KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN AYDINLATMA METNİ İşbu Kişisel Verilerin Korunmasına İlişkin Aydınlatma Metni (Bundan sonra “Aydınlatma Metni” olarak anılacaktır), Ton 618 Technologies Yazılım Medya Sanayi ve Ticaret Limited Şirketi (Bundan sonra “BUNA” olarak anılacaktır) tarafından kişisel verilerin nasıl işlendiği ve korunduğunu açıklamak için hazırlanmıştır. Veri sorumlusu sıfatıyla BUNA; kişisel verilerin korunmasına büyük önem vermekte olup, bu konudaki yükümlülüklerini öncelikleri arasında yerine getirmek ve verilerin korunmasına yönelik gerekli tüm tedbirleri almak için azami hassasiyet göstermektedir. Kişisel veriler; BUNA tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan sonra “KVKK” olarak anılacaktır) ve kişisel verilerin korunmasına ilişkin yürürlükteki tüm ilgili mevzuata uygun olarak işlenmekte olup işbu Aydınlatma Metni, BUNA’ya ait mobil uygulamanın (Bundan sonra “Uygulama” olarak anılacaktır) kullanıcılarına ilişkin kişisel verilerin işlenmesi, saklanması, kullanılması, paylaşılması ve korunmasına dair esasları açıklamaktadır. 1. TANIMLAR Kişisel Veri: 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca tanımlanan, gerçek kişiye ilişkin kimliği belirli veya belirlenebilir kılan her türlü bilgiyi ifade eder. Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. Veri Sahibi: Kişisel verileri işlenen gerçek kişiyi ifade eder. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Açık Rıza: Veri sahibinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıkladığı rızayı ifade eder. Anonimleştirme: Kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. U-ETDS (Ulaştırma Elektronik Takip ve Denetim Sistemi): 4925 sayılı Karayolu Taşıma Kanunu ve ilgili mevzuat uyarınca, taşımacılık faaliyetine ilişkin verilerin yasal olarak aktarıldığı ve merkezi olarak takip edildiği T.C. Ulaştırma ve Altyapı Bakanlığı altyapısını ifade eder. 2. KİŞİSEL VERİLERİN İŞLENME İLKELERİ Veri sorumlusu sıfatıyla BUNA, kişisel verileri işlerken hukuka uygun şekilde aşağıda sayılan veri işleme ilkelere uygun davranmaktadır: • Hukuka ve dürüstlük kurallarına uygun olma, • Doğru ve gerektiğinde güncel olma, • Belirli, açık ve meşru amaçlar için işlenme, • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, • İlgili mevzuatta öngörülen veya işlenme amacı için gerekli olan süre kadar muhafaza edilme. 3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI BUNA; veri sahibinin uygulamaya üye olması dolayısıyla elde ettiği kişisel verileri, KVKK m.5 ve m.6 uyarınca belirtilen koşullara uygun olarak aşağıda sayılan amaçlarla işlemektedir: • Hesap oluşturma, kimlik doğrulama, hesaba giriş imkanının sağlanması • Uygulamanın işletilmesi, teknik altyapının sürdürülmesi, hizmetlerinin yerine getirilmesi, geliştirilmesi ve kullanıcının üye olmasıyla birlikte uygulama hizmetlerinden faydalandırılması, • Kullanıcı ile ilişkilerin yönetilmesi, şikayette bulunma imkanının sağlanması, öneri ve geri bildirimlerin incelenmesi ve sonuçlandırılması, • Daha iyi bir kullanıcı deneyimi sağlanması için istatistiksel analiz, anonimleştirme ve raporlama çalışmalarının yürütülmesi. • Sosyal etkileşim, anlık mesajlaşma ve kullanıcı tarafından üretilen görsel ile metinsel içeriklerin uygulama içi paylaşımı