KVKK Bilgilendirme Metni

Yürürlük Tarihi: [GG.AA.YYYY]
Veri Sorumlusu: [Firma Adı] – [MERSİS/KDV No.]
Adres: [Tam Adres] • E-posta: [kvkk@…] • Telefon: [+90 …]
KVKK İrtibat Kişisi/Görevlisi: [Adı Soyadı] – [e-posta]

1) Amaç ve Kapsam

Bu Gizlilik Bildirimi , 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 10. maddesi ve ikincil mevzuatı uyarınca hazırlanmıştır. [Şirket]' in e-ticaret (parfüm/kozmetik satışı), müşteri ilişkileri, pazarlama ve satış sonrası hizmetlerle bağlantılı olarak kişisel verileri nasıl işlediğini açıklamaktadır.

2) Kişisel Veri Kategorileri

  • Kimlik: Ad-soyad, (isteğe bağlı) TC Kimlik No, (isteğe bağlı) Doğum tarihi

  • İletişim: e-posta, cep telefonu, fatura/teslimat adresi, şehir/ilçe

  • Müşteri İşlemi / Sipariş: sepet/sipariş detayları, faturalar/irsaliyeler, iadeler/değişimler, talepler/şikayetler

  • Finans/Ödeme: ödeme tutarı, işlem/fiş referansı ( kart bilgileri PSP tarafından işlenir ve Şirket tarafından saklanmaz )

  • Pazarlama: Açık rıza ile tercihler ve profilleme, kampanya katılımı, numune/hediye seçimleri

  • Çevrimiçi Tanımlayıcılar: IP, cihaz/tarayıcı verileri, çerezler/SDK'lar, oturum kimlikleri, günlükler

  • Ses/Görüntü (varsa): çağrı merkezi kayıtları; fiziksel tesislerdeki CCTV görüntüleri (varsa)

  • Özel Kategoriler: Yalnızca gerekli ve yasal olduğu durumlarda, örneğin açık rıza ve güçlendirilmiş güvenlik önlemleriyle sağlık/alerji bilgileri .
    * Kesinlikle gerekli olmadıkça TC Kimlik/Doğum Belgesi almayınız.

3) İşleme Amaçları (KVKK Md. 5–6)

  • Sözleşme performansı: sipariş alımı, hazırlık, gönderim, iade/değişim, garanti, destek

  • Yasal yükümlülükler: faturalandırma, muhasebe ve saklama, yetkililere yanıtlar

  • Meşru çıkarlar: dolandırıcılık/kötüye kullanımın önlenmesi, BT/güvenlik kaydı, hizmet kalitesi ve iyileştirme, müşteri memnuniyeti ölçümü

  • Açık rıza (gerektiğinde): ticari elektronik mesajlar (SMS/e-posta), kişiselleştirilmiş pazarlama/yeniden hedefleme, analiz/reklam çerezleri

  • Özel kategoriler (varsa): Alerji/sağlık verilerinin kesinlikle açık rıza ve zorunluluk ile işlenmesi

4) İşleme ve Aktarımın Yasal Dayanakları

İşleme, KVKK m. 5/2(a) kanunda açıkça öngörülmesi , (c) sözleşme , (ç) hukuki yükümlülük , (e) ilgili kişinin kendisi tarafından alenileştirilmiş olması , (f) meşru menfaat ve gerektiğinde m. 5/1’in açık rızasına dayanmaktadır.
Özel kategoriler, 6. madde ve Kurul kararlarına göre belirlenir.

