Sepet ( 0 )
Alışveriş sepetinizde hiçbir şey yok.
ADERSA KOZMETİK SANAYİ VE TİCARET ANONİM ŞİRKETİ
VERİ GİZLİLİĞİ POLİTİKASI
1. AMAÇ, DAYANAK VE KAPSAMBu Veri Gizliliği Politikası ("Politika"), ADERSA KOZMETİK SAN. VE TİC. A.Ş.'nin kişisel veri
işleme faaliyetlerinde benimsediği ilkeleri, güvenlik standartlarını ve veri yönetim çerçevesini
belirler.
Politika; 6698 sayılı KVKK, KVK Kurulu kararları, Kişisel Verilerin Silinmesi, Yok Edilmesi veya
Anonim Hâle Getirilmesi Hakkında Yönetmelik, 6563 sayılı Elektronik Ticaret Kanunu ve AB
Genel Veri Koruma Tüzüğü'nün (GDPR) Türkiye'deki yansımalarını esas almaktadır.
ADERSA, Danimarka merkezli NEW NORDIC ApS markasının Türkiye'deki tek yetkili
distribütörüdür. Bu ilişki kapsamındaki uluslararası veri akışları da bu Politika ile
düzenlenmiştir.
| Şirket Unvanı | ADERSA KOZMETİK SANAYİ VE TİCARET ANONİM ŞİRKETİ |
|---|---|
| Adres | Mimar Sinan Mah. Üsküdar Cad. Yedpa No:1F D:91 Ataşehir İSTANBUL |
| MERSİS No | 0007158468000001 |
| E-posta | [email protected] |
| Telefon | 05300650121 |
| KEP Adresi | [email protected] |
| Web Sitesi | www.newnordic.com.tr |
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
• Özel Nitelikli Kişisel Veri: Irk/etnik köken, siyasi görüş, din, sağlık, biyometrik/genetik
veri vb. (KVKK md. 6)
• Veri Sorumlusu: Kişisel verilerin işleme amaç ve vasıtalarını belirleyen ADERSA
KOZMETİK SAN. VE TİC. A.Ş.
• Veri İşleyen: Veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişi
• İlgili Kişi: Kişisel verisi işlenen gerçek kişi (ziyaretçi, üye, müşteri)
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan onay
• İYS: İleti Yönetim Sistemi (iys.org.tr) — ticari elektronik ileti onay platformu
Şirket, KVKK md. 4 uyarınca kişisel verileri aşağıdaki temel ilkeler doğrultusunda işler:
• Hukuka ve dürüstlük kurallarına uygun işleme
• Doğruluk ve gerektiğinde güncellik
• Belirli, açık ve meşru amaçlar için işleme
• İşlendiği amaçla bağlantılı, sınırlı ve ölçülü olma (veri minimizasyonu)
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
| Veri Kategorisi | Kapsam | İşleme Amacı | Hukuki Dayanak |
|---|---|---|---|
| Kimlik ve İletişim | Ad, soyad, e-posta, telefon, adres | Sipariş ifası, müşteri hesabı yönetimi | KVKK md. 5/2-c (sözleşme ifası) |
| Finansal | Fatura bilgileri, sipariş tutarları (kart no saklanmaz) | Muhasebe, vergi yükümlülüğü | KVKK md. 5/2-ç (hukuki yükümlülük) |
| Kullanıcı İşlem | Sipariş geçmişi, site davranışı, arama geçmişi | Hizmet iyileştirme, öneri sistemi | KVKK md. 5/2-c ve md. 5/2-f (meşru menfaat) |
| Pazarlama | İletişim tercihleri, kampanya etkileşimleri, İYS onayları | Ticari elektronik ileti gönderimi | KVKK md. 5/1 (açık rıza) + ETK md. 6 |
| Teknik | IP, çerez, cihaz, log kayıtları | Güvenlik, site işlevselliği | KVKK md. 5/2-f (meşru menfaat) |
| Özel Nitelikli (Sağlık) | Ürünle ilişkilendirilen sağlık/reçete bilgisi | Tıbbi ürün satış süreci | KVKK md. 6/2 (açık rıza) + KVK Kurulu 2018/10 |
6.1. Yurt İçi Aktarımlar
| Alıcı | Aktarım Amacı | Dayanak |
|---|---|---|
| Kargo / Lojistik sağlayıcılar | Sipariş teslimatı | KVKK md. 8/2-a |
| PCI-DSS uyumlu ödeme sağlayıcıları | Güvenli ödeme işlemi | KVKK md. 8/2-a |
| Muhasebe / ERP yazılımları | Finansal yükümlülükler | KVKK md. 8/2-b |
| Yetkili kamu kurumları | Yasal zorunluluk | KVKK md. 8/2-b |
6.2. ULUSLARARASI AKTARIMLAR
| Alıcı / Ülke | Aktarım Amacı | Aktarım Gerekçesi (KVKK md. 9) |
|---|---|---|
| NEW NORDIC ApS — Danimarka (AB) | Distribütörlük, sipariş/kalite süreçleri | Yeterli koruma düzeyi (AB/GDPR kapsamı) |
