Gizlilik Politikası ve Kişisel Verilerin Korunması

Son güncelleme: Ocak 2026

1. Veri Sorumlusu

Construction Team, hizmet olarak (SaaS) sunulan, inşaat projelerinin yönetimine yönelik bir bulut platformudur. (AB) 2016/679 sayılı Tüzüğün (GDPR) amaçları bakımından veri sorumlusu, işbu politikanın 17. bölümünde belirtilen tüzel kişidir.

  • Veri Sorumlusu, Platform aracılığıyla toplanan kişisel verilerin işlenme amaçlarını ve yöntemlerini belirler.
  • Bir Müşteri (tüzel kişi), kendi çalışanları, alt yüklenicileri veya iş ortaklarına ilişkin verileri yönetmek amacıyla Platformu kullandığında, söz konusu veriler bakımından bağımsız veri sorumlusu sıfatını taşır; Construction Team ise GDPR'ın 28. maddesi anlamında veri işleyen sıfatıyla hareket eder.
  • Construction Team ile Müşteri arasındaki veri işleyen ilişkisi, abonelik sözleşmesinin ayrılmaz bir parçasını oluşturan Veri İşleme Sözleşmesi (DPA) ile düzenlenir.

2. Tanımlar

İşbu Gizlilik Politikasının amaçları bakımından:

  • "Kişisel Veri" — kimliği belirli veya belirlenebilir bir gerçek kişiye (veri sahibine) ilişkin her türlü bilgi.
  • "İşleme" — kişisel veriler üzerinde gerçekleştirilen her türlü işlem: toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama, geri çağırma, görüntüleme, kullanma, açıklama, silme veya imha etme.
  • "Veri Sahibi" — kişisel verileri işlenen gerçek kişi (kullanıcılar, müşterilerin çalışanları, iş ortaklarının iletişim kişileri).
  • "Veri İşleyen" — kişisel verileri veri sorumlusu adına işleyen kişi.
  • "Alt İşleyen" — veri işleyenin, işleme faaliyetinin bir bölümünü devrettiği üçüncü taraf.
  • "Kişisel Veri İhlali" — kişisel verilerin kazara veya hukuka aykırı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz şekilde ifşa edilmesine veya bunlara erişilmesine yol açan ihlal.

3. Kapsam ve Uygulanabilirlik

İşbu Gizlilik Politikası aşağıdaki kişiler bakımından uygulanır:

  • constructionteam.app adresindeki web sitesini ziyaret eden tüm bireyler.
  • Hesap oluşturan ve Platformu kullanan kullanıcılar.
  • Verileri Platforma girilen tüzel kişilerin — müşterilerin, tedarikçilerin ve iş ortaklarının — iletişim kişileri.
  • İletişim formu, e-posta veya diğer kanallar aracılığıyla bizimle iletişime geçen kişiler.
  • Abonelik sözleşmesi kapsamında verileri işlenen müşteri şirketlerin çalışanları ve temsilcileri.

İşbu Politika, gerçek kişinin tanımlanmasına imkân vermeyen anonimleştirilmiş veya toplulaştırılmış verilere uygulanmaz.

4. Topladığımız Kişisel Veri Kategorileri

4.1. Kimlik ve İletişim Verileri

Kayıt sırasında ve Platformun kullanımı esnasında aşağıdaki verileri toplarız:

  • Kullanıcının adı ve soyadı.
  • Kurumsal e-posta adresi.
  • Telefon numarası (sağlanmışsa).
  • Müşteri tüzel kişiliğine ait ticari unvan, sicil numarası ve adres.
  • Kuruluştaki görev/rol.

4.2. Teknik Veriler

Platforma erişim sırasında otomatik olarak toplanır:

  • IP adresi ve yaklaşık coğrafi konum (ülke/şehir düzeyi).
  • Tarayıcı türü ve sürümü, işletim sistemi.
  • Cihaz tanımlayıcıları.
  • Oturumların tarihi, saati ve süresi.
  • Ziyaret edilen sayfalar ve kullanılan özellikler.

