B2B KVKK / GDPR Veri İşleme
Bu sayfa, INCI AI Analyzer B2B platformunda kurumsal veri işleme, KVKK/GDPR uyumu, ticari sır güvenliği, ürün verisi yönetimi ve alt işleyen ilişkilerini açıklamak için hazırlanmış çalışma taslağıdır. Yayına alınmadan önce KVKK, GDPR, sözleşmesel veri işleme, yurt dışı aktarım ve ticari sır koruması açısından hukuk danışmanı tarafından kontrol edilmelidir.
Bu metin, platformun B2B müşterilerle çalışırken hangi veri kategorilerini işleyebileceğini, bu verilerin hangi amaçlarla kullanılabileceğini ve kullanıcı sorumluluklarının nerede başladığını açıklamayı hedefler.
1. Veri işleme rollerinin belirlenmesi
B2B kullanımda müşteri; kendi çalışanları, ekip üyeleri, müşterileri, ürünleri, formülleri, tedarikçileri ve ticari kayıtları bakımından veri sorumlusu veya benzer bir role sahip olabilir.
INCI AI Analyzer ise hizmetin niteliğine, sözleşmeye, veri kategorisine ve kullanım senaryosuna göre veri işleyen, alt hizmet sağlayıcı veya bazı sınırlı alanlarda bağımsız veri sorumlusu rolünde olabilir.
Bu rol dağılımı her kurumsal müşteri için aynı kabul edilmemelidir. Ülke, hedef pazar, kullanılan modül, ödeme altyapısı, AI sağlayıcıları ve müşterinin kendi veri toplama yöntemi rol analizini etkileyebilir.
2. İşlenebilecek kurumsal hesap verileri
Platform; şirket adı, yetkili kişi adı, iş e-postası, fatura bilgileri, abonelik planı, ödeme durumu, ekip kullanıcıları, oturum bilgileri, destek yazışmaları ve işlem logları gibi kurumsal hesap verilerini işleyebilir.
Bu veriler hesap yönetimi, hizmet sunumu, güvenlik, destek, fatura, plan limitleri, kötüye kullanım önleme ve yasal yükümlülüklerin yerine getirilmesi için kullanılabilir.
Kullanıcı, hesabına eklediği ekip üyelerinin yetkili kişiler olduğunu ve şirket içi erişim kurallarına uygun hareket ettiğini kabul eder.
3. İşlenebilecek ürün ve analiz verileri
B2B ürün kayıtlarında marka, ürün adı, ürün tipi, barkod, ürün görselleri, INCI listesi, ambalaj materyali, ambalaj formatı, hedef cilt grubu, kullanım amacı, analiz skoru, ürün kalite skoru, ambalaj koruma skoru ve rapor geçmişi işlenebilir.
Ürün verileri; analiz sonuçlarını göstermek, aynı ürünün tekrar analiz maliyetini azaltmak, ürün veri tabanını yönetmek, rapor üretmek ve kullanıcıya geçmiş kayıtlarını sunmak için kullanılabilir.
Aynı ürünün kamuya açık etiketi ile müşteriye özel formül notları aynı veri kategorisi değildir. Ticari sır içerebilecek notlar daha hassas değerlendirilmelidir.
4. Formülasyon, ticari sır ve hassas B2B veriler
Formülasyon oranları, hammadde tedarikçileri, üretim notları, stabilite gözlemleri, müşteri briefleri, maliyet verileri, özel ürün stratejileri ve rakip karşılaştırma notları ticari sır niteliğinde olabilir.
Kullanıcı, yalnızca paylaşmaya yetkili olduğu formülasyon ve ticari verileri platforma girmelidir.
Üçüncü taraf markalara, müşterilere, laboratuvarlara, tedarikçilere veya üreticilere ait gizli bilgiler yetkisiz şekilde platforma yüklenmemelidir.
5. Veri işleme amaçları
Veriler; hesap oluşturma, kimlik doğrulama, analiz hizmeti sağlama, skor üretme, ambalaj değerlendirmesi, rapor hazırlama, ürün arşivi oluşturma, plan limitlerini takip etme, destek sağlama ve güvenliği koruma amacıyla işlenebilir.
Anonimleştirilmiş veya toplulaştırılmış veriler; sistem performansını ölçmek, ürün tiplerini sınıflandırmak, skor motorunu iyileştirmek, hata tespiti yapmak ve hizmet kalitesini artırmak için kullanılabilir.
