# GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

MADDE 1 – TARAFLAR
1.1. VERİ SORUMLUSU (İŞLETİCİ): PLATFORM'un iletişim, künye veya hakkımızda sayfasında ticari bilgileri (ünvan, açık adres, vergi dairesi ve numarası, MERSİS numarası) açıklanan gerçek veya tüzel kişidir.
1.2. İLGİLİ KİŞİ (KULLANICI): PLATFORM'u ziyaret eden, üyelik oluşturan, iletişim formlarını dolduran veya PLATFORM üzerinden alışveriş yapan gerçek kişidir.

MADDE 2 – TANIMLAR
2.1. Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nu,
2.2. Kurul: Kişisel Verileri Koruma Kurulu'nu,
2.3. Kurum: Kişisel Verileri Koruma Kurumu'nu,
2.4. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişiyi,
2.5. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
2.6. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onayı,
2.7. Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
2.8. PLATFORM: İŞLETİCİ'ye ait internet sitesi ve varsa mobil uygulama ortamını ifade eder.

MADDE 3 – İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
3.1. Kimlik Verileri: Ad, soyad, T.C. Kimlik Numarası.
3.2. İletişim Verileri: E-posta adresi, telefon numarası, teslimat adresi, fatura adresi.
3.3. Müşteri İşlem Verileri: Sipariş geçmişi, iade ve iptal talepleri, kampanya kullanım kayıtları, fatura bilgileri.
3.4. Finansal Veriler: Ödeme yöntemi türü (kredi/banka kartı numarasının tamamı PLATFORM sunucularında saklanmaz; işlemler ödeme kuruluşu altyapısı üzerinden yürütülür).
3.5. İşlem Güvenliği Verileri: IP adresi, tarayıcı türü ve versiyonu, işletim sistemi bilgisi, giriş-çıkış kayıtları, oturum bilgileri.
3.6. Pazarlama Verileri: İlgi alanları, alışveriş tercihleri, çerez kaynaklı gezinme ve davranış verileri.
3.7. Görsel Veriler: Kullanıcı tarafından gönüllü olarak yüklenmiş profil fotoğrafı.

MADDE 4 – VERİ İŞLEME AMAÇLARI
4.1. Sunulan hizmetlerin yürütülmesi, iyileştirilmesi ve geliştirilmesi,
4.2. Sipariş süreçlerinin yönetimi, ürün sevkiyatı ve teslimatının gerçekleştirilmesi,
4.3. Fatura düzenlenmesi ve yasal muhasebe kayıtlarının tutulması,
4.4. Mevzuat kaynaklı saklama, raporlama ve bildirim yükümlülüklerinin yerine getirilmesi,
4.5. KULLANICI taleplerinin yanıtlanması ve satış sonrası destek hizmetlerinin sunulması,
4.6. Yetkili kamu kurum ve kuruluşlarına bilgi ve belge teminine ilişkin yasal yükümlülüklerin ifası,
4.7. Pazarlama, analiz ve segmentasyon faaliyetlerinin yürütülmesi (açık rıza kapsamında),
4.8. Kullanıcı deneyiminin kişiselleştirilmesi ve iyileştirilmesi,
4.9. Dolandırıcılık, sahtecilik ve yetkisiz işlemlerin tespiti ile önlenmesi.

MADDE 5 – KİMLİK VERİLERİ
5.1. KULLANICI'nın ad, soyad ve T.C. Kimlik Numarası verileri;
a) Sözleşmenin kurulması ve ifası,
b) Fatura ve yasal kayıtların tutulması,
c) Kimlik doğrulama süreçlerinin yürütülmesi
amacıyla işlenmektedir.

MADDE 6 – İLETİŞİM VERİLERİ
6.1. E-posta adresi, telefon numarası ve adres verileri;
a) Ürün sevkiyatı ve kargo operasyonlarının yürütülmesi,
b) Sipariş, teslimat ve iade bildirimlerinin iletilmesi,
c) Müşteri destek hizmetlerinin sunulması,
d) Açık rıza bulunması halinde bilgilendirme ve kampanya iletilerinin gönderilmesi
amacıyla işlenmektedir.

MADDE 7 – İŞLEM GÜVENLİĞİ VERİLERİ
7.1. IP adresi, giriş-çıkış kayıtları ve oturum bilgileri;
a) 5651 Sayılı Kanun kapsamında zorunlu log kaydı tutulması,
b) Siber saldırıların önlenmesi ve bilgi güvenliğinin sağlanması,
c) Yetkisiz erişimlerin tespiti ve engellenmesi
amacıyla işlenmektedir.

MADDE 8 – VERİ TOPLAMA YÖNTEMLERİ
8.1. Kişisel veriler; üyelik formları, sipariş ekranları, çerezler, iletişim formları, ödeme sayfaları ve teknik günlük kayıtları vasıtasıyla tamamen veya kısmen otomatik yollarla ya da otomatik olmayan yollarla toplanmaktadır.

