Kişisel verilerin işlenmesi politikası

Bu bölüm, kullanıcıların kişisel verilerinin toplanması, kullanılması, saklanması, iletilmesi ve korunması düzenini belirleyen atasuai kişisel veri işleme politikasını içermektedir. Politika, kişisel verilerin korunmasına ilişkin yürürlükteki mevzuatın gerekliliklerine uygun olarak geliştirilmiş olup, bilgi işleme şeffaflığını sağlamak ve kişisel veri sahiplerinin haklarını korumaya yöneliktir.
1. 
Genel hükümler
2. 
Konu kategorileri ve işlenen veriler
3. 
Kişisel verilerin işlenme amaçları
4. 
İşlemenin yasal dayanakları
5. 
İşleme ve saklama düzeni ve koşulları
6. 
Kişisel verilerin üçüncü şahıslara aktarılması
7. 
Çerezler ve analiz
8. 
Kişisel verilerin korunması önlemleri
9. 
Kişisel veri sahibinin hakları
10. 
Politika Değişikliği
1
.  Genel hükümler

1.1. İşbu Kişisel Veri İşleme Politikası (bundan sonra — Politika) "Atasuai" LLP (BIN 250740015549, yasal adres: 050016, Kazakistan Cumhuriyeti, Almatı şehri, Kunayev Caddesi, 18/2) (bundan sonra — Operatör, Atasuai) tarafından Kazakistan Cumhuriyeti'nin 21 Mayıs 2013 tarihli 94-V sayılı "Kişisel Veriler ve Korunması Hakkında" Kanunu (bundan sonra — Kanun) ve diğer Kazakistan Cumhuriyeti mevzuatlarına uygun olarak geliştirilmiş ve onaylanmıştır.

1.2. Politikanın amacı — kişisel verilerin işlenmesi sırasında kişisel veri sahiplerinin hak ve özgürlüklerinin korunmasını sağlamak, özel yaşamın gizliliği, kişisel ve aile sırlarının korunması hakkını da içermek üzere, Atasuai platformunun kullanımı sırasında kişisel verilerin işlenme usul ve şartlarını belirlemektir.

1.3. Politika, Atasuai'nin kişisel veri sahiplerinden elde edebileceği tüm bilgileri, kişisel veriler dahil olmak üzere, şu durumlarda uygulanır:

  • internet sitesi https://atasuai.com ve hizmetleri (bundan sonra — Site);

  • alt alan adları ve ayrı hizmetler, pazar yeri, satıcı mağaza vitrinleri, kişisel hesap, POS hizmeti dahil (bundan sonra topluca — Hizmetler);

  • Atasuai mobil uygulamaları (uygulanabilir ise) ve/veya siparişlerin yönetimi ve ortaklarla etkileşimle ilgili uygulamalar (bundan sonra — Uygulamalar).

1.4. Politika, legal.atasuai.com adresinde yer alan belgelerin bir parçası olarak (veya onlarla birlikte uygulanır), şu belgeleri içermekle birlikte sınırlı olmamak üzere:

  • Platform Kullanım Şartları (Terms of Service);

  • Kullanıcı Sözleşmesi;

  • Satıcı Sözleşmesi;

  • Bayilik Sözleşmesi;

  • Ödeme Politikası ve Hesaplama Usulleri;

  • İade ve Tazminat Politikası;

  • POS Sistemi Kullanım Şartları.

Kayıt/oturum açma, sipariş verme, vitrin oluşturma, POS veya diğer işlevleri kullanma işlemlerini gerçekleştirerek, Kullanıcı Politika'yı okuduğunu ve işbu Politika'da belirtilen kapsam ve amaçlar doğrultusunda kişisel verilerin işlenmesine onay verdiğini teyit eder, aksi belirtilmedikçe mevzuat tarafından öngörülmemiştir.

1.5. Politika, https://legal.atasuai.com/privacy (veya [sizin URL'niz]) adresinde serbestçe erişilebilir ve kamuya açık bir belgedir.

