Kişisel Verilerin Korunması ve İşlenmesi Çerçeve Politikası

Deniz Deniz Butik Tekstil Sanayi ve Ticaret Anonim Şirketi tarafından yürütülen kişisel veri işleme faaliyetlerinin şeffaf, ölçülü ve hesap verebilir biçimde yönetilmesine ilişkin kurumsal esasları belirleyen çerçeve politikadır.

📋 Doküman Kodu: DB-KVKK-POL-01 | Sürüm 2.0 | Yürürlük: 17 Şubat 2025

📅 İlk Yayım: 15 Ağustos 2020 👤 Doküman Sahibi: Yönetim Kurulu / KVKK Uyum Koordinasyonu 🔍 Gözden Geçirme: En az yılda bir 🌐 Gizlilik Sınıfı: Kamuya Açık

⚠️ Önemli: Bu Politika, faaliyet bazlı KVKK aydınlatma metinlerinin, açık rıza metinlerinin ve Kişisel Veri Saklama ve İmha Politikası'nın yerine geçmez.

1 Amaç ve Politikanın Niteliği

Bu Politikanın amacı, Deniz Deniz Butik Tekstil Sanayi ve Ticaret Anonim Şirketi ("Şirket" veya "Deniz Butik") tarafından yürütülen kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun"), ilgili ikincil mevzuat ve Kişisel Verileri Koruma Kurulu kararlarıyla uyumlu, şeffaf, ölçülü ve hesap verebilir biçimde yönetilmesine ilişkin kurumsal esasları belirlemektir.

Politika; kişisel verilerin toplanması, kullanılması, açıklanması, aktarılması, saklanması, güvenliğinin sağlanması ve imhası süreçlerinde Şirket birimleri ile Şirket adına veri işleyen tarafların uyması gereken ortak çerçeveyi oluşturur.

📌 Politikanın niteliği: Bu metin bir açık rıza beyanı veya faaliyet bazlı aydınlatma metni değildir. İlgili kişilerin belirli veri işleme faaliyetleri hakkında bilgilendirilmesi, ilgili faaliyet başlamadan önce ayrıca ve uygun yöntemlerle yapılır. Açık rıza gereken durumlarda aydınlatma ve açık rıza işlemleri birbirinden ayrı yürütülür.

2 Kapsam, Dayanak ve Doküman Hiyerarşisi

2.1. Kapsam

Politika, Şirket tarafından tamamen veya kısmen otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verileri kapsar. Kapsam; aşağıdakilerle sınırlı olmamak üzere Şirketin tüm birimlerini, fiziksel alanlarını, internet sitesini, mobil uygulamalarını, müşteri iletişim kanallarını, sosyal medya faaliyetlerini ve üçüncü taraf hizmet sağlayıcılarla yürütülen süreçleri içerir.

Müşteriler, üyeler, üye olmadan alışveriş yapan kişiler, site ve mobil uygulama kullanıcıları, sipariş alıcıları, kampanya/çekiliş katılımcıları ve müşteri hizmetleriyle iletişim kuranlar;
Çalışanlar, stajyerler, çalışan adayları, eski çalışanlar, modeller, içeriklerde yer alan kişiler ve yasal temsilcileri;
Şirket hissedarları, yönetim kurulu üyeleri, yetkililer ve imza yetkilileri;
Tedarikçi, hizmet sağlayıcı, iş ortağı ve bunların çalışanları, yetkilileri ile gerçek kişi tacirler;
Fiziksel yerleşke ziyaretçileri, teslimat yapan kişiler, hukuki veya ticari ilişki kapsamında verisi işlenen üçüncü kişiler.

Anonim hâle getirilmiş ve hiçbir gerçek kişiyle ilişkilendirilemeyen veriler bu Politikanın kapsamı dışındadır.

2.2. Dayanak

Türkiye Cumhuriyeti Anayasası'nın 20. maddesi;
6698 sayılı Kişisel Verilerin Korunması Kanunu;
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik;
Veri Sorumluları Sicili Hakkında Yönetmelik ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ;
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik;
Kişisel Verileri Koruma Kurulunun ilke kararları, karar özetleri ve Şirket faaliyetleriyle ilgili diğer mevzuat.

2.3. Doküman hiyerarşisi

Kanun ve diğer bağlayıcı mevzuat hükümleri öncelikle uygulanır. Belirli bir veri işleme faaliyeti için hazırlanmış aydınlatma metni, açık rıza beyanı, sözleşme hükmü veya prosedür, o faaliyetin ayrıntıları bakımından bu Politikanın genel hükümlerini tamamlar. Çelişki hâlinde emredici mevzuat ve ilgili faaliyete özgü, daha güncel metin esas alınır.

