Gizlilik Politikası
Bu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca hazırlanmıştır. Mecenn Dijital Hizmetler LTD. ŞTİ. (“Mecenn”), veri sorumlusu sıfatıyla içerik üreticilerine yönelik dijital destek platformunda (“Platform”) işlenen kişisel verilerin toplanma, işlenme amacı ve hukuki dayanaklarına ilişkin olarak şeffaf bir şekilde bilgi vermeyi taahhüt etmektedir.
Metnin başlığı ve içeriği, Platform kullanıcı arayüzünde üyelik aşamasında "pop-up" (açılır pencere) şeklinde özet olarak sunulacak, metnin tamamına erişim linki verilecek ve kullanıcının metni okuduğuna dair onayı (okuma süresi ve kaydırma hareketleri loglanarak) kayıt altına alınacaktır; zira aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. Aşağıdaki bölümlerde; işlediğimiz veri türleri, bu verilerin hangi amaçla işlendiği ve KVKK’da öngörülen hangi hukuki sebebe dayandığı açıkça belirtilmiştir. .
İşlenen Kişisel Veriler ve İşleme Amaçları
Platformumuza yalnızca içerik üreticisi statüsündeki kullanıcılar üye olabilmektedir. Platforma üye olurken veya hizmetleri kullanırken aşağıdaki kişisel veri kategorileri toplanmakta ve belirtilen amaçlar için işlenmektedir:
| Veri Türü (Kategori) | İşleme Amacı | Hukuki Dayanak |
| Kimlik Bilgileri: Ad, soyad. | Platform üyeliği oluşturulması, kullanıcı hesabı açılması. | KVKK m.5/2-(f) (Sözleşmenin ifası) |
| İletişim Bilgileri: E-posta adresi, telefon numarası. | Üyelik iletişimlerinin sağlanması. E-posta ve telefon bilgileri, SMS/OTP veya doğrulama linki ile aktif olarak teyit edilerek işlenir; doğrulanmayan iletişim bilgileri üzerinden işlem yapılmaz. | KVKK m.5/2-(f) (Sözleşmenin ifası) |
| Finansal Bilgiler: IBAN ve banka hesap bilgileri. | Destek ödemelerinin içerik üreticisinin hesabına aktarılması. Bu veriler yalnızca mevcut ödeme işlemi için zorunlu olarak işlenir; sonraki işlemler için saklanması ancak açık rızanız ile mümkündür. | KVKK m.5/2-(c) (Sözleşmenin ifası) ve m.5/2-(ç) (Yasal yükümlülük) |
| Profil Bilgileri: Kullanıcı profil açıklaması, kullanıcı ID. | Platform profilinizin oluşturulması ve hizmetin kişiselleştirilmesi. Veri minimizasyonu ilkesi gereği sadece gerekli bilgiler işlenir. | KVKK m.5/2-(f) (Sözleşmenin ifası) |
| Güvenlik ve Oturum Bilgileri: IP adresi, oturum/Kayıt logları, cihaz bilgileri. | Hesap güvenliği, yetkisiz erişim engelleme. Loglar, ölçülülük ilkesi gereği yalnızca güvenlik ihlallerini tespite yarayacak sınırlı kapsamda ve anonimleştirilebilir şekilde tutulur; genel içerik denetimi yapılmaz. | KVKK m.5/2-(f) ve m.5/2-(ç) (Veri sorumlusunun hukuki yükümlülüğü - 5651 Sayılı Kanun) |
| Destek İşlemleri Kayıtları: Yapılan destek tutarları, tarihleri vb. | Destek hizmetlerinin yürütülmesi ve hesap hareketlerinin takibi. | KVKK m.5/2-(f) (Sözleşmenin ifası) |
Yukarıda tablo halinde özetlenen amaçlar dışında kişisel verileriniz, açık rıza alınmaksızın (örneğin ticari elektronik ileti gönderimi için) kullanılmaz. Her türlü veri işleme işleminde KVKK’nın 4. maddesinde yer alan “hukuka uygunluk, amacına uygun, doğru ve ölçülü olma” ilkelerine titizlikle uyulmakta, veri minimizasyonu ilkesine göre sadece işleme amacına uygun, ilgili ve gerekli veriler kullanılmaktadır.
