Son Güncelleme Tarihi: 17 Nisan 2026
Yürürlük Tarihi: 17 Nisan 2026
İşbu Gizlilik Politikası ("Politika"), CarbonSmart Teknoloji ve Danışmanlık A.Ş. ("CarbonSmart", "Şirket", "biz") tarafından işletilen carbonsmart.io alan adlı pazarlama web sitesi ile app.carbonsmart.io üzerinden sunulan karbon muhasebesi ve sürdürülebilirlik yönetim yazılımı hizmetleri ("Platform" veya "Hizmet") kapsamında elde edilen kişisel verilerin hangi amaçlarla, hangi hukuki sebeplerle ve ne şekilde işlendiğini; hangi üçüncü taraflara aktarıldığını; veri sahiplerinin haklarını ve bu hakların nasıl kullanılacağını açıklamak amacıyla hazırlanmıştır. Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik başta olmak üzere ilgili mevzuatla; Avrupa Birliği'nde yerleşik veri sahipleri bakımından 2016/679 sayılı Genel Veri Koruma Tüzüğü ("GDPR") ve Birleşik Krallık'ta yerleşik veri sahipleri bakımından UK GDPR ile uyumlu biçimde hazırlanmıştır.
1. VERİ SORUMLUSUNUN KİMLİĞİ
1.1. KVKK kapsamında veri sorumlusu sıfatıyla hareket eden tüzel kişi aşağıda belirtilmiştir:
Unvan: CarbonSmart Teknoloji ve Danışmanlık A.Ş.
Merkez Adres: Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906, Türkiye
İstanbul Ofis: A+Live Plaza, Barbaros Mahallesi, Begonya Sokak No:7, Ataşehir/İstanbul 34746, Türkiye
Londra Ofis: 2 Eastbourne Terrace, London W2 6LG, United Kingdom
İletişim E-Postası: info@carbonsmart.io
Web Adresi: https://carbonsmart.io
1.2. Avrupa Birliği'nde yerleşik veri sahipleri açısından GDPR m.27 kapsamında atanmış bir AB temsilcisi gerektiği ölçüde belirlenmekte olup, buna ilişkin iletişim bilgileri info@carbonsmart.io adresinden talep edilebilir.
2. TANIMLAR
2.1. Bu Politikada geçen;
(a) Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
(b) Özel Nitelikli Kişisel Veri: KVKK m.6'da sayılan verileri,
(c) İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi işlemleri,
(d) Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
(e) Müşteri: CarbonSmart ile yazılı veya elektronik ortamda abonelik sözleşmesi akdetmiş tüzel veya gerçek kişi ticari işletmeyi,
(f) Son Kullanıcı: Müşteri adına veya hesabına Platform'u kullanan gerçek kişiyi,
(g) Platform Verisi: Müşteri veya Son Kullanıcı tarafından Platform'a yüklenen her türlü iş verisini,
ifade eder.
3. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
3.1. CarbonSmart, sunduğu Hizmet'in niteliği gereği aşağıda belirtilen kişisel veri kategorilerini işlemektedir:
3.1.1. Kimlik Verileri: Ad, soyad, unvan, imza (elektronik imza dahil).
3.1.2. İletişim Verileri: Kurumsal e-posta adresi, telefon numarası, iş adresi, KEP adresi.
3.1.3. Müşteri İşlem Verileri: Abonelik bilgileri, fatura ve ödeme bilgileri (kart numarasının tamamı saklanmamakla birlikte ödeme hizmet sağlayıcısı tarafından tutulan maskelenmiş referans bilgileri), sipariş geçmişi, sözleşme kayıtları.
3.1.4. Finansal Veriler: IBAN, fatura adresi, vergi numarası/vergi dairesi, ödeme tarihçesi.
3.1.5. Kullanıcı İşlem Verileri: Hesap oluşturma, giriş-çıkış kayıtları, IP adresi, oturum kimlikleri, tarayıcı tipi, cihaz bilgileri, işletim sistemi, kullanım analitikleri, modül içi tıklama ve navigasyon izleri, API çağrı kayıtları.