4.3. Ticari Veriler

Platformla çalışma sürecinde aşağıdaki veriler işlenebilir:

  • Müşteri tarafından girilen faturalar, sözleşmeler, teklifler ve diğer belgelere ait veriler.
  • Müşteri tarafından girilen çalışanların, alt yüklenicilerin ve iş ortaklarının ad ve iletişim bilgileri.
  • Müşteri tarafından girilen mali bilgiler (banka hesapları, fatura tutarları).
  • Şantiyelere, miktar tespit tutanaklarına ve envantere ilişkin veriler.

Önemli: Müşteri tarafından girilen ticari veriler bakımından Müşteri, veri sorumlusu sıfatını taşır. Construction Team bu verileri yalnızca Müşterinin talimatları doğrultusunda ve Veri İşleme Sözleşmesi'ne uygun olarak işler.

4.4. Ödeme Verileri

Abonelik ödemelerinin işlenmesi amacıyla:

  • Construction Team, banka kartı numaralarının tamamını saklamaz.
  • Ödemeler, PCI DSS Düzey 1 standartlarına uyan sertifikalı bir ödeme operatörü (Stripe) tarafından işlenir.
  • Yalnızca şu verileri saklarız: kartın son 4 hanesi, kart türü, son kullanma tarihi ve işlem tanımlayıcısı.

5. İşleme Amaçları ve Hukuki Dayanakları

Kişisel verileri yalnızca GDPR'ın 6(1) maddesi uyarınca geçerli bir hukuki dayanak bulunduğunda işleriz:

5.1. Sözleşmenin İfası (Md. 6(1)(b))

  • Kullanıcı hesaplarının oluşturulması ve yönetilmesi.
  • Abonelik hizmetinin ve teknik desteğin sağlanması.
  • Ödemelerin işlenmesi ve faturaların düzenlenmesi.
  • Hizmete ilişkin iletişim (sistem bildirimleri, şart değişiklikleri).

5.2. Meşru Menfaat (Md. 6(1)(f))

Menfaatimizin veri sahibinin haklarına üstün gelmediğini güvence altına alan denge testine tabi olmak kaydıyla:

  • Kullanım analizleri yoluyla Platformun iyileştirilmesi (toplulaştırılmış veriler).
  • Güvenliğin sağlanması — yetkisiz erişim, suistimal ve siber saldırıların tespit edilmesi.
  • Dolandırıcılığın ve hizmetin kötüye kullanımının önlenmesi.
  • İç raporlama ve denetim.

5.3. Hukuki Yükümlülük (Md. 6(1)(c))

  • Muhasebe Kanunu uyarınca muhasebe belgelerinin saklanması (10 yıl).
  • Yasanın veya yetkili bir makamın talebi üzerine verilerin sağlanması.
  • Vergisel yükümlülüklerin yerine getirilmesi.

5.4. Açık Rıza (Md. 6(1)(a))

Yalnızca başka bir hukuki dayanağın bulunmadığı hâllerde:

  • Pazarlama iletişimlerinin ve bültenlerin gönderilmesi (dilediğiniz zaman iptal etme hakkıyla birlikte).
  • Analitik ve reklam amaçlı opsiyonel çerezlerin kullanımı.
  • Memnuniyet anketlerine ve araştırmalara katılım.

Açık rıza, geri çekme tarihinden önce gerçekleştirilen işleme faaliyetlerinin hukuka uygunluğunu etkilemeksizin dilediğiniz zaman geri çekilebilir.

6. Çerezler ve İzleme Teknolojileri

Aşağıdaki çerez kategorilerini kullanırız:

6.1. Kesinlikle Gerekli Çerezler (rıza gerektirmez)

  • Kimlik doğrulama ve kullanıcı oturumunun sürdürülmesi için oturum çerezleri.
  • CSRF koruma çerezleri (form güvenliği).
  • Dil tercihlerinin hatırlanmasına yönelik çerezler.

