Gizlilik Politikası

6698 sayılı KVKK uyarınca kişisel verileriniz bakımından veri sorumlusu sıfatıyla işleme faaliyetlerini yürüten taraf Etkisepeti'dir. Veri sorumlusu, veri güvenliğinden ve bu politikada açıklanan ilkelerin uygulanmasından sorumludur.

Veri sorumlusu adına hareket eden teknik ve idari ekipler, erişim yetkilerini asgari düzeyde tutacak şekilde görevlendirilir; gizlilik ve veri güvenliği yükümlülükleri sözleşmeler ve iç politikalar ile çalışanlara ve iş ortaklarına hatırlatılır.

Aşağıdaki kategoriler, hizmetin niteliğine, kullandığınız kanala ve yasal zorunluluklara göre değişebilir. Veri toplama ilkesi olarak yalnızca amaçla bağlantılı, sınırlı ve ölçülü veri işlenir; gereksiz veya aşırı veri talep edilmez.

2.1. Doğrudan sağladığınız veriler

• Kimlik ve hesap verileri: Ad-soyad veya takma ad, e-posta adresi, telefon numarası (varsa), kullanıcı adı; giriş için kullanılan parola özetleri (düz metin parola saklanmaz).
• İşlem ve sipariş verileri: Sipariş numarası, seçilen ürün veya hizmet kalemleri, teslimat veya hizmete ilişkin açıklamalar, kampanya veya referans kodları, fatura veya e-arşiv bilgileri (yasal zorunluluk kapsamında).
• İletişim ve destek verileri: Bize gönderdiğiniz mesajların içeriği, ekler, talep konusu, çözüm notları ve memnuniyet geri bildirimleri.
• Ödeme ile ilişkili veriler: Ödeme onayı, işlem referansı, son dört hane gibi karttan türetilmeyen tanımlayıcılar (tam kart numarası, CVV gibi hassas ödeme verileri doğrudan bizim sistemlerimizde işlenmez; ödeme hizmeti sağlayıcısı tarafından güvenli altyapıda işlenir).
• Pazarlama tercihleri: E-posta veya SMS onayı, segmentasyon için açık rızanızla paylaştığınız tercihler.

2.2. Otomatik olarak elde edilen veriler

• Teknik ve cihaz verileri: IP adresi, yaklaşık konum (ülke/şehir düzeyinde), tarayıcı türü ve sürümü, işletim sistemi, cihaz modeli, dil ayarları, oturum tanımlayıcıları.
• Kullanım ve etkileşim verileri: Sayfa görüntülemeleri, tıklama ve kaydırma örüntüleri, arama sorguları, hata günlükleri, dönüşüm hunisi olayları (anonimleştirme veya kimliksizleştirme ile birleştirilebilir).
• Çerez ve benzeri teknolojiler: Oturum çerezleri, tercih çerezleri, analitik veya pazarlama çerezleri (yalnızca yasal dayanak ve tercih yönetimi çerçevesinde).
• Güvenlik günlükleri: Şüpheli oturum, başarısız giriş denemesi, bot veya kötüye kullanım tespiti kayıtları.

2.3. Üçüncü kişi veya kamu kaynakları

Yasal olarak mümkün olduğu ölçüde; dolandırıcılık tespiti, adres doğrulama veya kimlik teyidi gibi amaçlarla sınırlı olarak iş ortaklarından veya kamuya açık kaynaklardan elde edilen veriler işlenebilir. Bu durumda hukuki dayanak ve bilgilendirme yükümlülüklerine uyulur.

Kişisel verileriniz, aşağıdaki amaçlarla ve KVKK'nın genel ilkelere uygun olarak işlenir. Amaç değişikliği söz konusu olduğunda, gerekli hukuki dayanak sağlanır ve sizi bilgilendiririz.

