KVKK aydınlatma metni
Madde 1: Veri Sorumlusu
Onliner Elektronik Hizmetler ve Pazarlama Ticaret Anonim Şirketi ("Onliner") Adres: Kuştepe Mahallesi Mesut Cemil sokak no 2 A Şişli / İstanbul MERSIS No: 0643083709400001 letişim: info@onliner.tr
Madde 2: Aydınlatma Metninin Amacı
Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ gereğince, Onliner platformuna üye olan kullanıcılar ile üye olmaksızın platformu ziyaret eden kişilerin kişisel verilerinin işlenmesine ilişkin bilgilendirme amacıyla hazırlanmıştır.
Madde 3: Tanımlar
İlgili Kişi / Veri Sahibi: Kişisel verisi işlenen gerçek kişi (platforma üye olan kullanıcı veya üye olmaksızın platformu ziyaret eden kişi). Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. Özel Nitelikli Kişisel Veri: Irk, etnik köken, sağlık bilgileri gibi KVKK madde 6'da sayılan hassas veriler. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. Bu metin kapsamında Onliner veri sorumlusudur. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu. Kurul: Kişisel Verileri Koruma Kurulu. Kullanım Sözleşmesi: Onliner Son Kullanıcı Platform Kullanım Sözleşmesi. Salon: Platformda profil oluşturarak hizmetlerini listeleyen güzellik salonu, kuaför, berber, spa ve kişisel bakım işletmesi.
Madde 4: Kişisel Veri İşleme İlkeleri
Onliner, kişisel verileri işlerken KVKK madde 4'te belirtilen aşağıdaki ilkelere uyar: a) Hukuka ve dürüstlük kurallarına uygun olma: Veri işleme faaliyetleri mevzuata ve iyi niyet ilkelerine uygun yürütülür. Kullanıcıların makul beklentileri gözetilir, yanıltıcı veya aldatıcı yöntemlerle veri toplanmaz. b) Doğru ve gerektiğinde güncel olma: Kişisel verilerin doğru ve güncel tutulması için gerekli kanallar açık tutulur. Kullanıcı, profil bilgilerini uygulama üzerinden güncelleyebilir; hatalı verilerin düzeltilmesini talep edebilir. c) Belirli, açık ve meşru amaçlar için işlenme: Verilerin hangi amaçlarla işleneceği önceden belirlenir ve bu aydınlatma metni aracılığıyla kullanıcıya bildirilir. Belirlenen amaçlar dışında veri işlenmez. d) İşleme amaçlarıyla bağlantılı, sınırlı ve ölçülü olma: Amacın gerçekleştirilmesiyle ilgili olmayan kişisel veriler işlenmez. Toplanan veri miktarı, işleme amacının gerektirdiği ile sınırlı tutulur. e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Veriler yalnızca gerekli süre boyunca saklanır; süre sonunda Veri Saklama ve İmha Politikası'na uygun şekilde silinir, yok edilir veya anonim hale getirilir.
Madde 5: İşlenen Kişisel Veriler
5.1 Kimlik Verileri Ad, soyad, doğum tarihi, cinsiyet, profil fotoğrafı. 5.2 İletişim Verileri GSM numarası, e-posta adresi. 5.3 Konum Verileri GPS verisi (yalnızca uygulama açıkken, salon arama anında tek seferlik), manuel girilen adres/ilçe/şehir bilgisi. 5.4 İşlem Verileri Randevu geçmişi, yorum ve puanlama bilgileri. 5.5 Teknik Veriler Cihaz bilgisi (model, işletim sistemi, uygulama versiyonu), IP adresi, mobil reklam tanımlayıcıları (Apple cihazlarda IDFA, Android cihazlarda GAID). 5.6 Özel Nitelikli Kişisel Veriler Sağlık bilgisi: Yalnızca kullanıcının randevu notu alanına gönüllü olarak girdiği alerji, hamilelik, cilt hassasiyeti gibi bilgiler. Not alanı genel amaçlıdır; platform kullanıcıdan sağlık bilgisi talep etmez. Kullanıcının nota sağlık bilgisi girmesi halinde bu bilgi özel nitelikli kişisel veri olarak işlenir. Sağlık verileri platformda saklanmaz; yalnızca ilgili salona iletilir ve iletim sonrası platformda tutulmaz.
