• Anasayfa

    • KVKK AYDINLATMA METNİ

    E-TİCARET FAALİYETLERİ KAPSAMINDA

    KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN

    ÇERÇEVE SÖZLEŞME VE AYDINLATMA METNİ

     

    I. Genel Hükümler ve Hukuki Dayanak

     

    İşbu metin, e-ticaret faaliyetleri yürüten Harun Aydın-Adnanlar Tuhafiye-Hobimon’un 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 6502 sayılı Tüketicinin Korunması Hakkında Kanun, Türk Borçlar Kanunu, Türk Ticaret Kanunu ve ilgili sair mevzuat kapsamında veri sorumlusu sıfatıyla gerçekleştirdiği kişisel veri işleme faaliyetlerine ilişkin usul ve esasları düzenlemek amacıyla hazırlanmıştır. Şirket, kişisel verilerin korunmasını yalnızca bir mevzuat yükümlülüğü olarak değil, aynı zamanda Anayasal bir hak olan özel hayatın gizliliğinin korunmasının doğal uzantısı olarak değerlendirmekte ve tüm veri işleme süreçlerini hukuka uygunluk, dürüstlük kuralına bağlılık, ölçülülük ve hesap verebilirlik ilkeleri çerçevesinde yürütmektedir.

     

    Kişisel verilerin işlenmesi, bireyin maddi ve manevi varlığının korunması ile doğrudan ilişkili olup, bu kapsamda şirket tarafından yürütülen her türlü veri işleme faaliyeti belirli, açık ve meşru amaçlara dayandırılmakta, işlenen veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde kullanılmakta, gereklilik ortadan kalktığında silinmekte, yok edilmekte veya anonim hale getirilmektedir. Şirket, veri işleme süreçlerinde hesap verebilirlik ilkesini benimsemekte ve gerektiğinde ilgili kamu otoritelerine ispat yükümlülüğünü yerine getirecek idari ve teknik altyapıyı tesis etmektedir.

     

    II. Veri İşleme Faaliyetlerinin Kapsamı ve Niteliği

     

    E-ticaret faaliyetinin doğası gereği kullanıcıların sisteme üye olması, sipariş oluşturması, ödeme yapması, ürün teslim alması, iade veya değişim talebinde bulunması ve müşteri hizmetleri ile iletişime geçmesi süreçlerinde çeşitli kişisel veriler işlenmektedir. Bu kapsamda kimlik bilgileri, iletişim bilgileri, teslimat ve fatura adresleri, sipariş ve işlem geçmişi, ödeme yöntemine ilişkin veriler, çağrı merkezi kayıtları, site kullanım bilgileri, IP adresi, cihaz bilgileri ve güvenlik logları işlenebilmektedir. Bu verilerin işlenmesi, mesafeli satış sözleşmesinin kurulması ve ifası bakımından zorunlu nitelik taşımakta olup, sözleşmesel ilişkinin doğal sonucudur.

     

    Veri işleme faaliyetleri, hukuki sebep bakımından KVKK’nın 5. maddesinde düzenlenen sözleşmenin kurulması ve ifası, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi, bir hakkın tesisi, kullanılması veya korunması ve veri sorumlusunun meşru menfaati hükümlerine dayanmaktadır. Meşru menfaat kapsamında yürütülen faaliyetlerde ilgili kişinin temel hak ve özgürlüklerine zarar verilmemesi esas olup, hukuka aykırı hiçbir veri işleme faaliyeti gerçekleştirilmemektedir.

     

    III. Açık Rızaya Dayalı İşleme ve Pazarlama Faaliyetleri

     

    Elektronik ticari iletilerin gönderimi, kampanya ve promosyon bilgilendirmeleri ile kullanıcı tercihleri doğrultusunda gerçekleştirilen pazarlama faaliyetleri, ilgili kişinin açık rızasına dayanılarak yürütülmektedir. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanan irade beyanıdır. Şirket, açık rızanın sözleşmenin kurulmasının zorunlu şartı haline getirilmemesine özen göstermekte ve rızanın geri alınmasını teknik olarak kolaylaştırmaktadır. Açık rızanın geri alınması halinde ilgili veriler derhal ilgili işleme faaliyetinden çıkarılmakta ve pazarlama iletişimi sonlandırılmaktadır.

