İşbu Gizlilik Politikası; NOVATO ELEKTRONİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ (kısaca “Novato” veya “Firma”) tarafından, novato.com.tr internet sitesi ve bağlı dijital kanallar üzerinden toplanan kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili ikincil mevzuat çerçevesinde nasıl işlendiğini açıklamak amacıyla hazırlanmıştır.

İşbu metin, KVKK m.10 kapsamındaki Aydınlatma Yükümlülüğü‘nün bir parçası olup; Site’de yayınlanan Çerez Politikası, KVKK Aydınlatma Metni ve Açık Rıza Metinleri ile bir bütün olarak okunmalıdır.

1. VERİ SORUMLUSU

KVKK m.3/1-(ı) anlamında Veri Sorumlusu:

⚠️ Not: Site genelinde tek bir e-posta adresi (bilgi@novato.com.tr) kullanılması veri sahibinin Firma’ya ulaşımı bakımından zorunludur.

2. KAPSAM

İşbu Politika; çalışan adayları ve çalışanlar hariç olmak üzere; Site’yi ziyaret eden, üye olan, sipariş veren, müşteri hizmetleri ile iletişim kuran tüm gerçek kişilerin (“Veri Sahibi”) kişisel verilerinin işlenmesi süreçlerini kapsar.

3. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

Firma, Veri Sahibi’nden ya da onun yönlendirdiği üçüncü kişilerden aşağıdaki veri kategorilerini toplayabilir:

Firma; özel nitelikli kişisel verileri (sağlık, biyometri, din, etnik köken, ceza mahkûmiyeti vb.) hizmetlerinin doğası gereği toplamamaktadır. Veri Sahibi’nin kendi inisiyatifiyle bu tür verileri ileten bildirimleri Firma silme hakkını saklı tutar.

4. VERİ TOPLAMA YÖNTEMLERİ

Kişisel veriler aşağıdaki otomatik ve otomatik olmayan yöntemlerle toplanır:

• Site üzerindeki üyelik, sipariş, yorum, talep ve iletişim formları
• E-posta, telefon, canlı destek, WhatsApp ve sosyal medya kanalları
• Kargo ve lojistik partnerlerinden gelen teslimat geri bildirimleri
• Ödeme kuruluşları/bankalar üzerinden gelen işlem onay bilgileri (kart bilgisi hariç)
• Çerezler, piksel etiketler ve benzeri otomatik takip teknolojileri (bkz. Çerez Politikası)
• Pazaryerleri (varsa) ile yapılan satış entegrasyonlarında pazaryeri tarafından iletilen sipariş verileri

5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Veriler aşağıdaki amaçlarla işlenir:

a) Sözleşmenin kurulması ve ifası

• Üyelik oluşturma ve yönetimi
• Sipariş alma, fatura kesme, ödeme tahsilatı
• Ürün hazırlama, sevkiyat ve teslimat
• İade, değişim, garanti ve servis süreçleri
• Müşteri hizmetleri ve şikayet yönetimi

b) Yasal yükümlülüklerin yerine getirilmesi

• 213 sayılı Vergi Usul Kanunu, 6102 sayılı Türk Ticaret Kanunu kapsamında belge/kayıt saklama
• 6502 sayılı Tüketicinin Korunması Hakkında Kanun ve Mesafeli Sözleşmeler Yönetmeliği yükümlülükleri
• Yetkili kurum/kuruluş taleplerinin karşılanması

c) Meşru menfaat kapsamında

• Site güvenliği, dolandırıcılık ve sahtecilik önleme
• IP, oturum ve log kayıtları üzerinden risk analizi
• İstatistik, anonim analiz ve hizmet iyileştirme
• Hukuki taleplerin tesisi, kullanılması ve korunması

d) Açık rıza kapsamında

• Ticari elektronik ileti (e-posta, SMS, arama, push bildirimi) gönderimi
• Profilleme bazlı kişiselleştirilmiş kampanya ve ürün önerisi
• Pazar araştırmaları ve memnuniyet anketleri

Açık rıza her zaman geri çekilebilir. Bu durum, geri çekme tarihinden önce gerçekleştirilmiş ileti veya işlemleri etkilemez.

6. HUKUKİ SEBEPLER

KVKK m.5/2 ve m.6 hükümleri çerçevesinde işleme dayanakları:

• m.5/2-(a): Kanunlarda açıkça öngörülmesi
• m.5/2-(c): Sözleşmenin kurulması veya ifası
• m.5/2-(ç): Hukuki yükümlülüğün yerine getirilmesi
• m.5/2-(e): Bir hakkın tesisi, kullanılması veya korunması
• m.5/2-(f): Veri Sorumlusunun meşru menfaati (Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla)
• m.5/1: Açık rıza (yalnızca ticari elektronik ileti, çerez bazlı pazarlama profilleme ve diğer rıza gerektiren işlemler için)

7. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler, KVKK m.8 ve m.9 hükümleri çerçevesinde aşağıdaki taraflara, yalnızca ilgili amacın gerektirdiği ölçüde aktarılır:

Yurt dışı aktarımı: Bulut hizmet sağlayıcısı ve dijital pazarlama platformlarının sunucularının yurt dışında bulunabilmesi nedeniyle aktarım söz konusu olabilir. Bu aktarımlar; (i) Veri Sahibi’nin açık rızasına veya (ii) KVKK m.9’da öngörülen istisnai sebeplere dayanılarak ve gerekli güvenlik tedbirleri alınarak gerçekleştirilir.

8. KİŞİSEL VERİLERİN SAKLAMA SÜRELERİ

Veriler, ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süre boyunca saklanır:

Süre sonunda veriler silinir, yok edilir veya anonim hale getirilir.

9. KREDİ KARTI VE ÖDEME GÜVENLİĞİ

9.1. Kart numarası, CVV2 kodu ve son kullanma tarihi gibi tam kart bilgileri Novato sistemlerine hiçbir şekilde kaydedilmez. Ödeme verileri, PCI-DSS uyumlu ödeme kuruluşu (sanal POS) altyapısı üzerinden, 128/256-bit SSL şifrelemesi ile doğrudan ilgili bankaya iletilir.

9.2. İlk siparişlerde ve şüpheli işlemlerde dolandırıcılık önleme amacıyla Firma; Veri Sahibi veya bankası ile doğrulama amacıyla iletişime geçebilir.

9.3. E-posta yoluyla Firma’ya kart numarası, CVV veya şifre gönderilmemelidir. Bu yolla iletilen bilgilerin güvenliği Firma’ca garanti edilemez ve Firma derhal bu verileri silmekle yükümlüdür.

10. VERİ GÜVENLİĞİ TEDBİRLERİ

Firma; KVKK m.12 kapsamında veri güvenliğini sağlamak için aşağıdaki idari ve teknik tedbirleri uygular:

• Yetki matrisleri ve erişim logları
• Şifre güvenliği (hash + salt), iki faktörlü kimlik doğrulama (mümkün olan yerlerde)
• Güvenli sunucu yapılandırması, güvenlik duvarı, anti-virüs, sızma testleri
• SSL/TLS şifrelemesi (en az TLS 1.2)
• Düzenli yedekleme ve felaket kurtarma planları
• Personel için KVKK eğitim ve gizlilik taahhütnameleri
• Veri işleyenlerle yazılı sözleşmeler
• Veri ihlali halinde KVKK m.12/5 uyarınca 72 saat içinde Kurul’a bildirim

11. ÇEREZLER

Site; oturum, kalıcı, zorunlu, performans, işlevsel ve pazarlama çerezleri kullanmaktadır. Çerezlerin türleri, amaçları, saklama süreleri ve reddetme yöntemleri Çerez Politikası‘nda detaylıca açıklanmıştır. Veri Sahibi, çerez tercihlerini Site üzerindeki Çerez Tercih Paneli veya tarayıcı ayarları üzerinden yönetebilir.

