Privacy Policy for Robofy

Robofy is a product developed and operated by VBT Yazılım A.Ş. ("VBT"), a software company headquartered in Istanbul, Türkiye.

Website: vbt.com.tr • Contact: info@vbt.com.tr

1) Roles & Scope

• Publisher/Developer: VBT Yazılım A.Ş. (Meta Business Manager & app owner).
• Product/Brand: Robofy (the SaaS platform).
• Business Clients (e.g., UPS): "Client(s)".

Role split:
• For Robofy's own account, billing and platform admin data (client contact, login, subscription): VBT is Data Controller.
• For end-customer conversations handled on behalf of each Client via WhatsApp (messages, events, delivery status): the Client is Data Controller and VBT acts as Data Processor (sub-processor where applicable).

2) Data We Process

a) Platform/Account Data (Controller: VBT)

• Client admin/contact info (name, email, phone, company, role)
• Account credentials (hashed), audit logs, usage and billing records
• Support tickets and communications
• Technical telemetry (IP, device, timestamps), minimal cookie-like identifiers for session security (if any)

b) WhatsApp Operations Data (Controller: Client; Processor: VBT)

• WhatsApp identifiers provided by Meta (WABA/Phone Number IDs, message IDs)
• Template metadata (name, language, variables) and send status
• Webhook events (message delivered/read, flow actions, errors)
• Message content: stored only as needed to deliver the service and operate client workflows; see Retention.

3) Purposes & Legal Bases

Platform/Account Data (VBT as Controller)

• Provide and secure the service; manage subscription (GDPR Art.6(1)(b); KVKK m.5/2‑c).
• Compliance (invoicing, fraud prevention) (GDPR Art.6(1)(c); KVKK m.5/2‑ç).
• Product analytics (aggregated/limited) (GDPR Art.6(1)(f); KVKK m.5/2‑f).

WhatsApp Operations Data (VBT as Processor) — processed strictly per Client's documented instructions to: deliver WhatsApp messages/flows, handle templates, routing, quality monitoring, and support.

4) Retention

• Platform/Account data: kept for the subscription term and up to 30 days after termination for operational artifacts; legal/accounting records may be stored longer per law.
• WhatsApp message content: optional retention set by each Client to maintain active ticket history. Default: 7 days; Maximum: 30 days. Clients may also choose "no retention" (ephemeral processing only).
• Technical logs/metadata: retained for 30 days for security and troubleshooting unless legal holds apply.

5) Cookies & Tracking

Robofy's public website currently does not set cookies. The application dashboard may use strictly necessary session mechanisms (e.g., session identifiers) for authentication and security; no advertising or cross‑site tracking cookies are used.

6) Sub‑processors & Third Parties

To operate Robofy reliably and securely, VBT uses the following sub‑processor(s):

• Amazon Web Services (AWS) — primary hosting in eu‑north‑1 (Stockholm).
• Meta Platforms — WhatsApp Business Platform / Cloud API.

Data Processing Agreements are in place; cross‑border transfers (if any) rely on appropriate safeguards (e.g., SCCs) and KVKK procedures.

7) International Transfers

Where data is transferred cross‑border, VBT applies GDPR mechanisms (e.g., SCCs) and KVKK transfer procedures (explicit consent or Board‑approved safeguards, where required). Hosting regions are selected to minimize transfers; Clients can request region preferences if available.

8) Security Measures

• TLS 1.2+ encryption in transit; encryption at rest where applicable
• Role‑based access control (RBAC), least privilege, MFA, IP allow‑listing
• Key/secret management; periodic rotation; webhook verification tokens
• Network isolation, WAF, rate‑limiting; abuse/anomaly detection
• Secure development lifecycle; logging, alerting, incident response

9) Data Subject Rights

Depending on jurisdiction (KVKK/GDPR), you may have rights to access, rectify, erase, restrict, object, data portability, or complain to a supervisory authority. For end‑customer WhatsApp data, contact the relevant Client (Data Controller). For Robofy account data, contact VBT at info@vbt.com.tr.

10) Children

Robofy is a B2B service and not directed to children. We do not knowingly process children's data.

11) Changes

We may update this Policy to reflect legal, technical or business changes. We will post updates with a new "Effective Date".

12) Contact

VBT Yazılım A.Ş. — Privacy Office
Istanbul, Türkiye
Email: info@vbt.com.tr

Effective Date: 2025‑10‑10 • Version: 1.0

Robofy Gizlilik Politikası (TR)

Robofy, VBT Yazılım A.Ş. ("VBT") tarafından geliştirilen ve işletilen bir üründür. Bu Politika; Robofy'nin WhatsApp otomasyonu ve müşteri destek özellikleri kapsamında kişisel verileri KVKK ve GDPR uyarınca nasıl işlediğini açıklar.