• Üyelik oluşturma, kimlik doğrulama ve hesap yönetimi
• Siparişin alınması, onaylanması, ifası ve müşteri ile koordinasyon
• Ödeme akışının yürütülmesi, mutabakat, iade ve chargeback süreçleri
• Faturalandırma, muhasebe, vergi ve yasal defter tutma yükümlülükleri
• Müşteri desteği, şikayet yönetimi ve hizmet kalitesinin ölçülmesi
• Platform güvenliği, kötüye kullanımın önlenmesi ve dolandırıcılıkla mücadele
• Hata ayıklama, performans izleme ve ürün geliştirme (mümkün olduğunca toplu ve anonim veri ile)
• Hizmete ilişkin zorunlu bildirimler (sipariş durumu, sistem uyarıları)
• Açık rızanızın bulunduğu hallerde pazarlama, kampanya ve anket iletişimi
• Hukuki uyuşmazlıklarda delil oluşturma ve meşru menfaatlerin korunması
• Yetkili kamu kurum ve kuruluşlarının taleplerinin yerine getirilmesi

KVKK md. 5 ve md. 6 çerçevesinde, kişisel verileriniz aşağıdaki hukuki sebeplere dayanarak işlenir. Özel nitelikli kişisel veri işlenmesi söz konusu ise, kanunda öngörülen ek şartlar ve açık rıza (gerektiğinde) aranır.

• Kanunlarda açıkça öngörülmesi: Vergi, ticaret ve elektronik ticaret mevzuatından doğan saklama ve bildirim yükümlülükleri.
• Bir sözleşmenin kurulması veya ifası: Platform kullanımı, mesafeli satış ve hizmet sözleşmesinin yerine getirilmesi için zorunlu işlemler.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi: Denetim, resmi tebligat ve mahkeme kararlarına uyum.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri: Güvenlik, sahtecilikle mücadele, sistem bütünlüğü, anonim istatistik ve iç süreçlerin iyileştirilmesi (denge testi yapılır; aşırı müdahale edilmez).
• İlgili kişinin açık rızası: Pazarlama iletişimi, bazı analitik veya pazarlama çerezleri, isteğe bağlı profil alanları ve kampanya segmentasyonu.

Belirli bir işleme faaliyeti için birden fazla hukuki sebep birlikte bulunabilir; hangi işlem için hangi dayanağın kullanıldığına ilişkin ayrıntılı bilgi talep edebilirsiniz.

Kişisel verileriniz, hizmetin ifası ve yasal gereklilikler dışında ticari amaçla üçüncü kişilere satılmaz veya devredilmez. Aşağıdaki türdeki alıcılarla, amaçla sınırlı ve gerekli asgari veri paylaşılabilir:

• Ödeme ve finans kuruluşları: Tahsilat, provizyon, taksit ve iade süreçleri.
• Barındırma, CDN ve bulut altyapı sağlayıcıları: Verinin Türkiye içinde veya KVKK md. 9 kapsamında güvence altına alınmış yurt dışı lokasyonlarda saklanması.
• E-posta, SMS ve bildirim servisleri: İşlemsel veya (onaylı) pazarlama iletileri.
• Analitik ve güvenlik yazılımları: Trafik ölçümü, A/B testleri, kötü amaçlı yazılım ve bot koruması.
• Hukuk ve mali danışmanlar, denetçiler: Mevzuata uyum ve uyuşmazlık yönetimi.
• Yetkili idare ve yargı mercileri: Usulüne uygun talep halinde sınırlı paylaşım.

İşleyen sıfatıyla hareket eden tedarikçilerle yazılı veri işleme veya gizlilik taahhütleri kullanılır; alt işleyenlerin atanması halinde aynı standartlar korunur. Hizmet sağlayıcıların listesi veya kategorileri üzerinden şeffaflık sağlamak için talep halinde bilgi verilebilir.

Öncelikle verilerinizi Türkiye'de veya yeterlilik kararı verilmiş ülkelerde işlemeyi hedefleriz. Bununla birlikte, kullandığımız bazı bulut, iletişim veya güvenlik araçları veriyi yurt dışındaki sunucularda işleyebilir. Bu durumda KVKK md. 9 uyarınca:

• Kişisel Verileri Koruma Kurulu tarafından yeterli korumanın bulunduğu ilan edilen ülkelere aktarım yapılabilir; veya
• Yeterlilik kararı bulunmayan ülkelere, Türkiye'deki ve yurt dışındaki veri sorumluları/arasındaki yazılı taahhüt ve sözleşmeler ile Kurul tarafından belirlenen diğer güvenceler eşliğinde aktarım yapılabilir; veya
• Kanunda öngörülen istisnalar (açık rıza, sözleşmenin ifası için zorunluluk vb.) uygulanabilir.

Aktarım yapılan ülke, alıcı kategori ve güvence türü hakkında ayrıntılı bilgi için [email protected] adresine başvurabilirsiniz.

Kişisel veriler, işlendikleri amaç için gerekli olan süre ile sınırlı tutulur; süre sonunda silinir, yok edilir veya anonim hale getirilir. Yasal zamanaşımı, vergi ve ticaret hukuku süreleri ile düzenleyici rehberler dikkate alınır.

Yukarıdaki süreler örnektir; somut dosyada farklı süre uygulanması gerektiğinde sizinle paylaşılır veya talep üzerine gerekçelendirilir.

KVKK md. 11 kapsamında, kişisel verilerinizle ilgili olarak aşağıdaki haklara sahipsiniz. Bu haklar, kanunda öngörülen istisna ve sınırlamalara tabidir (ör. ceza soruşturması, ticari sır veya üçüncü kişi hakları).

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• KVKK md. 7 kapsamında silinmesini veya yok edilmesini isteme ("unutulma" ile ilişkili talepler dahil, yasal saklama zorunlulukları saklı kalmak üzere)
• Düzeltme, silme veya yok etme işlemlerinin, verinin aktarıldığı üçüncü kişilere bildirilmesini isteme
• Münhasıran otomatik sistemler ile analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
• Kanuna aykırı işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

Platformda, oturumun sürdürülmesi, güvenlik, tercihlerin hatırlanması ve (onayınızla) ölçümleme için çerezler ve benzeri yerel depolama teknolojileri kullanılabilir. Çerezler, cihazınızda küçük metin dosyaları olarak saklanır; tarayıcı ayarlarınızdan veya sunduğumuz tercih panelinden yönetilebilir.

9.1. Zorunlu çerezler

Oturum, güvenlik (CSRF, bot koruması), yük dengeleme ve temel site işlevselliği için gereklidir; devre dışı bırakılması hizmetin bir kısmının çalışmamasına yol açabilir.

9.2. Performans ve analitik çerezleri

Trafik, dönüşüm ve hata oranlarını anlamamıza yardımcı olur. Yasal dayanak olarak çoğunlukla açık rıza veya anonimleştirilmiş istatistik için meşru menfaat kullanılabilir; ayrıntılar çerez banner veya ayarlarınızda belirtilir.

9.3. İşlevsellik çerezleri

Dil, para birimi, tema veya son görüntülenen ürünler gibi tercihleri hatırlar.

9.4. Pazarlama çerezleri

İlgi alanınıza uygun içerik veya reklam ölçümü için kullanılabilir; yalnızca açık onayınız olduğunda yerleştirilir. Onayı geri çektiğinizde yeni veri toplanmaz; önceki oturumlardan kalan tanımlayıcılar tarayıcı temizliği ile kaldırılabilir.

Çerez tercihlerinizi istediğiniz zaman güncelleyebilirsiniz. Üçüncü taraf çerezleri için ilgili sağlayıcıların politikaları da geçerlidir.

KVKK md. 12 uyarınca, kişisel verilerin hukuka aykırı işlenmesini, erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun teknik ve idari tedbirleri alırız. Tedbirler, teknolojik gelişmelere ve tehdit seviyesine göre periyodik olarak gözden geçirilir.

• TLS/SSL ile şifreli iletim ve güvenli API erişimi
• Parola ve hassas alanlar için güçlü hash ve tuzlama uygulamaları
• Rol tabanlı erişim, çok faktörlü doğrulama (uygulanan hizmetlerde)
• Güvenlik duvarı, saldırı tespit ve günlük izleme
• Yedekleme, felaket kurtarma ve erişilebilirlik planları
• Tedarikçi güvenlik değerlendirmesi ve sözleşmesel yükümlülükler
• Çalışan ve alt işleyenlere gizlilik ve bilgi güvenliği eğitimleri
• Olası ihlal senaryoları için iç prosedürler ve bildirim zinciri

İnternet üzerinden veri iletiminin %100 güvenli olduğu garanti edilemez; bununla birlikte endüstri standartlarına yakın özeni gösteririz.