imkanının sağlanması, • Kullanıcının açık rıza vermesi halinde; anlık konum verisi üzerinden bölgesel işletme listeleme, yer bildirimi (check-in) ve konuma bağlı sipariş/rezervasyon süreçlerinin yürütülmesi, • Kullanıcının açık rıza vermesi halinde; Yapay Zeka (AI) destekli akıllı arama algoritması vasıtasıyla kişiselleştirilmiş işletme, hizmet ve içerik önerilerinin sunulması. • İşletmeler nezdinde rezervasyon/bilet taleplerinin oluşturulması, onay/ret süreçlerinin yönetimi, destek hizmetlerinin sağlanması ve ilgili işletme ile gerekli iletişimin yürütülmesi, • Mekan işletmelerindeki fiziki masalarda yer alan QR kodların okutulması suretiyle gerçek zamanlı dijital sipariş emirlerinin iletilmesi ve masa/hesap uyuşmazlıklarının çözümlenmesi, • Etkinlik biletlerinin elektronik ortamda satılması, dijital bilet doğrulama (QR/barkod) süreçlerinin yürütülmesi, ilk giriş loglarının takibi ile mükerrer bilet kullanımının engellenmesi, • 4925 sayılı Karayolu Taşıma Kanunu kapsamında şehirlerarası veya il içi otobüs biletleme işlemlerinin yürütülmesi ile mevzuata uygun yasal koltuk seçim süreçlerinin işletilmesi, • Tahsilat, bilet iptali, iade, açık bilet düzenleme ve faturalandırma süreçlerinin lisanslı ödeme kuruluşu sanal POS ve 3D Secure altyapıları üzerinden yürütülmesi, • Satın alınan ulaşım hizmetlerine ilişkin verilerin U-ETDS altyapısına ve ilgili kamu otoritelerine yasal bildirim yükümlülükleri kapsamında aktarılması, • Kullanıcının izin vermesi halinde pazarlama, reklam ve tanıtım faaliyetleri kapsamında ticari elektronik iletiler gönderilmesi. • Bilgi güvenliğinin sağlanması, dolandırıcılığın, sahteciliğin (fraud), ters ibraz (chargeback) suistimallerinin ve uygulama hizmetlerinin kötüye kullanılmasının önlenmesi, • Şirket faaliyetlerinin mevzuata uygun olarak yürütülmesi, yasal saklama yükümlülüklerinin yerine getirilmesi ve yetkili kurumlardan gelen taleplerin karşılanması. 4. KİŞİSEL VERİLERİN İŞLENME YÖNTEMİ VE HUKUKİ SEBEPLER Kişisel veriler; uygulama aracılığıyla elektronik ortamda, tamamen veya kısmen otomatik ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle toplanmakta olup aşağıda sayılan hukuki sebeplere dayanılarak işlenmektedir: • Kişisel veri işlemenin kanunlarda açıkça öngörülmüş olması (KVKK m. 5/2-a): 6102 sayılı Türk Ticaret Kanunu, 213 sayılı Vergi Usul Kanunu ve 4925 sayılı Karayolu Taşıma Kanunu ile Karayolu Taşıma Yönetmeliği dahil; şirketimizin tabi olduğu yürürlükteki mevzuatlarda açıkça düzenlenen veri işleme faaliyetleri ve ilgili diğer yasal mevzuat hükümleri kapsamında, • Veri sorumlusu ile veri sahibi arasındaki sözleşmenin kurulması veya ifası için gerekli olması (KVKK m. 5/2-c): Kullanıcı Üyelik Sözleşmesi’nin akdedilmesi, hesaba giriş yapılması, mekan rezervasyonlarının yapılması, masadan QR kod ile dijital siparişlerin mekana iletilmesi, etkinlik ve otobüs biletleme işlemlerinin gerçekleştirilmesi, bilet iptal, iade ve açık bilet tanımlama süreçlerinin yürütülmesi ve sözleşmeden doğan diğer tüm edimlerin ifası kapsamında, • Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması (KVKK m. 5/2-ç): Satın alınan ulaşım hizmetlerine ilişkin kimlik ve seyahat bilgilerinin U- ETDS altyapısına yasal olarak aktarılması, 5651 sayılı Kanun uyarınca yer sağlayıcı