Kent Envanter — Gizlilik Politikası
Yürürlük Tarihi: 19 Nisan 2026 Sürüm: 1.0 Platform: https://kent.urclimate.com Veri Sorumlusu: Alkazar Mühendislik ve Danışmanlık Ltd. Şti. İletişim: destek@urclimate.com
Bilgilendirme: Bu Gizlilik Politikası, Kent Envanter platformunun kişisel veri işleme faaliyetlerini bütüncül olarak açıklar. KVKK madde 10 kapsamındaki kısa ve teknik bilgilendirme için ayrı bir Aydınlatma Metni mevcuttur; bu politika onu tamamlayıcı niteliktedir ve çelişki halinde Aydınlatma Metni'nin özel hükümleri öncelikli uygulanır.
1. Giriş
1.1. Kapsam
Bu Gizlilik Politikası, Alkazar Mühendislik (bundan sonra "biz", "Alkazar" veya "Hizmet Veren") tarafından işletilen Kent Envanter (kent.urclimate.com) platformunda işlenen tüm kişisel verileri kapsar. Politika şunlar için geçerlidir:
- Platforma kaydolmuş belediye yetkilileri, belediye çalışanları, kamu kurumu temsilcileri.
- Demo/pilot talebinde bulunan potansiyel müşteriler.
- Platform web sitesini ziyaret eden her kullanıcı.
- destek@urclimate.com ile iletişime geçen herkes.
1.2. Yasal Dayanak
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Kanunu
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK)
- Kişisel Verileri Koruma Kurumu tebliğleri ve rehberleri
1.3. Veri Sorumlusu
Alkazar Mühendislik, KVKK madde 3/1-ı anlamında veri sorumlusu sıfatıyla hareket eder. Belediye müşterilerinin kendi personeline ve vatandaşlarına ait verileri Platforma girdiği senaryolarda Alkazar veri işleyen (madde 3/1-ğ) sıfatı kazanabilir; bu durum ayrı bir Veri İşleme Sözleşmesi (VİS / DPA) ile düzenlenebilir.
2. Topladığımız Bilgiler
2.1. Hesap Bilgileri (Kayıt Formu)
Kayıt sırasında aşağıdaki bilgileri toplarız:
- Ad, soyad
- Kurumsal e-posta adresi
- Telefon numarası (opsiyonel)
- Ünvan/görev
- Bağlı olunan belediye/kurum adı
- Şifre (tek yönlü hash olarak saklanır, düz metin asla tutulmaz)
2.2. Kullanım Verileri
Platform üzerindeki faaliyetlerinize ait bilgiler:
- Giriş/çıkış zamanları ve süreleri.
- Girilen envanter verileri (enerji tüketimi, araç sayısı, atık miktarı vb.) — bu veriler genellikle kurumsal/istatistiksel niteliktedir; istisnai olarak "sorumlu kişi adı" gibi kişisel veri içerebilir.
- Yüklenen dosyalar (fatura taraması, Excel, PDF).
- Oluşturduğunuz raporlar, not ve yorumlar.
- Destek talepleri ve bunlara verilen cevaplar.
2.3. Teknik Veriler
- IP adresi (KVKK kapsamında kişisel veri olarak kabul edilir).
- Tarayıcı türü ve sürümü (User-Agent).
- İşletim sistemi.
- Ekran çözünürlüğü (UX istatistiği için).
- Referans URL.
- Çerez kimlikleri (bkz. madde 6).
- Zaman damgası bazlı erişim logları (5651 sayılı Kanun uyarınca zorunlu).
2.4. Otomatik Toplanan Bilgi
- Hata logları (stack trace, istek kimliği). Bu loglar 30 gün sonra silinir veya anonimleştirilir.
- Performans ölçümleri (sayfa yüklenme süresi, API yanıt süresi).
2.5. Toplamadığımız Bilgiler
- Hassas kişisel veri (KVKK m.6 — sağlık, cinsel hayat, din, siyasi görüş, biyometrik) işlemeyiz.
- Ödeme kartı bilgisi sunucularımızda saklanmaz; ücretli planlarda ödeme banka havalesi veya PCI-DSS uyumlu 3. taraf (entegrasyon sonrası) ile yapılır.