3.1.6. Pazarlama ve Tanıtım Verileri: Bülten aboneliği durumu, açılan/tıklanan e-posta kayıtları, demo talep formu içeriği, etkinlik kayıt bilgileri.
3.1.7. Çerez Verileri: Zorunlu, işlevsel, analitik ve pazarlama amaçlı çerezlerden elde edilen veriler. Ayrıntılı bilgi için Çerez Politikası'na bakınız.
3.1.8. Destek ve İletişim Verileri: Destek talepleri (ticket) içeriği, canlı sohbet kayıtları, video görüşme kayıtları (yalnızca tarafların önceden bilgilendirilmesi ve onayı halinde).
3.1.9. Hukuki İşlem ve Uyum Verileri: Sözleşme, yetkili kişi belgeleri, KVKK başvuruları, hukuki süreç dosyaları.
3.1.10. Platform'a Müşteri Tarafından Yüklenen Üçüncü Kişi Verileri: Karbon muhasebesi, CBAM raporlaması, PCF/LCA/EPD hesaplamaları, TSRS/CSRD/GRI sürdürülebilirlik raporlaması ve su ayak izi modülleri kapsamında Müşteri tarafından Platform'a yüklenen tedarikçi temsilcisi, çalışan veya diğer üçüncü kişilere ait kişisel veriler ("Platform Kişisel Verileri"). Bu veriler bakımından CarbonSmart KVKK m.3 anlamında veri işleyen, GDPR m.28 anlamında processor sıfatıyla hareket eder ve ayrı bir Veri İşleme Sözleşmesi (DPA) hükümleri uygulanır.
3.2. CarbonSmart, Platform'un çalışması için zorunlu olmadıkça özel nitelikli kişisel veri işlememeyi taahhüt eder. Müşteri tarafından Platform'a özel nitelikli kişisel veri yüklenmesi halinde, işleme sorumluluğu Müşteri'dedir ve bu husus Hizmet Koşulları'nda düzenlenmiştir.
4. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
4.1. Kişisel veriler; (a) doğrudan ilgili kişiden Platform ara yüzleri, web formları, mobil/masaüstü tarayıcı etkileşimleri, e-posta ve destek kanalları aracılığıyla; (b) Müşteri'nin yetkilendirdiği temsilciler vasıtasıyla; (c) API entegrasyonları ve SSO bağlantıları üzerinden; (d) fiziki olarak imzalanan sözleşme, form ve belgeler aracılığıyla; (e) etkinlik, fuar, demo toplantıları ve B2B satış görüşmeleri kapsamında; (f) çerez, piksel ve benzeri teknolojiler aracılığıyla otomatik yollarla; (g) yasal yükümlülükler çerçevesinde kamu kurum ve kuruluşlarından ya da yetkili mercilerden talep veya tebliğ yoluyla toplanmaktadır.
5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
5.1. Kişisel veriler, KVKK m.4 kapsamında hukuka ve dürüstlük kurallarına uygun, belirli, açık ve meşru amaçlar dahilinde, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü biçimde, ilgili mevzuatta öngörülen süreyle sınırlı olarak işlenmektedir. Başlıca işleme amaçları şunlardır:
5.1.1. Abonelik sözleşmesinin kurulması ve ifası, hesap açılması ve yönetilmesi.
5.1.2. Platform üzerindeki ürün ve modüllerin (CCFP, CBAM, PCF, LCA & EPD, TSRS/CSRD/GRI, Su Ayak İzi) sunulması, geliştirilmesi ve iyileştirilmesi.
5.1.3. Faturalandırma, tahsilat, muhasebe ve finans süreçlerinin yürütülmesi.
5.1.4. Müşteri destek hizmetlerinin sağlanması, talep ve şikayetlerin yönetilmesi.
5.1.5. Bilgi güvenliği ve siber güvenlik süreçlerinin yürütülmesi; yetkisiz erişimin tespiti ve önlenmesi.
5.1.6. İş sürekliliği ve yedekleme süreçlerinin yönetilmesi.
