SANMORRİS ÇANTA TURİZM İNŞAAT OTOMOTİV SAN. VE TİC. A.Ş.

İNTERNET SİTESİ

KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA AYDINLATMA METNİ

SANMORRİS ÇANTA TURİZM İNŞAAT OTOMOTİV SAN. VE TİC. A.Ş, Müşteri ve Potansiyel Müşterilerinin kişisel verilerinin güvenilirliğini ve gizliliğini önemsemektedir. Şirketimiz, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nda yer alan düzenlemelere uygun olarak kişisel veri işleme faaliyetlerini yürütmektedir.

1. Veri Sorumlusu

Veri Sorumlusunun Aydınlatma Yükümlülüğü’ başlıklı KVKK’nın 10’uncu maddesinin 1’inci fıkrasının (a) bendi veri sorumlusunun kimliği konusunda bilgi verilmesi yükümlülüğünü getirmiştir. KVKK’nın uygulanması bakımından işbu internet sitesinin kullanımına bağlı olarak toplanan kişisel verileri bakımından SANMORRİS ÇANTA TURİZM İNŞAAT OTOMOTİV SAN. VE TİC. A.Ş. (“Şirket”) “veri sorumlusu” olacaktır. Bu çerçevede ‘veri sorumlusunun kimliği’, Türkiye Cumhuriyeti kanunlarına uygun şekilde anonim şirket olarak kurulmuş ve fasılasız bir şekilde varlığını sürdüren, İstanbul Ticaret Sicil Memurluğu nezdinde 414936 sicil numarası ile kayıtlı, 0744111598500001 Mersis Numaralı, şirket merkezi Mimar Hayrettin Mh. Asmakandil Sk. No:6/E Fatih/İstanbul adresinde bulunan SANMORRİS ÇANTA TURİZM İNŞAAT OTOMOTİV SAN. VE TİC. A.Ş.’dir.

2. İşlenen Kişisel Veriler

Tarafınıza ait kişisel veriler, öncelikli olarak ad, soyad, e-posta ve telefon numarası gibi iletişim bilgileri, teslimat/ adresi bilgileri, GSM numarası, kredi kartı/hesap bilgileri, cinsiyet, doğum tarihi, formun URL adresi, formun doldurulduğu andaki IP adresi, cihaz bilgisi, internet tarayıcısı bilgisi, gönderilen ve Firma Kısa Numara ve Anahtar Kelimesine gelen mesajlar gibi sizin belirlenmenizi veya belirlenebilir olmanızı sağlayacak her türlü bilgiyi ifade etmektedir. Sanmorris mağazalarından veya www.kosedukkann.com internet sitesi üzerinden alışveriş yaparken vermiş olduğunuz veriler, alışveriş kayıtlarınız, doldurmuş olduğunuz formlar veya mağaza görevlisi aracılığı ile onayınız dâhilinde alınan kişisel verileriniz Şirketimiz tarafından işlenmektedir.

3. Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepleri

Şirketimiz tarafından “İşlenen Kişisel Veriler” kısmında belirtmiş olduğumuz kişisel verileriniz KVKK m. 5’te belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak KVKK m. 4’te belirtilen kişisel veri işleme ilkelerine uygun şekilde işlenmektedir. Bu kapsamda kişisel verileriniz;

(i) Tüketicinin Korunması Hakkındaki Kanun, Türk Borçlar Kanunu ve Türk Ticaret Kanunu’ndan ve vergi mevzuatından kaynaklanan hukuki yükümlülükleri yerine getirmek ve tüketici başvurularını cevaplamak amacıyla hukuki yükümlülüğün yerine getirilmesi sebebine istinaden,

(ii) Üyelik kaydının gerçekleştirilebilmesi, şifrenin unutulması halinde şifre sıfırlama işlemi için gerekli yönlendirmenin yapılabilmesi amacıyla sözleşmenin kurulması ve ifası hukuki sebebine istinaden,

(iii) Yasal prosedürlerle ilgili durumlar ya da hukuki tavsiye alma da dâhil olmak üzere, anlaşmazlıkların ve hukuk davaların çözüme kavuşturulması, yasal hak taleplerinde bulunulması veya dava açılması ya da müdafaa edilmesi, muhtemel bir uyuşmazlıkta ispat külfetinin yerine getirilebilmesi amaçlarıyla bir hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması hukuki sebebine istinaden,

(iv) Elektronik Ticaret Kanunu uyarınca iznin olması durumunda e-posta ve cep telefonu numarası gibi iletişim bilgileriniz sizlerle iletişim, reklam ve pazarlama faaliyetleri sürdürerek müşterilere yeni çıkan ürünler ve kampanyalar hakkında bilgilendirmede bulunulabilmesi ve sosyal aktiviteler dahil ticari ve ticari olmayan her türlü amaçla iletişime geçilebilmesi,

(v) Paylaşmanız halinde şehir, cinsiyet ve doğum tarihine ilişkin veriler reklam ve pazarlama faaliyetlerinin yürütülmesi, kullanım özellikleri uyarınca kişiye özel reklam ve pazarlama faaliyetleri ve doğum günleri gibi özel günlerde kişiye özel indirim, kampanya gibi kişiselleştirilmiş fiyatlar uygulanabilmesi,

(vi) İletişim ve satın alınan ürün bilgileriniz müşteri veri tabanı oluşturmak, müşteri deneyiminin artırılabilmesi ve kişiselleştirilebilmesi için müşteri sistemimize kaydedilebilmesi, ürünlere kolay erişim sağlanması, üyeliğe ilişkin olarak gerekli hallerde İlgili Kişi ile iletişime geçilebilmesi amacıyla açık rızanızın varlığı hukuki sebebine istinaden ve

(vii)  Şirket nezdindeki verilerimizin yönetilmesi, ticari ve iş stratejilerinin belirlenmesi ve uygulanması, e- postaların dağıtılması, araştırma ve analiz amacıyla, marka ve ürün promosyonları ile belirli hizmetlerin ve özelliklerin yönetilmesi amacıyla açık rızanızın varlığı hukuki sebebine dayalı olarak

İşlenebilmektedir. Bu Kişisel Verileriniz yukarıdaki amaçlar doğrultusunda gerektiği sürece doğru ve güncel tutulmakta, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılmakta ve hukuka uygun olarak belirlediğimiz makul saklama süresi boyunca muhafaza edilmektedir.

4. İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği

Yukarıda belirtilen amaçlar doğrultusunda Gözalan halefleri, servis sağlayıcıları- tedarikçileri ve belirleyecekleri diğer üçüncü kişiler/kuruluşlar sizlere ulaşmak ve hizmet kalitesini arttırabilmek için vermiş olduğunuz bilgileri kullanma ve bu bilgileri aktarma ihtiyacı duyabilir.

Toplanan kişisel verileriniz,

-       Şirketimiz tarafından sunulan ürün ve hizmetlerden sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması, sipariş takibinin ve sipariş ile ilgili gerekli işlemlerin yapılabilmesi, ürünün belirtmiş olduğu adrese gönderilebilmesi, ödemelerin tahsil edilmesi, fatura ve sevk irsaliyesi düzenlenmesi, satın alınan ürünlerin kargolanması, amacıyla sözleşmenin kurulması ve ifası hukuki sebebine istinaden,

-       Şirket nezdindeki verilerimizin yönetilmesi, ticari ve iş stratejilerinin belirlenmesi ve uygulanması, e- postaların dağıtılması, araştırma ve analiz amacıyla, marka ve ürün promosyonları ile belirli hizmetlerin ve özelliklerin yönetilmesi amacıyla açık rızanızın varlığı hukuki sebebine istinaden,

-       Elektronik Ticaret Kanunu uyarınca iznin olması durumunda reklam ve pazarlama faaliyetleri sürdürerek müşterilere yeni çıkan ürünler ve kampanyalar hakkında bilgilendirmede bulunmak, sosyal aktiviteler dahil ticari ve ticari olmayan her türlü amaçla iletişime geçilmesi amacıyla açık rızanızın varlığı hukuki sebebine istinaden

-       Şirketimiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini, İdari taleplere, mahkeme kararlarına ya da kanuna uymak, hizmetlerimizin hukuka aykırı olarak kullanılmasını ya da hizmetlerin Kullanım Koşullarının ve politikalarımızın ihlal edilmesini önlemek, 3. kişilerin iddia/taleplerine karşı kendimizi savunmak ve dolandırıcılıkla mücadeleye ya da soruşturmaya destek olmak, (ör., Sahtecilik, hırsızlık ) amacıyla bir hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması hukuki sebebine istinaden

kişisel veri işleyen 3. kişi hizmet sağlayıcılarla;  veri işlenmesi amacıyla iş ortaklarımıza, tedarikçilerimize, hissedarlarımıza, Banka Pos uygulayıcılarına, kargo şirketlerine kanunen yetkili kamu kurumlarına ve özel kişilere  KVKK’nın 8. maddesi başta olmak üzere ulusal ve uluslararası mevzuata uygun olarak ülke sınırları içinde ikamet eden üçüncü şahıslara aktarabilir.

Şirketimiz bünyesinde, yalnızca yukarıda belirtilen amaçları yerine getirmek için kişisel verilerinize ihtiyaç duyan kişi ve kuruluşlar bu tür verilere erişim sağlayacaktır. Aynı zamanda kişisel verileriniz, şirket içindeki bağlı kuruluşlar için merkezi olarak önemli görevleri yerine getiren veya organizasyon yapısı temelinde şirketler arası işlevleri yerine getirenlere veya yukarıda yer verilen amaçlar çerçevesinde, gerekli olması halinde aktarılacaktır.

Ek olarak; Kişisel Verileriniz açık rızanızın varlığı hukuki sebebine istinaden;

• üyeliğinizin ve vermiş olduğunuzun izinlerin yönetilmesi,

 -Üyeliğiniz kapsamında kişiselleştirilmiş indirim, kampanya ve fiyatların sunulması, internet sitesi içi segment, kurgu ve anlık bildirimlerin gönderimi,

  -Üyeliğiniz kapsamında e-posta izin yönetim sürecinin yürütülmesi, e-posta gönderimlerinin yapılması,

-Üyeliğiniz kapsamında üyeye özel ürün önerilerinin yapılabilmesi ve arama motorunda kullanıcı yönlendirmelerinin yapılabilmesi,

-Kargo şirketi tercihine bağlı olarak satın alınan ürünlerin kargolanması kapsamında ad-soyad, kargo adresi, fatura adresi, sipariş numarası gibi bilgileriniz siparişlerin ulaştırılabilmesi,

-Şirket nezdindeki verilerimizin yönetilmesi, ticari ve iş stratejilerinin belirlenmesi ve uygulanması, e- postaların dağıtılması, araştırma ve analiz amacıyla, marka ve ürün promosyonları ile belirli hizmetlerin ve özelliklerin yönetilmesi

amacıyla hizmet almakta olduğumuz veri işleyen sıfatını haiz 3. Kişi hizmet sağlayıcıların (tedarikçilerin) altyapı hizmetlerinin (bulut kullanımı gibi) yurtdışında olması sebebiyle KVKK’nın 9. maddesinde belirtilen kişisel veri işleme şartları çerçevesinde, veri güvenliği tedbirleri gözetilerek yurt dışına aktarılabilecektir.

5. Kişisel Verilerinizi Toplamamızın Yöntemi ve Hukuki Sebebi

Kişisel veriler ticari faaliyetlerimizi yürütmek ve sizlere ürün ve hizmet sunabilmek ve süreçlerimizi iyileştirebilmek amacıyla Şirketimiz tarafından; mağazalarımızı ziyaret ederek veya “www.kosedukkann.com” internet sitemizi doğrudan kişisel verilerinizi paylaşarak üyelik oluşturmanız, kullanmanız, SMS/eposta listelerimize kayıt olmanız veya kasa çalışanına bilgi vererek, müşteri hizmetleri ile görüşmeleriniz sırasında form ve alanlar vasıtası ile doldurmuş̧ olduğunuz belgeler ve mağaza içi kameralar ile ve yukarıda belirtilen hukuki sebeplere dayanarak otomatik olan /olmayan yollarla toplanmaktadır.

İşlenecek kişisel verilerin toplanması sırasında ayrıca Çerezler kullanabilmektedir. İnternet Sitesi’nde yer alan çerez kullanımına ilişkin daha detaylı bilgi almak için lütfen Çerez Politikamıza göz atın.

6. Güvenlik ve Saklama

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. Yönetilen kişisel verilerinizi, manipülasyona uğramamaları, kaybolmamaları, hasar görmemeleri ve yetkisi olmayan kişilerce kullanılmamaları için koruma amacı ile teknik ve organizasyonel açıdan güvenlik önlemleri uygulamaktadır. Güvenlik önlemlerimiz teknolojik ilerlemeler ile birlikte sürekli gelişme içerisindedir. Kişisel Verilerin Sanmorris Şirket içerisinde; internet ortamında veya herhangi bir veri saklama sisteminde muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almaktadır.

Tarafınızca ödeme sırasında paylaşılan kart bilgileri ve şifreler SSL-Aktarma (Secure Socket Layer) yöntemi ile tarafımıza aktarılmadan şifrelenerek güvenliği sağlanmaktadır.

Şirketimiz ilgili mevzuat uyarınca ve kişisel veri saklama-imha politikalarında öngöreceği periyodlarda kişisel bilgileri kısmen/tamamen imha (silme, yok etme veya anonimleştirme) işlemleri yapabilecektir.

7. Kişisel Verilerin Korunması Kanunu Kapsamında Yönelik Haklarınız aşağıdaki gibidir: 

Kişisel verileriniz teknik ve idari imkânlar dâhilinde titizlikle ve gerekli güvenlik tedbirleri, teknolojik imkânlar da göz önünde bulundurularak olası risklere karşı uygun bir düzeyde korunmaktadır. Kişisel veri sahibi olarak KVKK’nın 11’inci maddesi uyarınca aşağıdaki haklara sahip olduğunuzu bildiririz:

<!-- [if !supportLists]-->1.Kişisel verilerinizin işlenip işlenmediğini öğrenme,

<!-- [if !supportLists]-->2.Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

<!-- [if !supportLists]-->3.Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

<!-- [if !supportLists]-->4.Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,

<!-- [if !supportLists]-->5.Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,

<!-- [if !supportLists]-->6.Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda ve kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde yapılan işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,

<!-- [if !supportLists]-->7.İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

<!-- [if !supportLists]-->8.Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

            Kanun kapsamındaki taleplerinizi, “www.kosedukkann.com” web adresindeki “Kişisel Verilerin Korunması Kanunu Uyarınca Başvuru Formu”nu doldurarak aşağıdaki yöntemlerden biri ile iletebilirsiniz.

            Talebinizin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir. Başvurunun Şirketimiz hatasından kaynaklanması halinde ücret iade edilecektir.

SANMORRİS ÇANTA TURİZM İNŞAAT OTOMOTİV SAN. VE TİC. A.Ş.

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN POLİTİKA

1. POLİTİKA’NIN AMACI VE GİZLİLİK TAAHHÜDÜ

1.1. Başta özel hayatınızın gizliliği olmak üzere, kişisel verilerinizin işlenmesinde temel hak ve özgürlükleriniz ile mahremiyetinizi korumak ve bu kapsamda kişisel verilerinizin güvenliğini temin etmek, Şirket’in en öncelikli değerleri ve amaçları arasında yer almaktadır. Bu kapsamda, işbu SANMORRİS ÇANTA TURİZM İNŞAAT OTOMOTİV SAN. VE TİC. A.Ş. (“ŞİRKET”) Kişisel Verilerin Korunması ve İşlenmesi Politikası (“POLİTİKA”) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin başta 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere ilgili ikincil düzenleme ve uygulamalara uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahipleri olarak sizleri bilgilendirerek gerekli şeffaflığı sağlamaktadır.

1.2. Şirketimiz bu kapsamda, tam sorumluluk bilinci ile kişisel verilerinizi ilgili mevzuata, işbu Politika’ya ve Politika’ya bağlı ve uygun olarak işlemeyi ve korumayı taahhüt etmektedir.

2.     POLİTİKA’NIN KAPSAMI

2.1. İşbu Politika, kişisel verileri işlenen tüm gerçek kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

2.2. İşbu Politika, Şirket’in işlemekte olduğu kişisel verilere yönelik tüm veri işleme faaliyetlerini kapsar ve söz konusu faaliyetlere uygulanır.

2.3. İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.

2.4. İşbu Politika, ilgili mevzuatın gerektirmesi halinde yahut Şirket’in gerekli gördüğü hallerde değiştirilebilir.

2.5. İlgili mevzuat düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde ilgili mevzuat düzenlemeleri esas alınır.

3. TANIMLAR

İşbu Politika’da geçen tanımlar aşağıdaki anlamları ihtiva etmektedir:

“Açık Rıza”: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,

“Aydınlatma Yükümlülüğü”: Kişisel verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişilerin, ilgili kişilere KVKK’nın 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında bilgi vermesine ilişki yükümlülük,

“İlgili Kişi”: Şirket tarafından veya Şirket adına yetkilendirilmiş kişiler/kurumlar tarafından kişisel verileri işlenen gerçek kişiler,

“İmha”: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,

“Kişisel Veri”: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Verileri” de kapsamaktadır),

“Kişisel Verilerin İşlenmesi”: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlem,

 “Kurul”: Kişisel Verileri Koruma Kurulu,

“Kurum”: Kişisel Verileri Koruma Kurumu,

“KVKK”: 6698 sayılı Kişisel Verilerin Korunması Kanunu,

“KVK Düzenlemeleri”: KVKK ile yürürlükte bulunan kişisel verilerin korunmasına ilişkin uygulanabilir uluslararası sözleşmeler, ilgili kanun ve düzenlemeler, Kurul kararları, Kurum rehberleri, sair düzenleyici ve denetleyici otorite, mahkeme ve diğer resmi makam kararları/talimatları ile ileride yürürlüğe girebilecek olan kişisel verilerin korunması alanındaki tüm düzenlemeler ve bunlarda yapılacak değişiklikler,

“Politika”: Sanmorris Çanta Turizm İnşaat Otomotiv San. ve Tic. A.Ş. Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Politika.

 “Özel Nitelikli Kişisel Veri”: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler,

“Veri İşleyen”: Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi,

“Veri Sorumlusu”: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

anlamına gelmektedir.

4. KİŞİSEL VERİLERİN İŞLENMESİ’NİN TEMEL İLKELERİ

4.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi

Şirket, kişisel verileri, hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işler. Şirket, kişisel verileri bu kapsamda Şirket’in iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işler.

4.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması

Şirket, Kişisel verilerin işlendiği süre boyunca eksiksiz, doğru ve güncel olması için gerekli her türlü önlemi alır. Bu kapsamda Şirket, kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurar ve ilgili kişinin KVKK Düzenlemeleri kapsamında Kişisel verilerine yönelik değişiklik talepleri uyarınca ilgili kişisel verileri günceller.

4.3. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar Doğrultusunda İşlenmesi

Kişisel verilerin işlenmesinden önce Şirket tarafından Kişisel verilerin hangi amaçla işleneceği belirlenir. Bu kapsamda Şirket, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve kişisel verileri iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işler. Bu doğrultuda ilgili kişiler KVK Düzenlemeleri uyarınca bilgilendirilir ve gerekli hallerde söz konusu kişilerin açık rızaları temin edilir.

4.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Şirket, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplar ve belirlenen amaçlarla sınırlı olarak işler. Bu doğrultuda Şirket, belirlenen amaçların gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verileri işlemekten kaçınır.

4.5. Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi

4.5.1. Şirket, kişisel verileri işlendikleri amaç için gerekli olan ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza eder. Bu kapsamda Şirket, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit eder ve bir süre belirlenmişse bu süreye uygun davranır. Yasal bir süre mevcut değil ise Kişisel Veriler işlendikleri amaç için gerekli olan süre kadar saklanır.

4.5.2. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilir. Bu durumda, Şirket’in kişisel verileri aktardığı üçüncü kişilerin de kişisel verileri silmesi, yok etmesi yahut anonim hale getirmesi sağlanır.

5. KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel veriler, Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.

5.1. Açık Rıza

5.1.1.  Kişisel veriler, yalnızca aşağıda yer alan diğer kişisel veri işleme şartlarından herhangi birinin mevcut olmaması halinde ilgili kişinin açık rızası ile işlenir.

5.1.2. Bu halde kişisel veriler, ilgili kişilere aydınlatma yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve ilgili kişilerin özgür iradeleri ile açık rıza vermeleri halinde işlenir.

5.1.3. İlgili kişilerden açık rıza, KVK Düzenlemeleri’ne uygun yöntemlerle temin edilir. Açık rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza edilir.

5.1.4.  Şirket, tüm Kişisel Veri İşlenmesi süreçleri bakımından aydınlatma yükümlülüğünün yerine getirilmesini ve gerektiğinde açık rızanın alınmasını ve alınan Açık Rıza’nın muhafazasını sağlamakla yükümlüdür. Kişisel veri işleyen tüm çalışanlar Şirket’in talimatlarına ve işbu Politika’ya uymakla yükümlüdür.

5.2. Kanunlarda Açıkça Öngörülmesi

İlgili kişinin kişisel verileri, kişisel verilerin işlenmesine ilişkin kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm bulunması halinde işbu veri işleme şartının kapsamında işlenir.

5.3. Fiili İmkansızlık Sebebiyle İlgili Kişinin Açık Rızasının Alınamaması

Fiili imkansızlık nedeniyle açık rızasını açıklayamayacak durumda olan veya açık rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verilerinin işlenmesi zorunlu olması halinde ilgili kişinin kişisel verileri işbu veri işleme şartının kapsamında işlenir.

5.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde ilgili kişinin kişisel verileri işbu veri işleme şartının kapsamında işlenir.

5.5. Şirket’in Hukuki Yükümlülüğünü Yerine Getirmesi

Şirket’in hukuki yükümlülüklerini yerine getirmesi için Kişisel Veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işbu veri işleme şartının kapsamında işlenir.

5.6. İlgili Kişinin Kişisel Verisini Alenileştirmesi

İlgili kişinin kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işbu veri işleme şartının kapsamında işlenir.

5.7. Bir Hakkın Tesisi veya Korunması için Kişisel Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için kişisel veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işbu veri işleme şartının kapsamında işlenir.

5.8. Şirket’in Meşru Menfaati için Kişisel Veri İşlemenin Zorunlu Olması

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işbu veri işleme şartının kapsamında işlenir.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

6.1. Özel Nitelikli Kişisel Veriler, Şirket tarafından işbu Politika’da belirtilen ilke ve esaslara uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenir:

 6.1.1. İlgili kişinin açık rızasının olması,

6.1.2. Kanunlarda açıkça öngörülmesi,

6.1.3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

6.1.4. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

6.1.5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

6.1.6. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması.

6.2. Şirket, Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik:

6.2.1. KVK Düzenlemeleri ile Özel Nitelikli Kişisel Verilerin güvenliği konularında düzenli olarak eğitimler verir.

6.2.2. Gizlilik sözleşmeleri yapar.

6.2.3. Özel Nitelikli Kişisel Verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarını ve sürelerini net olarak tanımlar.

6.2.4. Periyodik olarak yetki kontrollerini gerçekleştirir.

6.2.5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldırır ve ilgili çalışana tahsis edilen envanteri derhal geri alır.

6.3. Özel Nitelikli Kişisel Verilerin fiziksel ortamda işlenmesi durumunda, verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar ile ilgili olarak Şirket: Özel Nitelikte Kişisel veriler iş yerinde güvenlikli olarak kilitli dolapta muhafaza edilir.

6.3.1. Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerini (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alır.

6.3.2. Bu ortamların fiziksel güvenliğini sağlayarak yetkisiz giriş çıkışları engeller.

6.3.3. Özel Nitelikli Kişisel Verilerin aktarılması halinde, Şirket:

6.3.4. Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılmasının gerekmesi halinde şifreli kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılır.

7. ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLER VE İŞLENME AMAÇLARI

Şirket nezdinde, KVK Düzenlemeleri uyarınca ilgili kişiler bilgilendirilerek, Şirket’in kişisel veri işleme amaçları doğrultusunda, KVKK’nın 5’inci ve 6’ncı maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin KVKK’nın 4’üncü maddesinde belirtilen ilkeler olmak üzere KVKK’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir.

8. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE İMHASI

8.1. Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza eder. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit eder, bir süre belirlenmişse bu süreye uygun davranır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanır. Şirket tarafından kişisel veriler hiçbir surette gelecekte kullanma ihtimali göz önünde bulundurularak saklanmaz.

8.2. Şirket, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası oluşturur ve tüm imhaya (silme ve/veya yok etme ve/veya anonimleştirme) ilişkin faaliyetlerini KVK Düzenlemeleri ile ilgili Kişisel Veri Saklama ve İmha Politikası ile uyumlu şekilde gerçekleştirir. Kişisel veriler, hazırlanan Kişisel Veri Saklama ve İmha Politikası kapsamında belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilir.

9. KİŞİSEL VERİLERİN AKTARILMASI

9.1. Şirket, hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak ilgili kişilerin kişisel verilerini yurt içinde üçüncü kişilere KVK Düzenlemeleri’ne uygun şekilde aktarabilir. Bu durumda, üçüncü kişiler ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir.

9.2. İlgili kişinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde KVK Düzenlemeleri’ne uygun şekilde gerekli idari ve teknik tedbirlerin alınması ile kişisel veriler Şirket tarafından üçüncü kişilere aktarılabilecektir:

9.2.1.Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,

9.2.2. Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,

9.2.3. Kişisel verilerin aktarılmasının Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

9.2.4.Kişisel verilerin ilgili Kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından aktarılması,

9.2.5.Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,

9.2.6. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,

9.2.7. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

9.3. Şirket tarafından kişisel verilerin yurt dışına aktarılması, aktarımın yapılacağı ülkenin Kurul tarafından belirlenecek olan güvenli ülkelerden biri olması veya olmaması haline göre aşağıda açıklanan doğrultuda gerçekleştirilecektir.

9.3.1. Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip olan güvenli ülkelerden biri olması durumunda; kişisel veriler Veri İşleme Şartları’ndan herhangi birinin varlığı halinde aktarılabilecektir.

9.3.2. Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip güvenli ülkelerden olmaması durumunda; kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

9.3.2.1. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

9.3.2.2. Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

9.3.2.3. Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

9.3.2.4. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi

9.3.3. Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir: a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması. c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. ç) Aktarımın üstün bir kamu yararı için zorunlu olması. d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

10.  ŞİRKET’İN AYDINLATMA YÜKÜMLÜLÜĞÜ

10.1. Şirket, KVKK’nın 10’uncu maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak, Kişisel verilerin işlenmesinden önce ilgili kişileri aydınlatır. Bu kapsamda Şirket, ilgili kişileri KVK Düzenlemeleri’ne uygun olarak kişisel verilerinin Veri Sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.

10.2. Veri işleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile kişisel veri işlenmesine başlanmadan önce üçüncü kişi tarafından taahhüt edilir. Her bir çalışan, Şirkete üçüncü bir kişi tarafından kişisel veri aktarımı yapılan durumda işbu Politika’da yer alan hükümlere uymak ile yükümlüdür.

11.  İLGİLİ KİŞİLERİN HAKLARI

11.1. İlgili kişiler, aşağıda yer alan haklara sahiptirler

11.1.1. Kişisel verilerinin işlenip işlenmediğini öğrenme,

11.1.2.  Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

11.1.3. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

11.1.4.  Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

11.1.5. Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

11.1.6. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

11.1.7.  İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

11.1.8. Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde, zararın giderilmesini talep etme.

11.2. İlgili Kişiler, işbu Politika’nın bölüm 12.1. bölümünde sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirket’e iletebileceklerdir. Bu doğrultuda “www.kosedukkann.com” adresinden ulaşılabilecek Veri Sahibi Başvuru Formu’ndan yararlanabileceklerdir. Ancak, her halükarda güncel başvuru yöntemleri ve başvuru içeriği başvuru öncesinde ilgili mevzuattan kontrol edilmeli ve başvurular söz konusu usul ve esaslara uygun şekilde gerçekleştirilmelidir.

11.3. İlgili kişilerin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmeleri durumunda Şirket, KVK Düzenlemeleri’ne uygun şekilde talebin niteliğine göre talebi en geç 30 (otuz) gün içinde ücretsiz olarak talebi sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması halinde ise, Kurul tarafından belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir.

12.  KİŞİSEL VERİ YÖNETİMİ VE GÜVENLİĞİ

12.1. Şirket, KVK Düzenlemeleri’ne uygun olarak kişisel verilerin güvenliğinin temini için gerekli tüm idari ve teknik tedbirleri almaktadır. Bu kapsamda Şirket tarafından kişisel verilerin işlenmesi faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir.

12.2. Kişisel Verilerin İşlenmesi faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.

12.3. Şirket çalışanları, kişisel verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.

12.4. Şirket çalışanları, kişisel verilere yalnızca kendilerine tanımlanan yetki dahilinde ve ilgili KVK Düzenlemeleri’ne uygun olarak erişebilir.

12.5. Şirket çalışanları kişisel verilerin güvenliğinin yeterince sağlanmadığı şüphesinde olmaları yahut böyle bir güvenlik açığını tespitte bulunmaları halinde derhal durumu Şirket’e bildirir.

12.6. Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.

12.7. Her bir Şirket çalışanı kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur.

12.8. KVK Düzenlemeleri kapsamında kişisel verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.

12.9. Şirket içerisinde işlenen kişisel verilerin tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.

12.10. Şirket çalışanları, kişisel verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.

13.  DENETİM

Şirket, KVK Düzenlemeleri’ne ve işbu Politika’ya Şirket’in tüm çalışanları ve veri işleyenlerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar.

14.  POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

14.1. Şirket, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar.

14.2. Şirket, güncel Politika versiyonunu aşağıdaki internet sitesi adresi üzerinden ilgili kişilerin erişimine sunar. https://www.kosedukkann.com.