Üçüncü Kişilerle Paylaşım ve Yurt Dışı Aktarım
Mecenn olarak platform verilerini öncelikle üçüncü kişilerle paylaşmamakta, ancak hizmetin gereği veya kanuni zorunlulukla aşağıdaki durumlarda sınırlı veri aktarımı yapmaktayız:
Veri İşleyenler (Hizmet Sağlayıcılar): Hizmetin sağlanabilmesi için teknik altyapı, barındırma (AWS), e-posta gönderimi ve ödeme işlemleri (Ödeme Kuruluşları) gibi konularda üçüncü taraf firmalarla çalışılmaktadır. Bu firmalarla yapılan sözleşmelerde; KVKK m.3 ve m.12 uyarınca veri sorumlusunun (Mecenn) talimatları dışında işlem yapamayacakları, veri güvenliği için gerekli teknik/idari tedbirleri alacakları, personellerine KVKK eğitimi verecekleri ve ihlal durumunda sorumluluk taşıyacakları açıkça hüküm altına alınmıştır. Paylaşım sırasında hassas veriler (IBAN vb.) mümkün olduğunca maskelenerek veya şifreli kanallardan aktarılır.
Resmi Kurum ve Yükümlülükler: Mahkemeler, vergi daireleri, Rekabet Kurumu, BDDK gibi yasal yetkililerin talepleri halinde, KVKK’nın 8. maddesi ve KVKK m.28/2-c (kamu kurumlarının denetleme veya düzenleme görevleri) istisnaları çerçevesinde gerekli veriler sunulur. Bu aktarımlar, talep konusuyla sınırlı ve ölçülü olarak gerçekleştirilir.
Yurt Dışı Aktarım:
Mecenn, platform sunucularını Amazon Web Services (AWS) altyapısı üzerinde (AB / ABD bölgeleri) barındırmaktadır. Bu teknik gereklilik kapsamında kişisel verileriniz yurt dışındaki sunuculara aktarılabilir. Bu aktarım, KVKK m.9 uyarınca açık rızanızın alınması veya ilgili ülkede yeterli korumanın bulunması/taahhüt edilmesi şartlarına dayalıdır. AWS ile yapılan sözleşmelerde KVKK uyumlu standart sözleşme maddeleri ve yeterli koruma taahhütleri yer almaktadır. Yurt dışı aktarım rızası vermemeniz halinde, verileriniz yurt içinde tutulmaya çalışılacak veya alternatif hizmet kanalları sunulacaktır; rıza vermemeniz temel hizmet kullanımınızı engellemez.
Veri Güvenliği Önlemleri
Mecenn, KVKK’nın 12. maddesi gereğince kişisel verilerinizin güvenliğini sağlamak için uygun teknik ve idari tedbirleri almaktadır:
Veri Sızıntısı Önleme (DLP): Kimlik, iletişim ve finansal verilerin yetkisiz çıkışını engellemek amacıyla, anahtar kelime ve davranış analizi tabanlı Veri Sızıntısı Önleme (DLP) sistemleri kullanılmaktadır.
Çift Faktörlü Kimlik Doğrulama (2FA): Platform erişimi, hesap sorgulamaları ve kritik işlemlerde (ör. ödeme bilgisi değişikliği) SMS/OTP veya e-posta şifresi ile çift faktörlü kimlik doğrulama zorunlu tutulmaktadır.
Bağımsız Denetim: Uygulamalarımız ve sistemlerimiz, TSE/CREST akredite bağımsız güvenlik denetim firmaları tarafından yılda en az bir kez sızma testlerine (penetrasyon testi) tabi tutulmakta ve raporlanmaktadır.
İhlal Bildirimi: Olası bir veri ihlali tespit edildiğinde, en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na ve ilgili kişilere bildirim yapılmasını sağlayan "Veri İhlali Müdahale Planı" devreye alınır.
Şifreleme ve Erişim: Veriler uçtan uca (TLS/SSL) şifrelenir. Çalışan erişimleri "bilmesi gereken" prensibine göre sınırlandırılır ve tüm erişimler loglanır.