5) Toplama Yöntemleri

  • Dijital: web sitesi/mobil site, ödeme, canlı sohbet/çağrı merkezi, e-posta/SMS, sosyal mesajlaşma

  • Fiziksel: iade paketleri, faturalar/sevk irsaliyeleri, mağaza/operasyonlar (varsa)

  • Teknik: çerezler/SDK'lar, günlükler, güvenlik sistemleri

6) Alıcılar ve Transfer Amaçları

  • Hizmet sağlayıcılar/işlemciler: barındırma ve bulut, bakım, ödeme hizmeti sağlayıcısı (PCI-DSS/3D Secure) , kargo/lojistik , çağrı merkezi/CRM, e-posta/SMS ağ geçitleri, IYS entegratörü, analitik/reklam platformları

  • Tedarikçiler/İş ortakları: yetkili distribütörler/tedarikçiler (orijinallik, parti/stok), muhasebeciler, hukuk danışmanları

  • Kamu otoriteleri: MASAK, Gelir İdaresi Başkanlığı, mahkemeler/icra memurları, kolluk kuvvetleri, kanunun gerektirdiği şekilde
    Sınır ötesi aktarımlar (örneğin bulut, analitik, e-posta) KVKK Madde 9 uyarınca, geçerli olduğu takdirde yeterliliğe , taahhütlere/anlaşmalara veya açık rızaya dayalı olarak gerçekleştirilir.

7) Saklama Süreleri (Maksimum)

  • Siparişler/muhasebe: 10 yıl (TTK/VUK)

  • Müşteri desteği / talepler-şikayetler: 3 yıl

  • Sözleşmeler/garanti: sözleşme süresi + zamanaşımı süresi ( 10 yıla kadar)

  • Çağrı kayıtları: 3 yıl

  • CCTV (varsa): 30–90 gün

  • Pazarlama listeleri: onayın geri çekilmesine kadar veya 3 yıla kadar (izin verildikten sonra kanıt olarak asgari düzeyde "iletişime geçilmemesi" kaydı saklanabilir)

  • Güvenlik kayıtları/IP: 2 yıl
    Sürelerin dolması ve yasal dayanakların ortadan kalkması halinde veriler, Veri Saklama ve İmha Politikası uyarınca imha edilir.

8) Haklarınız (KVKK Md. 11)

  • Verilerinizin işlenip işlenmediğini öğrenme; amaçları ve kullanımları hakkında bilgi edinme

  • Yurt içi/yurt dışı alıcıları öğrenmek

  • Eksik/yanlış olması durumunda düzeltme talebinde bulunmak

  • Sebeplerin ortadan kalkması halinde silinmesini/yok edilmesini talep etme (Madde 7)

  • Yalnızca otomatik işlemeden kaynaklanan aleyhinize sonuçlara itiraz etmek

  • Zararların tazminini talep etmek için

9) Başvuru Nasıl Yapılır (KVKK Md. 13)

Veri Sahibi Başvuru Formunu şu şekilde gönderin:

  • KEP: [Şirket KEP adresi]

  • E-posta (güvenli e-imza/taranmış imzalı form): [kvkk@…]

  • Posta: [Tam Adres – “KVKK Başvurusu”]
    30 gün içinde yanıt vereceğiz. İşlemin ek bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen ücret uygulanabilir.

10) Güvenlik Tedbirleri (KVKK Md. 12)

  • Kurumsal: erişim kontrolü ve rol matrisi, gizlilik taahhütleri, işlemci sözleşmeleri/ekleri, personel farkındalık eğitimi

  • Teknik: TLS/HTTPS, PCI-DSS uyumlu PSP , şifreleme/maskeleme, günlük kaydı, yedeklemeler, DLP, WAF, IDS/IPS, MFA, güvenlik açığı yönetimi, periyodik sızma testleri
    İhlal halinde Kurula ve ilgili kişilere gerekli bildirimler yapılır.

11) Güncellemeler

Bu Bildirimi güncelleyebilir ve en son sürümü [ https://yourdomain.com/privacy-kvkk adresinde yayınlayabiliriz ] . Son güncelleme tarihi en üstte görünür.

[ŞİRKET ADI] Veri Saklama ve İmha Politikası

Yürürlük Tarihi: [GG.AA.YYYY] • Sürüm: [v1.0]

1) Amaç ve Kapsam

KVKK ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında saklama ve imha kurallarını düzenler. Tüm fiziksel/dijital ortam ve sistemlere uygulanır.

