Kişisel Verilerin İşlenmesi Politikası
BURCU OKUT JEWELLERY
KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ,
SAKLANMASI VE İMHASI
POLİTİKASI
1. TANIMLAR
|
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
|
Anonim Hale Getirme |
Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
|
İlgili Kullanıcı |
Kişisel Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Şirket içerisinde veya Şirketten aldığı yetki ve talimat doğrultusunda Kişisel Verileri İşleyen kişileri ifade eder. |
|
Kanun |
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’dur. |
|
Kişisel Veri |
Ad-soyad, adres, T.C. kimlik numarası, telefon numarası, e-posta dahil ancak bunlarla sınırlı olmamak üzere kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
|
Kurul |
Kişisel Verileri Koruma Kurulu’nu ifade eder. |
|
Kurum |
Kişisel Verileri Koruma Kurumu’nu ifade eder. |
|
Kişisel Verilerin İmha Edilmesi |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
|
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. |
|
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. |
|
Politika |
İşbu “Kişisel Verilerin Korunması, İşlenmesi, Saklanması Ve İmhası Politikası”nı ifade eder. |
|
Silme |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
|
Şirket |
Burcu Okutan Şahbudak veya Burcu Okut Jewellery ’i ifade eder. |
|
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. |
|
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
|
Veri Sahibi |
Kişisel verisi işlenen gerçek kişiyi ifade eder. |
|
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
|
Web Sitesi |
Şirkete ait www.burcuokut.com internet sitesini ifade eder. |
|
Yok Etme |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
2. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ HAZIRLANMA AMACI
Bu Politika’nın hazırlanma amacı, verileri Şirket tarafından veri sorumlusu sıfatıyla işlenen gerçek kişileri; kişisel verilerinin toplanma, işlenme, saklanma, korunma ve imha süreç, şekil ve amaçları ile Kanun uyarınca haklarına ve haklarını kullanma yöntemlerine ilişkin bilgilendirmektir.
3. POLİTİKANIN KAPSAMI VE DEĞİŞTİRİLMESİ
Bu Politika, Kanun ve kişisel verilere ilişkin sair mevzuat uyarınca bilgileri içermekte olup www.burcuokut.com Web Sitesinde yayınlandığı tarihinde yürürlüğe girecektir. Politika, yasal değişiklikler, Şirket’in Kişisel Verileri işleme süreçlerinde meydana gelecek değişiklikler veya sair sebeplerle zaman zaman güncellenebilir. Güncellemeler yeni Politika’nın Web Sitesi’nde yayını tarihinden itibaren geçerli olur. Politikanın hazırlanmış olduğu Türkçe dilindeki hali ile diğer dillere çevirisi arasında herhangi bir uyuşmazlık çıkması halinde, Türkçe metin dikkate alınmalıdır.
4. KİŞİSEL VERİLERİ İŞLEME FAALİYETİNİN ŞARTLARI
Kişisel Verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel Veriler, Kanun’un 5. maddesi uyarınca Veri Sahibinin açık rızası olmaksızın işlenemez. Ancak yine aynı maddenin düzenlemesi gereği; aşağıdaki şartlardan birinin varlığı hâlinde, Veri Sahibinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
· Kanunlarda açıkça öngörülmesi: Veri sahibinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde açık rızası alınmadan hukuka uygun olarak işlenebilecektir.
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması: Şirketin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde kişisel veri sahibinin verileri işlenebilecektir.
· İlgili kişinin [Veri Sahibinin] kendisi tarafından alenileştirilmiş olması: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirmiş olması halinde ilgili kişisel veriler işlenebilecektir.
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
· İlgili kişinin [Veri Sahibinin] temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
·
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Kanun’un 6. maddesi uyarınca özel nitelikli kişisel verilerin, işlenmesi yasaktır. Ancak aşağıda hallerin varlığı halinde işlenmesi mümkündür:
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
Kanun’un 4. maddesi uyarınca Kişisel Veriler ancak Kanun’da veya diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel Verilerin işlenmesi sırasında bir takım ilkelere uyulması ise aynı madde ile zorunlu tutulmuştur.
