ENA INNOVATION
EnglishTürkçe

ENA Innovation — Yasal Belgeler

Gizlilik Politikası

Son Güncelleme: 7 Haziran 2026
İçindekiler

1. Genel Bakış ve Kapsam

ENA Innovation Sağlık ve Yazılım Teknolojileri San. Tic. A.Ş. ("ENA Innovation", "biz", "bizim"), kişisel verilerinizi korumaya kararlıdır. Bu Gizlilik Politikası; EnaSpace ekosistemini — enaspace.com, enagate.com ve tüm ilişkili ürünleri (EnaFeedback, EnaSmartway, EnaQuality, EnaTto ve diğerleri) — kullanırken kişisel verilerinizi nasıl topladığımızı, kullandığımızı, paylaştığımızı ve koruduğumuzu açıklamaktadır.

Bu Politika aşağıdaki mevzuata uyum amacıyla hazırlanmıştır:

  • AB Genel Veri Koruma Tüzüğü (GDPR) — (AB) 2016/679 Sayılı Tüzük
  • Kişisel Verilerin Korunması Kanunu (KVKK) — 6698 Sayılı Kanun
  • Diğer uygulanabilir veri koruma düzenlemeleri

KVKK kapsamındaki aydınlatma yükümlülükleri için KVKK Aydınlatma Metni sayfamıza bakınız.

2. Veri Sorumlusu ve Veri İşleyen Rolleri

ENA Innovation'ın veri sorumlusu veya veri işleyen olarak üstlendiği rol, veri işleme bağlamına göre farklılık göstermektedir:

ENA Innovation'ın Veri Sorumlusu Olduğu Durumlar

ENA Innovation, kişisel verilerinizin işlenme amaçlarını ve araçlarını belirlediği durumlarda Veri Sorumlusu sıfatıyla hareket eder. Bu; şunları kapsar:

  • EnaGate hesabı oluştururken veya doğrudan enaspace.com'a kaydolurken sağladığınız bilgiler.
  • Aboneliğinize ilişkin faturalandırma ve ödeme bilgileri.
  • Destek kanallarımız aracılığıyla ilettiğiniz destek ve iletişim verileri.
  • Hizmetlerle doğrudan etkileşiminizden kaynaklanan platform kullanım analitiği ve operasyonel loglar.

ENA Innovation'ın Veri İşleyen Olduğu Durumlar

ENA Innovation, bir Kiracının (kurumsal müşterinin) işlemenin amaçlarını ve araçlarını belirlediği ve ENA Innovation'ın bu verileri Kiracı adına işlediği durumlarda Veri İşleyen sıfatıyla hareket eder. Bu; şunları kapsar:

  • Kiracıların dağıttığı ürünlerin son kullanıcılarından toplanan veriler (örneğin, EnaFeedback QR kodunu okutan anket katılımcıları, EnaQuality'deki kurumsal denetim verileri).
  • Platforma yüklenen Kiracıya özgü kurumsal veriler ve içerikler.

Bu senaryolarda Kiracı, Veri Sorumlusudur; ENA Innovation ise verileri yalnızca Kiracı'nın talimatlarına uygun olarak işler. Kurumsal müşterilerin portal.enaspace.com üzerinden ayrı bir Veri İşleme Sözleşmesi (DPA) imzalaması gerekmektedir.

3. İşlediğimiz Kişisel Veriler

3.1 Hesap ve Kimlik Verileri

  • Ad, soyad, e-posta adresi, telefon numarası (isteğe bağlı), dil tercihi
  • Kuruluş adı, iş adresi, vergi/vergi numarası (faturalama için)
  • EnaGate kimlik bilgileri (şifre tek yönlü kriptografik hash olarak saklanır; asla düz metin olarak tutulmaz)
  • Gönüllü olarak sağlanan profil bilgileri

3.2 Faturalandırma ve İşlem Verileri

  • Fatura adresi ve ülke
  • Ödeme kartının son dört hanesi (tam kart verileri hiçbir zaman ENA Innovation tarafından depolanmaz; Paddle veya PayTR tarafından doğrudan işlenir)
  • Fatura geçmişi, abonelik planı ve ödeme durumu

3.3 Teknik ve Operasyonel Veriler

  • IP adresleri, tarayıcı türü, cihaz tanımlayıcıları, işletim sistemi
  • Oturum token'ları, kimlik doğrulama çerezleri ve dil çerezleri
  • Yasal uyumluluk ve güvenlik amacıyla tutulan sistem erişim logları
  • API kullanım metrikleri, hata logları ve performans verileri

