Gizlilik Politikası ve Kişisel Verilerin Korunması Aydınlatma Metni

1. Giriş ve Amaç

İşbu Gizlilik Politikası ve Kişisel Verilerin Korunması Aydınlatma Metni ("Politika"), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ve ilgili ulusal ve uluslararası mevzuat kapsamında, Parkod platformu ("Platform", "Uygulama", "Biz", "Bizim") tarafından işletilen web sitesi, mobil uygulama ve ilgili tüm hizmetler aracılığıyla toplanan, işlenen ve saklanan kişisel verileriniz hakkında sizi kapsamlı bir şekilde bilgilendirmek amacıyla hazırlanmıştır.

Bu Politika, Platform'u ziyaret eden, Platform'a üye olan, Platform hizmetlerinden yararlanan tüm gerçek kişilere ("Kullanıcı", "Veri Sahibi", "Siz") uygulanmaktadır. Platform'u kullanarak veya hizmetlerimizden yararlanarak bu Politika'da belirtilen koşulları okuduğunuzu, anladığınızı ve kabul ettiğinizi beyan etmiş sayılırsınız.

Parkod olarak, kişisel verilerinizin güvenliği ve gizliliği konusunda azami özen göstermekte, veri koruma ilkelerine tam uyum sağlamaktayız. Kişisel verileriniz, yalnızca bu Politika'da belirtilen amaçlar doğrultusunda, hukuka ve dürüstlük kurallarına uygun olarak işlenmektedir.

2. Veri Sorumlusu ve İletişim Bilgileri

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verileriniz; veri sorumlusu sıfatıyla Parkod Teknoloji Anonim Şirketi ("Şirket") tarafından aşağıda açıklanan kapsamda işlenebilecektir.

3. Tanımlar

İşbu Politika'da geçen terimler aşağıdaki anlamlara gelmektedir:

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek-vakıf-sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler.
• Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
• Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
• Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
• Platform: Parkod web sitesi, mobil uygulaması ve tüm dijital hizmetleri.

4. Kişisel Verilerin Toplanması ve İşlenen Kişisel Veri Kategorileri

Platform üzerinden aşağıdaki kategorilerde kişisel verileriniz toplanmakta ve işlenmektedir:

4.1. Kimlik Bilgileri

• Ad ve Soyad
• T.C. Kimlik Numarası (yalnızca yasal zorunluluk halinde)
• Doğum Tarihi (opsiyonel)
• Cinsiyet (opsiyonel)
• Profil Fotoğrafı (opsiyonel)

4.2. İletişim Bilgileri

• E-posta Adresi
• Cep Telefonu Numarası
• Sabit Telefon Numarası (opsiyonel)
• İletişim Adresi (opsiyonel)
• Alternatif İletişim Bilgileri

4.3. Araç Bilgileri

• Araç Plaka Numarası
• Araç Markası
• Araç Modeli
• Araç Model Yılı
• Araç Rengi
• Araç Tipi (Binek, SUV, Ticari vb.)
• QR Kod Tanımlama Numarası

4.4. İşlem Güvenliği Bilgileri

• IP Adresi
• Cihaz Kimliği (Device ID)
• MAC Adresi
• Tarayıcı Türü ve Sürümü
• İşletim Sistemi Bilgileri
• Oturum Açma/Kapama Kayıtları
• Şifrelenmiş Parola Bilgileri (Hash)
• İki Faktörlü Kimlik Doğrulama Kayıtları
• Güvenlik Soruları ve Yanıtları (Şifrelenmiş)

4.5. Kullanım ve İşlem Verileri

• Platform Kullanım Geçmişi
• QR Kod Tarama Kayıtları
• Gönderilen/Alınan Bildirim Kayıtları
• SMS Gönderim ve Teslimat Kayıtları
• Hizmet Kullanım Sıklığı ve Süreleri
• Sayfa Görüntüleme ve Tıklama Verileri
• Arama Sorguları

4.6. Konum Verileri

• GPS Konum Bilgisi (yalnızca açık izin ile)
• Yaklaşık Konum (IP tabanlı)
• QR Kod Tarama Lokasyonu

