Kişisel Verilerin Korunması ve İşlenmesi
Politikası
1. AMAÇ
Hukuki ve
sosyal sorumluluğunun bir parçası olarak; Narincir Turizm ve Ticaret A.Ş. (bundan
böyle “Narincir” veya “Şirket” olarak anılacaktır.) yürürlükte
olan Türkiye Cumhuriyeti Anayasası (“Anayasa”),
Uluslararası Sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere kişisel
verilerin korunmasına ilişkin yürürlükte bulunan yasal mevzuata uygun hareket
etmekle mükellef olup, Narincir, söz konusu yasal mevzuata uyumu bir
yaşam döngüsü haline getirerek kişinin mahremiyetinin korunması ve veri
güvenliğinin sağlanması amacıyla kişisel verilerin korunması konusunda gerekli
çalışmaları yürütmektedir.
Narincir’e ait, www.narincir.com
web sitesi (“Site”) ve/veya Narincir mobil
uygulaması (“Uygulama”) başta olmak
üzere Narincir tarafından hayata geçirilecek mikro uygulamalar ve mikro
siteleri de kapsayacak şekilde (tümü “Platform”
olarak anılacaktır.) Platform içerisinde sunulan ürün ve hizmetlerden (“Hizmetler”) yararlanabilmek amacıyla
Üyelik Sözleşmesi’ni kabul ederek üye olmanız halinde üyeliğiniz sebebiyle
yahut üye olmadan alışveriş yapmayı tercih etmeniz halinde ziyaretçi sıfatı ile
alışverişiniz esnasında paylaştığınız kişisel veriler KVKK ve sair
mevzuat hükümlerince hukuka uygun olarak işlenmektedir.
Bu çalışmalar
kapsamında Narincir tarafından Kişisel Verilerin Korunması ve İşlenmesi
Politikası (“Politika”)
hazırlanmıştır.
Narincir, hukuki ve
sosyal sorumluluğunun bir parçası olarak, ulusal kişisel veri koruma
düzenlemelerine uymayı taahhüt etmektedir. Şirket, işbu Politika
ile müşterilerin, potansiyel müşterilerin, çalışanların, çalışan adaylarının,
tedarikçilerin, kiracıların, kiraya verenlerin, Şirket hissedarlarının, Şirket
yetkililerinin, ziyaretçilerin, hizmet sağlayıcıların, çalıştığı 3. tarafların,
işbirliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları,
hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin
korunması ve işlenmesi ile ilgili süreçlerinin mevzuata uyumunu ve bu süreçler
hakkında tarafların bilgilendirmesini amaçlamaktadır.
Şirket; kişisel
verileri, kanunlarda açıkça öngörülen hallerde, bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait
kişisel verilerin işlenmesinin gerekli olduğu hallerde, veri sorumlusu olarak
hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu hallerde, bir
hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda ve
ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru
menfaatleri için veri işlenmesinin zorunlu olması hallerinde ve açık rıza
aranan hallerde de açık rıza ile işlemektedir.
Narincir,
kişisel verileri aşağıda belirtilen amaçlarla işlemektedir:
- Şirket tarafından sunulan mal ve hizmetleri tanıtmak, üye
ve/veya müşterileri tanımak, iletişimi arttırmak, imajı arttırmak, ürün, hizmet
ve iletişimini geliştirmek, Şirket tarafından kurulan kulüplere üye
kaydetmek, üyeye özel promosyon/tanıtım/kampanya ve duyurular hazırlanmak ve
göndermek, müşterilere daha iyi bir alışveriş deneyimi sağlamak, müşteri
anketi, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek,
denetim, veri analizi, araştırma, istatistiksel çalışma, trendleri anlama,
pazarlama ve reklam hizmetlerinde kullanmak,
- Şirket tarafından yürütülen ticari faaliyetlerin
gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların
yapılması ve buna bağlı iş süreçlerinin yürütülmesini sağlamak,
- Şirket’in ticari ve/veya iş stratejilerini planlanmak ve
icrasını gerçekleştirmek,
- Şirket’in ve Şirket’le iş ilişkisi içerisinde olan
ilgili kişilerin hukuki, teknik ve ticari iş güvenliğini temin etmek,
- Platform üzerinden alışveriş yapanın/yaptıranın kimlik, adres ve
iletişim ve diğer gerekli bilgilerini kaydetmek ve teyit etmek, elektronik
(internet/mobil vs.) veya kağıt ortamında işleme dayanak olacak tüm kayıt ve
belgeleri düzenlemek,
- Müşteri ve tedarikçilerimizin danışma hizmeti temin
sürecini yürütmek,
- İlgili mevzuat hükümleri gereği akdettiğimiz sözleşmeler
uyarınca üstlenilen yükümlülükleri ifa etmek, yasal yükümlülüklerimizi yerine
getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek,
- Kamu güvenliğine ilişkin hususlarda talep halinde ve
mevzuat gereği kamu görevlilerine bilgi verebilmek,
- Doğabilecek uyuşmazlıklarda delil olarak kullanmak,
- Şirket işe alım ve çalışan süreçlerinin planlanması, ürün ve
hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin
planlanması ve icrası,
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
- Lojistik faaliyetlerinin planlanması ve icrası,
- Ziyaretçi kayıtlarının oluşturulması ve takibi,
- İşlem ve bilgi güvenliğini sağlamak, hileli veya yasadışı
faaliyetleri içerebilecek işlemleri önlemek,
- Müşterilere daha iyi bir alışveriş deneyimi sağlamak,
- Kişiselleştirilmiş alışveriş hizmeti sunmak (müşteri
anketi, müşteri memnuniyeti uygulama ve bilgilendirmelerini yapabilmek, denetim,
veri analizi, araştırma, istatistiksel çalışma, trendleri anlama, pazarlama ve
reklam hizmetlerinde kullanmak),
- Şirket’in hizmetlerinin usulüne uygun ve düzgün bir biçimde
gerçekleştirilmesi,
- Yasal mevzuat kapsamında bulunan yükümlülüklerin yerine getirilmesi,
- Yukarıda bahsi geçen web siteleri ve uygulamalarını daha
kolay kullanılır hale getirmek,
- Bilginin denetim şirketlerine, ilgili vekile veya vekil
edene, düzenleyici ve denetleyici otoritelerce öngörülen bilgi saklama,
raporlama, bilgilendirme ve bilgi sağlanması,
- Bilgi güvenliği süreçlerinin planlanması, denetimi ve
icrası,
- Çeşitli raporların, araştırmaların ve/veya sunumların
hazırlanması ve sunulması,
- İlgili kişinin şikayet, soru, talep ve önerilerinin
toplanması, değerlendirilmesi ve karşılanması,
- Müşteri ilişkileri yönetimi süreçlerinin planlanması ve
icrası,
- Ürün ve/veya hizmetlerin satış ve pazarlama süreçlerinin
planlanması ve icrası,
- Müşteri ile akdedilen sözleşmelerin gereğinin yerine
getirilmesi,
- Hukuk işlerinin takibi ve yürütülmesi,
- Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
- Üyelerimizi tanımak ve iletişimimizi geliştirmek,
- Müşterilerimize daha iyi ve güvenilir hizmet
verilebilmesi, daha uygun hizmetler ve ürünler geliştirilebilmesi ve bunların
kesintisiz olarak sürdürülebilmesi,
- Şirket tarafından sunulan ürün ve hizmetlerin
müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre
özelleştirilerek önerilmesi,
- Narincir’in sunduğu hizmetleri kullanmak amacıyla çağrı
merkezleri veya Platform kullanıldığında, ziyaret edildiğinde, Şirket’in
düzenlediği eğitim, seminer veya organizasyonlara katılındığında kullanılması,
- İş ortakları ve/veya tedarikçilerle olan ilişkilerin
yönetimi,
- Şirket Genel Müdürlüğü, şube müdürlükleri, depolar, mağazalar vb.
