KVKK Md. 10 ve GDPR Md. 13 kapsamında Veri Sahibi Bilgilendirmesi
Versiyon 1.0 | Haziran 2025
1. VERİ SORUMLUSU
İşbu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 10. maddesi ve Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 13. maddesi uyarınca, veri sorumlusu sıfatıyla GXLOCAL TEKNOLOJİ VE DIŞ TİCARET A.Ş. tarafından hazırlanmıştır.
| Ticaret Unvanı | GXLOCAL TEKNOLOJİ VE DIŞ TİCARET A.Ş. |
| Adres | Barbaros Mah. Begonya Sk. Alive Tower 7/14 Ataşehir/İstanbul |
| MERSİS No | 0411114263900001 |
| Veri Koruma İletişim | [email protected] |
| Web Sitesi | https://www.gxlocal.com |
2. İŞLENEN KİŞİSEL VERİLER, AMAÇLARI VE HUKUKİ SEBEPLER
| Veri Kategorisi | Veri Türleri | İşleme Amacı | Hukuki Sebep |
|---|---|---|---|
| Kimlik Bilgileri | Ad, soyad, kullanıcı adı | Kimlik doğrulama, sözleşme kurulması | KVKK 5/2(c) — Sözleşme ifası |
| İletişim Bilgileri | E-posta, telefon (isteğe bağlı) | Bildirimler, destek, şifre sıfırlama | KVKK 5/2(c) — Sözleşme ifası |
| Şirket Bilgileri | Unvan, adres, vergi no | B2B hizmet sunumu, fatura, sözleşme | KVKK 5/2(c) — Sözleşme ifası |
| Teknik Veriler | IP adresi, cihaz bilgisi, log | Güvenlik, dolandırıcılık tespiti | KVKK 5/2(f) — Meşru menfaat |
| Kullanım Verileri | Platform etkileşimleri, tıklamalar | Hizmet kalitesi ve geliştirme analizi | KVKK 5/2(f) — Meşru menfaat |
| Ödeme Bilgileri | Kart/ödeme referans no (ücretli pkt.) | Ödeme işlemi ve muhasebe | KVKK 5/2(a) — Kanuni yükümlülük |
| Pazarlama Verisi | E-posta açılma, tıklama istatistikleri | Kişiselleştirilmiş ticari ileti | KVKK 5/1 — Açık rıza |
3. VERİ SAKLAMA SÜRELERİ
| Veri Kategorisi | Saklama Süresi | Hukuki Dayanak |
|---|---|---|
| Üyelik ve sözleşme verileri | Üyelik süresi + 10 yıl | Türk Ticaret Kanunu |
| E-posta iletişim onay kayıtları | İlk iletiden itibaren 3 yıl | 6563 sayılı Kanun |
| Log ve erişim kayıtları | 2 yıl | 5651 sayılı Kanun |
| Ödeme ve fatura kayıtları | 10 yıl | Vergi Usul Kanunu |
| Pazarlama tercihleri | Rıza geri alınana kadar veya 3 yıl | 6563 sayılı Kanun |
4. KİŞİSEL VERİLERİN AKTARILMASI
4.1 Yurt İçi Aktarım
Kişisel verileriniz; hizmetin ifası için zorunlu olan teknik altyapı sağlayıcıları, ödeme işlemcileri ve yasal zorunluluklar kapsamında yetkili kamu kuruluşları ile mahkemelerle paylaşılabilir. Tüm yurt içi aktarımlar KVKK Md. 8 çerçevesinde gerçekleştirilir.
4.2 Yurt Dışı Aktarım
Bulut altyapısı (sunucu barındırma), e-posta gönderim hizmetleri ve analitik araçlar kapsamında verileriniz yurt dışına aktarılabilir. Aktarımlar; KVKK Md. 9 uyarınca yeterli koruma düzeyine sahip ülkelere veya standart sözleşme hükümlerine (GDPR Md. 46) dayalı güvenceler çerçevesinde gerçekleştirilir. Aktarım yapılan ülkeler ve güvence mekanizmaları talep halinde [email protected] adresinden öğrenilebilir.
4.3 Üçüncü Taraf Sözleşmeleri
Kişisel veri aktarımı yapılan tüm üçüncü taraflarla KVKK Md. 12 ve GDPR Md. 28 kapsamında Veri İşleme Sözleşmesi (DPA) imzalanmaktadır.
5. VERİ GÜVENLİĞİ
Gxlocal, kişisel verilerinizin güvenliğini sağlamak amacıyla aşağıdaki teknik ve idari tedbirleri uygulamaktadır:
- Veri iletiminde SSL/TLS şifreleme
- Erişim kontrolü ve yetki yönetimi (least privilege prensibi)
- Düzenli güvenlik açığı taramaları ve penetrasyon testleri
- Çalışanlar için kişisel veri koruma eğitimi
- Veri ihlali müdahale planı
Bir veri ihlali tespit edilmesi halinde, KVKK Md. 12/5 uyarınca Kişisel Verileri Koruma Kurulu’na 72 saat içinde, GDPR Md. 33 uyarınca ilgili AB otoritesine ve etkilenen kişilere gecikmeksizin bildirim yapılır.
6. VERİ SAHİBİ HAKLARI
KVKK Md. 11 ve GDPR Md. 15–22 kapsamında aşağıdaki haklara sahipsiniz:
| Hak | Kapsam | KVKK / GDPR |
|---|---|---|
| Bilgi alma hakkı | Verilerinizin işlenip işlenmediğini öğrenme | KVKK 11/a — GDPR 15 |
| Erişim hakkı | İşlenen veriler ve kategoriler hakkında bilgi | KVKK 11/b — GDPR 15 |
| Düzeltme hakkı | Yanlış veya eksik verilerin düzeltilmesi | KVKK 11/d — GDPR 16 |
| Silme hakkı | Koşulların sağlanmasında verilerin silinmesi | KVKK 11/e — GDPR 17 |
| İşlemeyi kısıtlama | Belirli işleme faaliyetlerinin durdurulması | GDPR 18 |
| Taşınabilirlik hakkı | Verilerinizi yapılandırılmış formatta alma | GDPR 20 |
| İtiraz hakkı | Meşru menfaat veya otomatik karar almaya itiraz | KVKK 11/g — GDPR 21 |
| Tazminat hakkı | Kanuna aykırı işlemeden doğan zarar talebi | KVKK 11/h — GDPR 82 |
Başvuru Yöntemi
Haklarınızı kullanmak için [email protected] adresine kimliğinizi doğrulayan bilgilerle yazılı başvuru yapabilirsiniz. Başvurular 30 gün (uzatma gerekirse 60 gün) içinde yanıtlanır. Yanıt ücretsizdir; ancak talep açıkça asılsız veya orantısız ise makul bir işlem ücreti talep edilebilir.
Başvurunun yanıtlanmaması veya yanıtı yetersiz bulmanız halinde Kişisel Verileri Koruma Kurumu’na (www.kvkk.gov.tr) şikayette bulunabilirsiniz. AB’de yerleşik iseniz yerel veri koruma otoritenize başvurabilirsiniz.
7. ÇEREZLER VE TAKİP TEKNOLOJİLERİ
| Çerez Türü | Amaç | Saklama Süresi | Devre Dışı Bırakılabilir mi? |
|---|---|---|---|
| Zorunlu Çerezler | Oturum yönetimi, kimlik doğrulama | Oturum süresi | Hayır |
| Fonksiyonel Çerezler | Dil ve tercih kaydetme | 1 yıl | Evet |
| Analitik Çerezler | Kullanım istatistikleri (Google Analytics) | 2 yıl | Evet |
| Pazarlama Çerezleri | Hedefli reklamcılık | 2 yıl | Evet |
Çerez tercihleri gxlocal.com’daki Çerez Politikası sayfasından ve tarayıcı ayarlarından yönetilebilir. Pazarlama ve davranışsal analitik amaçlı işleme bu çerez tercihleri üzerinden yönetilir.
8. AYDINLATMA METNİ GÜNCELLEMELERİ
Bu metin güncellenebildiğinde yeni versiyon Platform üzerinde yayımlanır ve kayıtlı e-posta adresine bildirim gönderilir. Önemli değişiklikler için yeni bir açık rıza alınır.
AÇIK RIZA — TİCARİ ELEKTRONİK İLETİ (revize edildi)
Aşağıdaki onay, KVKK ve GDPR kapsamında açık rızanızı gerektirir ve kayıt sırasında ayrı ve opsiyonel bir kutucuk aracılığıyla alınır; verilmemesi Platform’a erişiminizi etkilemez.
☐ Ticari Elektronik İleti: GXLOCAL TEKNOLOJİ VE DIŞ TİCARET A.Ş. tarafından e-posta, SMS ve anlık bildirim kanallarıyla ürün güncellemeleri, kampanyalar ve eğitim içerikleri gönderilmesine onay veriyorum. Bu onayı istediğim zaman geri alabilirim.
Pazarlama ve davranışsal analitik amaçlı işleme kayıt formunda değil, çerez tercihleriniz üzerinden (bkz. Bölüm 7) yönetilir.
Önemli notlar:
- Bu onayı vermemeniz Platform’a erişiminizi engellemez.
- Verdiğiniz onayı istediğiniz zaman
[email protected]adresine bildirerek geri alabilirsiniz. - Rıza geri alımı, geri almadan önceki işlemlerin hukuka aykırı sayılmasına yol açmaz.