1. Genel Bilgiler ve Tanımlar
İşbu Aydınlatma Metni, Opin (“Şirket”, “biz”) tarafından, surprizsepeti.com alan adlı internet sitesi (“Site”) ve bağlı mobil uygulamalar aracılığıyla sunulan hizmetler kapsamında elde edilen kişisel verilerin işlenmesine yönelik olarak; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili ikincil mevzuat çerçevesinde veri sorumlusu sıfatıyla aydınlatma yükümlülüğümüzü yerine getirmek amacıyla düzenlenmiştir.
Tanımlar:
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- İşleme: Verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, açıklanması, aktarılması veya silinmesi gibi her türlü işlem.
- Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
- İlgili Kişi (Veri Sahibi): Kişisel verisi işlenen gerçek kişi.
2. Veri Sorumlusunun Kimliği
KVKK kapsamında veri sorumlusu sıfatına haiz olan Şirket'in iletişim bilgileri aşağıdaki gibidir:
- Unvan: Opin
- Adres: Maslak Mahallesi, Büyükdere Caddesi No: 245, Sarıyer / İstanbul
- MERSİS No: [Eklenecek]
- KEP Adresi: [Eklenecek]
- E-posta: destek@surprizsepeti.com
- Telefon: +90 850 000 00 00
3. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz, aşağıdaki amaçlarla ve KVKK m. 4'te yer alan genel ilkelere uygun olarak işlenmektedir:
- Üyelik kaydının oluşturulması, hesap güvenliğinin sağlanması ve kimlik doğrulama,
- Sipariş alma, ödemenin tahsil edilmesi ve siparişin teslimatının organize edilmesi,
- Talep, soru, şikâyet ve önerilerin değerlendirilmesi ve sonuçlandırılması,
- Sözleşme süreçlerinin yürütülmesi (mesafeli satış sözleşmesi, üyelik sözleşmesi vb.),
- Faturalama, muhasebe ve finansal raporlama süreçlerinin yürütülmesi,
- Yasal yükümlülüklerin yerine getirilmesi (vergi, e-fatura/e-arşiv, defter tutma vb.),
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
- Dolandırıcılığın önlenmesi, kötüye kullanımın tespiti, hukuki uyuşmazlıkların çözümü,
- Site ve hizmet kalitesinin iyileştirilmesi, istatistiksel ve analitik çalışmalar,
- Açık rızanız varsa kişiselleştirilmiş kampanya, indirim ve pazarlama iletişiminin yapılması,
- Çerezler aracılığıyla deneyiminizin kişiselleştirilmesi (Çerez Politikası'nda detayları belirtilen kapsamda).
4. Kişisel Verilerin Toplandığı Kaynak ve Yöntemler
Kişisel verileriniz tamamen veya kısmen otomatik ya da otomatik olmayan yöntemlerle aşağıdaki kaynaklardan toplanır:
- Site üzerinde doldurduğunuz kayıt, sipariş, iletişim ve yorum formları,
- Müşteri hizmetlerimizle yaptığınız telefon, e-posta veya canlı destek görüşmeleri,
- Çerezler, log kayıtları ve benzer takip teknolojileri,
- Hediye gönderiminde Alıcı tarafından paylaşılan üçüncü kişi (gönderilen kişi) verileri,
- Ödeme hizmeti sağlayıcısı, kargo firması gibi iş ortaklarımızdan iletilen bilgiler,
- Yetkili kamu kurum ve kuruluşlarınca yapılan bildirimler.
5. İşlenen Kişisel Veri Kategorileri
| Kategori | Veri Türleri |
|---|---|
| Kimlik | Ad, soyad, doğum tarihi (varsa). |
| İletişim | E-posta adresi, telefon numarası, teslimat ve fatura adresi. |
| Müşteri İşlem | Sipariş numarası, sipariş içeriği, teslimat tarih/saat tercihi, alıcı bilgileri, kart mesajı, talep ve şikâyet kayıtları. |
| Finansal | Ödeme aracı bilgileri (kart numarası tarafımızda saklanmaz — yalnızca PCI-DSS sertifikalı ödeme sağlayıcı tarafından işlenir), fatura kayıtları. |
| İşlem Güvenliği | IP adresi, oturum bilgileri, log kayıtları, çerez kimlikleri. |
| Pazarlama | Bülten aboneliği, alışveriş tercihleri, kampanya etkileşim bilgileri (yalnızca açık rıza varsa). |
| Hukuki İşlem | Talep, ihtar, dava ve resmî yazışmalar. |
| Üçüncü Kişi Verisi | Hediye gönderilen kişinin ad, telefon ve teslimat adresi (Alıcı tarafından sağlanır). |
6. İşlemenin Hukuki Sebepleri
Kişisel verileriniz, KVKK m. 5/2 ve m. 6/3'te belirtilen aşağıdaki hukuki sebeplerden bir veya birkaçına dayanılarak işlenmektedir:
- (a) Kanunlarda açıkça öngörülmesi,
- (c) Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması (üyelik ve mesafeli satış sözleşmeleri),
- (ç) Şirket'in hukuki yükümlülüğünü yerine getirmesi için zorunlu olması,
- (e) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- (f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket'in meşru menfaatleri için zorunlu olması,
- Açık rıza: Pazarlama iletişimi ve isteğe bağlı çerezler için açık rızanıza dayalı olarak işleme yapılır.