1.6. Terimler:

  • Kişisel veriler — belirli veya belirlenebilir bir kişisel veri öznesine ilişkin bilgiler.

  • Kişisel veri öznesi — kişisel verilerle ilgili olan gerçek kişi.

  • Operatör — kişisel verilerin işlenmesini organize eden ve gerçekleştiren, verilerin amaçlarını ve içeriğini belirleyen kişi.

  • Kişisel verilerin işlenmesi — kişisel verilerle ilgili her türlü eylem (toplama, kaydetme, sistematikleştirme, depolama, değiştirme, kullanma, aktarma, anonimleştirme, engelleme, silme, yok etme).

  • Otomatik işleme — bilgisayar teknolojisi kullanılarak yapılan işleme.

  • İşleyici — Operatörün talimatıyla sözleşme temelinde kişisel verileri işleyen kişi.

  • Sınır ötesi aktarım — kişisel verilerin yabancı bir devletin topraklarına aktarılması (varsa).

2
.  Konu kategorileri ve işlenen veriler

2.1. Atasuai aşağıdaki kategorilerdeki kişilerin kişisel verilerini işleyebilir:

  • Alıcılar (sipariş veren kullanıcılar);

  • Satıcılar (tüccarlar/mağazalar, ürün satanlar);

  • Üreticiler/tedarikçiler (toptan/ortaklık senaryolarında, uygulanabilir ise);

  • Bayiler (çevrimiçi vitrin/mağaza sağlanan kullanıcılar);

  • Site Ziyaretçileri (kayıt olmadan);

  • Tüzel kişi temsilcileri (karşı tarafların iletişim kişileri);

  • POS sistemi kullanıcıları (kasiyerler/mağaza yöneticileri).

 

2.2. İşlenen kişisel verilerin tipik bileşimi (role ve senaryoya bağlı olarak):

  • Ad Soyad (gerekirse);

  • telefon numarası, e-posta adresi;

  • teslimat/adres (teslimat/iade için);

  • sipariş bilgileri (içerik, maliyet, durumlar, iadeler);

  • hesap kimlikleri (kullanıcı ID'si, girişler, jetonlar);

  • ödeme verileri, ödeme/iade işlemi için gerekli olan ölçüde (Atasuai, ödeme ortağı/işlemci aracılığıyla işleme yapılırsa, tam banka kartı bilgilerini saklamaz; bu durumda maskeleme verileri, işlem kimlikleri, ödeme/iade durumu işlenebilir);

  • POS işlemleri verileri (fişler, pozisyonlar, tutarlar, zaman, kasa/satış noktası);

  • teknik veriler: IP adresi, çerezler, kullanıcı ajanı, dil, cihaz/OS türü, site üzerindeki eylemler hakkında bilgiler, tanı günlükleri;

  • destek yazışmaları ve başvurular, çağrı kayıtları (etkinleştirilmişse ve ayrı bildirim yapılmışsa/arayüzde);

  • satıcı/bayinin kimlik doğrulama/kimlik tespiti için belgeler (uygulanabilir ise): kimlik belgesi taraması/fotoğrafı, iş kaydı bilgileri, detaylar, vekaletnameler ve diğer belgeler — yalnızca gerektiğinde ve mevzuat ve iç KYC/AML prosedürleri kapsamında.

 

2.3. Atasuai, özel kategorilerdeki kişisel verileri (ırk, siyasi görüşler, din, sağlık, cinsel yaşam) işlemez, Kazakistan Cumhuriyeti yasaları tarafından açıkça öngörülen durumlar dışında.

2.4. Biyometrik veriler (eğer bir gün uygulanacak olursa) yalnızca yasal dayanaklar mevcut olduğunda ve mevzuata uygun olarak ayrı bir onay/prosedür ile işlenir.