4.7. Pazarlama ve İletişim Tercihleri

• E-posta Pazarlama İzinleri
• SMS Pazarlama İzinleri
• Push Bildirim Tercihleri
• İletişim Kanal Tercihleri
• Haber Bülteni Abonelik Durumu

4.8. Finansal Bilgiler

• Ödeme Geçmişi
• Fatura Bilgileri
• Abonelik Planı Bilgileri
• Kart Bilgileri (Yalnızca son 4 hane ve son kullanma tarihi - PCI DSS uyumlu şekilde)

5. Kişisel Verilerin İşlenme Amaçları

Toplanan kişisel verileriniz aşağıdaki amaçlar doğrultusunda işlenmektedir:

5.1. Temel Hizmet Süreçleri

• Üyelik kaydının oluşturulması ve hesap yönetiminin sağlanması
• Kullanıcı kimliğinin doğrulanması ve hesap güvenliğinin sağlanması
• QR kod oluşturma, tanımlama ve eşleştirme işlemlerinin gerçekleştirilmesi
• Araç sahibi ile üçüncü kişiler arasında anonim iletişimin sağlanması
• SMS, push bildirim ve e-posta yoluyla iletişim hizmetlerinin sunulması
• Acil durum bildirimlerinin iletilmesi
• Engel durumu uyarılarının gönderilmesi

5.2. Hizmet Kalitesi ve Geliştirme

• Platform performansının izlenmesi ve iyileştirilmesi
• Kullanıcı deneyiminin kişiselleştirilmesi ve geliştirilmesi
• Yeni özellik ve hizmetlerin geliştirilmesi
• Hata tespiti, analizi ve düzeltilmesi
• İstatistiksel analizlerin yapılması
• Kullanıcı geri bildirimlerinin değerlendirilmesi

5.3. Güvenlik ve Uyum

• Platform güvenliğinin sağlanması ve yetkisiz erişimin önlenmesi
• Dolandırıcılık, kötüye kullanım ve suistimalin tespiti ve önlenmesi
• Spam, taciz ve istenmeyen içeriklerin engellenmesi
• Yasal yükümlülüklerin yerine getirilmesi
• Yetkili kurum ve kuruluşların taleplerine yanıt verilmesi
• Hukuki süreçlerin yürütülmesi

5.4. Ticari ve Pazarlama Faaliyetleri

• Açık rıza alınması halinde ticari elektronik ileti gönderilmesi
• Kampanya, promosyon ve indirimlerin duyurulması
• Kişiselleştirilmiş içerik ve önerilerin sunulması
• Anket ve araştırmaların gerçekleştirilmesi
• Reklam ve pazarlama etkinlik analizlerinin yapılması

5.5. İş Sürekliliği ve Kurumsal İşlemler

• Finans ve muhasebe işlemlerinin yürütülmesi
• Faturalandırma ve ödeme süreçlerinin yönetilmesi
• Şirket birleşme, devir veya satış işlemlerinin gerçekleştirilmesi
• Denetim faaliyetlerinin yürütülmesi
• Kurumsal raporlama ve iş analitiklerinin hazırlanması

6. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri

Kişisel verileriniz, KVKK'nın 5. ve 6. maddeleri ile GDPR'ın 6. maddesi kapsamında aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:

• Açık Rızanızın Bulunması: Özellikle pazarlama faaliyetleri ve ticari elektronik ileti gönderimi için açık rızanız alınmaktadır.
• Sözleşmenin İfası: Kullanım Koşulları çerçevesinde size hizmet sunabilmek için gerekli veri işleme faaliyetleri.
• Yasal Yükümlülük: 5651 sayılı Kanun, Türk Ticaret Kanunu, Vergi Usul Kanunu ve ilgili diğer mevzuat kapsamındaki yükümlülüklerimizin yerine getirilmesi.
• Meşru Menfaat: Hizmet kalitesinin artırılması, güvenliğin sağlanması ve dolandırıcılığın önlenmesi gibi meşru menfaatlerimiz kapsamında.
• Bir Hakkın Tesisi, Kullanılması veya Korunması: Hukuki haklarımızın korunması ve hukuki süreçlerin yürütülmesi için gerekli olması halinde.
• Fiili İmkânsızlık: Rıza veremeyecek durumda olan kişinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde.