3 Tanımlar ve Kısaltmalar

Açık rıza	Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim hâle getirme	Kişisel verilerin başka verilerle eşleştirilse dahi belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
İlgili kişi	Kişisel verisi işlenen gerçek kişi.
Kişisel veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel veri işleme envanteri	Şirketin veri işleme faaliyetlerini; amaç, hukuki sebep, veri kategorisi, ilgili kişi grubu, alıcı grubu, saklama süresi ve güvenlik tedbirleriyle ilişkilendirdiği kayıt.
Özel nitelikli kişisel veri	Kanun'un 6. maddesinde sınırlı olarak sayılan; ırk, etnik köken, siyasi düşünce, inanç, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri, biyometrik ve genetik veriler.
Veri işleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
Veri sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu gerçek veya tüzel kişi. Bu Politika bakımından veri sorumlusu Şirkettir.
Yurt dışına aktarım	Kişisel verilerin Türkiye dışındaki veri sorumlusu veya veri işleyene iletilmesi ya da başka surette erişilebilir hâle getirilmesi.

4 KVKK Yönetişim Yapısı ve Sorumluluklar

4.1. Veri sorumlusu ve nihai sorumluluk

Veri sorumlusu Deniz Deniz Butik Tekstil Sanayi ve Ticaret Anonim Şirketidir. Şirket içinde bir irtibat kişisi, ekip veya çalışan görevlendirilmesi; Kanun kapsamındaki yükümlülük ve sorumluluğu tüzel kişiden kaldırmaz.

4.2. Yönetim Kurulu / Yetkili Organ

Politikayı onaylar, kişisel veri uyum programının yürütülmesi için gerekli organizasyon ve kaynakları sağlar;
Önemli veri güvenliği riskleri, ihlaller ve uyum bulguları hakkında bilgilendirilir;
Görev, yetki ve sorumlulukların yazılı olarak belirlenmesini ve gerekli düzeltici faaliyetlerin yürütülmesini sağlar.

4.3. KVKK Uyum Koordinasyonu

Şirket yönetimi tarafından görevlendirilen hukuk, e-ticaret/bilgi teknolojileri, insan kaynakları, finans/muhasebe, müşteri ilişkileri ve ilgili diğer birim temsilcileri; "KVKK Uyum Koordinasyonu" kapsamında birlikte çalışır. Koordinasyonun başlıca görevleri:

Kişisel veri işleme envanterini, aydınlatma metinlerini, açık rıza kayıtlarını ve aktarım envanterini güncel tutmak;
Yeni proje, tedarikçi, yazılım, entegrasyon ve kampanyaları kişisel veri etkileri bakımından değerlendirmek;
İlgili kişi başvurularını ve veri ihlallerini koordine etmek;
Saklama ve imha süreçlerini, eğitimleri, denetimleri ve düzeltici faaliyetleri izlemek;
Gerekli hâllerde dış hukuk, bilgi güvenliği ve teknik danışmanlardan destek almak.

4.4. Birim yöneticileri ve çalışanlar

Her birim, kişisel verileri yalnızca görev ve yetki kapsamında, belirlenen amaçlar için ve gerekli ölçüde işler;
Yeni veri toplama alanı, rapor, liste, entegrasyon veya paylaşım faaliyeti KVKK Uyum Koordinasyonuna bildirilir;
Erişim bilgileri paylaşılmaz; yetkisiz erişim, kayıp, yanlış gönderim veya şüpheli olaylar derhâl raporlanır;
Gizlilik yükümlülüğü görev veya sözleşme sona erdikten sonra da devam eder.

5 Kişisel Veri İşlemede Temel İlkeler

Hukuka ve dürüstlük kurallarına uygunluk	Veri işleme faaliyetleri ilgili kişilerin makul beklentileri, şeffaflık ve ölçülülük esas alınarak yürütülür.
Doğruluk ve güncellik	İşleme amacı bakımından gerekli olan verilerin doğru ve güncel tutulması için uygun kanallar sağlanır.
Belirli, açık ve meşru amaç	Kişisel veriler, işlem başlamadan önce belirlenen ve ilgili kişiye açıklanan amaçlar için işlenir.
Amaçla bağlantılı, sınırlı ve ölçülü olma	İhtiyaç duyulmayan veriler toplanmaz; mevcut veriler uyumsuz yeni amaçlarla kullanılmaz.
Gerekli süre kadar saklama	Veriler, mevzuatta öngörülen veya işleme amacı ve hukuki savunma için gerekli olan süreyi aşmayacak şekilde saklanır.
Hesap verebilirlik ve güvenlik	Şirket, uyumun gösterilebilmesi için kararları, onayları, aktarım ve imha işlemlerini uygun ölçüde kayıt altına alır.
Tasarımda ve varsayılanda mahremiyet	Yeni süreç ve sistemlerde veri minimizasyonu, erişim sınırlandırması ve güvenlik gereklilikleri tasarım aşamasında değerlendirilir.

