Kapgelsinn Kişisel Verilerin Korunması, İşlenmesi ve Gizlilik Politikası

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun ile kişisel verinin tanımı yapılarak, bunların korunmasına ilişkin ilkeler ve bu verilerin işlenmesinde veri sorumlusu sıfatı taşıyanların uyacakları şartlara yer verilmiştir.

Kanun’a göre kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişi”lere ilişkin her türlü bilgidir. Kişisel verilerin işlenmesi ise “kişisel verilerin otomatik olan ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, üçüncü kişilerle paylaşılması ve yurtdışına transfer edilmesi dahil kişisel veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir.

**Kapgelsinn** [Tam Şirket Adı Buraya Eklenecektir] (“**Kapgelsinn**”) Kanun’a uygunluğun **Kapgelsinn Platformları** yönünden sağlanması amacıyla, ilgili mevzuatta yer alan kişisel verilerin korunması ve işlenmesine ilişkin ilkeleri benimseyerek gerekli idari ve teknik tedbirleri almaktadır.

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politika (“Politika”) kapsamı için bkz. VI. VERİ SAHİBİ VE KİŞİSEL VERİ KATEGORİZASYONU.

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli olarak uygulanacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, **Kapgelsinn** yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika **Kapgelsinn**’in internet sitesinde (örneğin: www.kapgelsinn.com) yayımlanarak kişisel veri sahiplerinin erişimine sunulmaktadır. Değişen şartlara ve mevzuata uyum sağlamak amacıyla Politika’da değişiklik ve güncellemeler yapılabilecek olup ilgili internet sitesi üzerinden kişisel veri sahiplerine sunulabilecektir.

Anayasa’nın m. 20/III kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği belirtilerek kişisel verilerin korunması güvence altına alınmıştır. Kişisel veri sahiplerine tanınan bu hak doğrultusunda **Kapgelsinn** kişisel verileri ilgili mevzuatta belirtilen ilkeler doğrultusunda veya kişinin açık rızasının bulunduğu durumlarda aşağıdaki ilkelere uygun işlemektedir:

• Hukuka ve Dürüstlük Kuralına Uygun İşleme
• Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
• Belirli, Açık ve Meşru Amaçlarla İşleme
• İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
• İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Kişisel veriler, prensip olarak ancak kişisel veri sahibinin açık rızası bulunan hallerde işlenebilmektedir. Kanun’un 5. maddesinde kişisel veriler ile 6. maddesinde özel nitelikli kişisel verilerin işlenmesine ilişkin şartlara yer verilmiştir. Kanun, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel verileri “özel nitelikli kişisel veri” olarak belirlemiştir. Yukarıda politika kapsamında belirtilen şekilde kullanıcılarımızın özel nitelikli kişisel verilerini işlememekteyiz.

**Kapgelsinn** kişisel verileri her halde Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak aşağıda belirtilen amaç ve koşullar doğrultusunda işlemektedir:

İşleme Şartları: (Orijinal metindeki Kanuni dayanaklar aynen korunmuştur: Kanunlarda açıkça öngörülmesi, Hayati zorunluluk, Sözleşmenin kurulması/ifası, Hukuki yükümlülük, Alenileştirme, Hakların tesisi/kullanılması/korunması, Meşru Menfaatler)

İşleme Amaçları:

• Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası
• Bilgi teknolojileri altyapısının oluşturulması ve yönetilmesi
• Çalışanların bilgiye erişim yetkilerinin planlanması ve icrası
• Finans ve/veya muhasebe işlerinin takibi
• Hukuk işlerinin takibi
• İş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası
• İş faaliyetlerinin planlanması ve icrası
• **Restoranlar/Marketler** ve iş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası
• **Restoranlar/Marketler** ve iş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi
• İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası
• Kurumsal iletişim faaliyetlerinin planlanması ve icrası
• **Lojistik (Kurye)** faaliyetlerinin planlanması ve icrası
• Müşteri/kullanıcı ilişkileri yönetimi süreçlerinin planlanması ve icrası
• Müşteri/kullanıcı memnuniyeti aktivitelerinin planlanması ve/veya icrası
• Müşteri/kullanıcı talep ve/veya şikayetlerinin takibi
• Müşterilerin/kullanıcıların finansal risklerinin tespitine yönelik faaliyetler yapılması
• Satış sonrası destek hizmetleri aktivitelerinin planlanması ve/veya icrası
• Şirket operasyonlarının güvenliğinin temini
• Şirketin sunduğu ürün veya hizmetlerden en yüksek faydanın elde edilmesi için ilgili süreçlerin planlanması ve icrası
• Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi
• Ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası
• Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icrası
• Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası
• Verilerin doğru ve güncel olmasının sağlanması
• Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi

Kanun’un 8. ve 9. maddesinde kişisel verilerin yurt içinde ve yurt dışına aktarılmasına ilişkin hususlara yer verilmiştir. **Kapgelsinn**, hukuka uygun olarak elde etmiş olduğu kişisel verileri veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak üçüncü kişilere aktarabilmektedir.

Bu doğrultuda **Kapgelsinn** kişisel verileri Bölüm II’de belirtilen işleme şartlarından birinin varlığı halinde üçüncü kişilere aktarabilecektir. (Orijinal metindeki Kanuni dayanaklar aynen korunmuştur.)

**Kapgelsinn** meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin kişisel verilerini Kanun'un ilgili maddelerinde belirtilen şartlar dahilinde yurt dışına aktarabilecektir. (Orijinal metindeki Yurtdışına Aktarım Şartları aynen korunmuştur: Yeterlilik kararı ve Uygun güvenceler.)

**Kapgelsinn** yukarıda belirtilen şartlar doğrultusunda ve Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda belirtilen taraflara aktarabilir:

• İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etme amacıyla anonim olarak iş ortaklarına, (başkaca veri aktarımının gerekmesi halinde ayrıca açık rıza alınmaktadır.)
• **Restoranlar/Marketler** ile sözleşme kapsamındaki amaçların yerine getirilmesi için sınırlı olarak **restoranlara/marketlere** ve **kurye/lojistik** iş ortaklarına,
• **Kapgelsinn**’in tedarikçiden dış kaynaklı olarak temin ettiği ve **Kapgelsinn**’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin **Kapgelsinn**’e sunulmasını sağlamak amacıyla sınırlı olarak tedarikçilere,
• Hukuki yetkileri dahilinde talep ettikleri amaçla sınırlı olarak ilgili kamu kurum ve kuruluşları ile özel hukuk kişilerine.

**Kapgelsinn**, işlediği kişisel verilerin güvenliğini sağlamak için ilgili mevzuat uyarınca öngörülen ve KVK Kurulu tarafından bildirilecek olan diğer idari ve teknik önlemleri alarak kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını temin etmektedir. Bu kapsamda **Kapgelsinn**, kişisel verilerin hukuka uygun olarak işlenmesi, güvenli ortamlarda saklanması, yetkisiz erişim riskleri ile diğer her türlü hukuka aykırı erişimlerin önlenmesi için makul derecedeki teknik ve idari önlemleri almaktadır.

(Orijinal metindeki teknik ve idari tedbirler (Virüs koruma, eğitim, yetkilendirme vb.) aynen korunmuştur.)

**Kapgelsinn**, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.

Kanun’un 10. maddesinde kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerinin aydınlatılması gerektiği belirtilmiştir. **Kapgelsinn**, bu doğrultuda kişisel veri sahiplerini kişisel verilerinin elde edilmesi sırasında; (i) varsa temsilcisinin kimliği, (ii) kişisel verilerin hangi amaçla işleneceği, (iii) kimlere ve hangi amaçla aktarılabileceği, (iv) kişisel veri toplamanın yöntemi ve hukuki sebebi, (v) kişisel veri sahibinin sahip olduğu haklara ilişkin olarak bilgilendirmektedir.

Kanun’un 11. maddesinde sayılan haklar dahilinde veri sahibi; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, aktarıldığı üçüncü kişileri bilme, düzeltilmesini isteme, silinmesini veya yok edilmesini isteme ve zararın giderilmesini talep etme haklarına sahiptir. (Orijinal metindeki istisnai haller Kanun'un 28. maddesi uyarınca aynen korunmuştur.)

Kişisel veri sahipleri, Anayasa’nın 20. maddesi ve Kanun’un 11. maddesi uyarınca haklarına ilişkin bilgi taleplerini **Kapgelsinn**’e iletmeleri durumunda, talebin niteliğine göre talebe karşılık gerekçeli yanıtı en geç otuz gün içinde ücretsiz olarak bildirilmektedir.

Kişisel veri sahipleri yukarıda belirtilen haklarına ilişkin taleplerini aşağıdaki yöntemlerden biri ile gerçekleştirecektir:

• **kapgelsinn@gmail.com** e posta adresine talep gönderilmesi. (Başvurucunun hak sahibi olup olmadığının tespiti için gerekli teyit mekanizmaları uygulanacaktır.)
• Kişisel Verileri Koruma Kurulu tarafından öngörülen bir yöntemin izlenmesi.

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

**Kapgelsinn**, kendi bünyesinde işlediği kişisel verilerin sahiplerini aşağıdaki şekilde kategorize etmiştir:

İşbu Politika kapsamında, **Kapgelsinn** tarafından işlenen kişisel veriler kategorize edilmiştir:

• **Profil Bilgisi:** Kullanıcı adı, profil fotoğrafı gibi profile özgü bilgiler.
• **İletişim Bilgisi:** Telefon numarası, adres, e-mail adresi gibi bilgiler.
• **Lokasyon Verisi:** Kişisel veri sahibinin sipariş teslimat noktası veya mobil uygulama üzerinden paylaştığı konum bilgileri.
• **Müşteri İşlem Bilgisi:** Sipariş kayıtları, ürün ve hizmet kullanımına yönelik talimatlar ve talepler.
• **İşlem Güvenliği Bilgisi:** IP adresi, sistem giriş bilgileri, cüzdan sistemi özelinde kullanıcı hareketleri gibi ticari güvenliği sağlamak için işlenen veriler.
• **Finansal Bilgi:** Banka hesap numarası, IBAN numarası, kredi kartı bilgisi (platform tarafından saklanmadığı kabul edilerek, işleme bazlı bilgiler), finansal profil gibi veriler.
• **Hukuki İşlem Bilgisi:** Hukuki alacak ve hakların tespiti, takibi ve yasal yükümlülükler kapsamında işlenen kişisel veriler.
• **Pazarlama Bilgisi:** Ürün ve hizmetlerin kişisel veri sahibinin kullanım alışkanlıkları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen veriler.
• **Risk Yönetimi Bilgisi:** Şirketin ticari itibarını korumak maksatlı toplanan bilgiler (örneğin sosyal medya/şikayet platformlarından gelen bilgiler).

Kişisel veriler, **Kapgelsinn** tarafından ilgili mevzuatta öngörülen süreler boyunca ve hukuki yükümlülükleri doğrultusunda saklanmaktadır. Mevzuatta bir süre düzenlenmemişse, kişisel veriler **Kapgelsinn**’in o veriyi işlerken yürüttüğü faaliyet ile bağlantılı olarak işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

İşlenme amacı sona ermiş kişisel veriler, yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya ilgili hakkın ileri sürülebilmesi/savunmanın tesis edilmesi amacıyla saklanabilmektedir. **Kapgelsinn** kişisel verilerin saklanma sürelerini belirlerken ilgili mevzuatta öngörülen zamanaşımı sürelerini esas almaktadır.

Türk Ceza Kanunu’nun 138. maddesinde ve Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde **Kapgelsinn**’in kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

**Kapgelsinn** bünyesinde işbu Politika'nın ve ilgili süreçlerin yönetilmesi, Kanun’a uyumluluk sürecinin takibi ve sürekliliğinin sağlanması amacıyla şirket içerisinde bir Kişisel Verilerin Korunması Komitesi (“Komite”) kurulmuştur. Bu Komite’nin görevleri:

• Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları oluşturmak, güncellemek ve yürürlüğe koymak.
• Kanun ve ilgili mevzuata uyumun sağlanması ile kişisel verilerin korunması ve işlenmesi ile ilgili gelişmeleri takip ederek gerekli aksiyonların alınmasını sağlamak.
• Kişisel veri sahiplerinin başvurularını değerlendirmek ve hukuka uygun bir şekilde çözüme ulaştırmak.
• **Kapgelsinn**’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını sağlamak.
• KVK Kurulu ve Kurumu ile olan ilişkileri yürütmektir.