tesislerinin güvenliğinin temini,
- Acil durum yönetimi süreçlerinin planlanması ve icrası,
- Taşeron çalışanlarına ilişkin özlük süreçlerinin
planlanması ve icrası,
- Finans ve/veya muhasebe işlerinin takibi,
- Yapı ve/veya inşaat işlerinin planlanması ve takibi,
- Yönetim faaliyetlerinin yürütülmesi,
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
- Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
- Yatırım süreçlerinin yürütülmesi,
- Veri sorumlusu operasyonlarının güvenliğinin temini,
- Ücret politikasının yürütülmesi,
- Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
- Taşınır mal ve kaynakların güvenliğinin temini,
- Talep / şikayetlerin takibi,
- Stratejik planlama faaliyetlerinin yürütülmesi,
- Sponsorluk faaliyetlerinin yürütülmesi,
- Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi,
- Saklama ve arşiv faaliyetlerinin yürütülmesi,
- Performans değerlendirme süreçlerinin yürütülmesi,
- Organizasyon ve etkinlik yönetimi,
- Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
- Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
- Platform’un işletme ve yürütüm faaliyetlerinin sürdürülmesi,
- Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi,
- Mal / hizmet satış süreçlerinin yürütülmesi,
- Mal / hizmet satış sonrası destek hizmetlerinin
yürütülmesi,
- Mal / hizmet satın alım süreçlerinin yürütülmesi,
- İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
- İş süreçlerinin iyileştirilmesine yönelik önerilerin
alınması ve değerlendirilmesi,
- İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
- İş faaliyetlerinin yürütülmesi / denetimi,
- İnsan kaynakları süreçlerinin planlanması,
- İletişim faaliyetlerinin yürütülmesi,
- İç denetim / soruşturma / istihbarat faaliyetlerinin
yürütülmesi,
- Görevlendirme süreçlerinin yürütülmesi,
- Fiziksel mekan güvenliğinin temini,
- Firma / ürün / hizmetlere bağlılık süreçlerinin
yürütülmesi,
- Finans ve muhasebe işlerinin yürütülmesi,
- Erişim yetkilerinin yürütülmesi,
- Eğitim faaliyetlerinin yürütülmesi,
- Denetim / etik faaliyetlerinin yürütülmesi,
- Çalışanlar için yan haklar ve menfaatleri süreçlerinin
yürütülmesi,
- Çalışanlar için iş akdi ve mevzuattan kaynaklı
yükümlülüklerin yerine getirilmesi,
- Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
- Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
- Çalışan adayı / stajyer / öğrenci seçme ve yerleştirme
süreçlerinin yürütülmesi,
- Bilgi güvenliği süreçlerinin yürütülmesi,
- Sendika ile akdedilen toplu iş sözleşmesi faaliyetlerinin yürütülmesi,
Bu Politika’da
Şirket tarafından, hangi verilerin kişisel veri olduğu, hangi kişisel
verilerin saklandığı, kişisel verilerin korunmasına ilişkin alınan idari ve
teknik tedbirler ile kişisel verilerin işlenmesinde, muhafaza edilmesinde,
ilgili kişilerin aydınlatılması ve bilgilendirilmesinde, üçüncü kişilere
aktarılması ve korunmasına ilişkin detaylı açıklamalara yer verilmektedir.
2. KAPSAM
Bu Politika; müşterilerin, potansiyel müşterilerin, çalışanların,
çalışan adaylarının, tedarikçilerin, kiracıların, kiraya verenlerin, hizmet
sağlayıcıların, çalışılan 3. tarafların ve 3. taraf çalışanlarının, hissedar ve
ortakların, ziyaretçilerin, iş birliği içinde olunan özel hukuk ve kamu hukuku
tüzel kişi/kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü
kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Şirket bünyesinde kişisel veri
işleyen ve saklayan aşağıdaki varlıklar ve bu varlıklara ilişkin tüm süreçler
bu Politika kapsamındadır;
- Kişisel veri içeren bütün basılı veya yazılı belgeler,
dokümanlar, dosyalar,
- Kişisel veri içeren bütün uygulamalar,
- Kişisel veri içeren bütün veri tabanları,
- Kişisel veri içeren bütün sistemler,
- Kişisel verileri içeren bütün cihazlar,
- Kişisel veri içeren bütün ses kayıtları,
- Kişisel veri içeren bütün loglar (denetim izleri),
- Kişisel veri içeren bütün görüntü kayıtları,
- İstatistiki değerlendirmeler veya çalışmalar için elde edilen kişisel veri içermeyen veriler,
gibi anonim hale gelmiş ve tanımlanamayan veriler, tüzel kişilere
ilişkin veriler ile 6698 sayılı KVKK uyarınca kişisel veri olarak kabul
edilmeyen veriler işbu Politika’ya tabi değildir.
3. YÜRÜRLÜK VE
GÜNCELLEMELER
Başta 6698 sayılı KVKK olmak üzere yürürlükteki mevzuat ile bu Politika
ve prosedürlerde yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri
uygulanır. Şirket, yasal düzenlemelere paralel olarak işbu Politika
ve prosedürlerde değişiklik yapma hakkını saklı tutar. İşbu Politika veya
Politika ve prosedürlerdeki hususlarda değişiklik olması veya yeni süreçlerin
gündeme gelmesi hali ile mevzuattaki değişiklik durumlarında Politika
derhal güncellenecek olup, güncel versiyonu da kurumsal web sitesinde
yayınlanacaktır.
4. TANIMLAR
Şirket/Narincir:
Narincir Turizm ve Ticaret A.Ş.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü
bilgi. Örneğin; isim ve soy isim, T.C. kimlik numarası, e-posta adresi, telefon
bilgileri, adres, doğum tarihi, kredi kartı numarası vb.
Özel Nitelikli
Kişisel Veri: Irk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek,
vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
Anonim Hale
Getirme: Kişisel verilerin başka
verilerle eşleştirilerek dahi hiçbir şekilde kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi.
Çalışan: Narincir çalışanları.
Çalışan Adayı: Narincir’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve
ilgili bilgilerini Narincir’in incelemesine açmış olan gerçek kişiler.
Anayasa: Türkiye Cumhuriyeti Anayasası.
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
KVK Kurulu: Kişisel Verileri Koruma Kurulu.
KVK Kurumu: Kişisel Verileri Koruma Kurumu.
Kişisel
Verilerin İşlenmesi: Kişisel verilerin tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması,
muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması
ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlem.
Müşteri: Narincir ile herhangi bir sözleşmesel
ilişkisi olup olmadığına bakılmaksızın Narincir’in sunmuş olduğu ürün ve
hizmetleri kullanan veya kullanmış olan gerçek kişiler.
Platform: Narincir’e ait, www.narincir.com web sitesi
ve/veya Narincir mobil uygulaması başta olmak üzere Narincir tarafından
hayata geçirilecek mikro uygulamalar ve mikro siteler.
Veri Sorumlusu:
Kişisel verilerin işlenme amaçlarını ve
vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri
kayıt sistemi) kuran ve yöneten gerçek veya tüzel kişi veri sorumlusudur. Veri
sorumlusu Narincir Turizm ve Ticaret Anonim Şirketi’dir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri
işleyen gerçek ve tüzel kişidir. Örneğin, Narincir’in verilerini tutan
bulut bilişim firması, müşterilere formları imzalattığı anketörleri, talimatlar
çerçevesinde arama yapan çağrı merkezi vb.
Veri Kayıt
Sistemi: Kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri
Sorumluları Sicili: KVK Kurulu gözetiminde, KVK Kurumu Başkanlığı tarafından tutulan ve kamuya açık
olan Veri Sorumluları Sicili.
Ziyaretçi: Narincir’in sahip olduğu fiziksel
yerleşkelere çeşitli amaçlarla girmiş olan veya Platform’u ziyaret eden
gerçek kişiler.
İş birliği
İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: Şirket ile iş ilişkisi içerisinde
bulunan kurumların (ifa yardımcısı, iş ortağı, tedarikçi, program ortağı vb.
başta olmak ve fakat bunlarla sınırlı olmamak üzere) çalışanları, hissedarları
ve yetkilileri olan gerçek kişiler.