6 İlgili Kişi Kategorileri

Müşteri ve kullanıcılar	Üyeler, üyeliksiz alışveriş yapanlar, site/uygulama ziyaretçileri, sipariş alıcıları, iade/değişim başvurusu yapanlar, kampanya/çekiliş katılımcıları, yorum yapanlar ve müşteri hizmetleriyle iletişime geçenler.
Çalışan ve benzeri kişiler	Çalışanlar, stajyerler, eski çalışanlar, işveren vekilleri, geçici personel ve görevlendirilen kişiler.
Çalışan adayları	İş başvurusu yapan veya özgeçmişini Şirketin değerlendirmesine sunan kişiler ve referansları.
Model ve içerik katılımcıları	Fotoğraf, video, ses, canlı yayın veya tanıtım içeriklerinde yer alan çalışanlar ve dışarıdan katılan kişiler ile yasal temsilcileri.
Ziyaretçiler	Şirketin ofis, depo, stüdyo ve diğer fiziksel alanlarını ziyaret eden kişiler ve dijital ziyaretçiler.
Tedarikçi ve iş ortakları	Gerçek kişi tedarikçiler ile tüzel kişi tedarikçi/iş ortağının çalışanları, yetkilileri, temsilcileri ve irtibat kişileri.
Hissedar ve şirket yetkilileri	Hissedarlar, yönetim kurulu üyeleri, imza yetkilileri ve diğer yetkililer.
Üçüncü kişiler	Teslim alıcılar, hediye alıcıları, acil durum kişileri, hukuki işlem tarafları ve süreç kapsamında verisi işlenen diğer kişiler.

7 İşlenen Kişisel Veri Kategorileri

İşlenen veri kategorileri ilgili sürece göre değişir. Şirket, yalnızca işleme amacı için gerekli olan veri unsurlarını işler.

Kimlik	Ad-soyad, doğum tarihi, T.C. kimlik/vergi numarası, imza, unvan. Sipariş/fatura, istihdam, sözleşme, yetkilendirme.
İletişim	Telefon, e-posta, adres, KEP, irtibat bilgileri. Üyelik, teslimat, müşteri ilişkileri, iş ilişkileri.
Müşteri işlemleri	Sipariş, sepet, favori, bakiye, kupon, iade/değişim, yorum, talep/şikâyet. E-ticaret ve satış sonrası hizmetler.
Finans	Ödeme yöntemi, işlem sonucu, IBAN, banka hareketi açıklaması, ücret ve muhasebe kayıtları. Ödeme, muhasebe, bordro, tahsilat ve iade.
İşlem güvenliği ve teknik	IP, oturum, cihaz/çerez kimliği, log, güvenlik ve hata kayıtları. Bilgi güvenliği, dolandırıcılık önleme, site/uygulama.
Pazarlama ve tercih	Ticari ileti tercihleri, kampanya tepkileri, segment, kişiselleştirme kayıtları. Pazarlama ve reklam – gerekli onaylar dâhilinde.
Görsel ve işitsel	Fotoğraf, video, çağrı merkezi sesi, kamera kayıtları, kullanıcı içerikleri. Güvenlik, müşteri hizmetleri, tanıtım ve içerik.
Mesleki ve özlük	Özgeçmiş, eğitim, deneyim, görev, bordro, izin, performans ve çalışma kayıtları. İnsan kaynakları ve iş ilişkisi.
Fiziksel mekân güvenliği	Kamera kaydı, ziyaret kaydı, giriş-çıkış bilgisi. Ofis/depo/stüdyo güvenliği.
Hukuki işlem ve uyum	Sözleşmeler, dava/icra kayıtları, başvuru ve resmî yazışmalar. Hukuki yükümlülükler ve hakların korunması.
Özel nitelikli veri	Sağlık, engellilik, sendika, ceza mahkûmiyeti/güvenlik tedbiri, biyometrik/genetik veri. Yalnızca gerekli ve hukuka uygun süreçlerde.
Üçüncü kişi bilgileri	Teslim alıcı, referans, acil durum kişisi veya yasal temsilci bilgileri. Teslimat, işe alım, güvenlik ve temsil.

8 İşleme Amaçları ve Hukuki Sebepler

8.1. Başlıca amaçlar

E-ticaret üyeliği, sipariş, ödeme, faturalama, teslimat, iade, değişim ve müşteri destek süreçlerinin yürütülmesi;
Mobil uygulama, internet sitesi, bilgi sistemleri ve kullanıcı hesaplarının işletilmesi;
Ticari ileti, kampanya, kişiselleştirme, analiz ve reklam faaliyetlerinin hukuka uygun biçimde yürütülmesi;
Çalışan ve çalışan adayı süreçleri; bordro, özlük, iş sağlığı ve güvenliği, performans, eğitim ve iş ilişkisinin yönetimi;
Tedarikçi, iş ortağı, sözleşme, satın alma, ödeme ve operasyon süreçlerinin yönetimi;
Fiziksel ve dijital güvenlik, dolandırıcılık ve kötüye kullanımın önlenmesi;
Hukuki yükümlülüklerin yerine getirilmesi, denetim, dava/icra ve hakların tesisi, kullanılması veya korunması;
Kurumsal iletişim, görsel-işitsel içerik, etkinlik ve marka faaliyetlerinin yürütülmesi;
İş sürekliliği, kalite geliştirme, raporlama, risk yönetimi ve iç kontrol.

