KVKK Aydınlatma Metni

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI – AYDINLATMA METNİ

1. Amaç, Kapsam ve Hukuki Dayanak

1.1. Bu Aydınlatma Metni ve Gizlilik Politikası, Growenway'in sunduğu çevrim içi/çevrim dışı hizmetler (üyelik, etkinlik listeleme/katılım, eğitim/biletleme, müşteri destek, pazarlama/iletişim faaliyetleri) kapsamında kişisel verilerinizin 6698 sayılı KVKK, ikincil düzenlemeler ve Kurul kararlarına uygun işlenmesine, aktarılmasına, saklanmasına ve güvenliğine dair esasları ortaya koyar.

1.2. Veriler hukuka ve dürüstlük kurallarına uygun, doğru ve güncel, belirli/açık/meşru amaçlarla, amaçla bağlantılı/sınırlı/ölçülü işlenir ve gerekli süre boyunca muhafaza edilir (KVKK m.4).

1.3. Growenway'e üyelik yalnızca 13 yaş ve üzeri kişiler tarafından açılabilir. 18 yaşından küçük kullanıcıların verileri, veli/vasilerinin bilgisi dahilinde işlenir. Growenway, bu rızanın kullanıcı tarafından sağlandığını varsayar. 13 yaş altı kişilerden bilerek veri toplanmaz; tespit hâlinde kayıtlar silinir.

1.4. Toplanan bilgiler, ilgili kişinin onayı veya kanuni zorunluluk dışında üçüncü kişilere satılmaz, ticari amaçla devredilmez. Paylaşımlar, yalnızca hizmet sağlayıcı iş ortaklarıyla ve gizlilik yükümlülükleri altında yapılır.

2. İşlenen Kişisel Veri Kategorileri

Hizmetin niteliğine göre aşağıdaki kategoriler işlenebilir (her zaman tamamı değil, gerekli olanlar):

- Kimlik: Ad-soyad, TCKN/uyruk (gerektiğinde), doğum tarihi, cinsiyet.

- İletişim: Adres, e-posta, GSM/sabit hat, KEP adresi.

- Üyelik/Müşteri İşlemleri: Üyelik bilgileri, satın alma/katılım geçmişi, talep-şikâyet kayıtları, çağrı merkezi ses kayıtları (yalnızca hizmet kalitesi ve uyuşmazlık çözümü amacıyla, görüşme başında bilgilendirme yapılarak), destek yazışmaları.

- Finans/Ödeme: Fatura/irsaliye bilgileri, IBAN/banka bilgisi (eğitmen ödemeleri için), ödeme dekontları. Kart verileri Growenway'de saklanmaz; işlemler İyzico üzerinden yürütülür.

- İşlem Güvenliği/Teknik: IP/MAC, tarayıcı, cihaz tanımlayıcıları, oturum logları, zaman damgaları, hata/güvenlik kayıtları.

- Konum (sınırlı): Kullanıcı tercihine bağlı şehir/bölge bilgisi.

- Pazarlama Tercihleri: Ticari ileti onay/red, kampanya/bülten etkileşimleri (rıza varsa).

- Eğitmen/Organizatör Verileri: Vergi/MERSİS bilgisi, banka bilgileri, sözleşme verileri.

- Görsel/İşitsel: Kimlik teyidi/etkinlik operasyonu için fotoğraf, görüntü, çağrı kayıtları.

- Çerez Verileri: Zorunlu, işlevsel, analitik ve (rıza varsa) pazarlama çerezleri.

- Özel Nitelikli Veriler: Kural olarak işlenmez; yalnızca kanuni zorunluluk veya açık rıza ile, ek güvenlik tedbirleri (ör. şifreleme, sınırlı erişim, özel imha prosedürleri) uygulanarak işlenebilir.

3. Kişisel Verilerin İşlenme Amaçları

- Sözleşme/Hizmet: Üyelik tesisi, etkinlik satışı/katılım, erişim kodlarının iletimi, kimlik ve yaş kontrolü.

- Ödeme/Tahsilat: İyzico aracılığıyla ödeme, muhasebe, faturalama, iade/iptal ve uyuşmazlık süreçleri.

- Müşteri İlişkileri: Talep/şikâyet yönetimi, memnuniyet ölçümü, destek.

- Güvenlik: Sahtecilik/dolandırıcılık önleme, erişim kontrolü, işlem güvenliği, loglama, denetim.

- Geliştirme: Ürün/hizmet ve deneyim geliştirme, performans/analitik çalışmalar, anonim istatistikler.

