Versiyon 1.0
01.06.2024.
İşbu Kişisel Veri Koruma ve İşleme Politikası (“Politika”), veri sorumlusu sıfatıyla MOST AMAZING PLACES TANITIM VE TİCARET A.Ş. (“Şirket”)’nce gerçekleştirilmekte olan kişisel veri işleme ve koruma faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirketimiz; benimsemiş olduğu temel ilkeler doğrultusunda; Şirket çalışanları, eski çalışanları, çalışan adayları, hissedarları, müşterileri, potansiyel müşteri adayları, hizmet sağlayıcıları, tedarikçileri, iş ortakları, bunların yetkilileri ve çalışanları ile ziyaretçiler ve ilgili diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve diğer ilgili mevzuata uygun olarak işlenmesini, korunmasını ve bu konuda ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak yerine getirilir. Böylece Şirket, kişisel veri sahiplerini bilgilendirerek ve tüm haklarını ve bunların kullanımına dair başvuru usul ve yollarını göstermekle gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel ve özel nitelikli kişisel verileriniz tarafımızca işbu Politika kapsamında işlenmekte ve korunmaktadır.
Şirket çalışanları, eski çalışanları, çalışan adayları, hissedarları, müşterileri, potansiyel müşteri adayları, hizmet sağlayıcıları, tedarikçileri, iş ortakları ve bunların yetkilileri ve çalışanları ile ziyaretçiler ve Şirketimizle ilişki kuran diğer üçüncü kişilere ait otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel veriler bu Politika kapsamındadır. Şirketin sahip olduğu ya da Şirketçe yönetilen kişisel ve özel nitelikli kişisel verilerin işlendiği fiziki, elektronik, internet sitesi ve sosyal medya ortamları gibi tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
KVKK ile bir takım kişisel verilere, hukuka aykırı olarak işlenmesi durumunda kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle, özel önem atfedilmiştir. Bu veriler; aşağıda Kısaltmalar ve Tanımlar Tablosunda açıklanmış olan özel nitelikli kişisel verilerdir. Şirketimiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin saklanması ve korunması için alınan teknik ve idari tedbirler özel nitelikli kişisel veriler bakımından çok daha özenli uygulanmakta ve bunların işlenmesi konusunda aşağıda 4.3. ve 4.5.2. bölümlerinde belirtilen bir kısım ek tedbirler de alınmakta, ayrıca Şirket bünyesinde gerekli denetimler de sağlanmaktadır.
Bununla birlikte, şirketimiz ile veri sahibi arasındaki ilişkinin türüne ve niteliğine göre, veri sahiplerine şirketimiz tarafından işbu Politika’dan farklı kişisel veri politikaları ve/veya bildirimler, aydınlatma metinleri prosedürleri sağlanması mümkündür. Veri sahiplerine sağlanan söz konusu özel politika ve aydınlatma metinleri/bildirimleri de işbu Politika’da yer alan açıklamalara ek hususlar bulunabilir. Bu halde, veri sahiplerine sağlanan söz konusu özel politika ve bildirimlerin öncelikle dikkate alınması gerekmektedir. Bunlara ek olarak kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın öncelikle uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemeyi amaçlamaktadır.
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Çalışan / Eski Çalışan | MOST AMAZING PLACES TANITIM VE TİCARET A.Ş. personeli/işten ayrılan personeli. |
Çalışan Adayı | MOST AMAZING PLACES TANITIM VE TİCARET A.Ş. ile iş akdi kurulmamış ancak kurulmak üzere değerlendirmeye alınan kişiler. |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
Elektronik Olmayan (Fiziki) Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
Hizmet / Uzmanlık Hizmeti Sağlayıcı | MOST AMAZING PLACES TANITIM VE TİCARET A.Ş. ile belirli bir sözleşme çerçevesinde bir hizmet veya muhasebe, işyeri sağlığı-güvenliği, bilişim, hukuk gibi uzmanlık hizmeti sağlayan gerçek veya tüzel kişi. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
İlgili Çalışan | Veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kurul | Kişisel Verileri Koruma Kurulu |
KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika | KİŞİSEL VERİ KORUMA VE İŞLEME POLİTİKASI. |
Şirket | MOST AMAZING PLACES TANITIM VE TİCARET A.Ş. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri Sahibi | Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurulu tarafından oluşturulan ve yönetilen bilişim sistemi. |
VERBİS | Veri Sorumluları Sicil Bilgi Sistemi |
Kişisel verilerinizle ilgili süreçlerde MOST AMAZING PLACES TANITIM VE TİCARET A.Ş. 6698 sayılı Kanun’a göre veri sorumlusu olarak hareket etmektedir. Veri sorumlusu olarak, kişisel verilerinizin işleme amaçlarını ve hangi vasıtalarla işleneceğini belirleme yetkisi ve sorumluluğu konumunda bulunmaktayız. Bu kapsamda işbu Politika metni sizi Şirket’in veri işleme amaçları, vasıtaları ve koruma yöntemleri ile ilgili detaylı şekilde bilgilendirmek için hazırlanmıştır.