Platformumuz, reşit olmayanların veli veya vasisi olmadan sözleşme kurabileceği şekilde tasarlanmamıştır. Türk hukukunda reşit olma yaşı on sekiz olup, bilerek on sekiz yaş altındaki kişilerden pazarlama amacıyla veri toplamayız. Ebeveyn veya vasiler, çocuklarına ait olduğunu düşündüğünüz verilerin işlendiğini fark ederseniz [email protected] üzerinden bize yazın; kimlik ve velilik teyidi sonrası gerekli teknik ve hukuki adımları atarız.

Bu Gizlilik Politikası, mevzuat, iç süreçler veya hizmet modelindeki değişikliklere bağlı olarak güncellenebilir. Önemli değişikliklerde, Platform üzerinde belirgin bildirim, e-posta veya (mümkünse) hesap mesajı ile bilgilendirme yapılabilir. Güncel metnin yayımlandığı tarih sayfanın üst kısmında yer alır. Değişiklik sonrası hizmeti kullanmaya devam etmeniz, yürürlükteki metni okuduğunuz ve (gerektiğinde) yeni rıza veya sözleşme koşullarını kabul ettiğiniz anlamına gelebilir; zorunlu hukuki haklarınız saklıdır.

Gizlilik, güvenlik ve kişisel verilerinizle ilgili tüm soru, öneri ve şikayetleriniz için öncelikle bizimle iletişime geçmenizi rica ederiz; çözüm odaklı ve şeffaf bir süreç yürütmeyi taahhüt ederiz.

Veri silme, düzeltme, kopya alma veya işlemeye itiraz gibi taleplerinizde yanınızda olmak isteriz. Talebinizi netleştirmek için e-postanızda mümkünse şu bilgileri paylaşın: ad-soyad, Platform'daki kayıtlı e-posta, talep konusu (ör. "hesabımın kapatılması", "belirli sipariş kaydının anonimleştirilmesi") ve varsa sipariş veya destek referans numarası.

Kimlik teyidi için ek belge isteme hakkımızı saklı tutarız; bu süreç yalnızca yetkisiz erişimi önlemek içindir. Talebiniz hukuka aykırıysa veya başka bir kişinin haklarını ihlal ediyorsa, gerekçeli ret veya kısmi yanıt verilebilir.

Pazarlama iletişiminden çıkmak için e-postadaki abonelik linkini kullanabilir veya doğrudan [email protected] adresine "pazarlama listesinden çıkarın" yazabilirsiniz. İşlemsel bildirimler (sipariş onayı, güvenlik uyarısı vb.) yasal veya sözleşmesel gereklilik süresince gönderilmeye devam edebilir.

Skorlama, tam otomatik hukuki sonuç doğuran veya benzer şekilde sizi önemli ölçüde etkileyen bir karar mekanizması sunmuyoruz. Analitik ve güvenlik araçları, toplu kalıpları tespit etmek için kullanılabilir; bu süreçlerde bireysel kararlar insan denetimi ve iş kuralları ile desteklenir.

İleride profilleme veya kişiselleştirilmiş otomatik öneriler sunulması halinde, hukuki dayanak ve opt-out imkanları bu politika ve ilgili aydınlatma metinlerinde güncellenecektir.

Bu politikanın yorumlanması ve uygulanmasında Türkiye Cumhuriyeti kanunları geçerlidir. Taraflar arasındaki uyuşmazlıklarda Türkiye mahkemeleri ve icra organları yetkilidir; zorunlu tüketici hukuku kuralları saklıdır.

İngilizce veya başka dillerde sunulan özet çeviriler bilgilendirme amaçlıdır; Türkçe metin ile çelişki halinde, Türkiye'de yayımlanan Türkçe sürüm ve yürürlükteki mevzuat önceliklidir.