1500 TL ÜZERİ ÜCRETSİZ KARGO
1500 TL ÜZERİ ÜCRETSİZ KARGO
  • 0

GİZLİLİK POLİTİKASI

1. Amaç ve Kapsam

İşbu Gizlilik Politikası, Ayana markası altında faaliyet gösteren ve Esma Baysoy Çolak tarafından işletilen https://ayana.com.tr/ internet sitesini ziyaret eden, internet sitesi üzerinden üyelik oluşturan, ürün veya hizmet satın alan, iletişim formlarını kullanan yahut sair surette site ile etkileşim kuran gerçek kişilere ait kişisel verilerin işlenmesine, korunmasına, saklanmasına ve aktarılmasına ilişkin esasların açıklanması amacıyla hazırlanmıştır.

Ayana, kişisel verilerin işlenmesi süreçlerinde; hukuka ve dürüstlük kurallarına uygun hareket etmeyi, kişisel verileri doğru ve gerektiğinde güncel tutmayı, verileri belirli, açık ve meşru amaçlarla işlemeyi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü davranmayı ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmeyi esas almaktadır. Bu yaklaşım, KVKK’nın genel ilkeleriyle uyumludur.

İşbu Politika, açık rıza gerektiren veri işleme faaliyetlerinde açık rıza metninin yerine geçmemekte olup, açık rızaya tabi süreçlerde ayrıca ilgili kişiden usulüne uygun şekilde rıza alınmaktadır. Açık rıza, Kurum uygulamalarında belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan irade beyanı olarak ele alınmaktadır.

 

2. Veri Sorumlusunun Kimliği

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel verileriniz, veri sorumlusu sıfatıyla aşağıda bilgileri yer alan kişi tarafından işlenmektedir:

Ad Soyad / Unvan: Esma Baysoy Çolak
Adres: Umurbey Mah. Şehitler Cad. No:10 C Konak / İzmir
E-posta: [email protected]

Veri sorumlusu sıfatı, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleme yetki ve sorumluluğunu ifade etmektedir. KVKK uygulamasında veri sorumlusunun kim olduğunun ilgili kişiye açık biçimde bildirilmesi temel yükümlülüklerden biridir. (KVKK)

 

3. İşlenen Kişisel Veriler

Ayana tarafından, internet sitesi üzerinden sunulan hizmetin niteliğine göre aşağıdaki kişisel veri kategorileri işlenebilmektedir:

Kimlik ve iletişim verileri: ad, soyad, telefon numarası, e-posta adresi, teslimat adresi, fatura adresi ve kullanıcı tarafından bildirilen diğer iletişim bilgileri.

Müşteri işlem ve sipariş verileri: sipariş bilgileri, ürün ve sepet içerikleri, ödeme işlemine ilişkin kayıtlar, teslimat bilgileri, iade ve değişim süreçlerine ilişkin kayıtlar, müşteri talep ve şikâyet bilgileri.

Finansal işlem verileri: ödeme kuruluşları tarafından üretilen ödeme işlem kayıtları, tahsilat bilgileri, muhasebe ve faturalandırma verileri. Kredi kartı ve banka kartı verilerinin tamamı Ayana sistemlerinde saklanmamakta; ödeme işlemleri yetkili/lisanslı ödeme kuruluşları üzerinden yürütülmektedir.

İşlem güvenliği ve teknik veriler: IP adresi, log kayıtları, cihaz bilgileri, tarayıcı bilgileri, site erişim tarih ve saat bilgileri, oturum verileri, hata ve güvenlik kayıtları.

Pazarlama verileri: açık rıza verilmesi hâlinde reklam, kampanya, yeniden hedefleme, ölçümleme ve kullanıcı davranış analizi kapsamında elde edilen veriler.

Çerez ve benzeri izleme teknolojilerine ilişkin veriler: internet sitesi kullanım tercihlerine, oturum yönetimine, performans ölçümüne ve reklam teknolojilerine ilişkin teknik veriler.