     

    Şirket tarafından yürütülen veri işleme faaliyetleri kural olarak 6698 sayılı Kanun’un 5. maddesinde düzenlenen hukuki işleme şartlarına dayanmakta olup, açık rıza yalnızca Kanun kapsamında başka bir işleme şartının bulunmadığı hallerde talep edilmektedir. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan beyan niteliğinde olup, sözleşmenin kurulmasının veya hizmetin sunulmasının zorunlu ön şartı haline getirilmemektedir. Şirket, açık rızanın hizmetten yararlanma şartı olarak dayatılmaması ilkesini benimsemekte ve veri işleme faaliyetlerini mümkün olan ölçüde Kanun’un 5/2 hükmünde düzenlenen diğer hukuki sebeplere dayandırmaktadır.

     

    Ticari elektronik ileti gönderimi, davranışsal pazarlama, profilleme faaliyetleri ve Kanun’un 9. maddesi kapsamında yeterli koruma bulunmayan ülkelere veri aktarımı gibi açık rızaya tabi işlemler, ayrı ve açık bir onay mekanizması ile yürütülmektedir. Açık rıza metinleri, aydınlatma metninden ayrıştırılmış olup, kullanıcı tarafından açıkça işaretlenmedikçe geçerli kabul edilmemektedir. Önceden işaretli kutucuklar, zımni onay mekanizmaları veya hizmetten yararlanma baskısı oluşturabilecek uygulamalar kullanılmamaktadır.

     

    Şirket, açık rıza süreçlerinde ispat yükümlülüğünün veri sorumlusuna ait olduğu bilinciyle hareket etmekte; rıza beyanlarını zaman damgalı ve log kayıtlı sistemler üzerinden saklamakta, hangi tarihte, hangi içerik için, hangi yöntemle rıza alındığını kayıt altına almaktadır. Rıza metinlerinde yapılan değişiklikler versiyon kontrol sistemi ile izlenmekte ve geçmiş metinlere erişim imkanı korunmaktadır. Böylece rıza yönetimi yalnızca hukuki bir gereklilik olarak değil, kurumsal veri yönetişiminin bir unsuru olarak ele alınmaktadır.

     

    Şirket, e-ticaret faaliyetleri kapsamında elde ettiği kişisel verileri, 6698 sayılı Kanun’ çerçevesinde ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, pazarlama stratejilerinin geliştirilmesi, müşteri memnuniyetinin artırılması, ürün ve hizmet kalitesinin iyileştirilmesi, kampanya planlaması ve ticari analiz süreçlerinin yürütülmesi amacıyla işleyebilmektedir. Bu kapsamda gerçekleştirilen veri işleme faaliyetleri, ölçülülük ve amaçla sınırlılık ilkelerine uygun şekilde yürütülmekte, her bir işlem bakımından veri kategorisi ile işleme amacı arasında makul ve gerekli bir illiyet bağı gözetilmektedir.

     

    Şirket, kullanıcıların alışveriş geçmişi, ürün tercihleri, site kullanım alışkanlıkları, kampanya katılım bilgileri ve müşteri geri bildirimlerinden elde edilen verileri, hizmet kalitesini artırmaya yönelik analiz çalışmalarında değerlendirebilmektedir. Bu değerlendirme sürecinde kullanılan yöntemler, kullanıcının hukuki durumunu doğrudan etkileyecek veya bağlayıcı sonuç doğuracak nitelikte otomatik karar mekanizmaları içermemekte olup, ticari öngörü ve planlama amacı taşımaktadır. Kullanıcıya yönelik kampanya ve öneriler, hukuki bir sonuç doğurmayan, pazarlama iletişimi niteliğindeki bilgilendirmelerden ibarettir.

     

    Ticari elektronik ileti gönderimi ve doğrudan pazarlama faaliyetleri, ilgili kişinin açık rızasına dayanılarak gerçekleştirilmektedir. Açık rızanın bulunmadığı hallerde Şirket, kullanıcıya pazarlama içerikli ileti göndermemekte, yalnızca sözleşmenin ifası için zorunlu olan bilgilendirmeleri yapmaktadır. Kullanıcı, dilediği zaman elektronik ileti altındaki çıkış bağlantısı aracılığıyla veya yazılı başvuru yoluyla pazarlama iletişiminden ayrılabilir. Rızanın geri alınması, ileriye etkili sonuç doğurur ve ilgili pazarlama faaliyeti derhal sonlandırılır.

     

    IV. Ödeme Sistemleri ve Finansal Güvenlik

     

    E-ticaret işlemlerinde gerçekleştirilen ödeme süreçleri, güvenli ödeme altyapıları aracılığıyla yürütülmekte olup kredi veya banka kartına ilişkin hassas veriler Şirket sistemlerinde saklanmamaktadır. Kart numarası, son kullanma tarihi ve güvenlik kodu gibi veriler doğrudan yetkili ödeme kuruluşlarının güvenli sistemlerinde işlenmekte, Şirket yalnızca işlem onayına ilişkin sınırlı bilgiye erişebilmektedir.

