Gizlilik Politikası

Heoxify – Müşteri İletişim Platformu Instagram · WhatsApp Business · Web Meta App Review Uyumlu KVKK & GDPR

Son güncelleme: Mayıs 2026 English version

Bu metin; hesap açma, kanal bağlama ve ücretli plan kullanımı sırasında işlenen kişisel verileri açık ve anlaşılır biçimde açıklar. Hizmeti kullanmadan önce okumanızı öneririz.

1. Genel Bilgi ve Kapsam

Heoxify, Heoxa Teknoloji tarafından işletilen ürün ve markadır.

Bu Gizlilik Politikası, Heoxify ile sunulan; Instagram Direkt Mesaj (DM), isteğe bağlı WhatsApp Business (Meta Cloud API), web sitenize gömülebilen sohbet widget’ı ve ilgili panel özellikleri üzerinden yapay zekâ destekli müşteri iletişim hizmetine (“Hizmet”) ilişkin kişisel verilerin nasıl toplandığını, işlendiğini, saklandığını ve korunduğunu açıklar. Politikada “biz”, veri sorumlusu Heoxa Teknoloji’yi ifade eder.

Hizmeti kullanarak, hesap oluşturarak veya bir iletişim kanalını (Instagram, WhatsApp Business, web sohbet) bilinçli olarak bağlayarak bu politikayı okuduğunuzu kabul etmiş olursunuz. Ücretli planlarda ödeme verileriniz Merchant of Record (ödeme iş ortağımız) tarafından işlenir; ayrıntılar için İade ve İptal Politikası ve aşağıdaki tabloya bakınız. Politika, 6698 sayılı KVKK ve GDPR kapsamındaki yükümlülüklerimizi karşılamayı hedefler.

Önemli: Heoxify, izinsiz toplu mesaj (spam) veya rehberinizdeki kişilere rastgele ulaşım amacıyla tasarlanmamıştır. Yalnızca sizin bağladığınız kanallara gelen veya web widget’ınızı kullanan ziyaretçilerin mesajlarını, sizin yapılandırdığınız kurallar çerçevesinde işleriz.

Bu politika aynı zamanda Meta Platforms, Inc. tarafından Instagram / Facebook uygulama incelemesi sürecinde talep edilen Privacy Policy URL belgesidir.

2. Veri Sorumlusu

Veri sorumlusu: Heoxa Teknoloji (İstanbul, Türkiye). Ürün markası: Heoxify (heoxify.com).

Gizlilik talepleri için: info@heoxa.com, uygulama içi destek veya kayıtlı hesap e-postanız.

3. Toplanan Veriler

Veri Kategorisi	Ne Toplarız	Neden Toplarız
Hesap bilgileri	E-posta adresi, ad-soyad, şifre (bcrypt ile hash'lenir)	Kimlik doğrulama, hesap yönetimi
Meta / Instagram bağlantısı	Facebook Page ID, Instagram Business Account ID, OAuth erişim token'ı (şifrelenmiş saklanır)	Instagram API entegrasyonu üzerinden gelen konuşmaları yönetmek ve yanıtlamak
Meta / WhatsApp Business bağlantısı (isteğe bağlı eklenti)	WhatsApp Business Account (WABA) kimliği, Phone Number ID, doğrulanmış işletme telefonu, görünen işletme adı, Meta Cloud API erişim token'ı (şifrelenmiş saklanır)	WhatsApp üzerinden gelen ve giden iş mesajlarını panelde göstermek ve yanıtlamak
Konuşma verileri	Instagram DM, WhatsApp Business mesajları ve web sohbet widget'ı üzerinden alınan/gönderilen mesajlar, zaman damgaları, konuşma geçmişi	Yanıt iş akışı, geçmiş, lead analizi ve (etkinleştirdiyseniz) yapay zekâ destekli yanıtlar
Web sohbet widget'ı	Ziyaretçi mesajları, oturum kimliği, widget yapılandırması, izin verdiğiniz alan adları (domain)	Sitenize gömülü sohbeti çalıştırmak ve gelen talepleri yönetmek
Lead / aday verileri	Platformdan gelen kullanıcı tanımlayıcıları (ör. Instagram kullanıcı adı, WhatsApp kullanıcı kimliği), görünen isim, mesajda paylaşılan iletişim bilgisi, etiket ve notlar	Müşteri adayı takibi ve CRM işlevi
Abonelik ve ödeme	Çalışma alanı kimliği, plan kodu, abonelik durumu; ödeme Merchant of Record (ödeme iş ortağımız) üzerinden tahsil edilir—tam kart numarası ve CVV Heoxify’de tutulmaz. Ödeme sağlayıcısı; sipariş, fatura, ödeme yöntemi işleme ve müşteri portalı için gerekli verileri işleyebilir. Ayrıntılar için İade ve İptal Politikası ve Kullanım Koşulları geçerlidir.	Ücretli planların sunulması, faturalama hizmeti ile uyum, dolandırıcılığa karşı önlem
Teknik / log verileri	IP adresi, oturum (session) token, tarayıcı türü, hata logları	Güvenlik, hata ayıklama, hizmet kalitesi

