AOFC İşletme Gizlilik Politikası

1. Veri sorumlusu ve iletişim

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu AOFC Yazılım A.Ş.'dir (aofc.com.tr).

• Adres: İstiklal Mahallesi, Piyalepaşa Bulvarı 22/1 Ticari, B Blok, 34440 Beyoğlu/İstanbul, Türkiye
• E-posta: bilgi@aofc.com.tr
• Web: https://aofc.com.tr

KVKK kapsamındaki taleplerinizi yukarıdaki e-posta adresine "KVKK Başvurusu – AOFC İşletme" konu satırıyla iletebilirsiniz.

2. Politikanın kapsamı

Bu metin aşağıdaki hizmetleri kapsar:

• AOFC İşletme mobil uygulaması (bundan sonra "Uygulama");
• Uygulamanın bağlandığı AofC API altyapısı ve admin.aofc.com.tr web yönetim paneli ile birlikte çalışan işletme operasyonel verileri.

Uygulama yalnızca yetkilendirilmiş işletme kullanıcılarına (işveren/işletme yetkilisi, işletme yöneticisi, teknik personel vb.) yöneliktir; halka açık bir sosyal veya tüketici uygulaması değildir.

3. Toplanan veri kategorileri

Uygulama aracılığıyla, kurumsal süreçlerin yürütülmesi ve yasal yükümlülüklerin yerine getirilmesi amacıyla aşağıdaki veriler işlenebilir:

3.1. Hesap ve kimlik verileri

• Ad, soyad, e-posta adresi, telefon numarası
• İşletme kullanıcı rolü ve yetki bilgisi
• Bağlı işletme kimliği (isletmeId)
• Oturum doğrulama bilgisi (sunucu tarafında güvenli şekilde saklanan kimlik bilgisi)

3.2. İşletme ve kurumsal veriler

• Ticari unvan, vergi numarası, SGK sicil no, NACE, tehlike sınıfı, adres ve iletişim bilgileri
• Bölüm/eklenti tanımları, görev ve takvim kayıtları
• Atanan OSGB, uzman ve işyeri hekimi bilgileri (hizmet ilişkisi kapsamında)
• Destek talepleri ve bildirim geçmişi

3.3. Personel ve sağlık verileri (özel nitelikli kişisel veri)

Personel yönetimi ve İSG modülleri kapsamında işlenebilecek veriler; çalışan kimlik ve iletişim bilgileri, görev tanımı, yeterlilik belgeleri, iş kazası kayıtları, sağlık muayenesi, rapor ve meslek hastalığı gibi sağlık verilerini içerebilir. Bu veriler yalnızca yetkili işletme kullanıcıları ve mevzuata uygun süreçler çerçevesinde işlenir.

3.4. İSG ve operasyonel kayıtlar

• Eğitim planları ve katılım kayıtları, DÖF, risk analizi, ölçüm ve denetim sonuçları
• Acil durum planları, iş izinleri, kaza/olay bildirimleri, kâtip sözleşmeleri
• İsteğe bağlı modüller: TMGD, çevre/atık, muhasebe, seyahat vb. (abonelik kapsamına göre)

3.5. Kullanıcı tarafından yüklenen içerik

• Belge seçici ile yüklenen PDF, Office, görsel ve metin dosyaları (yeterlilik, rapor vb.)
• Formlara girilen serbest metin alanları

3.6. Bildirim ve tercih verileri

• Uygulama ve e-posta bildirim tercihleri
• Bildirim geçmişi ve okunma durumu

3.7. Cihazda yerel olarak saklanan veriler

• Oturum jetonu (token)
• "Beni hatırla" seçeneği işaretlendiğinde, cihazınızda e-posta ve şifre bilgisinin yerel saklanması (yalnızca sizin cihazınızda; sunucuya ek olarak şifrelenmemiş depolama riski nedeniyle paylaşımlı cihazlarda kullanılmaması önerilir)

Çıkış yaptığınızda oturum jetonu silinir; "beni hatırla" verileri ayrıca temizlenene kadar cihazda kalabilir.

3.8. Teknik veriler

API istekleri sırasında sunucu günlüklerinde IP adresi, istek zamanı, hata kayıtları ve benzeri teknik veriler güvenlik ve hizmet sürekliliği amacıyla sınırlı süreyle işlenebilir.

4. Verilerin işlenme amaçları

• İşletme operasyonlarının ve İSG süreçlerinin dijital yürütülmesi
• Personel, eğitim, denetim, risk ve raporlama süreçlerinin yönetimi
• OSGB ve dış uzmanlık hizmetleriyle entegre bilgi paylaşımı (yetki dahilinde)
• Kullanıcı kimlik doğrulama ve rol bazlı yetkilendirme
• Bildirim, hatırlatma ve destek taleplerinin işlenmesi
• Hizmet güvenliği, hata giderme ve kötüye kullanımın önlenmesi
• Mevzuattan doğan saklama ve denetim yükümlülükleri

5. Hukuki sebepler (KVKK md. 5 ve 6)

Kişisel verileriniz aşağıdaki hukuki sebeplere dayanılarak işlenir:

• Bir sözleşmenin kurulması veya ifası (KVKK md. 5/2-c)
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi (KVKK md. 5/2-ç)
• Bir hakkın tesisi, kullanılması veya korunması (KVKK md. 5/2-e)
• Meşru menfaat (KVKK md. 5/2-f), temel hak ve özgürlüklerinize zarar vermemek kaydıyla hizmet güvenliği ve iyileştirme
• Özel nitelikli kişisel veriler (sağlık verileri) için: ilgili kişinin açık rızası ve/veya istihdam, iş sağlığı ve güvenliği mevzuatı (KVKK md. 6/3)

6. Mobil izinler ve cihaz erişimi

Uygulama, özelliklerin çalışması için aşağıdaki erişimleri kullanabilir. İzin vermemeniz ilgili özelliğin kullanılamamasına yol açar.

7. Verilerin aktarılması

Verileriniz, hizmetin sunulması için Google Cloud Platform ve/veya aofc-api-185208461300.europe-west1.run.app altyapısı üzerinde barındırılan sunucularda işlenebilir. Sunucu sağlayıcıları veri işleyen sıfatıyla teknik altyapı hizmeti sunar.

İşletmenize atanmış OSGB ve yetkili personeli, sözleşme ve mevzuat çerçevesinde İSG verilerine rol bazlı erişebilir. İşletme içi kullanıcılar arasında da yetki matrisi uygulanır.

Reklam, davranışsal profilleme veya üçüncü taraf reklam ağları kullanılmaz. Uygulama içinde üçüncü taraf analitik veya izleme (tracking) SDK'ları bulunmamaktadır.

Kanunen yetkili kamu kurum ve kuruluşlarına, yalnızca ilgili mevzuatın öngördüğü hallerde bilgi verilebilir.

8. Yurt dışına veri aktarımı

Bulut altyapısı nedeniyle verileriniz AB/AEA dışındaki sunucularda işlenebilir. Bu durumda KVKK md. 9 kapsamında yeterli korumanın sağlandığı ülkelere veya taahhütname/onay mekanizmalarına uygun aktarım esasları uygulanır.

9. Saklama süreleri

Veriler, işlenme amacının gerektirdiği süre boyunca ve ilgili mevzuattaki (İSG, SGK, ticari kayıt, vergi, iş hukuku vb.) asgari saklama süreleri dikkate alınarak muhafaza edilir. Süre sonunda veriler silinir, yok edilir veya anonim hale getirilir.

10. Güvenlik

Verilerinize yetkisiz erişimin önlenmesi için HTTPS ile şifreli iletişim, kimlik doğrulama jetonları, rol tabanlı yetkilendirme ve sunucu tarafı güvenlik önlemleri uygulanır. "Beni hatırla" özelliğinde şifrenizin cihazda saklanması nedeniyle güçlü parola kullanmanız ve kişisel cihaz tercih etmeniz önerilir.

11. Haklarınız (KVKK md. 11)

İlgili kişi olarak aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• KVKK md. 7 koşullarında silinmesini veya yok edilmesini isteme ve aktarıldığı üçüncü kişilere bildirilmesini talep etme
• Kanuna aykırı işleme nedeniyle zararın giderilmesini talep etme

Başvurularınız, KVKK md. 13 uyarınca en geç 30 gün içinde yanıtlanır.

12. Hesap ve veri silme

Uygulama hesabınız işletme yöneticiniz veya AOFC tarafından oluşturulur. Hesabınızın kapatılması veya kişisel verilerinizin silinmesi için:

1. Öncelikle işletme yöneticinize veya insan kaynakları / İSG sorumlunuza başvurunuz.
2. Alternatif olarak bilgi@aofc.com.tr adresine kimliğinizi doğrulayacak bilgilerle (ad, soyad, kayıtlı e-posta, işletme unvanı) yazınız.

Uygulama içinden "Çıkış Yap" işlemi yalnızca oturumu sonlandırır; sunucudaki kurumsal kayıtları silmez. Apple App Store ve Google Play, hesap silme talebine yanıt verilmesini gerektirir.

13. Çocukların gizliliği

Uygulama, 18 yaş altı bireylere yönelik değildir ve bilerek çocuklardan kişisel veri toplamaz.

14. Üçüncü taraf hizmetler ve bağlantılar

Uygulama, AofC API (aofc-api-185208461300.europe-west1.run.app) ile iletişim kurar. Harita veya dış web bağlantılarına tıkladığınızda ilgili sitelerin kendi gizlilik politikaları geçer olur.

15. Politika değişiklikleri

Bu politika güncellenebilir. Güncel metin bu sayfada yayımlanır; yürürlük tarihi sayfa başında belirtilir.

16. Google Play ve Apple App Store

Mağaza listelerinde belirtilen veri toplama ve izin açıklamaları bu politika ile uyumludur. Mağaza sağlayıcıları (Google LLC, Apple Inc.) kendi gizlilik uygulamalarına tabidir; ödeme işlemleri Uygulama içinden yapılmıyorsa mağaza üzerinden ayrıca işlenmez.