8.2. Genel nitelikli kişisel verilerin hukuki sebepleri

Açık rıza	Gerekli olduğu hâllerde reklam profillemesi, özel hedef kitle, zorunlu olmayan çerezler, isteğe bağlı görsel kullanım veya belirli yurt dışı aktarım işlemleri.
Kanunlarda açıkça öngörülme	Vergi, muhasebe, iş, sosyal güvenlik ve diğer yasal kayıtlar.
Fiili imkânsızlık ve hayati menfaat	Acil durumlarda hayat veya beden bütünlüğünün korunması.
Sözleşmenin kurulması veya ifası	Üyelik, sipariş, ödeme, teslimat, iade ve tedarikçi sözleşmeleri.
Hukuki yükümlülük	Fatura, resmî bildirim, yetkili kurum talepleri, işveren yükümlülükleri.
İlgili kişinin alenileştirmesi	Sosyal medya içeriğinin, alenileştirme amacıyla sınırlı biçimde değerlendirilmesi.
Bir hakkın tesisi, kullanılması veya korunması	Dava, şikâyet, tahsilat, savunma ve uyuşmazlık kayıtları.
Meşru menfaat	Bilgi güvenliği, dolandırıcılık önleme, iş süreçlerinin geliştirilmesi ve iç kontrol; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla.

📌 Açık rıza ilkesi: Açık rıza, başka bir geçerli işleme şartı bulunmadığında veya mevzuatın gerektirdiği durumlarda kullanılır. Hizmetin sunulması için zorunlu olmayan rızalar, üyelik veya alışverişin şartı hâline getirilmez; önceden işaretli kutu kullanılmaz ve rıza ileriye etkili olarak geri alınabilir.

9 Kişisel Verilerin Elde Edilmesi

Kişisel veriler; faaliyet ve kanalın niteliğine göre sözlü, yazılı, görsel veya elektronik yollarla aşağıdaki kaynaklardan elde edilebilir:

İlgili kişinin site, mobil uygulama, form, sözleşme, e-posta, telefon, WhatsApp, canlı destek, sosyal medya veya yüz yüze iletişim yoluyla doğrudan sağladığı bilgiler;
Google, Apple veya Facebook gibi sosyal giriş sağlayıcılarından, ilgili kişinin izin verdiği hesap bilgileri;
Ödeme kuruluşları, bankalar, kargo şirketleri, kamu kurumları, tedarikçiler veya iş ortaklarından işlemin yürütülmesi için alınan bilgiler;
Çerez, piksel, uygulama yazılım geliştirme kitleri, log kayıtları, cihaz ve güvenlik teknolojileri aracılığıyla elde edilen veriler;
Fiziksel alanlardaki kamera ve ziyaretçi kayıtları;
Hukuka uygun ve amaçla sınırlı olmak kaydıyla aleni kaynaklar veya ilgili kişinin referans olarak bildirdiği kişiler.

Kişisel verilerin dolaylı olarak elde edildiği durumlarda, Kanun'un 10. maddesi ve ilgili Tebliğ uyarınca uygun zamanda aydınlatma yapılır.

10 Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır. Bu veriler, Kanun'un 6. maddesinde sınırlı olarak sayılan şartlardan en az birinin bulunması ve Kurul tarafından belirlenen yeterli önlemlerin alınması hâlinde işlenebilir.

Şirket özel nitelikli kişisel verileri, faaliyetin niteliğine göre aşağıdaki hukuki sebeplerden uygun olanına dayanarak işler:

İlgili kişinin açık rızasının bulunması;
İşlemenin kanunlarda açıkça öngörülmesi;
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak kişinin veya başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olması;
İlgili kişinin alenileştirdiği verilere ilişkin ve alenileştirme iradesiyle uyumlu olması;
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması;
Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım ile sağlık hizmetlerinin planlanması/yönetimi/finansmanı için, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurumlarca işlenmesi;
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması;
Kanunda öngörülen diğer özel koşulların gerçekleşmesi.

Özel nitelikli veriler bakımından; erişim yetkileri daraltılır, erişim ve işlem kayıtları tutulur, aktarım kanalları güvenli hâle getirilir, çalışanlar gizlilik ve güvenlik konusunda bilgilendirilir ve gerekli hâllerde ayrı prosedürler uygulanır.

11 Faaliyet Alanlarına Özgü Temel Kurallar

11.1. E-ticaret, müşteri ve mobil uygulama süreçleri

Müşteri verileri; üyelik, sipariş, ödeme, teslimat, iade/değişim ve destek amaçları için gerekli ölçüde işlenir;
Ham kart numarası ve kart güvenlik kodu Şirket sistemlerinde saklanmaz; ödeme kuruluşu veya banka altyapısı kullanılır;
Üye olmadan alışveriş yapan kişiler ve mobil uygulama kullanıcıları, veri toplama anında kendilerine özgü aydınlatma metinlerine erişebilir;
Hesap silme talebi, yasal saklama ve hukuki savunma zorunlulukları saklı kalmak üzere gereksiz üyelik verilerinin silinmesi veya anonimleştirilmesiyle sonuçlandırılır.

11.2. Çalışanlar ve çalışan adayları

İstihdam verileri; işe alım, iş sözleşmesinin yürütülmesi, bordro, yan hak, izin, performans, iş sağlığı ve güvenliği, güvenlik ve yasal yükümlülük amaçlarıyla işlenir;
Çalışan izleme ve denetim faaliyetleri belirli, gerekli ve ölçülü tutulur; çalışanlar uygun metinlerle bilgilendirilir;
Çalışan adaylarının referanslarıyla iletişim kurulması ve ek araştırmalar, faaliyetin niteliğine göre bilgilendirme ve uygun hukuki sebebe dayanır;
Çalışanların veya modellerin görsel-işitsel içeriklerde kullanılması, ayrı protokol ve aydınlatma metinleriyle düzenlenir.