- 13 yaş altı kullanıcılara ait veri bilerek toplanmaz (bkz. madde 7).
- Konum verisi (GPS) toplanmaz; yalnızca IP'den yaklaşık şehir çıkarılabilir.
3. Bilgi Kullanım Amaçları
Toplanan bilgiler aşağıdaki amaçlarla işlenir:
3.1. Hizmet Sunumu (KVKK m.5/2-c, sözleşme ifası)
- Hesap oluşturma ve yönetimi.
- Kullanıcı kimlik doğrulaması.
- Envanter hesaplamalarını çalıştırmak ve rapor üretmek.
- Veri yedekleme ve restore.
3.2. İletişim (KVKK m.5/2-c ve m.5/2-f)
- Sistem bildirimleri (şifre sıfırlama, hesap uyarıları).
- Abonelik dönem sonu hatırlatmaları.
- Hizmet kesintisi/bakım duyuruları.
- Destek taleplerine cevap verme.
3.3. Hizmet Geliştirme (KVKK m.5/2-f, meşru menfaat)
- Kullanım istatistikleri (agrega).
- Hata ayıklama ve performans iyileştirme.
- A/B testleri ve UX araştırması (kişisel tanımlayıcı olmadan).
3.4. Yasal Yükümlülükler (KVKK m.5/2-a)
- Vergi, ticari kayıt zorunlulukları (VUK 253 — 5 yıl fatura saklama).
- 5651 sayılı Kanun kapsamında erişim loglarının 6 ay süreyle tutulması.
- Yetkili merciilere (savcılık, mahkeme, BTK, KVKK Kurumu) bilgi verme.
3.5. Pazarlama (Açık rıza ile — KVKK m.5/1 ve ETK m.6)
Yalnızca Kullanıcının açık rıza verdiği durumlarda:
- Ürün güncelleme duyuruları.
- Webinar/eğitim davetleri.
- Yeni özellik bildirimleri.
Açık rıza her zaman geri alınabilir; e-postadaki "abonelikten çık" bağlantısı veya destek@urclimate.com üzerinden.
4. Üçüncü Taraflarla Paylaşım
Kişisel verilerinizi yalnızca aşağıdaki durumlarda paylaşırız. Hiçbir koşulda verilerinizi üçüncü taraflara satmayız.
4.1. Altyapı Hizmet Sağlayıcıları (Veri İşleyenler)
| Sağlayıcı | Hizmet | Konum | İşlenen Veri |
|---|---|---|---|
| Supabase | Veritabanı + kimlik doğrulama | Frankfurt, AB | Hesap verileri, envanter verileri |
| Vercel | Uygulama barındırma | AB (Frankfurt region) | İstek logları, teknik veriler |
| Resend | Transactional e-posta | AB | E-posta adresi, gönderim logu |
| AQICN | Hava kalitesi verisi (referans) | Global (public API) | Hiçbir kişisel veri gönderilmez |
| Sentry (gelecekte) | Hata izleme | AB | Stack trace, kullanıcı kimliği (opsiyonel) |
Tüm altyapı sağlayıcıları AB'de konuşlanmıştır; KVKK madde 9 kapsamında Kullanıcının açık rızası ile aktarım yapılır.
4.2. Yasal Zorunluluk
- Mahkeme kararı, savcılık talebi, BTK veya KVKK Kurumu yazısı üzerine.
- Bildirimler yasal olarak engellenmedikçe Kullanıcıyı bilgilendiririz.
4.3. İş Devri / Birleşme
Alkazar'ın birleşme, bölünme, devralma, satış veya benzeri bir kurumsal işlemine konu olması halinde kişisel veriler aynı gizlilik standartlarıyla devralan şirkete aktarılabilir; bu durumda Kullanıcılar e-posta ile bilgilendirilir.
4.4. Anonim/Agrega Veri
Kimlik tanımlayıcı içermeyen agrega istatistikler (örneğin "2026 Q1'de platformdaki toplam kayıtlı belediye sayısı") araştırma kuruluşlarıyla, medyayla veya yatırımcı sunumlarında paylaşılabilir.
