Kısaca söylemek gerekirse.

Sizi izlemiyoruz, verinizi satmıyoruz, ve topladığımız her bilgi için açık bir sebep var. Hepsi bu.

Graffe Bagno olarak kişisel verilerinizi yalnızca siparişinizi yerine getirmek, hesabınızı yönetmek, yasal yükümlülüklerimizi karşılamak ve — sadece onay verdiyseniz — size yeniliklerimizi aktarmak için işleriz. Aşağıdaki 10 bölüm, “uzun sürüm”dür.

Size bakan kim?

KVKK kapsamında veri sorumlusu, şirketimizdir:

• Graffe Bagno Tasarım ve Ticaret A.Ş.
• MERSİS: 0404-0987-6543-2100
• Adres: [Yasal merkez adresi], İstanbul
• KVKK İletişim: [email protected] · +90 212 296 14 72

KVKK Veri Sorumluları Siciline (VERBIS) kayıtlıyız. Kayıt numaramızı [email protected] adresinden talep edebilirsiniz.

Ne topluyoruz?

Sadece işimizi yapmak için gereken kadarını. Aşağıdaki tablo, bir müşterinin hayat döngüsünde hangi aşamada hangi verilerin toplandığını özetler.

Ödeme bilgisi hakkında

Kredi kartı bilgilerinizi asla sunucularımızda saklamayız. Ödemeler PCI-DSS Level 1 sertifikalı ödeme kuruluşumuz üzerinden yapılır; bizim sistemimizde yalnızca kart numarasının son 4 hanesi ve token bilgisi tutulur.

Neden işliyoruz?

• Sözleşmenin ifası — siparişinizi hazırlamak, kargolamak, iadesini almak.
• Yasal yükümlülük — e-fatura, vergi kayıtları, mali mevzuat.
• Meşru menfaat — sahtekârlık önleme, site güvenliği, hizmet iyileştirme.
• Açık rıza — bülten, pazarlama iletişimi, kişiselleştirilmiş öneriler.

Açık rızaya dayalı her işlemi istediğiniz zaman geri alabilirsiniz — bülten alt bilgisindeki “abonelikten çık” bağlantısı ya da hesabınızdaki tercih sayfası yeterlidir.

Hangi kanuna dayanarak?

KVKK Madde 5 ve 6 kapsamında; yukarıdaki her amaç için ayrı ayrı dayanak belirlenmiştir. GDPR uyumu için Avrupa’dan sipariş veren müşterilerimizde ayrıca GDPR Madde 6 uygulanır.

Ne kadar saklıyoruz?

Süreler dolduğunda verileriniz ya anonimleştirilir ya da geri dönüşü olmayan biçimde silinir.

Kimlerle paylaşıyoruz?

Mümkün olduğunca az kişiyle. Tedarikçi listemiz:

• Ödeme: iyzico (Türkiye) — PCI-DSS Level 1.
• Kargo: Aras Kargo & Yurtiçi Kargo — teslimat için ad, adres, telefon.
• E-fatura: Logo, Foriba — mevzuat gereği.
• E-posta: Postmark — transactional mail.
• Bülten: Mailchimp (EU sunucuları) — yalnızca abone olanlar.
• Analitik: Plausible — cookiesiz, anonim.

Hiçbir veri reklam amaçlı üçüncü tarafa satılmaz, kiralanmaz ya da değiş tokuş edilmez.

Çerez politikası.

Sadece üç tür çerez kullanıyoruz:

Reklam çerezi, üçüncü taraf takip çerezi ya da fingerprinting kullanmıyoruz.

Sizin hakkınız.

KVKK Madde 11 kapsamında aşağıdaki haklara sahipsiniz. Talebinizi [email protected] adresine iletmeniz yeterli — 30 gün içinde yanıt veririz.

Nasıl koruyoruz?

• TLS 1.3 ile uçtan uca şifreli bağlantı.
• Şifreler bcrypt ile hash’lenir, hiçbir zaman düz metin saklanmaz.
• ISO/IEC 27001 sertifikalı barındırma altyapısı.
• Yıllık sızma testi, üç aylık iç denetim.
• İki faktörlü kimlik doğrulama — hesaplar için opsiyonel, yönetim paneli için zorunlu.

Yine de bir sızıntı tespit edersek, 72 saat içinde size ve KVK Kurumu’na bildiririz.

Değişirse ne olur?

Bu politikada önemli bir değişiklik yaparsak, en az 30 gün önceden e-posta ile haber veririz ve bu sayfanın üstündeki “son güncelleme” tarihini değiştiririz. Küçük dil düzeltmeleri için bildirim yapılmaz.

Önceki sürümlere arşivden ulaşabilirsiniz.