Ticari sır içeren ham müşteri verileri, müşteri izni veya açık sözleşmesel dayanak olmadan genel eğitim veri seti gibi kullanılmamalıdır.
6. Veri minimizasyonu
Platforma yalnızca ilgili analiz için gerekli veriler girilmelidir. Gereksiz kişisel veri, özel nitelikli kişisel veri, müşteri listesi, fiyat anlaşması, tedarik sözleşmesi veya gizli belge yüklenmemelidir.
INCI analizi için çoğu durumda tam formül oranları gerekmez. Kullanıcı formül oranı, proses bilgisi veya tedarikçi notu girdiğinde bunun ticari sır riski taşıyabileceğini bilmelidir.
Veri minimizasyonu; KVKK/GDPR uyumu, ticari sır güvenliği, AI maliyet kontrolü ve kurumsal güven açısından temel ilkedir.
7. AI sağlayıcıları ve alt işleyenler
Barındırma, veritabanı, ödeme, e-posta, güvenlik, loglama, analiz altyapısı ve AI sağlayıcıları alt işleyen veya hizmet sağlayıcı olarak kullanılabilir.
AI sağlayıcıları ile paylaşılan veri, mümkün olduğunca ilgili analiz için gerekli minimum bağlama indirgenmelidir.
Alt işleyen seçimi yapılırken güvenlik, veri işleme şartları, bölgesel erişilebilirlik, sözleşmesel koruma, yurt dışı aktarım ve teknik uygunluk dikkate alınmalıdır.
8. Yurt dışı aktarım ve hedef pazar farkları
Veriler; sunucu lokasyonu, ödeme sağlayıcısı, e-posta altyapısı, destek araçları veya AI sağlayıcıları nedeniyle Türkiye dışına veya Avrupa Ekonomik Alanı dışına aktarılabilir.
GDPR kapsamındaki aktarımlar için SCC, DPA, yeterlilik kararı veya eşdeğer mekanizmalar gerekebilir. KVKK kapsamındaki yurt dışı aktarım şartları ayrıca değerlendirilmelidir.
Almanya, Fransa, Türkiye veya başka hedef pazarlarda veri koruma, tüketici iletişimi, elektronik ticaret ve kozmetik mevzuatı farklı yükümlülükler doğurabilir.
9. Kurumsal veri izolasyonu
B2B müşteri verileri başka kurumsal müşterilerin özel verileriyle karıştırılmamalıdır. Ürün kayıtları, analiz geçmişi, raporlar ve notlar müşteri veya hesap bazında ayrıştırılmalıdır.
Kamuya açık ürün etiketi bilgisi ile müşteriye özel formülasyon notu ayrı ele alınmalıdır.
Cache ve ürün veri tabanı kullanılırken genel ürün bilgisi ile müşteri gizli verisi ayrıştırılmalı; müşteri özel notları genel kullanıma açılmamalıdır.
10. Saklama, silme ve dışa aktarım
Veriler; hizmetin sağlanması, güvenlik, fatura, destek, uyuşmazlık yönetimi ve yasal yükümlülükler için gerekli süre boyunca saklanabilir.
Kurumsal müşteri talebi, abonelik iptali veya hesap kapatma durumunda ürün kayıtları, analiz geçmişi ve raporlar için dışa aktarım, silme veya anonimleştirme süreçleri tanımlanabilir.
Bazı fatura kayıtları, ödeme kayıtları, güvenlik logları ve uyuşmazlık kayıtları yasal gereklilikler nedeniyle belirli süre saklanabilir.
11. Kullanıcı hakları ve kurumsal talepler
KVKK ve GDPR kapsamında erişim, düzeltme, silme, kısıtlama, itiraz, veri taşınabilirliği ve işleme faaliyetleri hakkında bilgi talep etme hakları uygulanabilir.
Kurumsal hesaplarda talebi yapan kişinin gerçekten yetkili olup olmadığı kontrol edilmelidir.
Çalışan, müşteri veya üçüncü taraf verisi içeren talepler, müşterinin veri sorumlusu rolü dikkate alınarak değerlendirilmelidir.
12. Güvenlik tedbirleri
Platform; yetkisiz erişimi azaltmak için erişim kontrolü, güvenli bağlantı, loglama, sınırlı yetki, yedekleme ve operasyonel güvenlik tedbirleri uygulayabilir.
