KVKK Aydınlatma Metni

CVE INFO BİLİŞİM HİZMETLERİ SANAYİ TİCARET ANONİM ŞİRKETİ

EDERINE.COM KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN AYDINLATMA METNİ

1. Veri Sorumlusunun Kimliği

İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca veri sorumlusu sıfatıyla CVE INFO BİLİŞİM HİZMETLERİ SANAYİ TİCARET ANONİM ŞİRKETİ (“CVE” veya “Şirket”) tarafından hazırlanmıştır. Şirketin adresi FİKİRTEPE MAH. BAHTLI SK. ARAC APT NO: 41 İÇ KAPI NO: 28 KADIKÖY / İSTANBUL’dur.

İşbu metin; CVE tarafından işletilen Ederine.com internet sitesi, mobil uygulama, yönetim panelleri, çağrı merkezi, canlı destek, e-posta, kısa mesaj ve benzeri tüm fiziksel ve elektronik ortamlar bakımından geçerlidir.

2. Aydınlatma Metninin Kapsamı

Bu metin;

• platformu ziyaret edenleri,

• üye olan kullanıcıları,

• sipariş veren bireysel ve kurumsal müşterileri,

• teslim alıcılarını,

• market/mağaza/satıcı yetkililerini,

• tedarikçi ve iş ortaklarının gerçek kişi temsilcilerini,

• canlı destek, çağrı merkezi veya e-posta yoluyla Şirket ile iletişime geçen kişileri

kapsamaktadır.

3. İşlenen Kişisel Veri Kategorileri

Şirket tarafından, hizmetin niteliğine göre aşağıdaki kişisel veriler işlenebilmektedir:

Kimlik bilgileri: ad, soyad, kullanıcı tipi, gerekiyorsa vergi kimlik bilgileri, tüzel kişi temsilcisi bilgileri.

İletişim bilgileri: cep telefonu numarası, e-posta adresi, teslimat adresi, fatura adresi, mahalle/bölge/lokasyon bilgisi.

Müşteri işlem bilgileri: üyelik bilgileri, sipariş bilgileri, sepet bilgileri, fiyat karşılaştırma tercihleri, sipariş geçmişi, iptal/iade kayıtları, kampanya-kupon kullanım bilgileri, puanlama ve değerlendirmeler, talep/şikâyet kayıtları.

Ödeme ve finans bilgileri: ödeme yöntemi, ödeme işlem kaydı, ödeme onay/red bilgisi, fatura bilgileri, e-fatura/e-arşiv kayıtları, ters ibraz/chargeback süreci kayıtları. Kartın tamamı, CVE sistemlerinde saklanmayacak şekilde ödeme kuruluşu altyapısı üzerinden işlenir.

Teslimat ve lojistik bilgileri: teslimat adresi, teslim alıcı adı-soyadı, telefon bilgisi, teslimat zaman tercihi, sipariş durumu, teslimat notu, teslim edildi/edilemedi kayıtları, teslimat doğrulama verileri.

İşlem güvenliği bilgileri: IP adresi, cihaz tipi, oturum kayıtları, log kayıtları, trafik bilgileri, parola güvenlik kayıtları, çerez ve benzeri teknolojilerden elde edilen kullanım verileri.

Görsel/işitsel kayıtlar: çağrı merkezi ses kayıtları, canlı destek yazışmaları, destek amaçlı ekran görüntüleri, uyuşmazlık halinde delil niteliği taşıyabilecek kayıtlar.

Hukuki işlem ve uyum bilgileri: başvuru ve cevap kayıtları, dava/icra/arabuluculuk dosya bilgileri, resmî kurum talepleri, denetim ve iç kontrol kayıtları.

Pazarlama verileri: yalnızca açık rıza verilmesi halinde kampanya tercihleri, ilgi alanları, alışveriş alışkanlıkları, segmentasyon ve ticari elektronik ileti izin kayıtları.

Market/iş ortağı kullanıcı verileri: mağaza yetkilisi adı-soyadı, telefon, e-posta, mağaza adresi, sipariş ve stok yönetim kayıtları, komisyon ve cari hesap süreçlerine ilişkin veriler.

4. Kişisel Verilerin Toplanma Yöntemi

Kişisel verileriniz;

• internet sitesi ve mobil uygulama üyelik/sipariş ekranlarından,

• canlı destek, çağrı merkezi ve e-posta kanallarından,

• çerezler ve benzeri takip teknolojilerinden,

• ödeme kuruluşları ve bankacılık altyapılarından,

• kurye/lojistik şirketlerinden,

• marketler, satıcılar, tedarikçiler ve iş ortaklarından,

• resmî kurum ve kuruluşlardan,

• fiziki veya elektronik formlar, sözleşmeler, tutanaklar ve başvuru belgelerinden

tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla toplanabilmektedir.

5. Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepleri

5.1. Üyelik ve hesap yönetimi

Üyelik hesabının oluşturulması, kullanıcı doğrulaması yapılması, hesap güvenliğinin sağlanması, kullanıcı rollerinin tanımlanması ve hizmete erişimin sağlanması amacıyla verileriniz işlenir. Bu işleme, sözleşmenin kurulması veya ifası, hukuki yükümlülüklerin yerine getirilmesi ve Şirket’in meşru menfaatleri hukuki sebeplerine dayanır.

5.2. Sipariş, karşılaştırma ve satın alma süreçleri

Platform yapısı gereği kullanıcıların bölgesine göre ürünlerin listelenmesi, marketler arası karşılaştırma yapılması, sipariş oluşturulması, siparişin markete iletilmesi, stok ve fiyat değişikliklerinin yansıtılması için veriler işlenir. İş akışında üyelerin bölge seçebilmesi, diğer market sepetlerini kıyaslayabilmesi, teslim saatini seçebilmesi ve sipariş bilgilerinin markete anlık düşmesi öngörülmektedir. Bu süreçlerde işleme hukuki sebebi sözleşmenin kurulması veya ifasıdır.

5.3. Ödeme süreçleri

Ödemelerin ödeme kuruluşları altyapısı üzerinden alınması, ödeme doğrulama, tahsilat, iade, iptal, ters ibraz ve muhasebeleştirme süreçlerinin yürütülmesi için kişisel veriler işlenir. Bu kapsamda ödeme verileri, sözleşmenin ifası, hukuki yükümlülüğün yerine getirilmesi ve bir hakkın tesisi/korunması hukuki sebeplerine dayanılarak işlenir.

5.4. Teslimat ve lojistik süreçleri

Siparişin doğru adrese, doğru kişiye ve doğru zaman aralığında ulaştırılması; teslimat durum bildirimlerinin yapılması; teslimat uyuşmazlıklarının çözülmesi amacıyla veriler işlenir. Bu işleme sözleşmenin ifası, hukuki yükümlülük ve meşru menfaat hukuki sebeplerine dayanır.

5.5. Müşteri destek ve iletişim süreçleri

Talep, öneri ve şikâyetlerin alınması, canlı destek ve çağrı merkezi hizmetlerinin yürütülmesi, sipariş ve teslimat durumlarının bildirilmesi için kişisel veriler işlenir. Bu işleme sözleşmenin ifası ve meşru menfaat hukuki sebeplerine dayanır.

5.6. Platform güvenliği ve denetim

Sistem güvenliğinin sağlanması, yetkisiz erişimlerin önlenmesi, sahtecilik ve kötüye kullanımın tespiti, log kayıtlarının tutulması, yazılım ve altyapı güvenliğinin sürdürülmesi amacıyla veriler işlenir. Bu işleme Şirket’in meşru menfaati ve hukuki yükümlülüğü hukuki sebeplerine dayanır.

5.7. Market/satıcı/iş ortağı süreçleri

Marketlerin sisteme kaydı, stok ve ürün yüklemeleri, sipariş yönetimi, kampanya ve komisyon süreçleri, raporlama, cari hesap takibi ve operasyon yönetimi için ilgili gerçek kişi verileri işlenir. Bu işleme sözleşmenin kurulması veya ifası ile meşru menfaat hukuki sebeplerine dayanır.

5.8. Hukuki süreçler ve resmî kurum talepleri

Uyuşmazlıkların çözümü, hukuki başvuruların cevaplandırılması, denetimlerin yürütülmesi, resmî kurum taleplerinin karşılanması ve bir hakkın tesisi, kullanılması veya korunması amacıyla kişisel veriler işlenir. Hukuki sebep; kanunlarda açıkça öngörülmesi, hukuki yükümlülük ve bir hakkın tesisi/kullanılması/korunmasıdır.

5.9. Pazarlama ve ticari elektronik ileti

Kampanya, tanıtım, reklam, indirim ve kişiselleştirilmiş teklif süreçleri yalnızca ilgili mevzuata uygun ayrı açık rıza / onay alınması halinde yürütülür. Kullanıcı, verdiği onayı dilediği zaman geri alabilir.

6. Kişisel Verilerin Aktarılması

Kişisel verileriniz, KVKK’nın 8. ve 9. maddelerine uygun olarak, amaçla bağlantılı, sınırlı ve ölçülü şekilde aşağıdaki alıcı gruplarına aktarılabilir:

Marketler ve satıcılar: siparişin hazırlanması, stok kontrolü, iptal/iade ve destek süreçleri için.

Ödeme kuruluşları, bankalar ve finansal hizmet sağlayıcıları: tahsilat, ödeme doğrulama, iade, ters ibraz ve finansal kayıt süreçleri için.

Kurye ve lojistik firmaları: siparişin teslim edilmesi için gerekli olan sınırlı teslimat verileri bakımından.

Barındırma, yazılım, altyapı, bulut, SMS, e-posta, bildirim ve teknik destek sağlayıcıları: platformun işletilmesi, bakım ve güvenliğinin sağlanması için.

