Veri İşleme ve Üçüncü Taraflarla Paylaşım Politikası
Amaç ve Kapsam
Bu Veri İşleme ve Üçüncü Taraflarla Paylaşım Politikası, "Çiçekçim" mobil uygulamasında toplanan kişisel verilerin işlenmesi süreçlerini, bu süreçlerde uyulan ilkeleri ve bu verilerin yurt içi ve yurt dışındaki üçüncü taraflarla hangi koşullar altında paylaşıldığını detaylandırmayı amaçlamaktadır. Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili ikincil mevzuatın, özellikle KVKK'nın 4. maddesinde belirtilen kişisel veri işleme genel ilkelerine tam uyumu sağlamak üzere hazırlanmıştır.
Kişisel Veri İşleme İlkeleri
Çiçekçim, kişisel verileri işlerken KVKK'nın 4. maddesinde belirtilen aşağıdaki genel ilkelere uygun hareket etmeyi taahhüt eder :
Hukuka ve Dürüstlük Kurallarına Uygun Olma: Kişisel veriler, adil, şeffaf ve hukuka uygun bir şekilde işlenir. Veri işleme faaliyetleri, veri sahiplerinin beklentilerine ve dürüstlük kuralına uygun olarak yürütülür.
Doğru ve Gerektiğinde Güncel Olma: Toplanan kişisel verilerin doğru ve güncel olması esastır. Veri sahiplerine, verilerini düzeltme ve güncelleme imkanı sunulur.
Belirli, Açık ve Meşru Amaçlar İçin İşlenme: Kişisel veriler, önceden belirlenmiş, açıkça ifade edilmiş ve yasalara uygun amaçlar doğrultusunda işlenir. Bu amaçlar, Aydınlatma Metni ve Gizlilik Politikası'nda detaylı olarak belirtilmiştir.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Kişisel veriler, işleme amaçları için gerekli olanla sınırlı tutulur. Amaçla ilgisi olmayan veya aşırı veri toplanmasından kaçınılır. Uygulama, hizmetin sunulması için gerekli olandan daha fazla kişisel veri talep etmez.
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme:Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanır. Belirlenen saklama sürelerinin sonunda veriler silinir, yok edilir veya anonim hale getirilir.
Kişisel Verilerin İşlenme Süreçleri
Çiçekçim mobil uygulamasında kişisel veriler, elde edilmesinden silinmesine kadar olan tüm aşamalarda (elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hale getirme, sınıflandırma veya kullanmanın engellenmesi) KVKK hükümlerine uygun olarak işlenir. Veri işleme süreçlerinde, veri minimizasyonu, şifreleme, erişim yetkilendirmesi, düzenli yedekleme gibi teknik ve idari tedbirler uygulanmaktadır.
Kişisel Verilerin Üçüncü Taraflarla Paylaşımı
Kişisel verileriniz, "gerektiğinde" ifadesiyle belirtilen genel bir paylaşım prensibi yerine, belirli durumlarda, belirli amaçlarla ve belirli alıcı gruplarıyla KVKK'nın 8. ve 9. maddelerinde belirtilen şartlara uygun olarak paylaşılmaktadır.
Paylaşım Amaçları:
Yasal yükümlülüklerin yerine getirilmesi.
Sözleşmesel hizmetlerin sunulması ve uygulamanın işlevselliğinin sağlanması.
Uygulama güvenliğinin temini.
Pazarlama ve analiz faaliyetlerinin yürütülmesi.
