Passiflover Tropikal tarafından işletilen passiflovertropikal.com alan adlı internet sitesi üzerinden sunulan ürün ve hizmetlerden yararlanan, siteyi ziyaret eden, üyelik oluşturan, ürün sayfalarını görüntüleyen, sepete ürün ekleyen, sipariş veren, iletişim kanallarını kullanan veya site ile herhangi bir biçimde etkileşime geçen tüm gerçek ve tüzel kişilere ilişkin kişisel verilerin işlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuata uygunluk esas alınarak yürütülür. Passiflover Tropikal, veri sorumlusu sıfatıyla, kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi, doğru ve gerektiğinde güncel tutulması, belirli, açık ve meşru amaçlarla işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine bağlı kalmayı taahhüt eder. Site üzerinden gerçekleştirilen işlemlerin niteliği gereği, siparişin kurulması ve ifası, ödeme süreçlerinin tamamlanması, teslimatın organize edilmesi, faturalandırmanın yapılması, müşteri destek süreçlerinin yürütülmesi, bilgi güvenliği tedbirlerinin alınması ve yasal yükümlülüklerin yerine getirilmesi gibi amaçlarla belirli kişisel verilerin işlenmesi kaçınılmaz olabilmektedir.
Veri sorumlusu Passiflover Tropikal’in iletişim bilgileri, işbu Gizlilik Politikası kapsamında esas alınacak şekilde şu şekildedir: Merkez adres Ovabaşı Mah. Boğaz Küme Evler No:50/1 Anamur/Mersin, şube adres Şefikcan Cad. No:69/C Selçuklu Konya, e-posta adresi info@passiflovertropikal.com
, telefon numaraları 0539 367 19 92 ve 0546 166 4280. İlgili kişi başvuruları ve veri işleme süreçlerine ilişkin talepler, kimlik doğrulaması sağlanarak ve mevzuatta öngörülen usule uygun biçimde bu iletişim kanalları üzerinden iletilebilir. Uyuşmazlık veya şüphe halinde, veri sorumlusu tarafından yürütülen süreçlerin açıklığa kavuşturulması amacıyla ek bilgi talep edilmesi, yalnızca başvurunun sonuçlandırılabilmesi ve kötüye kullanımların önlenmesi hedefiyle gündeme gelebilir.
Site üzerinde işlenebilecek kişisel veriler; işlemle sınırlı kalmak kaydıyla kimlik ve iletişim verileri, teslimat ve fatura verileri, sipariş ve işlem verileri, müşteri işlem ve iletişim kayıtları, işlem güvenliği verileri ile tercih ve izin verilerinden oluşabilir. Kimlik ve iletişim verileri kapsamında ad-soyad veya tüzel kişi adına unvan, telefon numarası, e-posta adresi gibi bilgiler; teslimat ve fatura verileri kapsamında adres bilgileri, teslimat notları, fatura düzenlemeye elverişli bilgiler; sipariş ve işlem verileri kapsamında satın alınan ürünlerin içeriği, tutar bilgileri, ödeme yöntemi, iade ve değişim taleplerine ilişkin kayıtlar; müşteri iletişim kayıtları kapsamında destek talepleri, şikâyet ve geri bildirim içerikleri; işlem güvenliği verileri kapsamında IP adresi, oturum/log kayıtları, cihaz ve tarayıcı bilgileri gibi veriler, güvenliğin sağlanması ve işlemlerin doğrulanması amacıyla işlenebilir. Kartlı ödemelerde ödeme işlemleri, ilgili ödeme kuruluşu ve altyapı sağlayıcısının güvenlik protokolleri çerçevesinde yürütülür; kart bilgilerinin veri sorumlusu tarafından kaydedilmesi hedeflenmez ve kart verileri ödeme hizmet sağlayıcısının kendi güvenli ortamında işlenir.