Bu kapsamda Şirket kişisel verilerinizi şu ilkelere uygun olarak işler:
· Hukuka ve dürüstlük kurallarına uygun olma: Şirket, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile hukuka ve dürüstlük kuralına uygun hareket etmektedir.
· Doğru ve gerektiğinde güncel olma: Şirket, faaliyetleri kapsamında uymak zorunda olduğu diğer mevzuat hükümleri ile birlikte Kanun kapsamında kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır
· Belirli, açık ve meşru amaçlar için işlenme: Şirket meşru ve hukuka uygun olan kişisel veri işleme amaçlarını açık ve kesin olarak belirlemektedir. Bu kapsamda kişisel veriler, Banka tarafından sunulmakta ya da sunulacak ürün ve/veya hizmetler ve yasal yükümlülükleri ile sınırlı olarak işlenmektedir. Bu kapsamda, kişisel verilerin hangi amaçlarla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır
· İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirket kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve söz konusu amaçların gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu doğrultuda kişisel verilerin işlenmesi faaliyetler ve yasal yükümlülükler ile sınırlıdır.
· İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Şirket kişisel verileri ancak ilgili uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Böyle bir süre belirlenmemiş ise, Kişisel Veriler, ancak işlendikleri amaç için gerekli olan süre boyunca muhafaza edilir.
7. KİŞİSEL VERİ SAHİPLERİ KATEGORİZASYONU
Şirket tarafından Kişisel Verileri işlenebilecek gerçek kişiler aşağıda detaylı olarak açıklanmış ve kategorize edilmiştir.
|
Veri Sahibi |
Açıklamalar |
|
Çalışan |
Bir iş sözleşmesine bağlı olsun olmasın Şirket bordrosunda çalışan kişiler ile Şirket nezdinde staj (zorunlu/isteğe bağlı) eğitimi gören öğrencileri/mezunları ifade eder. |
|
Hizmet Alınan Firmalar |
Bir sözleşme kapsamında olsun olmasın, Şirkete hizmet sunan şirketlerini tanımlar. |
|
İşbirliği Yapılan Firma |
Şirket ile belli bir işin yapılmasını birlikte üstlenen ve bu iş sonucu kazancın paylaşıldığı şirketleri ifade eder. |
|
İlgili Kişi (Başvuran) |
Kişisel verilere ilişkin olanlar dahil, yazılı, sözlü veya elektronik olarak Şirkete başvurarak soru, talep, öneri, şikayet, başvuruları ileten gerçek kişileri ifade eder. Bu kategorizasyonda belirtilen diğer veri sahipleri de ilgili kişi (başvuran) olabilir. |
|
Müşteri |
Bir sözleşmeye bağlı olsun olmasın Şirket tarafından sunulan ürün, servis veya hizmetlerden faydalanan veya faydalanması değerlendirilen ya da görüşülen gerçek kişileri ve şahıs şirketlerini ifade eder. |
|
Potansiyel Çalışan |
Şirket bünyesinde istihdam edilmek veya stajını (zorunlu/isteğe bağlı) yapmak üzere Şirkete özgeçmişini ileten kişileri ifade eder. |
|
Tedarikçi |
Şirket tarafından ürün, servis ve/veya hizmetlerin sunulabilmesi için gerekli bir mal veya hizmeti sağlayan gerçek kişileri ve şahıs şirketlerini ifade eder. |
|
Ziyaretçi |
Şirket işyerine, bir ürün, servis, hizmet sunmak veya almak için olsun veya olmasın fiziken gelen tüm gerçek kişiler; ile Web Sitesi’ni üye olsun olmasın kullanan, verilerini buraya kaydeden, Web Sitesi üzerinden verilerini sunan veya verileri Web Sitesi kullanım koşullarına uygun olarak toplanan gerçek kişi ziyaretçileri ifade eder. Bu kategorizasyonda belirtilen diğer veri sahipleri de Web Sitesi ziyaretçisi olabilir.