11.3. Pazarlama, çerezler, profilleme ve ticari ileti

Ticari elektronik ileti onayı, üyelik ve satış işlemlerinden ayrı şekilde alınır ve İleti Yönetim Sistemi süreçleri yürütülür;
Zorunlu olmayan analiz ve reklam çerezleri, uygun rıza alınmadan çalıştırılmaz; "kabul et", "reddet" ve tercih yönetimi seçenekleri sunulur;
Özel hedef kitle veya benzer hedef kitle oluşturma gibi işlemler, gerekli açık rıza ve veri minimizasyonu şartlarıyla yürütülür;
Profilleme sonuçları tek başına ilgili kişi hakkında hukuki veya benzeri önemli olumsuz sonuç doğuran otomatik kararlara dönüştürülmez.

11.4. Sosyal medya ve kullanıcı içerikleri

İlgili kişinin Şirket hesabını açıkça etiketlemesi veya içeriği paylaşılması amacıyla doğrudan iletmesi, yalnızca makul beklenti ve alenileştirme amacıyla uyumlu organik kullanım bakımından değerlendirilir;
İçeriğin ücretli reklamda, farklı kampanyada veya geniş kapsamlı ticari kullanımında ayrıca izin alınır;
Ürün yorumları ve fotoğraf/video içerikleri, ayrı yayın tercihi bulunması hâlinde yayımlanır; gereksiz kimlik bilgileri maskelenir.

11.5. Yapay zekâ ve otomatik sistemler

Müşteri veya çalışan kişisel verileri, yetkisiz genel amaçlı yapay zekâ araçlarına aktarılmaz;
Yapay zekâ kullanımı öncesinde amaç, veri kategorisi, sağlayıcı, saklama/eğitim koşulları, yurt dışı aktarım ve insan denetimi değerlendirilir;
Mümkün olduğunda veriler anonimleştirilir veya takma adlandırılır; veri minimizasyonu uygulanır;
Yapay zekâ çıktıları, ilgili kişiyi etkileyen karar veya iletişimlerde uygun insan kontrolüne tabi tutulur.

11.6. Fiziksel alanlar ve kamera kayıtları

Kamera kayıtları, güvenlik ve olay inceleme amaçlarıyla, görüş alanı ve saklama süresi ölçülü tutularak alınır;
Soyunma, dinlenme, ibadet, tuvalet gibi yüksek mahremiyet beklenen alanlarda kamera kullanılmaz;
Kamera ve ziyaretçi süreçleri için görünür bilgilendirme ve gerektiğinde ayrıntılı aydınlatma metni sağlanır;
Kayıtlara erişim görevle sınırlı yetkililere verilir ve resmî/hukuki talep olmadıkça üçüncü kişilere açıklanmaz.

11.7. Çocuklar ve yasal temsil

Şirket çocuklara yönelik özel bir pazarlama faaliyeti yürütmez. On sekiz yaşından küçük kişilerin alışveriş ve üyelik işlemlerini veli veya yasal temsilci gözetiminde yapması beklenir. Küçüklerin model veya içerik katılımcısı olduğu süreçler, yasal temsilci onayı ve çocuğun üstün yararı gözetilerek ayrı metinlerle yürütülür.

12 Kişisel Verilerin Yurt İçinde Aktarılması

Kişisel veriler, Kanun'un 8. maddesi uyarınca, Kanun'un 5 ve 6. maddelerindeki işleme şartlarından uygun olanına dayanılarak ve aktarım amacıyla sınırlı olarak yurt içindeki alıcılara aktarılabilir.

Teknoloji ve altyapı sağlayıcıları	E-ticaret, mobil uygulama, barındırma, bulut, güvenlik ve destek sağlayıcıları. Sistemlerin işletilmesi, bakım, güvenlik ve iş sürekliliği.
Ödeme ve finans kuruluşları	Ödeme kuruluşları, bankalar, e-fatura, ERP ve mali müşavirler. Ödeme, doğrulama, dolandırıcılık önleme, fatura ve muhasebe.
Lojistik ve teslimat	Kargo, kurye ve uluslararası taşıyıcılar. Teslimat, iade ve kapıda tahsilat.
İletişim ve pazarlama sağlayıcıları	SMS/e-posta, çağrı merkezi, CRM, bildirim, analiz ve reklam sağlayıcıları. Onaylı iletişim, müşteri desteği, ölçüm ve kişiselleştirme.
Profesyonel danışmanlar	Avukat, denetçi, bilgi güvenliği ve diğer uzmanlar. Hukuki danışmanlık, denetim, savunma ve güvenlik.
İş ortakları ve tedarikçiler	Üretim, çekim, ajans, satın alma ve operasyon tarafları. Sözleşme ve hizmetin yürütülmesi.
Yetkili kurum ve merciler	Mahkemeler, icra daireleri, kolluk, vergi ve diğer yetkili kurumlar. Yasal yükümlülüklerin ve resmî taleplerin yerine getirilmesi.

Güncel hizmet sağlayıcıların ticari isimleri ve faaliyet bazlı aktarım ayrıntıları, ilgili aydınlatma metinlerinde ve Şirketin hizmet sağlayıcı/veri işleyen envanterinde tutulur.

13 Kişisel Verilerin Yurt Dışına Aktarılması

Yurt dışına aktarım; yabancı bir hizmet sağlayıcının sunucusuna veri gönderilmesi, yurt dışından uzaktan erişim sağlanması veya verinin başka şekilde yurt dışındaki veri sorumlusu/veri işleyene erişilebilir kılınmasını kapsar.

Şirket, yurt dışına aktarım yapmadan önce Kanun'un 5 veya 6. maddesindeki uygun işleme şartının yanı sıra Kanun'un 9. maddesinde öngörülen aktarım mekanizmalarından birini belirler ve belgelendirir:

Aktarımın yapılacağı ülke, sektör veya uluslararası kuruluş hakkında yeterlilik kararının bulunması;
Yeterlilik kararı yoksa; standart sözleşme, bağlayıcı şirket kuralları, Kurulun iznine tabi yazılı taahhüt veya mevzuatta öngörülen diğer uygun güvencelerden birinin sağlanması;
Yeterlilik kararı ve uygun güvence bulunmadığında, yalnızca Kanun'da sınırlı olarak düzenlenen arızi aktarım hâllerinden birinin gerçekleşmesi.

Standart sözleşme kullanılması hâlinde, taraf rollerine uygun Kurul metni seçilir ve imzaların tamamlanmasından itibaren beş iş günü içinde Kuruma bildirim yapılır;
Yabancı sağlayıcının kendi sözleşmesi veya GDPR standart sözleşmesi, Türk hukukundaki standart sözleşme yükümlülüğünü kendiliğinden karşılamaz;
Yurt dışına aktarılan verilerin sonraki aktarımları da Kanun ve ilgili Yönetmeliğe uygun olmalıdır;
Aktarım envanterinde sağlayıcı, ülke, veri kategorisi, amaç, taraf rolleri, hukuki sebep, aktarım mekanizması ve alt işleyenler takip edilir;
Açık rıza, düzenli ve yapısal aktarımın genel ve sınırsız dayanağı olarak kullanılmaz.

14 Saklama, Silme, Yok Etme ve Anonimleştirme

Kişisel verilerin azami saklama süreleri, Kişisel Veri İşleme Envanteri ve ayrı Kişisel Veri Saklama ve İmha Politikası içinde; mevzuat, sözleşme ilişkisi, işleme amacı, zamanaşımı ve hukuki savunma ihtiyacı dikkate alınarak belirlenir.

İşleme şartlarının tamamı ortadan kalktığında kişisel veriler resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir;
Periyodik imha aralığı, ilgili Saklama ve İmha Politikasında belirlenir ve mevzuatta öngörülen azami süreyi aşmaz;
İmha işlemleri kayıt altına alınır ve bu kayıtlar, diğer hukuki yükümlülükler saklı kalmak üzere en az üç yıl saklanır;
Bir dava, denetim, soruşturma veya hukuki talep bulunması hâlinde ilgili veriler yalnızca bu amaçla sınırlı erişim altında süreç sonuçlanıncaya kadar muhafaza edilebilir;
Yedeklerde bulunan veriler, belirlenen yedekleme döngüsü içinde üzerine yazma veya güvenli imha yoluyla erişilemez hâle getirilir.

📌 Ayrı politika gerekliliği: Bu Çerçeve Politika, saklama süreleri ve teknik imha yöntemleri bakımından Kişisel Veri Saklama ve İmha Politikası ile birlikte uygulanır.

15 Kişisel Veri Güvenliği

Şirket, işlenen verinin niteliği, hacmi, işleme bağlamı, ilgili kişiler bakımından doğabilecek riskler ve teknik imkânlar dikkate alınarak uygun güvenlik düzeyini sağlamak için gerekli teknik ve idari tedbirleri alır.

15.1. Teknik tedbirler

SSL/TLS bağlantı güvenliği, 3D Secure ve ödeme verilerinin yetkili ödeme altyapıları üzerinden işlenmesi;
Güçlü parola politikası, uygun sistemlerde çok faktörlü doğrulama, rol bazlı erişim ve en az yetki ilkesi;
Erişim ve işlem kayıtlarının tutulması, güvenlik duvarı, şifreleme ve zararlı yazılım koruması;
Düzenli yedekleme, güvenli güncelleme/yama süreçleri, zafiyet taraması ve ihtiyaç/risk bazlı sızma testleri;
Çalışan işten ayrıldığında veya görevi değiştiğinde erişimlerin gecikmeksizin kapatılması ya da güncellenmesi;
Kişisel verilerin çalışanların kişisel cihazlarına indirilmesinin engellenmesi veya sıkı kurallara bağlanması;
Özel nitelikli veriler için ek erişim, şifreleme, kayıt ve güvenli aktarım tedbirleri.