5. Güvenlik Tedbirleri
KVKK madde 12 kapsamında aldığımız teknik ve idari tedbirler:
5.1. Teknik Tedbirler
- Taşımada şifreleme: Tüm veri trafiği TLS 1.3 (HTTPS) ile şifrelenir.
- Saklamada şifreleme: Veritabanında AES-256 şifreleme.
- Parola güvenliği: Kullanıcı parolaları bcrypt (work factor 10+) ile hash'lenir; düz metin asla kaydedilmez.
- Row-Level Security (RLS): Her belediye yalnızca kendi verisini görür; veri izolasyonu veritabanı seviyesinde zorlanır.
- Yedekleme: Otomatik günlük yedek; 30 gün retention; yedekler de şifrelidir.
- Çok Faktörlü Kimlik Doğrulama (MFA): Gelecek sürümde kullanıcıya sunulacak; ekip hesaplarında zorunludur.
- Güvenlik yamaları: Bağımlılık taraması (Dependabot) ve kritik CVE'ler 7 gün içinde yamalanır.
- Rate limiting ve bot koruması: DoS ve brute-force saldırılarına karşı.
- Audit log: Tüm kritik işlemler (giriş, silme, dışa aktarım, yetki değişikliği) loglanır.
5.2. İdari Tedbirler
- Personel gizlilik taahhütnamesi.
- Veri minimizasyonu ilkesi (sadece gerekli olan toplanır).
- Erişim yetkisi "en az yetki" (least privilege) ilkesi.
- Yıllık gizlilik ve siber güvenlik eğitimi.
- Olay müdahale prosedürü.
- Düzenli risk analizi.
5.3. Veri İhlal Süreci
Bir güvenlik ihlali tespit edildiğinde:
- İhlal derhal tespit edilir ve sınırlandırılır.
- 72 saat içinde KVKK Kurumu'na bildirim yapılır (KVKK m.12/5).
- Etkilenen Kullanıcılar en kısa sürede e-posta ile bilgilendirilir.
- Olay raporu hazırlanır ve önleyici tedbirler alınır.
6. Çerezler
Platform, temel işlevsellik, güvenlik ve istatistik amaçlı çerezler kullanır. Detaylı bilgi ve çerez yönetimi için Çerez Politikası belgesine bakınız.
Özet:
- Zorunlu çerezler: Oturum yönetimi, CSRF koruması. Rıza gerektirmez (KVKK m.5/2-c).
- İstatistik çerezleri: Agrega kullanım verisi. Rıza ile aktifleşir.
- Pazarlama çerezleri: Kullanmıyoruz.
7. Çocuklar ve Yaş Sınırı
Kent Envanter 13 yaş altı kullanıcılara yönelik değildir. 13 yaş altı bir kişinin hesap açtığı tespit edilirse hesap derhal silinir.
18 yaş altı kullanıcıların Platformu kullanması için yasal temsilcisinin açık rızası gerekir. Belediye kurumsal hesapları için bu durum geçerli değildir; kurumsal kullanıcıların yetişkin ve belediye adına işlem yapmaya yetkili olduğu varsayılır.
8. Kullanıcı Hakları (KVKK Madde 11)
Kullanıcı, KVKK madde 11 uyarınca aşağıdaki haklara sahiptir:
- Kişisel verisinin işlenip işlenmediğini öğrenme.
- İşlenmişse buna ilişkin bilgi talep etme.
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme.
- Eksik veya yanlış işlenmişse düzeltilmesini isteme.
- Şartları oluştuğunda silinmesini veya yok edilmesini isteme (unutulma hakkı).
- Düzeltme/silme işlemlerinin veri aktarılan 3. kişilere bildirilmesini isteme.
- Otomatik sistemler yoluyla analiz sonucu aleyhine bir sonuç çıkmasına itiraz etme.
- Kanuna aykırı işleme nedeniyle zarara uğraması halinde zararın giderilmesini talep etme.
