Kişisel Verilerin Korunması ve İşlenmesi Politikası
AMAÇ
Hukuki ve sosyal sorumluluğunun bir parçası olarak; Dijital Platform grossper A.Ş . (bundan böyle “DPG” veya “Şirket” olarak anılacaktır) yürürlükte olan Türkiye Cumhuriyeti Anayasası (“Anayasa”), Uluslararası Sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) başta olmak üzere kişisel verilerin korunmasına ilişkin yürürlükte bulunan yasal mevzuata uygun hareket etmekle mükellef olup, DPG, söz konusu yasal mevzuata uyumu bir yaşam döngüsü haline getirerek kişinin mahremiyetinin korunması ve veri güvenliğinin sağlanması amacıyla kişisel verilerin korunması konusunda gerekli çalışmaları yürütmektedir.
DPG tarafından işletme ve yürütüm faaliyetleri sürdürülen www.grossper.com.tr, www.macrocenter.com.tr, www.tazedirekt.com websitesi üyeliği, grossper Sanal Market, grossper Online, Tazedirekt mobil uygulamaları ve üyeliği, grossper Sanal Market, grossper Hemen, grossper Ekstra, grossper Yemek, grossper Online ve Taze Direkt markalarının yer aldığı online ticaret platformunun işletilmesi kapsamında elde edilecek kişisel veriler Şirket tarafından Kanun’a uygun şekilde saklanacak, kaydedilecek, güncellenecek, mevzuatın izin verdiği şekle uygun olarak işlenecektir. Bu çalışmalar kapsamında DPG tarafından Kişisel Verilerin Korunması Kanununa Uyum Politikası (Politika) hazırlanmıştır.
DPG hukuki ve sosyal sorumluluğunun bir parçası olarak, ulusal kişisel veri koruma düzenlemelerine uymayı taahhüt etmektedir. Şirket işbu Politika ile müşterilerin, potansiyel müşterilerin, çalışanların, çalışan adaylarının, tedarikçilerin, kiracıların, kiraya verenlerin, Şirket hissedarlarının, Şirket yetkililerinin, ziyaretçilerin, hizmet sağlayıcıların, çalıştığı 3. Tarafların, işbirliği içinde olunan özel hukuk ve kamu tüzel kişilerin çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi ile ilgili süreçlerinin mevzuata uyumunu ve bu süreçler hakkında tarafların bilgilendirmesini amaçlamaktadır.
Şirket; kişisel verileri, kanunlarda açıkça öngörülen hallerde, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olduğu hallerde, veri sorumlusu olarak hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olduğu hallerde, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ve açık rıza aranan hallerde de açık rıza ile işlemektedir.
Şirket, kişisel verileri aşağıda belirtilen amaçlarla işlemektedir;
· Şirketimiz tarafından sunulan mal ve hizmetleri tanıtmak, üye ve/veya müşterileri tanımak, iletişimi arttırmak, imajı arttırmak, ürün, hizmet ve iletişimini geliştirmek, Şirket tarafından kurulan kulüplere üye kaydetmek, üyeye özel promosyon/tanıtım/kampanya ve duyurular hazırlanmak ve göndermek, müşterilere daha iyi bir alışveriş deneyimi sağlamak, müşteri anketi, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi, araştırma, istatistiksel çalışma, trendleri anlama, pazarlama ve reklam hizmetlerinde kullanmak,
· Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesini sağlamak,
· Şirket’in ticari ve/veya iş stratejilerini planlanmak ve icrasını gerçekleştirmek,
· Şirket’in ve Şirket’le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğini temin etmek,
· Web sitesi/mobil uygulamalar üzerinden alışveriş yapanın/yaptıranın kimlik, adres ve iletişim ve diğer gerekli bilgilerini kaydetmek ve teyit etmek, , elektronik (internet/mobil vs.) veya kağıt ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek,
· Müşteri ve tedarikçilerimizin danışma hizmeti temin sürecini yürütmek,
· İlgili mevzuat hükümleri gereği akdettiğimiz sözleşmeler uyarınca üstlenilen yükümlülükleri ifa etmek, yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek,
· Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek,
· Doğabilecek uyuşmazlıklarda delil olarak kullanmak,
· Şirket işe alım ve çalışan süreçlerinin planlanması Ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası,
· Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
· Lojistik faaliyetlerinin planlanması ve icrası,
· Ziyaretçi kayıtlarının oluşturulması ve takibi,
· İşlem ve bilgi güvenliğini sağlamak, hileli veya yasadışı faaliyetleri içerebilecek işlemleri önlemek,
· Müşterilere daha iyi bir alışveriş deneyimi sağlamak,
· Kişiselleştirilmiş alışveriş hizmeti sunmak (müşteri anketi, müşteri memnuniyeti uygulama ve bilgilendirmelerini yapabilmek, denetim, veri analizi, araştırma, istatistiksel çalışma, trendleri anlama, pazarlama ve reklam hizmetlerinde kullanmak),
· Şirket’in hizmetlerinin usulüne uygun ve düzgün bir biçimde gerçekleştirilmesi;
· Yasal mevzuat kapsamında bulunan yükümlülüklerin yerine getirilmesi,
· Yukarıda bahsi geçen web siteleri ve uygulamalarını daha kolay kullanılır hale getirmek,
· Bilginin denetim şirketlerine, ilgili vekile veya vekil edene, düzenleyici ve denetleyici otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme ve bilgi sağlanması,
· Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası,
· Çeşitli raporların, araştırmaların ve/veya sunumların hazırlanması ve sunulması;
· İlgili kişinin şikâyet, soru, talep ve önerilerinin toplanması, değerlendirilmesi ve karşılanması;
· Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,
· Ürün ve/veya hizmetlerin satış ve pazarlama süreçlerinin planlanması ve icrası,
· Müşteri ile akdedilen sözleşmelerin gereğinin yerine getirilmesi,
· Hukuk işlerinin takibi ve yürütülmesi
· Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
· Üyelerimizi tanımak ve iletişimimizi geliştirmek,
· Müşterilerimize daha iyi ve güvenilir hizmet verilebilmesi, daha uygun hizmetler ve ürünler geliştirilebilmesi ve bunların kesintisiz olarak sürdürülebilmesi
· Şirket tarafından sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
· DPG’nin sunduğu hizmetleri kullanmak amacıyla çağrı merkezleri veya yukarıda bahsi geçen websiteleri kullanıldığında, ziyaret edildiğinde, Şirket’in düzenlediği eğitim, seminer veya organizasyonlara katılındığında.
· İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi,
· Şirket Genel Müdürlük, Şube müdürlükleri, depolar, mağazalar, Sanal Mutfak vb. tesislerinin güvenliğinin temini,
· Acil durum yönetimi süreçlerinin planlanması ve icrası,
· Taşeron çalışanlarına ilişkin özlük süreçlerinin planlanması ve icrası,
· Finans ve/veya muhasebe işlerinin takibi,
· Yapı ve/veya inşaat işlerinin planlanması ve takibi,
· Yönetim faaliyetlerinin yürütülmesi,
· Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
· Yetenek / Kariyer gelişimi faaliyetlerinin yürütülmesi,
· Yatırım süreçlerinin yürütülmesi,
· Veri sorumlusu operasyonlarının güvenliğinin temini,
· Ücret politikasının yürütülmesi,
· Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
· Taşınır mal ve kaynakların güvenliğinin temini,
· Talep / Şikayetlerin takibi,
· Stratejik planlama faaliyetlerinin yürütülmesi,
· Sponsorluk faaliyetlerinin yürütülmesi
· Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
· Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
· Performans Değerlendirme Süreçlerinin Yürütülmesi
· Organizasyon Ve Etkinlik Yönetimi
· Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
· Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
· www.grossper.com.tr, www.macrocenter.com.tr, www.tazedirekt.com websitesi, grossper Sanal Market, grossper Online, Tazedirekt mobil uygulamaları, grossper Sanal Market, grossper Hemen, grossper Extra, grossper Yemek, grossper Online ve Taze Direkt markalarının yer aldığı online ticaret platformunun işletme ve yürütüm faaliyetleri sürdürülmesi
· Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
· Mal / Hizmet Satış Süreçlerinin Yürütülmesi
· Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
· Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
· İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
· İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
· İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
· İş Faaliyetlerinin Yürütülmesi / Denetimi
· İnsan Kaynakları Süreçlerinin Planlanması
· İletişim Faaliyetlerinin Yürütülmesi
· İç Denetim / Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
· Görevlendirme Süreçlerinin Yürütülmesi
· Fiziksel Mekan Güvenliğinin Temini
· Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
· Finans Ve Muhasebe İşlerinin Yürütülmesi
· Erişim Yetkilerinin Yürütülmesi
· Eğitim Faaliyetlerinin Yürütülmesi
· Denetim / Etik Faaliyetlerinin Yürütülmesi
· Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
· Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
· Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
· Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
· Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Sendika ile akdedilen Toplu iş Sözleşmesi faaliyetlerinin yürütülmesi
Bu Politikada Şirket tarafından, hangi verilerin kişisel veri olduğu, hangi kişisel verilerin saklandığı, kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirler ile kişisel verilerin işlenmesinde, muhafaza edilmesinde, ilgili kişilerin aydınlatılması ve bilgilendirilmesinde, üçüncü kişilere aktarılması ve korunmasına ilişkin detaylı açıklamalara yer verilmektedir.
KAPSAM
Bu Politika; müşterilerin, potansiyel müşterilerin, çalışanların, çalışan adaylarının, tedarikçilerin, kiracıların, kiraya verenlerin, hizmet sağlayıcıların, çalışılan 3. tarafların ve 3. Taraf çalışanlarının, hissedar ve ortakların, ziyaretçilerin, iş birliği içinde olunan özel hukuk ve kamu hukuku tüzel kişi/kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Şirket bünyesinde kişisel veri işleyen ve saklayan aşağıdaki varlıklar ve bu varlıklara ilişkin tüm süreçler bu Politika kapsamındadır;
· Kişisel veri içeren bütün basılı veya yazılı belgeler, dokümanlar, dosyalar
· Kişisel veri içeren bütün uygulamalar
· Kişisel veri içeren bütün veri tabanları
· Kişisel veri içeren bütün sistemler,
· Kişisel verileri içeren bütün cihazlar,
· Kişisel veri içeren bütün ses kayıtları,
· Kişisel veri içeren bütün loglar (denetim izleri),
· Kişisel veri içeren bütün görüntü kayıtları,
İstatistiki değerlendirmeler veya çalışmalar için elde edilen kişisel veri içermeyen veriler gibi anonim hale gelmiş ve tanımlanamayan veriler, tüzel kişilere ilişkin veriler ile 6698 sayılı Kanun uyarınca kişisel veri olarak kabul edilmeyen veriler işbu Politika’ya tabi değildir.
YÜRÜRLÜK VE GÜNCELLEMELER
Başta 6698 sayılı Kanun olmak üzere yürürlükteki mevzuat ile bu Politika ve prosedürlerde yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Şirket, yasal düzenlemelere paralel olarak işbu Politika ve prosedürlerde değişiklik yapma hakkını saklı tutar. İşbu Politika veya Politika ve prosedürlerdeki hususlarda değişiklik olması veya yeni süreçlerin gündeme gelmesi hali ile mevzuattaki değişiklik durumlarında Politika derhal güncellenecek olup, güncel versiyonu da Kurumsal web sitesinde yayınlanacaktır.
TANIMLAR
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Örneğin; isim- soy isim, T.C. Kimlik Numarası, e-posta adresi, telefon bilgileri, adres, doğum tarihi, kredi kartı numarası vb.
Özel Nitelikli Kişisel Veri
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
İlgili Kişi
Kişisel verisi işlenen gerçek kişi
Anonim Hale Getirme
Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi.
Çalışan
DPG çalışanları
Çalışan Adayı
DPG’ye herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini DPG’nin incelemesine açmış olan gerçek kişiler
Anayasa
Türkiye Cumhuriyeti Anayasası
KVK Kanunu
6698 sayılı Kişisel Verilerin Korunması Kanunu
KVK Kurulu
Kişisel Verileri Koruma Kurulu
KVK Kurumu
Kişisel Verileri Koruma Kurumu
Kişisel Verilerin İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Müşteri
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, Şirketimizin verilerini tutan bulut bilişim firması, müşterilere formları imzalattığı anketörleri, talimatlar çerçevesinde arama yapan çağrı merkezi vb.
Veri Kayıt Sistemi
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Sorumlusu
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) kuran ve yöneten gerçek veya tüzel kişi veri sorumlusudur. Veri sorumlusu Şirketimiz Dijital Platform Gıda Hizmetleri A.Ş’dir.