Madde 6: Kişisel Verilerin İşlenme Amaçları
Toplanan kişisel veriler aşağıdaki amaçlarla işlenir: a) Üyelik kaydının oluşturulması ve hesap yönetimi b) Randevu oluşturma, değiştirme ve iptal işlemlerinin yürütülmesi c) Kullanıcıya yakın salonların listelenmesi (konum verisi) d) Cinsiyet bazlı hizmet filtreleme ve kişiselleştirme e) Bildirim gönderimi (SMS, e-posta, push notification, uygulama içi bildirim, Telegram, WhatsApp) f) Yorum ve puanlama sisteminin işletilmesi g) Platform kullanım istatistiklerinin oluşturulması ve analiz yapılması h) Hedefli reklam ve yeniden hedefleme (retargeting) amacıyla üçüncü taraf reklam platformlarıyla veri paylaşımı i) Platform güvenliğinin sağlanması, sahte hesap ve dolandırıcılığın önlenmesi j) Yasal yükümlülüklerin yerine getirilmesi k) Sağlık bilgisinin ilgili salona iletilmesi (yalnızca kullanıcının randevu notuna gönüllü olarak girdiği bilgiler kapsamında)
Madde 7: Kişisel Verilerin İşlenme Hukuki Sebepleri
Kişisel veriler, KVKK'nın 5. ve 6. maddelerinde belirtilen aşağıdaki hukuki sebeplere dayanılarak işlenir: 7.1 Açık rıza aranmaksızın işlenen veriler (KVKK madde 5/2): a) Sözleşmenin kurulması ve ifası için gerekli olması (madde 5/2-c): Üyelik kaydı, randevu yönetimi, yorum sistemi. b) Sözleşmenin ifası için zorunlu yurt dışı aktarım (madde 5/2-c): Platformun teknik altyapısının işletilmesi ve hizmet bildirimlerinin iletilmesi için sunucu, CDN/güvenlik, push bildirim, e-posta altyapı ve harita hizmet sağlayıcılarına veri aktarımı yapılır. Bu aktarım, platform hizmetinin sunulabilmesi için zorunludur ve 7499 sayılı Kanun kapsamında standart sözleşme (SCC) akdedilerek gerçekleştirilir. c) Veri sorumlusunun hukuki yükümlülüğü (madde 5/2-ç): Yasal düzenlemelere uyum, resmi kurum talepleri. d) Bir hakkın tesisi, kullanılması veya korunması için gerekli olması (madde 5/2-e): Hukuki süreçlerde delil olarak kullanılması. e) Veri sorumlusunun meşru menfaati (madde 5/2-f): Platform güvenliği, analiz ve istatistik, sahte hesap önleme. Bu işleme, kullanıcının temel hak ve özgürlüklerine zarar vermeyecek şekilde ve denge testi uygulanarak gerçekleştirilir. 7.2 Açık rıza ile işlenen veriler: a) Konum verisi (GPS): Açık Rıza Metni kapsamında kullanıcının onayı ile. b) Ticari elektronik ileti gönderimi: Açık Rıza Metni kapsamında kullanıcının onayı ile. c) Profilleme ve kişiselleştirme: Açık Rıza Metni kapsamında kullanıcının onayı ile. d) Hedefli reklam ve yeniden hedefleme: Açık Rıza Metni kapsamında kullanıcının onayı ile. e) İsteğe bağlı yurt dışı aktarım: Analiz ve reklam hizmet sağlayıcılarına veri aktarımı, Açık Rıza Metni kapsamında kullanıcının onayı ile gerçekleştirilir. Bu rızanın verilmemesi platformun temel işlevlerini etkilemez. 7.3 Özel nitelikli kişisel veriler (KVKK madde 6): Sağlık bilgisi: Kullanıcının açık rızası ile işlenir. Randevu notu alanında sağlık bilgisi girilmesi halinde, kullanıcı bu bilginin özel nitelikli kişisel veri olarak işleneceği ve ilgili salona aktarılacağı konusunda not alanında bilgilendirilir. Sağlık verisi işlenmesine ilişkin açık rıza, Açık Rıza Metni kapsamında alınır.
Madde 8: Kişisel Verilerin Aktarılması
8.1 Yurt içi aktarım: a) Salonlar: Randevu bilgileri ve randevu notu (varsa sağlık bilgisi dahil) ilgili salona aktarılır. Kişisel veriler salona aktarıldıktan sonra salon, bu veriler bakımından bağımsız veri sorumlusu sıfatıyla hareket eder. b) SMS hizmet sağlayıcısı: SMS gönderimi amacıyla GSM numarası aktarılır. c) Yasal merciler: Kanuni zorunluluk halinde yetkili kamu kurum ve kuruluşlarına aktarılabilir. 8.2 Yurt dışı aktarım: A) Zorunlu aktarım (sözleşmenin ifası gereği): Aşağıdaki aktarımlar platformun teknik olarak işletilmesi için zorunludur. Hukuki dayanak: KVKK madde 5/2-c (sözleşmenin ifası). 7499 sayılı Kanun kapsamında hizmet sağlayıcılarla standart sözleşme (SCC) akdedilmiştir. a) Sunucu altyapısı hizmet sağlayıcısı — Platformun barındırılması ve işletilmesi. b) CDN ve güvenlik hizmet sağlayıcısı — İçerik dağıtımı ve platform güvenliği. c) Bildirim hizmet sağlayıcıları — Randevu hatırlatma (push) ve randevu onayı (e-posta) gönderimi. d) Harita hizmet sağlayıcısı — Konum tabanlı salon listeleme. B) İsteğe bağlı aktarım (açık rıza ile): Aşağıdaki aktarımlar kullanıcının açık rızasına bağlıdır. Rızanın verilmemesi platformun temel işlevlerini etkilemez. 7499 sayılı Kanun kapsamında standart sözleşme (SCC) akdedilmiş olup açık rıza ek dayanak olarak alınır. e) Analiz hizmet sağlayıcısı — Platform kullanım istatistikleri. f) Reklam hizmet sağlayıcısı — Hedefli reklam ve özel hedef kitle oluşturma. Kullanıcının e-posta adresi paylaşılmadan önce pseudonimize edilerek (takma adlandırılarak) hash yöntemiyle işlenir. Bu veri yalnızca eşleştirme amacıyla kullanılır; eşleştirme sonrası sağlayıcı sistemlerinden silinir. Pseudonimize edilmiş veri, başka verilerle eşleştirme imkanı bulunduğundan anonim veri niteliğinde değildir ve kişisel veri olarak işlenir. Hizmet sağlayıcıların güncel kategorileri, lokasyonları ve aktarım mekanizmalarına ilişkin detaylar Gizlilik Politikası'nda yer almaktadır. 8.3 Üçüncü taraf sorumluluk sınırı: Onliner, veri aktarımı sırasında hak ihlallerini önlemek için gerekli teknik ve hukuki önlemleri alır. Kişisel verileri alan üçüncü taraf hizmet sağlayıcının kendi veri koruma politikalarından kaynaklanan ve üçüncü tarafın sorumluluğundaki risk alanında meydana gelen ihlallerden Onliner sorumlu tutulamaz.
