvenlik düzeyi sağlamak için aşağıdaki teknik ve idari tedbirleri uyguluyoruz:
11.1. Teknik Tedbirler
- Şifreleme: Tüm veri aktarımları TLS 1.2+ ile, durağan haldeki hassas veriler ise endüstri standardı algoritmalarla şifrelenir;
- Sözde-anonimleştirme: Mümkün olduğunda kişisel veriler sözde-anonimleştirilir (pseudonymisation);
- Erişim kontrolü: Rol tabanlı erişim denetimi (RBAC) ve "bilmesi gereken" prensibi uygulanır;
- Kimlik doğrulama: Çok faktörlü kimlik doğrulama (MFA/2FA) desteklenir;
- İzleme: Yetkisiz erişim girişimleri için sürekli izleme ve uyarı sistemleri;
- Yedekleme: Düzenli yedekleme ve felaket kurtarma prosedürleri;
- Test: Düzenli sızma testleri ve güvenlik açığı taramaları;
- Veri ihlali tespiti: Otomatik veri ihlali tespit ve uyarı sistemleri.
11.2. İdari Tedbirler
- Çalışanların düzenli GDPR ve veri güvenliği eğitimi;
- Tüm çalışanların gizlilik sözleşmesi imzalaması;
- Veri işleme kayıtlarının (Madde 30) tutulması;
- Risk değerlendirmeleri ve etki değerlendirmeleri;
- Tedarikçi ve iş ortağı denetimleri;
- Düzenli politika ve prosedür gözden geçirmeleri;
- Olay müdahale planları ve veri ihlali bildirim prosedürleri.
12. Veri İşleyenler ve Alt İşleyenler
Hizmetimizi sunarken, GDPR Madde 28 uyarınca veri işleyen sıfatıyla hareket eden çeşitli üçüncü taraflarla çalışıyoruz. Tüm veri işleyenlerimiz, GDPR uyumlu sözleşmeler (Veri İşleme Sözleşmesi – DPA) imzalamış ve uygun veri koruma standartlarını uygulamayı taahhüt etmiştir.
Mevcut veri işleyen kategorilerimiz:
- Bulut Altyapısı: Avrupa veri merkezlerinde sunucular kullanan veya GDPR uyumlu veri aktarım güvenceleri sağlayan altyapı sağlayıcıları;
- Ödeme İşlemcileri: Apple Inc., Google LLC, RevenueCat;
- Bildirim Servisleri: Firebase Cloud Messaging (Google), Apple Push Notification Service;
- Analitik Hizmetler: Anonimleştirilmiş kullanım analizi sağlayıcıları;
- E-posta Hizmet Sağlayıcıları: İletişim e-postalarının iletilmesi için;
- Hata İzleme: Uygulama çökme ve hata raporları için.
Tam alt işleyen listesini ve ilgili güvenceleri talep etmek için DPO ile iletişime geçebilirsiniz.
13. Veri İhlali Bildirimi (GDPR Madde 33-34)
GDPR Madde 33 ve 34 uyarınca, kişisel verilerin ihlali durumunda aşağıdaki adımları izliyoruz:
13.1. Gözetim Otoritesine Bildirim (Madde 33)
Kişisel veri ihlalini öğrendiğimiz andan itibaren 72 (yetmiş iki) saat içerisinde, ihlalin gerçek kişilerin hak ve özgürlükleri için risk oluşturmasının olası olmadığı durumlar hariç, yetkili gözetim otoritesine bildirim yaparız.
13.2. Veri Sahiplerinin Bilgilendirilmesi (Madde 34)
İhlalin gerçek kişilerin hak ve özgürlükleri için yüksek risk oluşturduğu durumlarda, etkilenen veri sahiplerini de gecikmeksizin doğrudan ve açık bir dille bilgilendiririz. Bu bilgilendirme şunları içerir:
- İhlalin niteliği;
- DPO veya iletişim noktasının iletişim bilgileri;
- İhlalin olası sonuçları;
- Alınması planlanan veya alınan önlemler.