3.4 Kiracı Tarafından Gönderilen İçerik

  • Kiracılar ve kullanıcıları tarafından gönderilen anketler, formlar, geri bildirim yanıtları, iş akışı konfigürasyonları ve diğer İçerikler
  • Kiracı'nın talimatları doğrultusunda Veri İşleyen sıfatıyla işlenir

3.5 İletişim Verileri

  • Destek ekibimize gönderilen destek talepleri, e-postalar ve sohbet mesajları
  • Bildirimler ve uygulama içi mesajlar

3.6 Entegrasyon Yapılandırma Verileri

Kiracı yöneticilerinin entegrasyon özelliklerini (EnaFeedback dahil) etkinleştirdiği durumlarda şunları işleriz:

  • BYO SMS sağlayıcı seçimi, gizli olmayan yapılandırma alanları ve şifrelenmiş sağlayıcı kimlik bilgileri
  • Webhook uç nokta URL'leri, abone olunan olay türleri, şifrelenmiş imza gizli anahtarları ve teslimat meta verileri (zaman damgaları, HTTP durum kodları, yeniden deneme sayıları)

4. Amaçlar ve Hukuki Sebepler

AmaçKişisel Veri KategorileriGDPR Hukuki SebebiKVKK Hukuki Sebebi
Hesap oluşturma ve kimlik doğrulamaKimlik, Kimlik BilgileriMd. 6(1)(b) — Sözleşmenin ifasıKVKK Md. 5(2)(c) — Sözleşme
Hizmet sunumu ve özellik erişimiKimlik, Kullanım verileriMd. 6(1)(b) — Sözleşmenin ifasıKVKK Md. 5(2)(c) — Sözleşme
Faturalandırma ve fatura düzenlemeFaturalama, KimlikMd. 6(1)(b) — Sözleşmenin ifasıKVKK Md. 5(2)(c) — Sözleşme
Yasal ve vergisel yükümlülüklerFaturalama, KimlikMd. 6(1)(c) — Hukuki yükümlülükKVKK Md. 5(2)(ç) — Hukuki yükümlülük
Güvenlik, dolandırıcılık önleme ve loglamaTeknik, KimlikMd. 6(1)(f) — Meşru çıkarKVKK Md. 5(2)(f) — Meşru çıkar
Hizmet iyileştirme ve analitikKullanım, TeknikMd. 6(1)(f) — Meşru çıkarKVKK Md. 5(2)(f) — Meşru çıkar
Müşteri destek iletişimleriİletişim, KimlikMd. 6(1)(b) — Sözleşmenin ifasıKVKK Md. 5(2)(c) — Sözleşme
Pazarlama iletişimleriKimlik, İletişimMd. 6(1)(a) — RızaKVKK Md. 5(1) — Açık rıza

5. Veri Paylaşımı ve Üçüncü Taraflar

Kişisel verilerinizi satmıyoruz. Kişisel veriler yalnızca sözleşmesel yükümlülükler kapsamında alt işleyen sıfatıyla hareket eden güvenilir hizmet sağlayıcılarıyla veya yasal zorunluluk nedeniyle paylaşılmaktadır.

Alt işleyenlerin tam listesi talep üzerine [email protected] adresinden temin edilebilir. Alt işleyenlerdeki önemli değişiklikler, etkilenen müşterilere en az 30 gün önceden bildirilir.

5.1 Paddle — Uluslararası Ödeme İşlemleri

Türkiye dışında faturalanan veya TRY dışındaki para birimlerinden yapılan Abonelikler için ödeme işlemleri, faturalandırma ve vergilendirme; yetkili satıcımız (Merchant of Record) Paddle.com Inc. tarafından yürütülmektedir. Paddle, ödeme kartı verilerini kendi Gizlilik Politikası ve PCI DSS standartları kapsamında bağımsız olarak işlemektedir.

5.2 PayTR — Yurt İçi Ödeme İşlemleri (Türkiye)

TRY ile Türk adreslerine faturalanan Abonelikler için ödeme işlemleri, TCMB tarafından lisanslandırılmış PayTR Ödeme Hizmetleri A.Ş. aracılığıyla gerçekleştirilmektedir.

5.3 EnaGate — Kimlik Doğrulama Altyapısı

EnaGate (enagate.com), ENA Innovation'ın kendi altyapısında tamamen kendi barındırdığı (self-hosted) kurumsal düzeyde kimlik ve erişim yönetimi platformu üzerinde çalışmakta; kimlik bilgilerinizi, oturum token'larınızı ve rol atamalarınızı yönetmektedir. Herhangi bir üçüncü taraf bulut kimlik sağlayıcısının EnaSpace kullanıcı kimlik verilerine erişimi bulunmamaktadır.

