Gizlilik Politikası

metrikflow.com platformı için Veri Gizliliği Politikası (“Platform”)

I. Kontrol edicinin adı ve adresi

Genel Veri Koruma Yönetmeliği (bundan sonra "GDPR") ve AB ülkelerinin diğer ulusal veri koruma yasaları ile diğer veri koruma yasaları anlamında kontrol edici:

MetricFlow UG

Hukuki temsilci: Alessandro Nora

Bremerstr. 59

10551 Berlin

support@metrikflow.com

II. Verilerin işlenmesine dair genel bilgi

1. Kişisel verilerin işlenme kapsamı

Genel olarak, kullanıcılarımızın kişisel verilerini yalnızca işlevsel bir platform sunmak ve/veya içerik ve hizmetlerimizi sağlamak için gerekli olduğu ölçüde toplayacak ve kullanacağız. Kullanıcılarımızın kişisel verileri, genelde önceden kullanıcı izni ile toplanacak ve/veya kullanılacaktır. Önceden izin alınmasının pratik olarak imkânsız olduğu durumlar ve verilerin geçerli yasalara göre işlenmesine izin verildiği durumlar bir istisnadır. İşlediğimiz veri türleri şunlardır:

- iletişim verileri (örn. e-posta adresleri, telefon numaraları)

- kullanıcı verileri (örn. ziyaret edilen platformlar, içerik ilgisi, erişim süreleri)

- meta/iletişim verileri (örn. cihaz bilgileri, IP adresleri).

2. Kişisel verilerin işlenmesi için yasal gerekçe

Eğer bir veri sahibinin kişisel verilerinin işlenmesi için onayını alırsak, bu tür kişisel verilerin işlenmesi için yasal gerekçe, AB Genel Veri Koruma Yönetmeliği'nin (bundan sonra "GDPR") 6. maddesi 1. fıkra a) bendidir. Eğer işlenen kişisel veriler, veri sahibinin taraf olduğu bir sözleşmeyi yerine getirmek için gerekli ise, bu tür kişisel verilerin işlenmesi için yasal gerekçe, 6. madde 1. fıkra b) GDPR'dır. Aynı şekilde, kişisel verilerin işlenmesi, sözleşme öncesi önlemleri yerine getirmek için gerekli ise geçerlidir. Eğer kişisel verilerin işlenmesi, şirketimizin yasal bir yükümlülüğünü yerine getirmek için gerekli ise, bu tür veri işleme için yasal gerekçe, 6. madde 1. fıkra c) GDPR'dır. Eğer kişisel verilerin işlenmesi, şirketimizin veya üçüncü bir tarafın meşru menfaatini korumak için gerekli ise ve bunun yanında veri sahibinin menfaatleri, temel hakları ve özgürlükleri bu meşru menfaat karşısında ağır basmıyorsa, bu tür veri işlemeleri için yasal gerekçe, 6. madde 1. fıkra f) GDPR'dır.

3. Verilerin silinmesi ve veri saklama süresi

Bir veri sahibinin kişisel verileri, işlenme amaçları için artık gerekli olmadıklarında ya da saklandıkları süre sona erdiğinde silinecek veya engellenecektir. Veriler, AB yasaları ya da kontrol ediçi olarak tabi olduğumuz ulusal düzenlemeler, yasalar veya diğer hükümler gereğince de engellenebilir. Kayıt tutma yükümlülükleri sona ererse veriler de engellenecek ya da silinecektir, aksi takdirde bu tür verilerin saklanması, bir sözleşmeye girmek veya yerine getirmek için gerekli olursa devam edecektir.

III. Platformun sunulması ve günlük dosyası oluşturma

Veri işlemenin tanımı ve kapsamı

Platformumuza erişildiğinde, sistemimiz, platforma erişen terminal cihazının bilgisayar sisteminden veri ve bilgi otomatik olarak toplayacaktır.

Bu bağlantıda sınırlı bir zaman dilimi için aşağıdaki veriler toplanacaktır:

(1) ziyaret edilen platform

(2) iletilen veri miktarı

(3) kullanılan tarayıcının türü ve sürümü hakkında bilgi,

(4) kullanıcının işletim sistemi,

(5) kullanıcının IP adresi,

(6) erişim tarihi ve saati, ve

(7) kullanıcının sisteminin platformumuza eriştiği platformlar

Böylesi veriler sistemimizin günlük dosyalarında saklanacaktır. Bu tür verilere yalnızca herhangi bir arıza analizi için ihtiyaç vardır ve en geç otuz gün içinde silinecektir. Günlük dosyalarında verilerin geçici olarak saklanması için yasal gerekçe, 6. madde 1. fıkra f) GDPR'dır. Sistemin IP adresinin geçici olarak saklanması, platformu kullanıcının terminal cihazına sunmak için gereklidir. Bu amaçla, kullanıcının IP adresinin oturum süresi boyunca saklanması gerekir. Veriler, platformumuzun işlevselliğini sağlamak için günlük dosyalarında saklanmaktadır. Ayrıca, bu tür veriler platformu optimize etmek ve IT sistemlerimizin güvenliğini sağlamak için kullanılmaktadır. Bu bağlamda veriler, pazarlama amaçları için analiz edilmeyecek ve kimliğinize dair herhangi bir sonuç çıkarılmayacaktır. Yukarıda belirtilen amaçlar aynı zamanda 6. madde 1. fıkra f) GDPR anlamında veri işlemedeki meşru menfaatimiz için dayanak sağlamaktadır. Platformun sunulması için veri toplama ve verileri günlük dosyalarında saklama, platformun işletilmesi için gereklidir. Sonuç olarak, kullanıcıların bu tür verilerin toplanmasına veya kullanılmasına itiraz etme hakkı yoktur.

IV. Kullanıcı Hesabı – ek hizmetler

1. Eğer bizimle bir hesap oluşturursanız, sizinle ilgili aşağıdaki bilgileri işereceğiz:

- ad

- e-posta adresi

- şifre

- şirket adı

- şirket adresi

- sektör

- şirket büyüklüğü

isteğe bağlı bilgiler:

- telefon numaraları

- adresler

- cinsiyet

Hesabınızdan bir sipariş verdiğinizde, bir ödeme yaptığınızda veya müşteri hizmetleri aldığınızda, sizden aşağıdaki bilgileri işereceğiz:

- ad

- e-posta adresi

- şirket adı

- telefon numaraları

- satın alınan hizmet veya platform modülleri gibi diğer ayrıntılar

- kredi/banka kartının numarası, sahibinin adı ve CVV’yi içeren ödeme bilgileri

Verileriniz, 6. madde 1. fıkra b) GDPR uyarınca hizmet sözleşmesini işlemek amacıyla işlenmektedir. Müşteri verileri, bir müşteri ilişkileri yönetim sistemi (“CRM sistemi”) veya kıyaslanabilir bir müşteri veri sistemi içinde saklanabilir.

2. Ayrıca, hizmetlerimizin kalite izlenmesi; platformumuzu ve hizmetlerimizi yönetme, sürdürme ve optimize etme; dolandırıcılık ve kredi kontrolü yapma; platformumuzu kullanımınız üzerine araştırmalar, analizler, sorgulamalar ve anketler yapma; ürün ve hizmetlerimizi tanıtma ve yeniden hedefleme amacıyla; ve toplu istatistik raporları oluşturma amacıyla sizden aşağıdaki bilgileri işleyeceğiz:

- ad

- e-posta adresi

- şifre

- adresler

- iletişim geçmişi

- sipariş geçmişi (anonimleştirilmiş)

- cihaz bilgileri

- çerez tanımlayıcıları

Verileriniz, 6. madde 1. fıkra f) GDPR uyarınca hizmet sözleşmesini işlemek amacıyla işlenmektedir.

3. Onayınızla, aynı zamanda, sadakat/ödül programlarımızı yönetmek; size kişiselleştirilmiş öneriler sunmak ve deneyiminizi geliştirmek amacıyla sizden aşağıdaki bilgileri işleyeceğiz:

- ad

- e-posta adresi

- telefon numarası

- adresler

- doğum tarihi

- satın alma geçmişi

- tarayıcı geçmişi ve davranış

- cihaz bilgileri

- çerez tanımlayıcıları

- iç tanımlayıcılar

- ülke

Verileriniz, 6. madde 1. fıkra a) GDPR uyarınca onayınıza dayanarak işlenmektedir.

V. Sosyal medyada çevrimiçi varlık

Müşterilerle, ilgilenen taraflarla ve bu ağlarda aktif olan kullanıcılarla iletişim kurmak ve müşterilerimizi, ilgilenen tarafları ve kullanıcıları hizmetlerimiz hakkında bilgilendirmek için sosyal ağlar ve platformlar üzerinde bir çevrimiçi varlık sürdürmekteyiz. 

Bu nedenle, platformumuz Facebook ile bağlantı kurmaktadır, Facebook Inc., 1 Hacker Way, Menlo Park, CA 94025, ABD, veya, eğer AB'de yaşıyorsanız, Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, İrlanda ("Facebook") tarafından işletilmektedir. Aksi takdirde, platformumuzda Facebook ile veri alışverişi yapılmamaktadır.