8.1. Başvuru Yöntemi
Haklarınızı kullanmak için başvurularınızı:
- E-posta: destek@urclimate.com
- Telefon: 0212 270 40 57
- Yazılı: Alkazar Mühendislik, Reşitpaşa Mh. Katar Cd. No:2/50/6 İTÜ ARI Teknokent Sarıyer/İstanbul
şeklinde yapabilirsiniz. Başvuruda kimlik doğrulama için ad-soyad, T.C. kimlik no veya pasaport no (yabancılar için), tebligat adresi ve talep konusunu belirtmeniz gerekir.
8.2. Yanıt Süresi
Başvurular en geç 30 gün içinde ücretsiz olarak cevaplanır. Talep özel maliyet gerektiriyorsa KVKK Kurulu'nun belirlediği tarife (2026 yılı için [TODO]) uygulanır.
9. Veri Saklama Süreleri
| Veri Türü | Saklama Süresi | Dayanak |
|---|---|---|
| Hesap bilgileri | Abonelik süresi + 90 gün | Sözleşme ifası |
| Envanter verileri | Abonelik süresi + 90 gün (sonra hard-delete) | Sözleşme ifası + Kullanıcı talebi |
| Erişim logları | 6 ay | 5651 sayılı Kanun |
| Fatura/muhasebe | 5 yıl | VUK 253 |
| Destek yazışmaları | 3 yıl | Meşru menfaat (uyuşmazlık savunması) |
| Yedekler | 30 gün dönen pencere | Teknik gereklilik |
| E-posta pazarlama onayı | Rıza geri alınana kadar | ETK m.6 |
Yasal saklama süresi dolduğunda veri otomatik silinir veya anonimleştirilir.
10. Değişiklikler
Bu Gizlilik Politikası zaman içinde güncellenebilir.
- Esasa ilişkin değişiklikler (yeni veri türü toplama, yeni 3. taraf, yurt dışı aktarım değişikliği) 30 gün önceden e-posta ve panel bildirimi ile duyurulur.
- Küçük düzeltmeler (yazım, bağlantı güncelleme) yürürlük tarihi güncellenerek yapılabilir.
- Politikanın önceki sürümleri arşiv olarak saklanır; talep üzerine paylaşılır.
Her güncelleme sonrası Kullanıcı, Platformu kullanmaya devam ederek yeni politikayı kabul etmiş sayılır. Kabul etmeme halinde madde 10 (Fesih — Kullanım Şartları) hükümleri uygulanır.
11. İletişim ve Şikayetler
11.1. Birinci Adım — Alkazar Destek
Gizlilik ile ilgili her türlü soru, talep ve şikayet için öncelikle bize ulaşın:
Alkazar Mühendislik — Veri Sorumlusu
- E-posta: destek@urclimate.com
- Web: https://kent.urclimate.com
- Adres: Reşitpaşa Mh. Katar Cd. No:2/50/6 İTÜ ARI Teknokent Sarıyer/İstanbul
- Telefon: 0212 270 40 57
- Vergi Dairesi / No: Sarıyer - 0540479352
- VERBIS Sicil No: (başvuru süreci devam ediyor)
11.2. İkinci Adım — KVKK Kurumu
Alkazar'a yaptığınız başvurunun reddedilmesi, verilen cevabı yetersiz bulmanız veya 30 gün içinde cevap alamamanız halinde:
Kişisel Verileri Koruma Kurumu
- Adres: Nasuh Akar Mah. 1407. Sok. No: 4, 06520 Balgat — Çankaya / Ankara
- Web: https://www.kvkk.gov.tr
- Telefon: 0 312 216 50 50
başvuru tarihinden itibaren 30 gün, şikayet konusunu öğrendiğiniz tarihten itibaren 60 gün içinde ve her halükarda en geç 2 yıl içinde şikayette bulunabilirsiniz (KVKK m.14).
Yürürlük Tarihi: 19 Nisan 2026 Sürüm: 1.0
Bu Gizlilik Politikası, KVKK, ETK ve ilgili tüm mevzuata uygun olarak hazırlanmıştır. Mevzuat değişikliklerine göre güncellenir. Güncel sürüm her zaman https://kent.urclimate.com/gizlilik-politikasi adresinde yer alır.