7. Kişisel Verilerin Aktarımı
Verileriniz, yukarıda belirtilen amaçların gerçekleştirilmesi ile sınırlı olmak üzere ve gerekli teknik ve idari tedbirler alınmak suretiyle aşağıdaki taraflara aktarılabilir:
- Ödeme hizmeti sağlayıcıları: Iyzico (Iyzi Ödeme ve Elektronik Para Hizmetleri A.Ş.) — ödemenin gerçekleştirilmesi amacıyla,
- Kargo ve teslimat firmaları: Anlaşmalı yerel çiçekçiler ve kuryeler — siparişin teslimi amacıyla,
- Bilişim altyapısı tedarikçileri: Sunucu, e-posta servisleri (örn. Resend), bulut depolama — hizmetin sürdürülmesi amacıyla,
- Analitik ve pazarlama tedarikçileri: Yalnızca açık rızanız varsa,
- Hukuk ve mali müşavirler: Hak ve menfaatlerin korunması amacıyla,
- Yetkili kamu kurum ve kuruluşları: Yasal yükümlülükler kapsamında talep edildiğinde.
8. Kişisel Verilerin Yurtdışına Aktarımı
Kullanılan bazı bulut altyapı ve e-posta hizmetlerinin sunucuları yurtdışında bulunabilir. Bu durumda verileriniz, KVKK m. 9 kapsamında açık rızanız veya Kişisel Verileri Koruma Kurulu tarafından öngörülen taahhütnameler/standart sözleşmeler çerçevesinde aktarılır.
9. Saklama Süreleri
Kişisel verileriniz, işlenme amacının gerektirdiği süre boyunca ve aşağıdaki yasal süreler dikkate alınarak saklanır:
- Üyelik ve müşteri ilişkisi verileri: hesap aktif olduğu sürece ve hesap kapanışını takip eden 10 yıl (Türk Borçlar Kanunu m. 146).
- Mali kayıtlar (fatura, defter vb.): 10 yıl (Vergi Usul Kanunu).
- Log kayıtları: 2 yıl (5651 sayılı Kanun uyarınca yer sağlayıcı yükümlülükleri).
- Pazarlama iletişim onayı: rıza geri alınıncaya kadar.
- Çerez verileri: Çerez Politikası'nda belirtilen süreler.
Saklama süresinin sonunda kişisel verileriniz silinir, yok edilir veya anonim hâle getirilir.
10. Veri Sahibi (İlgili Kişi) Hakları
KVKK m. 11 uyarınca veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- KVKK m. 7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme,
- Düzeltme, silme ve yok etme işlemlerinin üçüncü kişilere bildirilmesini isteme,
- Yalnızca otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme nedeniyle uğradığınız zararın giderilmesini talep etme.
11. Başvuru Yolları
Yukarıda sayılan haklarınızı kullanmak için, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de öngörülen şartlara uygun olarak aşağıdaki yollardan biri ile tarafımıza başvurabilirsiniz:
- Yazılı başvuru: Şirket adresine ıslak imzalı dilekçe ile,
- KEP üzerinden: [Eklenecek KEP adresi],
- E-posta: destek@surprizsepeti.com (Şirket'in sisteminde kayıtlı e-posta adresinizden gönderilmesi şartıyla).
Başvurunuzun değerlendirilebilmesi için talebinizin açık ve anlaşılır olması, kimliğinizi tespit etmemizi sağlayacak bilgilerin sunulması gerekir. Başvurular, talebin niteliğine göre en geç 30 güniçinde ücretsiz olarak sonuçlandırılır; işlemin ayrıca bir maliyet gerektirmesi hâlinde Kurul tarafından belirlenen tarifedeki ücret talep edilebilir.
12. Aydınlatma Metni'nde Yapılacak Güncellemeler
İşbu Aydınlatma Metni, mevzuat değişiklikleri ve Şirket politikası gereği güncellenebilir. Güncel sürüm her zaman Site üzerinde yayımlanır; önemli değişikliklerde Site'de ve gerektiğinde e-posta yoluyla bildirim yapılır.