2) Roller ve Sorumluluklar

  • Veri Denetleyicisi: [Şirket]

  • KVKK Komitesi/Görevlisi: [İsim] — envanter, (varsa) VERBIS, denetimler

  • Departman Liderleri: Saklama sürelerine uyum; periyodik imhayı tetikleme

  • BT/Güvenlik: yedeklemeler, güvenli silme/anonimleştirme, imha günlükleri

3) Envanter ve Saklama Programı

Ek-1: İşleme Envanteri veri kategorisini, amacını, yasal dayanağını, alıcılarını, saklama ve imha yöntemini listeler.

4) İmha Yöntemleri

  • Silme (dijital): erişim iptali, geri alınamaz silme komutları, dizin/işaretçi temizleme

  • İmha (fiziksel): parçalama; depolama ortamları (HDD/SSD/NVMe) için fiziksel imha/temizleme

  • Anonimleştirme: maskeleme, toplama, bozma, k-anonimlik; yeniden tanımlama risk kontrolleri

5) Periyodik İmha

Periyodik imha işlemi 6 ayda bir (yılda en az iki kez) gerçekleştirilir. Saklama süresi dolan ve artık işlenme imkânı kalmayan veriler bir sonraki döngüde imha edilir.

6) İstisnalar / Yasal Bekletmeler

Devam eden bir uyuşmazlık, resmi talep veya yasal saklama yükümlülüğü varsa imha durdurulur ve gerekçesi kaydedilir.

7) Kayıt ve Denetim

Her imha işlemi bir İmha Raporu ile belgelenir. Bu Politikanın etkinliği iç/dış denetimlerle kontrol edilir.

[ŞİRKET ADI] Çerez Politikası

Yürürlük Tarihi: [GG.AA.YYYY]

1) Çerezler Nelerdir?

Ziyaretiniz sırasında cihazınızda depolanan küçük metin dosyaları. Bunları, oturumunuzu ve alışveriş sepetinizi yönetmek, performansı iyileştirmek ve (onayınız dahilinde) analiz/yeniden hedefleme yapmak için kullanırız.

2) Kullandığımız Çerez Türleri

  • Kesinlikle Gerekli (birinci taraf): oturum yönetimi, sepet kalıcılığı, güvenlik (örneğin, session_id , __cf_bm )

  • Analiz/Performans: sayfa görüntülemeleri, gezinme, hata izleme (örneğin, Google Analytics, Hotjar)

  • İşlevsel: dil/bölge tercihleri, UX yardımcıları

  • Reklamcılık/Pazarlama: ilgi alanına dayalı reklamlar ve ölçüm (örneğin, Meta Pixel, Google Ads) — yalnızca açık izinle etkinleştirilir

3) Tercihleri ​​ve Onayları Yönetme

  • İlk ziyaretinizde Kabul Et / Reddet / Özelleştir seçenekleriyle bir Çerez Tercihleri ​​Paneli gösterilir.

  • Gerekli olmayan tüm çerezler , katılım esasına göre çalışır.

  • Tarayıcınızdaki çerezleri silebilir/engelleyebilirsiniz; sonrasında bazı özellikler düzgün çalışmayabilir.

4) Üçüncü Taraflar ve Transferler

Analitik ve reklam sağlayıcıları , sınır ötesi veri aktarımlarını içerebilir. Bu aktarımlar, KVKK Madde 9 uyarınca yeterliliğe, sözleşmesel güvencelere veya açık rızaya dayalı olarak gerçekleştirilir.

5) Saklama

  • Oturum çerezleri: tarayıcı kapatılana kadar

  • Kalıcı çerezler: 1 gün ile 24 ay arasında (çerez tablosuna bakın)

6) Kurabiye Masası (Örnek)

Kurabiye Tip Amaç Süre Sağlayıcı
_ga Analitik Ziyaretçi ölçümü 24 ay Google
_fbp Pazarlama Yeniden hedefleme 90 gün Meta
session_id Kesinlikle gerekli Oturum yönetimi Oturum [Şirket]

Tercihlerinizi istediğiniz zaman şu adresten yönetebilirsiniz: [yourdomain.com/cookie-settings] .

