Kişisel Verilerin Korunması ve Gizlilik Politikası

1. Tanımlar

KVKK / Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.

Veri Sorumlusu / Şirket / Commap: Biracılar Sok. No:3, Şişli / İstanbul adresinde mukim, Commap markası altında faaliyet gösteren tüzel kişilik.

Müşteri / Kurumsal Kullanıcı: Commap'in sunduğu hizmetlere abonelik ya da sözleşme yoluyla erişen kurumsal müşteri ve onun yetkilendirdiği gerçek kişi kullanıcılar.

Veri Sahibi / İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Hizmet: Commap'in panel, rapor, içgörü ve aksiyon önerisi şeklinde sunduğu kurumsal izleme ve algı ölçümü hizmetleri.

2. Veri Sorumlusu ve İletişim

Commap, kendi internet sitesi ve panel hizmetleri üzerinden topladığı kurumsal müşteri verileri bakımından veri sorumlusudur.

Müşteri'nin Commap aracılığıyla işlenmesini istediği veri kümeleri bakımından Commap, KVKK m.3 anlamında veri işleyendir; veri sorumluluğu müşteri kuruma aittir. Bu kapsamda gerektiğinde müşteriler ile Veri İşleme Sözleşmesi (DPA) akdedilir.

Veri sorumlusu sıfatıyla iletişim: kvkk@commap.tr · hello@commap.tr · +90 (212) 273 27 50.

3. İşlenen Veri Kategorileri

A) Kurumsal Kullanıcı Verileri: Ad-soyad, ünvan, kurum bilgisi, kurumsal e-posta, telefon, IP, oturum kayıtları, fatura ve ödeme bilgileri, talep ve destek yazışmaları, çerezlerden elde edilen veriler.

B) Hizmet Kapsamında İşlenen Veriler: Sözleşme kapsamında Müşteri'nin tanımladığı izleme parametrelerine göre işlenen kamuya açık dijital alandan derlenen veri kümeleridir. İşleme; meta veri, agrega istatistik ve sınıflandırma çıktıları üretilmesine yöneliktir.

C) Türev Veriler: Otomatik sınıflandırma çıktıları, agrega skorlar ve performans göstergeleri.

Özel nitelikli kişisel veri (KVKK m.6) Commap tarafından bilinçli olarak işlenmez; tesadüfen tespit edilen bu nitelikteki içerikler kişiyle ilişkilendirilemez şekilde işlenir.

4. Veri Kaynakları ve Toplama Yöntemleri

Kurumsal kullanıcı verileri; doğrudan Müşteri'den, imzalanan sözleşmelerden, internet sitesi/panel üzerindeki form ve hesap işlemlerinden, çerezlerden ve sunucu loglarından elde edilir.

Hizmet kapsamında işlenen veriler; yalnızca kamuya açık dijital alandan elde edilir. Toplama; herkesin erişimine açık tutulmuş kaynaklar üzerinden, ilgili kaynakların hizmet şartlarına ve yasal sınırlara uygun, lisanslı ve sözleşmeye bağlı bir tedarikçi ağı aracılığıyla gerçekleştirilir. Kapalı, parola korumalı veya kullanıcı yetkilendirmesi gerektiren alanlara erişim yapılmaz.

Tedarikçi seçiminde mevzuat uyumu, denetlenebilirlik ve veri minimizasyonu esastır. Tedarikçilere ait isimler ve teknik altyapı detayları ticari sır niteliğinde olup gizli tutulur; ihtiyaç halinde Müşteri ile imzalanan DPA ekinde, gizlilik yükümlülüğü altında paylaşılır.

5. Hukuki Sebep ve İşleme Amaçları

Kurumsal kullanıcı verileri; sözleşmenin kurulması veya ifası (KVKK m.5/2-c), hukuki yükümlülüklerin yerine getirilmesi (m.5/2-ç) ve veri sorumlusunun meşru menfaati (m.5/2-f) hukuki sebeplerine; pazarlama iletişimi açısından ilgili kişinin açık rızasına (m.5/1) dayanır.

Hizmet kapsamında işlenen veriler; veri sahibinin kendisi tarafından alenileştirilmiş olması (m.5/2-d, m.6/2), veri sorumlusunun ve müşteri kurumun meşru menfaati (m.5/2-f) ve müşteri ile akdedilen sözleşmenin ifası (m.5/2-c) hukuki sebeplerine dayanır.

Otomatik karar ve profilleme: Sistem otomatik sınıflandırma yapar ancak veri sahibi hakkında hukuki sonuç doğuran veya benzer ölçüde etkileyen bireysel karar üretmez (KVKK m.11/1-g).

6. Veri Minimizasyonu ve Takma Değer (Pseudonymization)

Hizmet kapsamında veri işleme; veri minimizasyonu, amaca bağlılık ve kişisel veri görünürlüğünün asgariye indirilmesi ilkeleri üzerine kurulmuştur.

Tanımlayıcı bilgi; iş gereksiniminin gerektirdiği ölçüde takma değerle saklanır ve panel arayüzünde doğrudan görüntülenmez. Bu yaklaşım KVKK ile uyumlu pseudonymization prensiplerini esas alır.