5.1.7. Yasal yükümlülüklerin yerine getirilmesi (vergi, ticari defter, KVKK, TSRS ve raporlama uyumu dahil).
5.1.8. Kurumsal iletişim, pazarlama ve tanıtım faaliyetleri; ancak ticari elektronik ileti gönderimi 6563 sayılı Elektronik Ticaret Kanunu kapsamında alınmış açık onaya bağlıdır.
5.1.9. Kullanıcı deneyiminin ve Platform performansının analiz edilmesi, ürün yol haritasının geliştirilmesi (toplulaştırılmış/anonimleştirilmiş veri tercih edilerek).
5.1.10. Hukuki uyuşmazlıkların yönetilmesi, dava, icra ve resmi talep süreçlerinin takibi.
5.1.11. İç denetim, risk yönetimi, uyum (compliance) ve bilgi güvenliği yönetim sistemi (ISO 27001 hedefli) faaliyetleri.
6. İŞLEMENİN HUKUKİ SEBEPLERİ
6.1. Kişisel veriler, KVKK m.5 ve m.6 ile GDPR m.6 ve m.9 hükümleri çerçevesinde aşağıdaki hukuki sebeplerle işlenmektedir:
6.1.1. Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (KVKK m.5/2-c; GDPR m.6/1-b).
6.1.2. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (KVKK m.5/2-ç; GDPR m.6/1-c).
6.1.3. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (KVKK m.5/2-e; GDPR m.6/1-f meşru menfaat).
6.1.4. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması (KVKK m.5/2-f; GDPR m.6/1-f) – örneğin güvenlik, dolandırıcılıkla mücadele, hizmet kalitesinin iyileştirilmesi.
6.1.5. Kanunlarda açıkça öngörülmesi (KVKK m.5/2-a).
6.1.6. Yukarıdaki hukuki sebeplerin uygulanamadığı durumlarda ilgili kişinin açık rızası (KVKK m.5/1 ve m.6/2; GDPR m.6/1-a).
6.2. Açık rızaya dayanan işlemelerde ilgili kişi, rızasını her zaman geri alma hakkına sahiptir. Rızanın geri alınması, geri alınma tarihine kadar gerçekleştirilmiş işlemelerin hukuka uygunluğunu etkilemez.
7. KİŞİSEL VERİLERİN AKTARILMASI
7.1. Yurt İçi Aktarım. Kişisel veriler; hizmet alınan hukuk, mali müşavirlik ve bağımsız denetim firmalarına; barındırma, siber güvenlik, müşteri destek ve CRM yazılım tedarikçilerine; ödeme hizmet sağlayıcılarına ve bankalara; kanunen yetkili kamu kurum ve kuruluşlarına (ör. Hazine ve Maliye Bakanlığı, SGK, Gelir İdaresi Başkanlığı, Kişisel Verileri Koruma Kurumu, yargı makamları) KVKK m.8 çerçevesinde aktarılabilir.
7.2. Yurt Dışı Aktarım. CarbonSmart; barındırma altyapısı için Amazon Web Services (AWS, Frankfurt ve İrlanda bölgeleri) ve gerektiğinde Google Cloud Platform, e-posta ve iletişim altyapısı için Google Workspace ve SendGrid/Mailgun benzeri sağlayıcılar, ürün analitiği için privacy-friendly Plausible Analytics (AB merkezli), hata izleme için Sentry, müşteri destek için Intercom/HubSpot, pazarlama otomasyonu için HubSpot ve B2B pazarlama için LinkedIn Insight Tag gibi hizmetleri kullanmakta; ayrıca Londra ofisi (Birleşik Krallık) ile grup içi operasyonel aktarımlar yapılabilmektedir. Yurt dışına aktarımlar, KVKK m.9 ve buna bağlı 2024 tarihli yönetmelik çerçevesinde:
(a) Kurul tarafından yeterli koruma bulunduğu ilan edilen ülkelerde yerleşik alıcılara aktarım,
(b) Standart sözleşmeye dayalı aktarım ve Kurul'a bildirimin yapılması,
(c) Bağlayıcı şirket kuralları veya
(d) İstisnai hallerde açık rıza alınması
yöntemlerinden uygun olanı kullanılarak yapılır. AB/İngiltere veri aktarımları için GDPR m.44 vd. hükümleri ve Avrupa Komisyonu standart sözleşme hükümleri (2021/914) uygulanır.
