Mavi Pazaryeri
Kişisel Veri Politikası
Kadın Balıkçılar Derneği İktisadi İşletmesi Kişisel Verilerin Toplanma, İşlenme, Saklanma ve İmhası Politikası
(1) Amaç ve Kapsam
a) Amaç
Bu belge Kadın Balıkçılar Derneği İktisadi İşletmesi’nin (bundan sonra MAVİ PAZARYERİ olarak anılacaktır) sahibi olduğu ve işlettiği “mavipazaryeri.com” sitesindeki (bundan sonra SİTE olarak anılacaktır) işlemlerle ilgili olarak topladığı kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra KANUN olarak anılacaktır) çerçevesinde toplanması, işlenmesi, korunması ve imhası ile ilgili politikaları tanımlar.
b) Kapsam
Bu belge MAVİ PAZARYERİ’ın sadece SİTE üyeleri, e-bülten aboneleri, bağışçıları, müşterileri ve destekçileri (bundan sonra DESTEKÇİ olarak anılacaktır) ile; üreticileri, tedarikçileri üretici ve tedarikçi adaylarından (bundan sonra TEDARİKÇİ olarak anılacaktır) topladığı kişisel ve özel nitelikli kişisel verilerin toplanması, işlenmesi, korunması, imhası ile ilgili politikaları kapsar. MAVİ PAZARYERİ çalışanları ile ilgili toplanan kişisel ve özel nitelikli kişisel verilerin toplanması, işlenmesi, korunması, imhası bu belge kapsamı dışındadır.
(2) Tanımlar
a) Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı;
b) Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
c) Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili verileri ile biyometrik ve genetik verileri;
d) Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;
e) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini;
f) Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini;
g) Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini;
h) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi;
i) İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi;
j) Destekçi: SİTE’ye üye, e-bültenlere abone, bağışçı, müşteri ve/ya destekçi olan gerçek ve tüzel kişileri;
k) Bülten Abonesi: SİTE’ye üye olmayıp e-bültenlere abone olan gerçek kişileri;
l) Pazaryerleri: Trendyol, Hepsiburada, Gittigidiyor, PTT Avm, N11 vb.i pazaryerlerini;
m) Tedarikçi: SİTE’de ve Pazaryerleri’nde ürünlerinin satılması için üretim yapan ve/ya tedarik eden gerçek ve tüzel kişileri;
n) Tedarikçi Adayı: SİTE’de ve Pazaryerleri’nde ürünlerinin satılması için başvuru yapmış gerçek ve tüzel kişileri ifade eder.
(3) Toplanan Kişisel Veriler ve Bu Verilerin İşlenmesi
a) Toplanan Kişisel Veriler
i) Kişisel Veriler
MAVİ PAZARYERİ, DESTEKÇİ ve TEDARİKÇİ’lerden EK 2a’de yer alan kişisel verilerini toplayabilir.
ii) Özel Nitelikli Kişisel Veriler
MAVİ PAZARYERİ DESTEKÇİ’lerden EK 2b’de yer alan özel nitelikli kişisel verilerini toplayabilir. Bunun dışındaki hiçbir Özel Nitelikli Kişisel Veri talep etmez.
b) Kişisel Verilerin Toplanması
i) Doğrudan DESTEKÇİ ve TEDARİKÇİ’lerin verdiği veriler
MAVİ PAZARYERİ EK 2a ve EK 2b’de sayılan kişisel verilerden lokasyon ve gezinim bilgisi dışındaki verileri DESTEKÇİ ve/ya TEDARİKÇİ tarafından kayıt esnasında açık rızaları ile doğrudan sistemde belirlenen alanlara girilir.
ii) İşlemler Sırasında Toplanan Veriler
MAVİ PAZARYERİ satış, iade, abonelik tesisi, destek, ödeme, fatura düzenleme vb işlemleri yürütmek için DESTEKÇİ ve TEDARİKÇİ’ler tarafından daha önce verilmemiş olabilecek bilgiler de açık rızaları ile doğrudan sistemde belirlenen alanlara girilir.