3
.  Kişisel verilerin işlenme amaçları

3.1. Atasuai kişisel verileri yalnızca belirli, önceden belirlenmiş ve yasal amaçlar için işler, bunlar şunları içerir:

  • kullanıcı hesabının kaydı ve yönetimi;

  • platformun özelliklerine erişim sağlama (pazar yeri, bayi vitrinleri, kişisel hesap, POS);

  • siparişlerin, teslimatların, iadelerin ve başvuruların düzenlenmesi ve yerine getirilmesi;

  • ödemelerin yapılması, para iadeleri ve işlem kayıtlarının tutulması;

  • kullanıcılarla iletişim (sipariş bildirimleri, teslimat/iade durumları, destek mesajları);

  • dolandırıcılığı önleme, kötüye kullanımı engelleme, hizmet güvenliğini sağlama;

  • Kazakistan Cumhuriyeti yasalarının gerekliliklerini yerine getirme (vergi/finansal kayıt, yetkili kurumların taleplerine yanıt verme);

  • hizmet kalitesini artırma, kullanıcı deneyimini analiz etme, hata teşhisi;

  • reklam ve bilgilendirme iletişimlerinin yürütülmesi (pazarlama) — yalnızca gerekli yasal dayanaklar/rıza mevcut olduğunda, gerektiği yerlerde.

 

4
.  İşlemenin yasal dayanakları

4.1. Kişisel verilerin işlenmesinin yasal dayanakları şunlardır:

  • Kazakistan Cumhuriyeti Anayasası;

  • Kazakistan Cumhuriyeti Medeni Kanunu;

  • Kazakistan Cumhuriyeti'nin № 94-V «Kişisel Veriler ve Korunması Hakkında» Kanunu;

  • Kazakistan Cumhuriyeti'nin «Bilişimleştirme Hakkında» Kanunu ve diğer uygulanabilir NPA'lar;

  • Kişisel veri sahibi ile yapılan sözleşmeler ve anlaşmalar (Kullanıcı sözleşmesi, Satıcı/Bayi anlaşması, POS şartları vb.);

  • Kişisel veri sahibinin rızası (kanunen gerektiği durumlarda);

  • Kazakistan Cumhuriyeti mevzuatında öngörülen diğer yasal dayanaklar.

 

5
.  İşleme ve saklama düzeni ve koşulları

5.1. Kişisel verilerin işlenmesi, otomasyon araçları kullanılarak ve bu tür araçlar kullanılmadan gerçekleştirilir.

5.2. Atasuai kişisel verileri alır:

  • doğrudan konudan (kayıt, sipariş verme, profil doldurma);

  • Site/Uygulamalar kullanılırken otomatik olarak (çerezler, günlükler);

  • siparişin/iadelerin yerine getirilmesi gerektiğinde ortaklardan (örneğin, lojistik ortağından teslimat durumu) — gerekli sınırlar içinde.

5.3. Kişisel verilere erişim, yalnızca Atasuai'nin yetkili çalışanlarına ve/veya işleyicilere «gerekli erişim» (need-to-know) ilkesine göre sağlanır.

5.4. Kişisel veriler, işleme amaçları için gerekli olandan daha uzun süre saklanmaz veya yasalar/sözleşme ile belirlenen sürelerde saklanır. Amaçlara ulaşıldıktan sonra, veriler yok edilir veya anonimleştirilir, aksi yasanın gerektirmediği sürece.

5.5. Veritabanlarının yerleştirilmesi ve saklanması: Atasuai, kişisel verilerin Kazakistan Cumhuriyeti topraklarında yerelleştirilmesi/saklanmasına ilişkin yasal gerekliliklere uyulmasını sağlamak için önlemler alır. (Bulut: yandex.cloud.almaty)

 

6
.  Kişisel verilerin üçüncü şahıslara aktarılması

6.1. Atasuai, işleme amaçlarına ulaşmak için gerekli olan kapsamda kişisel verileri üçüncü şahıslara aktarabilir, bunlar dahil:

  • Satıcılara/bayiilere — siparişin yerine getirilmesi, teslimat, iade, iletişim için gerekli veriler (örneğin, iletişim ve teslimat adresi);