Kişisel verilerin işlenme amaçları, site üzerinden sağlanan hizmetin doğasına ve ilgili kişinin siteyle kurduğu ilişkiye göre farklılaşabilmektedir. Siparişin alınması, mesafeli satış sözleşmesinin kurulması ve ifası, ürün tedarik/ambalajlama/kargolama faaliyetlerinin yürütülmesi, teslimatın planlanması ve adrese ulaştırılması, faturalandırma ve muhasebe süreçlerinin yürütülmesi, satış sonrası destek sağlanması, müşteri talep ve şikâyetlerinin yönetilmesi, dolandırıcılık ve kötüye kullanımın önlenmesi, işlem güvenliğinin sağlanması, bilgi sistemlerinin sürekliliğinin ve güvenliğinin temini, mevzuattan doğan saklama ve bildirim yükümlülüklerinin yerine getirilmesi, hukuki uyuşmazlıklarda delil niteliği taşıyabilecek kayıtların oluşturulması ve korunması gibi amaçlarla veri işleme gündeme gelebilir. Pazarlama ve kampanya iletileri bakımından ise mevzuata uygun onay bulunması halinde, iletişim bilgilerinin ticari elektronik ileti gönderimi için kullanılması söz konusu olabilir; siparişin kurulması ve ifası kapsamında gönderilen zorunlu işlem bilgilendirmeleri, pazarlama onayından bağımsız biçimde sözleşmenin gereği olarak iletilebilir.
Kişisel verilerin işlenmesinin hukuki sebepleri, KVKK’nın 5. ve 6. maddelerinde düzenlenen şartlar çerçevesinde belirlenir. Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi; belirli hallerde açık rıza alınması gibi hukuki sebepler devreye girebilir. Hassas nitelikli verilerin işlenmesi ancak mevzuatta öngörülen koşulların varlığı halinde ve gerekli teknik-idari tedbirler alınarak gerçekleştirilir; site üzerinden yürütülen standart e-ticaret süreçlerinde hassas veri işlenmesi kural olarak hedeflenmez, zorunluluk doğması halinde ise süreçler ayrıca değerlendirilir.
Kişisel verilerin üçüncü kişilerle paylaşımı, amaçla sınırlılık ve ölçülülük ilkeleri esas alınarak, yalnızca hizmetin gerektirdiği ölçüde ve gerekli güvenlik tedbirleri gözetilerek yapılır. Kargo ve lojistik firmalarıyla teslimatın sağlanabilmesi için ad-soyad/unvan, adres ve iletişim bilgilerinin paylaşılması; ödeme işlemlerinin tamamlanabilmesi için ödeme kuruluşlarıyla işlem verilerinin paylaşılması; e-fatura/e-arşiv ve muhasebe süreçleri için hizmet sağlayıcılarla faturalandırmaya elverişli verilerin paylaşılması; barındırma, altyapı, siber güvenlik, e-posta/SMS iletimi gibi bilgi teknolojileri hizmetleri kapsamında teknik hizmet sağlayıcılarla sınırlı veri paylaşımı; hukuki yükümlülüklerin yerine getirilmesi amacıyla yetkili kamu kurum ve kuruluşlarıyla mevzuatın izin verdiği ölçüde paylaşım söz konusu olabilir. Hizmet sağlayıcılarla yapılan ilişkilerde, veri güvenliğinin sağlanması için sözleşmesel ve teknik tedbirlerin uygulanması, erişim yetkilerinin sınırlandırılması ve işleme amaçlarının belirlenmesi hedeflenir.
Yurt dışına veri aktarımı gerektiren bir altyapının kullanılması, özellikle barındırma, e-posta iletimi, güvenlik ve analitik gibi hizmetlerde gündeme gelebilir. Yurt dışına aktarım gerektiren durumlarda, KVKK’da öngörülen şartlara uygun hareket edilmesi, gerekli teknik ve idari tedbirlerin alınması, uygun hukuki dayanağın sağlanması ve mümkün olan hallerde aktarımın asgari veri ile gerçekleştirilmesi esas alınır. İlgili kişinin açık rızasının gerektiği durumlarda, rıza özgür iradeye dayalı, bilgilendirilmiş ve belirli bir konuya ilişkin olacak şekilde alınır; rızanın geri alınması, ileriye etkili şekilde değerlendirilir ve geçmişte hukuka uygun biçimde yapılan işlemleri kendiliğinden hükümsüz kılmaz.
Kişisel verilerin saklama süreleri, ilgili mevzuatta öngörülen zorunlu süreler ve veri işleme amaçlarının gerektirdiği sürelerle sınırlı olacak şekilde belirlenir. Sipariş ve faturalandırma kayıtları, ticari defter ve belgeler, finansal kayıtlar ve mevzuattan kaynaklanan yükümlülükler nedeniyle belirli sürelerle saklanabilir; müşteri destek kayıtları, uyuşmazlıkların yönetimi ve hizmet kalitesinin artırılması amacıyla makul sürelerle muhafaza edilebilir; işlem güvenliği verileri, güvenliğin sağlanması ve suistimallerin önlenmesi amacıyla, amaçla bağlantılı ve sınırlı sürelerle tutulabilir. Saklama süresi sona erdiğinde kişisel veriler silinir, yok edilir veya anonim hale getirilir; imha süreçleri, veri güvenliği ve denetlenebilirlik ilkeleri gözetilerek yürütülür.
Bilgi güvenliği kapsamında, kişisel verilerin yetkisiz erişim, ifşa, kayıp, değişiklik ve kötüye kullanım risklerine karşı korunması hedeflenir. Teknik tedbirler kapsamında erişim kontrolü, yetkilendirme, ağ güvenliği, loglama, yedekleme, zararlı yazılım önleme, mümkün olan hallerde şifreleme ve güvenli iletişim protokollerinin kullanılması gibi uygulamalar devreye alınabilir; idari tedbirler kapsamında çalışan ve hizmet sağlayıcı bazında yetki matrisi, gizlilik yükümlülükleri, politika ve prosedürler, denetim ve risk değerlendirmeleri uygulanabilir. İnternet üzerinden yapılan iletişimin doğası gereği, mutlak güvenliğin teknik olarak garanti edilemeyeceği gerçeği saklı kalmak kaydıyla, veri sorumlusu makul güvenlik standartlarını sağlamaya ve güncel risklere karşı tedbirlerini uyarlamaya özen gösterir.
Çerezler ve benzeri teknolojiler, sitenin çalışması, oturum yönetimi, güvenliğin sağlanması, kullanıcı tercihlerinin hatırlanması ve performans ölçümü gibi amaçlarla kullanılabilir. Zorunlu çerezlerin engellenmesi halinde sepet, giriş, güvenlik doğrulaması ve ödeme adımlarında işlev kayıpları yaşanabileceği; işlevsel çerezlerin tercihlerin korunmasına katkı sağladığı; performans/analitik çerezlerinin kullanım verilerinin istatistiksel değerlendirilmesine yardımcı olduğu; pazarlama çerezlerinin ise yalnızca mevzuata uygun tercih ve onay bulunması halinde kişiselleştirilmiş içerik ve kampanya gösterimi amacıyla devreye girebileceği kabul edilir. Tarayıcı ayarları üzerinden çerezlerin yönetilmesi mümkündür; çerezlerin sınırlandırılması, site deneyiminde belirli kısıtlar doğurabilir.
İlgili kişiler, KVKK kapsamında tanınan haklarını kullanma imkanına sahiptir. Kişisel verilerin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme, mevzuatta öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme, düzeltme veya silme/yok etme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme, otomatik sistemlerce analiz sonucu kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kanuna aykırı işlem nedeniyle zarara uğranması halinde zararın giderilmesini talep etme hakları, başvuru yöntemine uygun şekilde kullanılabilir. Başvuruların daha sağlıklı sonuçlandırılabilmesi için talebin açık ve anlaşılır biçimde iletilmesi, iletişim bilgilerinin doğrulanabilir olması ve gerekli hallerde kimlik doğrulamasını sağlayacak ek bilgi ve belge sunulması beklenir; veri sorumlusu, başvuruları mevzuatta öngörülen süreler içinde sonuçlandırmayı hedefler.
Gizlilik Politikası metninde yer alan esaslar, mevzuata uyum, hizmetin niteliği, operasyonel gereklilikler ve güvenlik ihtiyaçları çerçevesinde güncellenebilir. Güncellemeler, sitede yayımlandığı andan itibaren yürürlüğe girer; ilgili kişinin vazgeçilemez yasal hakları her durumda saklı kalır. Siteyi kullanmaya devam eden kişilerin, güncel politikayı takip etmesi beklenir; veri işleme faaliyetlerinde açık rıza gerektiren bir değişiklik gündeme geldiğinde ise mevzuata uygun şekilde ayrıca bilgilendirme yapılması ve gerekli rızaların alınması esası korunur. Yürürlük tarihi ve güncelleme bilgisi, tercih edilmesi halinde sayfanın alt kısmında tarih formatında belirtilebilir; uygulamada şeffaflık ve öngörülebilirlik sağlayan her türlü açıklayıcı ifade, mevzuat sınırları içinde tutulmak kaydıyla politika metnine dahil edilebilir.