Kullanıcılar güçlü parola, yetkili ekip yönetimi, cihaz güvenliği, şirket içi gizlilik kuralları ve ayrılan çalışanların erişimlerinin kapatılması gibi konulardan sorumludur.
Hiçbir dijital sistem mutlak güvenlik garanti edemez. Güvenlik sürekli izleme, güncelleme ve insan kontrolü gerektiren çok katmanlı bir süreçtir.
13. Veri ihlali ve olay yönetimi
Olası veri ihlali, yetkisiz erişim, yanlış alıcıya gönderim, hesap ele geçirilmesi veya ticari sır sızıntısı şüphesinde teknik ve hukuki değerlendirme yapılmalıdır.
Gerekli hallerde ilgili otoritelere, kurumsal müşteriye veya etkilenen kişilere bildirim süreçleri yürütülmelidir.
Kullanıcı, kendi hesabından kaynaklanan yetkisiz erişimleri veya şüpheli işlemleri gecikmeden bildirmekle yükümlüdür.
14. Kullanıcının kurumsal sorumluluğu
Kullanıcı, platforma yüklediği verilerin hukuka uygun şekilde elde edildiğini, işlenebileceğini ve analiz ettirilebileceğini garanti etmekle yükümlüdür.
Kullanıcı, kendi çalışanlarını ve ekip üyelerini veri güvenliği, ticari sır koruması ve yetkili kullanım konusunda bilgilendirmelidir.
Platform çıktılarının şirket içinde veya müşterilere aktarılması halinde gizlilik ve veri koruma yükümlülükleri kullanıcı tarafından yönetilmelidir.
15. Güncellemeler
Veri işleme yapısı; yeni modüller, ödeme altyapısı, AI sağlayıcıları, hosting yapısı, regülasyon değişiklikleri veya kurumsal planlar nedeniyle güncellenebilir.
Güncellemeler yürürlüğe girdiğinde yeni sürüm tarihi sayfada belirtilebilir.
Sorular için info@incianalyzer.com adresi üzerinden iletişim kurulabilir.
This page is a working draft explaining corporate data processing, KVKK/GDPR alignment, trade-secret security, product-data management and sub-processor relationships within the INCI AI Analyzer B2B platform. It should be reviewed by legal counsel before publication.
The text explains which data categories may be processed for B2B customers, for what purposes they may be used and where user responsibility begins.
1. Determining data-processing roles
In B2B use, the customer may act as controller or in a similar role for its employees, team members, customers, products, formulas, suppliers and commercial records.
INCI AI Analyzer may act as processor, service provider or, in limited areas, independent controller depending on the service, contract, data category and use case.
This role allocation should not be assumed to be identical for every customer. Country, target market, module used, payment infrastructure, AI providers and the customer’s own data collection method may affect the analysis.
2. Corporate account data
The platform may process company name, authorized contact, business e-mail, billing data, subscription plan, payment status, team users, session information, support correspondence and activity logs.
Such data may be used for account management, service delivery, security, support, billing, plan limits, abuse prevention and legal obligations.
The user confirms that team members added to the account are authorized and act in accordance with internal company access rules.
3. Product and analysis data
B2B product records may include brand, product name, product type, barcode, product images, INCI list, packaging material, packaging format, target skin group, intended use, analysis score, product quality score, packaging protection score and report history.
Product data may be used to display analysis results, reduce repeated analysis cost, manage the product database, generate reports and provide access to historical records.
A public product label and customer-specific formulation notes are not the same data category. Notes that may contain trade secrets must be handled with greater care.
4. Formulation, trade secrets and sensitive B2B data
Formula percentages, raw material suppliers, production notes, stability observations, customer briefs, cost data, product strategies and competitor-comparison notes may constitute trade secrets.
The user must only enter formulation and commercial data that they are authorized to share.
Confidential information belonging to third-party brands, customers, laboratories, suppliers or manufacturers must not be uploaded without authorization.
5. Processing purposes
Data may be processed to create accounts, authenticate users, provide analysis services, generate scores, evaluate packaging, prepare reports, create product archives, monitor plan limits, provide support and maintain security.
Anonymized or aggregated data may be used to measure system performance, classify product types, improve the scoring engine, detect errors and improve service quality.
Raw customer data containing trade secrets should not be used as a general training dataset without customer permission or a clear contractual basis.