Platformumuz ve Uygulamamız, Instagram Inc., 181 South Park Street Suite 2 San Francisco, CA 94107 Amerika Birleşik Devletleri platformuna da bağlanmaktadır.

Platformumuz ve Uygulamamız ayrıca Twitter, Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, ABD tarafından işletilmektedir; veya, eğer AB'de ikamet ediyorsanız, Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2, D02 AX07 İrlanda.

LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, İrlanda platformuna da bağlantı vermekteyiz (bundan sonra "LinkedIn"). 

Yukarıda belirtilen ağlara veya platformlara eriştiğinizde, bu ağları veya platformları yöneten şirketlerin şartları ve koşulları ile veri işleme politikaları geçerli olacaktır. Veri gizliliği politikamızda aksi belirtilmedikçe, sosyal ağlar veya platformlar aracılığıyla bizimle iletişim kurarsanız, kullanıcıların verilerini işleme almaktayız; örneğin, Facebook sayfalarımızda paylaşım yaparlarsa veya bize mesaj gönderirlerse.

VI. çerezlerin kullanımı

Platformumuz, sözde oturum veya flash çerezlerini kullanmaktadır. Çerezler, kullanıcının bilgisayar sisteminde İnternet tarayıcısında saklanan metin dosyalarıdır. Bir kullanıcı bir platformu ziyaret ettiğinde, kullanıcının işletim sistemi üzerinde bir çerez saklanabilir. Bu çerez, platforma tekrar erişildiğinde tarayıcının benzersiz olarak tanımlanmasını sağlayan karakter dizisini içerir. Platformumuzun bazı işlevleri, çerezlerin kullanılması olmadan sunulamaz. Bunlar için, tarayıcının sayfa değişikliğinden sonra tanınması gerekir. Teknik açıdan gerekli çerezlerle toplanan kullanıcı verileri, kimliğinizi belirlemek veya kullanıcı profilleri oluşturmak için kullanılmamaktadır. Kişisel verilerin çerezler kullanılarak işlenmesi için yasal zemin, 6. madde 1. fıkra f DSGVO'dur. Ayrıca, eğer izin verirseniz, oturumdan sonra bile kullanılan “kalıcı çerezler” kullanmaktayız (“çapraz oturum çerezleri”). Kalıcı çerezlerin kullanımı ile kişisel verilerin işlenmesi için yasal zemin, onayınızdır, 6. madde 1. fıkra a DSGVO'dur. Bu çerezler, platformun daha kullanıcı dostu, daha etkili ve daha güvenli hale gelmesini sağlamaktadır.

Çerezler, kullanıcının bilgisayarında saklanır ve kullanıcı tarafından sitemize iletilir. Bu nedenle, bir kullanıcı olarak çerezlerin kullanımında tam kontrolünüz vardır ve tarayıcınızı kapattığınızda silinirler. İnternet tarayıcınızdaki ayarları değiştirerek çerezlerin iletimini devre dışı bırakabilir veya kısıtlayabilirsiniz. Zaten kaydedilmiş çerezler, her zaman silinebilir. Bu otomatik olarak da yapılabilir. Çerezler devre dışı bırakıldığında, platformun tüm işlevleri artık mevcut olmayabilir.

VII. Analitik, İşleme ve Pazarlama Hizmetleri

1. Google Analytics/Google TagManager/Google Adwords

Onayınıza dayanarak (6. madde 1. fıkra a GDPR) Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, İrlanda'dan web analitik hizmetlerini kullanmaktayız.

Hizmeti etkinleştirmek için Google, çerezler kullanmaktadır. Çerezler, çevrimiçi hizmetlerimizin kullanımına dair bilgi toplar. Bu veri genellikle bir Google sunucusuna ABD'de iletilir ve orada saklanır.

Google, Privacy-Shield çerçevesi altında sertifikalıdır ve Avrupa veri koruma yasasına uygunluğunu garanti etmektedir (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).

Google, bu bilgileri, çevrimiçi hizmetlerimizin kullanımını analiz etmek, çevrimiçi hizmetlerimizdeki faaliyetler hakkında bir rapor oluşturmak ve çevrimiçi hizmetlerimizin ve internetin kullanımıyla ilgili olarak diğer hizmetleri gerçekleştirmek için bir komisyoncu olarak kullanacaktır. İşlenen veriler, taklitlenmiş kullanıcı profilleri oluşturmak için kullanılabilir.

