Kent Envanter

Kent Envanter — Gizlilik Politikası

Yürürlük Tarihi: 19 Nisan 2026 Sürüm: 1.0 Platform: https://kent.urclimate.com Veri Sorumlusu: Alkazar Mühendislik ve Danışmanlık Ltd. Şti. İletişim: destek@urclimate.com

Bilgilendirme: Bu Gizlilik Politikası, Kent Envanter platformunun kişisel veri işleme faaliyetlerini bütüncül olarak açıklar. KVKK madde 10 kapsamındaki kısa ve teknik bilgilendirme için ayrı bir Aydınlatma Metni mevcuttur; bu politika onu tamamlayıcı niteliktedir ve çelişki halinde Aydınlatma Metni'nin özel hükümleri öncelikli uygulanır.


1. Giriş

1.1. Kapsam

Bu Gizlilik Politikası, Alkazar Mühendislik (bundan sonra "biz", "Alkazar" veya "Hizmet Veren") tarafından işletilen Kent Envanter (kent.urclimate.com) platformunda işlenen tüm kişisel verileri kapsar. Politika şunlar için geçerlidir:

  • Platforma kaydolmuş belediye yetkilileri, belediye çalışanları, kamu kurumu temsilcileri.
  • Demo/pilot talebinde bulunan potansiyel müşteriler.
  • Platform web sitesini ziyaret eden her kullanıcı.
  • destek@urclimate.com ile iletişime geçen herkes.

1.2. Yasal Dayanak

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Kanunu
  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK)
  • Kişisel Verileri Koruma Kurumu tebliğleri ve rehberleri

1.3. Veri Sorumlusu

Alkazar Mühendislik, KVKK madde 3/1-ı anlamında veri sorumlusu sıfatıyla hareket eder. Belediye müşterilerinin kendi personeline ve vatandaşlarına ait verileri Platforma girdiği senaryolarda Alkazar veri işleyen (madde 3/1-ğ) sıfatı kazanabilir; bu durum ayrı bir Veri İşleme Sözleşmesi (VİS / DPA) ile düzenlenebilir.


2. Topladığımız Bilgiler

2.1. Hesap Bilgileri (Kayıt Formu)

Kayıt sırasında aşağıdaki bilgileri toplarız:

  • Ad, soyad
  • Kurumsal e-posta adresi
  • Telefon numarası (opsiyonel)
  • Ünvan/görev
  • Bağlı olunan belediye/kurum adı
  • Şifre (tek yönlü hash olarak saklanır, düz metin asla tutulmaz)

2.2. Kullanım Verileri

Platform üzerindeki faaliyetlerinize ait bilgiler:

  • Giriş/çıkış zamanları ve süreleri.
  • Girilen envanter verileri (enerji tüketimi, araç sayısı, atık miktarı vb.) — bu veriler genellikle kurumsal/istatistiksel niteliktedir; istisnai olarak "sorumlu kişi adı" gibi kişisel veri içerebilir.
  • Yüklenen dosyalar (fatura taraması, Excel, PDF).
  • Oluşturduğunuz raporlar, not ve yorumlar.
  • Destek talepleri ve bunlara verilen cevaplar.

2.3. Teknik Veriler

  • IP adresi (KVKK kapsamında kişisel veri olarak kabul edilir).
  • Tarayıcı türü ve sürümü (User-Agent).
  • İşletim sistemi.
  • Ekran çözünürlüğü (UX istatistiği için).
  • Referans URL.
  • Çerez kimlikleri (bkz. madde 6).
  • Zaman damgası bazlı erişim logları (5651 sayılı Kanun uyarınca zorunlu).

2.4. Otomatik Toplanan Bilgi

  • Hata logları (stack trace, istek kimliği). Bu loglar 30 gün sonra silinir veya anonimleştirilir.
  • Performans ölçümleri (sayfa yüklenme süresi, API yanıt süresi).

2.5. Toplamadığımız Bilgiler

  • Hassas kişisel veri (KVKK m.6 — sağlık, cinsel hayat, din, siyasi görüş, biyometrik) işlemeyiz.
  • Ödeme kartı bilgisi sunucularımızda saklanmaz; ücretli planlarda ödeme banka havalesi veya PCI-DSS uyumlu 3. taraf (entegrasyon sonrası) ile yapılır.
  • 13 yaş altı kullanıcılara ait veri bilerek toplanmaz (bkz. madde 7).
  • Konum verisi (GPS) toplanmaz; yalnızca IP'den yaklaşık şehir çıkarılabilir.

3. Bilgi Kullanım Amaçları

Toplanan bilgiler aşağıdaki amaçlarla işlenir:

3.1. Hizmet Sunumu (KVKK m.5/2-c, sözleşme ifası)

  • Hesap oluşturma ve yönetimi.
  • Kullanıcı kimlik doğrulaması.
  • Envanter hesaplamalarını çalıştırmak ve rapor üretmek.
  • Veri yedekleme ve restore.

3.2. İletişim (KVKK m.5/2-c ve m.5/2-f)

  • Sistem bildirimleri (şifre sıfırlama, hesap uyarıları).
  • Abonelik dönem sonu hatırlatmaları.
  • Hizmet kesintisi/bakım duyuruları.
  • Destek taleplerine cevap verme.

3.3. Hizmet Geliştirme (KVKK m.5/2-f, meşru menfaat)

  • Kullanım istatistikleri (agrega).
  • Hata ayıklama ve performans iyileştirme.
  • A/B testleri ve UX araştırması (kişisel tanımlayıcı olmadan).

3.4. Yasal Yükümlülükler (KVKK m.5/2-a)

  • Vergi, ticari kayıt zorunlulukları (VUK 253 — 5 yıl fatura saklama).
  • 5651 sayılı Kanun kapsamında erişim loglarının 6 ay süreyle tutulması.
  • Yetkili merciilere (savcılık, mahkeme, BTK, KVKK Kurumu) bilgi verme.

3.5. Pazarlama (Açık rıza ile — KVKK m.5/1 ve ETK m.6)

Yalnızca Kullanıcının açık rıza verdiği durumlarda:

  • Ürün güncelleme duyuruları.
  • Webinar/eğitim davetleri.
  • Yeni özellik bildirimleri.

Açık rıza her zaman geri alınabilir; e-postadaki "abonelikten çık" bağlantısı veya destek@urclimate.com üzerinden.


4. Üçüncü Taraflarla Paylaşım

Kişisel verilerinizi yalnızca aşağıdaki durumlarda paylaşırız. Hiçbir koşulda verilerinizi üçüncü taraflara satmayız.

4.1. Altyapı Hizmet Sağlayıcıları (Veri İşleyenler)

SağlayıcıHizmetKonumİşlenen Veri
SupabaseVeritabanı + kimlik doğrulamaFrankfurt, ABHesap verileri, envanter verileri
VercelUygulama barındırmaAB (Frankfurt region)İstek logları, teknik veriler
ResendTransactional e-postaABE-posta adresi, gönderim logu
AQICNHava kalitesi verisi (referans)Global (public API)Hiçbir kişisel veri gönderilmez
Sentry (gelecekte)Hata izlemeABStack trace, kullanıcı kimliği (opsiyonel)

Tüm altyapı sağlayıcıları AB'de konuşlanmıştır; KVKK madde 9 kapsamında Kullanıcının açık rızası ile aktarım yapılır.

4.2. Yasal Zorunluluk

  • Mahkeme kararı, savcılık talebi, BTK veya KVKK Kurumu yazısı üzerine.
  • Bildirimler yasal olarak engellenmedikçe Kullanıcıyı bilgilendiririz.

4.3. İş Devri / Birleşme

Alkazar'ın birleşme, bölünme, devralma, satış veya benzeri bir kurumsal işlemine konu olması halinde kişisel veriler aynı gizlilik standartlarıyla devralan şirkete aktarılabilir; bu durumda Kullanıcılar e-posta ile bilgilendirilir.

4.4. Anonim/Agrega Veri

Kimlik tanımlayıcı içermeyen agrega istatistikler (örneğin "2026 Q1'de platformdaki toplam kayıtlı belediye sayısı") araştırma kuruluşlarıyla, medyayla veya yatırımcı sunumlarında paylaşılabilir.


