AI Agent by Netfone

AI Agent Gizlilik Politikası / Privacy Policy

Durum: ⏳ AVUKAT ONAYI BEKLİYOR — Meta App Review başvurusu öncesi yayına alınacak Yayın yeri: https://aiagent.netfone.com.tr/privacy (TR) + https://aiagent.netfone.com.tr/privacy/en (EN) Yürürlük tarihi: [yayına alındığı tarih] Son güncelleme: 4 Mayıs 2026

TÜRKÇE — Gizlilik Politikası

1. Veri Sorumlusu

Netfone Telekom Limited Şirketi ("Netfone", "biz") AI Agent platformunu işletmektedir.

Bu Gizlilik Politikası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Meta Platform Şartları kapsamında hazırlanmıştır.

2. AI Agent Nedir?

AI Agent, işletmelerin müşteri hizmetleri operasyonunu yapay zeka ile destekleyen bir B2B SaaS platformudur. Müşterilerimiz (örn. klinikler, restoranlar, e-ticaret siteleri), kendi sosyal medya hesaplarını AI Agent'ya bağlayarak gelen mesajlara otomatik AI yanıtı verir.

Desteklenen kanallar:

3. Hangi Verileri Topluyoruz?

3.1 Instagram'dan Toplanan Veriler

Müşterimizin (tenant) Instagram Professional hesabını AI Agent'ya bağlamasıyla birlikte aşağıdaki veriler toplanır:

| Veri kategorisi | Spesifik veri | Kaynak | |---|---|---| | Hesap bilgisi | Instagram Scoped User ID (IGSID), kullanıcı adı, profil resmi | Meta Graph API | | Mesaj içerikleri | Müşterimize gönderdiğin DM metni | Meta webhook | | Medya içerikleri | Müşterimize gönderdiğin resim, video, ses notu, dosya | Meta CDN üzerinden indirilir | | Etkileşim metaverisi | Mesaj zaman damgası, mesaj kimliği (Meta MID) | Meta webhook |

Önemli: Sadece işletmemize/müşterimize ilk DM atan kullanıcıların verisi toplanır. Proaktif olarak hiç kimseye DM atmıyor, mesaj listesi oluşturmuyoruz. Instagram Mesajlaşma Politikası gereği bu zaten yasaktır.

3.2 İşlenen Türev Veriler

Topladığımız mesaj/medya içeriklerinden, AI yanıt üretmek için aşağıdaki türev veriler oluşturulur:

| Türev veri | Üretim yöntemi | |---|---| | Sesli notların metin transkripti | OpenAI Whisper API | | Resimlerin görsel açıklaması | OpenAI GPT-4o vision | | PDF/dokümanların metin çıkarımı | pdf-parse / mammoth (yerel) | | AI tarafından üretilen yanıt metinleri | OpenAI GPT-4o-mini |

4. Verilerinizi Hangi Amaçla İşliyoruz?

| Amaç | Hukuki Dayanak (KVKK m.5) | |---|---| | Müşterimizin işletmesi adına size otomatik yanıt vermek | Meşru menfaat (m.5/2-f) | | Müşterimizin (tenant) konuşma geçmişini görüntülemesi | Sözleşmenin kurulması/ifası (m.5/2-c) | | Servis kalitesini izlemek, hata gidermek | Meşru menfaat (m.5/2-f) | | Yasal yükümlülükleri yerine getirmek | Hukuki yükümlülük (m.5/2-ç) |

Yapmadıklarımız:

5. Verileri Kimlerle Paylaşıyoruz?

Verileriniz, hizmeti sunabilmek için aşağıdaki alt işleyenlere (data processors) aktarılır. Bu aktarım hizmet zinciri için zorunludur ve yalnızca işleme amacı doğrultusunda yapılır:

| Alt İşleyen | Hangi veri | Niye | Sunucu konumu | |---|---|---|---| | Meta Platforms Inc. | Mesaj iletimi (Instagram Graph API) | Mesajların AI Agent'ya ulaşması ve yanıtların geri dönmesi | ABD/AB | | OpenAI, L.L.C. | Mesaj metinleri, Whisper için ses, vision için resim | LLM ile yanıt üretmek, transkript çıkarmak | ABD | | Google LLC (opsiyonel) | TTS metni (telefon için) | Sesli yanıtın üretilmesi (sadece telefon kanalı) | ABD/AB | | Müşterimiz (tenant) | Sizinle yapılan tüm konuşma | Kendi müşteri hizmetleri operasyonunu yönetmek | Türkiye |

Yurtdışı aktarım, KVKK m.9 kapsamında açık rıza veya Komisyon kararıyla yeterli koruma çerçevesinde yapılır. OpenAI ve Meta'nın kurumsal veri işleme anlaşmaları (DPA) bu Politikanın ekidir.

6. Verileriniz Ne Kadar Süre Saklanır?

| Veri tipi | Saklama süresi | Sonra ne olur | |---|---|---| | Mesaj içerikleri (metin) | 90 gün (varsayılan; tenant değiştirebilir, max 365 gün) | Otomatik silinir | | Medya dosyaları (resim, ses, video) | 90 gün | Otomatik silinir | | Hesap bağlantı bilgisi (IGSID, kullanıcı adı) | Bağlantı aktif olduğu sürece | Tenant bağlantıyı keserse 30 gün içinde silinir | | Yedekleme/loglar | 60 gün | Otomatik silinir |

7. Haklarınız (KVKK m.11 + GDPR)

Aşağıdaki haklarınız vardır:

  1. Erişim hakkı: Hangi verilerinizi işlediğimizi öğrenmek
  2. Düzeltme hakkı: Yanlış veriyi düzeltmemizi istemek
  3. Silme hakkı (Unutulma hakkı): Verilerinizin silinmesini talep etmek
  4. İşlemeye itiraz hakkı: Belirli işlemeye itiraz etmek
  5. Veri taşınabilirliği hakkı: Verilerinizi makinece okunabilir formatta almak
  6. Otomatik karar verme/profillemeye itiraz: AI yanıtlamaya itiraz edip insan operatöre yönlendirilmek (mesajınıza "insanla görüşmek istiyorum" yazmanız yeterli)
  7. Şikayet hakkı: KVKK Kurumu'na (https://www.kvkk.gov.tr) veya AB Veri Koruma Otoriteleri'ne şikayet etmek

8. Verilerinizi Nasıl Silebilirsiniz?

Üç farklı yol:

9. Veri Güvenliği

10. Çocukların Gizliliği

AI Agent ve Instagram, 13 yaş altı kullanıcıların kullanımı için tasarlanmamıştır. Bu yaş grubuna ait olduğunu öğrendiğimiz veriler derhal silinir.

11. Politika Değişiklikleri

Bu Politikada değişiklik yapma hakkımızı saklı tutarız. Önemli değişiklikler 30 gün önceden bu sayfada yayımlanır.

12. İletişim

KVKK kapsamındaki tüm talepleriniz için:

KVKK Kurumu'na başvurmadan önce Netfone'a başvuru zorunludur (KVKK m.13). Başvurudan itibaren 30 gün içinde tarafınıza yanıt verilir.

ENGLISH — Privacy Policy

1. Data Controller

Netfone Telekom Limited Şirketi ("Netfone", "we") operates the AI Agent platform.

This Privacy Policy is prepared in accordance with Turkish Personal Data Protection Law No. 6698 (KVKK), EU General Data Protection Regulation (GDPR), and Meta Platform Terms.

2. What is AI Agent?

AI Agent is a B2B SaaS platform that powers customer service operations for businesses with AI-driven automated responses. Our customers (e.g., clinics, restaurants, e-commerce stores) connect their social-media accounts to AI Agent; incoming messages are answered by AI on their behalf.

