MILOLIVE GIDA VE TARIMCILIK ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN
AYDINLATMA METNİ
1. VERİ SORUMLUSU
İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanununun (KVKK) m. 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında, veri sorumlusu sıfatıyla aşağıda bilgileri yer alan Milolive Gıda ve Tarımcılık Anonim Şirketi tarafından hazırlanmıştır.
Unvan: Milolive Gıda ve Tarımcılık Anonim Şirketi
Adres: Kızılcaşar Mahallesi, 1225. Cadde No: 29 Gölbaşı/ANKARA
MERSİS No: 0620155456700001
Ticaret Sicili / No: Ankara Ticaret Sicili Müdürlüğü / 494570
Vergi Dairesi / No: Gölbaşı Vergi Dairesi / 6201554567
Telefon: [0538 338 03 24]
Genel İletişim E-postası: [info@milolive.com.tr]
KVKK Başvuru E-postası: [info@milolive.com.tr]
İnternet Sitesi: www.milolive.com.tr
2. TANIMLAR
İşbu Aydınlatma Metninde (“Metin”) geçen ve Kullanım Şartları ve Üyelik Sözleşmesi, Mesafeli Satış Sözleşmesi veya Ön Bilgilendirme Formunda tanımı bulunan kavramlar (Üye, Müşteri/Alıcı, Kullanıcı, İnternet Sitesi, Ürünler, Hesabım Sayfası, MSY, TKHK, ETDK ve benzerleri) o belgelerde verilen anlamda kullanılmıştır. KVKK'ya özgü kavramlar aşağıda tanımlanmıştır.
Açık Rıza: KVKK m. 3/1-(a) uyarınca belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kişi / Veri Sahibi: KVKK m. 3/1-(ç) uyarınca kişisel verisi işlenen gerçek kişi.
Kişisel Veri: KVKK m. 3/1-(d) uyarınca kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri: KVKK m. 6/1'de sayılan ırk, etnik köken, sağlık, cinsel hayat, ceza mahkûmiyeti, biyometrik ve genetik veriler ile diğer hassas veriler.
Veri İşleyen: KVKK m. 3/1-(g) uyarınca veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu: KVKK m. 3/1-(ı) uyarınca kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi.
Kurul / Kurum: Kişisel Verileri Koruma Kurulu ve Kişisel Verileri Koruma Kurumu
Tebliğ: 10.03.2018 tarihli ve 30356 sayılı Resmî Gazete'de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
3. AYDINLATMA METNİNİN KAPSAMI
3.1. Metin, Milolive'in İnternet Sitesini ziyaret eden Kullanıcıların, Üyelerin ve Mesafeli Satış Sözleşmesi akdeden Müşteri/Alıcıların kişisel verilerinin işlenmesine ilişkin esasları açıklamaktadır. Çalışan, çalışan adayı, fiziki Şirket adresine gelen ziyaretçi, tedarikçi yetkili ve çalışanları, denetçi ve sair üçüncü kişi veri sahibi grupları için ayrı aydınlatma metinleri düzenlenmektedir; bu Metin o gruplar bakımından uygulanmaz.
3.2. Metin; Kullanım Şartları ve Üyelik Sözleşmesi, Mesafeli Satış Sözleşmesi, Ön Bilgilendirme Formu, Çerez Politikası ve varsa KVKK Açık Rıza Metni ile birlikte değerlendirilir.
4. AYDINLATMA YÜKÜMLÜLÜĞÜ VE AÇIK RIZA
4.1. Aydınlatma yükümlülüğü, KVKK m. 10 uyarınca veri sorumlusunun yerine getirmesi gereken bir bilgilendirme yükümlülüğüdür ve veri sahibinin onayına bağlı değildir. Açık rıza ise, KVKK m. 5/1 uyarınca yalnızca diğer hukuki sebeplere dayanılamayan kişisel veri işleme faaliyetlerinde alınması gereken ayrı bir hukuki sebeptir.
4.2. Aydınlatma yapılmış olması, açık rıza alındığı anlamına gelmez. Açık rıza gerektiren işleme faaliyetleri (pazarlama amaçlı kişisel veri işleme, profilleme ve zorunlu olmayan çerezler dahil) için Milolive ayrı bir metin sunar ve bu metin üzerinden açık rıza alır.
4.3. Veri sahibi, açık rızasını dilediği zaman geri alabilir. Açık rızanın geri alınması, geri alma tarihinden itibaren ileriye dönük sonuç doğurur ve geçmişte hukuka uygun olarak gerçekleştirilen veri işleme faaliyetlerinin hukuka uygunluğunu etkilemez.
5. VERİ SAHİBİ KATEGORİLERİ VE İŞLENEN KİŞİSEL VERİLER
5.1. Metin kapsamındaki veri sahipleri ve her grup için işlenen kişisel veriler aşağıdaki gibidir. İşlenen veri kategorileri, Kişisel Veri İşleme Envanteri Hazırlama Rehberinde sınıflandırılan standart KVKK kategorilerine uygun olarak sunulmuştur.
(a) Kullanıcı / Ziyaretçi
Bu kişiler, İnternet Sitesini üye olmaksızın ziyaret eden gerçek kişilerdir.