Veri Sorumluları Sicili
KVK KANUNU Kurulu gözetiminde, KVK KANUNU Kurumu Başkanlığı tarafından tutulan ve kamuya açık olan Veri Sorumluları Sicili
Ziyaretçi
Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler
İş birliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri
Şirket ile iş ilişkisi içerisinde bulunan kurumların (ifa yardımcısı, iş ortağı, tedarikçi, program ortağı vb. başta olmak ve fakat bunlarla sınırlı olmamak üzere) çalışanları, hissedarları ve yetkilileri olan gerçek kişiler
Tedarikçiler
Sözleşme temelli Şirket’in ürün ve/veya hizmet aldığı üçüncü kişiler
Potansiyel Müşteri
Ürün ve hizmetlerimizi satın alma ve/veya kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler
Politika ve Prosedürler
Şirket’in Kişisel Verileri Koruma Kanununa Uyum sağlamak üzere hazırladığı Politika ve prosedürler
Şirket
Dijital Platform Gıda Hizmetleri A.Ş
Şirket Hissedarları
DPG hissedarı gerçek kişiler
Şirket Yetkilisi
DPG yönetim kurulu üyesi ve diğer yetkili gerçek kişiler
İlgili Kişi Başvuru Formu
Veri sahiplerinin, KVK Kanunu’nun 11. Maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu
Üçüncü Kişi
Yukarıda tanımlanan taraflarla DPG arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen tarafların haklarını korumak ve menfaat temin etmek üzere bu taraflarla ilişki içerisinde olan üçüncü gerçek kişiler
KİŞİSEL VERİLERİN KATEGORİZASYONU
Şirket tarafından yürütülen veri işleme faaliyetleri kapsamında kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ait olduğu gerçek kişi belirlenen ve/veya belirlenebilir olan kişisel veri kategorileri ve açıklamaları aşağıda yer almaktadır:
KİŞİSEL VERİ KATEGORİZASYONU
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA
Kimlik Bilgisi
Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan T.C. kimlik numarası, uyruk bilgisi, anne adı baba adı, doğum yeri ve tarihi, cinsiyet, SGK numarası, imza bilgisi, taşıt plakası vb. tüm bilgiler
İletişim Bilgisi
Gerçek kişiye ait olduğu açık olan; telefon numarası, adres, e-mail, faks numarası gibi bilgiler
Özel Nitelikli Bilgiler
KVK Kanunu’nun 6. maddesinde “özel nitelikli kişisel veri” olarak belirtilen “Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inanç, kılık ve kıyafet, dernek, vakıf ya da sendika üyelik bilgisi, sağlık ve cinsel hayat ile ilgili veriler, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik” verilerdir.
Lokasyon Bilgisi
Müşterilerin kullandıkları uygulamalarla edinilen ve çalışanlara verilen dijital kartlarla edinilen lokasyon verileri
Fiziksel Mekân Güvenlik Bilgisi
Veri kayıt sistemi içerisinde tutulmak üzere, ticari faaliyetlerimizi yürütürken her açıdan güvenliğimizi sağlamak için işlenen kamera kayıtları, , güvenlik noktasında alınan kayıtlar, fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar vb. kişisel veriler
Müşteri Bilgisi
Ticari faaliyetlerimiz ve bu faaliyetler kapsamında ilgili birimlerin operasyonları sonucunda, gerçek kişi müşterilerden elde edilen ve üretilen bilgiler
Müşteri İşlem Bilgileri
Veri kayıt sistemi içerisinde yer alan müşterilere ait, ürün ve hizmetlerimizin satın alınmasına yönelik kayıtlar ile satın alma için gereken talimatlar kapsamında elde edilen bilgiler ile ürün ve hizmetlerimizi satın alan ve/veya kullanan kişisel ilgili kişinin beğenisi ve ihtiyaçları doğrultusunda kullanım ve satın alma alışkanlıklarının kişiselleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme neticesinde meydana getirilen rapor ve değerlendirmeler
Talep/Şikâyet Yönetimi Bilgileri
İşbu Politika’da adı geçen websitelerinin ve uygulamaların müşterisi olan ya da olmayan gerçek kişiler tarafından DPG’ye ait iletişim kanallarına yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler
İtibar ve Olay Yönetim Bilgisi
DPG’nin İşbu Politaka’da adı geçen websitelerinin ve uygulamaların işletme ve yürütüm faaliyetlerini sürdürmesinden bahisle gerek grossper Ticaret A.Ş’nin (“grossper”) gerekse DPG’nin ticari itibarını korumak ve kamuoyunun doğru bilgilendirilmesini sağlamak maksadı ile DPG ve grossper çalışanlarını, hissedarlarını etkileme potansiyeli olan olaylarla ilgili sosyal medya vb. mecralardan toplanan kişisel veriler, değerlendirmeler (grossper ve DPG ile ilgili yapılan paylaşımlar vb.)
Finansal Bilgi
DPG’nin İşbu Politika’da adı geçen websiteleri ve uygulamalara üye olan yahut olmayan müşteriler ile kurmuş olduğu hukuki ilişki çerçevesinde her türlü finansal sonucu gösteren kayıtlar kapsamında işlenen IBAN numarası, kredi kartı bilgisi, finansal profil, gelir bilgisi vb. kişisel veriler
Pazarlama Bilgisi
Ürün ve hizmetlerimizin ilgili kişinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler
Risk Yönetimi Bilgisi
Ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler
İşlem Güvenliği Bilgisi
Faaliyetlerimizin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz (örneğin log kayıtları, IP bilgisi, kimlik doğrulama bilgileri)
Görsel/İşitsel Bilgi
Fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç) ve ses kayıtları
Denetim ve Teftiş Bilgisi
Şirketimizin operasyonel, finansal, suistimal ve uyum denetimi faaliyetlerinin yürütülmesine ilişkin işlenen kişisel veriler
KİŞİSEL VERİLERİN İŞLENMESİ
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
Şirket’in kişisel veri işleme faaliyeti, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar.
Şirket, hizmetlerinin kullanıldığı süre boyunca ve ilişkinin sona ermesinin ardından da aşağıda yer verilen ilkelere uymak suretiyle, bir ilgili kişinin bilgilerini işleme hakkına sahiptir.
Şirket, ilgili kişinin veya ilgili kişi tarafından belirtilen üçüncü tarafların kişisel verilerini, almış olduğu işbu tedbirler/aksiyonlar ile korumaktadır;
· Şirket kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar nezdinde farkındalıklarını arttırmaktadır.
· Şirket’in veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu Şirket’in tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri işleyen 3. taraflara, veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde yükletilmekte ve bu yükümlülüklerinin yerine getirip getirilmediği de denetlenmektedir.
· Şirket , kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. Bununla birlikteŞirket , siber güvenlik alanında söz konusu verilerin korunması adına KVK teknik tedbirlerinin yanında güncel tehditlere ilişkin gerekli güvenlik önlemlerini de almaktadır.
· Şirket , KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
· Şirket , KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişiye ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.
6.1. Kişisel Verilerin İşlenmesinin Kapsamı
Şirket’in yukarıda bahsi geçen websitesi ve uygulamalar aracılığıyla verdiği hizmetlerin kullanıldığı süre boyunca ve ilişkinin sona ermesinin ardından Şirket , işbu Politikada belirtilen ilkelere uymak suretiyle, ilgili kişinin bilgilerini işleme hakkına sahip olacaktır.
Şirket tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar. Diğer bir ifadeyle kişisel veri işleme; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla ilgili kişi veya üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, ses kaydı alınması, video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanması, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi anlamına gelir.