Ticari Elektronik İletiler ve Pazarlama Onayı (Örnek)

İletişim bilgilerime indirimler/kampanyalar/haberler hakkında promosyon iletişimleri gönderilmesini kabul ediyorum/etmiyorum . Tercihlerimi istediğim zaman IYS ve abonelikten çıkma bağlantısı aracılığıyla değiştirebilirim. Onayın geri çekilmesi durumunda, pazarlama iletişimleri derhal durdurulur .

Veri Sahibi Başvuru Formu (KVKK Md. 13)

A. Başvuru Sahibinin Ayrıntıları
Adı-Soyadı: … • TC Kimlik No (opt.): … • Telefon: … • E-posta: … • Adres: …

B. Şirketle İlişkisi: ☐ Müşteri ☐ Ziyaretçi ☐ Tedarikçi ☐ İş Başvurusunda Bulunan ☐ Diğer: …

C. Talep (birini/birkaçını işaretleyin):
☐ Verilerimin işlenip işlenmediğini öğrenin
☐ İşlemenin amaçlarını/alıcılarını öğrenin
☐ Sınır ötesi transferleri öğrenin
☐ Eksik/yanlış verilerin düzeltilmesi
☐ Madde 7 uyarınca Silme/Yok Etme
☐ Otomatik işlemenin sonuçlarına itiraz
☐ Zararların tazmini
Açıklama: …

D. Bildirim Yöntemi: ☐ E-posta ☐ Posta ☐ SAKLAMA

E. Ekler: Doğrulama için kimlik, vekaletname (varsa) vb.

F. Beyan: “Verilen bilgiler doğrudur.”
İmza/Tarih: …

Gönderim Adresleri: [KEP / e-posta / posta adresi]
Zaman Çizelgesi: Talebiniz 30 gün içinde cevaplandırılacaktır. Masraf doğması halinde Kurul tarifesine göre ücret uygulanabilir.

Ek-1: İşleme Envanteri (Örnek)

İşlem Veri Kategorisi Amaç Yasal Temel Alıcılar Tutulma Yıkım
Sipariş ve Teslimat Kimlik, İletişim, Müşteri İşlemi Sözleşme performansı KVKK 5/2-c Kargo, PSP, Muhasebe 10 yıl Yıkım
Pazarlama İletişim, Çevrimiçi Kimlikler, Tercihler Kampanyalar ve ölçüm Rıza / 5/2-f IYS, e-posta/SMS, reklam platformları Çıkışa kadar / 3 yıl Silme
Destek ve İade Kimlik, Düzen, Ses/Görsel (opt.) Taleplerin/şikayetlerin ele alınması 5/2-c-ç-f Kargo, tedarikçi, yasal 3 yıl Silme
Güvenlik/Kayıtlar IP, günlükler, cihaz Güvenlik/delil 5/2-f 2 yıl Anonimleştirme

Pratik Uygulama İpuçları

  • PSP: Ham kart verilerini asla saklamayın; işlem kimlikleri yeterlidir.

  • Onay akışları: IYS pazarlama onayı için ayrı onay kutuları; zaman damgası/kaynak kaydı.

  • Çerez başlığı: kategori tabanlı katılım (Kesinlikle Gerekli / Analitik / İşlevsel / Pazarlama).

  • Veri minimizasyonu: Yasal olarak gerekli olmadığı sürece TR Kimlik Numarası ve Doğum Tarihi bilgilerinin isteğe bağlı/varsayılan olarak kapalı olması .

  • Sınır ötesi araçlar: belge Madde 9 temeli (yeterlilik/sözleşmesel güvenceler/onay).

  • Kanıt: Envanter, onay kayıtları ve imha raporlarını tutun.