14. Veri Koruma Etki Değerlendirmesi (DPIA)
GDPR Madde 35 uyarınca, yüksek risk içerebilecek yeni işleme faaliyetleri başlatmadan önce Veri Koruma Etki Değerlendirmesi (DPIA – Data Protection Impact Assessment) yapıyoruz. Bu değerlendirmeler:
- Öngörülen işleme operasyonlarının ve amaçlarının sistematik bir tanımını;
- İşleme faaliyetlerinin gereklilik ve orantılılığının değerlendirilmesini;
- Veri sahiplerinin hak ve özgürlüklerine yönelik risklerin değerlendirilmesini;
- Riskleri ele almak için planlanan önlemleri içerir.
15. Çocuklar ve Genç Kullanıcılar (GDPR Madde 8)
Hizmetimiz 18 yaşın altındaki kişiler için tasarlanmamıştır. Bilerek 16 yaşın altındaki çocuklardan kişisel veri toplamıyoruz. AB üye devletlerinde geçerli yaş sınırı 13 ile 16 arasında değişmektedir.
Eğer bir çocuğun bize kişisel veri sağladığından şüpheleniyorsanız, lütfen DPO'muz ile derhal iletişime geçin. Bu verileri hızla silmek için gerekli adımları atacağız.
16. Otomatik Karar Verme (GDPR Madde 22)
Hizmetimizde, kullanıcılar üzerinde önemli hukuki sonuçlar doğuran veya benzer şekilde önemli etkide bulunan tamamen otomatik karar verme süreçleri (profil oluşturma dahil) kullanmıyoruz.
Spam, dolandırıcılık önleme ve güvenlik tehditlerinin tespiti amacıyla kullanılan otomatik sistemler, insan denetimi altında çalışmakta ve önemli kararlar daima bir insan tarafından gözden geçirilmektedir.
17. Şikayet Hakkı
GDPR Madde 77 uyarınca, kişisel verilerinizin işlenmesinin GDPR'ye aykırı olduğunu düşünüyorsanız, ikamet ettiğiniz, çalıştığınız veya ihlalin gerçekleştiği AB üye devletindeki yetkili gözetim otoritesine şikayette bulunma hakkına sahipsiniz.
AB Üye Devletlerinin Veri Koruma Otoritelerinin tam listesine aşağıdaki bağlantıdan ulaşabilirsiniz:
https://edpb.europa.eu/about-edpb/about-edpb/members_en
Türkiye'de ikamet eden kullanıcılar için yetkili otorite Kişisel Verileri Koruma Kurumu'dur:
Şikayet öncesinde, sorununuzu DPO'muz ile doğrudan görüşerek çözmeye çalışmanızı öneririz; çoğu durum hızlı bir şekilde çözüme kavuşturulabilir.
18. İletişim
GDPR ile ilgili her türlü soru, talep veya hak kullanımı için lütfen aşağıdaki iletişim kanallarını kullanın:
- Veri Sorumlusu
- myroERP
- GDPR ve Genel Gizlilik
- [email protected]
- Veri Koruma Yetkilisi (DPO)
- [email protected]
- Web
- https://myroerp.com
Veri sahibi haklarınızı kullanmak için gönderdiğiniz tüm taleplere, GDPR Madde 12(3) uyarınca, talebin alınmasından itibaren 1 ay içerisinde yanıt vereceğiz. Talebin karmaşık veya çok sayıda talep söz konusu olduğunda bu süre 2 ay daha uzatılabilir; bu durumda 1 ay içerisinde sizi gecikmeye ilişkin bilgilendireceğiz.
Bu Beyan, AB 2016/679 sayılı Genel Veri Koruma Tüzüğü (GDPR) hükümlerine uygun olarak hazırlanmıştır ve EUR-Lex üzerinden erişilebilir resmi metin esas alınarak düzenli olarak gözden geçirilmektedir.