5.4 Huawei Cloud — Altyapı ve Barındırma

EnaSpace platformu, Türkiye'de Huawei Cloud TR-West-1 (İstanbul) Bölgesinde barındırılmaktadır. Verileriniz Türkiye sınırları içinde saklanmakta ve işlenmektedir.

5.5 Platform Bildirim Altyapısı — SMS ve E-posta

EnaFeedback, EnaTto, EnaSmartWay ve EnaQuality dahil her EnaSpace ürünü; temel işlevselliğinin bir parçası olarak son kullanıcılara ve paydaşlara operasyonel SMS ve e-posta bildirimleri gönderebilir. Bu amaçla aşağıdaki alt işleyenler kullanılmaktadır:

  • Transaksiyonel e-posta (Resend): Giden transaksiyonel e-postalar; veri işleme yükümlülükleri kapsamında alt işleyen sıfatıyla hareket eden ve ENA Innovation'ın sözleşmeli transaksiyonel e-posta hizmet sağlayıcısı olan Resend aracılığıyla iletilir. Resend, alıcı e-posta adreslerini ve mesaj meta verilerini yalnızca mesaj iletimi ve teslimat raporlaması amacıyla işlemekte; alıcı verilerini kendi ticari amaçları için kullanmamaktadır.
  • SMS (platform varsayılanları): Platform teslimatı uygulandığında giden SMS mesajları ENA Innovation'ın sözleşmeli sağlayıcıları aracılığıyla iletilir. Türk (+90) numaraları lisanslı Türk mobil mesajlaşma gateway sağlayıcımız NetGSM üzerinden; Türk olmayan numaralar ise küresel SMS platform sağlayıcımız Bird (eski adıyla MessageBird) üzerinden teslim edilir. Her iki sağlayıcı da alıcı telefon numaralarını yalnızca teslimat amacıyla, uygulanabilir veri koruma yükümlülükleri kapsamında işlemektedir.

Kiracılar; 6563 sayılı Elektronik Ticaret Kanunu ve AB eGizlilik Direktifi dahil uygulanabilir elektronik iletişim mevzuatına uygun olarak bildirim alıcılarından hukuki dayanak ve rıza almaktan münhasıran sorumludur.

5.8 Kiracı Tarafından Yapılandırılan Entegrasyonlar

Desteklendiği durumlarda (EnaFeedback dahil) Kiracılar; EnaSpace ürünlerini kendi sistemlerine bağlamak için kendi SMS gateway'lerini (BYO SMS) ve giden webhook'ları yapılandırabilir.

BYO SMS. Kiracılar operasyonel SMS'leri; NetGSM, Bird, Twilio, Infobip veya özel bir HTTPS webhook uç noktası dahil olmak üzere kendi seçtikleri bir sağlayıcı üzerinden — platform varsayılanları yerine veya bunlara otomatik yük devretme ile birlikte — yönlendirebilir. Kiracı tarafından sağlanan sağlayıcı kimlik bilgileri ve imza gizli anahtarları beklemede şifrelenmiş (AES-256-GCM) olarak saklanır ve istemci uygulamalarına asla düz metin olarak döndürülmez. BYO SMS etkinleştirildiğinde ENA Innovation, alıcı telefon numaralarını ve mesaj içeriğini yalnızca Kiracı'nın talimatları doğrultusunda iletmek amacıyla işler. Kiracı'nın seçtiği SMS sağlayıcısı, alıcı verilerini kendi sözleşmesi ve gizlilik koşulları kapsamında işler; bu sağlayıcılar ayrıca kararlaştırılmadıkça ENA Innovation alt işleyeni değildir. Kiracılar; sağlayıcı seçimi, bu sağlayıcıya yapılan uluslararası aktarımlar ve uygulanabilir elektronik iletişim mevzuatına uyumdan münhasıran sorumludur.

Giden webhook'lar. Kiracılar; geri bildirim, hijyen, anket, bilet ve temizlik olayları dahil gerçek zamanlı olay bildirimleri almak üzere HTTPS uç noktalarına abone olabilir. Yükler TLS üzerinden iletilir ve alıcıların özgünlüğü doğrulayabilmesi için HMAC-SHA256 ile imzalanır. Olay yükleri, Kiracı ortamında gönderilen kişisel verileri (geri bildirim içeriği, konum tanımlayıcıları, bilet meta verileri gibi) içerebilir. Veriler yalnızca Kiracı tarafından yapılandırılan URL'lere gönderilir. Slack, Microsoft Teams, Discord, n8n, Make, Zapier, CRM platformları veya özel uygulamalar dahil alıcı sistemler Kiracı veya Kiracı'nın kontrolündeki üçüncü taraflar tarafından işletilir; bu sistemlerdeki işleme, ayrıca sözleşme yapılmadıkça ENA Innovation'ın alt işleyen listesi kapsamı dışındadır.