iii) Çerezler ile Toplanan Veriler
MAVİ PAZARYERİ ayrıca DESTEKÇİ ve TEDARİKÇİ’lerinin SİTE üzerindeki gezinim bilgilerini çerezler aracılığı ile dolaylı olarak toplar. Bu gezinim bilgileri DESTEKÇİ ve TEDARİKÇİ’nin kullandığı cihaz, ziyaret ayrıntıları ve SİTE’yi kullanması hakkında bilgiler (bunlara IP adresi, coğrafi konum, kullanılan tarayıcı tipi ve sürümü, işletim sistemi, SİTE’ye ulaşılan kaynak sayfa, ziyaret uzunluğu, ziyaret edilen sayfalar, ziyaret sırasındaki gezinme sırası dâhildir) kapsar.
Bu toplama işleminde kullanılan çerezler ile ilgili ayrıntı için Gizlilik sözleşmesi’ne bakabilirsiniz.
c) Toplanan Kişisel Verilerin İşlenmesi
MAVİ PAZARYERİ topladığı kişisel verileri Gizlilik Sözleşmesi’nde belirtilen amaçlar doğrultusunda kullanır. Bunu yaparken aşağıdaki ilkeler doğrultusunda hareket eder.
i) Hukuka ve dürüstlük kurallarına uygun olma,
ii) Doğru ve gerektiğinde güncel olma,
iii) Belirli, açık ve meşru amaçlar için işlenme,
iv) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
v) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
d) Veri Sorumlusu
MAVİ PAZARYERİ bu politika belgesi kapsamındaki tüm işlem ve eylemlerde Veri Sorumlusu sıfatı ile hareket eder. Bu sorumluluk ile ilgili temsilci bilgileri EK 4’te gösterilmiştir.
(4) Kişisel Verilerin Saklanması ve Paylaşılması
a) Veri Güvenliği
MAVİ PAZARYERİ sayısal ortamda sunucularda sakladığı verilerin güvenliğini sağlamak için KANUN, ilgili diğer mevzuat ve uluslararası standartlar çerçevesinde gerekli makul tüm tedbirleri alır. Bu konudaki ayrıntılar Gizlilik Sözleşmesi’nde yer almaktadır.
b) Verilerin Aktarımı ve Paylaşılması
Kişisel Veriler ancak KANUN’un izin verdiği çerçevede üçüncü şahıslarla paylaşılır. Bunlarda ilki ve temel şart açık rızadır. Kişisel Verilerin yurtdışındaki sunucularda barındırılması da veri aktarımı olduğundan bu konuyla ilgili açık rıza aranır. Ayrıntılar için Gizlilik Sözleşmesi’nde yer almaktadır.
Açık rızanın olmaması halinde ancak aşağıdaki hallerde aktarım ve paylaşım yapılabilir.
i) Kanunlarda açıkça öngörülmesi,
ii) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
iii) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması (DESTEKÇİ’nin verdiği siparişlerde iletişim bilgilerinin TEDARİKÇİ’ye aktarılması, ödeme yapılabilmesi için TEDARİKÇİ’nin banka bilgilerinin gerekmesi gibi),
iv) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
v) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
vi) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
vii) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
(5) Kişisel Verilerin İmhası
a) Silinme ve Anonimleştirme Koşulları
Kişisel Veriler ve Özel Nitelikli Kişisel Veriler EK1’de belirtilen koşulların herhangi birisinin gerçekleşmesi halinde KANUN’da belirtilmesi istenen ve Kişisel Veri Saklama ve İmha Politikası’nda belirtilen (180 gün) süreler içerisinde imha edilir.. Bu imha işlemi kişisel verilerin paylaşıldığı ve aktarıldığı durumlarda paylaşılan ve aktarılan kişi ve kuruluşlar tarafından da uygulanması için Veri Sorumlusu tarafından gerekli hukuki ve idari tedbirler alınır.
b) Silinme ve Anonimleştirme Süreleri
Silinme ve anonimleştirme işlemleri süreleri EK1’de gösterildiği gibidir. Burada yer alan imha koşullarının oluşup oluşmadığını saptamak üzere Veri Sorumlusu tarafından 6 ayda bir veri taraması yapılır. Ancak, ilk yapılacak veri taraması ivedilikle yerine getirilir ve gerekli kişisel veriler bu politika belgesine uygun olarak imha edilir.
c) Silinme ve Anonimleştirme İşlemleri
İmha etme işleminde silinme ve anonimleştirme yöntemleri arasından Veri Sorumlusu tarafından uygun olan seçilir. Bu işlemler Veri Sorumlusu tarafından kayıt altına alınır. Bu kayıtlar Veri Sorumlusu tarafından 3 yıl saklanır.
i) Silinme İşlemleri
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olan kişisel verilerin silinmesi işlemi sayısal ortamda tutulmakta olan verilerin veri tabanık omutları ile ilişkilendirilmiş tüm tablolardan, veri tabanlarından ve alınmış veri tabanı yedeklerinden kalıcı olarak silinmesi şeklinde uygulanır. Veri Sorumlusu bu işlemin amacına uygun şekilde yapılması için gerekli tedbirleri alır.
ii) Anonimleştirme İşlemleri
Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olan kişisel verilerin anonim hale getirilmesi işlemi o kişiyi açıkça niteleyen tüm veri alanlarının silinerek, kişiye ait kayıtların sadece bir sıra numarası ile betimlenerek artık bu verilerin ilgili kişi ile ilişkilendirilemeyecek hale getirilmesi şeklinde uygulanır. Bu uygulamanın ayrıntıları EK 3’de yer almaktadır. Bir kişi ile eşleştirmede kullanılabilecek veri alanları Kritik Alan olarak saptanmış ve bunların anonimleştirilme yöntemleri belirlenmiştir. Veri Sorumlusu bu işlemin amacına uygun şekilde yapılması için gerekli tedbirleri alır.
(6) Haklar ve Yükümlülükler
a) İlgili kişinin Hakları
i) Kişisel veri işlenip işlenmediğini öğrenme,
ii) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
iii) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
iv) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
v) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini ve bu talebin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
vi) KANUN’un 7 nci maddesinde 1 öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini ve bu talebin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
vii) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
viii) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme hakkı vardır.
b) İlgili Kişinin Haklarını Kullanması
İlgili kişiler yukarıdaki haklarını iletisim@mavipazaryeri.com adresine e-posta göndererek talep edebilirler. Bu talepler Veri Sorumlusu tarafından 30 gün içinde yanıtlanır.
c) Veri Sorumlusun Aydınlatma Yükümlülüğü
i) Veri sorumlusunun ve varsa temsilcisinin kimliği,
ii) Kişisel verilerin hangi amaçla işleneceği,
iii) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
iv) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
v) 6a maddesinde de sayılan diğer hakları hakkında bilgi verme yükümlülüğü vardır.
d) Veri Sorumlusunun Veri Güvenliği Yükümlülüğü
i) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
ii) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, görevleri gereği kurum çalışanlarının edindiği bu tür bilgileri başkaları ile paylaşmalarını önlemek için çalışan ile ilişkinin kesilmesinden sonrasını da kapsayacak şekilde gerekli tedbirleri almak,
iii) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak ve denetimleri yapmak,
iv) Kişisel verilere hukuk dışı yollardan erişildiğinin saptanması halinde durumu ilgili kişi ve Kişisel Verileri Koruma Kurulu’na bildirmekle yükümlüdür.
EK2a- Toplanan Kişisel Veriler ve Toplanma, Aktarım Bilgileri
EK2b- Toplanan Özel Nitelikli Kişisel Veriler ve Toplanma Şekilleri
EK3- Toplanan Kişisel Verilerin Anonimleştirme Ayrıntıları
EK4- Veri Sorumlusu ve Veri Sorumlusu Temsilcisi
1 MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
2 MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
3 MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.