Saklama Süreleri ve İmha Politikası
Toplanan kişisel veriler, ilgili mevzuatta belirlenen zorunlu süreler ve işleme amaçlarının gerektirdiği sürelerle sınırlı olmak üzere saklanır:
Üyelik ve Hesap Bilgileri: Üyelik sona erdikten sonra yasal zamanaşımı süreleri (10 yıl) boyunca saklanır.
Log Kayıtları: 5651 sayılı Kanun ve ilgili mevzuat gereği en fazla 2 yıl saklanır.
İmha Yöntemi: İşlenme şartları (KVKK m.5-6) tamamen ortadan kalktığında (ör. yasal sürelerin dolması), veriler resen (Mecenn tarafından kendiliğinden) veya ilgili kişinin talebi üzerine ilk periyodik imha işleminde (en fazla 6 ay içinde) silinir, yok edilir veya anonim hale getirilir. Resen imha işleminde hangi yöntemin (silme, yok etme veya anonimleştirme) seçildiği, Kurul rehberlerine ve iş süreçlerine uygun olarak gerekçelendirilir ve bu işlem denetlenebilir şekilde kayıt altına alınır.
Haklarınız ve Başvuru Yöntemi
KVKK’nın 11. maddesi uyarınca; kişisel verilerinizin işlenip işlenmediğini öğrenme, düzeltme, silme, aktarılan kişileri öğrenme ve itiraz etme haklarına sahipsiniz.
Başvurularınızı, Mecenn Dijital Hizmetler LTD. ŞTİ.’ye [emai] adresi veya şirket adresine(Fenerbahçe Mah. İğrip Sk. No: 13 İç Kapı No: 1 - Kadıköy İstanbul) yazılı dilekçe yoluyla iletebilirsiniz. Başvurularınızda özel vekaletname şartı aranmaz. Mecenn, başvurunuzu alır almaz en geç 30 gün içinde, kişisel verilerinizin gizliliğini koruyarak doğrudan size ( elektronik posta veya yazılı yollarla, üçüncü kişilere açıklanmaksızın) yanıt verecektir. Yanıtlar ve iletim kayıtları, ispat yükümlülüğü kapsamında loglanarak saklanacaktır.
MECENN GİZLİLİK VE GÜVENLİK POLİTİKASI
1- Giriş
Mecenn Teknoloji tarafından geliştirilen dijital destek platformu (“Platform”), içerik üreticilerinin (“Üretici”) destekçilerden ödeme almasını sağlar. Platformda yalnızca içerik üreticileri üye olmakta; destekçiler ise kaydolmadan ödeme yapabilmektedir. Mecenn Teknoloji (“Şirket”) olarak kullanıcılarımızın gizliliğine saygı duyuyor ve kişisel verilerinizi 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuata uygun biçimde korumak için gerekli teknik ve idari tedbirleri almaktayız. Kişisel veriler ulusal ve uluslararası düzenlemelere uygun şekilde korunmakta; veri güvenliğini sağlamak adına güncel önlemler zamanında ve gereği gibi uygulanmaktadır. Ayrıca herhangi bir veri ihlali şüphesi durumunda, KVKK m.12 kapsamında en kısa sürede – ihlal tespitinden itibaren en geç 72 saat içinde – Kişisel Verileri Koruma Kurumu’na (“Kurul”) ve etkilenen ilgili kişilere bildirim yapılacağını, gecikme olması halinde ise gecikmenin haklı gerekçelerinin Kurul’a sunulacağını taahhüt ederiz.
2- Kapsam
Bu Gizlilik ve Güvenlik Politikası metni, içerik üreticilerinin ve destekçilerin Platformu kullanımı sırasında toplanan kişisel verilerin hangi amaçlarla işlendiğini, nasıl saklandığını, kimlerle ve hangi koşullarda paylaşıldığını ve veri güvenliğinin nasıl sağlandığını açıklamaktadır. KVKK’nın 10. maddesine uygun bir aydınlatma metni olarak, veri sorumlusu sıfatıyla Mecenn Teknoloji’nin yükümlülüklerini ve kullanıcıların haklarını da içermektedir. Platform üzerindeki içerik üreticisi profilleri yalnızca metin tabanlı olup görsel veya video içerik barındırmamaktadır; ayrıca platformda özel
mesajlaşma özelliği bulunmamaktadır (destekçiler sadece ödeme esnasında herkese açık bir mesaj bırakabilir). Bu sayede kullanıcılar tarafından platformda paylaşılan kişisel veriler, verdikleri bilgilerle sınırlı tutulmaktadır.