| Google LLC — ABD | Analitik (GA4) | Açık rıza |
| Meta Platforms Inc. — ABD | Pazarlama pikseli | Açık rıza |
| Bulut altyapı sağlayıcıları — AB/ABD | Veri depolama, yedekleme | Standart sözleşme maddeleri veya açık rıza |
7.1. Teknik Tedbirler
• 256-bit SSL/TLS şifreleme — site genelinde HTTPS zorunluluğu
• Güvenlik duvarı, saldırı tespit ve önleme sistemleri (IDS/IPS)
• Rol tabanlı erişim kontrolü — "İzin Verilmedikçe Her Şey Yasaktır" ilkesi
• Veritabanı şifreleme ve coğrafi olarak ayrık yedekleme
• Düzenli güvenlik açığı taraması ve yıllık sızma testi
• PCI-DSS uyumlu ödeme altyapısı — kart numarası sistemde saklanmaz
7.2. İdari Tedbirler
• Personele yıllık KVKK ve veri güvenliği eğitimi
• Veri işleyen üçüncü taraflarla imzalanan Veri İşleme Sözleşmeleri (DPA)
• Gizlilik taahhütnamesi — tüm çalışanlar ve tedarikçiler kapsamında
• Veri İhlali Müdahale Planı: İhlal tespitinden itibaren 72 saat içinde KVK Kurumu'na
bildirim (KVKK md. 12/5); etkilenen kişiler en kısa sürede bilgilendirilir
• Periyodik iç denetim ve uyumluluk değerlendirmesi (6 ayda bir)
• Görev değişikliği veya işten ayrılma halinde erişim yetkilerinin derhal iptal edilmesi
KVK Kurulu'nun 31/01/2018 tarih ve 2018/10 sayılı Kararı uyarınca özel nitelikli kişisel veri
işlenmesinde aşağıdaki ek tedbirler alınmaktadır:
• Özel nitelikli veriler için ayrı, yönetilebilir ve sürdürülebilir bir güvenlik politikası ve
prosedür oluşturulmuştur
• Bu verilere erişim yetkisi kısıtlanmış; yetkiler periyodik olarak denetlenmektedir
• Elektronik ortamda aktarım şifreli e-posta veya KEP ile yapılmaktadır
• Fiziksel ortamda aktarım "gizlilik dereceli belge" formatında gerçekleştirilmektedir
• Bu kategoride veri işleyen personel ayrıca gizlilik sözleşmesi imzalamıştır
| Veri Kategorisi | Saklama Süresi | Dayanak |
|---|---|---|
| Sözleşme ve sipariş kayıtları | 10 yıl | TTK md. 82 |
| Vergi ve fatura belgeleri | 5 yıl | VUK md. 253 |
| Müşteri hesap bilgileri | Hesap kapatma + 3 yıl | Makul meşru menfaat |
| Pazarlama / e-bülten verileri | Rıza sonrası durdurma; en geç 3 ayda imha | ETK + KVKK md. 7 |
| Log ve teknik veriler | 2 yıl | KVKK md. 12 + meşru menfaat |
| Özel nitelikli (sağlık) veriler | Ürün garanti süresi + 3 yıl veya rıza geri alımı | KVKK md. 6 + md. 7 |
Saklama süresi dolan veriler, imha takvimine uygun olarak altı ayda bir düzenli olarak silinir, yok edilir ya da anonim hâle getirilir.
10. VERİ İHLALİ MÜDAHALE SÜRECİBir veri ihlalinin tespiti halinde Şirket aşağıdaki prosedürü uygular:
• İhlalin tespiti ve kapsamının belirlenmesi — derhal
• KVK Kurumu'na bildirim — tespiti takip eden 72 saat içinde
• İhlalden etkilenen ilgili kişilerin bilgilendirilmesi — en kısa sürede (KVKK md. 12/5)
• İhlali önlemeye yönelik teknik ve idari tedbirlerin uygulanması — derhal
• İhlalin dokümante edilmesi ve Veri İhlali Kaydı'na işlenmesi
• İhlal sonrası denetim ve politika güncellemesi — 30 gün içinde
Haklarınızı kullanmak için aşağıdaki yöntemlerden biriyle şirketimize başvurabilirsiniz.
| Yazılı Başvuru | Mimar Sinan Mah. Üsküdar Cad. Yedpa No:1F D:91 Ataşehir İSTANBUL, adresine ıslak imzalı dilekçeyle |
|---|---|
| E-posta (Kayıtlı) | [email protected] — Sisteme kayıtlı e-posta adresinizden |
| KEP | [email protected] |
| Online Form | www.newnordic.com.tr/kvkk-basvuru |
Başvurularınız KVKK'nın 13. maddesi kapsamında değerlendirilerek ücretsiz olarak yanıtlanacaktır. Yanıtın 10 sayfayı aşması hâlinde her sayfa için sayfa başına belirlenen ücret alınabilir.