6.2. Analitik Çerezler (rızaya tabi)

  • Google Analytics — trafik ve ziyaretçi davranışı analizi için.
  • Dahili analitik — kullanıcı deneyiminin iyileştirilmesi için.

6.3. Çerez Yönetimi

Çerezleri tarayıcı ayarlarınız üzerinden veya ilk ziyaretinizde sunulan çerez bildirimi aracılığıyla yönetebilirsiniz. Kesinlikle gerekli çerezlerin devre dışı bırakılması, Platformun işlevselliğini olumsuz etkileyebilir.

7. Veri Saklama Süresi

Kişisel verileri yalnızca toplandıkları amaç için gerekli olan süre boyunca saklarız:

  • Hesap verileri — abonelik sona erdikten sonra veri dışa aktarımı için ek 30 gün boyunca.
  • Müşteri ticari verileri — sözleşmenin sona ermesinden sonra dışa aktarım için 30 gün, ardından kalıcı olarak silinir.
  • Muhasebe belgeleri — Muhasebe Kanunu uyarınca 10 yıl.
  • Güvenlik kayıtları — en fazla 12 ay.
  • Pazarlama açık rızası — veri sahibi tarafından geri çekilene kadar.
  • İletişim formu verileri — talep çözüme kavuşturulduktan sonra en fazla 6 ay.
  • Yedekler — 90 güne kadar, ardından otomatik olarak üzerine yazılır.

Saklama sürelerinin sona ermesinden sonra veriler silinir veya geri döndürülemez biçimde anonimleştirilir. Uyuşmazlık veya hukuki talep hâlinde veriler, yargılama kesin olarak sonuçlanıncaya kadar saklanabilir.

8. Verilerin Üçüncü Taraflarla Paylaşılması

Kişisel verileri satmaz, kiralamaz veya ticarete konu etmeyiz. Verileri yalnızca aşağıdaki hâllerde paylaşırız:

8.1. Alt İşleyenler

Hizmetin sunulması için GDPR'ın 28. maddesi uyarınca sözleşme akdettiğimiz güvenilir hizmet sağlayıcılarından yararlanırız:

  • Barındırma ve altyapı — verilerin AB sunucularında saklanması için.
  • Ödeme hizmetleri (Stripe) — abonelik ödemelerinin işlenmesi için.
  • E-posta hizmetleri — sistem ve işlem e-postalarının gönderilmesi için.
  • Yapay zekâ işleme (OpenAI) — akıllı belge tanıma için (bkz. 12. bölüm).
  • İzleme ve hata takibi — hizmet kararlılığının sağlanması için.

8.2. Hukuki Gereklilikler

Kişisel verileri aşağıdaki hâllerde gerekli olduğunda açıklayabiliriz:

  • Yürürlükteki mevzuat veya düzenleyici işlem.
  • Mahkeme kararı veya yetkili bir makamın işlemi.
  • Construction Team'ın, kullanıcılarının veya kamunun haklarının, mülkiyetinin veya güvenliğinin korunması.

9. Uluslararası Veri Aktarımı

Verileriniz Avrupa Birliği'ndeki sunucularda saklanır.

  • AEA dışına aktarımın gerekli olduğu hâllerde (örneğin ABD'deki alt işleyenlere), Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (SCC) aracılığıyla yeterli düzeyde koruma sağlarız (Karar 2021/914).
  • Yapay zekâ işleme (OpenAI), ABD'ye aktarımı içerebilir. OpenAI, EU-US Data Privacy Framework kapsamında sertifikalıdır ve ilave teknik koruma önlemleri uygular.
  • Her aktarımdan önce, EDPB kılavuz ilkelerine uygun olarak Aktarım Etki Değerlendirmesi (TIA) gerçekleştiririz.
  • Alt işleyenlerin listesi ve bulundukları yerler info@constructionteam.app adresine yapılacak talep üzerine sunulur.