3- Toplanan Kişisel Veriler ve İşlenme Amaçları
Toplanan Veriler: Platformumuzu kullandığınızda şu kategorilerde kişisel veriler toplanabilir:
İçerik Üreticileri: Kayıt sırasında ad-soyad, e-posta adresi, kullanıcı adı, şifre gibi kimlik ve iletişim bilgileri; profil sayfasında paylaşılan tanıtım yazıları; ödeme alabilmek için banka hesap bilgileri (ör. IBAN); oturum bilgileri ve güvenlik amaçlı teknik veriler (örn. IP adresi, cihaz bilgisi).
Destekçiler: Üye olmadan ödeme yapılabildiği için destekçilerden sınırlı veri toplanır. Ödeme işlemi sırasında sağladığınız ad-soyad veya rumuz, ödeme tutarı ve mesajınız gibi işlem bilgileri işlenir. Kredi kartı/banka kartı bilgileri ise Platform tarafından kaydedilmez; bu bilgiler ödeme sağlayıcı üzerinden alınır ve işlenir (kart verileri SSL ile şifrelenerek doğrudan banka veya ödeme kuruluşuna iletilir). Ayrıca destekçilerin isteğe bağlı olarak içerik üreticisine ilettiği herkese açık mesajlar toplanır ve ilgili içerik üreticisinin profilinde yayınlanır. Bu mesajlar kamuya açık olduğu için destekçilerin özel bilgi paylaşmaması önerilir.
Çevrimiçi Davranış ve Teknik Veriler: Platform ziyaretçilerinin çerez (cookie) verileri, IP adresleri, tarayıcı türü, işletim sistemi ve kullanım istatistikleri gibi bilgiler otomatik yollarla toplanabilir. Özellikle güvenlik amacıyla kullanıcıların IP adresleri kaydedilir ve olası sistem sorunlarının tespiti ile demografik analiz için kullanılabilir.
İşlenme Amaçları: Toplanan kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:
Hizmetin Sağlanması: Platformun üyelik ve profil yönetimi, içerik üreticisi hesaplarının oluşturulması ve destekçilerin ödeme yapabilmesi için gerekli işlemlerin yürütülmesi.
Ödeme ve Finansal Süreçler: Destek ödemelerinin gerçekleştirilmesi, kayıt altına alınması ve içerik üreticilerine ulaştırılması.
İletişim ve Kullanıcı Desteği: Platform kullanımıyla ilgili bilgilendirme yapmak, teknik destek sağlamak ve olası sorunlar hakkında kullanıcılarla iletişime geçmek.
Güvenlik ve Kötüye Kullanımın Önlenmesi: Hesap güvenliğinin sağlanması, yetkisiz erişimlerin engellenmesi, sahte veya kötü niyetli faaliyetlerin tespiti amacıyla veriler işlenir.
Platformun Geliştirilmesi ve Analiz: Platform performansını iyileştirmek, kullanıcı deneyimini geliştirmek ve içerik üreticilerinin daha verimli kullanımını sağlamak amacıyla anonim veya toplu istatistiki veriler işlenebilir.
Yasal Yükümlülüklerin Yerine Getirilmesi: KVKK ve diğer kanunlar uyarınca doğan yasal yükümlülüklere uymak amacıyla verileriniz işlenir.
Belirtilen amaçlar dışında, açık rızanız olmaksızın kişisel verileriniz üçüncü tarafların pazarlama veya profilleme amaçlarına hizmet edecek şekilde işlenmez ya da bu taraflara aktarılmaz.
4- Çerez Kullanımı ve Rıza Yönetimi
Platformumuz, kullanıcı deneyimini geliştirmek ve belirli fonksiyonları sağlamak için çerezler kullanmaktadır. Zorunlu (kesinlikle gerekli) çerezler haricindeki çerezler için kullanıcı tercihine dayalı bir çerez rıza yönetimi uygulanır.
Zorunlu ve Teknik Çerezler: İletişimin sağlanması veya açıkça talep ettiğiniz bir hizmetin sunulması için gerekli olan çerezlerdir. Bu tür çerezler için yalnızca aydınlatma yükümlülüğümüz bulunur, açık rızanız ayrıca aranmaz.
Analitik ve Üçüncü Taraf Çerezler: Google Analytics gibi analiz ve performans çerezleri, kullanıcı verilerini üçüncü bir tarafa (ör. Google) aktarabildiği ve potansiyel olarak siteler arası takip imkânı sağladığı için açık rıza olmadan kullanılamaz. Analitik çerezler ancak kullanıcının aktif şekilde onay vermesi (opt-in) halinde çalıştırılır. Varsayılan durumda bu tür çerezler pasif haldedir.
Yurt Dışı Aktarım Rızası: Analitik çerezlere (örneğin Google Analytics) onay vermeniz durumunda, verilerinizin (IP adresi, kullanım istatistikleri vb.) yurt dışında bulunan sunuculara aktarılmasına da KVKK m.9/1 uyarınca açık rıza vermiş sayılırsınız. Bu rıza, çerez yönetim paneli üzerinden her zaman geri alınabilir.
5- Kişisel Verilerin Saklanması ve İmhası
Toplanan kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaca uygun süreler boyunca saklanır. Bu sürelerin sonunda veya işleme amacı ortadan kalktığında veriler silinir, yok edilir veya anonim hale getirilir.
Hizmet Bitiminde İmha: İçerik üreticisi üyeliği sona erdiğinde veya destekçi verilerinin işlenme amacı ortadan kalktığında, ilgili veriler KVKK m.7 ve Şirketimizin Periyodik İmha Politikası uyarınca derhal silinir, yok edilir veya anonimleştirilir. Bu işlem, olası rücu davalarına ve denetimlere karşı tevsik edici imha raporları ile kayıt altına alınır.
Yasal Saklama: Yürürlükteki finans ve vergi mevzuatı gereği belirli mali kayıtlar 10 yıl süreyle saklanmak zorundadır.
6- Teknik ve İdari Güvenlik Önlemleri
Kişisel verilerinizin güvenliğini sağlamak için Şirketimiz hem teknik hem de idari kapsamda sıkı güvenlik önlemleri uygulamaktadır. KVKK’nın 12. maddesi ve Kişisel Veri Güvenliği Rehberi uyarınca alınan tedbirler aşağıdadır:
6.1. Ağ ve Uygulama Güvenliği
Web Uygulama Güvenlik Duvarı (WAF): Platformumuz, yetkisiz erişim denemelerini, SQL Injection, Cross-Site Scripting (XSS) ve parola püskürtme (credential stuffing) gibi saldırıları gerçek zamanlı olarak tespit edip engellemek için Web Uygulama Güvenlik Duvarı (WAF) ile korunmaktadır.
Şifreleme: Web sitemiz üzerindeki tüm veri iletişimleri HTTPS üzerinden SSL/TLS protokolleri ile şifrelenir.
Yatay Hareket Engelleme: Olası bir sızma durumunda saldırganların sistem içinde ilerlemesini önlemek amacıyla ağ segmentasyonu uygulanmakta ve uç nokta tehdit algılama (EDR) araçları kullanılmaktadır.
6.2. Kimlik Doğrulama ve Erişim Kontrolü
Güçlü Şifre Politikası: Kullanıcıların ve personelin en az 12 karakterli, büyük/küçük harf, rakam ve özel karakter içeren güçlü şifreler oluşturması zorunlu tutulacak olup, uyumsuz şifreler sistem tarafından kabul edilmeyecektir.
İki Faktörlü Kimlik Doğrulama (2FA): Platforma üye girişlerinde ve kritik işlemlerde 2FA zorunludur. Üye olmayan destekçilerin ödeme ve mesaj bırakma işlemlerinde de güvenliği sağlamak adına e-posta veya SMS tabanlı doğrulama (OTP) uygulanır.