Bu grup için sadece aşağıdaki sınırlı kategorilerde veri işlenir:
(i) İşlem Güvenliği Bilgileri (IP adresi, tarayıcı bilgileri, oturum tarihi/saati, log kaydı, cihaz tanımlayıcıları, çerez kimlikleri);
(ii) Lokasyon ve Site Kullanım Bilgileri (çerezler aracılığıyla edinilen genel coğrafi konum — şehir/ilçe düzeyinde, hassas konum verisi işlenmez; tarayıcı dili, ziyaret edilen sayfalar, tıklama akışı, oturum süresi).
(b) Üye Müşteri (Üyelik kaydı yapmış ve sipariş veren / verecek olan kişi)
Bu kişiler Kullanım Şartları ve Üyelik Sözleşmesini onaylayarak İnternet Sitesinde üyelik oluşturan gerçek kişilerdir.
Üye Müşteri için işlenen kişisel veri kategorileri aşağıdaki gibidir:
(i) Kimlik Bilgileri (ad, soyad; fatura için zorunlu olduğunda T.C. kimlik numarası; doğum tarihi — yalnızca 18 yaş kontrolü için; tüzel kişilerde unvan, vergi numarası ve vergi dairesi);
(ii) İletişim Bilgileri (e-posta, cep telefonu, fatura adresi, teslimat adresi, teslim alacak üçüncü kişinin ad-soyadı ve telefonu);
(iii) Müşteri İşlem Bilgileri (sipariş numarası, içeriği, tutarı, fatura, kargo takip numarası, teslimat durumu, iade/cayma kayıtları);
(iv) Finans Bilgileri (ödeme yöntemi, kart sahibi adı; kart numarası ve son kullanma tarihi Milolive sistemlerinde saklanmaz, doğrudan BDDK lisanslı ödeme kuruluşunun PCI-DSS uyumlu altyapısında işlenir; havale/EFT tercihinde IBAN ve dekont);
(v) İşlem Güvenliği Bilgileri (kullanıcı adı, geri döndürülemez şekilde hash'lenmiş şifre, üyelik tarihi, oturum kayıtları);
(vi) Pazarlama Bilgileri (yalnızca açık rıza halinde — alışveriş geçmişi, ürün/kategori tercihleri, kampanya etkileşimleri, anket cevapları, iletişim kanalı tercihleri);
(vii) Müşteri Bilgisi (yalnızca açık rıza halinde — Üye Müşterinin İnternet Sitesi üzerinden bıraktığı yorum, puan ve incelemeler);
(viii) Hukuki İşlem Bilgileri (yalnızca uyuşmazlık veya hukuki bir gereklilik halinde — dava ve takip dosyalarına ilişkin bilgiler, KVKK ve diğer mevzuat kapsamındaki başvuru kayıtları).
(c) Misafir Müşteri (Üyelik kaydı yapmaksızın sipariş veren kişi)
Bu kişiler Kullanım Şartları ve Üyelik Sözleşmesi kapsamında üye olmaksızın, Mesafeli Satış Sözleşmesi akdederek sipariş veren gerçek veya tüzel kişilerdir.
Misafir Müşteri için işlenen veri kategorileri Üye Müşteri ile büyük ölçüde aynıdır; ancak (i) açık rızaya dayalı pazarlama ve müşteri bilgisi kategorileri yalnızca Misafir Müşterinin ayrıca açık rıza vermesi halinde işlenir, (ii) hesap-bağımlı işlem güvenliği bilgileri (kullanıcı adı, hash'lenmiş şifre, üyelik tarihi) işlenmez.
5.2. Milolive faaliyet konusu itibariyle özel nitelikli kişisel veri (KVKK m. 6) işlemeyi öngörmemektedir. İstisnai olarak özel nitelikli kişisel veri işlenmesini gerektiren bir durumun ortaya çıkması halinde KVKK m. 6/2 ve m. 6/3 hükümleri ile Kurul'un 31.01.2018 tarihli ve 2018/10 sayılı Kararı uyarınca açık rıza alınır veya kanunlarda öngörülen istisnai hallere dayanılır; ek teknik ve idari güvenlik tedbirleri uygulanır.
6. VERİ İŞLEME AMAÇLARI, VERİ KATEGORİLERİ VE HUKUKİ SEBEPLERİ
6.1. Milolive, kişisel verileri KVKK m. 4'te öngörülen genel ilkelere bağlı kalarak aşağıdaki amaçlar ve hukuki sebepler çerçevesinde işlemektedir. Her amaç için işlenen veri kategorileri ve dayanılan KVKK m. 5 hukuki sebebi ayrıca belirtilmiştir.
(a) Üyelik süreçlerinin yürütülmesi: Üyelik başvurusunun alınması, kimlik doğrulamasının yapılması, Üye hesabının açılması ve yönetilmesi, şifre işlemleri, Hesabım Sayfası üzerinden hizmetlerin sağlanması.
İşlenen veriler: Kimlik, İletişim, İşlem Güvenliği.
Hukuki sebep: KVKK m. 5/2-(c) (sözleşmenin kurulması veya ifası).
(b) Mal ve hizmet satış süreçlerinin yürütülmesi: Sipariş alınması, Mesafeli Satış Sözleşmesinin kurulması ve ifası, Ön Bilgilendirme Formu ve sözleşme metinlerinin kalıcı veri saklayıcısı olarak iletilmesi, sipariş takibi ve müşteri bilgilendirmesi.