10. GDPR Kapsamındaki Haklarınız

(AB) 2016/679 sayılı Tüzük uyarınca aşağıdaki haklara sahipsiniz:

Erişim Hakkı (Md. 15)

Kişisel verilerinizin işlenip işlenmediğini öğrenme, bunlara erişme ve işleme amaçları, veri kategorileri, alıcılar ve saklama süresi hakkında bilgi alma hakkına sahipsiniz.

Düzeltme Hakkı (Md. 16)

Hatalı kişisel verilerin düzeltilmesini veya eksik verilerin tamamlanmasını gecikmeksizin talep etme hakkına sahipsiniz.

Silme Hakkı (Md. 17)

Verilerin işleme amacı bakımından artık gerekli olmaması, açık rızanızı geri çekmiş olmanız, işlemeye itiraz etmiş olmanız veya verilerin hukuka aykırı şekilde işlenmiş olması hâllerinde kişisel verilerinizin silinmesini talep etme hakkına sahipsiniz. Bu hak, işlemenin hukuki bir yükümlülüğün yerine getirilmesi için gerekli olduğu hâllerde uygulanmaz.

İşlemenin Kısıtlanması Hakkı (Md. 18)

Verilerin doğruluğuna itiraz etmeniz, işlemenin hukuka aykırı olması veya işlemeye itiraz etmiş olmanız üzerine doğrulama süreci tamamlanıncaya kadar işlemenin kısıtlanmasını talep etme hakkına sahipsiniz.

Veri Taşınabilirliği Hakkı (Md. 20)

Verilerinizi yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta (JSON, CSV) alma ve bunları başka bir veri sorumlusuna iletme hakkına sahipsiniz. Platform, kullanıcı panelinden veri dışa aktarımı işlevi sunmaktadır.

İtiraz Hakkı (Md. 21)

Meşru menfaat hukuki dayanağına dayanan veri işlemeye itiraz etme hakkına sahipsiniz. İtiraz hâlinde, menfaatlerinize üstün gelen zorlayıcı meşru gerekçeleri ortaya koymadıkça işlemeyi durdururuz. Doğrudan pazarlama amaçlı işlemeye her zaman kayıtsız şartsız itiraz edebilirsiniz.

Otomatik Karar Vermeye Tabi Olmama Hakkı (Md. 22)

Hakkınızda hukuki sonuç doğuran veya sizi benzer biçimde önemli ölçüde etkileyen, yalnızca otomatik işlemeye dayanan bir karara — profilleme dâhil — tabi olmama hakkına sahipsiniz. Construction Team, insan müdahalesi olmaksızın hukuki sonuç doğuran otomatik kararlar almaz.

11. Haklarınızın Kullanılması

Haklarınızdan herhangi birini kullanmak için bizimle aşağıdaki kanallar üzerinden iletişime geçebilirsiniz:

  • E-posta: info@constructionteam.app (konu kısmına "GDPR Talebi" yazılmalıdır).
  • constructionteam.app/contact adresindeki iletişim formu aracılığıyla.
  • 17. bölümde belirtilen adrese gönderilecek yazılı başvuru ile.

Güvenliğiniz açısından, talebinizi işleme almadan önce kimliğinizin doğrulanmasını talep edebiliriz.

Her talebe 30 gün içinde yanıt veririz. Talebin karmaşıklığı veya talep sayısının fazlalığı hâlinde bu süre 60 güne kadar uzatılabilir; bu konuda tarafınız bilgilendirilir.

Haklarınızın kullanılması ücretsizdir. Açıkça temelsiz veya aşırı taleplerde (özellikle tekrar eden nitelikte olmaları hâlinde) makul bir ücret talep edebilir veya işlem yapmayı reddedebiliriz.

12. Yapay Zekâ ile İşleme ve Otomatik Karar Verme

Platform, aşağıdaki amaçlarla yapay zekâ (AI) kullanmaktadır:

  • Taranmış belgelerden (faturalar, miktar tespit tutanakları, protokoller) veri tanıma ve çıkarımının otomatik olarak gerçekleştirilmesi.
  • Anlamsal vektörler (embeddings) aracılığıyla nomenklatür kalemlerinin akıllı eşleştirilmesi.
  • Belge kategorilendirme ve sınıflandırma önerileri.

Yapay Zekâ İşlemeye İlişkin Güvenceler

  • Yapay zekâ sonuçları her zaman yalnızca öneri niteliğindedir — nihai karar, sonuçları inceleyerek onaylayan veya reddeden kullanıcıya aittir.
  • Hukuki veya önemli sonuç doğuran kararlar, insan müdahalesi olmaksızın otomatik olarak alınmaz.
  • Yapay zekâ işleme amacıyla gönderilen belgeler gerçek zamanlı olarak işlenir ve yapay zekâ sağlayıcısı tarafından model eğitimi amacıyla saklanmaz.
  • Yapay zekâ işleme, 9. bölümde tanımlandığı şekilde bir alt işleyene (OpenAI) veri aktarımını içerebilir.
  • Dilediğiniz zaman insan müdahalesi talep etme veya yapay zekâ işlemeyi reddetme hakkına sahipsiniz.

13. Tasarımdan ve Varsayılan Olarak Veri Koruması

GDPR'ın 25. maddesi uyarınca, Tasarımdan ve Varsayılan Olarak Veri Koruması ilkelerini uygularız:

  • Veri minimizasyonu — yalnızca belirli amaç için gerekli olan verileri toplarız.
  • Veri izolasyonu (çok kiracılı yapı) — her Müşterinin verileri veri tabanı düzeyinde kesin olarak ayrıştırılır. Hiçbir Müşteri başka bir Müşterinin verilerine erişemez.
  • Rol tabanlı erişim kontrolü (RBAC) — her kullanıcı, yalnızca Hesap Yöneticisi tarafından belirlenen yetkiler çerçevesindeki verilere erişir.
  • Varsayılan olarak şifreleme — tüm veriler iletim sırasında (TLS 1.3) ve durağan hâldeyken şifrelenir.
  • Denetim izi — her kullanıcı eylemi, izlenebilirlik ve hesap verebilirlik için kayıt altına alınır.
  • Takma adlandırma (pseudonymization) — mümkün olduğunda doğrudan kişisel veriler yerine dahili tanımlayıcılar kullanırız.

14. Teknik ve İdari Güvenlik Önlemleri

GDPR'ın 32. maddesi uyarınca aşağıdaki önlemleri uygularız:

14.1. Teknik Önlemler

  • TLS 1.3 ve HSTS aracılığıyla iletim sırasında veri şifreleme.
  • Veri tabanları ve yedekler için durağan hâlde veri şifreleme (AES-256).
  • Yönetim erişimi için çok faktörlü kimlik doğrulama (MFA).
  • Web Uygulama Güvenlik Duvarı (WAF) ve DDoS koruması.
  • Anormallik ve şüpheli faaliyetlerin otomatik olarak tespiti.
  • Düzenli güvenlik açığı taramaları ve sızma testleri.
  • Coğrafi çoğaltmalı, düzenli otomatik yedekleme.

14.2. İdari Önlemler

  • Çalışan erişiminde asgari yetki ilkesi.
  • Personelin veri koruma konusunda eğitilmesi.
  • Kişisel veri olay yönetim politikası.
  • Güvenlik önlemlerinin düzenli olarak gözden geçirilmesi ve güncellenmesi.
  • Tüm çalışanlar ve alt yüklenicilerle gizlilik sözleşmelerinin akdedilmesi.