15.2. İdari tedbirler

Kişisel veri işleme envanteri, politika, prosedür ve görev tanımlarının oluşturulması ve güncellenmesi;
Çalışanlar için gizlilik yükümlülükleri, rol bazlı eğitim ve farkındalık faaliyetleri;
Tedarikçi ve veri işleyen sözleşmelerinde güvenlik, gizlilik, ihlal, alt işleyen, denetim ve imha hükümleri;
Yeni sistem ve projelerde veri koruma etkilerinin, veri minimizasyonunun ve yurt dışı aktarımın önceden değerlendirilmesi;
Düzenli iç kontrol, teknik denetim ve bulgular için düzeltici/önleyici faaliyetlerin takibi;
Kâğıt belgeler ve taşınabilir ortamlar için erişim, saklama, taşıma ve imha kuralları.

16 Kişisel Veri İhlali Yönetimi

Kişisel verilerin yetkisiz elde edilmesi, açıklanması, değiştirilmesi, kaybolması, yanlış kişiye gönderilmesi veya erişilemez hâle gelmesi şüphesi dâhil tüm güvenlik olayları gecikmeksizin Şirketin belirlediği iç bildirim kanalına iletilir.

Olayın kapsamı, etkilenen sistemler, veri kategorileri, kişi sayısı, zaman çizelgesi ve olası sonuçları teknik ve hukuki ekiplerce değerlendirilir;
İhlal doğrulanırsa zararı sınırlandırma, erişimi kesme, kayıtları koruma ve delil bütünlüğünü sağlama tedbirleri alınır;
Şirket, ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yapar; gerekli bilgiler tek seferde sağlanamıyorsa aşamalı bildirim yürütülür;
Etkilenen ilgili kişiler belirlendiğinde, risk ve zararları azaltmalarına imkân verecek biçimde makul olan en kısa sürede bilgilendirilir;
İhlalin nedenleri, etkileri, kararlar ve alınan tedbirler kayıt altına alınır; olay sonrası kök neden analizi ve düzeltici faaliyet uygulanır.

Veri işleyenler, Şirket adına işledikleri verilerde meydana gelen veya şüphelenilen ihlalleri herhangi bir gecikmeye yer vermeksizin Şirkete bildirir.

17 İlgili Kişi Hakları ve Başvurular

İlgili kişiler Kanun'un 11. maddesi kapsamında aşağıdaki haklara sahiptir:

Kişisel veri işlenip işlenmediğini öğrenme ve işlenmişse bilgi talep etme;
İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme;
Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme;
Eksik veya yanlış verilerin düzeltilmesini isteme;
Şartları oluştuğunda silme veya yok etme isteme ve işlemin aktarılan üçüncü kişilere bildirilmesini talep etme;
Münhasıran otomatik sistemlerle analiz sonucu aleyhe bir sonuca itiraz etme;
Kanuna aykırı işleme nedeniyle zararın giderilmesini talep etme.

Başvurular; kimlik ve talep doğrulamaya elverişli olmak kaydıyla aşağıdaki kanallardan iletilebilir:

KEP	[email protected]
E-posta	[email protected] (mümkünse sistemde kayıtlı e-posta adresi üzerinden)
Islak imzalı başvuru	Harmandere Mahallesi, Ankara Caddesi, No: 486/1, A Blok, İç Kapı No: 15, Pendik/İstanbul
Online form	Kişisel Veri Bilgi Alma ve Talep Başvuru Formu (internet sitesinde yayımlanmaktadır)

Şirket, başvuruyu talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırır.

18 Veri İşleyen ve Tedarikçi Yönetimi

Şirket adına kişisel veri işleyen veya kişisel verilere erişen tedarikçiler, hizmete başlamadan önce risk ve rol bakımından değerlendirilir. Sözleşmelerde, faaliyetin niteliğine göre aşağıdaki hükümler yer alır:

İşleme konusu, süresi, amacı, veri kategorileri ve ilgili kişi grupları;
Yalnızca Şirketin belgelenmiş talimatları doğrultusunda işleme ve gizlilik;
Uygun teknik ve idari tedbirler ile erişim kontrolü;
Alt işleyen kullanımı ve alt işleyenlerin eşdeğer yükümlülükleri;
İlgili kişi başvurularında, denetimlerde ve ihlal yönetiminde yardım;
İhlallerin gecikmeksizin bildirilmesi;
Hizmet sona erdiğinde verilerin iadesi, silinmesi veya anonimleştirilmesi;
Yurt dışı aktarım mekanizması ve sonraki aktarımlar;
Şirketin bilgi, belge ve makul denetim talep etme hakkı.

Veri sorumlusu ile veri işleyen, Kanun'un 12. maddesi kapsamında veri güvenliği tedbirlerinin alınması bakımından mevzuatın öngördüğü ölçüde birlikte sorumludur.