İşlenen veriler: Kimlik, İletişim, Müşteri İşlem.
Hukuki sebep: KVKK m. 5/2-(c).
(c) Mal ve hizmet satış sonrası destek hizmetlerinin yürütülmesi
İade, değişim, cayma ve sair satış sonrası işlemlerin yürütülmesi; ayıplı mal seçimlik haklarının (TKHK m. 11) işletilmesi.
İşlenen veriler: Kimlik, İletişim, Müşteri İşlem, Finans.
Hukuki sebep: KVKK m. 5/2-(c) ve m. 5/2-(ç) (MSY ve TKHK kapsamındaki hukuki yükümlülük).
(ç) Finans ve muhasebe işlerinin yürütülmesi
Sipariş bedelinin BDDK lisanslı ödeme kuruluşları aracılığıyla tahsil edilmesi, vergi mevzuatına uygun e-arşiv/e-fatura/kâğıt fatura düzenlenmesi, mali müşavirlik ve denetim işlerinin yürütülmesi.
İşlenen veriler: Kimlik, İletişim, Müşteri İşlem, Finans.
Hukuki sebep: KVKK m. 5/2-(c) (sözleşmenin ifası) ve m. 5/2-(ç) (Vergi Usul Kanunu, TTK, KDV Kanunu kapsamındaki hukuki yükümlülük).
(d) Lojistik ve teslimat süreçlerinin yürütülmesi
Sipariş edilen Ürünlerin Müşteri/Alıcının bildirdiği adrese kargo şirketi aracılığıyla teslim edilmesi, kargo takibinin sağlanması, MSY m. 17 kapsamında hasar geçişi yükümlülüğünün işletilmesi. Sipariş kapsamında Müşteri/Alıcı dışında bir üçüncü kişiye teslimat öngörülmesi halinde, teslimatın doğru kişiye yapılabilmesi adına teslim alacak kişiye SMS doğrulama kodu veya benzer bir bildirim gönderilebilir.
İşlenen veriler: Kimlik, İletişim, Müşteri İşlem, Lokasyon.
Hukuki sebep: KVKK m. 5/2-(c).
(e) Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi
Müşteri/Alıcının dilek, şikâyet, soru ve taleplerinin alınması, değerlendirilmesi ve sonuçlandırılması; müşteri memnuniyetine ilişkin kayıtların tutulması; (varsa) müşteri hizmetleri çağrı kayıtlarının tutulması.
İşlenen veriler: Kimlik, İletişim, Müşteri İşlem.
Hukuki sebep: KVKK m. 5/2-(c) ve m. 5/2-(f) (meşru menfaat — hizmet kalitesinin korunması).
(f) Müşteri yorum, puan ve içerik yönetimi süreçlerinin yürütülmesi
Üye/Müşterinin Kullanım Şartları m. 9 çerçevesinde İnternet Sitesi üzerinden bıraktığı yorum, puan, ürün incelemesi ve diğer içeriklerin yayımlanması, yönetilmesi ve gerektiğinde kaldırılması.
İşlenen veriler: Kimlik (kısmi — kullanıcı adı seviyesinde), Müşteri Bilgisi.
Hukuki sebep: KVKK m. 5/2-(c) (sözleşmenin ifası) ve m. 5/2-(f) (meşru menfaat).
(g) Bilgi güvenliği ve dolandırıcılığın önlenmesi süreçlerinin yürütülmesi
İnternet Sitesinin güvenli işletilmesi, yetkisiz erişimin önlenmesi, log kayıtlarının tutulması, sahtecilik şüphesi taşıyan işlemlerin tespiti, KVKK m. 12 kapsamındaki teknik ve idari tedbirlerin uygulanması.
İşlenen veriler: İşlem Güvenliği, Kimlik (kısmi).
Hukuki sebep: KVKK m. 5/2-(f) (meşru menfaat).
(ğ) Hukuk işlerinin takibi ve yürütülmesi
Olası uyuşmazlıklarda iddia ve savunmaların oluşturulması, dava ve takip dosyalarının yürütülmesi, resmi makamlardan gelen taleplerin yanıtlanması; HMK m. 199 anlamında delil sözleşmesine konu olabilecek elektronik kayıtların saklanması (Kullanım Şartları m. 24.2 uyarınca).
İşlenen veriler: tüm ilgili kategoriler.
Hukuki sebep: KVKK m. 5/2-(e) (bir hakkın tesisi, kullanılması veya korunması) ve m. 5/2-(f).
(h) Mevzuata uyum ve faaliyetlerin mevzuata uygun yürütülmesi süreçlerinin yürütülmesi
Türk Ticaret Kanunu, Vergi Usul Kanunu, Mesafeli Sözleşmeler Yönetmeliği, KVKK, ETDK ve sair mevzuat kapsamındaki kayıt tutma, saklama, bildirim ve raporlama yükümlülüklerinin yerine getirilmesi.
İşlenen veriler: Kimlik, İletişim, Müşteri İşlem, Finans, Hukuki İşlem.
Hukuki sebep: KVKK m. 5/2-(a) (kanunlarda açıkça öngörülmesi) ve m. 5/2-(ç) (hukuki yükümlülük).