Tedarikçiler: Şirket’in ürün ve/veya hizmet aldığı
üçüncü kişiler.
Potansiyel
Müşteri: Ürün ve hizmetlerimizi satın
alma ve/veya kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve
dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler.
Politika ve
Prosedürler: Şirket’in KVKK’ya uyum sağlamak üzere hazırladığı Politika ve
prosedürler.
Şirket
Hissedarları: Narincir hissedarı gerçek kişiler.
Şirket
Yetkilisi: Narincir yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.
Üçüncü Kişi: Yukarıda tanımlanan taraflarla Narincir arasındaki ticari işlem
güvenliğini sağlamak veya bahsi geçen tarafların haklarını korumak ve menfaat
temin etmek üzere bu taraflarla ilişki içerisinde olan üçüncü gerçek kişiler.
5.
KİŞİSEL VERİLERİN KATEGORİZASYONU
Şirket
tarafından yürütülen veri işleme faaliyetleri kapsamında kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen, ait olduğu gerçek kişi belirlenen ve/veya belirlenebilir olan
kişisel veri kategorileri ve açıklamaları aşağıda yer almaktadır:
Kimlik Bilgisi:
Ehliyet, nüfus cüzdanı, ikametgah, pasaport,
avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan T.C. kimlik
numarası, uyruk bilgisi, anne adı, baba adı, doğum yeri ve tarihi, cinsiyet,
SGK numarası, imza bilgisi, taşıt plakası vb. tüm bilgiler.
İletişim
Bilgisi: Gerçek kişiye ait olduğu açık
olan; telefon numarası, adres, e-mail, faks numarası gibi bilgiler.
Özel Nitelikli
Bilgiler: KVKK’nın 6. maddesinde “özel nitelikli kişisel veri” olarak belirtilen “Irk,
etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inanç, kılık
ve kıyafet, dernek, vakıf ya da sendika üyelik bilgisi, sağlık ve cinsel hayat
ile ilgili veriler, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri
ile biyometrik ve genetik” veriler.
Lokasyon
Bilgisi: Müşterilerin kullandıkları
uygulamalarla edinilen ve çalışanlara verilen dijital kartlarla edinilen
lokasyon verileri.
Fiziksel Mekan
Güvenlik Bilgisi: Veri kayıt sistemi içerisinde
tutulmak üzere, ticari faaliyetlerimizi yürütürken her açıdan güvenliğimizi
sağlamak için işlenen kamera kayıtları, güvenlik noktasında alınan kayıtlar,
fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan
kayıtlar vb. kişisel veriler.
Müşteri Bilgisi: Ticari
faaliyetlerimiz ve bu faaliyetler kapsamında ilgili birimlerin operasyonları
sonucunda, gerçek kişi müşterilerden elde edilen ve üretilen bilgiler.
Müşteri İşlem Bilgileri: Veri
kayıt sistemi içerisinde yer alan müşterilere ait, ürün ve hizmetlerimizin
satın alınmasına yönelik kayıtlar ile satın alma için gereken talimatlar
kapsamında elde edilen bilgiler ile ürün ve hizmetlerimizi satın alan ve/veya
kullanan kişisel ilgili kişinin beğenisi ve ihtiyaçları doğrultusunda kullanım
ve satın alma alışkanlıklarının kişiselleştirilerek pazarlamasının yapılmasına
yönelik işlenen kişisel veriler ve bu işleme neticesinde meydana getirilen
rapor ve değerlendirmeler.
Talep/Şikayet Yönetimi Bilgileri: İşbu
Politika’da adı geçen websitelerinin ve uygulamaların müşterisi olan ya
da olmayan gerçek kişiler tarafından Narincir’e ait iletişim kanallarına
yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine
ilişkin kişisel veriler.
İtibar ve Olay Yönetim Bilgisi: Narincir’in işbu
Politika’da adı geçen websitelerinin ve uygulamaların işletme ve yürütüm
faaliyetlerini sürdürmesinden bahisle Narincir’in ticari itibarını
korumak ve kamuoyunun doğru bilgilendirilmesini sağlamak maksadı ile Narincir
çalışanlarını, hissedarlarını etkileme potansiyeli olan olaylarla ilgili sosyal
medya vb. mecralardan toplanan kişisel veriler, değerlendirmeler (Narincir
ile ilgili yapılan paylaşımlar vb.).
Finansal Bilgi: Narincir’in İşbu
Politika’da adı geçen websiteleri ve uygulamalara üye olan yahut olmayan
müşteriler ile kurmuş olduğu hukuki ilişki çerçevesinde her türlü finansal
sonucu gösteren kayıtlar kapsamında işlenen IBAN numarası, kredi kartı bilgisi,
finansal profil, gelir bilgisi vb. kişisel veriler.
Pazarlama Bilgisi: Ürün
ve hizmetlerimizin ilgili kişinin kullanım alışkanlıkları, beğenisi ve
ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik
işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler.
Risk Yönetimi Bilgisi: Ticari,
teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul
görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan
yöntemler vasıtasıyla işlenen kişisel veriler.
İşlem Güvenliği Bilgisi: Faaliyetlerimizin
yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız
için işlenen kişisel verileriniz (örneğin log kayıtları, IP bilgisi, kimlik
doğrulama bilgileri).
Görsel/İşitsel Bilgi: Fotoğraf
ve kamera kayıtları (fiziksel mekan güvenlik bilgisi kapsamında giren kayıtlar
hariç) ve ses kayıtları.
Denetim ve Teftiş Bilgisi: Narincir’in
operasyonel, finansal, suistimal ve uyum denetimi faaliyetlerinin yürütülmesine
ilişkin işlenen kişisel veriler.
6.
KİŞİSEL VERİLERİN İŞLENMESİ
Şirket,
kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkanlar
ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Çalışanlar,
öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı
ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden
ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu
doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
Şirket’in
kişisel veri işleme faaliyeti, hiçbir kısıtlama olmaksızın, otomatik olan, yarı
otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik
gerçekleştirilen her türlü eylemi kapsar.
Şirket,
hizmetlerinin kullanıldığı süre boyunca ve ilişkinin sona ermesinin ardından da
aşağıda yer verilen ilkelere uymak suretiyle, bir ilgili kişinin bilgilerini
işleme hakkına sahiptir.
Şirket,
ilgili kişinin veya ilgili kişi tarafından belirtilen üçüncü tarafların kişisel
verilerini, almış olduğu işbu tedbirler/aksiyonlar ile korumaktadır:
- Şirket, kişisel verilerin hukuka aykırı olarak işlenmesinin
önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin
hukuka uygun muhafazasının sağlanması konusunda kişisel verileri aktarmış
olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar nezdinde
farkındalıklarını arttırmaktadır.
- Şirket’in veri sorumlusu olarak kişisel verileri işlerken uymak
zorunda olduğu yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve
teknik tedbirlere uyma zorunluluğu Şirket’in tedarikçi, iş ortağı gibi
çeşitli sıfatlarla ilişkide olduğu veri işleyen 3. taraflara, veri işleme
konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde
yükletilmekte ve bu yükümlülüklerinin yerine getirip getirilmediği de
denetlenmektedir.
- Şirket, kişisel verilerin güvenli ortamlarda saklanması ve
hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini
önlemek için teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve
idari tedbirleri almaktadır. Bununla birlikte Şirket, siber güvenlik
alanında söz konusu verilerin korunması adına kişisel verilerin korunması
teknik tedbirlerinin yanında güncel tehditlere ilişkin gerekli güvenlik
önlemlerini de almaktadır.
- Şirket, KVKK’nın 12. maddesine uygun olarak, kendi
bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim
sonuçları raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli
faaliyetler yürütülmektedir.
- Şirket, KVKK’nın 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişiye ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.
6.1.