Google Analytics'ı yalnızca IP-anonimleştirilmiş olarak kullanıyoruz. Bu, kullanıcının IP adresinin AB üye devletleri veya Avrupa Ekonomik Alanı Anlaşması'nın diğer imzacı devletleri alanında Google tarafından kısaltılacağı anlamına gelir. Sadece olağanüstü hallerde tam IP adresi bir Google sunucusuna iletilecek ve orada kısaltılacaktır.

Google analitik ve pazarlama hizmetlerini uygulamak ve yönetmek için "Google Tag Manager" kullanıyoruz.

Kullanıcıdan alınan IP adresi, Google'dan başka verilerle ilişkilendirilmez. Kullanıcılar, tarayıcı ayarlarıyla çerezler aracılığıyla bilgi toplamanın önüne geçebilir; ayrıca, kullanıcılar, çerezle toplanan verilerin çevrimiçi hizmetlerimizi kullanma ile ilgili olarak ve Google'ın bu verileri işleme konusundaki verileri toplamasını önlemek için burada mevcut olan bir tarayıcı eklentisi kurarak bunu yapabilirler: http://tools.google.com/dlpage/gaoptout?hl=de.

“Google Adwords” belirli anahtar kelimeler için teklif vermek ve yeniden hedefleme için kullanılan bir sistemdir, böylece tıklanabilir reklamları Google’ın arama sonuçlarında görünmektedir. 

Google’ın veri kullanımı, ayarları ve itiraz hakkıyla ilgili daha fazla bilgi, Google’ın platformlarında bulunabilir:

https://www.google.com/intl/de/policies/privacy/partners (“Google’ın hizmetlerimizi kullanan web siteleri veya uygulamalardan elde ettiği bilgileri nasıl kullandığı”),

http://www.google.com/policies/technologies/ads (“Rekabet amaçlı veri kullanımı”),

https://developers.google.com/analytics/devguides/collection/analyticsjs/enhanced-ecommerce (“Analiz amaçlı geliştirilmiş e-ticaret verileri”) 

https://www.google.de/settings/ads (“Google’ın reklam göstermek için kullandığı bilgileri yönetme”). Google’ın gizlilik politikası burada bulunmaktadır: https://www.google.com/policies/privacy. Google pazarlama hizmetlerinden gelen ilgiye dayalı reklamcılığa itiraz etmek isterseniz, Google tarafından sunulan ayarları ve opt-out olanaklarını kullanabilirsiniz: http://www.google.com/ads/preferences. 

2. Firebase

Google Firebase, geliştiricilerin iOS, Android ve Web uygulamaları geliştirmesine olanak tanıyan bir Google destekli uygulama geliştirme yazılımıdır. Firebase, analiz takibi, rapor oluşturma ve uygulama çökmesi düzeltme, pazarlama ve ürün deneyi oluşturmak için kullanılacaktır. Üçüncü tarafların bu verilere yalnızca analitik amaçlarla kontrol altındaki erişimi olacaktır. Müşteriler Firebase kullanırken, Google genellikle bir veri işleyicisidir ve kişisel verileri kendi adlarına işler.

Kullanılan Firebase hizmetleri, başarılı bir şekilde ISO 27001 ve SOC 1, SOC 2 ve SOC 3 değerlendirme süreçlerini tamamlamış ve bazıları ayrıca ISO 27017 ve ISO 27018 sertifikasyon sürecini tamamlamıştır:

Cloud Firestore, Cloud Functions for Firebase, Cloud Storage for Firebase, Firebase A/B Testi, Firebase Kimlik Doğrulama, Firebase Bulut Mesajlaşma, Firebase Çökme Raporlama, Firebase Crashlytics, Firebase Dinamik Bağlantılar, Firebase Hosting, Firebase Uygulama İçi Mesajlaşma, Firebase Davetleri, Firebase Performans İzleme, Firebase Platform, Firebase Tahminler, Firebase Gerçek Zamanlı Veritabanı, Firebase Uzaktan Yapılandırma, Firebase Test Laboratuvarı, Google Analytics for Firebase, ML Kit for Firebase.

3. Hotjar Ltd

Bu platform Hotjar, Hotjar Ltd. ("Hotjar") (http://www.hotjar.com, 3 Lyons Range, 20 Bisazza Street, Sliema SLM 1640, Malta, Avrupa) adlı bir analiz yazılımını kullanmaktadır. Hotjar ile platformumuz üzerindeki kullanım davranışını tıklamalar, fare hareketleri, kaydırma yükseklikleri vb. şeklinde ölçmek ve değerlendirmek mümkündür. Takip kodu ve çerezler tarafından üretilen bilgiler, Hotjar sunucularına İrlanda'ya iletilip saklanır.