trafik ve erişim loglarının saklanması, mali ve vergisel e-fatura/e-bilet yükümlülüklerinin yerine getirilmesi ile yetkili kamu kurumlarının yasal taleplerinin karşılanması ve veri sorumlusunun tabi olduğu diğer tüm yasal yükümlülükler kapsamında, • Hakkın tesisi, kullanılması veya korunması için zorunlu olması (KVKK m. 5/2-e): Olası hukuki uyuşmazlıklarda delil teşkil etmesi amacıyla sistem giriş-çıkış loglarının, bilet ilk doğrulama verilerinin, sipariş geçmişinin, no-show (gelmeme) kayıtlarının, sözleşme ihlallerine ilişkin verilerin yasal zamanaşımı süreleri boyunca saklanması ve doğabilecek her türlü dava, icra ile adli/idari takip süreçleri kapsamında, • Veri sorumlusunun meşru menfaatleri için zorunlu olması (KVKK m. 5/2-f): Kullanıcının temel hak ve özgürlüklerine zarar vermemek kaydıyla; bilgi güvenliğinin sağlanması, mükerrer veya sahte hesap açılışlarının (Device ID takibiyle) engellenmesi, dolandırıcılığın, sahteciliğin (fraud) ve ters ibraz (chargeback) suistimallerinin önlenmesi, uygulama içi sosyal etkileşim moderasyonunun sağlanması, hizmet kalitesinin artırılmasına yönelik istatistiksel analiz çalışmalarının yürütülmesi ve uygulama güvenliğini sağlamaya yönelik benzeri tüm operasyonel faaliyetler kapsamında, • Veri sahibinin açık rıza vermiş olması (KVKK m. 5/1): Kullanıcının kayıt ekranında veya uygulama ayarlarında kendi özgür iradesiyle onay vermesi kaydıyla; anlık ve arka plan konum verilerinin işlenerek bölgesel işletme listelemesi yapılması, yer bildirimi (check-in) özelliklerinin sunulması ile Yapay Zeka (AI) destekli akıllı arama algoritması ve doğal dil analizleri vasıtasıyla kullanıcı deneyimini iyileştirmeye yönelik kişiselleştirilmiş hizmet, işletme ve içerik önerilerinde bulunulması ve açık rızaya tabi benzeri diğer tüm özelliklerinin sunulması kapsamında. BUNA; kullanıcı hesaplarının oluşturulması ve yönetilmesi, uygulama hizmetlerinin sunulması, güvenlik süreçlerinin yürütülmesi ve uygulamanın işletilmesi kapsamında veri sorumlusu sıfatıyla hareket etmektedir. Biletleme, rezervasyon, etkinlik yönetimi, QR sipariş ve benzeri hizmetlerde ise ilgili işletme, organizatör veya hizmet sağlayıcısı; kullanıcıdan doğrudan topladığı, işlediği ve kendi faaliyetleri kapsamında kullandığı kişisel veriler bakımından bağımsız veri sorumlusu olarak hareket edebilir. Bu kapsamda BUNA, ilgili hizmetlerin sunulabilmesi amacıyla teknik altyapı ve entegrasyon hizmetleri sağlamakta olup, işletmeler tarafından sisteme girilen verilerin doğruluğu, güncelliği ve mevzuata uygun şekilde işlenmesi ile API entegrasyonları, U-ETDS bildirimleri ve diğer üçüncü taraf sistemlerden kaynaklanan veri hataları veya mevzuata aykırılıklar ilgili işletme veya hizmet sağlayıcısının sorumluluğundadır. 5. İŞLENEN KİŞİSEL VERİLER BUNA; veri sahibinin uygulamaya üye olması ve uygulama kapsamında sunulan aracılık hizmetleri ile diğer tüm özelliklerden faydalandırılması süreçlerinde, KVKK düzenlemelerine uygun olarak aşağıda sayılan kişisel veri kategorilerini ve bu kategoriler kapsamındaki verileri işlemektedir: • Kimlik Bilgileri: Ad, soyad, doğum tarihi, cinsiyet, T.C. kimlik numarası, yabancı uyruklu kullanıcılar için pasaport numarası ve uyruk verisi. (T.C. kimlik numarası ve pasaport numarası uygulamaya