6. Data minimization
Only data necessary for the relevant analysis should be entered. Unnecessary personal data, sensitive personal data, customer lists, pricing agreements, supply contracts or confidential documents should not be uploaded.
Most INCI analyses do not require full formula percentages. Where the user enters percentages, process information or supplier notes, they should understand the trade-secret risk.
Data minimization is a core principle for KVKK/GDPR alignment, trade-secret protection, AI cost control and corporate trust.
7. AI providers and sub-processors
Hosting, database, payment, e-mail, security, logging, analysis infrastructure and AI providers may be used as sub-processors or service providers.
Data shared with AI providers should be reduced as far as possible to the minimum context needed for the relevant analysis.
Security, data-processing terms, regional availability, contractual safeguards, international transfer and technical suitability should be considered when selecting sub-processors.
8. International transfers and target-market differences
Data may be transferred outside Türkiye or outside the European Economic Area depending on server location, payment providers, e-mail infrastructure, support tools or AI providers.
GDPR transfers may require SCCs, DPAs, adequacy decisions or equivalent mechanisms. KVKK international-transfer requirements must be assessed separately.
Germany, France, Türkiye and other target markets may create different obligations for data protection, commercial communication, e-commerce and cosmetic regulation.
9. Corporate data isolation
B2B customer data should not be mixed with another corporate customer’s private data. Product records, analysis history, reports and notes should be separated by customer or account.
Public label information and customer-specific formulation notes should be treated separately.
When cache and product database are used, general product information must be separated from customer-confidential data; customer-specific notes must not be made generally available.
10. Retention, deletion and export
Data may be retained for as long as necessary for service delivery, security, billing, support, dispute management and legal obligations.
Upon corporate customer request, subscription cancellation or account closure, export, deletion or anonymization processes may be defined for product records, analysis history and reports.
Some billing records, payment records, security logs and dispute records may be retained for legally required periods.
11. User rights and corporate requests
Rights of access, rectification, erasure, restriction, objection, portability and information about processing activities may apply under KVKK and GDPR.
For corporate accounts, the authority of the person making the request should be verified.
Requests involving employee, customer or third-party data should be evaluated in light of the customer’s role as controller.
12. Security measures
The platform may apply access control, secure connection, logging, limited permissions, backups and operational security measures to reduce unauthorized access.
Users are responsible for strong passwords, authorized team management, device security, internal confidentiality rules and closing access for departing employees.
No digital system can guarantee absolute security. Security is a layered process requiring monitoring, updates and human control.
13. Breach and incident management
In case of suspected data breach, unauthorized access, misdirected communication, account compromise or trade-secret exposure, technical and legal assessment should be performed.
Where required, notification processes to authorities, corporate customers or affected persons should be carried out.
The user must report unauthorized access or suspicious actions related to their account without delay.
14. Corporate responsibility of the user
The user is responsible for ensuring that data uploaded to the platform has been lawfully obtained and may be processed and analyzed.
The user should inform employees and team members about data security, trade-secret protection and authorized use.
If platform outputs are shared internally or with customers, confidentiality and data-protection obligations must be managed by the user.
15. Updates
The data-processing structure may be updated due to new modules, payment infrastructure, AI providers, hosting architecture, regulatory changes or enterprise plans.
When updates take effect, the new version date may be shown on the page.
Questions may be sent to info@incianalyzer.com.
Diese Seite ist ein Arbeitsentwurf zur Verarbeitung von Unternehmensdaten, KVKK/GDPR-Ausrichtung, Schutz von Geschäftsgeheimnissen, Produktdatenmanagement und Unterauftragsverhältnissen innerhalb der INCI AI Analyzer B2B-Plattform. Vor Veröffentlichung sollte sie rechtlich geprüft werden.
Der Text erläutert, welche Datenkategorien für B2B-Kunden verarbeitet werden können, zu welchen Zwecken sie genutzt werden und wo die Verantwortung des Nutzers beginnt.
1. Bestimmung der Rollen bei der Datenverarbeitung
Im B2B-Einsatz kann der Kunde hinsichtlich seiner Mitarbeiter, Teammitglieder, Kunden, Produkte, Formeln, Lieferanten und Geschäftsunterlagen Verantwortlicher oder in einer vergleichbaren Rolle sein.
INCI AI Analyzer kann je nach Leistung, Vertrag, Datenkategorie und Nutzungsszenario als Auftragsverarbeiter, Dienstleister oder in begrenzten Bereichen als eigenständiger Verantwortlicher handeln.
Diese Rollenverteilung sollte nicht für jeden Kunden identisch angenommen werden. Land, Zielmarkt, genutztes Modul, Zahlungsinfrastruktur, KI-Anbieter und die eigene Datenerhebung des Kunden können die Bewertung beeinflussen.
2. Unternehmenskonto-Daten
Die Plattform kann Unternehmensname, autorisierte Kontaktperson, geschäftliche E-Mail, Rechnungsdaten, Abonnementplan, Zahlungsstatus, Teamnutzer, Sitzungsinformationen, Supportkommunikation und Aktivitätslogs verarbeiten.
Diese Daten können für Kontoverwaltung, Leistungserbringung, Sicherheit, Support, Abrechnung, Planlimits, Missbrauchsprävention und gesetzliche Pflichten verwendet werden.
Der Nutzer bestätigt, dass hinzugefügte Teammitglieder autorisiert sind und internen Zugriffsregeln entsprechen.
3. Produkt- und Analysedaten
B2B-Produktdatensätze können Marke, Produktname, Produkttyp, Barcode, Produktbilder, INCI-Liste, Verpackungsmaterial, Verpackungsformat, Zielhautgruppe, Verwendungszweck, Analyse-Score, Produktqualitäts-Score, Verpackungsschutz-Score und Berichtshistorie enthalten.
Produktdaten können genutzt werden, um Analyseergebnisse anzuzeigen, wiederholte Analyse-Kosten zu reduzieren, die Produktdatenbank zu verwalten, Berichte zu erstellen und historische Datensätze bereitzustellen.
Ein öffentliches Produktetikett und kundenspezifische Formulierungsnotizen sind nicht dieselbe Datenkategorie. Notizen mit Geschäftsgeheimnissen müssen besonders sorgfältig behandelt werden.
4. Formulierung, Geschäftsgeheimnisse und sensible B2B-Daten
Formelprozente, Rohstofflieferanten, Produktionsnotizen, Stabilitätsbeobachtungen, Kundenbriefings, Kostendaten, Produktstrategien und Wettbewerbsvergleichsnotizen können Geschäftsgeheimnisse darstellen.
Der Nutzer darf nur Formulierungs- und Geschäftsdaten eingeben, zu deren Weitergabe er berechtigt ist.
Vertrauliche Informationen Dritter, Kunden, Labore, Lieferanten oder Hersteller dürfen nicht ohne Berechtigung hochgeladen werden.
5. Zwecke der Verarbeitung
Daten können zur Kontoerstellung, Authentifizierung, Analyseleistung, Score-Erstellung, Verpackungsbewertung, Berichtsvorbereitung, Produktarchivierung, Limitüberwachung, Support und Sicherheit verarbeitet werden.
Anonymisierte oder aggregierte Daten können zur Messung der Systemleistung, Klassifizierung von Produkttypen, Verbesserung des Scoring-Systems, Fehlererkennung und Qualitätsverbesserung genutzt werden.
Rohdaten mit Geschäftsgeheimnissen sollten ohne Kundenerlaubnis oder klare vertragliche Grundlage nicht als allgemeiner Trainingsdatensatz verwendet werden.
6. Datenminimierung
Es sollten nur Daten eingegeben werden, die für die jeweilige Analyse erforderlich sind. Unnötige personenbezogene Daten, besondere Kategorien personenbezogener Daten, Kundenlisten, Preisvereinbarungen, Lieferverträge oder vertrauliche Dokumente sollten nicht hochgeladen werden.
Die meisten INCI-Analysen erfordern keine vollständigen Formelprozente. Gibt der Nutzer Prozente, Prozessinformationen oder Lieferantennotizen ein, sollte er das Geschäftsgeheimnis-Risiko verstehen.
Datenminimierung ist ein Kernprinzip für KVKK/GDPR-Ausrichtung, Schutz von Geschäftsgeheimnissen, KI-Kostenkontrolle und unternehmerisches Vertrauen.
7. KI-Anbieter und Unterauftragsverarbeiter
Hosting, Datenbank, Zahlung, E-Mail, Sicherheit, Logging, Analyseinfrastruktur und KI-Anbieter können als Unterauftragsverarbeiter oder Dienstleister eingesetzt werden.
