KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) KAPSAMINDA AYDINLATMA METNİ
Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında, veri sorumlusu sıfatıyla kişisel verilerin işlenmesine ilişkin usul ve esaslar hakkında ilgili kişileri bilgilendirmek amacıyla hazırlanmıştır.
1. Veri Sorumlusunun Kimliği
Veri sorumlusu sıfatıyla faaliyet gösteren kurum/kuruluş, Kanun’un 10. maddesi uyarınca kişisel verilerin işlenmesine ilişkin olarak ilgili kişileri aydınlatma yükümlülüğünü yerine getirmektedir. Bu metinde firma ismi belirtilmemekle birlikte, veri sorumlusu ilgili tüm yükümlülükleri yerine getirmeyi taahhüt eder.
2. İşlenen Kişisel Veri Kategorileri
İşlenen kişisel veri kategorileri aşağıda örnekleriyle birlikte sayılmıştır:
Kimlik Bilgileri: Ad, soyad, T.C. kimlik numarası, pasaport numarası, doğum tarihi, cinsiyet vb.
İletişim Bilgileri: Telefon numarası, e-posta adresi, ikamet adresi, iletişim tercihleri vb.
Müşteri İşlem Bilgileri: Ürün/hizmet satın alma bilgileri, ödeme bilgileri, sipariş geçmişi vb.
Finansal Bilgiler: Banka hesap bilgileri, IBAN, fatura bilgileri vb.
İşlem Güvenliği Bilgileri: IP adresi, log kayıtları, kullanıcı adı, şifre vb.
Görsel ve İşitsel Veriler: Fotoğraf, video kayıtları, çağrı merkezi ses kayıtları vb.
Konum Verileri: GPS, şehir/ülke konum bilgileri.
Sağlık Verileri (gerekli hallerde ve açık rızaya dayalı olarak): Hastalık geçmişi, reçete bilgileri vb.
Özel Nitelikli Kişisel Veriler: Kanun’da belirtilen sağlık bilgileri, biyometrik veriler, ceza mahkûmiyeti ve güvenlik tedbirleri bilgileri vb.
3. Kişisel Verilerin İşlenme Amaçları
Toplanan kişisel veriler, aşağıdaki amaçlarla işlenebilecektir:
Ürün ve hizmetlerin sunulması, satış sonrası destek hizmetlerinin yürütülmesi
Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi
Sözleşme süreçlerinin kurulması ve ifası
Finans ve muhasebe işlemlerinin yürütülmesi
İletişim faaliyetlerinin yürütülmesi
Pazarlama analiz çalışmalarının yapılması
Reklam, kampanya, promosyon süreçlerinin planlanması (açık rıza varsa)
Talep ve şikâyetlerin yönetimi
Şirket içi operasyonel faaliyetlerin yürütülmesi
İş güvenliği ve bilgi güvenliği süreçlerinin yürütülmesi
Hukuki yükümlülüklerin yerine getirilmesi
Yetkili kurum ve kuruluşlara bilgi verilmesi
İnsan kaynakları ve istihdam süreçlerinin yürütülmesi (personel/aday verileri açısından)
Web sitesi ve mobil uygulama yönetimi, kullanıcı deneyiminin iyileştirilmesi
Dolandırıcılık ve kötüye kullanımın önlenmesi, güvenliğin sağlanması
Risk yönetimi ve denetim süreçlerinin yürütülmesi
Meşru menfaatlerin korunması
4. Kişisel Verilerin Toplanma Yöntemleri
Kişisel veriler, aşağıdaki yöntemlerle toplanabilir:
İnternet sitesi, mobil uygulama, çağrı merkezi, e-posta, SMS
Elektronik formlar, fiziki başvuru formları
Sözleşmeler ve diğer ticari belgeler
Kameralar ve diğer güvenlik sistemleri
Çerezler ve diğer çevrimiçi teknolojiler
Sosyal medya hesapları üzerinden yapılan iletişimler
Üçüncü taraf iş ortakları ve hizmet sağlayıcılar aracılığıyla
5. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri
Kanun’un 5. ve 6. maddeleri uyarınca kişisel veriler şu hukuki sebeplere dayanarak işlenmektedir:
İlgili kişinin açık rızasının bulunması
Kanunlarda açıkça öngörülmesi
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
İlgili kişinin kendisi tarafından alenileştirilmiş olması
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
Veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması
Sağlık ve cinsel hayata ilişkin verilerde açık rıza veya kamu sağlığının korunması, koruyucu hekimlik gibi istisnai haller
6. Kişisel Verilerin Aktarılması
Kişisel veriler, Kanun’un 8. ve 9. maddelerine uygun olarak aşağıdaki alıcı gruplarına aktarılabilir:
Yetkili kamu kurum ve kuruluşları
Düzenleyici ve denetleyici kurumlar
Mahkemeler ve icra daireleri
İş ortakları
Tedarikçiler ve hizmet sağlayıcılar
Bankalar ve finans kuruluşları
Destek hizmeti alınan üçüncü kişiler (bulut hizmeti, çağrı merkezi vb.)
Avukatlar, mali müşavirler, danışmanlar
Yurt içinde ve yurt dışında yerleşik veri işleyen/aktarım yapılan kuruluşlar (KVKK’daki şartlara uygun şekilde)
7. Yurt Dışına Veri Aktarımı
Gerekli hallerde ve Kanun’un 9. maddesine uygun olarak, ilgili kişinin açık rızası veya Kurul’un uygun bulduğu yeterli korumanın bulunduğu ülkelere veri aktarımı yapılabilir. Veri aktarımı yapılan üçüncü tarafların KVKK’ya ve veri gizliliğine uygun hareket etmesi için gerekli önlemler alınır.
8. Kişisel Verilerin Saklanma Süresi
Kişisel veriler:
İlgili mevzuatta öngörülen süreler
İşleme amacının gerektirdiği süre
Kanuni zamanaşımı süreleri
boyunca saklanır. Saklama süresi dolan kişisel veriler periyodik imha süreçleri kapsamında silinir, yok edilir veya anonim hale getirilir.
9. İlgili Kişinin Hakları
Kanun’un 11. maddesi uyarınca kişisel veri sahipleri veri sorumlusuna başvurarak aşağıdaki haklara sahiptir:
Kişisel verisinin işlenip işlenmediğini öğrenme
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
Eksik veya yanlış işlenmişse düzeltilmesini isteme
Kanun’da öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
Düzeltme, silme veya yok edilmenin aktarıldığı üçüncü kişilere bildirilmesini isteme
İşlemenin münhasıran otomatik sistemler ile analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme
Kanun’a aykırı işlenme sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
10. Başvuru Yöntemleri
İlgili kişiler yukarıda sayılan haklarını kullanmak için yazılı veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle veri sorumlusuna başvurabilir. Başvurular en geç 30 gün içinde yanıtlanır. Başvurunun ayrıca bir maliyeti doğurması halinde KVK Kurulu tarafından belirlenen tarifedeki ücret alınabilir.
Başvuru sırasında:
Ad, soyad ve başvuru yazılı ise imza
T.C. kimlik numarası (yabancılar için uyruğu, pasaport numarası veya kimlik numarası)
Tebligata esas yerleşim yeri veya iş yeri adresi
Bildirime esas e-posta adresi, telefon numarası veya faks numarası
Talep konusu
bilgilerinin yer alması gerekmektedir.