19 Eğitim, Denetim ve Hesap Verebilirlik

Kişisel veriye erişen çalışanlara işe girişte ve görev/risk ihtiyaçlarına göre periyodik eğitim veya bilgilendirme yapılır;
Kişisel veri işleme envanteri, aydınlatma metinleri, saklama süreleri, hizmet sağlayıcılar ve yurt dışı aktarım kayıtları en az yılda bir ve süreç değişikliklerinde gözden geçirilir;
İlgili kişi başvuruları, açık rıza ve ticari ileti tercihleri, imha işlemleri, veri ihlalleri ve önemli kararlar uygun ölçüde kayıt altına alınır;
İç denetim veya dış danışman değerlendirmesi sonucunda tespit edilen uygunsuzluklar için sorumlu, hedef tarih ve doğrulama adımı içeren aksiyon planı oluşturulur;
Uyum belgeleri, fiilî uygulamayla tutarlı tutulur; gerçekleştirilmeyen kontrol veya faaliyetler yapılmış gibi beyan edilmez.

20 Politikanın İhlali, Güncellenmesi ve Yürürlük

Bu Politikaya, ilgili prosedürlere veya kişisel veri güvenliği kurallarına aykırılık; olayın niteliğine göre iş hukuku, sözleşme ve ilgili mevzuat kapsamında disiplin, sözleşmesel yaptırım ve hukuki sorumluluk doğurabilir. Şüpheli veya gerçekleşmiş ihlali iyi niyetle bildiren kişilere karşı misilleme yapılmaz.

Politika; mevzuat ve Kurul kararlarındaki değişiklikler, yeni teknoloji veya hizmet sağlayıcıların devreye alınması, organizasyon değişiklikleri, denetim bulguları ve veri işleme süreçlerindeki önemli değişiklikler üzerine güncellenir. Güncel sürüm, uygun kurumsal kanallarda ve gerekli görülen ölçüde internet sitesinde yayımlanır.

Bu Politika 17 Haziran 2026 tarihinde yürürlüğe girmiş ve 15 Ağustos 2020 tarihli önceki "Kişisel Verilerin Korunması Politikası"nın yerini almıştır.

Ek-1 Rol ve Sorumluluk Matrisi

Yönetim Kurulu / Yetkili Organ	Politika, kaynak, risk ve düzeltici faaliyetlerin üst gözetimi. Onay, görevlendirme, üst yönetim kararları.
KVKK Uyum Koordinasyonu	Uyum programı, envanter, metinler, başvurular, aktarım ve ihlal koordinasyonu. Envanter, uyum planı, kayıt ve raporlar.
E-ticaret / Bilgi Teknolojileri	Sistem güvenliği, erişimler, entegrasyonlar, loglar, silme ve teknik inceleme. Erişim listeleri, teknik kayıtlar, silme/ihlal aksiyonları.
Hukuk / Şirket avukatları	Hukuki sebepler, sözleşmeler, başvurular, ihlal ve Kurum süreçleri. Hukuki değerlendirme, bildirim ve sözleşme hükümleri.
İnsan Kaynakları	Çalışan/aday verileri, özlük ve iş sağlığı süreçleri. İK aydınlatmaları, erişim ve saklama uygulamaları.
Finans / Muhasebe	Fatura, ödeme, vergi ve mali kayıtların yönetimi. Yasal saklama, yetkili paylaşımlar.
Müşteri İlişkileri	Talep/şikâyet, çağrı ve ilgili kişi iletişimi. Başvuru yönlendirmesi, kayıt ve müşteri bildirimi.
Birim yöneticileri	Birim içi amaç, yetki, veri minimizasyonu ve değişiklik bildirimi. Yetki talepleri, süreç güncellemeleri.
Tüm çalışanlar	Talimatlara uyma, gizlilik, olay bildirimi. Güvenli kullanım ve zamanında bildirim.
Veri işleyenler	Sözleşme ve talimatlara uygun güvenli işleme. İhlal bildirimi, güvenlik kanıtı, silme/iade.

Ek-2 İlgili Politika ve Metinler

Bu Politika aşağıdaki belgelerle birlikte uygulanır:

KVKK Aydınlatma Metni: denizbutik.com/kvkk
Kişisel Verilerin Korunması Politikası: denizbutik.com/kisisel-verilerin-korunmasi-politikasi
Çerez Politikası: denizbutik.com/cerez-politikasi
Kişisel Veri Bilgi Alma ve Talep Başvuru Formu: denizbutik.com/kisisel-veri-bilgi-alma-ve-talep-basvuru-formu

Ayrıca faaliyet ve ilgili kişi grubuna göre; Gizlilik Politikası, Üye Olmadan Alışveriş Aydınlatma Metni, Mobil Uygulama Aydınlatma Metni, çalışan/aday/ziyaretçi/tedarikçi aydınlatma metinleri, açık rıza ve ticari ileti onayları, Kişisel Veri Saklama ve İmha Politikası, Veri İhlali Müdahale Prosedürü, Çerez Envanteri, Yurt Dışı Aktarım Envanteri ve veri işleyen sözleşmeleri uygulanır.

Ek-3 Revizyon Geçmişi

Sürüm 1.0	15.08.2020 – İlk yayım. Şirket yetkili organı tarafından onaylanmıştır.
Sürüm 2.0	17.02.2025 – Politika baştan yapılandırıldı; 2024 KVKK değişiklikleri, yurt dışı aktarım rejimi, özel nitelikli veriler, veri ihlali, e-ticaret, mobil uygulama, yapay zekâ ve güncel yönetişim hükümleri eklendi. Yönetim Kurulu / Yetkili Organ tarafından onaylanmıştır.