7. Kişisel Verilerin Toplanma Yöntemleri

Kişisel verileriniz aşağıdaki yöntemlerle toplanmaktadır:

• Doğrudan Sizden: Üyelik formları, iletişim formları, profil güncellemeleri, müşteri hizmetleri iletişimleri aracılığıyla.
• Otomatik Yollarla: Çerezler, piksel etiketleri, log dosyaları, analitik araçları ve benzeri teknolojiler aracılığıyla.
• Üçüncü Taraflardan: Sosyal medya platformları (sosyal girişi tercih etmeniz halinde), ödeme hizmet sağlayıcıları, SMS gateway servisleri aracılığıyla.
• Kamuya Açık Kaynaklardan: Resmi gazeteler, ticaret sicil kayıtları ve benzeri kamu kaynaklarından (yasal gerekliliklerin yerine getirilmesi amacıyla).

8. Kişisel Verilerin Aktarılması

Kişisel verileriniz, KVKK'nın 8. ve 9. maddeleri ile GDPR'ın ilgili hükümleri çerçevesinde, aşağıda belirtilen alıcı gruplarına ve amaçlarla aktarılabilmektedir:

8.1. Yurt İçi Aktarımlar

• İş Ortakları: SMS servis sağlayıcıları, push bildirim hizmet sağlayıcıları, e-posta gönderim servisleri ile hizmet sunumu için gerekli olan minimum veri paylaşılmaktadır.
• Hizmet Sağlayıcılar: Bulut bilişim hizmetleri, sunucu barındırma hizmetleri, veri analitik hizmetleri sağlayıcıları ile veri işleme sözleşmeleri kapsamında.
• Yetkili Kurum ve Kuruluşlar: Mahkemeler, savcılıklar, kolluk kuvvetleri, Bilgi Teknolojileri ve İletişim Kurumu, Kişisel Verileri Koruma Kurumu ve diğer düzenleyici otoriteler ile yasal zorunluluklar çerçevesinde.
• Hukuki Danışmanlar: Avukatlar, mali müşavirler ve bağımsız denetçiler ile mesleki gizlilik yükümlülüğü kapsamında.

8.2. Yurt Dışı Aktarımlar

Kişisel verileriniz, aşağıdaki koşulların sağlanması halinde yurt dışına aktarılabilmektedir:

• Aktarım yapılacak ülkenin Kişisel Verileri Koruma Kurulu tarafından yeterli koruma sağladığının ilan edilmiş olması
• Yeterli korumanın bulunmaması halinde, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul'un izninin bulunması
• GDPR kapsamında Standart Sözleşme Maddeleri (SCC) veya Bağlayıcı Şirket Kuralları'nın (BCR) mevcut olması
• Açık rızanızın bulunması

9. Kişisel Verilerin Saklanması ve İmha Edilmesi

9.1. Saklama Süreleri

Kişisel verileriniz, işlenme amaçlarının gerektirdiği süre boyunca ve yasal saklama yükümlülüklerimiz çerçevesinde muhafaza edilmektedir. Temel saklama süreleri aşağıdaki gibidir:

9.2. İmha Yöntemleri

Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması halinde, kişisel verileriniz aşağıdaki yöntemlerle imha edilmektedir:

• Silme: Verilerin geri dönüşümsüz şekilde silinmesi, erişimin tamamen engellenmesi.
• Yok Etme: Fiziksel ortamların geri dönüşümsüz şekilde imhası.
• Anonim Hale Getirme: Verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Periyodik imha, her 6 (altı) ayda bir gerçekleştirilmektedir. İlk periyodik imha tarihinden itibaren, işlenmesi gereken azami süreyi aşan kişisel veriler, 180 günlük periyotlar halinde imha edilmektedir.

