Gizlilik Politikası

Bu Gizlilik Politikası; Coxa Impact Advisory Danışmanlık A.Ş. ("Coxa Impact Advisory", "Şirket", "Biz") tarafından işletilen coxaimpact.com alan adlı web sitesi ve bağlı dijital platformlar (bundan böyle "Platform" olarak anılacaktır) aracılığıyla sunulan hizmetlere ilişkin kişisel veri işleme faaliyetlerini düzenlemektedir.

Platform'u kullanan tüm gerçek kişiler ("Kullanıcı", "Siz") bu Politika'nın kapsamına girmektedir. Bu Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ve ilgili ikincil mevzuat çerçevesinde hazırlanmıştır.

Şirketimiz, Platform üzerinden aşağıdaki kategorilerde kişisel veri toplayabilmektedir:

Kimlik Verileri: Ad, soyad, kullanıcı adı, unvan, imza.

İletişim Verileri: E-posta adresi, telefon numarası, posta adresi, şirket adresi.

Hesap ve Kimlik Doğrulama Verileri: Kullanıcı adı, şifrelenmiş parola, OAuth kimlik bilgileri, oturum token'ları.

Şirket / Kurumsal Veriler: Şirket adı, ticaret sicil numarası, vergi kimlik numarası, sektör bilgisi, çalışan sayısı.

Platform Kullanım Verileri: Dijital Ürün Pasaportu (DPP) içerikleri, ürün bilgileri, karbon hesaplama verileri, emisyon faktörü seçimleri, raporlar.

Teknik Veriler: IP adresi, tarayıcı türü ve sürümü, işletim sistemi, cihaz tanımlayıcıları, çerez verileri, oturum günlükleri.

Finansal Veriler: Fatura bilgileri, ödeme yöntemi (kart numarası saklanmaz; ödeme işlemleri PCI-DSS uyumlu üçüncü taraf sağlayıcılar aracılığıyla gerçekleştirilir).

İletişim Talep Verileri: Danışmanlık talep formlarında iletilen mesajlar, proje açıklamaları, sektör ve bütçe bilgileri.

Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:

Hizmet Sunumu: Platform'un temel işlevlerini (DPP oluşturma, karbon hesaplama, raporlama) sağlamak; hesap oluşturma ve yönetimi gerçekleştirmek.

Sözleşme İfası: Kullanım Koşulları kapsamındaki yükümlülükleri yerine getirmek; abonelik ve lisans yönetimini yürütmek.

Yasal Yükümlülükler: KVKK, Türk Ticaret Kanunu, Vergi Usul Kanunu ve ilgili mevzuattan doğan yükümlülükleri yerine getirmek.

Meşru Menfaat: Platform güvenliğini sağlamak; dolandırıcılık ve yetkisiz erişimi önlemek; sistem performansını izlemek ve iyileştirmek.

Açık Rıza: Pazarlama iletişimleri, ürün güncellemeleri ve sektör bültenleri göndermek (yalnızca açık rıza alınması halinde).

Danışmanlık Hizmetleri: Talep edilen danışmanlık projelerini yürütmek; teklif ve proje raporlarını hazırlamak.

KVKK Madde 5 ve GDPR Madde 6 kapsamında kişisel verileriniz aşağıdaki hukuki dayanaklar çerçevesinde işlenmektedir:

Sözleşmenin Kurulması veya İfası (KVKK m.5/2-c; GDPR m.6/1-b): Platform hizmetlerinin sunulması, hesap yönetimi ve abonelik işlemleri için zorunlu olan veriler bu kapsamda işlenir.

Hukuki Yükümlülük (KVKK m.5/2-ç; GDPR m.6/1-c): Vergi, muhasebe, denetim ve resmi makam talepleri kapsamında zorunlu olan veriler bu kapsamda işlenir.

Meşru Menfaat (KVKK m.5/2-f; GDPR m.6/1-f): Platform güvenliği, sahtekârlık önleme ve sistem iyileştirme faaliyetleri bu kapsamda yürütülür.

Açık Rıza (KVKK m.5/1; GDPR m.6/1-a): Pazarlama iletişimleri ve isteğe bağlı analitik veriler yalnızca açık rızanıza dayanılarak işlenir. Rızanızı her zaman geri çekebilirsiniz.

Kişisel verileriniz, aşağıdaki kategorilerdeki alıcılarla paylaşılabilir:

Hizmet Sağlayıcılar: Bulut altyapısı (veri merkezi), ödeme işlemcileri, e-posta hizmet sağlayıcıları, analitik araçlar. Bu sağlayıcılar, yalnızca hizmet sunumu amacıyla ve gizlilik sözleşmeleri çerçevesinde veri işler.

Yasal Makamlar: Mahkeme kararı, savcılık talebi veya yasal zorunluluk halinde yetkili kamu kurumları ve yargı mercileri.

İş Ortakları: Onayınız alınmak kaydıyla, ortak danışmanlık projeleri kapsamında iş ortaklarıyla sınırlı ölçüde paylaşım yapılabilir.