7.3. CarbonSmart, alt işleyenlerin güncel listesini Müşteri'lerin talebi üzerine ve/veya trust.carbonsmart.io benzeri güven merkezi sayfasında yayımlar.
8. SAKLAMA SÜRELERİ
8.1. Kişisel veriler, işleme amacının gerektirdiği süre ve ilgili mevzuatta öngörülen asgari süreler boyunca saklanır. Başlıca saklama süreleri aşağıdaki gibidir:
8.1.1. Ticari defterler ve belgeler: Türk Ticaret Kanunu m.82 gereği 10 yıl.
8.1.2. Vergi Usul Kanunu kapsamındaki belgeler: 5 yıl.
8.1.3. Sözleşme ve ticari iletişim kayıtları: Sözleşmenin sona ermesinden itibaren 10 yıl (TBK m.146 zamanaşımı).
8.1.4. Abonelik hesapları ve Platform içeriği: Abonelik süresince ve sona ermesinden itibaren 90 günlük geri dönüş (grace) süresinin ardından kalıcı silme (Müşteri'nin veri taşıma talebi saklıdır).
8.1.5. Destek talepleri: Kapandığı tarihten itibaren 3 yıl.
8.1.6. Pazarlama izinleri ve onay kayıtları: 6563 sayılı Kanun gereği 3 yıl ve İYS kayıtları.
8.1.7. Log ve güvenlik kayıtları: 5651 sayılı Kanun ve ilgili yönetmelik gereği asgari 2 yıl.
8.1.8. Çerez tabanlı veriler: Çerez Politikası'nda belirtilen süreler.
8.2. Süresi dolan veriler, Kişisel Verileri Saklama ve İmha Politikası çerçevesinde periyodik imha dönemlerinde silinir, yok edilir veya anonimleştirilir.
9. VERİ SAHİBİNİN HAKLARI
9.1. KVKK m.11 uyarınca ilgili kişi, CarbonSmart'a başvurarak kendisiyle ilgili olarak aşağıdaki haklarını kullanabilir:
(a) Kişisel verilerinin işlenip işlenmediğini öğrenme.
(b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme.
(c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
(ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
(d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme.
(e) KVKK m.7'de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme.
(f) (d) ve (e) bentleri kapsamında yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
(g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
(ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
9.2. AB/İngiltere'de yerleşik veri sahipleri ayrıca GDPR m.15-22 kapsamında veri taşınabilirliği ve işlemeye itiraz gibi haklara da sahiptir.
10. GÜVENLİK TEDBİRLERİ
10.1. CarbonSmart, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygunluk hedefi çerçevesinde aşağıdaki idari ve teknik tedbirleri uygular ve sürekli gözden geçirir:
10.1.1. Erişim kontrolleri, rol ve yetki bazlı yetkilendirme, en az yetki ilkesi.
10.1.2. Hareket halindeki verilerin TLS 1.2/1.3 ile, depolanan verilerin AES-256 ile şifrelenmesi.
10.1.3. Çok faktörlü kimlik doğrulama, kurumsal SSO entegrasyonu seçenekleri.
10.1.4. Güvenlik izleme, SIEM çözümleri, sızma testleri, güvenlik açığı taramaları.
10.1.5. Kod güvenliği, SDLC içinde güvenlik gözden geçirme, bağımlılık taramaları.
10.1.6. Afet kurtarma ve iş sürekliliği planları, düzenli yedekleme.
10.1.7. Çalışanlara yönelik düzenli KVKK ve bilgi güvenliği eğitimleri, gizlilik taahhütnameleri.