Personel Erişimi: Çalışanların sistemlere erişimi "Asgari Yetki" (Least Privilege) prensibine göre düzenlenmiştir. Kurumsal ağ dışı erişimlerde VPN zorunluluğu bulunmakta ve halka açık WiFi ağlarından sisteme erişim yasaklanmıştır. Eski çalışanların erişim yetkileri, işten ayrılış anında derhal iptal edilir ve bu işlem loglanır.
6.3. Veri Kaybı Önleme (DLP) ve Log Yönetimi
Gelişmiş DLP Sistemleri: Şirketimiz, T.C. kimlik no, IBAN, iletişim bilgileri gibi hassas verilerin kurum dışı e-posta veya dosya aktarımlarını (özellikle e-posta eklerini) otomatik engelleyecek ve raporlayacak şekilde yapılandırılmış DLP sistemleri kullanmaktadır.
Proaktif Log İncelemesi: Log kayıtları sadece tutulmakla kalmaz; şüpheli hareketler (anormal sorgu sayıları, mesai dışı toplu veri çekimi vb.) yapay zeka destekli araçlarla izlenir ve haftalık olarak güvenlik ekibi tarafından manuel olarak da incelenir. İhlal şüphesi durumunda 24 saati aşmayan iç tespit süreci işletilir.
6.4. Sistem Geliştirme, Test ve Bakım Prosedürleri
Test Ortamları Güvenliği: Yazılım geliştirme süreçlerinde kullanılan test sunucuları, periyodik sızma testlerine dahil edilir. Testlerde kesinlikle gerçek kişisel veriler kullanılmaz; sentetik veya anonimleştirilmiş veriler kullanılır. Test ortamlarına erişimlerde de SSL VPN ve 2FA zorunludur.
Güvenli Güncelleme: Yeni sistem entegrasyonları, sunucu geçişleri veya güncellemeler (deployments) canlıya alınmadan önce kapsamlı yük testlerinden ve güvenlik taramalarından geçirilir. Hatalı kod veya script riskine karşı otomatik kod inceleme araçları kullanılır.
6.5. Personel Eğitimleri ve Farkındalık
Tüm personelimize, göreve başladıkları andan itibaren ve periyodik olarak (yılda en az iki kez) KVKK, siber güvenlik, oltalama (phishing) ve veri paylaşım hataları konularında eğitimler verilir. Eğitimlere katılım zorunlu olup kayıt altına alınır.
6.6. Zafiyet Taramaları ve Sızma Testleri
Sistem altyapımızda yılda en az bir kez bağımsız kuruluşlarca sızma (penetrasyon) testleri yapılır. Ayrıca otomatik araçlarla düzenli zafiyet taramaları gerçekleştirilir. Üçüncü taraf uygulama ve servislerin (AWS, Ödeme Sağlayıcıları) güvenlik durumları da periyodik olarak denetlenir.
7- Kişisel Verilerin Yurt Dışına Aktarımı
Şirketimiz, kişisel verilerin mümkün olduğunca Türkiye sınırları içerisinde kalmasına özen gösterir. Ancak Platformun sunucuları (AWS - Avrupa Birliği) ve bazı harici hizmet sağlayıcıları (Google Analytics - ABD vb.) yurt dışında bulunabilmektedir.
Hukuki Dayanak: Yurt dışına veri aktarımı, KVKK m.9 uyarınca; (i) İlgili kişinin açık rızası, (ii) Yeterli korumanın bulunduğu ülkeler listesi (ilan edildiğinde), veya (iii) Yeterli korumanın bulunmadığı ülkelerdeki veri işleyenler (örneğin AWS, Google) ile KVKK Kurumu tarafından onaylanmış standart sözleşme maddelerini içeren taahhütnamelerin imzalanması suretiyle gerçekleştirilir.
E-posta Hizmetleri: Gmail gibi yurt dışı tabanlı e-posta hizmetlerinin kullanımı durumunda, verilerinizin yurt dışına aktarımı söz konusu olacağından, bu hizmetler KVKK m.9 uyumlu taahhütnameler veya açık rızanız çerçevesinde kullanılır.