10. Veri Güvenliği Önlemleri

Kişisel verilerinizin güvenliğini sağlamak amacıyla, KVKK'nın 12. maddesi ve GDPR'ın 32. maddesi kapsamında gerekli tüm teknik ve idari tedbirler alınmaktadır:

10.1. Teknik Güvenlik Önlemleri

• SSL/TLS (256-bit) şifreleme ile veri iletim güvenliği
• AES-256 standardında veritabanı şifrelemesi
• Güçlü parola politikaları ve tek yönlü hash (bcrypt/argon2) ile şifre saklama
• İki faktörlü kimlik doğrulama (2FA) seçeneği
• Web uygulama güvenlik duvarları (WAF)
• DDoS koruma sistemleri
• Sızma testleri ve güvenlik açığı taramaları (yıllık)
• Gerçek zamanlı güvenlik izleme ve log yönetimi (SIEM)
• Otomatik yedekleme ve felaket kurtarma sistemleri
• Erişim kontrol sistemleri ve yetkilendirme matrisi

10.2. İdari Güvenlik Önlemleri

• Kişisel Verilerin Korunması ve İşlenmesi Politikası
• Çalışan gizlilik taahhütnameleri
• Düzenli veri koruma eğitimleri
• En az yetki prensibi ile erişim yönetimi
• Veri işleyenlerle veri koruma sözleşmeleri
• Düzenli iç denetim ve uyum kontrolleri
• Veri ihlali müdahale prosedürleri
• İş sürekliliği ve felaket kurtarma planları

11. Çerez Politikası

Platform, kullanıcı deneyimini iyileştirmek ve hizmetlerini optimize etmek amacıyla çerezler ve benzeri teknolojiler kullanmaktadır.

11.1. Kullanılan Çerez Türleri

• Zorunlu Çerezler: Platform'un temel işlevlerinin çalışması için gerekli olan, devre dışı bırakılamayan çerezlerdir. Oturum yönetimi, güvenlik ve temel işlevsellik için kullanılır.
• Performans Çerezleri: Ziyaretçilerin Platform'u nasıl kullandığına dair anonim bilgi toplar. Sayfa yüklenme hızı, hata oranları gibi performans metriklerinin ölçümü için kullanılır.
• İşlevsellik Çerezleri: Dil tercihi, bölge seçimi gibi kişiselleştirme ayarlarınızın hatırlanması için kullanılır.
• Hedefleme/Reklam Çerezleri: İlgi alanlarınıza göre kişiselleştirilmiş içerik ve reklamlar sunmak için kullanılır. Bu çerezler yalnızca açık onayınız ile aktifleştirilir.

11.2. Çerez Yönetimi

Tarayıcı ayarlarınız üzerinden çerezleri yönetebilir, silebilir veya engelleyebilirsiniz. Ancak zorunlu çerezlerin devre dışı bırakılması, Platform'un bazı özelliklerinin düzgün çalışmamasına neden olabilir.

11.3. Üçüncü Taraf Analitik Araçları

• Google Analytics 4 (veri anonimleştirme aktif)
• Hotjar (oturum kayıtları ve ısı haritaları)
• Sentry (hata izleme ve raporlama)

12. Veri Sahibinin Hakları

KVKK'nın 11. maddesi ve GDPR'ın 15-22. maddeleri uyarınca, kişisel verilerinizle ilgili aşağıdaki haklara sahipsiniz:

• Bilgi Edinme Hakkı: Kişisel verilerinizin işlenip işlenmediğini öğrenme hakkına sahipsiniz.
• Erişim Hakkı: Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme ve kişisel verilerinize erişim sağlama hakkına sahipsiniz.
• Düzeltme Hakkı: Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkına sahipsiniz.
• Silme Hakkı (Unutulma Hakkı): KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme hakkına sahipsiniz.
• İşlemenin Kısıtlanması Hakkı: Belirli koşulların varlığı halinde kişisel verilerinizin işlenmesinin kısıtlanmasını talep etme hakkına sahipsiniz.
• Veri Taşınabilirliği Hakkı: Kişisel verilerinizi yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta alma ve bu verileri başka bir veri sorumlusuna iletme hakkına sahipsiniz.
• İtiraz Hakkı: Meşru menfaat veya kamu yararına dayalı veri işleme faaliyetlerine itiraz etme hakkına sahipsiniz.
• Otomatik Karar Almaya İtiraz: Kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme hakkına sahipsiniz.
• Zararın Giderilmesini Talep: Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme hakkına sahipsiniz.
• Aktarım Bildirimi: Düzeltme, silme veya kısıtlama işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkına sahipsiniz.

