Karbonsa Platform — Gizlilik Politikası
Yürürlük Tarihi: 22 Mayıs 2026
1. Giriş ve Kapsam
İşbu Gizlilik Politikası, KARBONSA DANIŞMANLIK MÜHENDİSLİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ ("Karbonsa") tarafından "platform.karbonsa.com" adresinde sunulan kurumsal karbon ayak izi ve sürdürülebilirlik (ESG) yönetimi yazılımının ("Platform") kullanımı sırasında verilerin nasıl toplandığını, kullanıldığını, paylaşıldığını, saklandığını ve korunduğunu açıklar.
Politika; Platform'a kayıt olan kurumsal üyeleri ("Üye"), Üye adına işlem yapan yetkili kişileri ve Üye tarafından yetkilendirilen Kullanıcıları kapsar. Karbonsa'nın tanıtım/kurumsal web sitesi (karbonsa.com) ve danışmanlık hizmetleri ayrı belgelere tabidir.
2. Veri İşlemedeki Rollerimiz
Platform üzerinde iki farklı veri ilişkisi bulunur ve hangi rolde olduğumuz işlenen veriye göre değişir:
- Karbonsa veri sorumlusu olarak: Hesap, kimlik, iletişim ve kullanım verileri (kayıt bilgileri, profil, oturum ve güvenlik kayıtları) bakımından Karbonsa veri sorumlusudur. Bu verilere ilişkin esaslar Aydınlatma Metni'nde düzenlenmiştir.
- Karbonsa veri işleyen olarak: Üye veya Kullanıcılar tarafından Platform'a yüklenen belge ve içeriklerde (fatura, tablo vb.) yer alabilecek üçüncü kişilere ait kişisel veriler bakımından Üye veri sorumlusu, Karbonsa ise veri işleyendir. Bu ilişki Veri İşleme Sözleşmesi (DPA) ile düzenlenir.
3. Topladığımız Veriler
3.1. Hesap ve Kimlik Verileri
Kayıt ve hesap aktivasyonu sırasında: ad, soyad, kurumsal e-posta adresi ve parola (yalnızca şifrelenmiş/hash'lenmiş biçimde saklanır). Profil üzerinden isteğe bağlı olarak: telefon numarası, görev/ünvan, iş fonksiyonu, kıdem, ülke/şehir/bölge bilgisi ve dil/tema/bildirim tercihleri.
3.2. Organizasyon Verileri
Üye'ye ait kurumsal bilgiler: ticari/yasal unvan, vergi bilgisi, sektör ve faaliyet kodu, adres ve iletişim bilgileri, abonelik planı.
3.3. Kullanım ve Teknik Veriler
Platform'un kullanımı sırasında otomatik olarak: IP adresi, tarayıcı/cihaz bilgisi, oturum kayıtları, işlem ve hata kayıtları, sözleşme ve politikalara ilişkin onay kayıtları (onay tarihi, IP adresi, tarayıcı bilgisi, belge sürümü).
3.4. Üye İçeriği
Üye veya Kullanıcılar tarafından Platform'a girilen veya yüklenen tüm veriler: faaliyet verileri, emisyon ve ESG kayıtları, yüklenen belgeler ve bunlardan üretilen rapor ve analizler. Üye İçeriği'nin mülkiyeti Üye'ye aittir (bkz. Üyelik Sözleşmesi md. 8).
4. Verileri Nasıl ve Neden Kullanıyoruz
Verileri yalnızca aşağıdaki amaçlarla kullanırız:
- Hesabın oluşturulması, hizmetin sunulması ve Organizasyonun yönetilmesi,
- Kimlik doğrulama, oturum yönetimi ve hesap güvenliğinin sağlanması,
- Hizmete ilişkin bildirim ve iletişimin yürütülmesi, destek sağlanması,
- Onayların kayıt altına alınması ve mevzuata uyumun sağlanması,
- Platform güvenliğinin sağlanması, kötüye kullanımın önlenmesi,
- Hata ve performans sorunlarının giderilmesi, hizmet kalitesinin iyileştirilmesi.
Karbonsa, Üye İçeriği'nden elde edilen verileri yalnızca; Üye'nin, Kullanıcıların ve Organizasyonun kimliğinin hiçbir şekilde belirlenemeyeceği biçimde anonim ve/veya toplulaştırılmış (istatistiksel) hâle getirerek, sektörel kıyaslama ve hizmetin geliştirilmesi amaçlarıyla kullanabilir. Geri döndürülemez şekilde anonim hâle getirilen veriler KVKK kapsamında kişisel veri sayılmaz (bkz. Üyelik Sözleşmesi md. 8.4).
5. Veri Paylaşımı ve Alt Hizmet Sağlayıcılar
Karbonsa, verileri satmaz ve pazarlama amacıyla üçüncü kişilerle paylaşmaz. Veriler yalnızca aşağıdaki hâllerde paylaşılır:
- Alt hizmet sağlayıcılar: Platform'un sunulması için zorunlu olan barındırma, veritabanı, kimlik doğrulama, dosya depolama, hata izleme ve yapay zekâ destekli analiz hizmetleri için yetkilendirilmiş hizmet sağlayıcılarla. Bu sağlayıcılar yalnızca Karbonsa'nın talimatı doğrultusunda ve hizmetin gerektirdiği ölçüde veri işler. Güncel liste Alt Hizmet Sağlayıcılar Listesi'nde yayımlanır.
- Yasal yükümlülük: Kanunen yetkili kamu kurum ve kuruluşlarının usulüne uygun talepleri hâlinde.
- Hukuki süreçler: Hak ve menfaatlerin korunması amacıyla avukat, denetçi gibi profesyonel danışmanlarla.
6. Yurt Dışı Aktarım
Platform'un teknik altyapısı yurt dışında yerleşik hizmet sağlayıcılar aracılığıyla sunulduğundan, kişisel veriler hizmetin sunulabilmesi için zorunlu olduğu ölçüde yurt dışına aktarılır. Bu aktarımlar KVKK md. 9'a uygun olarak; varsa yeterlilik kararına, aksi hâlde uygun güvencelere (özellikle Kurul'un standart sözleşmelerine) veya KVKK md. 9/6'daki istisnalara dayanılarak gerçekleştirilir. Ayrıntılar için bkz. Aydınlatma Metni md. 7 ve Alt Hizmet Sağlayıcılar Listesi.
7. Veri Saklama Süreleri
Kişisel veriler, işlendikleri amaç için gerekli olan süre boyunca ve ilgili mevzuatta öngörülen asgari sürelere uygun olarak saklanır:
| Veri Türü | Saklama Süresi |
|---|---|
| Hesap, kimlik ve profil verileri | Üyelik ilişkisi süresince; üyeliğin sona ermesinden itibaren 30 günlük dışa aktarma penceresinin ardından silinir veya anonim hâle getirilir |
| Üye İçeriği (faaliyet, emisyon, ESG kayıtları ve raporlar) | Üyelik ilişkisi süresince; üyeliğin sona ermesinden itibaren 30 günlük dışa aktarma penceresinin ardından silinir veya anonim hâle getirilir (mevzuat gereği saklanması zorunlu olanlar hariç) |
| Sözleşme ve politika onay kayıtları | İspat yükümlülüğü gereği, üyelik ilişkisinin sona ermesinden sonra ilgili zamanaşımı süreleri boyunca |
| Teknik hata ve performans kayıtları | Kısa süreli; azami 90 gün |
| Hız sınırlama (rate limiting) kayıtları | Çok kısa süreli; otomatik olarak silinir (dakikalar mertebesinde) |
| Destek talepleri ve yazışmaları | Talebin çözümü ve makul bir takip süresi boyunca |
| Faturalama ve muhasebe verileri (ücretli plan devreye girdiğinde) | İlgili vergi ve ticaret mevzuatında öngörülen süreler boyunca (10 yıla kadar) |
Saklama sürelerinin sonunda kişisel veriler, Karbonsa'nın kişisel veri saklama ve imha esaslarına uygun olarak silinir, yok edilir veya anonim hâle getirilir.
8. Veri Güvenliği
Karbonsa, kişisel verilerin güvenliği için KVKK md. 12 kapsamında sektörce kabul görmüş teknik ve idari tedbirleri uygular. Bunlar arasında özellikle:
- Her Üye'nin verilerinin yalıtılmış (multi-tenant) çalışma alanında tutulması ve veritabanı düzeyinde erişim izolasyonu,
- Verilerin iletiminde şifreli bağlantı (HTTPS/TLS) kullanılması,
- Parolaların yalnızca şifrelenmiş/hash'lenmiş biçimde saklanması,
- Rol bazlı yetkilendirme ile en az ayrıcalık ilkesinin uygulanması,
- Yüklenen belgelerin erişime kapalı (private) depolama alanında tutulması ve yalnızca süreli/imzalı bağlantılarla erişilmesi,
- Otomatik araç ve kötüye kullanıma karşı hız sınırlama (rate limiting) ve dosya doğrulama kontrolleri,
- Hata ve güvenlik olaylarının izlenmesi ve verilerin düzenli olarak yedeklenmesi
yer alır. Uygulanan tedbirlerin ayrıntısı, ayrıca düzenlenecek Teknik ve Organizasyon Güvenlik Önlemleri belgesinde açıklanır.
Hiçbir sistem mutlak güvenlik garantisi veremez; Karbonsa, bir veri ihlali durumunda KVKK ve ilgili mevzuatın öngördüğü bildirim yükümlülüklerini yerine getirir.
9. Çerezler
Platform, çalışması için gerekli olan zorunlu ve işlevsel çerezleri kullanır; analitik, reklam veya pazarlama amaçlı çerez kullanmaz. Ayrıntılar için bkz. Çerez Politikası.
10. Haklarınız
Kişisel verisi işlenen her ilgili kişi, KVKK md. 11 kapsamındaki haklara sahiptir. Hakların listesi ve başvuru yöntemi Aydınlatma Metni md. 8 ve md. 9'da düzenlenmiştir. Başvurular info@karbonsa.com veya karbonsa@hs01.kep.tr KEP adresi üzerinden yapılabilir.
11. Çocukların Gizliliği
Platform kurumsal kullanıma yöneliktir ve 18 yaşından küçük kişilere yönelik değildir. Karbonsa, bilerek 18 yaşından küçük kişilere ait kişisel veri toplamaz.
12. Politikadaki Değişiklikler
Karbonsa, işbu Gizlilik Politikası'nı gerektiğinde güncelleyebilir. Güncel metin her zaman Platform üzerinde yayımlanır; esaslı değişiklikler Üye ve Kullanıcılara uygun yöntemlerle duyurulur. Politikanın yürürlük tarihi, başlığındaki tarihtir.
13. İletişim
Gizlilik uygulamalarına ilişkin her türlü soru ve talep için:
- E-posta: info@karbonsa.com
- KEP: karbonsa@hs01.kep.tr
- Adres: Kızılırmak Mah. 1443 Cad. No:25b İç Kapı No:8 Çankaya/Ankara