12. VERİ SAHİBİNİN HAKLARI (KVKK MADDE 11)

Veri Sahibi, Firma’ya başvurarak aşağıdaki haklara sahiptir:

a) Kişisel verilerinin işlenip işlenmediğini öğrenme; b) İşlenmişse buna ilişkin bilgi talep etme; c) İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme; ç) Yurt içi/yurt dışı aktarılan üçüncü kişileri bilme; d) Eksik/yanlış işlenmiş verilerin düzeltilmesini isteme; e) KVKK m.7’de öngörülen şartlarla silinmesini veya yok edilmesini isteme; f) Yapılan düzeltme/silme/yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme; g) Otomatik sistemlerle yapılan analiz sonucu kendisi aleyhine bir sonuç çıkmasına itiraz etme; ğ) Hukuka aykırı işleme nedeniyle zarara uğraması halinde tazminat talep etme.

12.1. Başvuru Yöntemi

Veri Sahibi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca:

• bilgi@novato.com.tr adresine kayıtlı e-posta adresi üzerinden,
• KEP üzerinden Firma’nın KEP adresine,
• Yazılı olarak Firma’nın tebligat adresine ıslak imzalı dilekçe ile,

başvuruda bulunabilir. Başvuru; ad-soyad, T.C. kimlik no (Türk vatandaşları için), tebligat adresi, telefon, e-posta ve talep konusu içermelidir.

Firma, talebi niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz sonuçlandırır. İşlem ayrı bir maliyet gerektiriyorsa Kurul’un belirlediği tarifedeki ücret talep edilebilir.

Veri Sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya 30 günde cevap alamaması halinde, cevabı öğrendiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu‘na şikâyette bulunabilir.

13. TİCARİ ELEKTRONİK İLETİLER

13.1. Pazarlama, kampanya, tanıtım amaçlı e-posta, SMS, arama, push bildirimi gönderimi; 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK) ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik uyarınca yalnızca önceden onay (açık rıza) alınması halinde gerçekleştirilir.

13.2. Tüm onaylar İleti Yönetim Sistemi (İYS) üzerinde kayıtlıdır. Veri Sahibi onayını dilediği zaman:

• iys.org.tr üzerinden,
• iletideki “ret” bağlantısı veya “RET” SMS’i üzerinden,
• Firma’nın iletişim kanalları üzerinden

geri çekebilir. Geri çekme talimatı en geç 3 iş günü içinde uygulanır.

13.3. Sipariş onay, kargo bilgilendirmesi, üyelik aktivasyonu gibi işleme/sözleşme bilgilendirmeleri ticari elektronik ileti sayılmadığından onay aranmaksızın gönderilir.

14. ÇOCUKLARIN VERİLERİ

Site, 18 yaş altı bireylere yönelik değildir. 18 yaş altı kişilerden bilerek kişisel veri toplanmamaktadır. Bu nitelikte bir bilginin Firma’ya ulaştığının anlaşılması halinde söz konusu veri derhal silinir. Veli/vasiler, çocuklarının verisinin Firma’ya iletildiğini düşünüyorsa bilgi@novato.com.tr adresine başvurabilir.

15. ÜÇÜNCÜ TARAF SİTELER VE EKLENTİLER

15.1. Site içinde başka web sitelerine, sosyal medya platformlarına veya reklam ağlarına bağlantılar (link) ya da gömülü içerikler (örneğin sosyal paylaşım butonları, video oynatıcılar, harita servisleri) yer alabilir. Bu üçüncü taraflar kendi gizlilik politikalarına tabidir ve Firma onların uygulamalarından sorumlu değildir.