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik gerekli tüm teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Öte yandan Şirketimizce işlenen kişisel veriler ile ilgili, gerek veri sorumlusu sıfatıyla hareket eden veri sorumlusu yetkilisi ve çalışanları, gerekse de Şirketimiz adına aktarım sonucu veri işleyen kişiler, öğrendikleri kişisel verileri işbu Politika Metni ve KVKK hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük KVKK’nun 12/4. Maddesi uyarınca görevin/işin bitiminden sonra da süresiz/ömür boyu devam eder.
Kişisel verilerin işlenmesi, saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Saklama ve imha süreçleri görev dağılımı
UNVAN | BİRİM | GÖREV |
Şirket Kişisel Veri Sorumlusu Yetkilisi | MOST AMAZING PLACES TANITIM VE TİCARET A.Ş. | Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesinden ve çalışanların politikaya uygun hareket etmesinden sorumludur. |
Şirket Veri Sorumlusu İrtibat Kişisi | İd. İşler, Finans ve Satış-Pazarlama Departmanları | Politikanın uygulanmasında ihtiyaç duyulan idari, fiziki ve teknik çözümlerin sunulmasından ve takibinden sorumludur. |
Finans ve Muhasebe, İd. Mali İşler, Satış, Pazarlama, Bilgi İşlem (IT), Departmanları | Diğer Birimler | Görevlerine uygun olarak işbu Politikanın yürütülmesinden sorumludur. |
Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde hukuka (yani özellikle KVKK’nun 4. Maddesi vd. ile ilgili diğer mevzuata aykırı olmayacak şekilde), genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği en az miktar ve ölçüde ve bunlarla sınırlı olarak işlenmektedir.
Belirtilen bu ilke uyarınca Şirketimizce kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere ve hakkın kötüye kullanılmaması yasağına uygun hareket edilmesi zorunluluğuna özenle uyulmaktadır. Dürüstlük kuralına uygun olma ilkesi uyarınca ayrıca Şirketimiz veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alır. İlgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket eder. Bu ilke uyarınca ayrıca ilgili kişiler için söz konusu veri işleme faaliyeti aynı zamanda şeffaf olarak ve bilgilendirme ve uyarı yükümlülüklerine uygun hareket ederek yerine getirilir.
Yeniden vurgulamak gerekirse Şirketimizce dürüstlük kuralı gereği, ilgili kişinin kişisel verisinin ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, ilgili kişinin makul beklentisinin karşılanması ve kişisel verinin toplanma amacının aşılmaması konularına azami dikkat edilmektedir. Yine bu kapsamda örneğin; veri sahibi ile tesis edilen ilişkinin mahiyetine göre özel hayatın gizliliği çerçevesinde makul olmayan verinin, ilgili kişiden talep edilmemesi ve işlenmemesi ve yine Şirketimiz içinde kişisel verilerin gereğinden fazla çalışan tarafından işlenmemesi şeklindeki dürüstlük kuralının gereklerine uygun hareket edilir.
Şirketimiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli çalışmaları yapmaktadır. Bu kapsamda; kişisel verilerin elde edildiği kaynakların belirli olması ve gerektiğinde bunların doğruluğunun test edilmesi ile kişisel verilerin doğru olmamasından kaynaklı taleplerin göz önünde bulundurulması gibi konularda gerekli özen gösterilmektedir.
Zira bu ilke KVKK’nda öngörülen ilgili kişinin, verilerin düzeltilmesini talep etme hakkı ile uyumludur. Kişisel verilerin doğru ve güncel bir şekilde tutulması, Şirketimizin faydasına olduğu gibi veri sahibinin temel hak ve özgürlüklerinin korunması ve maddi-manevi bir zarara uğramaması açısından da gereklidir. Örneğin, iletişim bilgisi yanlış kaydedilen bir kişinin kendisine ait iletileri zamanında alamaması veya yanlış bir kişiye gönderilmesi durumlarında ilgili kişi maddi ve manevi zarar görebilir. Yine bir çalışanımızın çocuk sayısı veya eşinin çalışma durumu bilgilerinin doğru ve güncel olması asgari geçim indiriminin (AGİ) doğru hesaplanması için önem arz eder. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasındaki aktif özen yükümlülüğümüz; Şirketimizce eğer bu verilere dayalı olarak veri sahibiyle ilgili bir sonuç ortaya koyulması halinde geçerlidir (Örneğin, kredi verme işlemleri gibi durumlar). Bunun dışında Şirketimiz veri sorumlusu olarak her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmaktadır.