5. Güvenlik Tedbirleri

KVKK madde 12 kapsamında aldığımız teknik ve idari tedbirler:

5.1. Teknik Tedbirler

  • Taşımada şifreleme: Tüm veri trafiği TLS 1.3 (HTTPS) ile şifrelenir.
  • Saklamada şifreleme: Veritabanında AES-256 şifreleme.
  • Parola güvenliği: Kullanıcı parolaları bcrypt (work factor 10+) ile hash'lenir; düz metin asla kaydedilmez.
  • Row-Level Security (RLS): Her belediye yalnızca kendi verisini görür; veri izolasyonu veritabanı seviyesinde zorlanır.
  • Yedekleme: Otomatik günlük yedek; 30 gün retention; yedekler de şifrelidir.
  • Çok Faktörlü Kimlik Doğrulama (MFA): Gelecek sürümde kullanıcıya sunulacak; ekip hesaplarında zorunludur.
  • Güvenlik yamaları: Bağımlılık taraması (Dependabot) ve kritik CVE'ler 7 gün içinde yamalanır.
  • Rate limiting ve bot koruması: DoS ve brute-force saldırılarına karşı.
  • Audit log: Tüm kritik işlemler (giriş, silme, dışa aktarım, yetki değişikliği) loglanır.

5.2. İdari Tedbirler

  • Personel gizlilik taahhütnamesi.
  • Veri minimizasyonu ilkesi (sadece gerekli olan toplanır).
  • Erişim yetkisi "en az yetki" (least privilege) ilkesi.
  • Yıllık gizlilik ve siber güvenlik eğitimi.
  • Olay müdahale prosedürü.
  • Düzenli risk analizi.

5.3. Veri İhlal Süreci

Bir güvenlik ihlali tespit edildiğinde:

  1. İhlal derhal tespit edilir ve sınırlandırılır.
  2. 72 saat içinde KVKK Kurumu'na bildirim yapılır (KVKK m.12/5).
  3. Etkilenen Kullanıcılar en kısa sürede e-posta ile bilgilendirilir.
  4. Olay raporu hazırlanır ve önleyici tedbirler alınır.

6. Çerezler

Platform, temel işlevsellik, güvenlik ve istatistik amaçlı çerezler kullanır. Detaylı bilgi ve çerez yönetimi için Çerez Politikası belgesine bakınız.

Özet:

  • Zorunlu çerezler: Oturum yönetimi, CSRF koruması. Rıza gerektirmez (KVKK m.5/2-c).
  • İstatistik çerezleri: Agrega kullanım verisi. Rıza ile aktifleşir.
  • Pazarlama çerezleri: Kullanmıyoruz.

7. Çocuklar ve Yaş Sınırı

Kent Envanter 13 yaş altı kullanıcılara yönelik değildir. 13 yaş altı bir kişinin hesap açtığı tespit edilirse hesap derhal silinir.

18 yaş altı kullanıcıların Platformu kullanması için yasal temsilcisinin açık rızası gerekir. Belediye kurumsal hesapları için bu durum geçerli değildir; kurumsal kullanıcıların yetişkin ve belediye adına işlem yapmaya yetkili olduğu varsayılır.


8. Kullanıcı Hakları (KVKK Madde 11)

Kullanıcı, KVKK madde 11 uyarınca aşağıdaki haklara sahiptir:

  1. Kişisel verisinin işlenip işlenmediğini öğrenme.
  2. İşlenmişse buna ilişkin bilgi talep etme.
  3. İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
  4. Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme.
  5. Eksik veya yanlış işlenmişse düzeltilmesini isteme.
  6. Şartları oluştuğunda silinmesini veya yok edilmesini isteme (unutulma hakkı).
  7. Düzeltme/silme işlemlerinin veri aktarılan 3. kişilere bildirilmesini isteme.
  8. Otomatik sistemler yoluyla analiz sonucu aleyhine bir sonuç çıkmasına itiraz etme.
  9. Kanuna aykırı işleme nedeniyle zarara uğraması halinde zararın giderilmesini talep etme.