Hotjar’ın çerezlerinin kullanımına izin verdiyseniz, aşağıdaki bilgiler toplanır:

- Cihazınızın IP adresi (anonim formatta toplanıp saklanır)

- Eğer platformumuz aracılığıyla bize sağladıysanız, e-posta adresiniz, adınız ve soyadınız.

- Cihazınızın ekran boyutu

- Cihaz türü ve tarayıcı bilgisi

- Coğrafi konum (sadece ülke)

- Platformumuzu görüntülemek için tercih edilen dil

Ayrıca, Hotjar kullanıldığında sunucumuzda aşağıdaki veriler kaydedilmektedir:

- İlgili alan

- Ziyaret edilen sayfalar

- Coğrafi konum (sadece ülke)

- Platformumuzu görüntülemek için tercih edilen dil

- Platforma erişim tarihi ve saati

Hotjar, bu bilgileri platform kullanımınızı değerlendirmek, rapor oluşturmak ve platform kullanımı ve internet değerlendirmesi ile ilgili diğer hizmetleri sağlamak amacıyla kullanacaktır. Hotjar ayrıca hizmetler sunmak için Google Analytics ve Optimizely gibi üçüncü taraf hizmetleri de kullanmaktadır. Bu üçüncü taraf şirketler, platformu ziyaret ettiğinizde tarayıcınızın ilettiği bilgileri, çerezler veya IP talepleri gibi saklayabilir. Google Analytics ve Optimizely'nin verileri nasıl sakladığı ve kullandığı hakkında daha fazla bilgi için, lütfen kendi gizlilik beyanlarına başvurun.

Çerezlere onay vermenin yanı sıra, aşağıdaki bağlantıya tıklayarak ve talimatları izleyerek Hotjar’ın bu bilgileri toplamasını da önleyebilirsiniz: https://www.hotjar.com/opt-out. 

4. Stripe

Platformumuzda Stripe aracılığıyla ödeme yapma imkânı sunmaktayız. Bu ödeme hizmeti, İrlanda yasalarına göre kurulmuş özel sınırlı bir şirket olan Stripe Payments Europe, Ltd tarafından sağlanmaktadır ve şirket numarası 513174’tir; adresi The One Building, 1 Grand Canal Street Lower, Dublin 2, İrlanda'dır (bundan sonra "Stripe"). Verilerin Stripe’a iletilmesi, 6. madde 1. fıkra b DSGVO’ya dayanmaktadır (bir sözleşmeyi yerine getirmek için işleme). 

VIII. İletişim formu

Bize iletişim kurduğunuzda (örneğin, iletişim formu, e-posta, telefon veya sosyal medya aracılığıyla), verileriniz, iletişim talebini işlemek amacıyla işlenmektedir ve bu, 6. madde 1. fıkra b GDPR ile uyumlu olarak işlenmektedir. Müşteri verileri, bir müşteri ilişkileri yönetim sistemi (“CRM sistemi”) veya kıyaslanabilir bir talep organizasyonu içinde saklanabilir.

IX. Bülten

Platformumuzda, kullanıcılara basın bülteni bültenine abone olma fırsatı sunulmaktadır. Bu amaç için kullanılan giriş formu, hangi kişisel verilerin iletildiğini, ayrıca kontrol edici tarafından bültenin ne zaman sipariş edildiğini belirlemektedir.

Yatırımcılarımızı ve iş ortaklarımızı düzenli olarak bülten aracılığıyla şirketimiz veya şubelerimizle ilgili düzenleyici ve diğer haberler hakkında bilgilendirmekteyiz. Bülten yalnızca veri sahibi aşağıdaki durumlarda alınabilir:

(1) veri sahibinin geçerli bir e-posta adresi vardır ve

(2) veri sahibi bültenin iletilmesi için kaydolmuştur. Bir veri sahibi bülten için ilk defa kayıt olduğunda, e-posta adresine yasal olarak çift onay prosedürü çerçevesinde bir onay e-postası gönderilecektir. Bu onay e-postası, e-posta adresinin sahibi olan veri sahibinin bülteni alabilme yetkisine sahip olduğunu kanıtlamak için kullanılacaktır.

Bültene kayıt sırasında, üçüncü taraf hizmetimiz ayrıca ad, soyad, e-posta adresini saklamaktadır. Ayrıca, veri sahibinin kayıt anında internet hizmet sağlayıcısından (ISP) atanmış olan bilgisayar sisteminin IP adresi ve kayıt tarihi ve saati de kaydedilmektedir.