10.1.8. Tedarikçi risk değerlendirmesi, veri işleme sözleşmeleri, alt işleyen onay süreçleri.
10.2. Müşteri'lerin VPC veya On-Premise kurulumu tercih ettiği durumlarda, güvenlik tedbirleri ilgili teknik mimariye uyarlanır ve ayrı güvenlik dokümantasyonu sağlanır.
11. ÇEREZLER
11.1. CarbonSmart; oturum yönetimi, güvenlik, kullanıcı tercihlerinin hatırlanması, kullanım istatistiklerinin analizi ve B2B pazarlama amaçlarıyla çerez ve benzeri takip teknolojileri kullanmaktadır. Çerezlerin türü, süresi, amacı ve üçüncü taraf sağlayıcılar hakkında ayrıntılı bilgi ile çerezleri yönetmeye ilişkin talimatlar Çerez Politikası'nda yer almaktadır.
12. ÇOCUKLARIN KİŞİSEL VERİLERİ
12.1. CarbonSmart'ın sunduğu Hizmet B2B niteliktedir ve 18 yaşın altındaki kişilere yönelik değildir. CarbonSmart, bilerek çocuklardan kişisel veri toplamaz. Bir çocuğun kişisel verisinin bilgisi veya onayı dışında Platform'a iletildiğini düşünen veliler/vasiler info@carbonsmart.io adresine başvurarak verinin silinmesini talep edebilir.
13. ÜÇÜNCÜ TARAF ENTEGRASYONLARI
13.1. Müşteri, Platform'u üçüncü taraf sistemlerle (ERP, EBYS, muhasebe yazılımları, tedarik zinciri platformları, tek oturum açma (SSO) sağlayıcıları, API istemcileri) entegre edebilir. Bu entegrasyonlar yoluyla gerçekleşen veri paylaşımı Müşteri'nin talimatı ve sorumluluğundadır. Üçüncü taraf hizmet sağlayıcıların kendi gizlilik uygulamalarından CarbonSmart sorumlu tutulamaz.
14. OTOMATİK KARAR VERME VE PROFİLLEME
14.1. CarbonSmart; karbon hesaplamaları, veri doğrulama ve emisyon kategorizasyonu gibi süreçlerde yapay zeka destekli analitik bileşenler kullanmakta olup bu süreçler, ilgili kişiler üzerinde hukuki sonuç doğuran veya benzer nitelikte etki yaratan tam otomatik bireysel karar verme kapsamında değildir. Platform çıktıları Müşteri tarafından gözden geçirilir ve onaylanır.
15. VERİ İHLALİ BİLDİRİMİ
15.1. Kişisel verilerin yetkisiz ifşası, erişimi veya kaybı durumunda KVKK m.12/5 gereğince Kişisel Verileri Koruma Kurulu'na en kısa sürede ve her halükarda 72 saat içinde bildirim yapılır; etkilenen ilgili kişiler de makul süre içinde bilgilendirilir. AB/İngiltere veri sahipleri için GDPR m.33-34 kapsamındaki bildirim süreçleri uygulanır.
16. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
16.1. CarbonSmart işbu Politika'yı zaman zaman güncelleyebilir. Güncel sürüm carbonsmart.io/legal-privacy adresinde yayımlanır. Esaslı değişiklikler Platform içi bildirim ve/veya e-posta ile duyurulur. Değişiklikten sonra Platform'u kullanmaya devam etmek, güncel Politika'nın kabul edildiği anlamına gelir.
17. İLETİŞİM VE BAŞVURU
17.1. İlgili kişiler, KVKK kapsamındaki haklarını kullanmak ve Politika hakkında her türlü soru ve talepleri için aşağıdaki kanalları kullanabilirler:
Adres: CarbonSmart Teknoloji ve Danışmanlık A.Ş., Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906
E-Posta: info@carbonsmart.io
Web: carbonsmart.io/legal-privacy
17.2. Başvurular; yazılı olarak, KEP adresi, güvenli elektronik imza, mobil imza veya ilgili kişi tarafından CarbonSmart'a daha önce bildirilmiş ve sistemimizde kayıtlı e-posta adresi kullanılarak yapılabilir. Başvurunun usulüne uygunluğu Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine göre değerlendirilir.