Mit KI-Anbietern geteilte Daten sollten so weit wie möglich auf den für die Analyse erforderlichen Mindestkontext reduziert werden.
Bei der Auswahl sind Sicherheit, Datenverarbeitungsbedingungen, regionale Verfügbarkeit, vertragliche Schutzmaßnahmen, internationale Übermittlung und technische Eignung zu berücksichtigen.
8. Internationale Übermittlungen und Zielmarkt-Unterschiede
Daten können je nach Serverstandort, Zahlungsanbieter, E-Mail-Infrastruktur, Support-Tools oder KI-Anbietern außerhalb der Türkei oder des Europäischen Wirtschaftsraums übertragen werden.
Für DSGVO-Übermittlungen können SCCs, DPAs, Angemessenheitsbeschlüsse oder vergleichbare Mechanismen erforderlich sein. KVKK-Anforderungen sind separat zu bewerten.
Deutschland, Frankreich, Türkiye und andere Zielmärkte können unterschiedliche Pflichten für Datenschutz, kommerzielle Kommunikation, E-Commerce und Kosmetikrecht auslösen.
9. Isolation von Unternehmensdaten
B2B-Kundendaten sollten nicht mit privaten Daten anderer Unternehmenskunden vermischt werden. Produktdatensätze, Analysehistorie, Berichte und Notizen sollten nach Kunde oder Konto getrennt werden.
Öffentliche Etikettinformationen und kundenspezifische Formulierungsnotizen sollten getrennt behandelt werden.
Bei Cache und Produktdatenbank müssen allgemeine Produktinformationen von vertraulichen Kundendaten getrennt werden; kundenspezifische Notizen dürfen nicht allgemein verfügbar gemacht werden.
10. Aufbewahrung, Löschung und Export
Daten können so lange aufbewahrt werden, wie es für Leistungserbringung, Sicherheit, Abrechnung, Support, Streitbeilegung und gesetzliche Pflichten erforderlich ist.
Auf Anfrage des Unternehmenskunden, bei Kündigung oder Kontoschließung können Export-, Lösch- oder Anonymisierungsprozesse für Produktdaten, Analysehistorie und Berichte definiert werden.
Einige Rechnungs-, Zahlungs-, Sicherheits- und Streitfallunterlagen können für gesetzlich erforderliche Zeiträume aufbewahrt werden.
11. Nutzerrechte und Unternehmensanfragen
Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit und Information über Verarbeitungstätigkeiten können nach KVKK und DSGVO gelten.
Bei Unternehmenskonten sollte die Berechtigung der anfragenden Person überprüft werden.
Anfragen mit Mitarbeiter-, Kunden- oder Drittdaten sollten unter Berücksichtigung der Rolle des Kunden als Verantwortlicher bewertet werden.
12. Sicherheitsmaßnahmen
Die Plattform kann Zugriffskontrolle, sichere Verbindung, Logging, begrenzte Berechtigungen, Backups und operative Sicherheitsmaßnahmen einsetzen, um unbefugten Zugriff zu reduzieren.
Nutzer sind für starke Passwörter, autorisierte Teamverwaltung, Gerätesicherheit, interne Vertraulichkeitsregeln und das Schließen von Zugriffen ausgeschiedener Mitarbeiter verantwortlich.
Kein digitales System kann absolute Sicherheit garantieren. Sicherheit ist ein mehrschichtiger Prozess mit Überwachung, Updates und menschlicher Kontrolle.
13. Datenschutzverletzungen und Vorfallmanagement
Bei Verdacht auf Datenschutzverletzung, unbefugten Zugriff, fehlgeleitete Kommunikation, Kontoübernahme oder Offenlegung von Geschäftsgeheimnissen sollte eine technische und rechtliche Bewertung erfolgen.
Soweit erforderlich, sind Benachrichtigungen an Behörden, Unternehmenskunden oder betroffene Personen durchzuführen.
Der Nutzer muss unbefugte Zugriffe oder verdächtige Handlungen in Bezug auf sein Konto unverzüglich melden.
14. Unternehmensverantwortung des Nutzers
Der Nutzer ist dafür verantwortlich, dass auf die Plattform geladene Daten rechtmäßig erlangt wurden und verarbeitet sowie analysiert werden dürfen.
Der Nutzer sollte Mitarbeiter und Teammitglieder über Datensicherheit, Schutz von Geschäftsgeheimnissen und autorisierte Nutzung informieren.