Şirketimiz, kişisel veri işleme faaliyetinden önce gerek fiziksel gerekse de elektronik veri kaydı yapılan mecralarda uygun şekillerde kişisel veri işlenmesiyle ilgili gerekli tüm aydınlatma bildirimlerini ve gerekli hallerde rıza beyanı alma işlemlerini de yerine getirerek veri işlemesi yapmaktadır. Böylece Şirketimizce işlem öncesinde işlenmeye konu kişisel verilerin neler olduğu, hangi yöntemlerle elde edildiği ve işlenme amaçları açık ve kesin olarak ortaya koyulmakta ve yine Şirketimizce yürütülen iş, ticaret ve hizmet faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı belirli, açık ve meşru amaçlar kapsamında veriler işlemektedir. Örneğin, Şirketimizce tüm satış ve müşteri ilişkileri süreçlerinde hiçbir zaman ve şekilde anne kızlık soyadı gibi işimizle ilgisi olmayan bir kişisel veri işlenmemektedir.
Bu kapsamda yine, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olması, kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiği ve kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulması hususları temin edilmektedir. Bu nedenle elde edilen kişisel veriler, verilme amaçları dışında başka amaçlarla veya hiçbir şekilde kötüye kullanılarak işlenmemektedir.
Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup verilme amaçlarıyla sınırlı ve bağlantılı olarak işlemektedir. Bu kapsamda amaçla bağlantılı ve sınırlı olma ilkesi gereği; işlenen verilerin belirlenen mevcut ve güncel amaçların gerçekleştirilebilmesi için gerekli ve elverişli olmasına, bu şekildeki amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasına özen gösterilmektedir. Zira amaç için gerekli olanın dışında veri işlenmesi, sınırlı tutulma ilkesine aykırılık teşkil edecektir. Örneğin, bir sempozyuma katılmak için verilen e-posta adresine reklam gönderilmesi sınırlı olma ilkesine aykırıdır.
Ölçülülük ilkesi gereği ise; veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması gerektiğini dikkate almaktayız. Yani veri işleme faaliyetimizi, sadece amacı gerçekleştirecek ölçüde yerine getirmekteyiz. Örneğin, Şirketimizce hiçbir veri sahibine hiçbir süreçte sosyal hayatına dair tercihleriyle ilgili bilgi sorulmamaktadır.
Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak ancak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmeleri gereklidir. Bu ilke uyarınca Şirketimiz kişisel verileri, belirlenen süre dolduktan, amaç gerçekleştikten ya da veri işleme şartı ortadan kalktıktan sonra, başka bir amaç için kullanma amacıyla veya gelecekte kullanma ihtimalinin varlığına dayanarak saklamamakta, gerekli imha yollarına gitmek için gerekli yollara tevessül etmektedir. Örneğin, belirli bir sürede belirli miktarda ürün alan kişilere ödül verilecek bir kampanyaya katılım için toplanan isim ve araç plaka bilgilerinin, başka herhangi bir işleme şartı yok ise, kampanya bitiminde artık kullanılmaması ve imha edilmesi gibi hususlara özenle uyulmaktadır.
Bu konuda, KVKK’nun 12. maddesinde de belirtildiği gibi veri sorumlusu olarak Şirketimiz; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını ve gerektiğinde imhasını sağlamak amacıyla uygun operasyonel ve güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Belirtilen doğrultuda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler Şirketimizin faaliyet alanına göre belirlenmiş saklama süreleri dikkate alınarak verilerin işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme, yok etme veya anonimleştirme) ile imha edilmektedir. Saklama ve imhaya ilişkin hususlarda bu Politika metni yanında daha detaylı bilgileri Şirketimizin “www.most-amazing-places.com ” internet sayfasında bulunan “Kişisel Veri Saklama ve İmha Politikası” metninde bulabilirsiniz.
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, ayrıca işbu Politika’nın 4.3. ve 4.5.2. bölümlerinde yer alan ek şartlar da uygulanacaktır.