MADDE 9 – HUKUKİ İŞLEME SEBEPLERİ
9.1. Kanun'un 5/2. maddesi uyarınca aşağıdaki hukuki sebeplere dayanılmaktadır:
a) Kanunlarda açıkça öngörülmesi (Türk Ticaret Kanunu, Vergi Usul Kanunu, 5651 Sayılı Kanun ve ilgili mevzuat),
b) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması nedeniyle veri işlemenin zorunlu olması,
c) Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi,
d) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatlerin korunması,
e) Açık rıza (pazarlama, profilleme ve opsiyonel bildirim faaliyetleri için).

MADDE 10 – VERİLERİN YURT İÇİ AKTARIMI
10.1. KULLANICI'ya ait kişisel veriler; kargo ve lojistik şirketlerine, ödeme hizmeti kuruluşlarına ve bankacılık sistemlerine, tedarikçi ve alt yüklenici firmalara, iş ortaklarına, hukuki ve mali danışmanlık hizmeti alınan kişilere, yetkili kamu kurum ve kuruluşlarına ilgili mevzuatın izin verdiği ölçüde aktarılabilir.

MADDE 11 – YURT DIŞI AKTARIM ESASLARI
11.1. PLATFORM altyapısının gerektirdiği bulut bilişim, e-posta ve analitik hizmetleri nedeniyle kişisel veriler, Kanun'un 9. maddesi ve Kurul kararları çerçevesinde yeterli korumanın mevcut olduğu ülkelere ya da açık rıza alınmak suretiyle yurt dışına aktarılabilir.
11.2. Yurt dışı aktarımlarda standart sözleşme maddeleri ve Kurul tarafından uygun görülen güvenceler esas alınır.

MADDE 12 – SAKLAMA SÜRELERİ
12.1. Ticari defter ve muhasebe kayıtları: 10 (on) yıl (Türk Ticaret Kanunu ve Vergi Usul Kanunu gereği),
12.2. Üyelik ve müşteri işlem verileri: Üyeliğin sona ermesini izleyen 10 (on) yıl,
12.3. Teknik log ve erişim kayıtları: 2 (iki) yıl (5651 Sayılı Kanun gereği),
12.4. Pazarlama ve ticari ileti onayları: Onayın geri alındığı tarihe kadar,
12.5. Hukuki uyuşmazlık verileri: Uyuşmazlığın kesin olarak sonuçlanmasına kadar.

MADDE 13 – VERİ İMHASI VE ANONİMLEŞTİRME
13.1. Saklama süresi dolan veya işleme amacı ortadan kalkan kişisel veriler, VERİ SORUMLUSU'nun Kişisel Veri Saklama ve İmha Politikası'nda belirlenen periyotlarda geri döndürülemez biçimde silinir, yok edilir veya anonim hale getirilir.

MADDE 14 – İLGİLİ KİŞİNİN HAKLARI (KVKK Madde 11)
14.1. KULLANICI, VERİ SORUMLUSU'na başvurarak aşağıdaki haklarını kullanabilir:
a) Kişisel verilerinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
f) Kanun'un 7. maddesi çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g) (e) ve (f) bentleri kapsamında yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i) Kanuna aykırı veri işlenmesi nedeniyle zarara uğranması halinde zararın giderilmesini talep etme.

MADDE 15 – BAŞVURU YÖNTEMİ
15.1. Başvurular aşağıdaki yollarla iletilebilir:
a) Islak imzalı yazılı dilekçeyle İŞLETİCİ'nin tescilli adresine elden teslim veya noter kanalıyla,
b) Güvenli elektronik imzayla İŞLETİCİ'nin kayıtlı elektronik posta (KEP) adresine,
c) PLATFORM'un iletişim sayfasında belirtilen e-posta adresine, KULLANICI'nın sisteme kayıtlı e-posta adresi üzerinden.
15.2. Başvuruda; başvuru sahibinin adı ve soyadı, T.C. Kimlik Numarası, tebligata esas iletişim bilgileri ve talep konusu açıkça belirtilmelidir.

MADDE 16 – YANIT SÜRESİ VE KVK KURUMU ŞİKAYETİ
16.1. Başvurular, talebin niteliğine göre en geç 30 (otuz) gün içinde ücretsiz olarak yanıtlanır.
16.2. Yanıtın ayrıca bir maliyet gerektirdiği hallerde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.
16.3. Başvurunun reddedilmesi, verilen yanıtın yetersiz bulunması veya süresi içinde yanıt verilmemesi durumunda KULLANICI, Kişisel Verileri Koruma Kurumu'na şikâyette bulunma hakkını saklı tutar.

