Gizlilik Politikası

İşbu Gizlilik Politikası, PickupTime (pickuptime.io) ("PickupTime", "biz") tarafından pickuptime.io üzerinden sunulan hizmet kapsamında kişisel verilerin nasıl işlendiğini açıklar. Politika, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile uyumlu olacak şekilde hazırlanmıştır. Türkiye'deki ilgili kişiler için ayrıca KVKK Aydınlatma Metnimiz geçerlidir.

1. Rollerimiz: Veri Sorumlusu ve Veri İşleyen

PickupTime iki farklı rolde hareket eder:

• Veri sorumlusu (controller) olarak: Operatör hesap verileri (ad-soyad, e-posta, işletme bilgileri, fatura ve abonelik bilgileri) ile hizmetin işletilmesine ilişkin teknik kayıtlar bakımından.
• Veri işleyen (processor) olarak: Operatörlerin hizmete girdiği misafir, sürücü ve sefer verileri bakımından. Bu verilerin veri sorumlusu ilgili Operatördür; PickupTime bu verileri yalnızca Operatörün talimatları doğrultusunda ve Veri İşleme Sözleşmesi (DPA) çerçevesinde işler. Misafirler, kendi verilerine ilişkin taleplerini öncelikle hizmeti aldıkları Operatöre yöneltmelidir; bize ulaşan talepleri ilgili Operatöre iletiriz.

2. İşlenen Veri Kategorileri

• Operatör hesap verileri: ad-soyad, e-posta, telefon, işletme unvanı, fatura bilgileri, oturum kayıtları.
• Sürücü verileri: ad-soyad, telefon, atanan araç plakası ve yalnızca aktif sefer sırasında cihazdan iletilen GPS konum verileri. Sefer dışında hiçbir konum verisi toplanmaz.
• Misafir verileri: ad-soyad (opsiyonel), otel/alış noktası, iletişim bilgisi (telefon/e-posta), rezervasyon ve sefer detayları.
• Araç verileri: plaka, marka/model ve araç ruhsat belgesinden OCR ile çıkarılan bilgiler.
• Teknik veriler: IP adresi, tarayıcı bilgisi, zorunlu çerezler ve günlük (log) kayıtları.

3. İşleme Amaçları

Verileri; hizmetin sunulması ve sefer operasyonlarının yürütülmesi, misafirlere tahmini varış süresi (ETA) ve canlı takip bağlantısı sağlanması, gecikmelerin sonraki duraklara yansıtılması, acente raporları ve filo istatistiklerinin üretilmesi, araç kayıtlarının ruhsat belgesinden otomatik oluşturulması, faturalama ve abonelik yönetimi, güvenlik, hata ayıklama ve hukuki yükümlülüklerin yerine getirilmesi amaçlarıyla işleriz. Verileri reklam amacıyla işlemez, üçüncü kişilere satmayız.

4. Hukuki Sebepler

GDPR kapsamında dayandığımız hukuki sebepler: sözleşmenin ifası (md. 6/1-b: hesap ve hizmet yönetimi), meşru menfaat (md. 6/1-f: hizmet güvenliği, ürün geliştirme, dolandırıcılığın önlenmesi), hukuki yükümlülük (md. 6/1-c: vergi ve ticari kayıt mevzuatı) ve gerekli hâllerde açık rızadır (md. 6/1-a). Veri işleyen sıfatıyla işlediğimiz misafir ve sürücü verilerinin hukuki sebebini ilgili Operatör belirler.

5. Saklama Süreleri

• GPS konum verileri: sefer tamamlandıktan sonra en fazla 90 gün saklanır; Operatör bu süreyi daha kısa olacak şekilde yapılandırabilir. Süre sonunda konum noktaları silinir veya anonim istatistiklere dönüştürülür.
• Misafir verileri: Operatörün yapılandırmasına ve talimatlarına göre; hesabın kapanması hâlinde DPA'da öngörülen süre içinde silinir.
• Hesap ve fatura verileri: sözleşme süresince ve sona ermesinden itibaren ilgili mevzuatın öngördüğü zamanaşımı ve saklama süreleri boyunca.

6. Alıcılar ve Alt İşleyenler

Verileriniz aşağıdaki hizmet sağlayıcılarla, yalnızca hizmetin sunulması için gerekli olduğu ölçüde paylaşılır:

• Supabase / AWS (AB bölgesi): veri tabanı, kimlik doğrulama ve barındırma altyapısı.
• Google Maps Platform: harita görüntüleme, rota ve ETA hesaplamaları.
• Resend: işlemsel e-posta gönderimi.
• OpenAI: araç ruhsat belgelerinin OCR ile okunması (belge içeriği yalnızca veri çıkarımı amacıyla işlenir; model eğitiminde kullanılmasına izin verilmez).

Güncel alt işleyen listesi DPA ekinde yer alır. Kamu kurumlarının hukuka uygun talepleri saklıdır.

7. Yurt Dışına Aktarım

Barındırma altyapımız öncelikli olarak AB bölgesindedir. AB/AEA dışına yapılan aktarımlar; Avrupa Komisyonu Standart Sözleşme Maddeleri (SCC'ler), yeterlilik kararları ve gerekli ek güvenlik önlemleri çerçevesinde gerçekleştirilir. Türkiye'den yurt dışına aktarımlar KVKK md. 9 kapsamındaki usullere tabidir.

8. İlgili Kişi Hakları

Verilerinize erişme, verilerin düzeltilmesini veya silinmesini isteme, işlemeyi kısıtlama, verilerinizi taşınabilir biçimde alma, meşru menfaate dayalı işlemeye itiraz etme ve verdiğiniz rızayı dilediğiniz an geri alma haklarına sahipsiniz. Taleplerinizi business@pickuptime.io adresine iletebilirsiniz; en geç 30 gün içinde yanıt veririz. Ayrıca yerleşik olduğunuz ülkenin veri koruma otoritesine (Türkiye'de Kişisel Verileri Koruma Kurumu) şikâyette bulunma hakkınız saklıdır.

9. Veri Güvenliği

Kiracı bazlı satır seviyesi erişim izolasyonu (RLS), aktarımda TLS ve depolamada şifreleme, jetonlu (tahmin edilemez) misafir takip bağlantıları, rol bazlı erişim kontrolü ve düzenli erişim kayıtları dâhil olmak üzere uygun teknik ve idari tedbirleri uygularız.

10. Çocuklar

Hizmet 16 yaşından küçüklere yönelik değildir; hesap sahipleri 18 yaşından büyük olmalıdır. Misafir kayıtlarında çocuklara ilişkin bilgilerin girilmesi hâlinde bunun hukuka uygunluğundan Operatör sorumludur.

11. Değişiklikler ve İletişim

Bu Politikadaki esaslı değişiklikler web sitemizde ve gerektiğinde e-posta ile duyurulur. Sorularınız için:

PickupTime (pickuptime.io)Cumhuriyet Mahallesi, İstiklal Caddesi No 8, Ürgüp/Nevşehir, TürkiyeE-posta: business@pickuptime.io