Werden Plattformausgaben intern oder gegenüber Kunden geteilt, müssen Vertraulichkeits- und Datenschutzpflichten durch den Nutzer gesteuert werden.
15. Aktualisierungen
Die Datenverarbeitungsstruktur kann aufgrund neuer Module, Zahlungsinfrastruktur, KI-Anbieter, Hosting-Architektur, regulatorischer Änderungen oder Unternehmenspläne aktualisiert werden.
Bei Inkrafttreten von Aktualisierungen kann das neue Versionsdatum auf der Seite angezeigt werden.
Fragen können an info@incianalyzer.com gesendet werden.
Cette page est un brouillon de travail expliquant le traitement des données d’entreprise, l’alignement KVKK/GDPR, la protection des secrets commerciaux, la gestion des données produit et les relations avec les sous-traitants dans la plateforme B2B INCI AI Analyzer. Elle doit être relue juridiquement avant publication.
Le texte explique quelles catégories de données peuvent être traitées pour les clients B2B, à quelles fins elles peuvent être utilisées et où commence la responsabilité de l’utilisateur.
1. Détermination des rôles de traitement
Dans l’usage B2B, le client peut agir comme responsable de traitement ou dans un rôle similaire pour ses employés, membres d’équipe, clients, produits, formules, fournisseurs et dossiers commerciaux.
INCI AI Analyzer peut agir comme sous-traitant, prestataire de service ou, dans certains domaines limités, responsable indépendant selon le service, le contrat, la catégorie de données et le cas d’usage.
Cette répartition ne doit pas être supposée identique pour chaque client. Le pays, le marché cible, le module utilisé, l’infrastructure de paiement, les fournisseurs IA et la méthode de collecte du client peuvent l’influencer.
2. Données de compte entreprise
La plateforme peut traiter le nom de société, le contact autorisé, l’e-mail professionnel, les données de facturation, le plan d’abonnement, le statut de paiement, les utilisateurs équipe, les informations de session, les échanges support et les journaux d’activité.
Ces données peuvent être utilisées pour gestion de compte, fourniture du service, sécurité, support, facturation, limites de plan, prévention des abus et obligations légales.
L’utilisateur confirme que les membres ajoutés au compte sont autorisés et agissent selon les règles internes d’accès.
3. Données produit et analyse
Les fiches produit B2B peuvent inclure marque, nom produit, type produit, code-barres, images, liste INCI, matériau packaging, format packaging, cible peau, usage prévu, score d’analyse, score qualité produit, score de protection packaging et historique de rapports.
Les données produit peuvent être utilisées pour afficher les résultats, réduire le coût des analyses répétées, gérer la base produit, générer des rapports et donner accès à l’historique.
Une étiquette publique et des notes de formulation propres au client ne sont pas la même catégorie de données. Les notes contenant des secrets commerciaux doivent être traitées avec plus de prudence.
4. Formulation, secrets commerciaux et données B2B sensibles
Pourcentages de formule, fournisseurs de matières premières, notes de production, observations de stabilité, briefs clients, coûts, stratégies produit et notes de comparaison concurrentielle peuvent constituer des secrets commerciaux.
L’utilisateur ne doit saisir que les données de formulation et commerciales qu’il est autorisé à partager.
Les informations confidentielles appartenant à des marques, clients, laboratoires, fournisseurs ou fabricants tiers ne doivent pas être téléversées sans autorisation.
5. Finalités du traitement
Les données peuvent être traitées pour création de compte, authentification, service d’analyse, scoring, évaluation packaging, préparation de rapports, archive produit, suivi des limites, support et sécurité.
Les données anonymisées ou agrégées peuvent servir à mesurer la performance, classifier les types de produits, améliorer le scoring, détecter les erreurs et améliorer la qualité du service.
Les données brutes contenant des secrets commerciaux ne doivent pas être utilisées comme jeu d’entraînement général sans permission du client ou base contractuelle claire.
6. Minimisation des données
Seules les données nécessaires à l’analyse concernée doivent être saisies. Les données personnelles inutiles, données sensibles, listes clients, accords de prix, contrats d’approvisionnement ou documents confidentiels ne doivent pas être téléversés.
La plupart des analyses INCI n’exigent pas les pourcentages complets de formule. Si l’utilisateur saisit des pourcentages, procédés ou notes fournisseurs, il doit comprendre le risque lié au secret commercial.