Kişisel Verilerin İşlenmesinin Kapsamı
Şirket’in
yukarıda bahsi geçen websitesi ve uygulamalar aracılığıyla verdiği hizmetlerin
kullanıldığı süre boyunca ve ilişkinin sona ermesinin ardından Şirket,
işbu Politika’da belirtilen ilkelere uymak suretiyle, ilgili kişinin
bilgilerini işleme hakkına sahip olacaktır.
Şirket
tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik
olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye
yönelik gerçekleştirilen her türlü eylemi kapsar. Diğer bir ifadeyle kişisel
veri işleme, transfer etme, yayma veya farklı yollarla sunma, gruplama veya
birleştirme, bloke etme, silme veya imha etme amaçlarıyla ilgli kişi veya
üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması,
ses kaydı alınması, video kaydı alınması, organize edilmesi, depolanması,
değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanması,
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir
hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi anlamına
gelir.
6.2.
Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
KVKK’nın
5. maddesi uyarınca kişisel veriler ancak KVKK ve diğer ilgili yasal
mevzuatta öngörülen usul ve esaslara uygun olarak işlenebilir. Narincir olarak,
gerek KVKK gerekse ilgili diğer yasal mevzuat kapsamında belirtilen usul
ve ilkelere uygun olarak kişisel veriler işlenmekte olup; KVKK
kapsamında, kişisel verilerin işlenmesinde aşağıda yer alan ilkelere uyulması
gerektiği açıkça düzenlenmiştir.
·
Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun
Olarak İşlenmesi
Şirket
kişisel verilerin işlenmesi faaliyetini, Türkiye Cumhuriyeti Anayasası ile KVKK
ve ilgili diğer yasal mevzuat başta olmak üzere hukuksal düzenlemelere ve güven
ilişkisi esas olmak üzere dürüstlük kuralına uygun olarak yürütmektedir.
·
İşlenen Kişisel Verilerin Doğruluğunu ve Güncel Olmasını
Sağlama
Şirket
kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin
doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve süreçleri kurgulamış
bulunmaktadır. Bu kapsamda Şirket, ilgili kişilerin kişisel verilerini
düzeltme ve doğruluğunu teyit etmeleri amacı ile gerekli önlemleri almaktadır.
·
Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla
İşlenmesi
Şirket,
KVKK’nın 10. maddesinde yer alan aydınlatma yükümlülüğü kapsamında,
kişisel verilerin işlenmesi faaliyetine başlamadan önce kişisel veri işleme
amacını açık ve kesin olarak belirleyerek ortaya koymakta, açık ve hukuka uygun
amaçlar dahilinde işlemektedir (aydınlatma yükümlülüğü ile ilgili ayrıntılı
bilgi için bkz. Politika bölüm 9.1).
·
Kişisel Verilerin Amaçla Bağlantılı, Sınırlı ve Ölçülü
Olarak İşlenmesi
Şirket,
kişisel verileri, işleme faaliyetine başlamadan önce belirlediği ve sunduğu
hizmetin gerçekleştirilebilmesi amacı ile bağlantılı olarak ve gerektiği ölçüde
işlemektedir. Şirket, amacın gerçekleştirilmesiyle ilgili olmayan veya
ileride ihtiyaç duyulması varsayımı ile kişisel veri işleme faaliyeti
yürütmemektedir. Kişisel verilerin işlenmesi Şirket’in faaliyetleri ve
yasal yükümlülükler ile sınırlıdır.
·
Kişisel Verilerin İlgili Mevzuatta Öngörülen veya
İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi
Şirket,
kişisel verileri, KVKK ve ilgili yasal mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza
etmektedir. Bu doğrultuda, Şirket kişisel verileri, ilgili mevzuatta bir
süre öngörülmüş ise bu süre ile sınırlı olarak, bir süre öngörülmemişse
işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Şirket,
ileride kullanma ihtimali ile kişisel veri saklamamaktadır.
Şirket,
sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde
kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.
6.3.
Kişisel Verilerin İşlenme Şartları
KVKK’nın
5. maddesinde yer alan düzenlemeye uygun olarak, Şirket, kişisel
verileri ancak kanunda öngörülen hallerde veya açık rıza gerektiği durumlarda
ilgili kişinin açık rızası olması halinde işlemektedir. Ancak KVKK’nın
5. maddesinin 2. fıkrası uyarınca kanun koyucu, açık rızanın olmadığı hallerde
de kişisel verilerin işlenmesine olanak vermiş bulunmaktadır. Buna göre;
aşağıdaki ‘’Kanunda Açıkça Öngörülmesi’’ ve “ İlgili Kişinin Temel Hak ve
Özgürlüklerine Zarar Vermemek Kaydı ile Şirket’in Meşru Menfaati için Veri
İşlemenin Zorunlu Olması’’ bentlerinde yazan diğer şartlardan birinin ve/veya
birkaçının varlığı halinde de kişisel veriler Şirket tarafından
işlenebilmektedir. Aşağıda belirtilen şartlardan yalnızca birinin varlığı
kişisel veri işleme faaliyeti için yeterli olmakla birlikte; bahse konu
şartlardan birden fazla olması da aynı kişisel veri işleme faaliyetinin
dayanağı olabilir.
İşlenen
verilerin özel nitelikli kişisel veri olması halinde uygulanacak şartlara Politika’nın
7.1. bölümünde ayrıca değinilmektedir.
Veri
sahibinin kişisel verileri, KVKK’da açıkça öngörülmesi halinde Şirket
tarafından hukuka uygun olarak veri sahibinin açık rızası alınmaksızın
işlenebilecektir. Örneğin; İş Kanunu ve ilgili mevzuat çerçevesinde çalışanlara
ait işyeri sicil dosyası tutulurken kişisel veriler işlenmektedir.
·
Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili
Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin
Gerekli Olması
Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
halinde Şirket tarafından kişisel veriler işlenebilecektir. Örneğin;
yukarıda bahsi geçen websitesi yahut uygulamaklar üzerinden alışveriş
yapan müşterinin, sipariş ettiği ürünlerin teslimi için ad, soyad, adres ve
telefon bilgisinin ürünleri taşıyan firma çalışanlarına bildirilmesi.
·
Şirket’in Hukuki Yükümlülüğünü Yerine Getirmesi için Veri
İşleme Faaliyetinin Zorunlu Olması
Şirket’in hukuki yükümlülüklerini
yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin
kişisel verileri işlenebilecektir. Örneğin; kredi kartı sahiplerinin bilgisi
dışında kredi kartlarından yapılan harcamalara ilişkin olarak Savcılık’a
yapılan şikayetler uyarınca Savcılık kararıyla Şirket’ten kişisel
verilerin talep edilmesi halinde verilerin sunulması.
·
Kişisel Veri Sahibinin Kendisi Tarafından Kişisel
Verisini Alenileştirmiş Olması
Veri
sahibinin, kişisel verisini bizzat alenileştirilmiş (sosyal medya vb. herhangi
bir yol ve şekilde kamuya açıklamış) olması halinde ilgili kişisel veriler açık
rıza aranmaksızın işlenebilecektir.
· Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin; delil
vasfını haiz satış sözleşmesinin saklanması ve gerekli olduğunda kullanılması.
·
İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek
Kaydı İle Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel
verilerin korunması, Anayasal bir hak olmakla birlikte; kişisel veri sahibinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri
için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir. Örneğin; mali işler departmanı tarafından yapılacak
hesaplamalardaki kişisel veri işleme faaliyetleri.
·
Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel
verilerin işlenme şartlarından biri KVKK’nın 5. maddesinde belirtilen
istisnaların bulunmaması durumunda, kişisel veri sahibinin açık rızasıdır.
Kişisel veri sahibi, belirli bir konuyla ilgili yeterince bilgilendirilmiş, bu
bilgilendirmeye dayalı olarak özgür iradesi ile tereddüde yer vermeyecek
açıklıkta kişisel verilerinin işlenmesine onayı olduğunu açıklamalıdır.
7.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
7.1.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Hukuka
aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma
riski nedeniyle KVKK kapsamında “özel nitelikli” olarak belirlenen
kişisel veriler, işbu hassasiyet nedeniyle bu Politika’da ayrıca
belirtilmiştir.