6.2. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
KVK Kanunu’nun 5. Maddesi uyarınca kişisel veriler ancak KVK Kanunu ve diğer ilgili yasal mevzuatta öngörülen usul ve esaslara uygun olarak işlenebilir. Şirket olarak gerek KVK Kanunu gerekse ilgili diğer yasal mevzuat kapsamında belirtilen usul ve ilkelere uygun olarak kişisel veriler işlenmekte olup; KVK Kanunu kapsamında, kişisel verilerin işlenmesinde aşağıda yer alan ilkelere uyulması gerektiği açıkça düzenlenmiştir.
· Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi
Şirket; kişisel verilerin işlenmesi faaliyetini Türkiye Cumhuriyeti Anayasası ile KVK Kanunu ve ilgili diğer yasal mevzuat başta olmak üzere hukuksal düzenlemelere ve güven ilişkisi esas olmak üzere dürüstlük kuralına uygun olarak yürütmektedir.
· İşlenen Kişisel Verilerin Doğruluğunu ve Güncel Olmasını Sağlama
Şirket; kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve süreçleri kurgulamış bulunmaktadır. Bu kapsamda Şirket, ilgili kişilerin kişisel verilerini düzeltme ve doğruluğunu teyit etmeleri amacı ile gerekli önlemleri almaktadır.
· Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi
Şirket, KVK Kanunu’nun 10. Maddesinde yer alan aydınlatma yükümlülüğü kapsamında, kişisel verilerin işlenmesi faaliyetine başlamadan önce kişisel veri işleme amacını açık ve kesin olarak belirleyerek ortaya koymakta, açık ve hukuka uygun amaçlar dahilinde işlemektedir (Aydınlatma yükümlülüğü ile ilgili ayrıntılı bilgi için bkz. Politika bölüm 9.1)
· Kişisel Verilerin Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi
Şirket, kişisel verileri, işleme faaliyetine başlamadan önce belirlediği ve sunduğu hizmetin gerçekleştirilebilmesi amacı ile bağlantılı olarak ve gerektiği ölçüde işlemektedir. Şirket, amacın gerçekleştirilmesiyle ilgili olmayan veya ileride ihtiyaç duyulması varsayımı ile kişisel veri işleme faaliyeti yürütmemektedir. Kişisel verilerin işlenmesi Şirket’in faaliyetleri ve yasal yükümlülükler ile sınırlıdır.
· Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi
Şirket, kişisel verileri, KVK Kanunu ve ilgili yasal mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda, Şirket kişisel verileri, ilgili mevzuatta bir süre öngörülmüş ise bu süre ile sınırlı olarak, bir süre öngörülmemişse işlendikleri amaç için gerekli olan süre kadar saklamaktadır.Şirket, ileride kullanma ihtimali ile kişisel veri saklamamaktadır.
Şirket, sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.
6.3. Kişisel Verilerin İşlenme Şartları
KVK Kanunu’nun 5. Maddesinde yer alan düzenlemeye uygun olarak, Şirket, kişisel verileri ancak kanunda öngörülen hallerde veya açık rıza gerektiği durumlarda ilgili kişinin açık rızası olması halinde işlemektedir. Ancak KVK Kanunu’nun 5. Maddesinin 2. Fıkrası uyarınca; Kanun Koyucu, açık rızanın olmadığı hallerde de kişisel verilerin işlenmesine olanak vermiş bulunmaktadır. Buna göre; aşağıdaki ‘’Kanunda Açıkça Öngörülmesi’’ ve “ İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydı ile Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması’’ bentlerinde yazan diğer şartlardan birinin ve/veya birkaçının varlığı halinde de kişisel veriler Şirket tarafından işlenebilmektedir. Aşağıda belirtilen şartlardan yalnızca birinin varlığı kişisel veri işleme faaliyeti için yeterli olmakla birlikte; bahse konu şartlardan birden fazla olması da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
İşlenen verilerin özel nitelikli kişisel veri olması halinde uygulanacak şartlara Politika’nın 7.1. Bölümünde ayrıca değinilmektedir.
· Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde Şirket tarafından hukuka uygun olarak veri sahibinin açık rızası alınmaksızın işlenebilecektir. Örneğin; İş Kanunu ve ilgili mevzuat çerçevesinde çalışanlara ait işyeri sicil dosyası tutulurken kişisel veriler işlenmektedir.
· Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde Şirket tarafından kişisel veriler işlenebilecektir. Örneğin yukarıda bahsi geçen websitesi yahut uygulamaklar üzerinden alışveriş yapan müşterinin, sipariş ettiği ürünlerin teslimi için ad, soyad, adres ve telefon bilgisinin ürünleri taşıyan firma çalışanlarına bildirilmesi.
· Şirket’in Hukuki Yükümlülüğünü Yerine Getirmesi için Veri İşleme Faaliyetinin Zorunlu Olması
Şirket’in hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin kredi kartı sahiplerinin bilgisi dışında kredi kartlarından yapılan harcamalara ilişkin olarak Savcılığa yapılan şikayetler uyarınca Savcılık kararıyla Şirket’ten kişisel verilerin talep edilmesi halinde verilerin sunulması.
· Kişisel Veri Sahibinin Kendisi Tarafından Kişisel Verisini Alenileştirmiş Olması
Veri sahibinin, kişisel verisini bizzat alenileştirilmiş (sosyal medya vb. herhangi bir yol ve şekilde kamuya açıklamış) olması halinde ilgili kişisel veriler açık rıza aranmaksızın işlenebilecektir.
· Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin delil vasfını haiz satış sözleşmesinin saklanması ve gerekli olduğunda kullanılması.
· İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydı İle Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel verilerin korunması Anayasal bir hak olmakla birlikte; kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin mali işler departmanı tarafından yapılacak hesaplamalardaki kişisel veri işleme faaliyetleri.
· Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri Kanunun 5. Maddesinde belirtilen istisnaların bulunmaması durumunda, kişisel veri sahibinin açık rızasıdır. Kişisel veri sahibi, belirli bir konuyla ilgili yeterince bilgilendirilmiş, bu bilgilendirmeye dayalı olarak özgür iradesi ile tereddüde yer vermeyecek açıklıkta kişisel verilerinin işlenmesine onayı olduğunu açıklamalıdır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
7.1. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVK Kanunu kapsamında “özel nitelikli” olarak belirlenen kişisel veriler, işbu hassasiyet nedeniyle bu Politika’ da ayrıca belirtilmiştir.
KVK Kanunu’nun 6. Maddesi 1. Fıkrasında tanımı yapılan özel nitelikli kişisel verilerin yine KVK Kanunu’nun 6. Maddesi’nin 2. Fıkrasında belirtildiği üzere veri sahibinin açık rızası olmaksızın işlenmesi yasaktır. KVK Kanunu’nun 6. Maddesinin 3. Fıkrası bu kuralın istisnalarını düzenlemektedir.
Şirket tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla yukarıda belirtilen kanun maddesine uygun olarak işlenmektedir.