MADDE 17 – TEKNİK GÜVENLİK TEDBİRLERİ
17.1. Kişisel verilerin güvenliği amacıyla asgari olarak uygulanan teknik önlemler:
a) 256-bit SSL/TLS şifreleme,
b) Güvenlik duvarları ve izinsiz giriş tespit/önleme sistemleri (IDS/IPS),
c) Periyodik zafiyet taramaları ve sızma testleri,
d) Rol bazlı yetki matrisi ile erişim kısıtlaması,
e) Kullanıcı şifrelerinin tek yönlü hash ve salt algoritmaları ile saklanması,
f) Günlük otomatik yedekleme sistemleri.

MADDE 18 – İDARİ GÜVENLİK TEDBİRLERİ
18.1. İdari düzeyde alınan güvenlik önlemleri:
a) Kişisel veri işleyen tüm personele düzenli gizlilik ve veri koruma eğitimleri,
b) Çalışanlardan gizlilik ve kişisel veri koruma taahhütnamesi alınması,
c) Kişisel veri işleme envanterinin güncel tutulması,
d) Veri işleyen iş ortaklarıyla veri işleme sözleşmelerinin imzalanması,
e) Erişim loglarının periyodik olarak denetlenmesi.

MADDE 19 – VERİ İHLALİ BİLDİRİMİ
19.1. Kişisel verilerin yetkisiz kişilerce elde edildiğinin tespit edilmesi halinde VERİ SORUMLUSU, durumu öğrenmesinden itibaren en kısa sürede ve her halükarda 72 (yetmiş iki) saat içinde Kişisel Verileri Koruma Kurulu'na bildirir.
19.2. İhlalden etkilenen İLGİLİ KİŞİLER, uygun iletişim araçları aracılığıyla gecikmeksizin bilgilendirilir.

MADDE 20 – ÇEREZ (COOKIE) POLİTİKASI
20.1. PLATFORM'da kullanılan çerez kategorileri ve amaçları:
a) Zorunlu/Teknik Çerezler: Sitenin teknik olarak çalışabilmesi için gereklidir; oturum yönetimi ve sepet bilgilerini kapsar; kullanıcı tarafından devre dışı bırakılamaz.
b) Tercih Çerezleri: Dil, para birimi ve görüntüleme gibi kullanıcı ayarlarını hatırlamak amacıyla kullanılır; onay gerektirir.
c) Analitik/İstatistik Çerezleri: Ziyaretçi davranışlarını ölçmek ve site performansını iyileştirmek amacıyla kullanılır; onay gerektirir.
d) Pazarlama/Hedefleme Çerezleri: Kişiselleştirilmiş reklamlar sunmak ve pazarlama faaliyetlerinin etkinliğini ölçmek amacıyla kullanılır; açık rıza gerektirir.
20.2. KULLANICI, PLATFORM'a ilk girişte sunulan çerez tercih yönetim paneli aracılığıyla veya tarayıcı ayarları üzerinden zorunlu çerezler dışındaki tüm çerezleri reddedebilir ya da yönetebilir.
20.3. Çerezler aracılığıyla toplanan veriler bu politikanın ayrılmaz parçasını oluşturur ve aynı güvenlik standartlarına tabidir.

MADDE 21 – REŞİT OLMAYANLAR
21.1. PLATFORM hizmetleri 18 yaşını doldurmuş kişilere yöneliktir. 18 yaşından küçük bireylerin kişisel verileri; velisinin veya vasisinin açık rızası olmaksızın bilerek işlenmez. Bu durumun sonradan tespit edilmesi halinde ilgili veriler gecikmeksizin imha edilir.

MADDE 22 – ÜÇÜNCÜ TARAF BAĞLANTILARI
22.1. PLATFORM üzerinde bağlantı verilen üçüncü taraf web sitelerinin veri işleme faaliyetleri ve gizlilik politikaları bu politikanın kapsamı dışındadır. VERİ SORUMLUSU söz konusu sitelerin uygulamalarından herhangi bir sorumluluk üstlenmez.

MADDE 23 – POLİTİKA GÜNCELLEMELERİ
23.1. İŞLETİCİ, yürürlükteki mevzuatta veya iş süreçlerinde meydana gelen değişiklikler doğrultusunda bu politikayı dilediği zaman revize etme hakkını saklı tutar. Önemli değişiklikler PLATFORM üzerinden duyurulur; değişiklik sonrasında PLATFORM'un kullanılmaya devam edilmesi güncel politikanın kabul edildiğine karine teşkil eder.

MADDE 24 – MUHATAP BİLGİLERİ
24.1. VERİ SORUMLUSU'na ait güncel ünvan, tescilli adres ve iletişim bilgileri PLATFORM'un iletişim veya hakkımızda sayfasında sürekli erişilebilir biçimde yayınlanmaktadır.

MADDE 25 – YÜRÜRLÜK
25.1. İşbu politika PLATFORM'da yayınlandığı andan itibaren yürürlüğe girer ve yeni bir versiyon yayınlanana dek geçerliliğini korur.