KVKK’nın
6. maddesi 1. fıkrasında tanımı yapılan özel nitelikli kişisel verilerin yine KVKK’nın
6. maddesi’nin 2. fıkrasında belirtildiği üzere veri sahibinin açık rızası
olmaksızın işlenmesi yasaktır. KVKK’nın 6. maddesinin 3. fıkrası bu
kuralın istisnalarını düzenlemektedir.
Şirket
tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından
belirlenecek olan yeterli önlemlerin alınması kaydıyla yukarıda belirtilen
kanun maddesine uygun olarak işlenmektedir.
7.2.
Özel Nitelikli Kişisel Verilerin Korunması
KVKK
ile bir takım kişisel veriler, hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle işbu Politika’da
ayrıca belirtilmiştir. Özel Nitelikli Kişisel Verilerin işlenmesi, Politika’nın
7.1. maddesinde açıkça belirtilmiştir.
Özel
nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara
yönelik; KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel
veri güvenliği konularında düzenli olarak eğitimler verilmekte, gizlilik
sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların, yetki
kapsamlarının ve sürelerinin net olarak tanımlanmakta, periyodik olarak yetki
kontrollerinin gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan
çalışanların bu alandaki yetkileri derhal kaldırılmakta ve bu kapsamda, veri
sorumlusu olarak Şirket tarafından çalışana tahsis edilen envanterin
iade alınması yönünde gerekli önlemler alınmaktadır.
Özel
nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
ortamlar, elektronik ortam ise; verilerin kriptografik yöntemler kullanılarak
muhafaza edilmesi, kriptografîk anahtarların güvenli ve farklı ortamlarda
tutulması, verilere tüm erişimler ve veriler üzerinde gerçekleştirilen tüm
hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu
ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli
güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının
kayıt altına alınması, test sonuçlarında ortaya çıkan güvenlik açıklarının en
kısa sürede kapatılması, verilere bir yazılım aracılığı ile erişiliyorsa bu
yazılıma ait kullanıcı yetkilendirmelerinin yapılması, test sonuçlarının kayıt
altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik
doğrulama sisteminin sağlanması yönünde gerekli önlemler alınmaktadır.
Özel
nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
ortamlar, fiziksel ortam ise; özel nitelikli kişisel verilerin bulunduğu
ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın,
su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu
ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların
engellenmesi, yetkili kişilerin erişiminin kayıt altına alınması yönünde gerekli
önlemler alınmaktadır.
8.
KİŞİSEL VERİLERİN AKTARILMASI
Şirket’in
veri sahibine gerektiği gibi hizmet edebilmesi amaçlarına uygun olarak veri
işleme kapsamında, veri sahibiyle ve/veya veri sahibinin işaret ettiği üçüncü
taraflarla ilgili verilerin aktarımı/paylaşımı gerekebilmektedir.
Kişisel
veriler Şirket tarafından sunulan ürün ve hizmetlerden faydalanılması
için gerekli çalışmaların iş birimleri tarafından yapılması, sunulan ürün ve
hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre
özelleştirilerek önerilmesi, Şirket ile iş ilişkisi içerisinde olan
kişilerin hukuki ve ticari güvenliğinin temini (Şirket tarafından
yürütülen iletişime yönelik idari operasyonlar, Şirket’in kullanımına
ait lokasyonların fiziksel güvenliğini ve denetimini sağlamak, iş
ortağı/müşteri/tedarikçi (yetkili veya çalışanları) değerlendirme süreçleri,
itibar araştırma süreçleri, hukuki uyum süreci, denetim, mali işler vb.), Şirket’in
ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile insan kaynakları
politikalarının yürütülmesinin temini amaçlarıyla iş ortaklarına,
tedarikçilere, kamu kurumu yetkililerine, hissedarlara, iştiraklere, bağlı
ortaklıklara, kanunen yetkili kamu kurumları ve özel kişilere, Narincir
ailesine (Narincir'in yönetim hissedarları, yönetim hissedarlarının ve Narincir’in
bağlı şirketleri, iştirakleri, alt kuruluşları, işletmeleri), hizmet
sağlayıcılara ve/veya alt yüklenicilere ve GSM operatörlerine, yurtiçinde ve
bilişim teknololijileri, bulut servis sağlayıcıları ve sosyal paylaşım siteleri
nedeniyle yurtdışında (ilgili sunucuların yurtdışında olması nedeniyle) KVKK’nın
8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları
çerçevesinde aktarılabilecektir.
Şirket,
hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli
kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine,
üçüncü gerçek kişilere, ilgili kanunlar kapsamında kamu kurumlarına)
aktarabilmektedir. Şirket, bu doğrultuda KVKK’nın 8. maddesinde
öngörülen düzenlemelere uygun hareket etmektedir.
Şirket,
bu Politika maddesinde belirtilen aktarma işlemi için istisnaları, KVKK’nın
8. maddesi 2. fıkrasında belirtildiği üzere uygulamaktadır.
Kişisel
verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
8.1.
Kişisel Verilerin Yurtiçinde Aktarılması
Şirket’in,
kişisel veri sahibine, daha iyi hizmet verebilmesi, taleplerini daha doğru
karşılayabilmesi, hizmet ve iletişimini geliştirebilmesi, müşteri memnuniyeti
uygulamaları ve bilgilendirmeleri yapabilmesi ve teknik problemleri ortadan
kaldırabilmesi vb. amaçlarına uygun olarak, veri işleme faaliyeti kapsamında,
veri sahibiyle ve/veya veri sahibinin işaret ettiği üçüncü taraflarla ilgili
verilerin üçüncü kişilere aktarımı/paylaşımı gerekli olabilmektedir. Şirket,
bu doğrultuda KVKK’nın 8. maddesinde öngörülen düzenlemelere ve bahse
konu madde kapsamında işbu Politika’da yer alan düzenlemelere uygun
hareket etmektedir. İşbu Politika’nın 8.3. maddesinde yer alan tabloda
aktarım amaçları yer almaktadır.
8.1.1.
Özel Nitelikli Kişisel Verilerin Yurtiçinde Aktarılması
Şirket gerekli
özeni göstermek ve gerekli güvenlik tedbirlerini almak sureti ile KVK Kurulu
tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun amaçları
doğrultusunda kişisel veri sahibinin özel nitelikli verilerini, bu Politika’nın
7. bölümünde düzenlenen şartları dikkate alarak üçüncü kişilere
aktarabilmektedir.
8.2.
Kişisel Verilerin Yurtdışına Aktarılması
Şirket,
hukuka uygun amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel
veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü
kişilere aktarabilmektedir. Şirket tarafından işlenen kişisel veriler; KVKK’nın
9. maddesi uyarınca KVKK’nın 5. maddesinin 2. fıkrası ile yeterli
önlemler alınmak kaydıyla KVKK’nın 6. maddesinin 3. fıkrasında belirtilen
şartlardan birinin bulunması halinde, müşterilerimize sunduğumuz hizmet
kalitesini ve hizmet sürekliliğini sağlayabileceğimiz yurt içi
alternatiflerimiz olmaması nedeniyle, teknoloji alanındaki bulut hizmetleri
altyapısına sahip tedarikçilerimiz ve yurt dışında yerleşik ve sunucuları yurt
dışında bulunan veri işleyenlere aktarılabilir.
8.2.1.
Özel Nitelikli Kişisel Verilerin Yurtdışında Aktarılması
Şirket
gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu
tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel
veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli
verilerini bu Politika’nın 7. bölümünde düzenlenen şartları dikkate
alarak yeterli korumaya sahip ilan edilen veya yabancı ülkede bulunan veri
sorumlusu tarafından yeterli koruma taahhüt edilen ülkelere aktarabilmektedir.