7.2. Özel Nitelikli Kişisel Verilerin Korunması
Kişisel Verileri Koruma Kanunu ile bir takım kişisel veriler, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle iş bu Politikada ayrıca belirtilmiştir. Özel Nitelikli Kişisel Verilerin işlenmesi, Politika’ nın 7.1. maddesinde açıkça belirtilmiştir.
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik; Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmakta, periyodik olarak yetki kontrollerinin gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta ve bu kapsamda, veri sorumlusu olarak Şirket tarafından çalışana tahsis edilen envanterin iade alınması yönünde gerekli önlemler alınmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise; verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografîk anahtarların güvenli ve farklı ortamlarda tutulması, verilere tüm erişimler ve veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, test sonuçlarında ortaya çıkan güvenlik açıklarının en kısa sürede kapatılması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması yönünde gerekli önlemler alınmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi, yetkili kişilerin erişiminin kayıt altına alınması yönünde gerekli önlemler alınmaktadır.
KİŞİSEL VERİLERİN AKTARILMASI
Şirket’in veri sahibine gerektiği gibi hizmet edebilmesi amaçlarına uygun olarak veri işleme kapsamında, veri sahibiyle ve/veya veri sahibinin işaret ettiği üçüncü taraflarla ilgili verilerin aktarımı/paylaşımı gerekebilmektedir.
Kişisel veriler Şirket tarafından sunulan ürün ve hizmetlerden faydalanılması için gerekli çalışmaların iş birimleri tarafından yapılması, sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi, Şirket ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini (Şirket tarafından yürütülen iletişime yönelik idari operasyonlar, Şirket’in kullanımına ait lokasyonların fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/müşteri/tedarikçi (yetkili veya çalışanları) değerlendirme süreçleri, itibar araştırma süreçleri, hukuki uyum süreci, denetim, mali işler vb.), Şirket’in ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile insan kaynakları politikalarının yürütülmesinin temini amaçlarıyla iş ortaklarına, tedarikçilere, Kurum yetkililerine, hissedarlara, iştiraklere, bağlı ortaklıklara, kanunen yetkili kamu kurumları ve özel kişilere, grossper Ailesine (grossper’un Yönetim Hissedarları, Yönetim Hissedarlarının ve grossper’un bağlı şirketleri, iştirakleri, alt kuruluşları, işletmeleri) hizmet sağlayıcılarına ve/veya alt yüklenicilerine ve GSM Operatörlerine, yurtiçinde ve bilişim teknolojileri, bulut servis sağlayıcıları ve sosyal paylaşım siteleri nedeniyle yurtdışında (ilgili sunucuların yurtdışında olması nedeniyle) KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
Şirket hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere, ilgili kanunlar kapsamında kamu kurumlarına) aktarabilmektedir. Şirket bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Şirket, bu Politika maddesinde belirtilen aktarma işlemi için istisnaları, KVK Kanunu’nun 8. Maddesi 2. Fıkrasında belirtildiği üzere uygulamaktadır.
Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
8.1. Kişisel Verilerin Yurtiçinde Aktarılması
Şirket’in, kişisel veri sahibine, daha iyi hizmet verebilmesi, taleplerini daha doğru karşılayabilmesi, hizmet ve iletişimini geliştirebilmesi, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmesi ve teknik problemleri ortadan kaldırabilmesi vb. amaçlarına uygun olarak, veri işleme faaliyeti kapsamında, veri sahibiyle ve/veya veri sahibinin işaret ettiği üçüncü taraflarla ilgili verilerin üçüncü kişilere aktarımı/paylaşımı gerekli olabilmektedir.Şirket , bu doğrultuda KVK Kanunu’nun 8. Maddesinde öngörülen düzenlemelere ve bahse konu madde kapsamında işbu Politika’ da yer alan düzenlemelere uygun hareket etmektedir. İşbu Politikanın 8.3. maddesinde yer alan tabloda aktarım amaçları yer almaktadır.
8.1.1. Özel Nitelikli Kişisel Verilerin Yurtiçinde Aktarılması
Şirket gerekli özeni göstermek ve gerekli güvenlik tedbirlerini almak sureti ile KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini, bu Politika’nın 7. bölümünde düzenlenen şartları dikkate alarak üçüncü kişilere aktarabilmektedir.
8.2. Kişisel Verilerin Yurtdışına Aktarılması
Şirket, hukuka uygun amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirkettarafından işlenen kişisel veriler; KVK Kanunu’nun 9. Maddesi uyarınca KVK Kanunu’nun 5. Maddesinin 2. Fıkrası ile yeterli önlemler alınmak kaydıyla KVK Kanunu’nun 6. Maddesinin 3. Fıkrasında belirtilen şartlardan birinin bulunması halinde, müşterilerimize sunduğumuz hizmet kalitesini ve hizmet sürekliliğini sağlayabileceğimiz yurt içi alternatiflerimiz olmaması nedeniyle, teknoloji alanındaki bulut hizmetleri altyapısına sahip tedarikçilerimiz ve yurt dışında yerleşik ve sunucuları yurt dışında bulunan veri işleyenlere aktarılabilir.
8.2.1. Özel Nitelikli Kişisel Verilerin Yurtdışında Aktarılması
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini bu Politika’nın 7. bölümünde düzenlenen şartları dikkate alarak yeterli korumaya sahip ilan edilen veya yabancı ülkede bulunan veri sorumlusu tarafından yeterli koruma taahhüt edilen ülkelere aktarabilmektedir.
Özel nitelikli kişisel veriler, e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi yönünde, bahsedilen yöntemlerin dışından bir yöntem ile aktarım gerekiyorsa da ayrıca gerekli önlem ve tedbirler alınmaktadır.
8.3. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Şirket, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak müşterilerin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:
(i) İş ortaklarına,
(ii) Tedarikçilerine,
(iii) İştiraklerine,
(iv) Bağlı bulunduğu holdinge,
(v) Bağlı bulunduğu holdinge ait diğer şirketlere,
(vi) Hissedarlarına,
(vii) Hukuken yetkili kamu kurum ve kuruluşlarına,
(viii) Hukuken yetkili özel hukuk kişilerine,
(ix) Veri aktarım şartlarına uygun olarak diğer üçüncü kişilere,
(x) Avukatlar/Hukuk büroları/Danışmanlar
Yukarıda aktarımda bulunduğu belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmekte olup; Şirket tarafından gerçekleştirilen aktarımlarda Politika’nın 10. Bölümünde düzenlenmiş hususlara uygun olarak hareket edilmektedir.
Veri Aktarımı Yapılabilecek Kişiler
Tanımı
Veri Aktarım Amacı
İş Ortağı
İşbu Politika’da bahsi geçen websiteleri ve uygulamalar üzerinden yürütülecek ticari faaliyetlere ilişkin Şirket’in, ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır.
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak Sunulan ürün ve hizmetlerden faydalanılması için gerekli çalışmaların iş birimleri tarafından yapılması, Sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
Tedarikçi
Şirket’in ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirketimize hizmet sunan tarafları tanımlamaktadır.
Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket tarafından sunulmasını sağlamak amacıyla sınırlı olarak.
İştiraklerimiz
Şirket’in hissedarı olduğu şirketler
Şirket’in iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak.
Bağlı Bulunduğu Holding
Fatih Sultan Mehmet Mahallesi, Balkan Caddesi No. 58 Buyaka E Blok Tepeüstü, Ümraniye 34771 İstanbul, TÜRKİYE adresinde mukim Anadolu Grubu Holding A.Ş.
Şirket’in ticari faaliyetlerine ilişkin stratejilerinin planlanması ve denetim amaçlarıyla kullanılmakla sınırlı olarak.
Bağlı Bulunduğu Holdinge Ait Diğer Şirketler
Anadolu Grubu Holding A.Ş.’nin çeşitli sektörlerde faaliyet gösteren diğer şirketleri
Şirket’in ticari faaliyetlerine ilişkin stratejilerinin planlanması ve denetim amaçlarıyla kullanılmakla sınırlı olarak.
Hissedarlarımız
İlgili mevzuat hükümlerine göre Şirket’in ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan hissedarlarımız
İlgili mevzuat hükümlerine göre Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak
Hukuken Yetkili Kamu Kurum ve Kuruluşları
İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak.
Hukuken Yetkili Özel Hukuk Kişileri
İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili özel hukuk kişileri
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak.
Avukatlar/Hukuk büroları/Danışmanlar
Şirket’in hukuki ihtilafların çözümünde destek aldığı özel hukuk kişileri
Gerçek kişi müşterilerle /iş ortakları/tedarikçilerle vs oluşabilecek ihtilafların çözümü amacıyla
Veri Aktarım Şartlarına Uygun Olarak Diğer Üçüncü Kişiler
Sözleşmeye ve mevzuata uygun aktarım yapılan özel hukuk kişileri
Özel hukuk kişileri
Veri Aktarımı Yapılabilecek Kişiler
Tanımı
Veri Aktarım Amacı
İş Ortağı
grossper’un ticari faaliyetlerini yürütürken grossper ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır.
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak Sunulan ürün ve hizmetlerden faydalanılması için gerekli çalışmaların iş birimleri tarafından yapılması, Sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
Tedarikçi
grossper’un ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirketimize hizmet sunan tarafları tanımlamaktadır.
grossper’un tedarikçiden dış kaynaklı olarak temin ettiği ve grossper’un ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin grossper tarafından sunulmasını sağlamak amacıyla sınırlı olarak.
İştiraklerimiz
grossper’un hissedarı olduğu şirketler
grossper’un iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak
Bağlı Bulunduğu Holding
Fatih Sultan Mehmet Mahallesi, Balkan Caddesi No. 58 Buyaka E Blok Tepeüstü, Ümraniye
34771 İstanbul, TÜRKİYE adresinde mukim Anadolu Grubu Holding A.Ş.
grossper’un ticari faaliyetlerine ilişkin stratejilerinin planlanması ve denetim amaçlarıyla kullanılmakla sınırlı olarak
Bağlı Bulunduğu Holdinge Ait Diğer Şirketler
Anadolu Grubu Holding A.Ş.’nin çeşitli sektörlerde faaliyet gösteren diğer şirketleri
Hissedarlarımız
İlgili mevzuat hükümlerine göre grossper’un ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan hissedarlarımız
İlgili mevzuat hükümlerine göre grossper’un ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak
Hukuken Yetkili Kamu Kurum ve Kuruluşları
İlgili mevzuat hükümlerine göre grossper’tan tan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Hukuken Yetkili Özel Hukuk Kişileri
İlgili mevzuat hükümlerine göre grossper’tan bilgi ve belge almaya yetkili özel hukuk kişileri
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Avukatlar/Hukuk büroları/Danışmanlar
grossper’un hukuki ihtilafların çözümünde destek aldığı özel hukuk kişileri
Gerçek kişi müşterilerle /iş ortakları/tedarikçilerle vs oluşabilecek ihtilafların çözümü amacıyla
Veri Aktarım Şartlarına Uygun Olarak Diğer Üçüncü Kişiler
Sözleşmeye ve mevzuata uygun aktarım yapılan özel hukuk kişileri
Özel hukuk kişileri
KİŞİSEL VERİLERE İLİŞKİN HAKLAR VE YÜKÜMLÜLÜKLER
9.1. İlgili Kişilerin Şirket Tarafından Aydınlatılması Yükümlülüğü
KVK Kanunu’nun 10. Maddesi uyarınca; Şirket, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmakla yükümlüdür.
Bu kapsamda Şirket, kişisel verilerin toplanması esnasında veri sahiplerine kişisel verilerin kendisi tarafından işleneceğini, kişisel verilerinin hangi amaçlarla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplama yöntemi ve hukuki sebepleri ile KVK Kanunu’nun 11. Maddesi uyarınca veri sahibinin haklarının neler olduğunu bildirmekte ve gerekmesi halinde açık rıza almaktadır.
9.2. İlgili Kişilerin Hakları
Kişisel veri sahibi, KVK Kanunu’nun 11. maddesi uyarınca Şirket’e başvurarak aşağıdaki taleplerde bulunabilir:
Kişisel verilerinden hangilerinin Şirket’te saklanıp saklanmadığını öğrenme,
Kişisel verilerini işlenip işlenmediğini öğrenme,
Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
Kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
KVK Kanunu 7. maddesi kapsamında, KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kişisel verilerin aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
İşlenen kişisel verilerin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme
9.3. Kişisel Veri Sahibinin Hakları Dışında Kalan Haller
KVK Kanunu’nun 28. Madde’ sinin 1. Fıkrası’nda belirtilen hallerin varlığı halinde, KVK Kanunu hükümlerinin uygulanmayacağı düzenlenmiş olup; bu kapsamda Şirket tarafından işlenen kişisel verilere ilişkin olarak ilgili kişilerin KVK Kanunu’nda sayılan haklarını ileri sürmeleri mümkün değildir.
KVK Kanunu’nun 28. Maddesi 2. Fıkrası’nda belirtilen hallerde ilgili kişilerin zararın giderilmesini talep etme hakkı hariç olmak üzere; KVK Kanunu’nda sayılan diğer haklarını ileri süremezler.
9.4. Kişisel Veri Sahibinin Şirket’e Başvuru Hakkı
İlgili kişiler, KVK Kanunu’ nun 13’üncü maddesinin 1’inci fıkrası ve “Veri Sorumlusuna Başvuru Usul ve Esaslar Hakkında Tebliğ” gereğince, kendilerine kanunen tanınan hakların kullanımına ilişkin taleplerini Kişisel Veriler Hakkında Başvuru Formu’nu doldurarak ıslak imzalı veya güvenli elektronik imza ile Şirket’e iletmeleri gerekmektedir. Güvenli elektronik imzalı taleplerin dijitalplatformgida@hs01.kep.tr adresine, ıslak imzalı taleplerin ise Atatürk Mah. Turgut Özal Bulvarı No:7 Ataşehir-İSTANBUL adresine iletilmesi gerekmektedir. Yine Kişisel Veriler Hakkında Başvuru Formu’nu doldurarak işbu Politika içerisinde bahsi geçen websitesi ve uygulamalar aracılığıyla daha önce bildirilen ve sistemde kayıtlı bulunan elektronik posta adreslerini kullanmak suretiyle,kisiselverilerikoruma@grossperonline.com adresine e-posta ile iletilmesi gerekmektedir.
Başvuruda; i) Ad, soyad ve başvuru yazılı ise imza, ii) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,iii) Tebligata esas yerleşim yeri veya iş yeri adresi, iv) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, v) Talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgeler başvuruya eklenmesi gerekmektedir.
İlgili Kişiler adına üçüncü kişiler tarafından talepte bulunulması mümkün olmayıp, üçüncü bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak üçüncü kişi adına düzenlenen özel vekâletname ile yetki verilmiş olması gerekmektedir.
9.5. Şirket Tarafından İlgili Kişilerin Başvurularına Cevap Verilmesi
KVK Kanunu’nun 13. maddesi uyarınca; kişisel veri sahibinin yukarıda yer alan usule uygun olarak ilettiği başvurusunda yer alan talepler, Şirket tarafından, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Şirket, başvuruyu kabul eder veya gerekçesini açıklayarak reddedebilir. Şirket cevabı kendisine bildirilen iletişim adresine yazılı veya elektronik ortamda (e-posta yoluyla) bildirir. Talepte bulunan kişinin iletişim bilgisini vermediği, doğrulama yapılamadığı, Kişisel Veriler Hakkında Başvuru Formunun belirtilen şekilde tam ve eksiksiz olarak doldurulmadığı, bilgilerin eksik verildiği, 9.4. maddesinde belirtilen kanallardan ve belirtilen şekillerde başvuru yapılmadığı durumlarda Şirket’in cevap verme yükümlülüğü de bulunmamaktadır. İlgili kişinin vermiş olduğu iletişim adresine ulaşılamadığı durumlarda da ilgili kişiye başvurusuna ilişkin yanıt verilmiş kabul edilecektir.
Yapılacak işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınabilecektir. Başvurunun Şirket’in hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.
Şirket, başvuruda bulunan kişinin ilgili kişi olup olmadığını tespit etmek, başvuruda yer verilen talepleri netleştirmek adına ilgili kişiden bilgi talep edebilir.
Politika’nın 9.4 bölümünde belirtilen usule uygun olarak ve/veya kanunen geçerli tebligat ile iletilmeyen taleplerin Şirket’e ulaşmaması veya verilen cevabın başvurucuya ulaşmaması halinde Şirket’in sorumluluğundan bahsedilemez.
9.6. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Kişisel veri sahibi, KVK Kanunu’nun 14. Maddesi’nde belirtildiği şekilde kurula şikâyette bulunabilir.
Kişisel veri sahibi, KVK Kanunu’nun 13. Maddesi ve de bu Politika’nın 9.4. bölümünde düzenlenen başvuru hakkını kullanmadan, KVK Kurulu’na şikâyet yoluna başvuramaz.
Kişisel Verilerin Güvenli Bir Şekilde Saklanması İle Hukuka Aykırı Olarak İşlenmesi Ve Erişilmesinin Önlenmesi İçin Alınan Teknik Ve İdari Tedbirler
Şirket, KVK Kanunu’nun 12. Maddesi’ne uygun olarak, güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya üçüncü kişi firmalar ile yapılan sözleşmeler çerçevesinde yaptırmaktadır. Söz konusu çalışmalar sonucunda ortaya çıkan uyumsuzluklar ise maliyet, efor, uyumsuzluğun kritikliği vb. gibi risk analizlerine istinaden en kısa sürede kapatılmaya çalışılmaktadır.
10.1. Kişisel Verilerin İşlenmesinde Gizlilik
Şirket tarafından hukuka uygun olarak işlenen kişisel veriler, veri güvenliğine tabidir. Şirket özel nitelikli kişisel veriler ve web sitelerimiz ve/veya diğer uygulamalarımız üzerinden toplanan kişisel verilerinizin gizliliğini ve güvenliğini sağlamak üzere tüm gerekli teknik ve organizasyonel önlemleri almaktadır.
Şirket’in herhangi bir çalışanının bu verilere yetkisiz şekilde erişmesi, bu verileri işlemesi veya özel veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle paylaşması veya başka bir yöntemle bu verileri erişilebilir hale getirmeleri yasaktır. Şirket’in çalışanları kişisel verilere ancak söz konusu görevlerinin türü ve kapsamı çerçevesinde uygun şekilde erişebilir. Bunun için rol ve sorumluluklar detaylandırılmış ve ayrıştırılmıştır. Şirket’in meşru görevi çerçevesinde yetkilendirilmemiş olan herhangi bir çalışanının bu verileri işlemesi yetkisiz işlem anlamına gelmektedir.
Yöneticiler, istihdam ilişkisinin başlangıç aşamasında çalışanlarını veri gizliliğini koruma yükümlülüğü hususunda bilgilendirmelidir. Söz konusu yükümlülük istihdamın sona ermesinden sonra da devam edecektir.
10.2. Kişisel Verilerin İşlenmesinde Güvenlik
Kişisel veriler, yetkisiz erişime, yasa dışı veri işleme veya ifşaya ve verilerin kazara kaybına, değiştirilmesine veya imhasına karşı Şirkettarafından korunmaktadır. Kişisel veriler, halka açık olmayan ve sadece yetkili Şirketçalışanları (çalışanlarımızla yapılan gerek İş Sözleşmesi gerekse Gizlilik Sözleşmesi kapsamında), aracılarımız ve yüklenicilerimiz tarafından erişilebilen güvenli çalışma ortamlarında saklanmaktadır.
Kişisel verilere erişmeden önce kişisel verileri saklanan müşterilerimiz açısından (, veri sahibinin, işbu Politika’da bahsi geçen web sitesi veya uygulama üzerinden kimlik bilgilerinin doğrulanması yapılmaktadır. Yine çalışanlarımızı kullanmış olduğu İK portal üzerinden kimlik bilgilerinin doğrulanması yapılmaktadır.
İşbu hüküm, veriler ister elektronik ortamda ister kâğıt üzerinde işlensin, geçerli olacaktır. Yeni veri işleme yöntemleri, bilhassa da yeni bilgi teknolojisi sistemleri ortaya çıkıncaya kadar, kişisel verileri korumaya yönelik olarak aşağıda teknik ve idari tedbirler tanımlanıp hayata geçirilmektedir. Söz konusu tedbirler mevcut olan en ileri teknolojiyi, veri işleme risklerini ve verileri koruma gereksinimini dikkate alarak tasarlanmıştır.