15.2. Firma, Site’de Google Analytics, Meta Pixel ve benzeri analiz/reklam araçlarını yalnızca açık rıza halinde çalıştırır; bu araçların kullandığı veriler ilgili sağlayıcının gizlilik politikasına da tabidir.

16. İSTİSNAİ HALLER

KVKK m.5/2 ve m.28 kapsamında, aşağıdaki hallerde Veri Sahibi’nin açık rızası aranmaksızın veriler işlenebilir veya yetkili mercilere açıklanabilir:

• Yasal yükümlülüklerin yerine getirilmesi;
• Sözleşmenin kurulması ve ifası;
• Yetkili idari/adli mercilerin usulüne uygun talepleri;
• Veri Sahibi’nin veya başkalarının hak ve güvenliğinin korunması için zorunlu olan haller;
• Hukuki uyuşmazlıkların ispatı için zorunlu olan haller.

17. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER

Firma, işbu Politika’yı tek taraflı olarak güncelleme hakkını saklı tutar. Güncellemeler Site’de yayınlandığı an yürürlüğe girer; esaslı değişiklikler için Veri Sahibi’ne e-posta veya Site bildirimi yoluyla bildirim yapılır. Politikanın güncel sürümünü takip etmek Veri Sahibi’nin sorumluluğundadır.

18. İLETİŞİM

Gizlilik Politikası ile ilgili tüm soru, talep ve başvurularınız için:

NOVATO ELEKTRONİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ Ömerli Mah. Ilgaz Sk. No:4 İç Kapı No:2 Arnavutköy / İstanbul 📧 bilgi@novato.com.tr 📞 0538 060 66 82

EK — ÇEREZ POLİTİKASI

1. ÇEREZ NEDİR?

Çerezler (cookies); web sitesini ziyaret ettiğinizde tarayıcınız aracılığıyla cihazınıza yerleştirilen ve sonraki ziyaretlerinizde okunabilen küçük metin dosyalarıdır. Çerezler; oturumunuzu açık tutmak, tercihlerinizi hatırlamak, sepetinizi korumak, Site’yi geliştirmek ve — açık rızanız varsa — pazarlama amaçlarıyla kullanılır.

2. KULLANILAN ÇEREZ TÜRLERİ

3. ÇEREZ TERCİHLERİNİN YÖNETİMİ

3.1. Site’ye ilk girişinizde karşınıza çıkan Çerez Tercih Paneli üzerinden zorunlu olmayan çerezleri kabul edebilir, reddedebilir veya kategori bazında seçim yapabilirsiniz. Tercihlerinizi her zaman sayfanın altındaki “Çerez Ayarları” bağlantısından değiştirebilirsiniz.

3.2. Tarayıcınızın ayarlarından da çerezleri yönetebilir, mevcut çerezleri silebilir veya yeni çerezlerin yüklenmesini engelleyebilirsiniz:

• Chrome: chrome://settings/cookies
• Firefox: about:preferences#privacy
• Safari: Tercihler → Gizlilik
• Edge: edge://settings/privacy

3.3. Zorunlu çerezleri devre dışı bırakmanız halinde Site’nin bazı işlevleri (üye girişi, sepet, ödeme) çalışmayabilir.

4. ÜÇÜNCÜ TARAF ÇEREZLERİ

Site, açık rızanız dahilinde aşağıdaki üçüncü taraf çerezlerini kullanabilir:

• Google Analytics / Google Ads — kullanım analizi ve reklam ölçümü
• Meta (Facebook / Instagram) Pixel — reklam hedefleme ve ölçüm
• TikTok Pixel — reklam hedefleme ve ölçüm
• Hotjar / Microsoft Clarity — kullanıcı davranış analizi (anonim)

Bu sağlayıcılar kendi gizlilik politikalarına tabidir ve verileri kendi sunucularında — bir kısmı yurt dışında — işleyebilir.

NOVATO ELEKTRONİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ bilgi@novato.com.tr · 0538 060 66 82