|
8. İŞLENEN KİŞİSEL VERİLER
Şirket nezdinde; Şirket’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’un 5’inci maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4’üncü maddede belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere ve Kanun’da düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10’uncu maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
|
KİŞİSEL VERİ KATEGORİSİ |
KİŞİSEL VERİ KATEGORİ AÇIKLAMASI |
|
|
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, vatandaşlık bilgisi, nüfus cüzdanı sıra-seri no.,pasaport numarası, yabancı kimlik numarası, anne adı-baba adı, anne kızlık soyadı, doğduğu ülke, doğum yeri, doğum tarihi, cinsiyet, medeni hal bilgisi, evlilik tarihi,ehliyet, nüfus cüzdanı, vukuatlı nüfus cüdan örneği ve pasaport gibi belgeler ile vergi numarası, SGK numarası, elektronik imza, imza bilgisi, imza beyannesi, taşıt plakası v.b. bilgiler. |
|
İletişim Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; adres, telefon numarası, ikametgah, e-mail adresi, kayıtlı elektronik posta adresi (KEP) faks numarası gibi bilgiler. |
|
Çalışan Adayı Bilgisi |
Şirket’e herhangi bir yolla iş başvurusunda bulunmuş gerçek kişilerin özgeçmiş bilgileri, araç kullanım bilgisi, askerlik durumu, hobileri, referansları, iş başvuru formları, iş görüşmesi bilgileri, iş mülakatı değerlendirme bilgileri, şirket dışı tecrübe bilgisi ve transkript bilgisi gibi verilerdir. |
|
Çalışan Bilgisi |
İş Sözleşmesi kapsamında şirkette görevleri gereği çalışan gerçek kişilere ait çalışan askerlik durum bilgisi, çalışan bölüm, depertman,görev, pozisyon bilgisi, çalışan emeklilik bilgisi, çalışan hobileri, çalışan sicil no, çalışan sigorta bilgileri, çalışanın kariyer gelişimi için katıldığı aktiviteler ve kurslar, çalışanın şirket içi tecrübesi, dahil olduğu projeler ve/veya dahil olduğu eğitimler, çalışanlara araç tahsis edilmesine ilişkin bilgiler, çalışanlara sağlanan telefonlara ilişkin bilgiler, devamsızlık bilgileri, disiplin cezası bilgileri, disiplin işlemeleri bilgiler, emeklilik bilgisi, fazla mesai saati, giriş-çıkış bilgileri, işe giriş, işten çıkış tarihi, izin bilgileri verileri, kıdem ve tazminat bilgileri, maaş bilgileri, performans değerlendirme verileri, puantaj bilgileri, vardiya bilgisi, zimmet formu bilgileri
|
|
Hukuki İşlem Bilgisi
|
Şirket’in hukuki süreçleri, alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri kapsamında işlenen veriler, adli makamlarla yazışmalardaki bilgiler,adli sicil kaydı, gelen giden evraklar, dava dosyaları, haciz bilgisi, yasal takip bilgisi, icra,maaş haczi ve nafaka bilgileri, polis tutanakları gibi bilgiler. |
|
Müşteri Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen üretilen açık rıza, gerçek kişi müşterinin bağlı olduğu ticaret sicil müdürlüğü bilgisi, faaliyet gösterdiği sektör, ticaret sicil numarası, müşteri numarası, sipariş bilgisi, şahıs firmasın adı, yasaklılık bilgisi gibi bilgilerdir. |
|
Müşteri İşlem Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket’in ticari faaliyetleri ve iş birimlerinin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen, fatura, senet çek bilgisi, sipariş bilgisi, talep bilgisi, teslimat bilgisi, ürün iade bilgisi, teklif gibi bilgiler. |
|
Fiziksel Mekan Güvenlik Bilgisi
|
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekana girişte ve çıkışta, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; ziyaret bilgisi, kamera kayıtları ve güvenlik noktasında alınan kayıtlar v.b. |
|
İşlem Güvenliği Bilgisi
|
Şirket’in faaliyetlerini yürütürken, gerek Kişisel Veri Sahibi’nin gerekse de Şirket’in teknik, idari, hukuki ve ticari güvenliğine ilişkin işlenen bilgisayar ID, Imei bilgisi, cihaz bilgisi, IP Adres bilgileri, İnternet erişim kayıt logları, İnternet Sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi kişisel verilerdir. |
|
Finansal Bilgi
|
