Son Güncelleme Tarihi: 17 Nisan 2026
Yürürlük Tarihi: 17 Nisan 2026
İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca, veri sorumlusu sıfatıyla CarbonSmart Teknoloji ve Danışmanlık A.Ş. tarafından; Platform ziyaretçileri, demo talep eden kurumsal temsilciler, Müşteri yetkilileri ve Son Kullanıcılar, potansiyel müşteri adayları, etkinlik katılımcıları, iş ortağı ve tedarikçi temsilcileri ile iletişime geçen her gerçek kişinin ("İlgili Kişi") aydınlatılması amacıyla hazırlanmıştır. Metin; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile İlgili Kişi'nin KVKK m.11 kapsamındaki hakları hakkında açıklamalar içerir.
1. VERİ SORUMLUSUNUN KİMLİĞİ VE İLETİŞİM BİLGİLERİ
1.1. Veri sorumlusu:
Unvan: CarbonSmart Teknoloji ve Danışmanlık A.Ş.
Merkez Adres: Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906, Türkiye
İstanbul Ofis: A+Live Plaza, Barbaros Mahallesi, Begonya Sokak No:7, Ataşehir/İstanbul 34746, Türkiye
Londra Ofis: 2 Eastbourne Terrace, London W2 6LG, United Kingdom
Web: https://carbonsmart.io
E-Posta: info@carbonsmart.io
1.2. CarbonSmart; sunduğu Kurumsal Karbon Ayak İzi (CCFP), CBAM Raporlama, Ürün Karbon Ayak İzi (PCF), LCA & EPD Platformu, Sürdürülebilirlik Raporlaması (TSRS/CSRD/GRI) ve Su Ayak İzi modüllerini içeren bulut tabanlı SaaS hizmeti çerçevesinde KVKK anlamında "veri sorumlusu" sıfatıyla hareket eder.
2. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
2.1. İlgili Kişi'den veya meşru kaynaklardan elde edilen kişisel veriler aşağıdaki kategorilere ayrılabilir:
2.1.1. Kimlik Verileri: Ad, soyad, unvan, imza/dijital imza.
2.1.2. İletişim Verileri: Kurumsal e-posta, telefon, adres, KEP.
2.1.3. Müşteri İşlem Verileri: Abonelik bilgileri, kullanıcı rolü, fatura ve ödeme bilgileri, sipariş geçmişi.
2.1.4. Finansal Veriler: Vergi numarası, vergi dairesi, IBAN, fatura adresi.
2.1.5. Kullanıcı İşlem Verileri: Hesap kimliği, oturum verileri, IP, cihaz/tarayıcı bilgisi, kullanım analitikleri, API çağrı kayıtları.
2.1.6. Pazarlama ve Tanıtım Verileri: Bülten onayı, demo talep formu içeriği, etkinlik kayıt bilgileri, pazarlama etkileşim kayıtları.
2.1.7. İşlem Güvenliği Verileri: Giriş-çıkış log'ları, 5651 sayılı Kanun kapsamındaki trafik bilgileri, güvenlik olay kayıtları.
2.1.8. Hukuki İşlem ve Uyum Verileri: Sözleşmeler, yetki belgeleri, vekaletnameler, KVKK başvuruları, adli/idari süreç dosyaları.
2.1.9. Fiziksel Mekan Güvenlik Verileri: Ofis ziyaretlerinde tutulan giriş kayıtları.
2.1.10. Platform'a Müşteri Tarafından Yüklenen Üçüncü Kişi Verileri: Müşteri'nin karbon ayak izi hesaplaması, CBAM, PCF/LCA/EPD, TSRS/CSRD/GRI raporlaması ve su ayak izi hesaplamaları için yüklediği üçüncü kişi kimlik ve iletişim verileri. Bu veriler bakımından CarbonSmart veri işleyen sıfatıyla hareket eder ve ayrı bir Veri İşleme Sözleşmesi uygulanır.
2.2. CarbonSmart, zorunlu olmadıkça özel nitelikli kişisel veri toplamamayı amaç edinir.
3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
3.1. Kişisel veriler, aşağıda belirtilen amaçlarla KVKK m.4'teki genel ilkelere uygun olarak işlenmektedir:
3.1.1. Sözleşmelerin kurulması ve ifası kapsamında abonelik ve hizmet süreçlerinin yönetilmesi.
3.1.2. Hesap açma, kimlik doğrulama, yetkilendirme ve Platform erişiminin sağlanması.
3.1.3. Karbon muhasebesi, CBAM raporlaması, PCF/LCA/EPD hesaplamaları, TSRS/CSRD/GRI sürdürülebilirlik raporlaması ve su ayak izi analizine ilişkin ürün ve hizmetlerin sunulması.