Bu verilerin toplanması, kesin bir hizmet sunmak ve veri sahibinin e-posta adresinin (potansiyel) kötüye kullanımını ileride anlamak için gereklidir ve bu nedenle kontrol edicinin hukuki koruma amacına hizmet etmektedir.

Bülten için kaydolma sırasında toplanan kişisel veriler yalnızca bültenimizi göndermek için kullanılacaktır. Ayrıca bülten aboneleri, bülten hizmetinin çalışmasını gerektirdiği sürece e-posta ile bilgilendirilebilir, örneğin bülten teklifinde yapılacak değişiklikler veya teknik koşullardaki değişiklikler söz konusu olduğunda.

Verilerinizi işlemek için yasal zemin, 6. madde 1. fıkra a GDPR'dır. Bülten hizmeti bir üçüncü taraf tarafından sağlandığından, üçüncü taraf Sendpulse verileri işleyecektir.

Bülten hizmetiyle toplanan kişisel verilerin başka üçüncü taraflara aktarımı, yalnızca bizim adımıza hizmet sunan Sendpulse dışında olmayacaktır.

Bülten aboneliği, veri sahibi tarafından her zaman sona erdirilebilir. Veri sahibi bültenin gönderilmesi için verdiği kişisel verilerin saklanmasına ilişkin onayını her zaman geri alabilir. Onayı geri almak için her bültende bir bağlantı bulunmaktadır. Ayrıca, herhangi bir zaman doğrudan platformumuzdan bültenden çıkılabilir.

X. Veri sahiplerinin hakları

Eğer kişisel verilerinizi işliyorsak, GDPR anlamında veri sahibi olursunuz ve kontrol ediciye karşı aşağıdaki haklara sahip olursunuz:

1. Bilgi talep hakkı

Kontrol ediciye, sizinle ilgili kişisel verilerin işlenip işlenmediğini doğrulamasını talep edebilirsiniz.

Eğer bu verileri işliyorsak, kontrol ediciden aşağıdaki bilgileri talep edebilirsiniz:

(1) kişisel verilerinizin işlenme amaçları;

(2) işlenen kişisel verilerin kategorileri;

(3) kişisel verilerinizin açıklanmış veya açıklanacak alıcıları veya alıcı grupları;

(4) kişisel verilerinizi ne kadar süre saklamayı planladığımız veya bu süre belirlenemiyorsa, kişisel verilerinizi ne kadar süre saklayacağımızı belirlemek için kullanılan kriterler;

(5) kişisel verilerinizin düzeltilmesi veya silinmesi, kontrol edici tarafından kısıtlı bir işleme hakkına sahip olup olmadığınız veya bu tür bir işleme itiraz etme hakkınıza sahip olup olmadığınız;

(6) bir denetim otoritesine şikayet etme hakkına sahip olup olmadığınız;

(7) eğer doğrudan veri sahibinden toplanmamışlarsa, verilerin kökenine ilişkin mevcut bilgiler; ve

(8) kişisel verilerinizin herhangi bir üçüncü ülkeye veya uluslararası kuruluşa aktarılacağı; bu tür aktarımlar bağlamında, 46. madde GDPR anlamında uygun önlemler hakkında bilgilendirilmek isteyebilirsiniz.

2. Düzeltme hakkı

Kontrol ediciye karşı, işlediğimiz kişisel verilerin yanlış olması durumunda düzeltilmesini veya eksik kişisel verilerin tamamlanmasını talep etme hakkına sahipsiniz. Kontrol edici, verileri derhal düzeltmelidir.

3. Kısıtlı işleme hakkı

Aşağıdaki koşullar altında, kişisel verilerinizin kısıtlı işlenmesini talep edebilirsiniz:

(1) kişisel verilerinizin doğruluğunu bir süre boyunca tartışıyorsanız ve bu süre, kontrol edicinin kişisel verilerinizin doğru olup olmadığını inceleyebilmesi için yeterli süre ise;

(2) işleme yasal değil ise ve kişisel verilerinizin silinmesini istemiyorsanız, bunun yerine kişisel verilerinizin kısıtlı kullanılmasını talep ediyorsanız;

(3) kontrol edici, kişisel verilerinizi işleme amacıyla artık ihtiyaç duymuyorsa; ama siz bu verileri yasal haklarınızı veya taleplerinizi ileri sürmek, kullanmak veya savunmak için ihtiyaç duyuyorsanız, veya

(4) kişisel verilerinizin işlenmesine itiraz ettiyseniz ve hala kontrol edicinin meşru nedenlerinin bulunup bulunmadığı belirlenmemişse.