Kişisel Veri Sahibinin Açık Rızasının Bulunması
Veri sahibinin açık rızası, kişisel veri işlenme şartlarından birisidir. Ancak kişisel veri işleme faaliyeti, KVKK’nda bulunan ve aşağıdaki devam eden maddelerde belirtilen açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığından ve önceliğin belirtilen bu rıza dışındaki şartlara tanınması gerektiğinden dolayı Şirketimiz belirtilen kanun hükümlerine dayalı olarak ancak her hal ve şartta aydınlatma yükümlülüğünü yerine getirerek veri işleme faaliyeti yürütmeye özen göstermektedir.
Belirtilen bu veri işlemeye dair kanun hükümlerinin bulunmadığı ya da kişisel veri işlenmesine yeterli şekilde olanak vermediği durumlarda kişisel veriler Şirketimizce veri sahibinin açık rızasına dayalı olarak işlenmektedir. Bu durumda veri sahibinin açık rızasının belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmış olmasına azami dikkat ve özen gösterilmektedir. Yine açık rızaya dayalı veri işleme esnasında aydınlatma bildirimi bundan bağımsız olarak ve öncesinde mutlaka yerine getirilmekte, bu şekilde aydınlatılmış biçimde rıza alınma yoluna gidilmektedir. Aynı şekilde veri işlemeye dönük açık rıza alma işlemi herhangi bir mal ya da hizmet sunumunun ön şartı haline getirilmemekte ve açık rıza verilmediği takdirde veri sahibinin dezavantajına olacak bir durum içermeyecek şekilde yerine getirilmektedir.
Yeniden vurgulamak gerekirse, aşağıda yer alan kişisel veri işleme şartlarından herhangi birinin varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler Şirketimizce belirtilen bu şartlara dayalı olarak işlenecektir.
Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verilerinin işlenmesi, kanunda açıkça öngörülmekte ise ya da diğer bir ifade ile Vergi Kanunları, İş Kanunu, Ticaret Kanunu ve KVKK gibi ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir. Örneğin, İş Kanunu gereği çalışanlarımıza ait özlük bilgileri ve dosyasının ya da mali mevzuat gereği müşterilerimize ait vergi numaralarının alınması ve tutulması bu kapsama girmektedir.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak ayırt etme gücü bulunmayan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, bilinci kapalı kişinin kişisel sağlık bilgileri veya rehin alınan kişinin iletişim, konum bilgilerinin işlenmesi bu kapsama girer.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması halinde bu amaçla sınırlı olmak üzere verilerin işlenmesi durumunda işbu şart yerine getirilmiş sayılacaktır. Örneğin, İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Hizmet Sözleşmesi vb. gibi hukuki ilişkiler sonucu hizmet/ürün ifası için adres bilgilerinin kaydedilmesi, bunların taşıma şirketine verilmesi veya Şirket çalışanından eğitim durumunu gösteren belge istenmesi gibi haller bu kapsama girmektedir. Yine bir sözleşme gereği para ödemesi veya çalışana maaş ödemesi için alacaklı tarafın hesap numarasının alınması veya bir kefalet sözleşmesi yapılması sırasında Şirketin, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadığına dair belgeyi edinmesi gibi durumlar da buraya örnek verilebilir.
Bazen kişisel veri toplanması işleminin birden çok hukuki sebebi olabilir. Örneğin, maaş bordrosu düzenlemek amacıyla çalışanların kişisel verilerinin işlenmesinin hukuki dayanağı bu madde kapsamına girmekle birlikte, bu durum aynı zamanda aşağıda değinilecek olan Şirketimizin hukuki yükümlülüğünün yerine getirilmesi sebebini de birlikte oluşturmaktadır.
Şirketimizin hukuki sorumluluk ve yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin, mali denetimler, güvenlik mevzuatı, sektör odaklı regülâsyonlarla uyum süreçleri gibi durumlar için bilgi paylaşımı zorunluluğu nedeniyle veri işleme buraya girer. Bu kapsamda, çalışanlarımıza maaş ödemek için banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verilerin elde edilmesi ve işlenmesi bu duruma örnek verilebilir. Şirketimizin vergi denetimi sırasında çalışanlarına veya müşterilerine ait bilgileri ilgili kamu görevlilerinin incelemesine sunması da bu kapsamda değerlendirilebilir.
Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması, yani kendisine ait bilgileri alenileştirme iradesiyle ve belli amaçlarla kullanılmak üzere kamunun bilgisine sunması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir. Bir kişinin kişisel verisinin tesadüfen ya da kaybolma gibi nedenlerle sadece herkesin görebileceği bir yerde olması aleni olmasını sağlamayacağından, bu konudaki ayrıntıya dikkat edilerek veri işlenmesi yapılır. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması kuralına uyulmaktadır. Örneğin, araç alım satımı yapılan internet sitelerinde bulunan ilgili kişilerin iletişim bilgilerinin pazarlama amaçlarıyla kullanılamayacağı ve işlenemeyeceği hususu göz önünde tutulmaktadır.