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket’in Kişisel Veri Sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile asgari geçim indirimi bilgileri,banka hesap bilgileri,banka kartı ccv,banka kartı numarası, banka kartı son kullanma bilgileri, bordro bilgileri, borç ve alacak durumu bilgisi, çek numarası, çek ödeme durumu, ekstre bilgileri , fatura bilgileri, hissedarlık bilgisi , işlem tutarı, kredi kartı şifrelendirilmiş talimat kodu, masraf formu verileri, müşteri ödeme dekontları-fatura-fiş-makbuz, ödeme bilgileri (iban,mizan), sgk bilgisi, tapu fotokopisi, tazminat bilgileri, teminat mektubu nüshaları, vadeli ödeme tutarı, vergi durum bilgisi, vergi muafiyeti bilgilerigibi veriler. |
|
Görsel/İşitsel Bilgi
|
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç), fotoğraf, video kaydı,ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler. |
|
Denetim - Teftiş Kayıtları ve Raporları |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen Şirketimizin Kanuni yükümlülüklerine ve Şirket politikalarına uyum ve denetim kapsamında işlenen veriler anlamına gelmektedir. |
|
Sağlık Bilgileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin iş süreçlerini yürütmek veya Şirket’in ve Kişisel Veri Sahibi’nin hukuki ve diğer menfaatlerini korumak amacıyla elde edilen Kişisel Veri Sahibi’nin ve/veya aile bireylerinin Sağlık Raporu, Engelli vergi muafiyet belgeleri, sigorta belgeleri, askerlik durum belgesi, kan grubu bilgisi gibi bilgilerdir. |
|
Ceza Mahkumiyeti Ve Güvenlik Tedbirleri Bilgileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde veya Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin iş süreçlerini yürütmek veya Şirket’in ve Kişisel Veri Sahibi’nin hukuki ve diğer menfaatlerini korumak amacıyla elde edilen Kişisel Veri Sahibi’nin adli sicil kaydı gibi verileri |
|
Pazarlama Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler anlamına gelmektedir. |
9. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
Şirket, bu Politika’nın, Kanun’un ve ilgili sair mevzuatın düzenlemelerine uygun olarak, yazılı, sözlü, elektronik yollardan, görüntü/ses kaydı yoluyla veya fiziksel olarak Veri Sahibi ile karşı karşıya gelmek suretiyle toplamakta ve işlemektedir.
Veri toplama süreci; i) Web Sitesi, e-posta, işe alım portalları dahil dijital mecralar veya bir yazılım üzerinden; ii) sözleşmeler, başvurular, formlar, Web Sitesi’ndeki çerezler, kartvizit, telefon gibi vasıtalar aracılığıyla; veya iii) Veri Sahibi ile yüz yüze yapılan görüşmeler aracılığıyla gerçekleşebilmektedir.
10. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket, Kişisel Verileri belli, açık ve meşru amaçlarla işlemektedir. Bu kapsamda Kişisel Veriler aşağıda sayılan amaçlarla işlenebilmektedir:
· Sözleşmelerin müzakeresi, akdedilmesi ve ifası,
· Ürün ve hizmetlerin sunulabilmesi,
· Sunulan ürün ve hizmetlerin taleplere uygun olarak özelleştirilmesi; müşteri ihtiyaçları, yasal ve teknik gelişmeler sebebiyle güncellenmesi, geliştirilmesi,
· Yeni veya mevcut ürün, hizmet ve kampanyaların duyurulması, satış ve pazarlama faaliyetlerinin yürütülmesi,
· İstatistik oluşturulması ve kullanımların analiz edilmesi,
· Ürün ve hizmet bedellerinin ödenmesi, tahsil edilmesi, tahsilat yönteminin seçilmesi,
· İrtibat/iletişim sağlanması,
· İşbirliği yapılan firmalar, tedarikçiler, yeniden satıcılar ve hizmet alınan firmalarla olan ticari ilişkilerin yürütülmesi,
· Şirketin ticari stratejilerinin geliştirilmesi ve planlarının yapılması,
· Şirket tarafından memnuniyet ölçümü anketleri için iletişim kurulması,
· Adli/idari süreçlerin yönetimi, kamu kurum kuruşlarından gelen taleplere cevap verilmesi, yasal düzenlemelere bağlı olarak hukuki yükümlülüklerin yerine getirilmesi, hukuki uyuşmazlıkların çözümlenmesi,
· İş görüşmelerinin yürütülmesi, iş başvurularının değerlendirilmesi,
· İş ilişkisinin/sözleşmesinin kurulması, yürütülmesi ve sonlandırılması,
· Şirket çalışanlarının iş sözleşmelerinden doğan asıl ve yan haklardan yararlandırılması, performansının ve çalışmalarının değerlendirilmesi,
· Ziyaretçi kayıtlarının oluşturulması ve takibi,
· Şirketin iç ve çevre güvenliği ile Web Sitesi’nin ve Uygulamalar’ın güvenliğinin sağlanması,
· Web Sitesi’nin kullanım analizi,
· Kişisel veri envanterinin oluşturulması,
· Kişisel verilere ilişkin olanlar dahil, yazılı, sözlü veya elektronik olarak iletilen tüm soru, talep, öneri, şikayet ve başvuruların değerlendirilmesi, bunlara cevap verilmesi.