Kişisel veri kavramı, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsamakta olup; IP adresi, çevrim içi tanımlayıcılar ve cihaz verileri de somut olaya göre kişisel veri niteliği taşıyabilmektedir.

 

4. Kişisel Verilerin Elde Edilme Yöntemleri

Kişisel verileriniz aşağıdaki kanallar vasıtasıyla elde edilebilmektedir:

  • internet sitesi üyelik ve sipariş formları,
  • ödeme ve faturalandırma süreçleri,
  • iletişim formları ve müşteri destek kanalları,
  • e-posta yazışmaları,
  • kargo ve teslimat süreçleri,
  • çerezler, piksel teknolojileri ve benzeri dijital takip araçları,
  • bilgi güvenliği sistemleri, sunucu kayıtları ve log mekanizmaları.

Bu veriler tamamen veya kısmen otomatik yollarla yahut veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle işlenebilmektedir. Kanun’un kapsamı bakımından bu ayrım önem taşımaktadır.

 

5. Kişisel Verilerin İşlenme Amaçları

Kişisel verileriniz, faaliyet konusu ve hizmet süreçleriyle sınırlı olmak üzere aşağıdaki amaçlarla işlenebilmektedir:

  • internet sitesi üzerinden sunulan ürün ve hizmetlerin sağlanması,
  • siparişin alınması, doğrulanması, hazırlanması, sevki ve teslim edilmesi,
  • ödeme süreçlerinin yürütülmesi,
  • faturalandırma, muhasebe ve finans süreçlerinin yerine getirilmesi,
  • müşteri ilişkileri yönetimi ile talep, öneri ve şikâyetlerin değerlendirilmesi,
  • satış sonrası destek, iade ve değişim süreçlerinin yürütülmesi,
  • bilgi güvenliği süreçlerinin işletilmesi,
  • dolandırıcılık, kötüye kullanım ve yetkisiz erişim risklerinin önlenmesi,
  • hukuki yükümlülüklerin yerine getirilmesi,
  • mevzuattan kaynaklanan saklama, raporlama ve ispat yükümlülüklerinin yerine getirilmesi,
  • olası uyuşmazlıklarda hakların tesisi, kullanılması ve korunması,
  • internet sitesinin performansının geliştirilmesi ve kullanıcı deneyiminin iyileştirilmesi,
  • açık rıza verilmesi hâlinde ticari elektronik ileti gönderimi, reklam, kampanya ve pazarlama faaliyetlerinin yürütülmesi.

Bu amaçlar, veri işleme faaliyetinin belirli, açık ve meşru bir zeminde yürütülmesi gerekliliğiyle uyumludur.

 

6. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri

Kişisel verileriniz, somut işleme faaliyetine göre aşağıdaki hukuki sebeplere dayanılarak işlenebilmektedir:

  • KVKK m.5/2-c uyarınca bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
  • KVKK m.5/2-ç uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • KVKK m.5/2-e uyarınca bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • KVKK m.5/2-f uyarınca veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
  • açık rıza gerektiren pazarlama, reklam, hedefleme ve bazı analitik çerez süreçlerinde KVKK m.5/1 uyarınca açık rıza.

Özellikle çerezler, reklam teknolojileri ve yeniden hedefleme araçları bakımından Kurum’un Çerez Uygulamaları Hakkında Rehber’inde yer alan ayrımın gözetilmesi; zorunlu olmayan çerezler için açık rızanın önceden, özgür iradeyle ve bilgilendirmeye dayalı şekilde alınması önem arz etmektedir.

 

7. Çerezler ve Benzeri Teknolojiler

Ayana.com.tr üzerinde, internet sitesinin çalışması için gerekli teknik çerezler ile kullanıcı tercihleri, performans analizi, reklam ölçümü ve pazarlama faaliyetleri bakımından farklı nitelikte çerezler kullanılabilmektedir.

Bu kapsamda kullanılan çerezler genel olarak:

  • zorunlu çerezler,
  • fonksiyonel çerezler,
  • performans ve analitik çerezler,
  • reklam ve pazarlama çerezleri

şeklinde sınıflandırılmaktadır.

Zorunlu çerezler, internet sitesinin güvenli ve düzgün şekilde çalışması bakımından gerekli olup, bunlar dışında kalan çerezler bakımından ilgili mevzuat ve Kurum rehberleri doğrultusunda açık rıza mekanizması işletilmektedir. Çerez uygulamalarında kullanıcıya gerçek ve etkin bir tercih imkânı sunulması, “kabul et” kadar “reddet” veya tercih yönetimi seçeneğinin de erişilebilir olması gerekir.

Ayana.com.tr üzerinde Google, Google Analytics, Google Ads, Meta/Facebook-Instagram reklam teknolojileri, Cloudflare veya benzeri üçüncü taraf servis sağlayıcıların araçları kullanılabilirse, bu araçlar vasıtasıyla çevrim içi tanımlayıcılar ve kullanım verileri işlenebilecektir. Bu süreçler, ilgili çerez politikası ve çerez tercih paneli ile birlikte değerlendirilmelidir. Çerezler bakımından güncel envanterin panel üzerinden gösterilmesi Kurum rehberinde önerilen şeffaflık yaklaşımıyla uyumludur.

 

8. Ödeme Güvenliği

İnternet sitesi üzerinden gerçekleştirilen ödeme işlemleri, ilgili mevzuat uyarınca yetkilendirilmiş ödeme kuruluşları veya elektronik ödeme altyapısı sağlayıcıları aracılığıyla yürütülmektedir.

Kredi kartı ve banka kartı bilgilerinin tamamı Ayana sistemlerinde saklanmamakta, kaydedilmemekte veya görüntülenmemektedir. Ödeme işlemlerinin güvenliği, ilgili ödeme kuruluşunun kendi mevzuatsal ve teknik güvenlik yükümlülükleri çerçevesinde sağlanmaktadır.

Bununla birlikte, ödeme sürecine ilişkin işlem kaydı, ödeme durumu, sipariş eşleştirme bilgileri ve finansal teyit verileri; sözleşmenin ifası, muhasebe süreçlerinin yürütülmesi ve hukuki yükümlülüklerin yerine getirilmesi amaçlarıyla işlenebilmektedir.

 

9. Kişisel Verilerin Aktarılması

Kişisel verileriniz, yalnızca işleme amaçlarıyla sınırlı, ölçülü ve gerekli olduğu kadar olmak üzere, KVKK’nın 8. maddesi kapsamında yurt içinde aşağıdaki alıcı gruplarına aktarılabilmektedir:

  • kargo ve lojistik hizmet sağlayıcıları,
  • ödeme kuruluşları ve finansal hizmet sağlayıcılar,
  • muhasebe, mali müşavirlik ve e-fatura/e-arşiv hizmet sağlayıcıları,
  • barındırma, altyapı, yazılım, bakım, destek ve bilgi teknolojileri hizmet sunucuları,
  • hukuk danışmanları,
  • yetkili kamu kurum ve kuruluşları,
  • adli ve idari merciler.

Aktarım süreçlerinde, alıcı grubunun niteliğine göre uygun sözleşmesel, teknik ve idari tedbirler alınması esastır. Veri sorumlusunun veri güvenliğine ilişkin teknik ve idari tedbir alma yükümlülüğü Kanun’da açıkça düzenlenmiştir.

 

10. Yurt Dışına Veri Aktarımı

İnternet sitesi altyapısı, barındırma hizmetleri, güvenlik servisleri, analitik çözümler, reklam teknolojileri ve bulut tabanlı hizmetlerin kullanılması hâlinde kişisel verilerinizin bir kısmı yurt dışında bulunan hizmet sağlayıcılara veya yurt dışındaki sunuculara aktarılabilmektedir.

Bu aktarım süreçleri, KVKK’nın 9. maddesi kapsamında değerlendirilmekte olup; yeterlilik kararı bulunması, uygun güvencelerin sağlanması, standart sözleşme, bağlayıcı şirket kuralları veya Kanun’da öngörülen diğer aktarım mekanizmalarından uygun olanına dayanılarak yürütülmelidir. Kişisel Verileri Koruma Kurumu, 2024 tarihli Kurul kararı ile standart sözleşme metinlerini ve bağlayıcı şirket kurallarına ilişkin yardımcı dokümanları yayımlamış; ayrıca 2 Ocak 2025 tarihinde Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’ni duyurmuştur. Bu nedenle “yeterli korumanın bulunduğu ülkelerle sınırlıdır” şeklindeki genel ifade tek başına yeterli değildir; fiilî aktarım modeline uygun hukuki mekanizma ayrıca tesis edilmelidir.

Bu sebeple, Ayana bakımından fiilen Meta, Google, AWS, Cloudflare, ikas veya sair yurt dışı bağlantılı servisler kullanılıyorsa, buna ilişkin aktarım zemininin ayrıca kurgulanması; gerekli hâllerde standart sözleşme süreci, aydınlatma metinleri ve açık rıza/tercih yönetimi akışlarının birlikte ele alınması gerekir. Bu husus metin bakımından değil, operasyonel uyum bakımından da kritik niteliktedir. Bu değerlendirme, Kurum rehber ve duyuruları ışığında yapılan hukuki çıkarımdır.

 

11. Kişisel Verilerin Saklanması ve İmhası

Kişisel veriler, ilgili mevzuatta öngörülen saklama süreleri boyunca veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Saklama süresinin sona ermesi, işleme amacının ortadan kalkması yahut ilgili kişinin usulüne uygun silme talebinin kabul edilmesi hâlinde veriler; KVKK, ikincil düzenlemeler ve veri saklama-imha süreçlerine uygun şekilde silinmekte, yok edilmekte veya anonim hâle getirilmektedir.

Saklama süresi belirlenirken özellikle vergi, ticaret, tüketici hukuku, elektronik ticaret, muhasebe ve ispat yükümlülüklerine ilişkin mevzuat dikkate alınır. Bu nedenle her veri kategorisi için tek ve aynı sürenin öngörülmesi uygulamada doğru değildir; veri işleme amacı ve hukuki yükümlülük bazında ayrı değerlendirme yapılmalıdır.

 

12. Veri Güvenliğine İlişkin Tedbirler

Ayana, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla işin niteliğine uygun teknik ve idari tedbirleri almaya gayret etmektedir.

Bu kapsamda örnek olarak:

  • SSL ve benzeri şifreleme teknolojilerinin kullanılması,
  • erişim yetkilendirmesi,
  • kullanıcı hesaplarının korunması,
  • loglama ve sistem güvenliği tedbirleri,
  • güncel yazılım ve güvenlik kontrolleri,
  • üçüncü taraf hizmet sağlayıcılarıyla veri güvenliği yükümlülüklerinin sözleşmesel zemine bağlanması,
  • veri minimizasyonu ve yetki matrisi uygulamaları

gündeme gelebilmektedir.

Bununla birlikte, internet ortamında gerçekleştirilen veri iletimlerinin mutlak surette risksiz olduğu taahhüt edilemez. Bu ifade, veri sorumlusunun güvenlik yükümlülüğünü ortadan kaldırmaz; yalnızca dijital ortamın doğasından kaynaklanan mutlak güvenlik garantisinin teknik olarak mümkün olmadığını ortaya koyar. Kanun uyarınca veri sorumlusu uygun güvenlik düzeyini temine yönelik gerekli teknik ve idari tedbirleri almakla yükümlüdür.

 

13. Üçüncü Taraf Bağlantılar

İnternet sitesinde üçüncü taraf internet sitelerine, uygulamalara veya platformlara yönlendiren bağlantılar bulunabilir. Bu durumda, söz konusu üçüncü taraflara ait mecralarda gerçekleştirilen veri işleme faaliyetleri bakımından ilgili platformun kendi politika ve koşulları geçerli olacaktır.

Ayana, kendi internet sitesi dışındaki mecraların veri işleme uygulamaları üzerinde doğrudan kontrol sahibi değildir. Bu nedenle kullanıcıların yönlendirildikleri üçüncü taraf sitelerin gizlilik ve veri koruma politikalarını ayrıca incelemeleri tavsiye olunur.

 

14. Çocuklara İlişkin Veriler

İnternet sitesi ve sunulan ürün/hizmetler, kural olarak çocuklara özgülenmiş bir dijital hizmet modeli üzerine kurulu değildir. Ayana, 18 yaşından küçüklere ait kişisel verileri bilerek ve özellikle hedefleyerek toplamamayı esas almaktadır.

Bununla birlikte, ebeveyn veya yasal temsilci bilgisiyle bağlantılı teslimat, sipariş veya müşteri ilişkisi verileri dolaylı olarak sisteme yansıyabilir. Çocuklara ait verilerin sehven işlendiğinin anlaşılması hâlinde somut olayın niteliğine göre gerekli değerlendirme yapılarak uygun aksiyon alınacaktır.

Burada “bilerek veri toplamaz” ifadesi tek başına yeterli bir güvence değildir; fiilî süreçlerde çocuklara yönelik özel kampanya, profil çıkarma veya doğrudan pazarlama yapılmaması ayrıca önem taşır. Bu ifade uygulamaya dönük hukuki bir uyarı niteliğindedir.

 

15. İlgili Kişinin Hakları

KVKK’nın 11. maddesi uyarınca ilgili kişiler;

kişisel verilerinin işlenip işlenmediğini öğrenme,
işlenmişse buna ilişkin bilgi talep etme,
işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
Kanun’da öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme,
bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz etme,
kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir. Bu haklar Kanun’un 11. maddesinde açıkça düzenlenmiştir

 

16. Başvuru Usulü

İlgili kişiler, KVKK kapsamındaki haklarına ilişkin taleplerini veri sorumlusuna yazılı olarak veya Kurul tarafından belirlenen diğer yöntemlerle iletebilirler. Başvurunun, talep sahibinin kimliğini tevsik edecek bilgi ve belgeleri içermesi; talebin açık, anlaşılır ve belirli olması gerekir.

Başvurular aşağıdaki iletişim kanalı üzerinden iletilebilir:

E-posta: [email protected]
Adres: Umurbey Mah. Şehitler Cad. No:10 C Konak / İzmir

Başvurular, KVKK’nın 13. maddesi uyarınca niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırılır. Başvuru usulü ve süresi Kanun’da açıkça düzenlenmiştir.

Başkası adına başvuru yapılması hâlinde, bu yetkinin usulüne uygun biçimde belgelendirilmiş olması gerekir. Veri güvenliği ve başvuru sahibinin doğrulanması amacıyla ek bilgi ve belge talep edilmesi mümkündür.

 

17. Şikâyet Hakkı

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya başvuruya süresinde cevap verilmemesi hâlinde ilgili kişinin Kişisel Verileri Koruma Kurulu’na şikâyet hakkı saklıdır. Bu hak, Kanun’da öngörülen başvuru ve şikâyet sisteminin bir parçasıdır.

 

18. Politika Değişiklikleri ve Yürürlük

Ayana, işbu Gizlilik Politikası’nı; mevzuat değişiklikleri, Kurul kararları, teknik altyapı güncellemeleri, hizmet süreçlerindeki değişiklikler veya veri işleme faaliyetlerinin yeniden yapılandırılması gibi nedenlerle güncelleme hakkını saklı tutar.

Güncellenen politika, internet sitesinde yayımlandığı tarihten itibaren yürürlüğe girer. Kullanıcıların güncel metni belirli aralıklarla gözden geçirmesi tavsiye edilir.