8- Kişisel Verilerin Üçüncü Kişilerle Paylaşımı
Kişisel verileriniz kural olarak izin vermediğiniz sürece üçüncü kişilere aktarılmaz. Ancak aşağıdaki koşullarda sınırlı paylaşım yapılabilir:
Hizmet Tedarikçileri ve İş Ortakları (Veri İşleyenler): Ödeme sağlayıcıları, barındırma hizmetleri (AWS) gibi üçüncü taraflarla veri paylaşımı yapılırken, bu taraflarla KVKK m.12 uyumlu veri işleme sözleşmeleri imzalanır. Bu sözleşmelerde, veri işleyenin veri güvenliğini sağlama, verileri sadece talimatla işleme ve hizmet bitiminde verileri imha etme yükümlülükleri ile Şirketimizin denetim hakkı açıkça düzenlenir. Veri işleyen kaynaklı ihlallerde müşterek sorumluluk ve rücu hükümleri saklıdır.
Kanunen Yetkili Kurum ve Kuruluşlar: Resmi makamların (Mahkeme, Savcılık, BTK, Rekabet Kurumu vb.) talepleri doğrultusunda veri paylaşımı yapılırken, "Veri Minimizasyonu" ilkesi esas alınır. Talep edilen verinin ötesinde bilgi paylaşılmaz ve paylaşım öncesi talebin hukuki dayanağı, amacı ve ölçülülüğü hukuk birimimizce denetlenir. Toplu ve otomatik veri aktarımı yapılmaz, her talep loglanır.
Meşru Menfaat Paylaşımları: Rızasız aktarımlar, yalnızca KVKK m.5/2-f kapsamında veri sorumlusunun meşru menfaatinin (örneğin dolandırıcılık tespiti, hukuki savunma) açıkça gerektirdiği ve ilgili kişinin temel haklarına zarar vermediği durumlarda, denge testi yapılarak ve belgelendirilerek gerçekleştirilir.
9- Veri İhlali Müdahale ve Bildirim Planı
Olası bir veri ihlali durumunda Şirketimiz aşağıdaki prosedürü izler:
Acil Müdahale: İhlal şüphesi (örneğin şüpheli log kaydı) oluştuğu anda iç inceleme ekibi devreye girer, sistem yalıtılır ve ihlalin kapsamı (etkilenen kişi sayısı, veri türü) 24 saat içinde belirlenmeye çalışılır.
Kurul'a Bildirim: İhlal tespit edildiği tarihten itibaren en geç 72 saat içinde KVKK Kurumu'na bildirim yapılır. Haklı bir sebeple gecikme yaşanırsa, gecikmenin nedenleri detaylı bir raporla Kurul'a sunulur.
İlgili Kişilere Bildirim: İhlalden etkilenen kişilere yapılacak bildirimler, KVKK Kurulu’nun 2019/271 sayılı Kararı’nda belirtilen asgari unsurları içerecek şekilde (ihlalin ne zaman gerçekleştiği, hangi veri kategorilerinin etkilendiği, olası sonuçlar, alınan tedbirler ve irtibat bilgileri) açık ve sade bir dille, doğrudan (e-posta vb.) veya ulaşılamıyorsa web sitesi üzerinden yapılır.
Kayıt ve Revizyon: Tüm ihlal süreçleri ve alınan aksiyonlar kayıt altına alınır ve veri ihlali müdahale planı her ihlal tatbikatı veya gerçek ihlal sonrası gözden geçirilerek güncellenir.
10- Veri Sahiplerinin Hakları
KVKK’nın 11. maddesi uyarınca, Şirketimize başvurarak kişisel verilerinizin; işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını öğrenme, yurt içi/yurt dışı aktarıldığı kişileri bilme, eksik/yanlışsa düzeltilmesini isteme, silinmesini/yok edilmesini isteme, otomatik sistemlerle analiz sonucu aleyhe sonuca itiraz etme ve zararın giderilmesini talep etme haklarına sahipsiniz.
11- İletişim ve Başvuru
KVKK madde 13 uyarınca haklarınızı kullanmak için başvurularınızı aşağıdaki kanallardan iletebilirsiniz: E-posta: [Mecenn Dijital Hizmetler İletişim E-postası]
Posta: Fenerbahçe Mah. İğrip Sk. No: 13 İç Kapı No: 1 - Kadıköy/İstanbul
Başvurularınız en geç 30 gün içinde yanıtlanacaktır.