Özel
nitelikli kişisel veriler, e-posta yoluyla aktarılması gerekiyorsa şifreli
olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı
kullanılarak aktarılması, taşınabilir bellek, CD, DVD gibi ortamlar yoluyla
aktarılması, gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik
anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular
arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya
SFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı
yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz
kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve
evrakın “gizlilik dereceli belgeler” formatında gönderilmesi yönünde,
bahsedilen yöntemlerin dışından bir yöntem ile aktarım gerekiyorsa da ayrıca
gerekli önlem ve tedbirler alınmaktadır.
8.3.
Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Şirket,
KVKK’nın 8. ve 9. maddelerine uygun olarak müşterilerin kişisel
verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:
(i)
İş ortaklarına,
(ii)
Tedarikçilerine,
(iii)
İştiraklerine,
(iv)
Bağlı bulunduğu holdinge,
(v)
Bağlı bulunduğu holdinge ait diğer şirketlere,
(vi)
Hissedarlarına,
(vii)
Hukuken yetkili kamu kurum ve kuruluşlarına,
(viii)
Hukuken yetkili özel hukuk kişilerine,
(ix)
Veri aktarım şartlarına uygun olarak diğer üçüncü kişilere,
(x)
Avukatlar, hukuk büroları ve danışmanlara.
Veri
Aktarımı Yapılabilecek Kişiler, Tanımı ve Veri Aktarım Amacı
Yukarıdaki
8.3 maddesinde aktarımda bulunduğu belirtilen kişilerin, kapsamı ve veri
aktarım amaçları aşağıda belirtilmekte olup; Şirket tarafından
gerçekleştirilen aktarımlarda Politika’nın 10. maddesinde düzenlenmiş
hususlara uygun olarak hareket edilmektedir.
İş
Ortağı: İşbu Politika’da bahsi geçen
websiteleri ve uygulamalar üzerinden yürütülecek ticari faaliyetlere ilişkin Şirket’in,
ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği,
ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı
kurduğu tarafları tanımlamaktadır.
İş
ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla
sınırlı olarak; sunulan ürün ve hizmetlerden faydalanılması için gerekli
çalışmaların iş birimleri tarafından yapılması, sunulan ürün ve hizmetlerin
müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre
özelleştirilerek önerilmesi amacıyla sınırlı olarak veri aktarımı
yapılabilecektir.
Tedarikçi:
Şirket’in
ticari faaliyetlerini yürütürken, Şirket’in emir ve talimatlarına uygun
olarak ve sözleşme temelli olarak Şirket’e hizmet sunan tarafları
tanımlamaktadır.
Şirket’in
tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari
faaliyetlerini yerine getirmek için gerekli hizmetlerin, Şirket
tarafından sunulmasını sağlama amacıyla sınırlı olarak veri aktarımı
yapılabilecektir.
İştiraklerimiz:
Şirket’in
hissedarı olduğu şirketleri tanımlamaktadır.
Şirket’in
iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini
temin etmekle sınırlı olarak veri aktarımı yapılabilecektir.
Hissedarlarımız:
İlgili mevzuat hükümlerine göre Şirket’in ticari
faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması
konusunda yetkili olan hissedarlarımızı tanımlamaktadır.
İlgili
mevzuat hükümlerine göre, Şirket’in ticari faaliyetlerine ilişkin
stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak veri aktarımı
yapılabilecektir.
Hukuken
Yetkili Kamu Kurum ve Kuruluşları: İlgili mevzuat
hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve
kuruluşları tanımlamaktadır.
İlgili
kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla
sınırlı olarak veri aktarımı yapılabilecektir.
Hukuken
Yetkili Özel Hukuk Kişileri: İlgili mevzuat hükümlerine göre Şirket’in
bilgi ve belge almaya yetkili özel hukuk kişilerini tanımlamaktadır.
İlgili
özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı
olarak veri aktarımı yapılabilecektir.
Avukatlar,
Hukuk büroları ve Danışmanlar: Şirket’in
hukuki ihtilafların çözümünde destek aldığı özel hukuk kişilerini
tanımlamaktadır.
Gerçek
kişi müşteriler, iş ortakları, tedarikçiler vs. ile oluşabilecek ihtilafların
çözümü amacıyla sınırlı olarak veri aktarımı yapılabilecektir.
Veri
Aktarım Şartlarına Uygun Olarak Diğer Üçüncü Kişiler: Sözleşmeye
ve mevzuata uygun aktarım yapılan özel hukuk kişilerini tanımlamaktadır.
9.
KİŞİSEL VERİLERE İLİŞKİN HAKLAR VE YÜKÜMLÜLÜKLER
9.1.İlgili
Kişilerin Şirket Tarafından
Aydınlatılması Yükümlülüğü
KVKK’nın
10. maddesi uyarınca; Şirket,
kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmakla
yükümlüdür.
Bu
kapsamda Şirket,
kişisel verilerin toplanması esnasında veri sahiplerine kişisel verilerin
kendisi tarafından işleneceğini, kişisel verilerinin hangi amaçlarla
işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceğini, kişisel veri toplama yöntemi ve hukuki sebepleri ile KVKK’nın
11. maddesi uyarınca veri sahibinin haklarının neler olduğunu bildirmekte ve
gerekmesi halinde açık rıza almaktadır.
9.2.
İlgili Kişilerin Hakları
Kişisel
veri sahibi, KVKK’nın 11. maddesi uyarınca Şirket'e başvurarak
aşağıdaki taleplerde bulunabilir:
- Kişisel
verilerinden hangilerinin Şirket’te saklanıp saklanmadığını öğrenme,
- Kişisel
verilerini işlenip işlenmediğini öğrenme,
- Kişisel veriler
işlenmişse buna ilişkin bilgi talep etme,
- Kişisel
verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel
verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Kişisel
verilerin eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
- KVKK’nın 7. maddesi
kapsamında, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde
kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel
verilerin aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) bentleri
uyarınca yapılan işlemlerin bildirilmesini isteme,
- İşlenen kişisel
verilerin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine
bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme
9.3.
Kişisel Veri Sahibinin Hakları Dışında Kalan Haller
KVKK’nın
28. madde’sinin 1. fıkrasında belirtilen hallerin varlığı halinde, KVKK
hükümlerinin uygulanmayacağı düzenlenmiş olup; bu kapsamda Şirket
tarafından işlenen kişisel verilere ilişkin olarak ilgili kişilerin KVKK’da
sayılan haklarını ileri sürmeleri mümkün değildir.
KVKK’nın
28. maddesi 2. fıkrasında belirtilen hallerde ilgili kişilerin zararın
giderilmesini talep etme hakkı hariç olmak üzere; KVKK da sayılan diğer
haklarını ileri süremezler.
9.4.
Kişisel Veri Sahibinin Şirket’e Başvuru Hakkı
KVKK, ilgili kişilere hangi
kişisel verilerinin hangi süreçlerde işlendiğine ve bu verilerin mevcut
durumlarına ilişkin talepte bulunma hakkı vermektedir.
KVKK’nın "Veri
Sorumlusuna Başvuru"yu düzenleyen 13. maddesi uyarınca, ilgili kişi/veri
sahibinin KVKK'nın uygulanmasına ilişkin taleplerini yazılı olarak veri
sorumlusuna iletmesi gerekmektedir. Bu nedenle taleplerin değerlendirilebilmesi
için başvuru yazılı olarak iletilmelidir.
Veri
sahiplerinden gelen talepler 30 gün içerisinde cevaplanmaktadır. Bu kapsamda, konuyla ilgili yapılacak
olan yazılı başvurular, tarafımızdan yapılacak olan kimlik doğrulamasını
takiben kabul edilebilecektir.
Talepleriniz için bizimle iletişime geçmek isterseniz, ilgili
başvuru ve talebinizi;
·
Kimlik belgeleriniz ve talebinizi içeren dilekçeniz ile "Atatürk
Mh. Ertuğrul Gazi Sk. Metropol İstanbul, C1 Blok, No:2B, İç Kapı No:101,
Ataşehir/İSTANBUL" adresine iletebilir,
·
noter kanalıyla ulaştırabilir,
·
narincir@hs01.kep.tr adresine güvenli elektronik imzalı olarak iletebilirsiniz.