     

    Bu yaklaşım,  güvenlik ilkelerinin bir gereği olarak benimsenmiştir. Şirket, finansal verilerin işlenmesi sırasında uluslararası güvenlik standartlarını esas almakta, yetkisiz erişimi engellemek amacıyla şifreleme, erişim kısıtlaması, loglama ve düzenli penetrasyon testleri gibi teknik tedbirleri uygulamaktadır. Bu kapsamda veri güvenliği yalnızca teknik bir mesele olarak değil, kurumsal bir risk yönetimi alanı olarak ele alınmaktadır.

     

     

     

     

    V. Kişisel Verilerin Aktarılması

     

    Kişisel veriler, e-ticaret sürecinin gereği olarak kargo ve lojistik firmalarına, ödeme kuruluşlarına, bilgi teknolojileri hizmet sağlayıcılarına, mali müşavirlere ve yetkili kamu kurumlarına aktarılabilmektedir. Bu aktarımlar, Kanun’un 8. ve 9. maddeleri uyarınca hukuka uygunluk şartlarına tabi olup, aktarım yapılan tarafların veri güvenliği bakımından yeterli teknik ve idari önlemleri aldığı sözleşmesel hükümlerle güvence altına alınmaktadır.

     

    Yurt dışına veri aktarımı, ancak Kanun’da öngörülen uygunluk mekanizmalarının sağlanması veya açık rızanın bulunması halinde gerçekleştirilmektedir. Şirket, sınır ötesi veri transferlerinde veri güvenliği ve bireysel hakların korunması bakımından  hassasiyet göstermektedir.

     

    VI. Saklama Süreleri ve İmha Politikası

     

    Kişisel veriler, ilgili mevzuatta öngörülen saklama süreleri boyunca muhafaza edilmektedir. Vergi ve ticaret mevzuatı gereği saklanması zorunlu belgeler kanuni süre boyunca korunmakta, sözleşmesel ilişki sona ermiş olsa dahi zamanaşımı süreleri dikkate alınarak muhafaza süresi belirlenmektedir. Saklama süresi dolduğunda veya işleme amacı ortadan kalktığında veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu süreçler, Şirket bünyesinde oluşturulan veri saklama ve imha prosedürleri çerçevesinde yürütülmekte ve periyodik imha kontrolleri gerçekleştirilmektedir.

     

    VII. İlgili Kişinin Hakları ve Başvuru Usulü

     

    İlgili kişiler, Kanun’un 11. maddesi kapsamında kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işleme amacını öğrenme, aktarıldığı üçüncü kişileri bilme, verilerin düzeltilmesini veya silinmesini isteme, otomatik sistemler aracılığıyla analiz sonucunda aleyhe bir durum ortaya çıkmasına itiraz etme haklarına sahiptir. Bu hakların kullanımı, yazılı başvuru veya güvenli elektronik yöntemlerle gerçekleştirilebilir. Şirket, başvuruları en geç otuz gün içinde sonuçlandırmakta ve gerekçeli yanıt vermektedir.

     

    VIII. Veri Güvenliği ve İhlal Yönetimi

     

    Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini veya erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almaktadır. Bu kapsamda erişim yetkilendirmesi, veri maskeleme, şifreleme, sızma testleri, düzenli iç denetimler ve çalışanlara yönelik farkındalık eğitimleri uygulanmaktadır. Olası bir veri ihlali halinde durum, Kanun ve ilgili düzenlemelerde öngörülen süre içerisinde Kişisel Verileri Koruma Kurulu’na ve ilgili kişilere bildirilecektir.

     

    IX. Sözleşmesel Kabul ve Yürürlük

     

    Kullanıcı, e-ticaret platformu üzerinden sipariş verdiği anda işbu metin kapsamında bilgilendirildiğini ve veri işleme süreçleri hakkında yeterli açıklamanın kendisine sunulduğunu kabul eder. Şirket, bu bilgilendirmenin yapıldığını ve kullanıcının onay verdiğini gösterir elektronik kayıtları saklamakla yükümlüdür. İşbu metin, elektronik ortamda imzalandığı tarihte yürürlüğe girer ve Şirket tarafından mevzuat değişiklikleri doğrultusunda güncellenebilir

    Yukarı Git

    Alışveriş Sepetim

      w