11. KİŞİSEL VERİLERİN AKTARILMASI
11.1. Kişisel Verilerin Yurt İçinde Aktarılması
Kanun’un 8. maddesi uyarınca Kişisel Veriler kural olarak, Veri Sahibinin açık rızası olmaksızın üçüncü kişilere aktarılamaz.
Ancak Politika’nın 4. maddesinde belirtilen, Veri Sahibinin açık rızası aranmayacak hallerden birinin mevcut olması halinde Kişisel Verilerin üçüncü kişilere aktarımı mümkündür.
11.2. Kişisel Verilerin Yurt Dışına Aktarılması
Kanun’un 9. maddesi uyarınca Kişisel Veriler, (i) Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında Kurul tarafından verilmiş bir yeterlilik kararı bulunması halinde (ii) yeterlilik kararı bulunmuyorsa Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı gibi Kanun’da sayılan uygun güvencelerin varlığı (iii) arizi hallerde yurt dışına aktarmaktadır.
11.3. Kişisel Verilerin Aktarılabileceği Üçüncü Kişiler
Şirket Kişisel Verileri, bu Politika’nın 9. maddesinde belirtilen amaçlarını gerçekleştirmek için, Kanun’un 8. ve 9. maddelerine uygun olarak, yurt içinde veya yurtdışındaki, gerçek veya tüzel kişi olabilecek, aşağıda belirtilen üçüncü kişilere aktarabilmektedir:
· Danışmanlar
· Denetim Firmaları (bağımsız denetim yapmak üzere, yeminli mali müşavirlik ya da serbest muhasebeci mali müşavirlik ruhsatına sahip meslek mensupları arasından Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yetkilendirilen kişileri ifade eder.)
· Hizmet Alınan Firmalar
· İşbirliği Yapılan Firmalar
· Müşteriler
· Tedarikçiler
· Bankalar ve Finans Kuruluşları
· Yargısal Merciler ve Kamu Otoriterleri
12. KİŞİSEL VERİLERİN GİZLİLİĞİ VE GÜVENLİĞİ
Şirket, Kişisel Verilerin gizliliğine ve güvenliğine önem vermekte, Kişisel Verileri korumak için Kanun’un ve ilgili mevzuatın öngördüğü ölçüde hukuki, teknik ve idari tedbirler almaktadır.
12.1. Kişisel Verilerin Saklanmasını Ve İmhasını Gerektiren Sebepler
12.1.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ve Diğer Sebepler
Kişisel verilerin esas toplanma amacının veya varsa, bu Politikada belirtilen işleme dayanağının ortadan kalkması halinde Kişisel Veriler, Şirket tarafından;
· Şirketin doğmuş ya da doğabilecek yasal sorumluluklarını yerine getirebilmesi amacı ile ve kanunlarda öngörülen ölçülere ve/veya emredilen sürelere uygun olarak,
· Silinmesi ve/veya anonimleştirilmesi öngörülen veriler ise; iş sürekliliği, veri kaybının önlenmesi ve veri koruma amacıyla yedek/arşiv ve benzeri ortamlarda erişime hazır olmayan şekilde,
· Silme, yok etme veya anonimleştirme yolu ile imha edilecek veriler ise en geç bir sonraki periyodik imha tarihine kadar
saklanmaya devam edilecektir.