8.1. Başvuru Yöntemi

Haklarınızı kullanmak için başvurularınızı:

  • E-posta: destek@urclimate.com
  • Telefon: 0212 270 40 57
  • Yazılı: Alkazar Mühendislik, Reşitpaşa Mh. Katar Cd. No:2/50/6 İTÜ ARI Teknokent Sarıyer/İstanbul

şeklinde yapabilirsiniz. Başvuruda kimlik doğrulama için ad-soyad, T.C. kimlik no veya pasaport no (yabancılar için), tebligat adresi ve talep konusunu belirtmeniz gerekir.

8.2. Yanıt Süresi

Başvurular en geç 30 gün içinde ücretsiz olarak cevaplanır. Talep özel maliyet gerektiriyorsa KVKK Kurulu'nun belirlediği tarife (2026 yılı için [TODO]) uygulanır.


9. Veri Saklama Süreleri

Veri TürüSaklama SüresiDayanak
Hesap bilgileriAbonelik süresi + 90 günSözleşme ifası
Envanter verileriAbonelik süresi + 90 gün (sonra hard-delete)Sözleşme ifası + Kullanıcı talebi
Erişim logları6 ay5651 sayılı Kanun
Fatura/muhasebe5 yılVUK 253
Destek yazışmaları3 yılMeşru menfaat (uyuşmazlık savunması)
Yedekler30 gün dönen pencereTeknik gereklilik
E-posta pazarlama onayıRıza geri alınana kadarETK m.6

Yasal saklama süresi dolduğunda veri otomatik silinir veya anonimleştirilir.


10. Değişiklikler

Bu Gizlilik Politikası zaman içinde güncellenebilir.

  • Esasa ilişkin değişiklikler (yeni veri türü toplama, yeni 3. taraf, yurt dışı aktarım değişikliği) 30 gün önceden e-posta ve panel bildirimi ile duyurulur.
  • Küçük düzeltmeler (yazım, bağlantı güncelleme) yürürlük tarihi güncellenerek yapılabilir.
  • Politikanın önceki sürümleri arşiv olarak saklanır; talep üzerine paylaşılır.

Her güncelleme sonrası Kullanıcı, Platformu kullanmaya devam ederek yeni politikayı kabul etmiş sayılır. Kabul etmeme halinde madde 10 (Fesih — Kullanım Şartları) hükümleri uygulanır.


11. İletişim ve Şikayetler

11.1. Birinci Adım — Alkazar Destek

Gizlilik ile ilgili her türlü soru, talep ve şikayet için öncelikle bize ulaşın:

Alkazar Mühendislik — Veri Sorumlusu

  • E-posta: destek@urclimate.com
  • Web: https://kent.urclimate.com
  • Adres: Reşitpaşa Mh. Katar Cd. No:2/50/6 İTÜ ARI Teknokent Sarıyer/İstanbul
  • Telefon: 0212 270 40 57
  • Vergi Dairesi / No: Sarıyer - 0540479352
  • VERBIS Sicil No: (başvuru süreci devam ediyor)

11.2. İkinci Adım — KVKK Kurumu

Alkazar'a yaptığınız başvurunun reddedilmesi, verilen cevabı yetersiz bulmanız veya 30 gün içinde cevap alamamanız halinde:

Kişisel Verileri Koruma Kurumu

  • Adres: Nasuh Akar Mah. 1407. Sok. No: 4, 06520 Balgat — Çankaya / Ankara
  • Web: https://www.kvkk.gov.tr
  • Telefon: 0 312 216 50 50

başvuru tarihinden itibaren 30 gün, şikayet konusunu öğrendiğiniz tarihten itibaren 60 gün içinde ve her halükarda en geç 2 yıl içinde şikayette bulunabilirsiniz (KVKK m.14).


Yürürlük Tarihi: 19 Nisan 2026 Sürüm: 1.0

Bu Gizlilik Politikası, KVKK, ETK ve ilgili tüm mevzuata uygun olarak hazırlanmıştır. Mevzuat değişikliklerine göre güncellenir. Güncel sürüm her zaman https://kent.urclimate.com/gizlilik-politikasi adresinde yer alır.