Kişisel Verilerin Aktarıldığı Alıcı Grupları:
Yetkili Kamu Kurum ve Kuruluşları
Aktarılan Veri Kategorileri: Kimlik, İletişim, İşyeri Bilgileri, Hukuki İşlem Bilgileri
Aktarım Amacı: Yasal yükümlülüklerin yerine getirilmesi (örn. vergi denetimleri, mahkeme kararları, idari talepler, ETBİS bildirimleri)
Aktarımın Hukuki Sebebi: Kanunlarda açıkça öngörülmesi (5/2-a), Hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (5/2-ç)
Teknik Hizmet Sağlayıcıları
Aktarılan Veri Kategorileri: İşlem Güvenliği Bilgileri, Pazarlama Bilgileri
Aktarım Amacı: Uygulamanın teknik altyapısının sağlanması (hosting, bulut hizmetleri), uygulama performansının analizi, hata tespiti
Aktarımın Hukuki Sebebi: Sözleşmenin kurulması veya ifası (5/2-c), Veri sorumlusunun meşru menfaati (5/2-f)
Ödeme Hizmet Sağlayıcıları
Aktarılan Veri Kategorileri: Kimlik (kısmi), İşlem Bilgileri
Aktarım Amacı: Abonelik ödemelerinin gerçekleştirilmesi (Google Play Store, App Store)
Aktarımın Hukuki Sebebi: Sözleşmenin kurulması veya ifası (5/2-c)
Analiz ve Reklam Ortakları
Aktarılan Veri Kategorileri: İşlem Güvenliği Bilgileri, Pazarlama Bilgileri
Aktarım Amacı: Uygulama kullanım alışkanlıklarının analizi, kişiselleştirilmiş reklam faaliyetlerinin yürütülmesi
Aktarımın Hukuki Sebebi: Açık rıza (5/1), Veri sorumlusunun meşru menfaati (5/2-f) (anonimleştirilmiş analizler için)
İş Ortakları
Aktarılan Veri Kategorileri: Kimlik, İletişim (sözleşme kapsamında gerekli olanlar)
Aktarım Amacı: Uygulamanın işleyişi ve geliştirilmesi için işbirliği yapılan taraflar (örn. teknik destek, danışmanlık)
Aktarımın Hukuki Sebebi: Sözleşmenin kurulması veya ifası (5/2-c), Veri sorumlusunun meşru menfaati (5/2-f)
Çiçekçim, bir "elektronik ticaret ortamı" ve "aracı hizmet sağlayıcı" olarak, kendi işleyişi için topladığı verileri bu politika çerçevesinde paylaşma yetkisine sahiptir. Ancak, mağaza sahiplerinin kendi ticari faaliyetleri kapsamında (örneğin doğrudan iletişimde veya satış sonrası süreçlerde) topladığı verilerin paylaşımından doğrudan sorumlu değildir. Özellikle WhatsApp/Instagram yönlendirmeleri ile kullanıcıların doğrudan çiçekçilere ulaşıp veri paylaşması, Çiçekçim'in kontrolü dışındadır ve bu durum, sorumluluk reddi kısmında belirtilmiştir. Çiçekçim'in sorumluluğu, kendi veri işleme faaliyetleriyle sınırlıdır; mağaza sahiplerinin kendi müşterileriyle olan veri ilişkilerinden sorumlu değildir.
Yurt Dışına Veri Aktarımı
Kişisel verileriniz, yukarıda belirtilen amaçlar doğrultusunda ve KVKK'nın 9. maddesinde belirtilen şartlara uygun olarak yurt dışına aktarılabilir. Bu aktarımlar, aşağıdaki durumlarda gerçekleşebilir:
İlgili Kişinin Açık Rızası: Yeterli korumanın bulunmadığı ülkelere veri aktarımı için ilgili kişinin açık rızası alınacaktır.
Yeterli Korumanın Bulunduğu Ülkeler: Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen ülkelere aktarım.
Taahhütname ve Kurul İzni: Yeterli korumanın bulunmadığı ülkelerde yerleşik veri sorumlusunun yazılı taahhütte bulunması ve Kişisel Verileri Koruma Kurulu'nun izninin alınması.
Özellikle Google Play ve App Store gibi uluslararası platformlar üzerinden abonelik ödemelerinin alınması ve bazı analiz araçlarının (örn. Google Analytics) uluslararası sunucularda veri işlemesi nedeniyle yurt dışına veri aktarımı gerçekleşebilmektedir. Bu durumda, ilgili platformların veri işleme politikaları ve KVKK uyumluluğu göz önünde bulundurulmaktadır.
Veri Sahibinin Hakları
KVKK'nın 11. maddesi uyarınca, kişisel verisi işlenen her gerçek kişi, veri sorumlusuna başvurarak kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme, KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir. Bu hakların kullanımına ilişkin prosedürler, KVKK Aydınlatma Metni'nde detaylı olarak açıklanmıştır.