Agrega/analitik çıktılar geri döndürülemeyecek şekilde anonimleştirilmiş veriler üzerinden üretilir.

7. Veri Aktarımı (Yurt İçi / Yurt Dışı)

Kişisel veriler hukuki yükümlülük gereği yetkili kamu kurumları ile; teknik altyapının sürdürülmesi amacıyla anlaşmalı barındırma, izleme ve analiz altyapı tedarikçileri ile; hukuki danışmanlık ve denetim hizmetleri için ilgili profesyonellerle KVKK m.8 ve m.9 çerçevesinde sözleşme ve teknik tedbirler altında paylaşılabilir.

Yurt dışı aktarım: Commap, ana barındırma katmanını Türkiye sınırları içinde tutar. Belirli sub-processor hizmetleri bakımından, KVKK m.9'da öngörülen taahhütnameler veya açık rıza koşullarıyla yurt dışı aktarım yapılabilir. Müşteri, sözleşme imzalanırken bu husus hakkında bilgilendirilir.

8. Saklama Süreleri

Kurumsal kullanıcı sözleşme ve hesap verileri: sözleşme süresi + Türk Ticaret Kanunu, Vergi Usul Kanunu ve diğer mevzuatın öngördüğü zamanaşımı süreleri (genel olarak 10 yıla kadar).

Hizmet kapsamında işlenen veriler: Hizmet'in gerektirdiği süre boyunca; agrega/analitik çıktılar için ortalama 24 ay. Süre sonunda silinir, yok edilir veya anonim hale getirilir.

Çerez verileri: çerez türüne göre oturum sonuna kadar veya en fazla 24 ay.

Süresi dolan veriler KVKK m.7 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca işlenir.

9. Veri Güvenliği

Uçtan uca iletim şifrelemesi (TLS 1.3); kurumlar arası izolasyon ve veritabanı düzeyinde erişim ayrıştırma; rol bazlı yetkilendirme (RBAC) ve iki faktörlü kimlik doğrulama (2FA); değişmez audit log kuyrukları; periyodik güvenlik incelemeleri ve bağımsız sızma testleri; veri minimizasyonu ve takma değer uygulamaları; çalışan gizlilik taahhütleri ve düzenli KVKK eğitimleri.

Yönetim sistemi ISO 27001 ilkelerine uygun olarak tasarlanmıştır.

10. İlgili Kişinin Hakları (KVKK m.11)

Veri sahipleri Commap'e başvurarak: (a) kişisel verilerinin işlenip işlenmediğini öğrenme, (b) işlenmişse buna ilişkin bilgi talep etme, (c) işleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, (ç) yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, (d) eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme, (e) KVKK m.7'deki şartlar çerçevesinde silinmesini veya yok edilmesini isteme, (f) (d) ve (e) kapsamındaki işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, (g) münhasıran otomatik sistemlerle analiz neticesinde aleyhine sonuç doğmasına itiraz etme ve (ğ) kanuna aykırı işleme sebebiyle uğranılan zararın giderilmesini talep etme haklarına sahiptir.

11. Veri Sahibi Başvuru Süreci

Başvurular, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca; (i) Türkçe yazılı olarak Commap'in iletişim adresine ıslak imzalı dilekçe ile, (ii) kayıtlı elektronik posta (KEP) ile veya (iii) Şirket sistemine kayıtlı e-posta adresinden kvkk@commap.tr adresine yapılabilir.

Başvuruda ad-soyad, T.C. kimlik numarası (yabancılar için pasaport numarası), tebligata esas adres, varsa e-posta/telefon ve talep konusu açıkça yer almalıdır.

Başvuru kural olarak ücretsiz sonuçlandırılır; işlemin maliyet gerektirmesi halinde Kurul tarifesi uygulanır.

Başvurular en geç otuz gün içinde gerekçeli olarak yanıtlanır. Yanıtın yetersiz görülmesi halinde KVKK m.14 uyarınca Kişisel Verileri Koruma Kurulu'na şikayet hakkı saklıdır.

12. Çerez Kullanımı

Site ve panel üzerinde teknik olarak zorunlu çerezler, performans çerezleri ve (yalnızca açık rıza halinde) pazarlama çerezleri kullanılır. Detaylar Çerez Politikası sayfasında yer alır.

13. Politikanın Güncellenmesi

Commap, mevzuat ve hizmet kapsamındaki değişiklikleri yansıtmak amacıyla bu Politikayı zaman zaman günceller. Önemli değişiklikler yayım tarihinden itibaren yürürlüğe girer; kurumsal müşterilere ayrıca e-posta veya panel içi bildirim ile duyurulur.

14. VERBİS, Şikayet ve İletişim

Commap, yükümlülüklerin gerektirdiği durumlarda Veri Sorumluları Sicili'ne (VERBİS) kayıt yaptırır ve sürdürür.

Genel sorular ve veri sahibi başvuruları: kvkk@commap.tr / hello@commap.tr · Posta: Commap, Biracılar Sok. No:3, Şişli / İstanbul · Telefon: +90 (212) 273 27 50.