Muhasebe, mali müşavir, denetçi, avukat ve danışmanlar: mevzuat uyumu, denetim, muhasebe ve hukuki süreçler için.

Yetkili kamu kurum ve kuruluşları: mahkemeler, icra müdürlükleri, kolluk, düzenleyici ve denetleyici kurumlar dahil olmak üzere mevzuattan doğan yükümlülükler kapsamında.

Birleşme, devralma ve yatırım süreçleri kapsamındaki taraflar: gizlilik yükümlülüğü altında olmak kaydıyla, hukuki ve finansal inceleme süreçleri için.

7. Kurye ve Teslimat Şirketleri Bakımından Özel Açıklama

CVE, teslimat süreçlerinde çalıştığı kurye/lojistik şirketleri ile yalnızca teslimat için zorunlu olan verileri paylaşır. Bu kapsamda kural olarak;

• ad-soyad,

• teslimat adresi,

• telefon numarası,

• sipariş teslimat notu,

• teslimat zaman aralığı,

• teslim edildi/edilemedi bilgisi

ile sınırlı paylaşım yapılır.

Kurye şirketlerinin kişisel verileri, kendi mevzuatsal yükümlülükleri ve teslimat operasyonları kapsamında ayrıca veri sorumlusu sıfatıyla işlemesi mümkün olabileceği gibi, CVE’nin yazılı talimatları doğrultusunda hareket ettiği ölçüde veri işleyen sıfatıyla da işlem yapması mümkündür. CVE, bu şirketlerle imzalayacağı ayrı sözleşmelerde veri kullanım amacını sınırlar; verilerin başka amaçlarla kullanılmaması, alt yüklenici kullanımının izne bağlanması, uygun teknik-idari tedbirlerin alınması, ihlal halinde derhal bildirim yapılması ve işleme amacı sona erdiğinde verilerin silinmesi/yok edilmesi yükümlülüklerini düzenler.

8. Ödeme Kuruluşları Bakımından Özel Açıklama

Platform üzerinde gerçekleştirilen ödemeler, ödeme kuruluşu altyapıları üzerinden yürütülecektir. Bu nedenle kart ve ödeme verilerinin önemli bir kısmı doğrudan ilgili lisanslı ödeme kuruluşu tarafından işlenebilir. CVE, ödeme işleminin gerçekleştirilmesi için gerekli asgari veriyi ilgili ödeme kuruluşuna aktarır; tam kart verisini kendi sistemlerinde tutmaz, saklamaz veya ödeme güvenliğini gereksiz ölçüde kendi üzerine almaz. Bu yaklaşım, veri minimizasyonu ve finansal veri güvenliği bakımından esastır.

9. Veri Minimizasyonu ve Ölçülülük İlkesi

CVE, yalnızca hizmetin sunulması, mevzuat yükümlülüklerinin yerine getirilmesi, hukuki süreçlerin yürütülmesi ve meşru operasyonel ihtiyaçların karşılanması için gerekli olan kişisel verileri işler. Hizmet için gerekli olmayan veriler talep edilmez; gerekli olmayan veri kategorilerinin toplanmasından kaçınılır; aynı amaç daha az veri ile sağlanabiliyorsa o yöntem tercih edilir.

10. Kişisel Verilerin Saklanma Süresi

Kişisel verileriniz;

• ilgili mevzuatta açıkça öngörülen süre boyunca,

• işleme amacının gerektirdiği makul süre boyunca,

• olası uyuşmazlık, denetim, ispat ve savunma hakkı ihtiyaçları dikkate alınarak gerekli olan zamana kadar

saklanır. Saklama süresi sona eren veriler, mevzuata uygun şekilde silinir, yok edilir veya anonim hale getirilir.

11. Teknik ve İdari Tedbirler

CVE, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ve verilerin güvenli şekilde muhafazasını sağlamak için uygun teknik ve idari tedbirleri alır. Bu kapsamda örneğin;

• rol bazlı yetkilendirme,

• erişim kayıtlarının tutulması,

• parola ve oturum güvenliği,

• loglama ve sistem izleme,

• veri tabanı ve uygulama güvenliği,

• test ve sızma kontrol süreçleri,

• tedarikçi ve hizmet sağlayıcılara yönelik gizlilik/veri koruma yükümlülükleri,

• veri ihlali müdahale süreçleri

uygulanır.

12. İlgili Kişinin Hakları

KVKK’nın 11. maddesi uyarınca herkes, veri sorumlusuna başvurarak; kişisel verisinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını öğrenme, amaca uygun kullanılıp kullanılmadığını öğrenme, aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme, silinmesini veya yok edilmesini isteme, bu işlemlerin aktarılan üçüncü kişilere bildirilmesini isteme, münhasıran otomatik sistemler ile analiz edilmesi sonucu aleyhe bir sonucun ortaya çıkmasına itiraz etme ve zararın giderilmesini talep etme haklarına sahiptir.