Konuşma içerikleri yalnızca sizin bağladığınız kanallar ve widget alan adlarınız kapsamında işlenir; veri simsarlığı veya reklam profili oluşturma amacıyla satılmaz. Erişim, çalışma alanınızdaki yetkili kullanıcılar ve Hizmeti sunmak için gerekli teknik süreçlerle sınırlıdır.

4. Meta / Instagram API Kullanımı

Heoxify, Meta Platforms'un onaylı geliştirici politikaları kapsamında aşağıdaki API izinlerini kullanır:

instagram_basic – Bağlı Instagram hesabının temel profil bilgisini okur.
instagram_manage_messages – Instagram DM'lerini alır ve yanıt gönderir.
pages_show_list – Kullanıcının yönettiği Facebook Sayfalarını listeler (hesap bağlama için).
pages_manage_metadata – Webhook aboneliğini etkinleştirir (gelen mesajların iletilmesi için zorunludur).
pages_messaging – Messenger Platform üzerinden mesaj gönderir.

Bu izinler yalnızca belirtilen amaçlarla kullanılır. Token'lar AES-256 şifrelemesiyle saklanır ve yalnızca API çağrıları için kullanılır. Erişim token'larınız herhangi bir amaçla başka bir sistemle paylaşılmaz.

Meta'nın kendi gizlilik politikası: Meta Gizlilik Politikası

5. WhatsApp Business Platform (Meta Cloud API)

Heoxify, ücretli plan eklentisi olarak isteğe bağlı WhatsApp Business entegrasyonu sunar. Bu özellik yalnızca sizin panelde bilinçli olarak bağladığınız WhatsApp Business Account (WABA) ve işletme telefon hattı için geçerlidir.

Mesaj gönderen kişiler (sizin müşterileriniz): İşletme WhatsApp numaranıza yazan son kullanıcıların verileri (ör. WhatsApp kullanıcı kimliği, görünen ad, mesaj metni, mesajda paylaşılan iletişim bilgisi) Hizmet kapsamında işlenir.

Nasıl çalışır: Meta, gelen mesajları webhook ile Heoxify sunucularına iletir; panelinizde konuşma görüntülenir. Yapılandırdığınız kurallara göre yapay zekâ destekli yanıt veya taslak üretilebilir; insan devralma (AI duraklatma) seçenekleri panelden yönetilir.

Erişim token'ı: Meta Cloud API çağrıları için girdiğiniz System User erişim token'ı veritabanında şifrelenir; yalnızca mesaj alma/gönderme ve bağlantı doğrulama amacıyla kullanılır. Kişisel WhatsApp uygulamanıza veya rehberinize erişmeyiz.

Bağlantıyı kaldırma: Panelden WhatsApp bağlantısını kaldırdığınızda ilgili hesap ve telefon kayıtları sistemimizden silinir (yasal saklama ve yedekleme süreleri hariç).