3.1.4. Müşteri destek hizmetlerinin sağlanması, talep, şikayet ve hataların yönetilmesi.
3.1.5. Faturalandırma, tahsilat, muhasebe ve finans operasyonlarının yürütülmesi.
3.1.6. Bilgi güvenliği süreçlerinin yürütülmesi, dolandırıcılıkla mücadele, siber saldırıların tespiti ve önlenmesi.
3.1.7. İş sürekliliği, yedekleme ve felaket kurtarma süreçlerinin yürütülmesi.
3.1.8. Yasal yükümlülüklerin yerine getirilmesi (vergi, TTK, 5651 sayılı Kanun, 6563 sayılı Kanun, KVKK ve ilgili ikincil mevzuat).
3.1.9. Resmi mercilerin talepleri ile adli/idari süreç yönetimi.
3.1.10. Pazarlama, tanıtım, etkinlik yönetimi ve iş geliştirme (elektronik ticari iletiler için İYS kapsamında alınan onay çerçevesinde).
3.1.11. Çalışan ve tedarikçi güvenlik süreçlerinin yürütülmesi, ofis ziyaret kayıtlarının tutulması.
3.1.12. Kullanım analitiği ve Platform geliştirme çalışmaları (toplulaştırılmış/anonimleştirilmiş veri tercih edilerek).
4. KİŞİSEL VERİLERİN AKTARILABİLECEĞİ TARAF VE AMAÇLARI
4.1. Yurt İçi Aktarımlar. Kişisel veriler; ifa edilen amaçla sınırlı olarak aşağıdaki taraflara aktarılabilir:
(a) Sözleşmeye bağlı hukuk, mali müşavirlik, bağımsız denetim, sigorta ve danışmanlık firmaları – uyum, denetim ve danışmanlık amaçlarıyla.
(b) Yazılım, bulut barındırma, siber güvenlik, CRM, çağrı merkezi ve destek yazılımı sağlayıcıları – sözleşmeye dayalı hizmetin sunulabilmesi için.
(c) Bankalar, ödeme hizmet sağlayıcıları ve elektronik ödeme kuruluşları – tahsilat süreçlerinin yürütülmesi amacıyla.
(d) Kanunen yetkili kamu kurum ve kuruluşları (Gelir İdaresi Başkanlığı, Hazine ve Maliye Bakanlığı, SGK, Bilgi Teknolojileri ve İletişim Kurumu, Kişisel Verileri Koruma Kurumu, mahkemeler, Cumhuriyet Başsavcılıkları, icra müdürlükleri) – yasal yükümlülükler çerçevesinde.
(e) Grup şirketler ve hissedarlar – yönetişim ve raporlama amacıyla, yalnızca gerekli olan ölçüde.
4.2. Yurt Dışı Aktarımlar. CarbonSmart'ın bulut altyapısı ve operasyonel araçları nedeniyle kişisel veriler aşağıdaki sağlayıcılar üzerinden yurt dışına aktarılabilir:
(a) Amazon Web Services (AWS) – Frankfurt ve Dublin bölgeleri; Platform barındırma, veri tabanı, yedekleme.
(b) Google Cloud Platform ve Google Workspace – kurumsal e-posta, doküman işbirliği.
(c) SendGrid/Mailgun – işlemsel ve pazarlama e-posta gönderimi.
(d) HubSpot – CRM, pazarlama otomasyonu, B2B potansiyel müşteri yönetimi.
(e) Intercom – müşteri destek ve canlı sohbet.
(f) Sentry – uygulama hata ve performans izleme.
(g) Plausible Analytics – anonim kullanım analitiği (AB merkezli).
(h) LinkedIn Ireland Unlimited Company – B2B pazarlama.
(i) Londra ofisimiz üzerinden grup içi operasyonel süreçler (UK GDPR kapsamında).