  • lojistik ortaklara (örneğin, QazPost/kargo hizmetleri) — teslimat/iade ve takip için gerekli veriler (Adı Soyadı/telefon/adres/gönderi ID'si);

  • ödeme ortaklarına/banka işleyicilerine (örneğin, Visa/Mastercard işleme, Freedom Bank, Halyk Bank ve diğerleri) — ödeme/iade işlemlerinin gerçekleştirilmesi ve ödeme sistemleri kurallarına uyulması için gerekli veriler (işlem kimlikleri, tutar, durum, maskelenmiş bilgiler ve diğerleri);

  • IT altyapı sağlayıcılarına (barındırma, bulut hizmetleri, analiz, push bildirimleri, SMS/e-posta sağlayıcıları) — sadece sözleşme gereği işleyici olarak ve minimum gerekli kapsamda;

  • devlet kurumlarına — yasal talep üzerine ve Kazakistan Cumhuriyeti yasalarınca belirlenen usulde.

6.2. Kişisel verilerin aktarımı, korumalı iletişim kanalları üzerinden ve/veya şifreleme kullanılarak gerçekleştirilir, aksi kanunla belirtilmedikçe.

6.3. Sınır ötesi kişisel veri aktarımı (uygulanıyorsa) yasal dayanaklar mevcut olduğunda ve Kazakistan Cumhuriyeti yasalarına uygun olarak gerçekleştirilir. (Eğer yoksa ekleyebilirsiniz: “atasuai, belirli hizmet sağlayıcıları kullanılmadıkça sınır ötesi veri aktarımı gerçekleştirmez…”.)

 

7
.  Çerezler ve analiz

7.1. atasuai, aşağıdaki amaçlar için çerezler ve teknik tanımlayıcılar kullanır:

  • Site/Uygulamaların işlevselliğini sağlamak;

  • Ayarları ve oturumu kaydetmek;

  • Güvenliği artırmak;

  • Analiz ve kullanıcı deneyimini iyileştirmek.

7.2. Kullanıcı, tarayıcı ayarlarında çerez kullanımını sınırlayabilir, ancak bu, bazı işlevlerin doğru çalışmasını etkileyebilir.

 

8
.  Kişisel verilerin korunması önlemleri

8.1. atasuai, kişisel verileri yetkisiz erişim, değiştirme, ifşa etme, yok etme gibi durumlardan korumak için gerekli organizasyonel ve teknik önlemleri alır, bunlar (ancak bunlarla sınırlı olmamak üzere):

  • HTTPS/iletişim kanallarının şifrelenmesi;

  • erişim haklarının sınırlandırılması;

  • eylem kaydı ve izleme;

  • yedekleme;

  • düzenli güncellemeler ve güvenlik denetimi;

  • çalışan eğitimi.

 

9
.  Kişisel veri sahibinin hakları

9.1. Kişisel veri sahibi hakkına sahiptir:

  • kişisel verilerinin işlenmesi hakkında bilgi almak;

  • gerekçeler olduğunda verilerin düzeltilmesini, engellenmesini veya yok edilmesini talep etmek;

  • işleme onayını geri çekmek (işlemenin onaya dayandığı durumlarda);

  • Kazakistan Cumhuriyeti yasaları tarafından öngörülen diğer haklar.

9.2. Onayın geri çekilmesi/işlemenin durdurulması talebi, platformun bazı işlevlerinin kullanılamamasına ve bazı durumlarda — kullanıcı hesabının silinmesine neden olabilir (verilerin işlenmesi olmadan hizmetin sağlanması mümkün değilse).

 

10
.  Politika Değişikliği

10.1. atasuai, yasalarla ve/veya platformanın iş süreçlerindeki değişikliklerle uyum sağlamak amacıyla Politikada tek taraflı değişiklik yapma hakkına sahiptir.

10.2. Yeni sürüm, aksi belirtilmedikçe legal.atasuai.com adresinde yayımlandığı andan itibaren yürürlüğe girer.