La minimisation est un principe central pour l’alignement KVKK/GDPR, la protection des secrets commerciaux, la maîtrise des coûts IA et la confiance entreprise.
7. Fournisseurs IA et sous-traitants
Hébergement, base de données, paiement, e-mail, sécurité, journalisation, infrastructure d’analyse et fournisseurs IA peuvent être utilisés comme sous-traitants ou prestataires.
Les données partagées avec les fournisseurs IA doivent être réduites autant que possible au contexte minimum nécessaire à l’analyse.
Sécurité, conditions de traitement, disponibilité régionale, garanties contractuelles, transferts internationaux et adéquation technique doivent être pris en compte.
8. Transferts internationaux et différences de marché
Les données peuvent être transférées hors de Türkiye ou de l’Espace économique européen selon l’emplacement serveur, les prestataires de paiement, l’infrastructure e-mail, les outils support ou les fournisseurs IA.
Les transferts sous GDPR peuvent nécessiter SCC, DPA, décision d’adéquation ou mécanismes équivalents. Les exigences KVKK doivent être évaluées séparément.
L’Allemagne, la France, Türkiye et d’autres marchés peuvent créer des obligations différentes en protection des données, communication commerciale, e-commerce et réglementation cosmétique.
9. Isolation des données entreprise
Les données clients B2B ne doivent pas être mélangées avec les données privées d’autres clients professionnels. Fiches produit, historique d’analyse, rapports et notes doivent être séparés par client ou compte.
Les informations publiques d’étiquette et les notes de formulation propres au client doivent être traitées séparément.
Lors de l’usage du cache et de la base produit, les informations générales doivent être séparées des données confidentielles client; les notes propres au client ne doivent pas devenir généralement disponibles.
10. Conservation, suppression et export
Les données peuvent être conservées aussi longtemps que nécessaire pour le service, la sécurité, la facturation, le support, la gestion des litiges et les obligations légales.
Sur demande du client, annulation d’abonnement ou fermeture de compte, des processus d’export, suppression ou anonymisation peuvent être définis pour fiches produit, historique d’analyse et rapports.
Certains dossiers de facturation, paiement, sécurité et litiges peuvent être conservés pendant les durées légalement requises.
11. Droits utilisateurs et demandes entreprise
Accès, rectification, effacement, limitation, opposition, portabilité et information sur les traitements peuvent s’appliquer sous KVKK et GDPR.
Pour les comptes entreprise, l’autorité de la personne demandant l’action doit être vérifiée.
Les demandes impliquant employés, clients ou tiers doivent être évaluées selon le rôle du client comme responsable de traitement.
12. Mesures de sécurité
La plateforme peut appliquer contrôle d’accès, connexion sécurisée, journalisation, droits limités, sauvegardes et mesures opérationnelles pour réduire l’accès non autorisé.
Les utilisateurs sont responsables des mots de passe forts, gestion d’équipe autorisée, sécurité des appareils, règles internes de confidentialité et fermeture des accès des employés sortants.
Aucun système numérique ne peut garantir une sécurité absolue. La sécurité est un processus multicouche nécessitant surveillance, mises à jour et contrôle humain.
13. Violation de données et gestion d’incident
En cas de suspicion de violation, accès non autorisé, communication mal dirigée, compromission de compte ou exposition de secrets commerciaux, une évaluation technique et juridique doit être menée.
Lorsque requis, les notifications aux autorités, clients professionnels ou personnes concernées doivent être effectuées.
L’utilisateur doit signaler sans délai tout accès non autorisé ou action suspecte concernant son compte.
14. Responsabilité entreprise de l’utilisateur
L’utilisateur est responsable de s’assurer que les données téléversées ont été obtenues légalement et peuvent être traitées et analysées.
L’utilisateur doit informer employés et membres d’équipe sur sécurité des données, protection des secrets commerciaux et usage autorisé.
Si les sorties de la plateforme sont partagées en interne ou avec des clients, les obligations de confidentialité et protection des données doivent être gérées par l’utilisateur.
15. Mises à jour
La structure de traitement peut être mise à jour en raison de nouveaux modules, infrastructure de paiement, fournisseurs IA, hébergement, changements réglementaires ou plans entreprise.
Lorsqu’une mise à jour entre en vigueur, la nouvelle date de version peut être affichée sur la page.
Les questions peuvent être envoyées à info@incianalyzer.com.