- Pazarlama (rıza varsa): Kampanya, bülten ve öneriler; rıza her zaman geri alınabilir.

- Hukuki Yükümlülükler: Saklama, bildirim, ispat, denetim ve resmî makam taleplerine cevap.

- Hukuki İşler: Sözleşme ifası, hak ve alacak takibi, uyuşmazlık çözümü.

4. Hukuki Sebepler (KVKK m.5–6)

Veriler şu hukuki sebeplerle işlenir:

- Açık rıza (pazarlama, yurt dışı aktarım vb.),

- Kanunlarda öngörülmesi,

- Fiilî imkânsızlık hâlinde temel hakların korunması,

- Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,

- Hukuki yükümlülüğün yerine getirilmesi,

- Bir hakkın tesisi, kullanılması veya korunması,

- İlgili kişinin kendisi tarafından alenileştirilmiş olması,

- Meşru menfaat (hizmet güvenliği, dolandırıcılık önleme, geliştirme), temel hak ve özgürlüklere zarar vermemek kaydıyla.

5. Toplama Yöntemleri

Veriler; site/mobil formlar, çerezler, çağrı merkezi, e-posta/KEP, sözleşme ve faturalama süreçleri, İyzico ödeme ekranları, loglar, anketler, eğitmen sözleşmeleri gibi elektronik/fiziki yollarla, otomatik/otomatik olmayan yöntemlerle toplanır.

6. Aktarımlar ve Alıcı Grupları

Kişisel veriler aşağıdaki alıcı gruplarıyla paylaşılabilir:

- Hizmet sağlayıcılar: Hosting, SMS/e-posta, çağrı merkezi, yazılım/bulut, analiz, pazarlama (rıza varsa).

- Ödeme kuruluşları/bankalar: İyzico, kartlı ödeme kuruluşları.

- Organizatörler: Katılım için gerekli zorunlu bilgiler.

- Danışmanlar: Avukat, denetçi, mali müşavir.

- Yetkili merciler: Mevzuattan doğan yükümlülükler.

6.1. Platform Altyapı Sağlayıcısı — Wix

Growenway platformu, Wix.com Ltd. ("Wix") tarafından sağlanan altyapı üzerinde barındırılmaktadır. Wix, platform hizmetinin sunulması amacıyla alt işleyici (veri işleyen) konumundadır. Bu kapsamda:

(a) Üyelik bilgileri, oturum verileri, form girdileri ve işlem kayıtları Wix altyapısında işlenebilir.

(b) Wix, verileri ABD ve/veya Avrupa Birliği'nde bulunan veri merkezlerinde barındırabilir.

6.2. Temel Alt İşleyiciler / Hizmet Sağlayıcılar

|-----------|-------------|---------------|-------------------|

6.3. Yurt Dışı Aktarım

Kişisel veriler yurt dışına yalnızca KVKK m.9 hükümleri uyarınca aktarılır. Aktarım mekanizmaları yukarıdaki tabloda sağlayıcı bazında belirtilmiştir. Açık rızaya dayalı aktarımda rıza her zaman geri çekilebilir.

7. Ödeme Güvenliği

Kart verileri Growenway tarafından işlenmez; ödemeler İyzico aracılığıyla yapılır. İadeler normalde 7 iş günü içinde bankaya bildirilir; banka/uluslararası süreçler nedeniyle süre uzayabilir.

8. Çerezler

Zorunlu, işlevsel ve analitik çerezler kullanılır; pazarlama çerezleri yalnızca açık rıza ile etkinleşir. Çerez yönetimi ve saklama süreleri için Çerez Politikası'na bakınız.

9. Saklama ve İmha

9.1. Kişisel veriler aşağıdaki sürelere göre saklanır:

| Veri Kategorisi | Saklama Süresi | Dayanak |

|-----------------|---------------|---------|

| Üyelik/kimlik bilgileri | Üyelik süresi + 10 yıl | TTK m.82, VUK m.253 |

| Ödeme/fatura verileri | İşlem tarihi + 10 yıl | VUK m.253 |

| İşlem güvenliği logları | 2 yıl | 5651 sayılı Kanun m.5 |

| Ticari ileti onay kaydı | Onay süresi + 3 yıl (rıza geri çekilirse +1 yıl) | TİHK Yönetmeliği |

| Çerez verileri | Çerez süresince (bkz. Çerez Politikası) | KVKK m.4 |

| Destek yazışmaları | Son işlem + 3 yıl | Genel zamanaşımı |

| Pazarlama tercihleri | Rıza geri çekilene kadar | KVKK m.5/1 |

9.2. Saklama süresi dolan veriler, periyodik imha sürecinde (6 aylık dönemler) silinir, yok edilir veya anonim hâle getirilir.

10. Veri Güvenliği

10.1. Growenway; TLS/SSL, erişim kontrolü, şifreleme, loglama, yedekleme, yamalama, saldırı önleme, personel gizlilik taahhütleri gibi teknik ve idari tedbirler uygular.

10.2. Olası veri ihlallerinde Kişisel Verileri Koruma Kurulu'na en kısa sürede ve her hâlde ihlali öğrendiği tarihten itibaren 72 (yetmiş iki) saat içinde bildirim yapılır. İhlalden etkilenen ilgili kişilere de mümkün olan en kısa sürede bildirim yapılır.

10.3. Platform altyapı sağlayıcısı Wix, SOC 2 Type II ve ISO 27001 sertifikalarına sahiptir. Platform verileri Wix altyapısında otomatik yedekleme ve felaket kurtarma süreçlerine tabidir.

11. İlgili Kişi Hakları (KVKK m.11)

Kullanıcılar aşağıdaki haklara sahiptir:

- İşlenip işlenmediğini öğrenme, bilgi talep etme, amacını öğrenme,

- Aktarıldığı üçüncü kişileri ve yurt dışına aktarım yapılıp yapılmadığını bilme,

- Yanlış/eksikse düzeltme,

- Silme/yok etme talep etme ve üçüncü kişilere bildirilmesini isteme,

- Otomatik sistem analizine itiraz etme,

- Kanuna aykırı işlem nedeniyle zararın giderilmesini isteme.

11.1. Otomatik Karar Alma: Growenway, kişisel verileriniz üzerinden münhasıran otomatik sistemlerle profilleme veya karar alma işlemi gerçekleştirmemektedir. Dolandırıcılık önleme amacıyla yapılan otomatik kontroller, nihai karar öncesinde insan denetimine tabi tutulur.

12. Başvuru Usulü

Başvurularınızı:

- Yazılı dilekçe ile Hamidiye Mah. 15067 Sk. 2/14 B3, Edremit, Balıkesir adresine,

- Güvenli e-imza/mobil imza ile veya sistemde kayıtlı e-posta adresinizden info@growenway.com adresine,

iletebilirsiniz. Başvurular yalnızca kimliğinizi doğrulayan yollarla (imzalı dilekçe, kayıtlı e-posta, güvenli elektronik imza vb.) yapılabilir.

Başvurular 30 gün içinde sonuçlandırılır; ayrıca maliyet doğarsa Kurul tarifesine göre ücret alınabilir. Yanıt yetersizse KVKK Kurulu'na şikâyet yoluna başvurabilirsiniz (önce veri sorumlusuna başvuru şarttır).

12.1. VERBİS Kaydı: Growenway, esnaf statüsünde faaliyet göstermekte olup, Kişisel Verileri Koruma Kurulu'nun 2018/32 ve 2018/68 sayılı kararları uyarınca yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olan gerçek kişi veri sorumluları VERBİS'e kayıt yükümlülüğünden muaftır. Growenway bu muafiyet kapsamında değerlendirildiğinden VERBİS'e kayıtlı değildir. Muafiyet koşullarının değişmesi hâlinde kanuni süresi içinde VERBİS kaydı yapılacaktır.

13. Ticari İletiler

13.1. Açık rıza vermeniz halinde kampanya, bülten ve duyurular e-posta/SMS ile iletilebilir; her iletide tercih değiştirme imkânı sunulur.

13.2. Hizmetin ifası için gerekli bilgilendirmeler (erişim linkleri, tarih değişikliği vb.) rızadan bağımsız gönderilebilir.

14. Üçüncü Taraf Bağlantılar

Site, Growenway kontrolünde olmayan üçüncü taraf sitelere yönlendirebilir. Bu sitelerin içerik ve politikalarından Growenway sorumlu değildir.

15. Güncellemeler

Metin, mevzuat veya hizmet değişikliklerine paralel güncellenebilir; Site'de yayımlandığı anda yürürlüğe girer.

16. İletişim

Veri Sorumlusu: Özlem Tüysüz Eğitim Danışmanlık (Growenway)

Vergi Dairesi / VKN: Edremit Vergi Dairesi / 8820094206

Esnaf Sicil No: 196781

ETBİS Kayıt No: 2703335344133232

Adres: Hamidiye Mah. 15067 Sk. 2/14 B3, Edremit, Balıkesir

Telefon: +90 533 416 52 52

E-posta: info@growenway.com