İlgili kişiler adına üçüncü
kişiler tarafından talepte bulunulması mümkün olmayıp, üçüncü bir kişinin
talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından
başvuruda bulunacak üçüncü kişi adına düzenlenen özel vekaletname ile yetki
verilmiş olması gerekmektedir.
9.5.
Şirket Tarafından İlgili Kişilerin Başvurularına Cevap Verilmesi
KVKK’nın
13. maddesi uyarınca; kişisel veri sahibinin yukarıda yer alan usule uygun
olarak ilettiği başvurusunda yer alan talepler, Şirket tarafından,
talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi
ücretsiz olarak sonuçlandıracaktır. Şirket, başvuruyu kabul eder veya
gerekçesini açıklayarak reddedebilir. Şirket, cevabını kendisine
bildirilen iletişim adresine yazılı veya elektronik ortamda (e-posta yoluyla)
bildirir. Talepte bulunan kişinin iletişim bilgisini vermediği, doğrulama
yapılamadığı, bilgilerin eksik verildiği, 9.4. maddesinde belirtilen
kanallardan ve belirtilen şekillerde başvuru yapılmadığı durumlarda Şirket’in cevap
verme yükümlülüğü bulunmamaktadır. İlgili kişinin vermiş olduğu iletişim
adresine ulaşılamadığı durumlarda da ilgili kişiye başvurusuna ilişkin yanıt
verilmiş kabul edilecektir.
Yapılacak
işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirket tarafından
başvuru sahibinden KVK Kurulu’nca belirlenen tarifedeki ücret
alınabilecektir. Başvurunun Şirket’in hatasından kaynaklanması
halinde alınan ücret ilgiliye iade edilir.
Şirket,
başvuruda bulunan kişinin ilgili kişi olup olmadığını tespit etmek, başvuruda
yer verilen talepleri netleştirmek adına ilgili kişiden bilgi talep edebilir.
Politika’nın
9.4. bölümünde belirtilen usule uygun olarak ve/veya kanunen geçerli tebligat
ile iletilmeyen taleplerin Şirket’e ulaşmaması veya verilen cevabın
başvurucuya ulaşmaması halinde Şirket’in sorumluluğundan
bahsedilemez.
9.6.
Kişisel Veri Sahibinin KVK Kurulu’na Şikayette Bulunma Hakkı
Kişisel
veri sahibi, KVKK’nın 14. maddesinde belirtildiği şekilde kurula şikayette
bulunabilir.
Kişisel
veri sahibi, KVKK’nın 13. maddesi ve de Politika’nın 9.4.
bölümünde düzenlenen başvuru hakkını kullanmadan, KVK Kurulu’na şikayet
yoluna başvuramaz.
10.
KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK
İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
Şirket,
KVKK’nın 12. maddesine uygun olarak, güvenlik düzeyini sağlamaya yönelik
gerekli her türlü teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri
bizzat kendisi yapmakta veya üçüncü kişi firmalar ile yapılan sözleşmeler
çerçevesinde onlara yaptırmaktadır. Söz konusu çalışmalar sonucunda ortaya
çıkan uyumsuzluklar ise maliyet, efor, uyumsuzluğun kritikliği vb. gibi risk
analizlerine istinaden en kısa sürede kapatılmaya çalışılmaktadır.
10.1.
Kişisel Verilerin İşlenmesinde Gizlilik
Şirket
tarafından hukuka uygun olarak işlenen kişisel veriler, veri güvenliğine
tabidir. Şirket, özel nitelikli kişisel veriler ve web sitelerimiz
ve/veya diğer uygulamalarımız üzerinden toplanan kişisel verilerinizin
gizliliğini ve güvenliğini sağlamak üzere tüm gerekli teknik ve organizasyonel
önlemleri almaktadır.
Şirket’in
herhangi bir çalışanının bu verilere yetkisiz şekilde erişmesi, bu verileri
işlemesi veya özel veya ticari amaçlarla kullanması, bu verileri yetkisiz
kişilerle paylaşması veya başka bir yöntemle bu verileri erişilebilir hale
getirmeleri yasaktır. Şirket’in çalışanları kişisel verilere ancak söz
konusu görevlerinin türü ve kapsamı çerçevesinde uygun şekilde erişebilir.
Bunun için rol ve sorumluluklar detaylandırılmış ve ayrıştırılmıştır. Şirket’in
meşru görevi çerçevesinde yetkilendirilmemiş olan herhangi bir çalışanının bu
verileri işlemesi yetkisiz işlem anlamına gelmektedir.
Yöneticiler,
istihdam ilişkisinin başlangıç aşamasında çalışanlarını veri gizliliğini koruma
yükümlülüğü hususunda bilgilendirmelidir. Söz konusu yükümlülük istihdamın sona
ermesinden sonra da devam edecektir.
10.2.
Kişisel Verilerin İşlenmesinde Güvenlik
Kişisel
veriler, yetkisiz erişime, yasa dışı veri işleme veya ifşaya ve verilerin
kazara kaybına, değiştirilmesine veya imhasına karşı Şirket tarafından
korunmaktadır. Kişisel veriler, halka açık olmayan ve sadece yetkili Şirket
çalışanları (çalışanlarımızla yapılan gerek “İş Sözleşmesi” gerekse “Gizlilik
Sözleşmesi” kapsamında), aracılarımız ve yüklenicilerimiz tarafından
erişilebilen güvenli çalışma ortamlarında saklanmaktadır.
Kişisel
verilere erişmeden önce kişisel verileri saklanan müşterilerimiz açısından veri
sahibinin, işbu Politika’da bahsi geçen web sitesi veya uygulama
üzerinden kimlik bilgilerinin doğrulanması yapılmaktadır. Yine çalışanlarımızın
kullanmış olduğu İK portal üzerinden kimlik bilgilerinin doğrulanması
yapılmaktadır.
İşbu
hüküm, veriler ister elektronik ortamda ister kağıt üzerinde işlensin, geçerli
olacaktır. Yeni veri işleme yöntemleri, bilhassa da yeni bilgi teknolojisi
sistemleri ortaya çıkıncaya kadar, kişisel verileri korumaya yönelik olarak
aşağıda teknik ve idari tedbirler tanımlanıp hayata geçirilmektedir. Söz konusu
tedbirler mevcut olan en ileri teknolojiyi, veri işleme risklerini ve verileri
koruma gereksinimini dikkate alarak tasarlanmıştır.
10.3.
Teknik Tedbirler
Şirket bünyesinde
kişisel veri işleme faaliyetleri ile güvenli ortamda saklanması teknik
sistemlerle yürütülmekte, teknik çözüm uygulamaları yapılmaktadır.
Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler
periyodik olarak güncellenmekte ve yenilenmektedir.
Alınan
teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine
raporlanmakta ve risk teşkil eden hususlar yeniden değerlendirilerek gerekli
teknolojik çözüm üretilmektedir.
Bunun
yanında teknik konularda bilgili ve tecrübeli personel istihdam edilmektedir. Gerektiğinde
3. taraf şirketlerden hizmet alımı yoluyla bilgili ve tecrübeli çalışanlardan
da faydalanılmaktadır.
10.4.
İdari Tedbirler
Çalışanlar,
kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak
işlenmesi, mevzuata aykırı olarak başkasına açıklanamayacağı ve işleme amacı
dışında kullanamayacağı konusunda bilgilendirilmekte ve eğitilmektedir.
Şirket
ile çalışanları arasındaki sözleşme ve belgelere, Şirket talimatları ve
kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve
kullanmama yükümlülüğü getiren kayıtlar ile taahhütler eklenmektedir.
Çalışanların
kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğüne uyumlarının
denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler
alınmaktadır.
Şirket tarafından
kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ve kişisel verilerin
saklanması konusunda üçüncü kişilerden teknik hizmet alınması halinde bu
kişiler ile akdedilen sözleşmelere; kişisel verilerin hukuka aykırı olarak
işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi
ve verilerin hukuka uygun muhafazasının sağlanması konusunda gerekli
tedbirlerin alınması ve kendi kuruluşlarında bu tedbirlere uyulmasını
sağlayacağına ilişkin hükümler eklenmektedir.