kayıt esnasında talep edilmemekte, doğum tarihi ve cinsiyet bilgisi ise kayıt esnasında isteğe bağlı/opsiyonel bırakılmakta olup, yasal yükümlülük kapsamında bu verilerin girilmesinin zorunlu olduğu biletleme adımları işbu istisnaların dışındadır.) • Hesap Bilgileri: Kullanıcı adı, e-posta adresi, şifre, parola, kullanıcı ID numarası, profil durum verileri, üyelik tarihi ve son bilgi değişikliği tarihi. • İletişim Bilgileri: Telefon numarası, cep telefonu numarası, e-posta adresi, sosyal medya iletişim bilgileri, sistem bildirim tercih kayıtları ve kullanıcı tarafından canlı yardım, e-posta veya çağrı merkezi kanalları üzerinden bizzat beyan edilmesi halinde adres bilgileri. • Profil Bilgileri: Profil fotoğrafı, biyografi, kullanıcı tarafından profile bizzat eklenen kişisel beyanlar ve sosyal profil tercihleri. • Konum Bilgileri: Uygulama kullanılırken işaretlenen bölge/şehir bilgileri, yer bildirimi (check-in) lokasyon kayıtları, fiziki mekanlardaki masalarda yer alan QR kodların okutulduğu andaki masa konumu bilgisi ile kullanıcının açık rıza vermesi halinde cihaz bazlı aktive ettiği anlık ve arka plan konum verileri. • İşlem Bilgileri: Rezervasyon talep, sonuç ve kayıtları, işletmelere ilişkin puanlama bilgileri, favori işletmeler, favori mutfaklar, favori menü ögeleri, mekanlarda masadan iletilen dijital sipariş emirleri, sipariş geçmişi, no-show (rezervasyona gelmeme) durum kayıtları, fatura bilgileri ve kullanıcı tarafından canlı yardım, e-posta veya çağrı merkezi kanalları üzerinden iletilmesi halinde her türlü müşteri talimat ve talep kayıtları. • Biletleme ve Seyahat Bilgileri: Satın alınan standart ücretli veya ücretsiz etkinlik biletleri, otobüs biletleri, seyahat tarihleri, güzergah detayları, koltuk numarası, bilet/sipariş bilgileri, dijital bilet doğrulama (QR/barkod) verileri, kapıdaki ilk giriş kontrol logları, seyahat belgelerinin türü ile numarası, U-ETDS bildirimi kapsamında işlenen seyahat detayları, bilet satın alma adımlarında işlenen yolcu kimlik bilgileri ve iletişim bilgileri. • Finansal Ödeme Bilgileri: BUNA altyapısında kart bilgileri işlenmemekte ve saklanmamakta olup; yalnızca lisanslı ödeme kuruluşu tarafından iletilen sanal POS onay/ret kodları, işlem başarı logları, 3D Secure işlem durum kayıtları, ödeme tutarı, para birimi, bilet iptal ve iade geçmişi, açık bilet kupon kodu verileri ile kullanıcının talep/iade süreçlerinde bizzat iletmesi halinde banka hesap bilgisi ve IBAN numarası. • İçerik ve Etkileşim Bilgileri: Kullanıcı tarafından platform içerisinde paylaşılan fotoğraflar, videolar, yorumlar, beğeniler, takip ve takipleşme bilgileri, etiketlemeler, bahsetmeler ve uçtan uca şifreleme protokolü ile şifrelenmiş anlık mesajlaşma içerikleri. • Yapay Zeka ve Arama Bilgileri: Yapay Zeka (AI) destekli akıllı arama çubuğuna girilen doğal dil metinleri, arama kelimeleri ve geçmişi, filtrelenen işletme eğilimleri, yapay zeka algoritması tarafından sunulan kişiselleştirilmiş hizmet, işletme veya içerik öneri kayıtları. • Pazarlama Bilgileri: Uygulama kullanım alışkanlıkları, çerez kayıtları, hedefleme ve özelleştirme bilgileri, veri zenginleştirme faaliyetleri ile türetilen tüketici davranış profilleri ve pazarlama analizi değerlendirme raporları. • Kullanım Bilgileri: Giriş-çıkış kayıtları, şifre oluşturma veya sıfırlama işlem günlükleri, kullanıcı işlem logları, IP adresi, erişim trafik verileri, tedarikçilerin destek hizmeti verirken eriştikleri kaynakların loglanması ve 5651 sayılı Kanun uyarınca tutulan yer sağlayıcı erişim logları. • Cihaz Bilgileri: Cihaz modeli, işletim sistemi adı ve sürümü, uygulama kullanımına ilişkin teknik log kayıtları, benzersiz fiziki cihaz kimliği (Device ID), bot veya suistimal engelleme amaçlı cihaz analiz verileri, cihaz tipi (web, mobil, tablet), uygulama versiyon bilgisi. • Talep, Şikayet ve İletişim Kayıtları: Destek talepleri, şikayetler, öneri ve geri bildirim içerikleri, canlı yardım kayıtları, destek ekibiyle yapılan e-posta veya uygulama içi yazışma kayıtları, çağrı merkezi ses kayıtları. • Hukuki İşlem Bilgileri: Yasal yükümlülükler ve şirket politikaları uyarınca borçların ifası, hukuki hak ve alacak tespiti ve takibi kapsamında işlenen kişisel veriler, adli ve idari mercilerden gelen bilgi talepleri, resmi kurum yazışma kayıtları. • Risk Yönetimi Bilgileri: Uygulama içi ticari güvenliğin, bilgi güvenliğinin ve şirket itibarının korunması maksadıyla işlenen dolandırıcılık, sahteciliğin (fraud) ve ters ibraz (chargeback) önleme verileri, hesap kısıtlama, askıya alma ve kara liste (blacklisting) kayıtları ile biletleme süreçlerindeki spekülatif/suistimal amaçlı işlemlerin takip logları. • Özel Nitelikli Bilgiler: Uygulama üzerinde doğrudan, zorunlu veya sistemsel olarak hiçbir şekilde talep edilmemekle birlikte; kullanıcının işletmelere bizzat iletebileceği notlar üzerinden veya canlı destek, e-posta ya da çağrı merkezi kanalları üzerinden kendi rızası ve inisiyatifiyle bizzat beyan edebileceği durumlar için tedbiren listelenen; alınan ulaşım ve biletleme hizmetlerini etkileyebilecek nitelikteki sağlık ve engellilik durumu kayıtları. 6. KİŞİSEL VERİLERİN AKTARILMASI VE AKTARIM AMAÇLARI BUNA tarafından işlenen kişiler veriler, KVKK m. 8 uyarınca anılan hukuki sebeplere dayanarak, ölçülü ve amaçla bağlantılı olarak aşağıda sayılan amaçlar ile sayılan alıcı gruplara aktarılabilmektedir: • Sözleşmenin kurulması veya ifası için gerekli olması ve BUNA’nın hukuki yükümlülüklerini yerine getirebilmesi amacıyla; rezervasyon taleplerinin yönetimi, masalardaki fiziki QR kodlar üzerinden dijital sipariş emirlerinin iletilmesi ve hesap uyuşmazlıklarının çözümlenmesi için ilgili işletme ile ad, soyad, kullanıcı adı, iletişim bilgileri, sipariş ve rezervasyon geçmişi verileri; satın alınan biletlerin elektronik ortamda oluşturulması, kapıda doğrulanması, etkinliklerin yasal yaş sınırları ile mekanların girişlerdeki cinsiyet dengesi kurallarına uyum denetimlerinin yapılması ve mükerrer bilet kullanımının engellenmesi amacıyla ilgili işletme veya organizatör ile kimlik bilgileri, iletişim bilgileri, bilet/sipariş ID bilgileri ve bilet doğrulama logları; 4925 sayılı Kanun kapsamında otobüs biletleme işlemlerinin tamamlanması, koltuk şemalarına yolcu kaydının yapılması, koltuk cinsiyet dengesinin denetlenmesi ve yasal bildirimlerin gerçekleştirilmesi amacıyla bilet satın alınan ulaştırma firması ile yolcu kimlik bilgileri (T.C. kimlik numarası, pasaport numarası, cinsiyet dahil) ile iletişim bilgileri yalnızca gerekli olduğu