Madde 9: Kişisel Verilerin Toplanma Yöntemi
Kişisel veriler aşağıdaki yöntemlerle toplanır: a) Üyelik kayıt formu (ad, soyad, doğum tarihi, cinsiyet, GSM, e-posta) b) Profil sayfası (profil fotoğrafı) c) Cihaz üzerinden otomatik toplama (IP adresi, cihaz bilgisi, reklam kimliği, GPS verisi) d) Kullanıcının platform üzerindeki eylemleri (randevu geçmişi, yorum/puanlama, randevu notu) e) Manuel giriş (adres/ilçe/şehir bilgisi) f) İletişim kanalları (info@onliner.tr adresine gönderilen e-postalar) g) Sosyal medya hesapları üzerinden iletişim (varsa) h) Çerezler ve benzeri takip teknolojileri (detaylar Çerez Politikası'nda açıklanmıştır)
Madde 10: Kişisel Verilerin Saklanma Süresi
Kimlik ve iletişim verileri — Hesap açık olduğu sürece + hesap kapatmadan itibaren 3 yıl (6098 sayılı TBK zamanaşımı) Randevu geçmişi — Hesap açık olduğu sürece + hesap kapatmadan itibaren 3 yıl Yorum ve puanlama — Anonim hale getirilerek süresiz saklanabilir Konum verisi (GPS) — Saklanmaz, anlık kullanılır Sağlık bilgisi — Saklanmaz, ilgili salona iletildikten sonra platformda tutulmaz Profil fotoğrafı — Hesap açık olduğu sürece + hesap kapatmadan itibaren 30 gün Teknik veriler (IP, cihaz, reklam ID) — 2 yıl İşlem logları — 10 yıl (6102 sayılı TTK gereği) Ticari ileti onay/ret kayıtları — 1 yıl (6563 sayılı Kanun gereği) Ticari ileti içeriği ve gönderim kayıtları — 3 yıl (6563 sayılı Kanun gereği) Saklama süresi dolan veriler, Veri Saklama ve İmha Politikası'na uygun şekilde silinir, yok edilir veya anonim hale getirilir.
Madde 11: Veri Güvenliği
Onliner, kişisel verilere yetkisiz erişimi, veri kaybını ve hukuka aykırı işlemeyi önlemek amacıyla KVKK madde 12 kapsamında gerekli teknik ve idari tedbirleri alır. Bu tedbirler arasında erişim yetkilendirme, şifreleme, güvenlik duvarı ve düzenli güvenlik testleri yer alır. Alınan önlemlere rağmen kişisel verilerin üçüncü kişilerin eline geçmesi halinde Onliner, bu durumu en kısa sürede ilgili kullanıcıya ve Kişisel Verileri Koruma Kurulu'na bildirir ve gerekli önlemleri alır.
Madde 12: 14-17 Yaş Arası Kullanıcılar
Platform, 14 yaşından küçük bireylere yönelik değildir. 14 yaşından küçük olduğu tespit edilen kullanıcıların verileri derhal silinir. 14-17 yaş arasındaki kullanıcıların kişisel verilerinin işlenmesi, veli/vasi onayına tabidir. Kullanıcı, kayıt sırasında velisinin bilgisi ve onayı dahilinde kayıt olduğunu beyan eder. Bu beyanın doğruluğundan kullanıcı ve velisi müştereken sorumludur.
Madde 13: Veri Sahibinin Hakları
KVKK'nın 11. maddesi uyarınca kullanıcı aşağıdaki haklara sahiptir: a) Kişisel verilerinin işlenip işlenmediğini öğrenme b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme e) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme f) KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme g) (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme i) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
Madde 14: Başvuru Yöntemi
Kullanıcı, yukarıdaki haklarını kullanmak için aşağıdaki yöntemlerle Onliner'a başvurabilir: a) E-posta: info@onliner.tr adresine "KVKK Bilgi Talebi" konulu e-posta göndererek b) Yazılı başvuru: Şirket adresine kimlik teyitli dilekçe göndererek Başvuruda aşağıdaki bilgilerin bulunması zorunludur: Ad, soyad ve başvuru yazılı ise imza; T.C. kimlik numarası (yabancı uyruklu ise pasaport numarası veya varsa kimlik numarası); tebligata esas yerleşim yeri veya iş yeri adresi; varsa bildirime esas e-posta adresi, telefon ve faks numarası; talep konusu. Onliner, başvuruyu talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyet gerektirmesi halinde Kurul tarafından belirlenen tarife uygulanabilir. 10 sayfanın üzerindeki yazılı cevaplarda sayfa başına 1 TL işlem ücreti alınabilir; cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde kayıt ortamının maliyeti talep edilebilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde cevap verilmemesi halinde kullanıcı, Kişisel Verileri Koruma Kurulu'na şikayette bulunabilir.
Madde 15: Aydınlatma Metninin Güncellenmesi
Onliner, yasal düzenlemelerdeki değişiklikler veya veri işleme süreçlerindeki güncellemeler doğrultusunda bu aydınlatma metnini değiştirebilir. Güncellemeler platformda yayınlanır ve kullanıcıya bildirilir.