(ı) Reklam, kampanya ve pazarlama süreçlerinin yürütülmesi (yalnızca açık rıza halinde)
Genel veya kişiye özel kampanyaların duyurulması; e-posta, SMS veya sesli arama yoluyla ticari elektronik ileti gönderimi (ETDK m. 6 uyarınca İYS üzerinden alınan onay çerçevesinde); pazar araştırması, anket ve çekiliş düzenlenmesi; promosyon, indirim ve sadakat programlarının yönetimi.
İşlenen veriler: Kimlik, İletişim, Pazarlama.
Hukuki sebep: KVKK m. 5/1 (açık rıza) ve ETDK m. 6 (önceden onay).
(i) Profilleme ve kişiselleştirme süreçlerinin yürütülmesi (yalnızca açık rıza halinde)
Alışveriş alışkanlıklarının analiz edilmesi, kişiye özel ürün ve kampanya önerilerinin oluşturulması, İnternet Sitesinin kullanıcı deneyiminin kişiselleştirilmesi, müşteri segmentasyonu.
İşlenen veriler: Müşteri İşlem, Pazarlama.
Hukuki sebep: KVKK m. 5/1 (açık rıza).
(j) Çerezler aracılığıyla istatistik, analitik ve hedeflemeli reklam (yalnızca açık rıza halinde)
İnternet Sitesinin kullanım istatistiklerinin oluşturulması, ürün ve hizmet performansının analizi, hedeflemeli reklam ve uzaktan pazarlama.
İşlenen veriler: İşlem Güvenliği, Lokasyon.
Hukuki sebep: KVKK m. 5/1 (açık rıza).
(k) Sosyal medya ve dijital iletişim kanal yönetimi
Milolive'in Instagram, Facebook ve sair sosyal medya hesapları üzerinden ürün ve marka tanıtımı, müşteri etkileşimi yönetimi, mesaj/yorum yanıtlama ve şikâyet takibi.
İşlenen veriler: Kimlik (sosyal medya kullanıcı adı seviyesinde), İletişim, Müşteri Bilgisi.
Hukuki sebep: KVKK m. 5/2-(f) (meşru menfaat) ve ilgili sosyal medya platformunun kullanım koşulları çerçevesinde Üye/Müşterinin alenileştirdiği veriler bakımından KVKK m. 5/2-(d).
7. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
Kişisel veriler aşağıdaki kanallar aracılığıyla, kısmen veya tamamen otomatik ya da otomatik olmayan yöntemlerle toplanmaktadır:
(a) İnternet Sitesinde Üyelik kaydı, sipariş oluşturma, Hesabım Sayfası kullanımı, formlar ve iletişim sayfaları aracılığıyla doğrudan veri sahibinden;
(b) İnternet Sitesinin teknik altyapısı (sunucu kayıtları, log dosyaları, çerezler ve benzeri teknolojiler) aracılığıyla otomatik biçimde;
(c) Müşteri hizmetleri kanalları (e-posta, telefon, sosyal medya yazışmaları) aracılığıyla;
(ç) Veri işleyenler ve iş ortakları aracılığıyla, sözleşmenin ifasının zorunlu kıldığı sınırlı kapsamda;
(d) Resmi makamlardan veya mahkemelerden iletilen taleplere yanıt vermek üzere edinilen kayıtlar şeklinde;
(e) Açık rıza halinde sosyal medya entegrasyonları, üçüncü taraf pazarlama platformları ve analitik araçları aracılığıyla.
8. KİŞİSEL VERİLERİN AKTARILDIĞI ALICILAR
8.1. Bu maddede iki farklı aktarım türü ayrı ayrı düzenlenmiştir: (a) Veri İşleyene aktarım (Milolive'in talimatı altında ve onun adına işleyen taraflar) ve (b) bağımsız Veri Sorumlusu sıfatını haiz alıcılara aktarım.
Veri İşleyenler (Milolive adına ve talimatı altında işleyen taraflar)
8.2. Aşağıdaki alıcılar Milolive ile akdedilen veri işleyen sözleşmesi kapsamında işlem yapar; Milolive'in talimatları çerçevesinde hareket eder ve kendi amaçlarıyla veri işleyemez:
(a) Lojistik ve kargo şirketleri: Ürün teslimi için kimlik, iletişim ve adres bilgileri;
(b) Bulut, sunucu ve altyapı hizmet sağlayıcıları: İnternet Sitesinin barındırılması, veri tabanı yönetimi, e-posta gönderim altyapısı;
(c) Müşteri ilişkileri yönetim (CRM) sistemi sağlayıcıları;
(ç) Açık rızaya bağlı pazarlama ve e-mail marketing araçları: kampanya yönetimi, kullanıcı segmentasyonu, otomasyon;
(d) Açık rızaya bağlı analitik ve reklam altyapı sağlayıcıları: kullanıcı davranış analizi, hedeflemeli reklam.