Şirket,
iş ortaklarına yönelik kişisel verilerin hukuka aykırı olarak işlenmesinin
önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin
muhafazasını sağlamaya ilişkin eğitimler ve seminerler düzenlenmesini
sağlamaktadır.
10.5.
Denetim Faaliyetlerinin Yürütülmesi
Şirket,
KVKK’nın 12. maddesine uygun olarak, kendi ve iş ortakları bünyesinde
gerekli denetimleri yapmakta veya 3. kişi firmalar ile yapılan sözleşmeler
çerçevesinde yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi
kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tüm tedbirlerin
iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
10.6.
Kişisel Verilerin Kanuni Olmayan Şekilde İfşası Durumunda Alınacak Tedbirler
Şirket,
KVKK ve ilgili mevzuata uygun olarak işlenen kişisel verilerin, kanuni
olmayan yollarla başkaları tarafından elde edilmesi halinde, KVKK 12. maddesi
5. fıkrası uyarınca, belirtilenleri yapmakla yükümlü olup; gerekli tespit ve
bildirimin yapılmasını sağlamak amacı ile gerekli sistem oluşturulmuştur. Bu
konuda acil durum komitesi görevlendirilmiş ve yetkilendirilmiş olup bu komite
olayın meydana gelmesinden sonra olabildiği en kısa sürede acilen toplanacak ve
ilk müdahale ve etkinliğini bu toplantıda aldığı kararla yerine getirecektir.
Süreç bu komite tarafından takip edilerek yönetilecek en geç 72 saat içerisinde
gerekli önlem ve tedbirlerde alınarak KVKK’ya bildirim yapılacaktır.
KVK
Kurulu’na yapılan bildirim akabinde, KVK
Kurulu, KVKK’nın 12. maddesi 5. fıkrasında belirtildiği şekilde bu
durumu ilan edebilir.
11.
KAYIT ORTAMLARI
11.1.
Depo, Genel Müdürlük Binası, Ofis vb. Girişinde ve/veya İçerisinde Yapılan
Kayıt ve Takibi
Şirket
tarafından sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, Şirket’in,
müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları
hizmete ilişkin menfaatlerini korumak gibi amaçlarla, depo, genel merkez
binası, ofis ve Şirket’in faaliyetini yürüttüğü tesislerde güvenlik
kamerasıyla izleme suretiyle kişisel veri işleme faaliyetinde bulunulabilecektir.
Şirket tarafından yürütülecek kamera ile izleme faaliyeti, Özel Güvenlik
Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülecektir. Kişinin
mahremiyetini ve güvenlik amaçlarını aşan şekilde ve bazı alanlarda (örneğin,
tuvaletler) izleme yapılmamaktadır.
Şirket
tarafından kişisel veri sahibi, KVKK’nın 10. maddesine uygun olarak,
gerek internet sitesinde Politika’nın yayınlanması gerekse izlemenin
yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı
asılmak suretiyle aydınlatılmakta ve elde edilen kişisel veriler bu Politika
da belirtilen idari ve teknik tedbirlerle korunmaktadır.
11.2.
Depo, Ofis vb. Şirket’in Faaliyet Gösterdiği Tesislerin Güvenliğinin Sağlanması
ve İnternet Sitesi Ziyaretçileri
Şirket
tarafından güvenliğin sağlanması amacıyla, depo, ofis vb. Şirket’in
faaliyetinin bulunduğu tesislerde güvenlik kamerasıyla izleme faaliyeti ile
misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde
bulunulmaktadır.
Şirket,
güvenlik kamerası ile izleme faaliyeti; sunulan hizmetin kalitesini artırmak ve
güvenilirliğini sağlamak, Şirket’in, müşterilerin ve diğer kişilerin
güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini
korumak gibi amaçlar taşımaktadır.
Şirket
tarafından KVKK’nın 12. maddesine uygun olarak, kamera ile izleme
faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için
gerekli teknik ve idari tedbirler alınmaktadır.
İnternet
erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre
düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu
kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya
Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki
yükümlülüğün yerine getirilmesi amacıyla işlenmektedir.
Şirket’in
işbu Politika’da bahsi geçen websiteleri ve uygulamaları ziyaret eden
kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde
gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler
gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla
teknik vasıtalarla (çerezler vb.) site içerisindeki internet hareketleri
kaydedilmektedir.
Bu
faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı
açıklamalar Şirket’in “Çerez
Aydınlatma Metni ve Çerez Politikası” içerisinde yer almaktadır.
11.3.
Roller ve Sorumluluklar
İşbu
Politika’nın Şirket’in işleyiş, faaliyet ve süreçlerinde
uygulanmasından, Genel Müdür sorumlu olmakla birlikte; bu politikaya uygun
hazırlanan yönetmelik, prosedür, kılavuz standart ve eğitim faaliyetlerinin
uygulanmasında, ilgili Genel Müdür Yardımcılıkları ve Direktörler tavsiye
kaynağı ve rehber olacaktır.
Şirket
genelinde tüm çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili
üçüncü kişiler bu politikaya uyum ile birlikte, hukuki yönden risklerin ve
yakın tehlikenin önlenmesinde, Kişisel Verilerin Korunması Komitesi ekibiyle işbirliği
yapmakla yükümlüdürler. Şirket’in tüm organ ve departmanları bu
politikaya uyulmasını gözetmekle sorumludur, uyulmayan durumlarda Kişisel
Verilerin Korunması Komitesi ekibine bilgilendirmede bulunmalıdır.
12.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KAPSAMINDA ŞİRKET İÇİ YÖNETİŞİM
Şirket bünyesinde,
6698 sayılı KVKK’ya uyum için gerekli aksiyonların takibi ve yönetilmesi
amacıyla Kişisel Verilerin Korunması Komitesi ("Komite") kurulmuştur. Komite’nin başlıca görevleri
aşağıda belirtilmektedir:
- Kişisel
verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde
değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına
sunmak,
- Kişisel
verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve
denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede
şirket içinde gerekli görev dağılımını yapmak ve koordinasyonu sağlamak,
- 6698 sayılı KVKK’ya
ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit
etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını
gözetmek ve koordinasyonunu sağlamak,
- Kişisel
verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirket
iş ortakları nezdinde farkındalığı arttırmak,
- Şirket’in kişisel
veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli
önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin
onayına sunmak,
- Kişisel
verilerin korunmasına ilişkin ilgili mevzuatı takip etmek, hazırlanmış
metinlerde, ve Politika’da güncellemeler yapmak,
- Kişisel
verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak
ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
- İlgili kişilerin
başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları
karara bağlamak,
- İlgili
kişilerin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda
bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin
icrasını koordine etmek,
- Kişisel
verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu
gelişmelere ve düzenlemelere uygun olarak yapılması gerekenler konusunda üst
yönetime tavsiyelerde bulunmak,
- KVK Kurulu ve KVK
Kurumu ile olan ilişkileri koordine etmek,
- Üst yönetimin
kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek,
- Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini sunmak,
13.
GÖZDEN GEÇİRME
Bu
Politika yılda 1 kez Komite tarafından gözden geçirilerek gerekli
güncellemeler yapılır. Üst yönetimin onayı sonrası güncellenmiş politika ilgili
kişiler/taraflar bilgilendirilerek kullanılmaya başlanır.
14.
SON HÜKÜMLER
İşbu
Politika, Komite tarafından hazırlanarak onaylanmıştır. İşbu Politika’nın
Türkçe dışında başka bir dile çevrilmesi durumunda iki Politika
arasındaki farklı ifadelerde her zaman Türkçe metin dikkate alınmalıdır. İşbu Politika,
Narincir Turizm ve Ticaret A.Ş’nin yazılı izni olmaksızın çoğaltılıp
dağıtılamaz.