13. Haklarınızı Kullanma Yöntemi

Yukarıda belirtilen haklarınızı kullanmak için aşağıdaki yöntemlerden birini tercih edebilirsiniz:

13.1. Başvuru Kanalları

• E-posta: kvkk@parkod.com adresine, kayıtlı e-posta adresinizden gönderim yaparak
• KEP: parkod@hs01.kep.tr adresine, kayıtlı elektronik posta ile gönderim yaparak
• Posta: Levent Mahallesi, Teknoloji Caddesi, No: 1, Beşiktaş/İstanbul adresine, kimlik doğrulaması içeren ıslak imzalı başvuru formu göndererek
• Platform İçi: Hesap ayarları sayfasındaki "Veri Talebi" bölümü üzerinden

13.2. Başvuru İçeriği

Başvurunuzda aşağıdaki bilgilerin bulunması gerekmektedir:

• Ad, soyad ve imza (yazılı başvurularda)
• T.C. Kimlik Numarası (yabancılar için pasaport numarası)
• Tebligata esas yerleşim yeri veya iş yeri adresi
• Bildirime esas e-posta adresi veya telefon numarası
• Talep konusu

13.3. Yanıt Süresi

Başvurularınız, niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınabilecektir.

14. Kişisel Verileri Koruma Kurulu'na Şikâyet Hakkı

Başvurunuzun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde yanıt verilmemesi hâllerinde; cevabı öğrendiğiniz tarihten itibaren otuz (30) gün ve her hâlde başvuru tarihinden itibaren altmış (60) gün içinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkınız bulunmaktadır.

15. Çocukların Gizliliği

Platform, 18 yaşın altındaki bireylere yönelik değildir ve bilerek 18 yaşın altındaki kişilerden kişisel veri toplamamaktadır. 18 yaşın altında olduğunuzu düşündüğümüz kişilerin verilerini tespit etmemiz halinde, bu veriler derhal silinecektir.

Ebeveyn veya yasal vasi olarak, çocuğunuzun bilginiz dışında kişisel verilerini Platform'a sağladığını düşünüyorsanız, lütfen bizimle iletişime geçiniz.

16. Üçüncü Taraf Bağlantıları

Platform, üçüncü taraf web sitelerine veya hizmetlere bağlantılar içerebilir. Bu üçüncü taraf site ve hizmetlerin gizlilik uygulamaları üzerinde hiçbir kontrolümüz bulunmamaktadır. Bu nedenle, bu bağlantıları kullanmadan önce ilgili üçüncü tarafların gizlilik politikalarını incelemenizi önemle tavsiye ederiz.

17. Veri İhlali Bildirimi

Kişisel verilerinizin güvenliğini tehlikeye atan bir veri ihlali tespit edilmesi halinde, KVKK ve GDPR kapsamındaki yükümlülüklerimiz çerçevesinde:

• Kişisel Verileri Koruma Kurulu'na en geç 72 saat içinde bildirim yapılacaktır
• İhlalin sizin haklarınız ve özgürlükleriniz açısından yüksek risk oluşturması halinde, en kısa sürede size bildirim yapılacaktır
• İhlalin niteliği, olası sonuçları ve alınan/alınacak önlemler hakkında bilgilendirileceksiniz

18. Politika Değişiklikleri

Bu Gizlilik Politikası, yasal düzenlemeler, teknolojik gelişmeler veya iş süreçlerimizdeki değişiklikler doğrultusunda güncellenebilir. Önemli değişiklikler yapılması halinde, Platform üzerinden veya kayıtlı iletişim kanallarınız aracılığıyla bilgilendirileceksiniz.

Politika'nın güncel versiyonu her zaman bu sayfada yayınlanacak olup, "Son güncelleme" tarihi değiştirilecektir. Düzenli olarak bu sayfayı kontrol etmenizi öneririz.

19. Uygulanacak Hukuk ve Yetki

İşbu Gizlilik Politikası, Türkiye Cumhuriyeti kanunlarına tabi olup, Politika'dan doğabilecek her türlü uyuşmazlıkta İstanbul (Çağlayan) Mahkemeleri ve İcra Daireleri yetkilidir.

20. İletişim

Bu Gizlilik Politikası, kişisel verilerinizin işlenmesi veya haklarınız hakkında sorularınız için aşağıdaki kanallardan bizimle iletişime geçebilirsiniz: