Kişisel Verilerin Korunması ve İşlenmesine İlişkin Aydınlatma Metni

1. GENEL AÇIKLAMA

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca ESM Mobil Teknoloji Anonim Şirketi (Şirket), veri sorumlusu sıfatıyla, kişisel verilerin hukuka uygun olarak işlenmesi, saklanması, korunması ve gerektiğinde aktarılması hususunda azami özeni göstermektedir. İşbu Aydınlatma Metni, Şirket tarafından geliştirilen mobil uygulama aracılığıyla çekici, akü, sigorta poliçe hizmetleri, lastik değişimi, yerinde müdahale ve benzeri tüm yol yardım hizmetlerini talep eden veya bu hizmetleri sağlayan kullanıcılar (Kullanıcı) ile hizmet sağlayıcıların kişisel verilerinin işlenmesine ilişkin usul ve esasları düzenlemektedir. Şirket, kullanıcıların kişisel verilerini yalnızca ilgili mevzuat hükümlerine, dürüstlük ilkelerine ve hizmetin ifası için zorunlu sınırlar içerisinde işlemektedir.

2. KİŞİSEL VERİLERİN TOPLANMASI VE TOPLAMA YÖNTEMİ

Kişisel veriler, Şirket'in sunduğu hizmetlerin sağlanması ve geliştirilmesi amacıyla, mobil uygulama, web sitesi, çağrı merkezi, e-posta, sosyal medya, müşteri destek birimleri ve benzeri kanallar üzerinden elektronik veya fiziki ortamlarda, otomatik ya da otomatik olmayan yöntemlerle toplanmaktadır. Bu veriler, kullanıcıların uygulama üzerinden hesap oluşturmaları, hizmet talebinde bulunmaları, ödeme işlemlerini gerçekleştirmeleri veya Şirket'le iletişime geçmeleri süreçlerinde elde edilmektedir. Toplanan veriler, KVKK'nın öngördüğü süreler boyunca saklanmakta ve yasal saklama süresi sona erdiğinde silinmekte, yok edilmekte veya anonim hale getirilmektedir.

3. İŞLENEN KİŞİSEL VERİLERİN KAPSAMI

Şirket tarafından işlenen kişisel veriler; kimlik bilgileri (ad, soyadı, T.C. kimlik numarası, fotoğraf, ehliyet bilgisi), iletişim bilgileri (telefon numarası, e-posta adresi, açık adres), lokasyon bilgileri (talep ve hizmet noktası, varış noktası, canlı konum verisi), araç ve hizmet bilgileri (araç plakası, araç ruhsatı, marka, model, talep edilen hizmet türü), finansal bilgiler (ödeme, fatura, kredi kart bilgileri, banka bilgileri), işlem güvenliği verileri (IP adresi, cihaz bilgisi, erişim kayıtları), görsel-işitsel kayıtlar (çağrı merkezi ses kayıtları ve mesajları, fotoğraflar, video kayıtları) ve müşteri memnuniyetine ilişkin geri bildirim verileridir. Şirket, özel nitelikli kişisel verileri ancak KVKK'nın 6. maddesinde belirtilen hallerde ve yeterli önlemler alınarak işler.

4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Toplanan kişisel veriler, Şirket tarafından yürütülen faaliyetlerin gereği olarak; mobil uygulama kapsamında sunulan çekici, akü, lastik değişim, sigorta poliçe hizmeti ve benzeri hizmetlerin planlanması, hizmetin sağlanması ve takibi, kullanıcı ile hizmet sağlayıcının eşleştirilmesi, kimlik doğrulamasının yapılması, canlı konum bilgilerinin hizmet güvenliği çerçevesinde paylaşılması, ödeme ve faturalandırma işlemlerinin gerçekleştirilmesi, müşteri ilişkilerinin yürütülmesi, hizmet kalitesinin ölçülmesi ve geliştirilmesi amacıyla, müşteri memnuniyetinin ölçülmesi, şikayetlerin ve taleplerin değerlendirilmesi, sistem güvenliğinin sağlanması, dolandırıcılık ve kötüye kullanımın önlenmesi, hukuki yükümlülüklerin yerine getirilmesi ve gerekli hallerde yasal mercilere bilgi verilmesi amaçlarıyla işlenmektedir. Ayrıca kullanıcı deneyiminin geliştirilmesi, kampanya ve bilgilendirme süreçlerinin yürütülmesi, hizmet kalitesinin ölçülmesi ve geliştirilmesi amacıyla istatistiksel değerlendirmeler de veri işleme amaçları arasındadır.

4.1. Kişisel Verilerin Aktarılması

Toplanan kişisel verileriniz, yukarıda belirtilen işleme amaçlarıyla sınırlı olmak üzere ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 8. maddesine uygun olarak aşağıdaki alıcı gruplarına aktarılabilmektedir:

• Ödeme Kuruluşları (örn. iyzico): Ödeme işlemlerinin gerçekleştirilmesi amacıyla
• Hizmet Sağlayıcılar: Talep edilen hizmetin sunulabilmesi amacıyla
• Bulut ve Sunucu Hizmet Sağlayıcıları: Veri barındırma, loglama ve sistem güvenliğinin sağlanması amacıyla
• Harita ve Konum Servis Sağlayıcıları: Konum bazlı hizmetlerin sunulabilmesi amacıyla
• Analitik ve Hata Raporlama Sağlayıcıları: Uygulama performansının ölçülmesi ve hizmet kalitesinin artırılması amacıyla
• Yetkili Kamu Kurum ve Kuruluşları: Mevzuattan doğan yükümlülüklerin yerine getirilmesi kapsamında

4.2. Yurtdışına Veri Aktarımı

Kişisel verileriniz, gerekli olması halinde; 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesi ve Kişisel Verileri Koruma Kurulu düzenlemelerine uygun olarak, yeterli korumanın bulunduğu ülkelere veya yeterli korumanın yazılı olarak taahhüt edildiği hizmet sağlayıcılara aktarılabilmektedir. Açık rıza gerektiren hallerde, kişisel veriler ilgili kişinin açık rızası alınmak suretiyle yurt dışına aktarılabilecektir.

İşbu yukarıdaki maddede belirtilen haller kapsamında kullanıcı veri aktarımını açıkça rıza verdiğini kabul, beyan ve taahhüt eder.

5. KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ SEBEPLERİ

Kişisel veriler, KVKK'nın 5. ve 6. maddelerinde belirtilen hukuki sebepler kapsamında; kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması ve veri sorumlusunun meşru menfaatinin bulunması hallerinde işlenmektedir.

6. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler, işbu metinde belirtilen amaçlarla sınırlı olmak üzere ve yasal zorunluluklar çerçevesinde; Şirket'in iş ortaklarına, tedarikçilerine, ödeme sistemleri altyapısı sağlayan kuruluşlara, bankalara, çağrı merkezine, hizmet sağlayıcılarına, sözleşme/iş/uygulama kapsamında hizmet sunan ve yararlanan tüm taraflara, bilgi teknolojileri altyapısı hizmeti sunan firmalara, hukuk danışmanlarına ve yetkili kamu kurum ve kuruluşlarına aktarılabilmektedir. Yurt dışına veri aktarımı yapılması durumunda bu aktarım, yalnızca KVKK'nın 9. maddesi kapsamında Kişisel Verileri Koruma Kurulu tarafından belirlenen güvenli ülkelere veya yeterli korumayı sağlayan sözleşmeler aracılığıyla gerçekleştirilecektir. Şirket, kişisel verilerin izinsiz veya amacı dışında aktarılmasını önlemek amacıyla gerekli teknik ve idari tedbirleri almaktadır.

7. KİŞİSEL VERİLERİN SAKLANMASI VE GÜVENLİĞİ

Şirket, kişisel verilerin gizliliğini korumak amacıyla gerekli her türlü teknik ve idari önlemi almakta, verilerin güvenliğini sağlamak için şifreleme, erişim kontrolü, log kayıtları, güvenlik duvarı, sızma testleri ve yedekleme sistemleri gibi yöntemleri kullanmaktadır. Kişisel veriler, işleme amaçlarının gerektirdiği süre boyunca ve her halükârda Vergi Usul Kanunu, Türk Ticaret Kanunu ve Türk Borçlar Kanunu'nda öngörülen azami zamanaşımı süreleri (10 yıl) ile sınırlı olarak (aşmamak üzere) muhafaza edilmektedir. Sürenin sona ermesi veya işleme amacının ortadan kalkması halinde kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği hükümlerine uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir. Şirket'in kişisel veri işleme faaliyetleri, Kişisel Veri Saklama ve İmha Politikası ile Kişisel Veri İşleme Envanteri hükümleri çerçevesinde yürütülmektedir. Şirket, kişisel verilere izinsiz erişim, kayıp, çalınma veya kötüye kullanım durumunda, durumu en kısa sürede ilgili kişiye ve Kişisel Verileri Koruma Kurulu'na bildirmeyi taahhüt eder. Bu bildirim, en kısa sürede e-posta, SMS, uygulama içi bildirim yoluyla veya diğer iletişim yollarıyla yapılır.

7.1. Saklama Süreleri

• Finansal ve fatura kayıtları: İlgili mevzuatta öngörülen süreler boyunca
• Konum verileri: Hizmet tamamlandıktan sonra operasyonel gereklilik süresi boyunca
• Log ve işlem güvenliği verileri: Azami 2 yıl süreyle
• Üyelik verileri: Üyelik devam ettiği sürece; üyeliğin sona ermesinden sonra ise ilgili hukuki zamanaşımı süreleri boyunca

Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması halinde kişisel veriler silinir, yok edilir veya anonim hale getirilir.

8. KİŞİSEL VERİ SAHİBİNİN HAKLARI

Kişisel veri sahipleri, KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahiptir:

• Kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Verilerin aktarıldığı üçüncü kişileri bilme
• Verilerin eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme
• Kişisel verilerin silinmesini veya yok edilmesini talep etme
• Bu işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• Münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucu aleyhine bir sonuç ortaya çıkmasına itiraz etme
• Verilerin kanuna aykırı işlenmesi nedeniyle zarara uğraması halinde tazminat talep etme

Şirket, aydınlatma yükümlülüğünün yerine getirildiğini ve ilgili kişinin bilgilendirildiğini ispat edebilmek amacıyla gerekli kayıtları tutar.

Kişisel veri sahipleri, haklarına ilişkin taleplerini yazılı olarak Şirket'in aşağıda belirtilen [email protected] e-posta adresine iletebilir. Başvurular, KVKK'nın 13. maddesi gereğince en geç otuz gün içinde değerlendirilir ve sonuçlandırılır.

9. AYDINLATMA METNİ HAKKINDA

Şirket işbu Kişisel Verilerin Korunmasına İlişkin Aydınlatma Metnini yürürlükteki mevzuatta yapılabilecek değişiklikler çerçevesinde her zaman güncelleme hakkını saklı tutar. Güncellenmiş metinler, Şirket'in internet sitesinde veya mobil uygulamalarda yayımlandığı tarihte yürürlüğe girer.

10. GİZLİLİK POLİTİKASI

ESM Mobil Teknoloji A.Ş., kullanıcılarının gizliliğini korumayı ve kişisel verilerin güvenliğini sağlamayı temel ilke edinmiştir. Şirket, kullanıcılarının hizmetten güvenle yararlanabilmesi amacıyla gerekli teknik, idari ve hukuki tedbirleri almaktadır.

Bu Gizlilik Politikası, Şirket tarafından geliştirilen mobil uygulama, web sitesi ve dijital platformlar üzerinden elde edilen tüm kişisel verilerin toplanma, işlenme, saklanma ve korunma esaslarını açıklamaktadır.

10.1. Toplanan Bilgiler

Şirket, kullanıcılarından; kimlik, iletişim, konum, ödeme ve araç bilgileri gibi verileri; ayrıca cihaz türü, işletim sistemi, IP adresi, bağlantı süresi ve konum bilgisi gibi teknik verileri toplayabilir. Bu veriler; hizmetin sağlanması, destek süreçlerinin yürütülmesi, sistem güvenliğinin sağlanması ve istatistiksel analiz yapılması amacıyla işlenmektedir.

10.2. Veri Kullanımı

Toplanan kişisel veriler, yalnızca hizmetin sunulması, sistemin geliştirilmesi, kullanıcı memnuniyetinin ölçülmesi ve yasal yükümlülüklerin yerine getirilmesi amacıyla kullanılmaktadır. Şirket, kullanıcı verilerini hizmet amacı dışında hiçbir kişiyle paylaşmaz, satmaz veya üçüncü taraflara açıklayamaz.

10.3. Finansal Veri Güvenliği

Kredi kartı ve ödeme işlemleri, uluslararası güvenlik standartlarına uygun şekilde şifrelenmiş altyapılar üzerinden yapılmaktadır. Ödeme verileri Şirket tarafından değil, yalnızca yetkili ödeme kuruluşları aracılığıyla işlenir ve saklanır.

10.4. Çerezler ve Analitik Teknolojiler

Mobil uygulama ve web sitesi, kullanıcı deneyimini artırmak, sistem performansını izlemek ve hataları tespit etmek için çerezler (cookies) ve analitik araçlar kullanabilir. Kullanıcılar, cihaz veya tarayıcı ayarları üzerinden çerezleri kısıtlayabilir veya tamamen devre dışı bırakabilir.

10.5. Üçüncü Taraf Hizmetleri ve Linkler

Şirket, çekici hizmet sağlayıcıları, akü veya lastik servis ortakları, ödeme altyapı sağlayıcıları ve teknik destek firmaları gibi üçüncü taraflarla çalışabilir. Bu tarafların gizlilik uygulamalarından Şirket sorumlu değildir; ancak tüm iş ortaklarının KVKK ve veri güvenliği yükümlülüklerine uygun hareket etmesi gözetilir.

10.6. Ticari İletişim ve Rıza Yönetimi

Kullanıcılara bilgilendirme, kampanya veya tanıtım amaçlı bildirimler yalnızca açık rıza verilmesi halinde gönderilir. Kullanıcılar, bu iletilerden istedikleri zaman "abonelikten çık" bağlantısı veya "uygulama ayarları" menüsü üzerinden ayrılabilirler.

10.7. Veri Saklama Süresi ve Silme

Toplanan veriler, işleme amacının ortadan kalkması veya yasal sürelerin sona ermesi halinde, "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonimleştirilmesi Hakkında Yönetmelik" uyarınca silinir veya anonim hale getirilir.

10.8. Güvenlik Önlemleri

Şirket, veri güvenliğini sağlamak için; erişim yetkilendirmesi, şifreleme, log kayıtları, sızma testleri, antivirüs sistemleri, yedekleme ve ağ güvenlik duvarları gibi teknik ve idari önlemleri uygular.

10.9. Politika Güncellemeleri

Bu Gizlilik Politikası, yürürlükteki mevzuatta yapılacak değişiklikler veya Şirket'in hizmetlerinde gerçekleşecek güncellemeler doğrultusunda revize edilebilir. Güncellenmiş sürümler Şirket'in web sitesinde veya uygulamada yayımlandığı tarihten itibaren yürürlüğe girer.

11. HUKUKİ NİTELİK

İptal ve İade Politikası, Mesafeli Hizmet Kullanıcı Sözleşmesi, Hizmet Sağlayıcı Sözleşmesi ve Ön Bilgilendirme Formu taraflar arasındaki hukuki ilişkinin ayrılmaz parçaları olup bir bütün teşkil eder. Kişisel verilerin işlenmesine ilişkin hususlar ise, 6698 sayılı Kanun kapsamında düzenlenen Kişisel Verilerin Korunması ve İşlenmesine İlişkin Aydınlatma Metni çerçevesinde değerlendirilir.