ölçüde paylaşılabilir. • Uygulamanın sosyal medya niteliği gereği, kullanıcıların oluşturduğu profil bilgileri, paylaşımlar, yorumlar, beğeniler, takip bilgileri, yer bildirimleri ve benzeri içerikler uygulamanın diğer BUNA kullanıcıları tarafından görüntülenebilir ve kullanıcıların etkileşimine sunulabilir; profil bilgileri ise kullanıcının gizlilik ayarlarına bağlı olarak, BUNA kullanıcısı olmayan genel halk tarafından da internet arama motoru üzerinden görüntülenebilir. • Kullanıcıların uygulama üzerinden diğer kullanıcılara gönderdikleri doğrudan mesajlar yalnızca ilgili mesajın tarafı olan kullanıcılar tarafından görüntülenebilir; bu anlık mesajlaşma içerikleri, desteklenen cihaz ve oturumlarda uçtan uca şifreleme mekanizmaları ile korunmakta; mesaj içerikleri sunucu tarafında şifreli veri olarak saklanmaktadır. • Uygulama üzerinde gerçekleştirilen bilet satın alımlarına ve tahsilat süreçlerine ilişkin finansal işlemlerin güvenli şekilde neticelendirilmesi, sanal POS altyapılarının işletilmesi ve dolandırıcılığın (fraud) önlenmesi amacıyla; kullanıcılar ödeme adımlarında anlaşmalı olunan 6493 sayılı Kanun kapsamındaki lisanslı ödeme hizmeti sağlayıcılarının kendi güvenli ekranlarına yönlendirilmekte olup; ödeme güvenliğinin tesisi ve ters ibraz (chargeback) süreçlerinin takibi amacıyla kimlik, bilgileri, finansal ödeme bilgileri ve iletişim bilgileri ilgili ödeme kuruluşları, bankalar ve bunların teknik altyapı API servis sağlayıcıları ile sınırlı ve gerekli olduğu ölçüde paylaşılabilir. • Uygulamanın teknik altyapısının kurulması, barındırılması, veri güvenliğinin sağlanması, sistemlerin işletilmesi, bakım ve destek faaliyetlerinin yürütülmesi, uygulamanın geliştirilmesi, kullanıcı deneyiminin iyileştirilmesi ve Yapay Zeka (AI) destekli akıllı arama algoritmasının işletilmesi amacıyla; veri barındırma, veri tabanı yönetimi, uygulama altyapısı, analiz ve bildirim sistemleri gibi teknik ve operasyonel hizmetleri sağlayan bulut bilişim, teknoloji altyapı ve API servis sağlayıcıları ile sınırlı ve gerekli olduğu ölçüde paylaşılabilir. • Kullanıcılara uygulama ile ilgili bildirimlerin gönderilebilmesi amacıyla cihaz bildirimi kimlikleri (push notification token) ve ilgili teknik bilgiler, bildirim ve toplu SMS altyapısını sağlayan entegratör çözüm ortakları ve API servis sağlayıcıları ile sınırlı ve gerekli olduğu ölçüde paylaşılabilir. • Şirket faaliyetlerinin yürütülmesi, hukuki süreçlerin takibi, mali ve finansal yükümlülüklerin yerine getirilmesi, denetim ve danışmanlık hizmetlerinin alınması amacıyla kişisel veriler; avukatlar, mali müşavirler, bağımsız denetçiler ve benzeri hukuki, mali veya teknik danışmanlık hizmeti sunan kişi ve kuruluşlar ile yalnızca gerekli olduğu ölçüde ve sır saklama yükümlülüğü kapsamında paylaşılabilir. • İlgili mevzuat uyarınca hukuki yükümlülüklerin yerine getirilmesi, yetkili kamu kurum ve kuruluşlarının talep etmesi veya hukuki uyuşmazlıkların çözümü amacıyla kişisel veriler; T.C. Ulaştırma ve Altyapı Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu, Gelir İdaresi Başkanlığı dahil olmak üzere yetkili kamu kurum ve kuruluşları ile paylaşılabilir. • Şirketin birleşme, devralma, yeniden yapılandırma veya benzeri işlemler geçirmesi halinde kişisel veriler