4.3. Yurt dışı aktarımlar KVKK m.9 çerçevesinde, Kurul tarafından belirlenmiş yeterli koruma kararları, standart sözleşme hükümleri, bağlayıcı şirket kuralları veya kanunen izin verilen istisnalar çerçevesinde yapılır. Uygun güvenceler sağlanmadan yurt dışı aktarımda bulunulmaz.
4.4. AB/İngiltere yerleşikleri için GDPR m.44 vd. ve UK GDPR kapsamında gerekli standart sözleşme hükümleri ve ek güvenceler uygulanır.
5. KİŞİSEL VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ
5.1. Yöntem. Kişisel veriler; Platform arayüzleri, web siteleri, mobil cihazlarda kullanılan tarayıcılar, demo/iletişim/bülten formları, e-posta, çağrı merkezi, canlı sohbet, destek ticket sistemi, API entegrasyonları, fiziki sözleşme ve belgeler, ofis ziyaretlerindeki kayıtlar, etkinlik ve fuar kayıtları, iş ortakları ve referans kanallar, resmi kurumlardan gelen tebligat ve sorgulamalar yoluyla hem otomatik hem de otomatik olmayan yöntemlerle toplanır.
5.2. Hukuki Sebep. Kişisel veriler aşağıdaki hukuki sebeplerden biri veya birkaçı kapsamında işlenir:
5.2.1. KVKK m.5/2-a: Kanunlarda açıkça öngörülmesi. Bu kapsamda; 213 sayılı Vergi Usul Kanunu, 6102 sayılı Türk Ticaret Kanunu, 5651 sayılı İnternet Kanunu ve ilgili yönetmelikler, 6563 sayılı Elektronik Ticaret Kanunu gereği zorunlu kayıtlar.
5.2.2. KVKK m.5/2-c: Sözleşmenin kurulması veya ifası ile doğrudan ilgili olması kaydıyla, tarafların kişisel verilerinin işlenmesi. Abonelik sözleşmelerinin hazırlanması, fatura düzenlenmesi, Platform erişiminin sağlanması.
5.2.3. KVKK m.5/2-ç: Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. Vergisel, ticari ve KVKK yükümlülüklerinin yerine getirilmesi.
5.2.4. KVKK m.5/2-e: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. Sözleşmeden doğan taleplerin takibi, hukuki uyuşmazlık yönetimi.
5.2.5. KVKK m.5/2-f: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması. Bilgi güvenliği, dolandırıcılık önleme, ürün iyileştirme, B2B iletişim.
5.2.6. KVKK m.5/1 – Açık rıza: Yukarıdaki hukuki sebeplerin uygulanamadığı haller, pazarlama amaçlı elektronik ticari ileti gönderimi ve tercihe bağlı pazarlama çerezleri gibi durumlarda açık rıza alınır.
5.3. Her veri kategorisi için somut hukuki sebep aşağıdaki gibidir:
(a) Kimlik ve iletişim verileri: KVKK m.5/2-a, c, ç, e ve f.
(b) Müşteri işlem ve finansal veriler: KVKK m.5/2-a, c, ç.
(c) Kullanıcı işlem ve işlem güvenliği verileri: KVKK m.5/2-a (5651 sayılı Kanun), c ve f.
(d) Pazarlama verileri: KVKK m.5/1 (açık rıza) ve m.5/2-f (halihazır müşterilere benzer ürün/hizmet tanıtımı bakımından).
(e) Hukuki işlem verileri: KVKK m.5/2-ç ve e.
(f) Fiziksel mekan güvenlik verileri: KVKK m.5/2-f.
6. İLGİLİ KİŞİNİN KVKK M.11 KAPSAMINDAKİ HAKLARI
6.1. İlgili Kişi, CarbonSmart'a başvurarak kendisi hakkında aşağıdaki hakları kullanabilir:
(a) Kişisel verilerinin işlenip işlenmediğini öğrenme.
(b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme.
(c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
(ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme.
(d) Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme.
(e) KVKK m.7'de öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme.
(f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
(g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
(ğ) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
6.2. Yukarıdaki hakların kullanımına ilişkin talepler, CarbonSmart tarafından KVKK m.13 ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümleri çerçevesinde değerlendirilir.
7. BAŞVURU YÖNTEMİ
7.1. İlgili Kişi, KVKK kapsamındaki haklarını kullanmak amacıyla Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de öngörülen usullere uygun olarak aşağıdaki yöntemlerden biriyle CarbonSmart'a başvurabilir:
7.1.1. Yazılı Başvuru: Islak imzalı dilekçe ile şahsen veya noter kanalıyla aşağıdaki adrese iletebilir:
CarbonSmart Teknoloji ve Danışmanlık A.Ş.
Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul
Pendik/İstanbul 34906, Türkiye
Zarf üzerine: "Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi"
7.1.2. Kayıtlı Elektronik Posta (KEP): CarbonSmart'ın kayıtlı KEP adresine güvenli elektronik imzalı başvuru.
7.1.3. Güvenli Elektronik İmza veya Mobil İmza: info@carbonsmart.io adresine güvenli elektronik imzalı veya mobil imzalı e-posta ile.
7.1.4. Sistemimizde Kayıtlı E-posta Adresi: Önceden CarbonSmart'a bildirilmiş ve sistemde kayıtlı olan İlgili Kişi e-posta adresinden info@carbonsmart.io adresine gönderilen e-posta ile.
7.2. Başvuru dilekçesi/ mesajı asgari olarak aşağıdaki bilgileri içermelidir:
(a) Ad, soyad ve başvuru yazılı ise imza.
(b) TCKN (yabancılar için pasaport numarası veya varsa kimlik numarası, uyruk).
(c) Tebligata esas yerleşim yeri veya iş yeri adresi.
(ç) Varsa bildirime esas e-posta adresi, telefon ve faks numarası.
(d) Talep konusu açıklamaları.
(e) Talebi destekleyici bilgi ve belgeler.
7.3. İlgili Kişi, başvuru formunu CarbonSmart'ın carbonsmart.io/legal-kvkk adresinde yayımlanan şablonu kullanarak da iletebilir. Form kullanımı zorunlu değildir.
7.4. Başvurunun Müşteri tarafından hesabında kayıtlı Son Kullanıcı yerine üçüncü kişi adına yapılması halinde, vekaletname veya yetki belgesinin sunulması gerekir.
8. BAŞVURU SÜRECİ VE ÜCRET
8.1. CarbonSmart, İlgili Kişi tarafından yapılan başvuruları niteliğine göre en kısa sürede ve her halde talebin kendisine ulaşmasından itibaren en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırır.
8.2. İşlemin ayrıca bir maliyet gerektirmesi halinde Kurul tarafından belirlenen tarifedeki ücretler alınabilir. Başvurunun, CarbonSmart'ın hatasından kaynaklandığının anlaşılması halinde alınan ücret iade edilir.
8.3. Başvurunun, aşağıda belirtilen nedenlerle reddedilmesi mümkündür:
(a) Talebin KVKK m.28 kapsamındaki istisnalara girmesi.
(b) Talebin başkalarının hak ve özgürlüklerini engelleyecek nitelikte olması.
(c) Talebin suiistimal niteliği taşıması, tekrar eden mahiyette olması ve orantısız çaba gerektirmesi.
(ç) Talebe konu bilginin kamuya açık olması.
8.4. Talebin kabul edilmesi veya gerekçeli olarak reddedilmesi halinde cevap, yazılı veya elektronik ortamda İlgili Kişi'ye bildirilir.
8.5. İlgili Kişi, CarbonSmart'ın cevabını öğrendiği tarihten itibaren 30 gün ve her halükârda başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu'na şikayette bulunabilir.
9. DEĞİŞİKLİKLER
9.1. CarbonSmart, işbu Aydınlatma Metni'ni mevzuatta ve ürün süreçlerinde meydana gelebilecek değişikliklere göre güncelleyebilir. Güncel metin carbonsmart.io/legal-kvkk adresinde yayımlanır. Esaslı değişiklikler hakkında İlgili Kişi'ler uygun kanallarla bilgilendirilir.
10. İLETİŞİM
10.1. Aydınlatma Metni hakkında her türlü soru ve talep için:
CarbonSmart Teknoloji ve Danışmanlık A.Ş.
Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul
Pendik/İstanbul 34906, Türkiye
E-Posta: info@carbonsmart.io
Web: https://carbonsmart.io/legal-kvkk
İlgili Kişi, işbu Aydınlatma Metni'ni okuduğunu, kişisel verilerinin yukarıda belirtilen amaçlar ve hukuki sebeplerle işlenebileceği konusunda aydınlatılmış olduğunu kabul eder. Açık rıza gerektiren işlemler için ayrıca ilgili açık rıza metinleri sunulur.