Yurt Dışı Aktarım: Verileriniz yurt dışına aktarılması halinde, KVKK Madde 9 kapsamında Kişisel Verileri Koruma Kurulu'nun belirlediği ülkeler listesi veya yeterli güvenceler (standart sözleşme maddeleri, bağlayıcı şirket kuralları) esas alınır.

Kişisel verileriniz, işlenme amacının gerektirdiği süre boyunca ve ilgili yasal yükümlülükler çerçevesinde saklanmaktadır:

Saklama süresi sona eren veriler güvenli biçimde silinir, yok edilir veya anonim hale getirilir.

Platform'umuz aşağıdaki çerez kategorilerini kullanmaktadır:

Zorunlu Çerezler: Oturum yönetimi, güvenlik doğrulaması ve temel platform işlevleri için gereklidir. Bu çerezler devre dışı bırakılamaz.

Performans Çerezleri: Platform kullanımını analiz etmek, hata tespiti yapmak ve performansı iyileştirmek amacıyla kullanılır. Açık rızanıza bağlıdır.

İşlevsellik Çerezleri: Dil tercihi, tema seçimi gibi kişiselleştirme ayarlarını hatırlamak için kullanılır.

Pazarlama Çerezleri: Hedefli reklam ve kampanya ölçümü için kullanılır. Açık rızanıza bağlıdır.

Çerez tercihlerinizi tarayıcı ayarlarınızdan veya Platform'daki çerez yönetim panelinden değiştirebilirsiniz.

KVKK Madde 11 ve GDPR Madde 15-22 kapsamında aşağıdaki haklara sahipsiniz:

Bilgi Edinme Hakkı: Kişisel verilerinizin işlenip işlenmediğini, işleniyorsa hangi verilerin nasıl işlendiğini öğrenme hakkı.

Erişim Hakkı: İşlenen kişisel verilerinizin bir kopyasını talep etme hakkı.

Düzeltme Hakkı: Yanlış veya eksik kişisel verilerinizin düzeltilmesini talep etme hakkı.

Silme Hakkı ("Unutulma Hakkı"): Belirli koşullar altında kişisel verilerinizin silinmesini talep etme hakkı.

İşlemenin Kısıtlanması Hakkı: Belirli durumlarda veri işlemenin kısıtlanmasını talep etme hakkı.

Veri Taşınabilirliği Hakkı: Verilerinizi yapılandırılmış, makine tarafından okunabilir formatta alma ve başka bir veri sorumlusuna aktarma hakkı.

İtiraz Hakkı: Meşru menfaate dayalı işleme faaliyetlerine itiraz etme hakkı.

Otomatik Karar Alma: Yalnızca otomatik işlemeye dayalı ve hakkınızda önemli sonuçlar doğuran kararlar hakkında itiraz etme hakkı.

Başvuru Yöntemi: Haklarınızı kullanmak için [email protected] adresine kimliğinizi doğrulayan bilgilerle yazılı başvuruda bulunabilirsiniz. Başvurularınız en geç 30 gün içinde yanıtlanır.

Şikâyet Hakkı: Kişisel Verileri Koruma Kurumu'na (www.kvkk.gov.tr) şikâyette bulunma hakkınız saklıdır.

Kişisel verilerinizin güvenliğini sağlamak amacıyla aşağıdaki teknik ve idari tedbirler uygulanmaktadır:

Teknik Tedbirler: TLS/SSL şifrelemesi ile veri iletimi güvenliği; veritabanı şifrelemesi; erişim kontrol listeleri ve rol tabanlı yetkilendirme; güvenlik duvarı ve saldırı tespit sistemleri; düzenli güvenlik açığı taramaları ve penetrasyon testleri; çok faktörlü kimlik doğrulama seçeneği.

İdari Tedbirler: Veri işleme personeline yönelik gizlilik sözleşmeleri; düzenli güvenlik farkındalık eğitimleri; veri ihlali müdahale planı; veri minimizasyonu ilkesinin uygulanması.

Bir veri ihlali tespit edilmesi halinde, KVKK Madde 12 ve GDPR Madde 33 kapsamında yetkili otoritelere ve etkilenen veri sahiplerine yasal süreler içinde bildirim yapılır.

Platform'umuz, üçüncü taraf web sitelerine veya hizmetlere bağlantılar içerebilir. Bu bağlantılar aracılığıyla erişilen üçüncü taraf platformların gizlilik uygulamalarından Şirketimiz sorumlu değildir. İlgili platformların kendi gizlilik politikalarını incelemenizi tavsiye ederiz.

Bu Gizlilik Politikası, yasal düzenlemeler, teknolojik gelişmeler veya hizmet değişiklikleri doğrultusunda güncellenebilir. Önemli değişiklikler Platform üzerinden ve/veya kayıtlı e-posta adresinize bildirim yoluyla duyurulur. Güncel politikaya her zaman Platform'un ilgili sayfasından ulaşabilirsiniz. Değişiklik tarihinden sonra Platform'u kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir.

Bu Politika kapsamındaki sorularınız, başvurularınız veya şikâyetleriniz için aşağıdaki kanallardan bize ulaşabilirsiniz: