ATAK DIŞ TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI

İçindekiler

1. GİRİŞ

1.1 Amaç

Atak Dış Ticaret Anonim Şirketi (“Şirket”) tarafından veri sorumlusu sıfatıyla işbu Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”), gerçekleştirilmekte olan kişisel verilerin saklanması ve imhası faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek; kişisel verilerini işlediğimiz veri sahiplerinin aydınlatılması amaçlarıyla hazırlanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), veri sorumlularına, kişisel verilerin elde edilmesi sırasında veri sahiplerini aydınlatma yükümlülüğü getirmiştir. Kanun’un 10. Maddesi gereğince:

Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Kanun’un 11. maddesinde sayılan diğer hakları, konularında bilgilendirmelidir.

1.2 Kapsam

Şirketimiz; çalışanlarına ve çalışan yakınlarına, çalışan adaylarına, hissedarlarına ve yetkililerine, müşterilerine ve potansiyel müşterilerine, ziyaretçilerine, tedarikçi yetkililerine ve çalışanlarına ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat hükümlerine uygun olarak korunması, işlenmesi ve imhası süreçleriyle ilgili veri sahiplerinin bilgilendirmesini amaçlamaktadır. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Kanun ve yönetmelikler ile işbu Politikaya uygun olarak gerçekleştirilir.

1.3 Yürürlük

Politika, Şirketimizce internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Şirket, yasal düzenlemelere paralel olarak işbu Politika'da değişiklik yapma hakkını saklı tutar. Politika'da bir değişiklik yapılması durumunda, güncel versiyona Şirketimiz web sitesinden ulaşılabilir.

1.4 Tanımlar

KAVRAM	TANIM
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kişi / Veri Sahibi	Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul	Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi (Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.)
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL HÜKÜMLER

2.1 İlkeler

Veri sorumluları, kişisel verilerin işlenmesi ile ilgili olarak aşağıda yer verilen genel ilkelere uymakla yükümlü kılınmıştır:

Hukuka ve dürüstlük kurallarına uygun olma.
Doğru ve gerektiğinde güncel olma.
Belirli, açık ve meşru amaçlar için işlenme.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, kişisel veri işleme faaliyetlerinin özünde bulunmalı ve kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

2.2 Kişisel Verilerin İşlenme Şartları

Kişisel verilerin işlenme şartları, Kanunun 5. maddesinde sayılmış olup, Kanun gereği kişisel veriler, kural olarak veri sahibinin açık rızası bulunmaksızın işlenememektedir.

Bununla birlikte Kanun'un 5/2. ve 6/3. Maddelerinde kişisel veriler ve özel nitelikli kişisel veriler bakımından açık rıza bulunmaksızın işlenme halleri belirtilmiştir. Kişisel verilerin işlenme şartları, bir diğer deyişle hukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiş olup, bu şartlar genişletilemez. Sadece aşağıda belirtilen şartların varlığı halinde kişisel veriler ve özel nitelikli kişisel veriler ilgili kişinin açık rızası bulunmaksızın işlenebilecektir.

Kanun'un 5/2. maddesi uyarınca kişisel veriler;

Veri işlemenin kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için ilgili verilerin işlenmesinin zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

hallerinde veri sahibinin önceden alınmış açık rızası bulunmasa dahi gerçek kişilere ait kişisel veriler işlenebilecektir.

Kanun'un 6/3. maddesi uyarınca özel nitelikli kişisel veriler;

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hâllerde işlenebilecektir.
Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.

2.3 Kişisel Verilerin Aktarılması

Kişisel verilerin işlenmesine paralel şekilde kural olarak, kişisel verilerin veri sorumlusu dışında üçüncü bir tarafla paylaşılması, bir diğer ifadeyle aktarılması, ilgili veri sahibinden bu doğrultuda açık rıza alınmış olması şartına tabi kılınmıştır. Veri sorumlusu sıfatına sahip bir tüzel kişiliğin bünyesinde gerçekleşen veri aktarımı, Kanunun 8. maddesi çerçevesinde aktarım olarak değerlendirilemez. Tüzel kişiliğin bünyesinde faaliyet gösteren çalışanlar veya farklı birimler arasında verilerin el değiştirmesi, bu anlamda aktarım sayılmaz.

Kanun’un 8. maddesine göre açık rıza bulunmaksızın kişisel veri işlenmesine izin verilen hallerde veri aktarımı da gerçekleştirilebilmekte olup bu doğrultuda Politika'nın 2.2 maddesinde belirtilen şartların varlığı halinde veri sahibinin açık rızası bulunmasa dahi kişisel verileri veya özel nitelikli kişisel verileri aktarılabilecektir.

2.3.1 Kişisel Verilerin Yurtdışına Aktarılması

Kişisel verilerin yurtdışına aktarılması, Kanun'da özel şartlara tabi kılınmıştır. Bu kapsamda Kanun'un 9. maddesine uyarınca, kişisel verilerin yurtdışına aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:

Veri sahibinin açık rızasının bulunması,
Veri sahibinin açık rızasının bulunmamasıyla birlikte Politika’nın 2.2 maddesinde belirtilen diğer şartlardan bir veya birkaçının karşılandığı hallerde;
Verilerin aktarıldığı ülkede yeterli koruma bulunması,
Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda veri sorumlusunun ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile yurtdışına aktarılabilmektedir.

2.4 Kişisel Veri Sahibinin Aydınlatılması

Kanun’un 10. maddesine ve ilgili mevzuata uygun olarak, kişisel veri sahiplerinin bilgilendirilmesi/aydınlatılması Veri Sorumluları açısından bir yükümlülük olarak belirlenmiştir. Bu kapsamda, kişisel verilerin veri sorumlusu sıfatıyla kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ile veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişilerin muhtelif yollarla (sözlü, yazılı, elektronik ortamda vs.) bilgilendirilmesi gerekmektedir.

3. ŞİRKETİMİZ FAALİYETLERİ KAPSAMINDA KİŞİSEL VERİLERİN İŞLENMESİ

3.1 İşlenen Kişisel Verilerin Sınıflandırması

3.1.1 İşlenen Kişisel Veriler ve Kategorileri

VERİ KATEGORİSİ	KİŞİSEL VERİ
Kimlik	Ad-Soyad, T.C. Kimlik Numarası, Nüfus Cüzdanı Seri/Sıra No, Uyruk Bilgisi, Anne Adı-Baba Adı, Doğum Yeri, Doğum Tarihi, Cinsiyet bilgilerini içeren resmi kimlik belgeleri, Ehliyet ve Ruhsat belgeleri, Vergi Numarası, SGK Numarası, Taşıt Plakası.
İletişim	Ev/Cep/ İş Telefon Numarası, Adres, E-Mail Adresi, Faks Numarası.
Lokasyon	Şirket bünyesinde görevlerin yerine getirilmesi sırasında Şirket ve çalışanların menfaatlerinin korunması amacıyla Çalışanların konum bilgileri.
İşlem Güvenliği	IP adresi, Web sitesi ve mobil uygulama erişim bilgileri.
Fiziksel Mekân Güvenliği	Şirkete ait tüm fiziksel mekanlara giriş ve çıkışta, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler, kamera kayıtları.
Finans	Şirket’in Kişisel Veri Sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi.
Özlük	Özgeçmiş bilgileri, İzin bilgisi, İşe giriş/çıkış bilgileri, Bordro bilgileri, Performans değerlendirme raporları, Disiplin soruşturması raporları.
Hukuki İşlem	Şirket’in hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri kapsamında işlenen veriler, Adli makamlarla yazışmalardaki bilgiler.
Müşteri İşlem	Şirket’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler, talep ve sipariş bilgisi.
Mesleki Deneyim	Diploma bilgileri, gidilen/tamamlana kurslar, sertifikalar.
Pazarlama	Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler.
Görsel ve İşitsel Kayıtlar	Görsel ve İşitsel kayıtlar.
Sağlık Bilgileri	Şirket ile çalışan adayları arasında kurulacak iş akdi öncesinde talep edilen sağlık raporu kayıtları.
Ceza Mahkumiyeti ve Güvenlik Tedbirleri	Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler.

3.1.2 İşlenen Kişisel Veri Kategorileri ve Veri Sahipleri

VERİ KATEGORİSİ	KİŞİSEL VERİ SAHİPLERİ
Kimlik	Şirket Çalışanları ve Yakınları, Çalışan Adayları, Şirket Hissedarları ve Yetkilileri, Müşteriler ve Potansiyel Müşteriler, Web Sitesi Üyeleri, Hizmet Tedarikçileri, İş Ortakları ile Bunların Hissedarları, Yetkilileri ve Çalışanları, Ziyaretçiler
İletişim	Şirket Çalışanları, Çalışan Adayları, Şirket Hissedarları ve Yetkilileri, Müşteriler ve Potansiyel Müşteriler, Web Sitesi Üyeleri, Hizmet Tedarikçileri, İş Ortakları ile Bunların Hissedarları, Yetkilileri ve Çalışanları, Ziyaretçiler
Lokasyon	Şirket Çalışanları
İşlem Güvenliği	Şirket Çalışanları, Müşteriler ve Potansiyel Müşteriler, Web Sitesi Üyeleri, Ziyaretçiler
Fiziksel Mekân Güvenliği	Şirket Çalışanları, Çalışan Adayları, Şirket Hissedarları ve Yetkilileri, Müşteriler ve Potansiyel Müşteriler, Web Sitesi Üyeleri, Hizmet Tedarikçileri, İş Ortakları ile Bunların Hissedarları, Yetkilileri ve Çalışanları, Ziyaretçiler
Finans	Şirket Çalışanları, Şirket Hissedarları ve Yetkilileri, Müşteriler, Hizmet Tedarikçileri, İş Ortakları
Özlük	Şirket Çalışanları, Çalışan Adayları
Hukuki İşlem	Şirket Çalışanları, Şirket Hissedarları ve Yetkilileri, Müşteriler ve Potansiyel Müşteriler, Web Sitesi Üyeleri, Hizmet Tedarikçileri, İş Ortakları ile Bunların Hissedarları, Yetkilileri ve Çalışanları, Ziyaretçiler
Müşteri İşlem	Müşteriler ve Potansiyel Müşteriler, Web Sitesi Üyeleri
Mesleki Deneyim	Şirket Çalışanları, Çalışan Adayları
Pazarlama	Müşteriler ve Potansiyel Müşteriler, Web Sitesi Üyeleri
Görsel ve İşitsel Kayıtlar	Şirket Çalışanları, Çalışan Adayları, Şirket Hissedarları ve Yetkilileri, Müşteriler ve Potansiyel Müşteriler, Web Sitesi Üyeleri, Hizmet Tedarikçileri, İş Ortakları ile Bunların Hissedarları, Yetkilileri ve Çalışanları, Ziyaretçiler
Sağlık Bilgileri	Şirket Çalışanları, Çalışan Adayları
Ceza Mahkumiyeti ve Güvenlik Tedbirleri	Şirket Çalışanları, Çalışan Adayları

3.2 Kişisel Verilerin İşlenme Amaçları

Şirketimiz, Politika'nın 3.1.1 maddesinde belirtilen kişisel verilerinizi; genel ilkelere, uluslararası sözleşmelere ve ilgili yasal mevzuat hükümlerine uygun olarak, Politika'da belirtilen usul ve esaslara uyularak aşağıda belirtilen meşru amaçlar çerçevesinde işlemektedir. Bu kapsamda kişisel verileriniz;

Şirket iç operasyonlarının, iş faaliyetlerinin yürütülmesi ve Şirket operasyonlarının güvenliğinin temin edilmesi, iş faaliyetlerinin etkinlik, verimlilik, yerindelik analizlerinin gerçekleştirilmesi için gerekli faaliyetlerinin yürütülmesi,
Strateji planlama faaliyetlerinin ve İş Ortakları veya Tedarikçilerle olan ilişkilerin yönetimi ve icrası,
Üretim ve/veya operasyon süreçlerinin yürütülmesi,
Lojistik faaliyetlerin planlanması ve icrası,
İş sürekliliğinin sağlanması ve kurumsal yönetim ve sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
Etkinlik yönetimi,
Personel temin (işe alım) süreçlerinin yürütülmesi,
Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
Satın alma faaliyetlerinin planlanması, değerlendirilmesi ve takibi,
Hukuk işlerinin icrası/takibi,
Şirkete ait Web Sitesini ve Mobil Uygulamasını daha kolay kullanılır ve güvenli hale getirmek,
Hukuksal, teknik ve idari sonucu olan faaliyetlerin yürütülmesi ve yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuksal taleplere ilişkin faaliyetler ile hukuki işlerin yürütülmesi,
Verilerin doğru ve güncel tutulması,
Veri sahibinin şikâyeti, soru, talep ve önerilerinin toplanması, değerlendirilmesi ve karşılanması,
Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,
Müşteri memnuniyeti aktivitelerinin planlanması ve/veya icrası,
Müşteri ve üyelerle akdedilen sözleşmelerin gereğinin yerine getirilmesi,
Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası,
Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
Üyelerimizi tanımak ve iletişimimizi geliştirmek,
Satış ve pazarlama faaliyetleri için yapılacak trafik ölçümleme, istatistiki ve analitik analizler yapmak,
Hedefleme ve yeniden hedefleme yoluyla müşterilerimize özel ürün ve hizmetlere yönelik fırsatları sunmak,
Ziyaretçi kayıtlarının oluşturulması ve takibi,
Şirket yerleşkeleri, depoları ve/veya tesislerinin güvenliğinin teminin edilmesi,
Bilgi güvenliği süreçleri ile bilgi teknoloji alt yapısına ilişkin faaliyetlerin yürütülmesi,
Acil durum yönetimi süreçlerinin planlanması ve icrası, iş sağlığı ve/veya güvenliği süreçlerinin yürütülmesi,

amaçlarıyla Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, kişisel veri işleme sürecine ilişkin olarak Şirket tarafından ilgili veri sahibinin açık rızası temin edilmektedir.

3.3 Kişisel Verilerin Aktarılması

Şirketimiz, Kanun'un 8. maddesi uyarınca Politika'nın 2.2 maddesinde sayılan şartlardan herhangi birinin varlığı halinde, aksi takdirde ilgili veri sahibinin açık rızası temin edilerek, yukarıda belirlenen amaçlar doğrultusunda üçüncü kişilere aktarılmaktadır.

3.3.1 Kişisel Verilerinizin Aktarıldığı Üçüncü Kişiler

Şirketimiz tarafından meşru ve belirli amaçlarla işlenen kişisel verileriniz; İş Ortaklarımız, Tedarikçilerimiz, Adli Merciler ve kanunen ilgili verilerin aktarılması zorunlu tutulan yetkili Kamu Kurum ve Kuruluşlarına aktarılmaktadır. Ayrıca, ürün ve hizmetlerimizin en iyi şekilde sunulması, sözleşmeden doğan yükümlülüklerimizin yerine getirilmesi, verilen hizmetlerin ve sunulan ürünlerin takibi ve denetimi, hukuki uyuşmazlıkların giderilmesi, web sitesi ve mobil uygulamalarımızın güvenliğini sağlamak ve üst düzey bir alışveriş deneyimi oluşturmak amaçlarıyla anlaşmalı üçüncü kişilere, hukuk danışmanlarımıza ve yurtdışında bulunan e-ticaret hizmet sunucularımıza kişisel veri aktarımı yapılmaktadır.

3.3.2 Kişisel Verilerinizin Yurtdışına Aktarılması

Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, Kanun'un 9. maddesi doğrultusunda veri sahibinin açık rızası aranmaktadır. Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da Şirket'imiz tarafından kişisel veriler yurtdışına aktarılabilecektir. Aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, Şirketimiz ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt edecektir.

Şirketimiz, değerli müşterilerine, web sitesi üyelerine ve ziyaretçilerine daha güvenli ve erişilebilir bir e-ticaret deneyimi sunmak hedefiyle, merkezi yurtdışında bulunan e-ticaret hizmet sunucularından hizmet almaktadır. Bu kapsamda web sitemiz üzerinden yapılan işlemlerde, işlenmekte olan kişisel verileriniz, veri güvenliği alanında kapsamlı sertifikalara sahip hizmet sunucularımızda tutulmaktadır.