Supported channels:

3. What Data Do We Collect?

3.1 Data Collected from Instagram

When our business customer (tenant) connects their Instagram Professional account to AI Agent, the following data is collected:

| Data category | Specific data | Source | |---|---|---| | Account info | Instagram Scoped User ID (IGSID), username, profile picture | Meta Graph API | | Message content | DM text you send to our business customer | Meta webhook | | Media content | Images, videos, voice notes, files you send | Downloaded via Meta CDN | | Interaction metadata | Message timestamp, Meta message ID (MID) | Meta webhook |

Important: We only collect data from users who initiated contact with our business customer. We never proactively message users or build lead lists — Instagram Messaging Policy prohibits this anyway.

3.2 Derived Data

From the collected message/media content, we generate the following derived data to produce AI responses:

| Derived data | Generation method | |---|---| | Voice note transcripts | OpenAI Whisper API | | Image visual descriptions | OpenAI GPT-4o vision | | PDF/document text extraction | pdf-parse / mammoth (local) | | AI-generated reply text | OpenAI GPT-4o-mini |

4. Why Do We Process Your Data?

| Purpose | Legal basis (GDPR) | |---|---| | Generating automated responses on behalf of our business customer | Legitimate interest (Art. 6(1)(f)) | | Allowing the business customer to view their conversation history | Performance of contract (Art. 6(1)(b)) | | Service quality monitoring, error handling | Legitimate interest (Art. 6(1)(f)) | | Compliance with legal obligations | Legal obligation (Art. 6(1)(c)) |

What we don't do:

5. Who Do We Share Data With?

Your data is shared with the following data processors (sub-processors) only when strictly necessary for service delivery:

| Sub-processor | Data shared | Purpose | Server location | |---|---|---|---| | Meta Platforms Inc. | Message routing (Instagram Graph API) | Delivering messages to AI Agent and replies back | US/EU | | OpenAI, L.L.C. | Message text, audio for Whisper, images for vision | LLM response generation, transcription | US | | Google LLC (optional) | TTS text (voice channel only) | Generating voice responses | US/EU | | Our business customer (tenant) | Full conversation with you | Operating their own customer-service workflow | Turkey |

International transfers are made under explicit consent or adequacy decisions (Art. 49 GDPR / KVKK Art. 9). Sub-processor DPAs (Data Processing Agreements) are appended to this Policy.

6. How Long Do We Retain Your Data?

| Data type | Retention period | Then | |---|---|---| | Message content (text) | 90 days (default; tenant configurable up to 365 days) | Auto-deleted | | Media files (image, audio, video) | 90 days | Auto-deleted | | Account connection info (IGSID, username) | While connection is active | 30 days after tenant disconnects | | Backups/logs | 60 days | Auto-deleted |

7. Your Rights (GDPR + KVKK)

You have the following rights:

  1. Right of access — Know what data we process about you
  2. Right to rectification — Correct inaccurate data
  3. Right to erasure (Right to be forgotten) — Request data deletion
  4. Right to object — Object to specific processing
  5. Right to data portability — Receive your data in machine-readable format
  6. Right to object to automated decision-making — Opt out of AI responses and request human handoff (just message "I want to speak to a human")
  7. Right to lodge a complaint — With KVKK Authority (https://www.kvkk.gov.tr) or your local EU DPA

8. How to Delete Your Data

Three options:

9. Data Security

10. Children's Privacy

AI Agent and Instagram are not intended for users under 13. Data we discover belongs to a child is deleted immediately.

11. Policy Changes

We reserve the right to modify this Policy. Material changes are published on this page 30 days in advance.

12. Contact

For all KVKK/GDPR-related requests:

For Turkish residents: applying to Netfone is mandatory before lodging a KVKK complaint (KVKK Art. 13). We respond within 30 days of your request.