ilgili işlem kapsamında hukuka uygun şekilde devredilebilir. BUNA tarafından işlenen kişisel veriler, KVKK m.9 uyarınca öngörülen veri işleme şartlarının bulunması ve gerekli teknik idari tedbirlerin alınması kaydıyla; uygulamanın teknik altyapısının sağlanması, veri barındırma hizmetlerinin yürütülmesi, veri güvenliğinin temini, sistemlerin işletilmesi, kullanıcı hesaplarının yönetilmesi ve kullanıcılara sunulan hizmetlerin sürdürülebilmesi amacıyla bulut bilişim ve teknoloji altyapı hizmeti sağlayan ve yurt dışındaki veri merkezlerinde sunucuları bulunan hizmet sağlayıcılarına aktarılabilmektedir. Yurt dışına veri aktarımının açık rıza gerektirdiği durumlarda veri sahibinin açık rızasını almak suretiyle aktarım yapılacaktır. 7. KİŞİSEL VERİLERİN KORUNMASI VE SAKLANMASI BUNA, kullanıcıya ait kişisel verilerin güvenliğinin sağlanması ve hukuka aykırı olarak işlenmesinin önlenmesi amacıyla KVKK başta olmak üzere ilgili mevzuat hükümlerine uygun olarak gerekli teknik ve idari tedbirleri almaktadır. Belirtmek gerekir ki; internet ortamında hiçbir sistemin tamamen güvenli olduğuna dair BUNA tarafından garanti verilmemekte olup kullanıcılar da hesap ve giriş bilgilerini gizli tutmakla yükümlüdür. Veri güvenliğinin sağlanması hususuna büyük önem veren BUNA bu kapsamda; • Kişisel verilerin gizliliğinin ve bütünlüğünün korunması amacıyla güvenli sunucu altyapıları, SSL/TLS şifreleme teknolojileri ve güvenilir sertifika otoritelerince onaylı şifreleme protokolleri kullanılmaktadır. • Uygulama dahilinde kullanıcılar arasında gerçekleştirilen anlık mesajlaşma içerikleri, desteklenen cihaz ve oturumlarda uçtan uca şifreleme mekanizmaları ile korunmakta; mesaj içerikleri sunucu tarafında şifreli veri olarak saklanmaktadır. • Kişisel veriler güvenli bulut altyapılarında saklanmakta ve veri güvenliğinin sağlanması amacıyla gerekli teknik koruma önlemleri uygulanmaktadır. • Kişisel verilere erişim, görev ve yetki kapsamında gerekli olan kişiler ile sınırlandırılmakta ve erişim kontrol mekanizmaları uygulanmaktadır. • Sistem güvenliğinin sağlanması amacıyla gerekli teknik kontroller ve güvenlik önlemleri uygulanmaktadır. • Veri kaybı riskine karşı bulut altyapısının sunduğu veri koruma ve veri kurtarma mekanizmalarından yararlanılmaktadır. • Kişisel verilerin korunmasına ilişkin iç politika ve prosedürler oluşturulmakta ve gerekli idari tedbirler alınmaktadır. Kişisel veriler; BUNA tarafından sunulan hizmetlerin sağlanabilmesi, yasal yükümlülüklerin yerine getirilmesi ve sistem güvenliğinin sağlanması amacıyla; vergi, karayolu taşımacılığı, finansal mevzuat dahil olmak üzere ilgili mevzuatta öngörülen saklama süreleri ve yasal zamanaşımı süreleri saklı kalmak kaydıyla, verilerin işlenme amacının gerektirdiği süre boyunca saklanmaktadır. Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması veya ilgili mevzuatta öngörülen saklama sürelerinin sona ermesi halinde kişisel veriler BUNA tarafından mevzuata uygun şekilde silinir, yok edilir veya anonim hale getirilir. 