12.1.2. Kişisel Verilerin İmhasını Gerektiren Hukuki, Teknik ve Diğer Sebepler
· Kişisel Verilerin işlenmesini gerektiren tüm amaçların ve saklanmasını gerektiren sebeplerin ortadan kalkması,
· Kişisel Verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, Veri Sahibinin rızasını geri alması,
· Veri Sahibi’nin, Kanun’un 11. maddesinde ve bu Politika’nın 16. maddesinde belirtilen haklarını kullanarak Kişisel Verilerinin imha edilmesini talep etmesi ve yapılan başvurunun Şirket tarafından kabul edilmesi veya bu talebin reddi üzerine Kurul’a şikayet sonucu talebin Kurul tarafından uygun bulunması,
· Kişisel Verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, Kişisel Verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
12.2. Kişisel Verilerin Güvenli Bir Şekilde Saklanması İle Hukuka Aykırı Olarak İşlenmesinin Ve Erişilmesinin Önlenmesi İçin Alınmış Tedbirler
12.2.1. Teknik Tedbirler
· Kişisel Verilere erişim yetkileri belirlenmekte, sınırlandırılmakta, periyodik olarak kontrol edilmekte ve erişim kayıtları tutulmaktadır,
· Kişisel Veriler üzerinde gerçekleştirilen tüm işlemlerin hareket kayıtları güvenli olarak kaydedilmektedir,
· Kişisel Verilere hem şirket içerisinden hem de dışarıdan hukuka aykırı bir müdahalenin önlenmesi için veri kayıt ortamları virüs koruma programları başta olmak üzere çeşitli yazılımlar/donanımlar, şifreler ve fiziki önlemler aracılığıyla korunmaktadır,
· Kişisel Verilerin Kanunda öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla gerekli denetimleri yapılmakta veya yaptırılmaktadır,
12.2.2. İdari Tedbirler
· Çalışanlar, Kanun ve sair mevzuat ve bunlarda meydana gelen gelişmeler ışığında verilerin güvenliğinin sağlanması ve hukuka uygun işlenmesi konusunda eğitimlere tabi tutulmakta ve bilgilendirilmektedir,
· Şirket içerisinde düzenli olarak denetimler yapılmaktadır,
· Çalışanlarla ve üçüncü şahıslarla akdedilecek sözleşmelerde, verilerin gizliliğini koruma altına alan hükümlerin yanında, Kişisel Verilerin işlenme amaçları, kapsamı ve süresi belirlenmekte, tarafların sorumlulukları açıkça düzenlenmekte, hukuka ve sözleşme hükümlerine aykırı işleme faaliyetlerini yaptırıma bağlayan hükümler eklenmektedir.
12.3. Üçüncü Taraf Kuruluşlara Ait Ürün ve Hizmetler
Şirketin sunduğu ürün ve hizmetler ile sahibi olduğu Web Sitesi ve Uygulamalar; Şirketin sahibi olmadığı ve işletimini kontrol etmediği, üçüncü taraf kuruluşlar tarafından işletilen web sitesi, ürün ve hizmetler içerebilir ve bunlara bağlantı sağlanabilir. Bu web sitesi, ürün ve hizmetlerden faydalanmanız durumunda kişisel verileriniz üçüncü taraf kuruluşlara aktarılabilir. Şirketin erişim sağlanan bu web sitesi, ürün ve hizmetlere ilişkin, içerik, uygunluk, güvenlik, gizlilik politikaları ve iletişimin sürekli sağlanacağına dair herhangi bir garantisi ya da özel bir taahhüdü yoktur. Herhangi bir işlem yapılmadan önce söz konusu firmalara ait güvenlik ve gizlilik koşulları okunmalıdır.
13. KİŞİSEL VERİLERİN İMHASI
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini ve saklanmasını gerektiren tüm sebeplerin ortadan kalkması hâlinde Kişisel Veriler, re’sen veya Veri Sahibinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hâle getirilir.