3.4 Aydınlatma Yükümlülüğü

Şirketimiz Kanun’un 10. maddesine ve ilgili mevzuata uygun olarak, kişisel veri sahiplerinin bilgilendirilmesi/aydınlatılması amacıyla Veri Sorumlusu sıfatıyla kişisel veri işleme faaliyetine ilişkin olarak gerekli aydınlatma yükümlülüğünü yerine getirmektedir. Bu kapsamda kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda muhtelif yollarla (sözlü, yazılı, elektronik ortamda vs.) ilgili kişilerin bilgilendirilmesi sağlanmaktadır.

Web sitemizden Aydınlatma Metni'ne erişim sağlayabilir, detaylı bilgilendirme için işbu Politika'dan faydalanabilir veya Şirketimiz ile iletişime geçebilirsiniz.

4. KİŞİSEL VERİLERİN KORUNMASI

4.1 Kişisel Verilerin Korunması Yönelik Alınan Tedbirler

Şirketimiz, Kanun’un 12. Maddesi ile Kişisel Verileri Koruma Kurulu karar ve tavsiyelerine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli güvenlik tedbirlerini almaktadır. Bu kapsamda, Kurum tarafından yayımlanan rehberlere uygun olarak güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, gerekli denetimleri yapmakta ve yaptırmaktadır.

4.1.1 Teknik Tedbirler

Şirketimiz tarafından, işlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

Sızma (Penetrasyon) testleri ile Şirket'imiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için önlemler alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

4.1.2 İdari Tedbirler

Şirketimiz tarafından, işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri hakkında eğitimler verilmektedir.
Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen azami sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması hususunda bir sürenin öngörüldüğü hallerde kişisel veriler belirtilen süre boyunca; yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre boyunca muhafaza edilmektedir.

Kişisel veriler belirlenen saklama sürelerinin sonunda, periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri ile imha edilmektedir.

5.1 Saklama ve İmha Süreleri

Veri Kategorisi	Saklama Süresi	İmha Süresi
Kimlik	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Lokasyon	5 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşlem Güvenliği	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Fiziksel Mekân Güvenliği	1 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finans	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Özlük	Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki İşlem	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri İşlem	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mesleki Deneyim	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Pazarlama	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Görsel ve İşitsel Kayıtlar	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sağlık Bilgileri	İş İlişkisinin Sona Ermesinden İtibaren 15 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ceza Mahkumiyeti ve Güvenlik Tedbirleri	İş İlişkisinin Sona Ermesinden İtibaren 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

5.2 İmha Yöntemleri

Şirketimiz, Kanun ve ilgili mevzuat hükümleri ile işbu Politika'ya uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da Politika'da belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

5.2.1 Silme Yöntemleri

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

5.2.2 Yok Etme Yöntemleri

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir
Elektronik Ortamda Yer Alan Kişisel Veriler	Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
Bulut Ortamında Yer Alan Kişisel Veriler	Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

5.2.3 Anonim Hale Getirme Yöntemleri

Yöntem	Açıklama
Değişkenleri çıkarma	İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.
Bölgesel gizleme	Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Genelleştirme	Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Veri karma ve bozma	Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

5.3 Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirketimiz işleme şartları ortadan kalkmış olan kişisel verileri işbu Politika'da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

Periyodik imha süreçleri ilk kez 28.02.2020 tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.

6. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

6.1. Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

6.2. Kişisel Veri Sahibinin Haklarını Kullanması

Belirtilen haklarınıza yönelik başvurularınızı Web sitemizde yer alan Başvuru Formunu eksiksiz ve doğru bir şekilde doldurarak, formun imzalı bir nüshasını Büyükdere Caddesi Maya Akar Center NO:100 Kat:20 Esentepe / Şişli / İstanbul 34394 adresine kimliğinizi tespit edici belgeler ile bizzat elden iletebilir, noter kanalıyla veya Kanun’da belirtilen diğer yöntemler ile gönderebilir veya ilgili formu [email protected] adresine güvenli elektronik imzalı olarak iletebilirsiniz.

6.3 Başvuruların Cevaplandırılması

Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak başvurularınız sonuçlandırılacaktır; ancak ayrıca bir maliyet doğması halinde Şirket’in Kişisel Verileri Koruma Kurulunca belirlenecek tarifeye göre tarafınızdan ücret talep edebilme hakkı saklıdır.