Kiracı sorumluluğu. Entegrasyon özellikleri yetkili Kiracı yöneticileriyle (genellikle Platform Sahibi rolü) sınırlıdır. Kiracılar; hukuka uygun uç noktaları yapılandırmaktan, kimlik bilgilerinin güvenliğini sağlamaktan, alıcı sistemlerin uygulanabilir veri koruma mevzuatına uygunluğunu temin etmekten ve artık gerekli olmayan entegrasyonları derhal devre dışı bırakmaktan münhasıran sorumludur.

5.6 Analitik — Gizlilik Odaklı Kendi Barındırılan Platform

EnaSpace, kamuya açık web mülklerinde (enaspace.com, enafeedback.com) anonim ve toplulaştırılmış sayfa görüntüleme ile oturum istatistiklerini toplamak amacıyla kendi barındırdığı (self-hosted) gizlilik odaklı bir analitik platform kullanmaktadır. Bu platform; izleme çerezi kullanmaz, cihaz parmak izi almaz ve herhangi bir kişisel olarak tanımlanabilir bilgiyi toplamaz veya depolamaz. Toplanan veriler şunlarla sınırlıdır: anonimleştirilmiş sayfa URL'leri, yönlendirici bilgisi, tarayıcı türü, işletim sistemi ve ülke (anonimleştirilmiş IP'den türetilir — tam IP adresi hiçbir zaman saklanmaz). Bu veriler kişisel olmayan veri olarak işlenmekte olup veri sahibi haklarına konu edilmez. Analitik platform tamamen ENA Innovation'ın kendi altyapısında çalışmaktadır.

5.7 Yasal Zorunluluk Nedeniyle Açıklama

Yasal zorunluluk, mahkeme kararı veya yetkili düzenleyici kurum talebi olması halinde kişisel veriler açıklanabilir.

6. Altyapı ve Veri Depolama

Tüm kişisel veriler ENA Innovation'ın bulut altyapısında depolanmakta ve işlenmektedir:

Birincil Veri Merkezi: Huawei Cloud, TR-West-1 Bölgesi (İstanbul, Türkiye)

Teknik Güvenlik Tedbirleri:

  • İletim sırasında şifreleme: Tarayıcınız ile sunucularımız arasında iletilen tüm veriler TLS 1.3 ile şifrelenmektedir.
  • Depolamada şifreleme: Veritabanı ve nesne depolama servislerinde bekleyen veriler AES-256 şifrelemeyle korunmaktadır.
  • Veritabanı yalıtımı: Kiracı verileri, satır düzeyinde güvenlik kontrolleriyle mantıksal olarak izole edilmiş veritabanı bölümlerinde saklanmaktadır.
  • Yüksek kullanılabilirlik: Hizmetler, otomatik yük devretme özelliğine sahip yüksek kullanılabilirlikli konteyner orkestrasyon altyapısı üzerinde çalışmaktadır.

7. Uluslararası Veri Aktarımları

ENA Innovation, kişisel verileri birincil depolama açısından Türkiye sınırları içinde tutmaktadır. Ancak belirli alt işleyenler (örneğin, uluslararası ödeme işlemleri için Paddle) sınır ötesi veri transferi gerektirebilir. Bu tür aktarımlarda ENA Innovation şunları güvence altına alır:

  • Yeterlilik kararları: Hedef ülkenin ilgili otoriteler tarafından yeterli veri koruması sağladığı kabul edildiği durumlarda.
  • Standart Sözleşme Maddeleri (SCC'ler): Yeterlilik kararı bulunmayan durumlarda AB onaylı Standart Sözleşme Maddelerine veya eşdeğer güvencelere dayanılmaktadır.
  • Açık rıza: KVKK Madde 9 kapsamında, yeterli korumanın bulunmadığı ülkelere yapılan aktarımlar için ilgili kişilerden açık rıza alınmaktadır.

KVKK kapsamındaki aktarım yükümlülükleri için KVKK Aydınlatma Metni sayfamıza bakınız.