13.1. Kişisel Verilerin Silinmesi
Kişisel Verilerin silinmesi, Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
13.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
13.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel Verilerin anonim hale getirilmesi, Kişisel Verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin anonim hale getirilmiş olması için; kişisel verilerin; Şirket, verilerin aktarıldığı üçüncü kişi veya kişiler tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
14. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
Şirket, Kişisel Veriler’i mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
15. PERİYODİK İMHA SÜRELERİ
Şirketin periyodik imha süresi 6 aydır. Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu süreyi kısaltabilir.
16. VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI USULLERİ
16.1. Veri Sahibinin Hakları
Veri Sahibi, Kanun’un 11. maddesi uyarınca Şirketine başvurarak kendisiyle ilgili;
· Kişisel Verilerinin işlenip işlenmediğini öğrenme,
· Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bu kapsamda yapılan işlemin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
16.2. Kanunun Uygulanmayacağı ve Veri Sahibinin Haklarını Kullanamayacağı Haller
Kanun’un 28. maddesinin 1. fıkrası uyarınca Kanun’un hükümleri aşağıda belirtilen hallerde uygulanmayacaktır:
· Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
· Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
· Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
· Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
· Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kanun’un 28. maddesinin 2. fıkrası uyarınca ise, aşağıdaki hallerde Veri Sahibi zararın giderilmesini talep etme hakkı hariç bu Politika’nın 14.1 maddesinde belirtilen haklarını kullanamaz:
· Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
· İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
· Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
· Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
16.3. Veri Sahibinin Haklarını Kullanma Usulleri
Veri Sahibi, bu Politika’nın 16.1 maddesinde belirtilen hakları kapsamında taleplerini; yazılı olarak veya kayıtlı elektronik posta (KEP), güvenli elektronik imza, mobil imza ya da Veri Sahibi tarafından daha önce bildirilen ve Şirket sisteminde kayıtlı bulunan elektronik posta adresi vasıtasıyla iletebilir.
Yazılı olarak yapılacak başvurularda Veri Sahibi, hakkını, ıslak imzalı olarak, noter aracılığıyla “Suadiye Mahallesi Ülkü Sokak No: 10/A Bağdat Caddesi – Kadıköy/ İstanbul” adresine göndermek veya aynı adrese bizzat ya da vekili aracılığıyla elden ulaştırmak suretiyle kullanabilir.
Yukarıda belirtilen diğer yollarla (elektronik olarak) yapılacak başvurularda Veri Sahibi, hakkını, daha önce daha önce sistemlerinde kayıtlı bulunan e-psta adresi üzerinden bilgi@burcuokut.com e-posta adresine göndererek ve veya kayıtlı elektronik posta (KEP) adreslerine göndermek suretiyle kullanabilir.
Kimliği tevsik edici ve varsa talebi destekleyici belgelerin; Veri Sahibinin haklarını vekili aracılığıyla kullanmak istemesi durumunda, bu konuda özel yetkiyi içeren vekaletname suretinin formla birlikte Şirkete iletilmesi zorunludur.
16.4. Veri Sahibinin Başvurusuna Cevap Verilmesi
Talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak cevaplandırılacaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret alınabilir.
Başvuruda; bilgilerin eksik veya yanlış paylaşılması, talebin açık ve anlaşılır bir şekilde dile getirilmemiş olması, talebi destekleyici nitelikteki belgelerin hiç veya gereği gibi iletilmemesi, vekil suretiyle yapılan başvurularda vekaletname suretinin eklenmemesi gibi durumlarda Şirket, talepleri karşılamakta güçlük yaşayabilecek ve araştırma sürecinde gecikmeler yaşanabilecektir. Bu nedenle Kanun’un 11. maddesinde belirtilen hakları kullanımında bu hususlara riayet edilmesi önem arz etmektedir. Aksi durumda yaşanacak gecikmelerden Şirket sorumlu tutulamayacaktır.
Hatalı, gerçeğe/hukuka aykırı ve/veya kötüniyetli başvurular karşısında Şirketin yasal hakları saklıdır.
16.5. Veri Sahibinin Kurula Şikayet Hakkı
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Veri Sahibi, Şirketin cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunma hakkına sahiptir.