8. ÇEREZLER VE BENZERİ TEKNOLOJİLER BUNA’ya ait uygulama genelinde; kullanıcı oturumlarının güvenli şekilde sürdürülebilmesi, rezervasyon ve karekod (QR) tabanlı sipariş süreçlerinin yürütülmesi, biletleme işlemlerinin gerçekleştirilebilmesi, hesap güvenliğinin sağlanması ve yapay zeka (AI) destekli özelliklerin sunulabilmesi amacıyla çerezler, mobil yerel depolama (local storage), cihaz tanımlayıcıları ve benzeri teknolojiler kullanılmaktadır. Bu teknolojiler, platformun teknik olarak çalışabilmesi ve kullanıcılara sunulan hizmetlerin ifa edilebilmesi için zorunlu nitelikte olup; kullanıcı oturumlarının yönetilmesi, tercihlerin hatırlanması, güvenlik kontrollerinin sağlanması ve hizmet sürekliliğinin temin edilmesi amaçlarıyla kullanılmaktadır. Kullanıcılar, çerezler ve benzeri teknolojilerin kullanımına ilişkin sınırlandırmaları veya veri silme işlemlerini kullandıkları internet tarayıcıları ya da mobil cihazlarının işletim sistemi ayarları üzerinden gerçekleştirebilirler. Çerezler ve benzeri teknolojilerin sınırlandırılması veya devre dışı bırakılması halinde, uygulama üzerindeki bazı hizmetler ile fonksiyonlar kısmen veya tamamen çalışmayabilir. 9. VERİ SAHİBİNİN HAKLARI VE BAŞVURU YOLLARI Veri sahibi sıfatıyla kullanıcılar, KVKK m. 11 uyarınca aşağıda belirtilen haklara sahiptir: • Kişisel verilerinin işlenip işlenmediğini öğrenme, • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, • Kişisel verilerinin işlenme amacını ve bu verilerin amacına uygun kullanılıp kullanılmadığını öğrenme, • Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme, • Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme, • KVKK m. 7 kapsamında kişisel verilerinin silinmesini veya yok edilmesini talep etme, • Düzeltme veya silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme, • İşlenen verilerin münhasıran otomatik sistemler aracılığıyla analiz edilmesi sonucunda kullanıcı aleyhine bir sonucun ortaya çıkmasına itiraz etme, • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme. Kullanıcılar; yukarıda belirtilen haklarına ilişkin taleplerini, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine uygun şekilde BUNA’ya iletme hak ve yetkisine sahip olup, Kişisel Verileri Koruma Kurumu tarafından ilgili mevzuat kapsamında belirlenen şartları taşımayan başvurular, talep edilecek ek bilgiler tamamlanmadığı sürece değerlendirmeye alınmayacaktır. Başvurular; kimliğin tespitine imkan sağlayacak bilgi ve belgeler ile birlikte noter kanalıyla, Yeni Yüzyıl Mahallesi 142 Alparslan Türkeş Bulvarı No:41/19 Merkez/Isparta adresine yazılı olarak, support@buna.life adresine elektronik posta yoluyla veya anılan Tebliğde belirtilen diğer yöntemlerle iletilebilir. BUNA, iletilen başvuruları talebin niteliğine göre mümkün olan en kısa sürede ve en geç 30 gün içerisinde ücretsiz olarak sonuçlandıracaktır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret talep edilebilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya başvuruya süresi içinde cevap verilmemesi hallerinde kullanıcı, cevabın tebliğinden itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu’na şikayette bulunma hakkına sahiptir. 10. AYDINLATMA METNİ HAKKINDA İşbu Kişisel Verilerin Korunmasına İlişkin Aydınlatma Metni; yasal yükümlülükler veya iş gereksinimleri sebebiyle gerekli görüldüğü zaman güncellenebilecek olup, yapılan güncellemeler BUNA tarafından uygulama üzerinden ilan edilecektir. Aydınlatma Metni hakkında görüş ve taleplerinizi support@buna.life e-posta adresine iletebilirsiniz.