Bağımsız Veri Sorumlusu Olan Alıcılar
8.3. Aşağıdaki alıcılar, Milolive'den aktarılan kişisel verileri kendi belirledikleri amaçlar doğrultusunda ve KVKK uyarınca veri sorumlusu olarak işler:
(a) BDDK lisanslı ödeme kuruluşları: kart ile ödeme tahsilatı için ödeme işlem bilgileri. Kart bilgileri Milolive sistemlerinde saklanmaz, doğrudan PCI-DSS uyumlu ödeme kuruluşunun altyapısında işlenir;
(b) E-fatura, e-arşiv ve mali müşavirlik hizmet sağlayıcıları: vergi mevzuatına uygun fatura düzenlenmesi;
(c) İleti Yönetim Sistemi A.Ş. (İYS — www.iys.org.tr): ETDK ve İletişim Yönetim Sistemi Yönetmeliği uyarınca pazarlama amaçlı ticari elektronik ileti onay/red kayıtları;
(ç) Bağımsız hukuk müşaviri, avukatlar ve denetçiler: uyuşmazlıkların yürütülmesi, mevzuata uyum denetimi;
(d) Sigorta şirketleri ve aracılar: yalnızca işlem niteliği gerektirdiğinde, sınırlı kapsamda;
(e) Yetkili kamu kurum ve kuruluşları ile adli makamlar: Ticaret Bakanlığı, Hazine ve Maliye Bakanlığı, Gelir İdaresi Başkanlığı, Kişisel Verileri Koruma Kurumu, Tüketici Hakem Heyetleri, mahkemeler ve savcılıklar — kanunlarda belirtilen usul ve esaslar dahilinde talep halinde.
8.4. Milolive, kişisel verileri yukarıda sayılan alıcı kategorileri dışındaki üçüncü kişilere aktarmaz; pazarlama amacıyla üçüncü kişilere kiralamaz veya satmaz.
8.5. Veri işleyenlerle akdedilen sözleşmelerde KVKK m. 12 kapsamındaki teknik ve idari tedbirlerin uygulanması ve gizlilik yükümlülüğüne uyulması güvence altına alınmaktadır. Resmi makamlardan gelen taleplerin usul ve esas yönünden değerlendirilmesi Milolive'in sorumluluğundadır; hukuka aykırı veya kapsam aşıcı talepler bakımından kanuni itiraz hakları kullanılır.
9. YURT DIŞI AKTARIMLAR
9.1. Milolive, kişisel verileri 7499 sayılı Kanun ile değişik KVKK m. 9 uyarınca yurt dışına aktarabilir. Yurt dışı aktarım ancak aşağıdaki güvence mekanizmalarından birinin varlığı kaydıyla gerçekleştirilir:
(a) Aktarım yapılacak ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında Kurul'un yeterlilik kararı bulunması (KVKK m. 9/2);
(b) Yeterlilik kararı bulunmaması halinde, KVKK m. 9/3 uyarınca uygun güvencelerden birinin sağlanması: (i) ilgili tarafların kamu kurum/kuruluşları olduğu durumda yetkili merciler arasındaki anlaşma, (ii) yurt dışındaki şirket grupları arasında bağlayıcı şirket kurallarının (BCR) Kurul tarafından onaylanması, (iii) Kurul tarafından ilan edilen Standart Sözleşmenin imzalanması ve aktarımdan itibaren beş iş günü içinde Kurul'a bildirilmesi, (iv) ilgili tarafların yazılı taahhütnamesi ve Kurul izni;
(c) Yukarıdaki mekanizmaların hiçbirinin uygulanamaması halinde, KVKK m. 9/6'da sayılan istisnai hallerden birinin (özellikle ilgili kişinin aktarıma açık rıza vermesi, sözleşmenin ifası için zorunluluk, kamu yararı, hak tesisi/kullanılması/korunması) varlığı söz konusu ise, ilgili istisnaya dayanılarak aktarım gerçekleştirilebilir.
9.2. Milolive'in işbirliği yaptığı bazı hizmet sağlayıcıların hizmetlerini yurt dışı altyapı üzerinden sunabileceği başlıca alanlar şunlardır: (a) web analitik araçları; (b) pazarlama ve hedeflemeli reklam araçları; (c) e-mail marketing ve pazarlama otomasyon araçları; (ç) bulut ve altyapı hizmetleri sağlayıcıları (kullanılması halinde); (d) sosyal medya entegrasyonları.
9.3. Yukarıdaki sağlayıcılar bakımından yeterlilik kararı veya Standart Sözleşme öncelikli olarak uygulanır; söz konusu mekanizmalar uygulanamadığı hallerde KVKK m. 9/6 istisnai haller kapsamında ilgili kişinin açık rızasına dayanılır. Yurt dışı aktarıma ilişkin güncel ve ayrıntılı bilgi, Madde 17'de belirtilen kanallar üzerinden talep edilebilir.
10. SAKLAMA SÜRELERİ
10.1. Milolive, kişisel verileri ilgili mevzuatta öngörülen süreler ile sınırlı olarak ve işleme amacının gerektirdiği süre kadar saklar. Asgari saklama süreleri aşağıdaki gibidir:
(a) Sipariş, fatura, sözleşme ve mali kayıt verileri: 213 sayılı Vergi Usul Kanunu m. 253 uyarınca 5 yıl ve 6102 sayılı Türk Ticaret Kanunu m. 82 uyarınca 10 yıl olmak üzere; bu sürelerden uzun olanı esas alınır.
(b) Mesafeli sözleşme bilgi ve belgeleri: MSY m. 20/1 uyarınca işlem tarihinden itibaren en az 3 yıl.