Kişisel verilerinizin işlenmesi kısıtlandığında, bu veriler yalnızca sizin izinlerinizle, yasal hakların veya taleplerin ileri sürülmesi, kullanılması veya savunulması için, başka bir doğal veya tüzel kişinin haklarının korunması veya Avrupa Birliği ya da herhangi bir üye devletin önemli bir kamu yararı ile ilgili nedenlerle işlenebilir.

Önceden belirtilen koşullar çerçevesinde kişisel verilerinizin işlenebilirliğinin kısıtlanması durumunda, bu kısıtlamanın kaldırılmasından önce kontrol edici sizleri bilgilendirecektir.

4. Silme hakkı

a) Silme yükümlülüğü

Kontrol ediciden, kişisel verilerinizi derhal silmesini talep edebilirsiniz ve kontrol edicinin bunu yapma yükümlülüğü vardır, eğer aşağıdaki nedenlerden biri geçerliyse:

(1) kişisel verilerinize, toplama amaçları için veya başka bir şekilde işlenmesine gerek yoksa;

(2) kişisel verilerinizin işlenmesine ilişkin onayınızı geri almışsanız 6. madde 1. fıkra a) veya 9. madde 2. fıkra a) GDPR uyarınca ve kişisel verilerinizin işlenmesine başka bir yasal zemin yoksa;

(3) kişisel verilerinizin işlenmesine itiraz etmişseniz ve kişisel verilerinizin işlenmesine engel olan gerekçeler yoksa ya da 21. madde 2. fıkra GDPR uyarınca işlenmesine itiraz ediyorsanız;

(4) kişisel verileriniz yasadışı bir şekilde işlendiyse;

(5) kişisel verilerinizi silmek, kontrol edicinin tabi olduğu Avrupa yasası veya üye devlet yasası uyarınca yasal bir yükümlülüğe uymak için gereklidir; veya

(6) kişisel verileriniz, 8. madde 1. fıkra GDPR anlamında sunulan bilgi toplumu hizmetleri ile ilgili olarak toplanmışsa.

b) Üçüncü taraflara bilgi verme

Kontrol edici, kişisel verileri kamuya açıkladıysa ve böyle bir verinin silinmesine yönelik talep alıyorsa, teknik önlemleri dahil olmak üzere uygun adımlar atmalıdır, bu yolla bu kişisel verilerin silinmesine talep edenlerin kontrol ettiğinden verilerin sahibi olup olmadığını belirtmek için.

c) İstisnalar

Kişisel verilerin işlenmesinin gerekli olduğu durumda silme hakkı yoktur:

(1) ifade özgürlüğü ve bilgilendirme hakkını kullanmayı;

(2) kontrol edicinin tabi olduğu AB veya üye devlet yasası uyarınca kişisel verilerin işlenmesini gerektiren yasal bir yükümlülüğü yerine getirmeyi, ya da kontrol ediciye tevdi edilen resmi yetkiyi kullanmayı;

(3) kişisel verilerin işlenmesini gerektiren kamu sağlık yararı açısından önemli nedenleri;

(4) yasal hakların veya taleplerin ileri sürülmesi, kullanılması veya savunulması.

5. Bildirim hakkı

Düzeltme, silme veya kişisel verilerinizin işlenmesini kısıtlama hakkınızı kullandıysanız, kontrol edici, kişisel verilerinizin açıklanmış olduğu tüm alıcıları bu tür düzeltmeleri, silinmeleri veya kısıtlı işlemleri bildirme yükümlülüğündedir; bunun imkânsız olduğunu veya makul bir yükleme neden olacağı durumlar hariç.

Kontrol edici tarafından, tüm bu tür alıcılar hakkında bilgi almak hakkına sahipsiniz.

 6. Veri taşınabilirliği hakkı

Kontrol ediciye sağladığınız kişisel verileri yapılandırılmış, standart ve makine okunabilir bir formatta alma hakkına sahipsiniz. Ayrıca, kişisel verilerinizi başka bir kontrol ediciye, kontrol ediciye sağlanan verilerin tarafına herhangi bir müdahale olmadan aktarımını da talep etme hakkınız bulunmaktadır, eğer:

(1) işleme, 6. madde 1. fıkra a) GDPR veya 9. madde 2. fıkra a) GDPR veya 6. madde 1. b) GDPR anlamında bir sözleşmeye dayanıyorsa ve

(2) veri işleme otomatik olarak gerçekleşiyorsa.