10.3. Teknik Tedbirler
Şirket bünyesinde kişisel veri işleme faaliyetleri ile güvenli ortamda saklanması teknik sistemlerle yürütülmekte, teknik çözüm uygulamaları yapılmaktadır. Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta ve risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
Bunun yanında teknik konularda bilgili ve tecrübeli personel istihdam edilmektedir. . Gerektiğinde 3.taraf şirketlerden hizmet alımı yoluyla bilgili ve tecrübeli çalışanlardan da faydalanılmaktadır.
10.4. İdari Tedbirler
Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi, mevzuata aykırı olarak başkasına açıklanamayacağı ve işleme amacı dışında kullanamayacağı konusunda bilgilendirilmekte ve eğitilmektedir.
Şirket ile çalışanları arasındaki sözleşme ve belgelere, Şirket talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar ile taahhütler eklenmektedir.
Çalışanların kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğüne uyumlarının denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler alınmaktadır.
Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ve kişisel verilerin saklanması konusunda üçüncü kişilerden teknik hizmet alınması halinde bu kişiler ile akdedilen sözleşmelere; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda gerekli tedbirlerin alınması ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
Şirket, iş ortaklarına yönelik kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya ilişkin eğitimler ve seminerler düzenlenmesini sağlamaktadır.
10.5. Denetim Faaliyetlerinin Yürütülmesi
Şirket, KVK Kanunu’nun 12. maddesine uygun olarak, kendi ve iş ortakları bünyesinde gerekli denetimleri yapmakta veya 3. Kişi firmalar ile yapılan sözleşmeler çerçevesinde yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tüm tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
10.6. Kişisel Verilerin Kanuni Olmayan Şekilde İfşası Durumunda Alınacak Tedbirler
Şirket, KVK Kanunu ve ilgili mevzuata uygun olarak işlenen kişisel verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, KVK Kanunu 12. Maddesi 5. Fıkrası uyarınca, belirtilenleri yapmakla yükümlü olup; gerekli tespit ve bildirimin yapılmasını sağlamak amacı ile gerekli sistem oluşturulmuştur. Bu konuda acil durum komitesi görevlendirilmiş ve yetkilendirilmiş olup bu komite olayın meydana gelmesinden sonra olabildiği en kısa sürede acilen toplanacak ve ilk müdahale ve etkinliğini bu toplantıda aldığı kararla yerine getirecektir. Süreç bu komite tarafından takip edilerek yönetilecek en geç 72 saat içerisinde gerekli önlem ve tedbirlerde alınarak KVKK’ya bildirim yapılacaktır.
KVK Kurulu’na yapılan bildirim akabinde, KVK Kurulu, KVK Kanunu’nun 12. Maddesi 5. Fıkrası’ nda belirtildiği şekilde bu durumu ilan edebilir.
KAYIT ORTAMLARI
11.1. Depo, Genel Müdürlük Binası, Sanal Mutfak vb. Girişinde ve/veya İçerisinde Yapılan Kayıt ve Takibi
Şirket tarafından sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, Şirket’in, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlarla, depo, , genel merkez binası, sanal mutfak ve Şirket’in faaliyetini yürüttüğü tesislerde güvenlik kamerasıyla izleme suretiyle kişisel veri işleme faaliyetinde bulunulmaktadır. Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.
Şirket tarafından kişisel veri sahibi KVK Kanunu’nun 10. maddesine uygun olarak, gerek internet sitesinde Gizlilik ve Veri Güvenliği Politikası’nın yayınlanması gerekse izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmak suretiyle aydınlatılmakta ve elde edilen kişisel veriler bu Politika da belirtilen idari ve teknik tedbirlerle korunmaktadır.
11.2. Depo, Sanal Mutfak vb.Şirket’in Faaliyetinin bulunduğu Tesislerin Güvenliğinin Sağlanması ve İnternet Sitesi Ziyaretçileri
Şirket tarafından güvenliğin sağlanması amacıyla, depo, sanal mutfak vb. Şirket’in faaliyetinin bulunduğu tesislerde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Kurum, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, Kurum’un, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
Kurum tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
İnternet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Kurum içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğün yerine getirilmesi amacıyla işlenmektedir.
Şirket’in işbu Politika’da bahsi geçen websiteleri ve uygulamaları ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Ör. çerez-cookie gibi) site içerisindeki internet hareketleri kaydedilmektedir.
Bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin “Çerez Aydınlatma Metni” içerisinde yer almaktadır.
11.3. Roller ve Sorumluluklar
İşbu Politika’nın Şirket’in işleyiş, faaliyet ve süreçlerinde uygulanmasından, Genel Müdür sorumlu olmakla birlikte; bu politikaya uygun hazırlanan yönetmelik, prosedür, kılavuz standart ve eğitim faaliyetlerinin uygulanmasında, ilgili Genel Müdür Yardımcılıkları ve Direktörler bölümü/birimi/kişisi tavsiye kaynağı ve rehber olacaktır.
Şirket genelinde tüm çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler bu politikaya uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, Kişisel Verilerin Korunması Komitesi ekibiyle iş birliği yapmakla yükümlüdürler. Şirket’in tüm organ ve departmanları bu politikaya uyulmasını gözetmekle sorumludur, uyulmayan durumlarda Kişisel Verilerin Korunması Komitesi ekibine bilgilendirmede bulunmalıdır.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KAPSAMINDA ŞİRKET İÇİ YÖNETİŞİM
Şirket bünyesinde, 6698 sayılı Kanun’a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla Kişisel Verilerin Korunması Komitesi (“Komite”) kurulmuştur. Komite’nin başlıca görevleri aşağıda belirtilmektedir:
Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içinde gerekli görev dağılımını yapmak ve koordinasyonu sağlamak,
6698 sayılı ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
Kişisel verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirket iş ortakları nezdinde farkındalığı arttırmak,
Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayına sunmak,
Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip etmek, hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,
Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
İlgili Kişilerin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak,
İlgili kişilerin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
Üst yönetimin kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini sunmak,
GÖZDEN GEÇİRME
Bu politika yılda 1 kez Kişisel Verilerin Korunması Komitesi tarafından gözden geçirilerek gerekli güncellemeler yapılır. Üst yönetimin onayı sonrası güncellenmiş politika ilgili kişiler/taraflar bilgilendirilerek kullanılmaya başlanır.
SON HÜKÜMLER
İşbu Politika Kişisel Verilerin Korunması Komitesi tarafından hazırlanarak onaylanmıştır. İşbu politikanın Türkçe dışında başka bir dile çevrilmesi durumunda iki politika arasındaki farklı ifadelerde her zaman Türkçe metni dikkate alınmalıdır. İşbu politika Dijital Platform Makrogorss A.Ş’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.