(c) Üyelik ve hesap verileri: Üyelik aktif olduğu sürece. 24 ay boyunca giriş veya işlem yapılmayan üyelikler "inaktif" sayılır; inaktif üyeler bilgilendirilir ve makul bir süre sonunda hesap kapatılarak veriler bu Maddenin (a) ve (b) bentlerinde öngörülen mevzuat saklama süreleri saklı kalmak üzere silinir veya anonimleştirilir.
(ç) Müşteri hizmetleri ve şikayet kayıtları (varsa çağrı kayıtları dahil): TBK m. 146 uyarınca genel zamanaşımı süresi olan 10 yıl boyunca, hak tesisi ve savunma amacıyla.
(d) Log ve işlem güvenliği kayıtları: KVKK m. 12 kapsamındaki teknik ve idari tedbirler çerçevesinde, asgari 1 yıl, azami 2 yıl — Kurul'un Yeterli Önlemler Rehberi ve Milolive'in iç güvenlik politikası uyarınca.
(e) Ticari elektronik ileti onay/red kayıtları: Ticari Elektronik İletiler Yönetmeliği uyarınca onayın geri alındığı tarihten itibaren 3 yıl.
(f) Pazarlama amaçlı işlenen kişisel veriler (açık rızaya dayalı): Açık rızanın geri alınması halinde gecikmeksizin; pazarlama ilişkisinin sona ermesi halinde mevzuat gereği saklanması gerekmeyen veriler için makul süre içinde silinir veya anonimleştirilir.
(g) KVKK ve diğer mevzuat kapsamındaki başvuru kayıtları: Tebliğ ve KVKK kapsamında verilen cevapların izlenebilirliği amacıyla 10 yıl boyunca.
10.2. Saklama sürelerinin sona ermesinin ardından kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca silinir, yok edilir veya anonim hale getirilir.
11. PROFİLLEME VE OTOMATİK KARARLAR
11.1. Açık rıza halinde Milolive, alışveriş alışkanlıkları, ürün tercihleri ve demografik bilgiler kullanarak Üye/Müşteriye özel kampanya, reklam ve öneriler sunabilir. Bu profilleme faaliyeti yalnızca Üye/Müşterinin ayrı ve açık rızasının alınmasına bağlıdır.
11.2. Milolive ayrıca bilgi güvenliği ve dolandırıcılığın önlenmesi amacıyla otomatik risk değerlendirme süreçleri yürütebilir. Bu süreçler örneğin (i) sahtecilik şüphesi taşıyan sipariş tespiti, (ii) çoklu hesap açma/kötüye kullanım tespiti, (iii) anormal trafik kalıpları tespiti gibi durumlarda otomatik karar üretebilir. Aleyhe sonuç doğan otomatik kararlar şunları içerebilir: siparişin geçici olarak askıya alınması, ödeme reddi, hesabın güvenlik incelemesine alınması.
11.3. KVKK m. 11/1-(g) uyarınca veri sahibi, münhasıran otomatik sistemlerle yapılan analizin aleyhine sonuç doğurması halinde itiraz etme hakkına sahiptir. İtiraz başvurusunu Milolive Madde 17'de belirtilen kanallardan iletebilir; Milolive itirazı 15 iş günü içinde inceler. İnceleme sürecinde aleyhe sonuç doğan otomatik karar, Milolive'in insan müdahalesi ve değerlendirmesi ile yeniden ele alınır; nihai karar veri sahibine gerekçeli olarak bildirilir.
12. ÇEREZLER
12.1. İnternet Sitesinde zorunlu ve zorunlu olmayan çerezler kullanılmaktadır. Zorunlu çerezler (oturum, kimlik doğrulama ve güvenlik çerezleri) KVKK m. 5/2-(c) ve m. 5/2-(f) hukuki sebepleri kapsamında rızasız olarak çalıştırılır. Zorunlu olmayan çerezler (işlevsellik, analitik ve pazarlama çerezleri) yalnızca kullanıcının granüler ve bilgilendirilmiş açık rızasının alınmasından sonra çalıştırılır.
12.2. Kullanıcı, ilk siteye giriş anında gösterilen Çerez Onay Merkezi üzerinden çerez tercihlerini yönetebilir. "Reddet" seçeneği "Kabul" seçeneği ile aynı görünürlük, sıklık ve kolay erişilebilirlik düzeyinde sunulur. Verilen tercihler dilediği zaman Çerez Tercih Merkezi üzerinden güncellenebilir veya geri alınabilir.
12.3. Çerezlerin türü, amacı, süresi, sağlayıcısı ve KVKK kapsamındaki hukuki sebebi detaylı biçimde Çerez Politikasında açıklanmıştır.
13. PAZARLAMA VE TİCARİ ELEKTRONİK İLETİLER
13.1. Milolive, 6563 sayılı ETDK ve Ticari Elektronik İletiler Yönetmeliği kapsamında, Üye/Müşterinin ayrıca ve açıkça alınmış önceden onayının bulunması halinde, pazarlama amacıyla ticari elektronik ileti gönderebilir. Onay; (i) e-posta, (ii) SMS, (iii) sesli arama kanalları için ayrı ayrı verilebilir. Ticari elektronik ileti onayı, Kullanım Şartları ve Üyelik Sözleşmesi ile diğer sözleşmelerden bağımsız ve ayrı bir opt-in (onay) kutucuğuyla alınır.