Meta ve WhatsApp kuralları: WhatsApp Business kullanımı Meta ve WhatsApp politikalarına tabidir. İzinsiz toplu mesaj, spam veya yalnızca pazarlama amaçlı soğuk iletişim için Heoxify kullanılmamalıdır. Müşteri hizmeti ve kullanıcının sizinle iletişime geçtiği senaryolar desteklenir.

Şeffaflık: WhatsApp mesaj içeriklerinizi üçüncü taraflara satmayız; reklam hedefleme profili oluşturmak için kullanmayız. Yalnızca Hizmeti sunmak için gerekli alt işlemcilerle (ör. barındırma, OpenAI — aşağıda) ve yasal zorunluluk hallerinde paylaşım yapılır.

6. Web Sohbet Widget'ı

Web sitenize yerleştirdiğiniz Heoxify sohbet widget'ı, ziyaretçilerin sizinle yazışmasını sağlar. Yalnızca widget'ı yapılandırdığınız izinli alan adlarından (domain) gelen oturumlar kabul edilir. Toplanan veriler; mesaj içeriği, oturum kimliği ve Hizmetin çalışması için gerekli teknik bilgilerle sınırlıdır.

7. Yapay Zekâ (AI) İşlemesi

Yanıt iş akışını desteklemek için OpenAI API'si kullanılmaktadır. Mesaj metinleri, bot yanıtı oluşturulması amacıyla OpenAI'ye iletilir. Bu işlem OpenAI Gizlilik Politikası kapsamındadır. Mesajlar OpenAI tarafından model eğitimi için kullanılmaz (API kullanımı koşulları geçerlidir).

Hangi OpenAI modelinin kullanıldığını ve sistem istemini (system prompt) hesap ayarlarınızdan görebilir ve yönetebilirsiniz.

8. Hukuki Dayanaklar (KVKK / GDPR Özeti)

Kişisel verileriniz aşağıdaki hukuki sebeplere dayanılarak işlenebilir:

Sözleşmenin ifası: Hesap açma, kanal bağlama ve abonelik kapsamında Hizmeti sunmak.
Meşru menfaat: Güvenlik, kötüye kullanımın önlenmesi, hizmet kalitesi ve ürün iyileştirmesi (haklarınızla dengelenmiş).
Hukuki yükümlülük: Vergi, muhasebe ve yetkili makam talepleri.
Açık rıza: Zorunlu olmadığı hallerde (ör. isteğe bağlı pazarlama iletişimi) ayrıca talep edilir.

9. Veri Paylaşımı ve Alt İşlemciler

Kişisel verileriniz aşağıdaki durumlar dışında üçüncü taraflara satılmaz, kiralanmaz veya veri simsarlığı amacıyla paylaşılmaz:

Meta Platforms: Instagram ve WhatsApp Business API entegrasyonu; yalnızca bağladığınız hesaplar için teknik API çağrıları ve webhook alımı.
OpenAI: Etkinleştirdiğiniz yapay zekâ yanıtları için mesaj metni (API koşulları geçerlidir).
Barındırma ve altyapı: Hizmeti çalıştırmak için sözleşmeli sunucu ve veritabanı sağlayıcıları.
Merchant of Record: Ücretli abonelik ödemeleri ve faturalama.
Yasal zorunluluk: Yetkili makamların geçerli talebi, kanunun öngördüğü ölçüde.

10. Bilerek Yapmadıklarımız

Kişisel verilerinizi “satmak” veya reklam ağlarına profil olarak vermek.
Bağlamadığınız Instagram, WhatsApp veya başka hesaplara erişmek.
İzinsiz toplu mesaj veya spam kampanyası göndermek.
Mesaj içeriklerinizi, OpenAI API kullanım koşulları dışında genel yapay zekâ model eğitimi için kullanmak.

11. Veri Saklama Süreleri

Hesap ve kullanım verileri: Hesap aktif olduğu sürece; silme talebinden sonra en fazla 90 gün.
Konuşma ve mesaj geçmişi: Varsayılan 12 ay (Instagram, WhatsApp, web sohbet); panelden veya taleple erken silinebilir.
Erişim token'ları (Instagram / WhatsApp): Bağlantı kaldırıldığında veya token süresi dolduğunda silinir.
Log verileri: Güvenlik ve hata ayıklama için en fazla 90 gün.
Yasal saklama: Vergi ve ilgili mevzuatın gerektirdiği süreler.

12. Güvenlik

Erişim token'ları AES-256 şifrelemesi ile veritabanında saklanır.
Şifreler bcrypt ile hash'lenerek tutulur; düz metin saklanmaz.
Tüm iletişim HTTPS/TLS üzerinden gerçekleşir.
Oturum token'ları sunucu tarafında yönetilir ve belirli aralıklarla yenilenir.
Veri tabanına erişim, yetkilendirilmiş teknik personelle sınırlandırılmıştır.

Hiçbir sistem %100 güvenli değildir. Güvenlik açığı şüphesizin oluşması halinde bizi derhal bilgilendirin.

13. KVKK ve GDPR Kapsamındaki Haklarınız

Aşağıdaki haklara sahipsiniz:

Erişim: Hakkınızda işlediğimiz kişisel verilerin bir kopyasını talep etme.
Düzeltme: Yanlış veya eksik verilerinizin güncellenmesini isteme.
Silme ("unutulma hakkı"): Verilerinizin silinmesini talep etme; yasal saklama yükümlülükleri hariç.
İşlemeyi kısıtlama: Belirli işlemlerin durdurulmasını isteme.
Taşınabilirlik: Verilerinizi makine okunabilir formatta alma.
İtiraz: Meşru menfaate dayalı işleme itiraz etme.
Otomatik karara itiraz: Yalnızca otomatik işlemeye dayalı kararlara itiraz etme.

Taleplerinizi info@heoxa.com, uygulama içi destek veya kayıtlı hesap e-postanız üzerinden iletebilirsiniz. Talepler en geç 30 gün içinde yanıtlanır.

14. Çerezler ve Oturum Yönetimi

Heoxify web paneli, oturum yönetimi için sunucu taraflı session cookie kullanır. Bu çerez:

Yalnızca giriş durumunuzu ve oturum kimliğinizi tutar.
Üçüncü taraf reklam veya izleme amacıyla kullanılmaz.
Tarayıcı kapatıldığında veya oturum süresi dolduğunda geçersiz hale gelir.

Pazarlama veya analitik çerez kullanılmamaktadır.

15. Çocuklara Ait Veriler

Heoxify, 18 yaşın altındaki bireylere yönelik bir hizmet değildir. 18 yaş altı kullanıcılardan bilerek kişisel veri toplamıyoruz. Böyle bir durumun farkına varırsanız lütfen bize bildirin; veriler derhal silinecektir.

16. Uluslararası Veri Transferi

Verileriniz, sunucu altyapısına bağlı olarak Türkiye ve/veya Avrupa Ekonomik Alanı (EEA) içinde ya da dışında işlenebilir. EEA dışına yapılan transferlerde GDPR'nin 46. maddesi kapsamındaki standart sözleşme maddeleri veya eşdeğer güvenceler uygulanır.

17. Politika Değişiklikleri

Bu politika zaman zaman güncellenebilir. Önemli değişiklikler; uygulama paneli bildirimi ve/veya kayıtlı e-posta adresinize gönderilen bir bilgilendirme ile duyurulur. Değişiklik tarihini bu sayfanın üstünde görebilirsiniz. Değişiklik sonrası hizmeti kullanmaya devam etmeniz güncel politikayı kabul ettiğiniz anlamına gelir.

18. İletişim

Gizlilik, veri erişim veya silme talepleri:

E-posta: info@heoxa.com
Uygulama içi destek kanalı
Kayıtlı hesap e-postanızdan yazışma

Veri sorumlusu: Heoxa Teknoloji · İstanbul, Türkiye · heoxify.com

Yanıt süresi: 30 gün (KVKK/GDPR kapsamında).

English Privacy Policy