8. Veri Saklama Süreleri

Veri KategorisiSaklama Süresi
Aktif hesap verileriAbonelik süresi + iptal sonrası 30 gün
Fatura ve muhasebe kayıtları10 yıl (VUK)
Teknik erişim logları2 yıl (5651 sayılı Kanun)
Destek yazışmalarıSon etkileşimden itibaren 3 yıl
Pazarlama rızası kayıtlarıRızanın geri alınmasına kadar + 3 yıl
Silinen hesap verileriSilme talebinden itibaren 90 gün içinde imha

9. Haklarınız

GDPR Kapsamında (AB/AEA Sakinleri)

GDPR Madde 15–22 kapsamında; erişim, düzeltme, silme, işlemenin kısıtlanması, veri taşınabilirliği, itiraz etme ve rızayı geri alma haklarına sahipsiniz.

KVKK Kapsamında (Türkiye Sakinleri)

KVKK Madde 11 kapsamındaki haklarınız için KVKK Aydınlatma Metni sayfamıza bakınız.

Haklarınızı Nasıl Kullanabilirsiniz?

Taleplerinizi [email protected] adresine "Veri Sahibi Talebi" konu satırıyla iletebilirsiniz. GDPR kapsamında 30 gün, KVKK kapsamında en fazla 30 gün içinde yanıt vereceğiz. Talebinizin reddedilmesi veya yanıtımızı yetersiz bulmanız halinde; AB/AEA sakinleri ulusal denetim otoritesine, Türkiye'deki veri sahipleri ise Kişisel Verileri Koruma Kurumu (www.kvkk.gov.tr) nezdinde şikâyette bulunabilir.

Pazarlama İletişimlerinden Çıkış

Pazarlama iletişimlerini rızanıza dayalı olarak işlediğimiz durumlarda bu rızayı istediğiniz zaman geri alabilirsiniz: (a) herhangi bir pazarlama e-postasının altındaki "abonelikten çık" bağlantısına tıklayarak; veya (b) [email protected] adresine "Pazarlama Opt-Out" konu başlıklı bir e-posta göndererek. Rızanın geri alınması, geri almadan önceki işlemlerin hukuka uygunluğunu etkilemez.

Otomatik Karar Alma ve Profilleme

ENA Innovation, veri sahipleri üzerinde hukuki veya benzer önemli etkiler doğuran anlamda GDPR Madde 22 / KVKK Madde 11(1)(g) kapsamında otomatik bireysel karar alma (profilleme dahil) uygulamaz. Analitik işlememiz, 5.6. Bölümde açıklandığı üzere yalnızca anonimleştirilmiş, toplulaştırılmış verilerle sınırlıdır. Bu uygulamamız değiştiği takdirde bu Politikayı güncelleyecek ve etkilenen kullanıcıları bilgilendireceğiz.

10. KVK Sorumlusu ve Güvenlik Tedbirleri

Kişisel Veri Koruma Sorumlusu (DPO). ENA Innovation, GDPR Madde 37 uyarınca işleme faaliyetlerini değerlendirmiş; zorunlu hallerde Veri Koruma Sorumlusu (DPO) atamıştır. Gizlilikle ilgili sorularınızı "DPO Sorgusu" konu başlığıyla [email protected] adresine iletebilirsiniz.

Güvenlik Tedbirleri (KVKK Madde 12). ENA Innovation, kişisel verilerin güvenliğini sağlamak için KVKK Madde 12 kapsamında gerekli teknik ve idari tedbirleri uygulamakta ve sürdürmektedir. Bu tedbirler; Güvenlik Altyapısı sayfamızda açıklanan altyapı güvenlik kontrollerini kapsamaktadır.

11. Çocukların Gizliliği

Hizmetler 18 yaşın altındaki bireylere yönelik değildir. 18 yaşından küçük bir kişiye ait verileri farkında olmadan topladığımıza inanıyorsanız, lütfen derhal bizimle iletişime geçin; söz konusu verileri derhal sileceğiz.

12. Politika Değişiklikleri

Bu Gizlilik Politikasını uygulamalarımızdaki, teknolojideki veya geçerli mevzuattaki değişiklikleri yansıtmak için güncelleyebiliriz. Önemli değişiklikler, değişiklikler yürürlüğe girmeden en az 14 gün önce e-posta yoluyla ve/veya web sitemizde duyuru yapılarak bildirilecektir.

13. İletişim

Gizlilikle ilgili sorularınız veya veri sahibi talepleriniz için:

ENA Innovation Sağlık ve Yazılım Teknolojileri San. Tic. A.Ş. Battalgazi Mah. Eskişehir Yolu Bulv., A.N.S. Kampüsü, Zafer Teknopark, Merkez/Afyonkarahisar, Türkiye