13.2. Onay ve red kayıtları İleti Yönetim Sistemine (İYS — www.iys.org.tr) kaydedilir. Üye/Müşteri verdiği onayı dilediği zaman: (i) Milolive tarafından gönderilen her ticari elektronik iletide yer alan red linkiyle, (ii) İYS üzerinden, veya (iii) Milolive'in KVKK başvuru e-posta adresine yazılı bildirimle geri alabilir. Red bildirimi 3 iş günü içinde işleme alınır.
14. KİŞİSEL VERİ GÜVENLİĞİ VE VERİ İHLALİ BİLDİRİMİ
14.1. Milolive, KVKK m. 12 ve Kurul'un Yeterli Önlemler Rehberi uyarınca aşağıdaki teknik ve idari tedbirleri uygulamaktadır:
Teknik tedbirler
TLS/SSL ile şifreli iletişim; kullanıcı şifrelerinin geri döndürülemez şekilde hash'lenmiş olarak saklanması; rol bazlı erişim kontrolü ve en az yetki ilkesi; erişim ve işlem kayıtlarının (log) tutulması; periyodik yedekleme ve yedekten geri dönüş testleri; yılda en az bir kez sızma testi ve güvenlik denetimi; güncel güvenlik yazılımları ve güvenlik duvarı; ödeme bilgilerinin PCI-DSS uyumlu ödeme kuruluşu altyapısı üzerinden işlenmesi.
İdari tedbirler
KVKK ve veri işleme süreçleri konusunda personel eğitimi; çalışanlardan alınan gizlilik ve veri işleme taahhütnameleri; veri işleyenlerle akdedilen sözleşmelerde KVKK m. 12 yükümlülüklerinin yansıtılması; Kişisel Veri İşleme Envanteri'nin tutulması ve düzenli güncellenmesi; Kişisel Veri Saklama ve İmha Politikası ile periyodik imha takvimi; Veri İhlali Müdahale Prosedürü; düzenli risk değerlendirmesi ve etki analizi.
14.2. Özel nitelikli kişisel veri işlenmesini gerektiren bir durumun ortaya çıkması halinde, Kurul'un 31.01.2018 tarihli ve 2018/10 sayılı Kararı uyarınca yukarıdaki tedbirlere ek olarak (i) ayrı bir politika ve prosedür belirlenmesi, (ii) güvenli ortamda saklama, (iii) elektronik ortamda saklanması halinde şifreleme ve kriptografik anahtar yönetimi, (iv) erişimde iki faktörlü kimlik doğrulama gibi ek güvenlik tedbirleri uygulanır.
14.3. KVKK m. 12 kapsamında bir veri ihlali veya güvenlik olayı meydana gelmesi halinde Milolive, gerekli tedbirleri aldığını ispat yükümlülüğünü taşır. İlgili kişinin kusurunu iddia eden tarafın ispat yükü ise genel hükümler uyarınca iddia eden taraftadır. Milolive, ilgili kişinin kusurunu tek taraflı olarak belirleme yetkisine sahip değildir.
14.4. Bir kişisel veri ihlali meydana gelmesi halinde Milolive, ihlali öğrendiği andan itibaren en kısa sürede ve en geç 72 saat içinde Kurul'a bildirim yapar. Kurul'a yapılan bildirim, Kurul'un 24.01.2019 tarihli ve 2019/10 sayılı Kararı uyarınca asgari olarak şu bilgileri içerir: ihlalin gerçekleşme veya tespit zamanı, ihlalden etkilenen kişi ve kayıt sayısı, ihlalden etkilenen kişisel veri kategorileri, ihlalin olası sonuçları, alınan veya alınması önerilen tedbirler, Milolive'in KVKK irtibat kişisi bilgileri.
14.5. İhlalden etkilenen ilgili kişilere doğrudan iletişim mümkün olduğunda makul süre içinde bildirim yapılır. Doğrudan iletişimin mümkün olmadığı hallerde İnternet Sitesinde uygun bir duyuru yayımlanır.
15. ÇOCUKLARA İLİŞKİN ÖZEL HÜKÜMLER
15.1. İnternet Sitesi 18 yaşından büyük kişilere yöneliktir. Kullanım Şartları ve Üyelik Sözleşmesi m. 5.1 uyarınca 18 yaşından küçük kişiler İnternet Sitesinde Üye olamaz. Veli veya vasinin gözetim ve rızası altında 18 yaşından küçük kişiler adına Müşteri/Alıcı sıfatıyla sipariş verilebilir; bu durumda işlenen kişisel veriler veli veya vasinin sorumluluğunda olup işbu Aydınlatma Metni hükümleri uygulanır.
15.2. Milolive, bir kullanıcının 18 yaşından küçük olduğunu ve veli/vasi gözetimi bulunmaksızın hesap oluşturduğunu tespit etmesi halinde Kullanım Şartları m. 5.1 uyarınca hesabı askıya alır, makul yollarla veli/vasiye bildirimde bulunmaya çalışır ve veli/vasiye söz konusu kişisel verileri talep etmesi için 30 gün süre tanır. Bu süre sonunda talep edilmeyen veriler, mevzuat gereği saklama yükümlülükleri saklı kalmak üzere, Kişisel Veri Saklama ve İmha Politikasına uygun biçimde silinir, yok edilir veya anonim hale getirilir.