15. İhlal Bildirimi

Bir kişisel veri ihlali meydana geldiğinde:

  • İhlalin gerçek kişilerin hak ve özgürlükleri bakımından risk doğurması olası olduğunda, durumun farkına vardığımız andan itibaren 72 saat içinde Kişisel Verileri Koruma Komisyonu'na (KZLD) bildirimde bulunuruz (GDPR Md. 33).
  • İhlalin yüksek risk doğurması olası olduğunda, etkilenen veri sahiplerini gecikmeksizin bilgilendiririz (GDPR Md. 34).
  • Her ihlali; olayları, sonuçları ve alınan düzeltici önlemleri kapsayacak şekilde belgelendiririz.
  • Construction Team'ın veri işleyen sıfatıyla hareket ettiği hâllerde, bildirim yükümlülüklerini yerine getirebilmesi için Müşteriyi (veri sorumlusunu) gecikmeksizin bilgilendiririz.

16. Veri Koruma Görevlisi (DPO)

Kişisel verilerin korunmasıyla ilgili tüm sorularınız için Veri Koruma Görevlimize aşağıdaki kanallar üzerinden ulaşabilirsiniz:

  • E-posta: info@constructionteam.app
  • Konu: "DPO / Veri Koruma"
  • DPO, kişisel verilerin işlenmesine ilişkin tüm soru ve talepleri inceler ve veri sahiplerinin haklarının kullanılmasını koordine eder.

17. Şikâyet Hakkı ve Denetim Makamı ile İletişim

Kişisel verilerinizin işlenmesinin GDPR'ı ihlal ettiğine inanıyorsanız, denetim makamına şikâyette bulunma hakkına sahipsiniz:

Kişisel Verileri Koruma Komisyonu (KZLD)

  • Adres: Prof. Tsvetan Lazarov Bulvarı No: 2, Sofya 1592
  • Telefon: 02/91-53-518
  • E-posta: kzld@cpdp.bg
  • Web sitesi: www.cpdp.bg

Konuyu doğrudan çözüme kavuşturmak için öncelikle info@constructionteam.app adresinden bizimle iletişime geçmenizi öneririz.

18. Çocuklara Ait Veriler

Construction Team, tüzel kişilere ve çalışanlarına yönelik bir B2B platformudur. 16 yaşın altındaki bireylerden bilerek kişisel veri toplamayız. Bir çocuktan veri topladığımızı tespit edersek söz konusu veriyi derhal sileriz. Bir çocuğun Platform aracılığıyla kişisel veri sağladığını düşünüyorsanız, lütfen info@constructionteam.app adresinden bizimle iletişime geçin.

19. Gizlilik Politikasında Yapılacak Değişiklikler

Aşağıdaki hâllerde işbu Politikayı güncelleme hakkımız saklıdır:

  • Yürürlükteki mevzuatta veya denetim makamının kılavuz ilkelerinde meydana gelen değişiklikler.
  • Hizmetlerde, özelliklerde veya alt işleyenlerde meydana gelen değişiklikler.
  • Koruma önlemlerinin uyarlanmasını gerektiren teknolojik değişiklikler.
  • Denetim veya etki değerlendirmelerinden kaynaklanan tavsiyeler.

Esaslı değişiklikler hâlinde, en az 30 gün önceden e-posta ve/veya Platform üzerinden bildirim yoluyla sizi bilgilendiririz. Değişikliklerin yürürlüğe girmesinden sonra Platformun kullanılmaya devam edilmesi, güncellenmiş Politikanın kabul edildiği anlamına gelir.

20. Uygulanacak Hukuk ve İletişim Bilgileri

İşbu Gizlilik Politikası; (AB) 2016/679 sayılı Tüzük (GDPR), Bulgar Kişisel Verilerin Korunması Kanunu ve uygulanabilir Avrupa ile ulusal mevzuat hükümlerine tabidir.

Veri korumayla ilgili sorularınız için iletişim:

  • E-posta: info@constructionteam.app
  • Web sitesi: constructionteam.app
  • Konu: "Kişisel Verilerin Korunması"

Platformun düzgün çalışmasını sağlamak ve deneyiminizi iyileştirmek için çerezler kullanıyoruz. Çerezler hakkında daha fazla bilgi