Veri taşınabilirliği hakkını kullanırken, kişisel verilerinizi bir kontrol ediciden diğerine doğrudan aktarılmasını talep etme hakkına da sahipsiniz; bu teknik olarak mümkün olduğunda.

Veri taşınabilirliği hakkı, kamu yararıyla ilgili bir görevin yerine getirilmesi için gereken veya kontrol edici tarafından verilmiş resmi otoritenin yetkilendirilmesi altında işlenen kişisel verilere uygulanmaz.

7. İtiraz hakkı

Özellikle durumunuza ilişkin nedenlerle, kişisel verilerinizin işlenmesine, her zaman 6. madde 1. fıkra e veya f) GDPR'ye dayanarak itiraz etme hakkına sahipsiniz; bu, yukarıda belirtilen hükümlere dayanan herhangi bir profil oluşturma işlemleri için de geçerlidir. 

Eğer itiraz ederseniz, kontrol edici artık kişisel verilerinizi işleyemez, aksi takdirde kontrol edici, kişisel verilerinizi işlemenin sizin menfaatlerinizin, haklarınızın ve özgürlüklerinizin üzerinde gerekçeleri bulunduğunu gösterebilir.

Eğer kişisel verileriniz doğrudan reklam amaçları için işleniyorsa, bu tür reklam amaçları için kişisel verilerinizin işlenmesine itiraz etme hakkına sahipsiniz; bu, bu tür doğrudan reklamlarla ilişkilendirilen herhangi bir profilleme için de geçerlidir.

Eğer kişisel verilerinizin doğrudan reklam amaçları için işlenmesine itiraz ederseniz, kişisel verileriniz artık bu amaçlarla işlenmeyecektir.

Bilgi toplumu hizmetlerinin kullanımıyla bağlantılı olarak, itiraz hakkınızı kullanabilirsiniz – 2002/58/EC Yönergesine bakılmaksızın – teknik spesifikasyonlar kullanılan otomatikleştirilmiş süreçleri kullanarak. Bu amaçla, veri koruma görevlimize bir e-posta gönderebilirsiniz.

8. Veri işleme için rızanın geri alınması hakkı

Veri işleme için rızanızı herhangi bir zamanda geri alma hakkına sahipsiniz. Geri alma hakkınızı kullanırsanız, rıza temelinde geri alınmadan önce işlenen verilerin yasal durumu etkilenmeyecektir. 

9. Belirli bir durumda otomatik karar verme hakkı, profilleme dahil

Otomatik işleme yoluyla – profilleme dahil – tamamen yapılan bir karara tabi olmama hakkına sahipsiniz; eğer bu tür bir karar sizin için hukuki sonuçlar doğuruyorsa veya başka bir şekilde menfaatlerinizi önemli ölçüde etkiliyorsa. Bu, aşağıdaki gibi geçerli değildir:

(1) sizin ve kontrol edici arasında bir sözleşme imzalamak veya bunu yerine getirmek için gereklidir;

(2) kontrol edici tarafından tabi olduğu AB veya üye devlet yasasına göre izin verilmiş olup, bu tür bir yasalara uygun önlemler sağlanmışsa;

(3) açık rızanız ile yapılmıştır.

Ancak, bu tür kararlar, 9. maddenin 1. fıkrası bağlamında özel kişisel verilerle ilgili olarak alınamaz; 9. madde 2. fıkrası a) veya g) geçerli olduğunda ve uygun önlemler alınmışsa kişisel verilerinizi korumak için de geçerli değildir.

1) ve 3) numaralı durumlarda, kontrol edici, haklarınızı, özgürlüklerinizi ve meşru menfaatlerinizi korumak için uygun önlemler almalıdır, bu da en azından, kontrol edici adına hareket eden bir kişinin eyleme geçme hakkını, kendi görüşünü sunma hakkını ve kararın itiraz etme hakkını içermelidir.

10. Denetim otoritesine şikayet hakkı

Mevcut olan başka bir idari veya yargısal çözümden etkilenmeden, kişisel verilerinizin işlenmesinin GDPR'yi ihlal ettiğini düşünüyorsanız, yaşadığınız, çalıştığınız veya ihlalin gerçekleştiği yere yakın olan bir üye devletinde yerleşik bir denetim otoritesine şikayet hakkına sahipsiniz.

Şikayet yapılan denetim otoritesi, daha sonra şikayetçinin ilerlemesi ve sonuçları hakkında, 78. madde GDPR uyarınca mevcut olan yargı yolları da dahil olmak üzere bilgilendirilmelidir.