16. VERİ SAHİBİNİN HAKLARI
16.1. KVKK m. 11 uyarınca veri sahibi Milolive'e başvurarak aşağıdaki haklarını kullanabilir:
(a) Kişisel verilerinin işlenip işlenmediğini öğrenme;
(b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme;
(c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
(ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme;
(d) Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini ve bu işlemin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
(e) İşleme sebepleri ortadan kalkmış kişisel verilerinin silinmesini, yok edilmesini veya anonimleştirilmesini ve bu işlemin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
(f) Münhasıran otomatik sistemler vasıtasıyla yapılan analizin aleyhine bir sonuç doğurması halinde itiraz etme;
(g) Kişisel verilerin kanuna aykırı olarak işlenmesi nedeniyle uğradığı zararın giderilmesini talep etme.
16.2. Açık rızaya dayalı işlenen kişisel veriler bakımından, açık rızanız dilediğiniz zaman geri alabilirsiniz. Geri alma, geri alma tarihinden itibaren ileriye dönük olarak ilgili işleme faaliyetinin durdurulmasını gerektirir; geçmişte hukuka uygun olarak gerçekleştirilen işlemenin hukuka uygunluğunu etkilemez.
17. BAŞVURU KANALLARI VE USULÜ
17.1. KVKK m. 11 kapsamındaki haklarını kullanmak için Tebliğ m. 5'te belirtilen aşağıdaki yöntemlerden biriyle Milolive'e başvurulabilir:
(a) Yazılı olarak Madde 1'de belirtilen posta adresine ıslak imzalı dilekçe ile şahsen veya noter aracılığıyla;
(b) Güvenli elektronik imza veya mobil imza ile imzalanmış elektronik belgenin Madde 1'de belirtilen KVKK başvuru e-posta adresine gönderilmesi suretiyle;
(c) Üye sıfatını haiz veri sahipleri bakımından, Milolive'e daha önce bildirilen ve veri kayıt sisteminde kayıtlı bulunan elektronik posta adresinden Madde 1'de belirtilen KVKK başvuru e-posta adresine gönderim suretiyle. Üye sıfatı bulunmayan veri sahipleri için bu kanal kullanılamaz; (a) veya (b) bentlerindeki kanallar kullanılır.
17.2. Tebliğ m. 5/2 uyarınca başvurunun aşağıdaki zorunlu unsurları içermesi gerekmektedir: (a) ad, soyad ve başvuru yazılı ise imza; (b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası; (c) tebligata esas yerleşim yeri veya iş yeri adresi; (ç) varsa bildirime esas elektronik posta adresi, telefon ve faks numarası; (d) talep konusu. Başvuru konusuna ilişkin bilgi ve belgeler eklenir. Başvurunun yapıldığı yönteme göre talebin ilgili kişiden geldiğini teyit etmek ve ilgili kişinin mahremiyetini korumak amacıyla Milolive, başvuru sahibinden ek bilgi veya belge talep edebilir veya kimlik doğrulamasına yönelik makul ek doğrulamalar yapabilir. Söz konusu doğrulamalar yalnızca başvuru sahibinin kimliğinin teyidi amacıyla yapılır ve sürecin tamamlanmasının ardından imha edilir.
17.3. Milolive, başvuruyu Tebliğ m. 6 uyarınca talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyet gerektirmesi halinde Kurul tarafından belirlenen tarifedeki ücret talep edilebilir; başvurunun Milolive'in hatasından kaynaklanması halinde alınan ücret iade edilir.
17.4. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, başvuru sahibi cevabı öğrendiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul'a şikâyette bulunabilir.
17.5. Veri sahipleri, başvurularını Milolive'in İnternet Sitesinde yayımlanan Veri Sahibi Başvuru Formunu kullanmak suretiyle de iletebilir. Form kullanılmaması, başvurunun usulüne uygun yapılmadığı sonucunu doğurmaz; başvurunun Madde 17.2'deki zorunlu unsurları içermesi yeterlidir.
18. AYDINLATMA METNINDE DEĞIŞIKLIKLER
18.1. Milolive, mevzuat değişiklikleri, Kurul kararları ve faaliyetlerinde meydana gelen değişiklikler doğrultusunda işbu Aydınlatma Metnini güncelleme hakkını saklı tutar.
18.2. Esaslı değişiklikler (kişisel veri işleme amaçları, hukuki sebepler, alıcı kategorileri veya yurt dışı aktarımlardaki esaslı değişiklikler), Kullanım Şartları ve Üyelik Sözleşmesi ile öngörülen bildirim usulüne uygun olarak yürürlüğe girmeden önce kayıtlı Üye/Müşterilere kayıtlı e-posta adresleri üzerinden bildirilir. Açık rıza gerektiren değişiklikler bakımından açık rıza alınmadıkça yeni hükümler ilgili kişiye uygulanmaz.
18.3. Aydınlatma Metninin güncel hali her zaman İnternet Sitesinde yayımlanır.
Yayım Tarihi: 16.05.2026
Son Güncelleme Tarihi: 16.05.2026
Versiyon: Rev.03