1) Roller ve Kapsam

• Yayıncı/Geliştirici: VBT Yazılım A.Ş. (Meta Business Manager ve uygulama sahibi)
• Ürün/Marka: Robofy (SaaS platform)
• İşletme Müşterileri: "Müşteri(ler)"

Rol ayrımı:
• Robofy hesap/abonelik ve platform yönetimi verileri (iletişim, giriş, abonelik) için VBT Veri Sorumlusudur.
• Müşteri adına yürütülen WhatsApp görüşmeleri (mesajlar, olaylar, teslim/okunma) için Müşteri Veri Sorumlusudur, VBT Veri İşleyen (gerektiğinde alt işleyen) olarak hareket eder.

2) İşlediğimiz Veri Kategorileri

a) Platform/Hesap Verileri (Veri Sorumlusu: VBT): İletişim bilgileri, (hash'lenmiş) hesap kimlik bilgileri, audit log'lar, kullanım ve faturalama kayıtları, destek yazışmaları, teknik telemetri (IP, cihaz, zaman damgaları), varsa oturum güvenliği için asgari tanımlayıcılar.

b) WhatsApp Operasyon Verileri (Veri Sorumlusu: Müşteri; Veri İşleyen: VBT): Meta tarafından sağlanan kimlikler (WABA/Numara ID'leri, mesaj ID'leri), şablon metaverileri, gönderim durumu, webhook olayları. Mesaj içeriği yalnızca hizmetin sunulması ve iş akışlarının işletilmesi için gerekli olduğu sürece işlenir; ayrıntılar Saklama bölümündedir.

3) Amaç ve Hukuki Sebepler

Platform/Hesap Verileri (VBT Veri Sorumlusu): Hizmet sunumu ve güvenliği (KVKK m.5/2‑c; GDPR 6/1‑b), mevzuat uyumu (KVKK m.5/2‑ç; GDPR 6/1‑c), ürün analitiği (meşru menfaat; KVKK m.5/2‑f; GDPR 6/1‑f).

WhatsApp Operasyon Verileri (VBT Veri İşleyen): Müşterinin yazılı talimatları kapsamında mesaj/akışların iletimi, şablon yönetimi, yönlendirme, kalite izleme ve destek amaçlarıyla işlenir.

4) Saklama

• Platform/Hesap verileri: abonelik süresince ve fesih sonrası 30 güne kadar; mevzuatsal kayıtlar yasal süreler boyunca saklanabilir.
• Mesaj içeriği: opsiyonel saklama — aktif destek taleplerinin tarihçesini korumak için Müşteri tarafından belirlenir. Varsayılan: 7 gün; Azami: 30 gün. Müşteri "saklama yok (ephemeral)" seçeneğini de tercih edebilir.
• Teknik log/metaveri: güvenlik ve sorun giderme amaçlarıyla 30 gün.

5) Çerezler

Robofy'nin herkese açık web sitesi şu an çerez kullanmamaktadır. Uygulama paneli kimlik doğrulama ve güvenlik için gerekli asgari oturum mekanizmalarını kullanabilir; reklam veya siteler arası takip çerezleri kullanılmaz.

6) Alt İşleyenler ve Üçüncü Taraflar

• Amazon Web Services (AWS) — birincil barındırma: eu‑north‑1 (Stockholm).
• Meta Platforms — WhatsApp Business Platform / Cloud API.

Uygun veri işleme sözleşmeleri mevcuttur; sınır ötesi aktarımlarda SCC gibi güvenceler ve KVKK prosedürleri uygulanır.

7) Uluslararası Aktarımlar

Sınır ötesi aktarımlar söz konusu olduğunda GDPR kapsamındaki sözleşmesel güvenceler (SCC) ve KVKK aktarım prosedürleri (açık rıza veya Kurulca onaylı güvenceler) uygulanır. Barındırma bölgeleri aktarımları en aza indirecek şekilde seçilir; mümkünse bölge tercihleri sunulabilir.

8) Güvenlik Önlemleri

• İletimde TLS 1.2+; uygunsa saklamada şifreleme
• RBAC, en az ayrıcalık, MFA, IP kısıtlama
• Anahtar/sır yönetimi; periyodik rotasyon; webhook doğrulama belirteçleri
• Ağ izolasyonu, WAF, oran sınırlama; kötüye kullanım/anomali tespiti
• Güvenli SDLC; kayıt, alarm ve olay müdahalesi

9) İlgili Kişi Hakları

KVKK/GDPR kapsamındaki erişim, düzeltme, silme, kısıtlama, itiraz, taşınabilirlik ve şikâyet haklarınız saklıdır. WhatsApp içerikleri için ilgili Müşteri (Veri Sorumlusu) ile; Robofy hesap verileri için VBT ile info@vbt.com.tr üzerinden iletişime geçiniz.

10) Çocukların Verileri

Robofy B2B bir hizmettir; çocuklara yönelik değildir. Çocuklara ait verileri bilerek işlemeyiz.

11) Değişiklikler

Hukuki/teknik/iş gereksinimlerine göre bu Politika güncellenebilir; güncellemeler yeni "Yürürlük Tarihi" ile yayımlanır.

12) İletişim

VBT Yazılım A.Ş. — Veri Koruma Ekibi
İstanbul, Türkiye
E-posta: info@vbt.com.tr

Yürürlük Tarihi: 2025‑10‑10 • Sürüm: 1.0