Bu duruma örnek olarak bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir. Yine örneğin, Şirketimizin faaliyet alanıyla ilgili mal ya da hizmet arzı veya talebi içeren bir ilanda bulunan kişinin iletişim bilgileri bu kapsamda kullanmak amacıyla işlenebilecektir.
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Şirketimiz açısından yasal yollara başvurmak gibi bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Bu veriler, dava açılması, tescil işlemleri, her türlü tapu işlemi vb. gibi işlerde kullanılması zorunlu verilerdir. Örneğin, işten ayrılan bir çalışana ait bir kısım kişisel verilerin ve bilgilerin açılacak bir davada delil olarak kullanılması amacıyla 10 yıllık dava zaman aşımı boyunca saklanması buraya girer. Yine benzer şekilde, sözleşme sona erdikten sonra, olası dava veya yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme nüshası, kefaletname gibi belgelerin bu amaçlar için saklanması da bu kapsamda değerlendirilecektir.
Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin mevcut, önemli/ciddi ve meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Bu kapsamda örneğin, Şirketimizce, çalışanlarımızın temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere bu kapsamlardaki kişisel verileri işlenebilecektir. Yine örneğin, Şirketimize ait işyerlerinde güvenlik amacıyla kamera görüntü kaydı yapılması veya çalışanlarımızın bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi bu kapsamda gerçekleştirilmektedir.
Bu Maddenin uygulanabilmesi için Şirketimizin meşru menfaati ile veri sahibinin hak ve özgürlüğünün zarar görmemesi arasında makul bir denge sağlanması gerektiğini göz önünde bulundurmaktayız. Fakat bu değerlendirme yapılırken Şirketimizin meşru menfaati ile kişisel verileri işleme amacının birbirine karıştırılmaması gerektiği de dikkate alınmalıdır. Kişisel verileri işleme amacı, özel olarak verinin işlenme sebebiyle ilgilidir. Ancak buradaki bağlamda veri sorumlusu olarak Şirketimizin meşru menfaati ise gerçekleştirilecek olan veri işleme faaliyeti sonucunda elde edilecek faydaya yönelik bulunması sebebiyle daha geniş yorumlanacak durumda bulunmaktadır.
Şirketimiz tarafından işlenen özel nitelikli kişisel veriler sadece tedarikçilerimiz ve iş ortaklarımız ile çalışanlarımıza/çalışan adaylarımıza ait aşağıda belirtilen özel nitelikli kişisel veriler olup bunlar işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntem ve ayrıca yeterli önlemlerin alınması şartıyla, gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir. Şirketimizce bunlar dışında hiçbir kişi grubu ya da veri kategorisine yönelik özel nitelikli kişisel veri işlenmesi yapılmamaktadır.
Tedarikçi ve iş ortaklarımıza ait, video konferans yöntemiyle uzaktan çalışma/toplantı esnasında kullanılan internet tabanlı platformlar aracılığıyla elde edilen görüntü kaydına ilişkin, biyometrik veriler KVKK’nun 6/3-a Maddesi uyarınca ilgili veri sahibinin açık rıza beyanı hukuki sebebine dayalı olarak işlenmektedir. Yani bu durumda veri işlenmeden önce ilgilinin rızası alınacak, aksi halde böyle bir özel nitelikli kişisel veri işlenmesi yapılmayacaktır.
Çalışanlarımıza ve çalışan adaylarına ait özel nitelikli kişisel veriler
Çalışanlarımıza ait özel nitelikli kişisel veriler Şirketimiz tarafından KVKK’nun 6/3. maddesinde belirtilen ilgili hukuki sebep ve amaçlara dayalı olarak toplanmakta ve işlenmektedir. Bu kapsamda;
Gizlilik taahhütnamesi imzalatılmış personellerimiz ve sır saklama yükümlülüğü altında bulunan İSG hekimleri tarafından işlenmektedir.
Çalışan adaylarımıza ait özel nitelikli kişisel veri işlenmesi kapsamında;
Bunlar dışında Şirketimizce işlenen başkaca bir özel nitelikli kişisel veri bulunmamaktadır.
Şirketimiz, KVKK’nun 10. maddesine ve ikincil mevzuata uygun olarak kişisel veri sahiplerini kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebepleri ile veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.
Söz konusu kişisel verilerin veri sahibi dışında başka bir kişi tarafından Şirketimize verilmesi, yani Şirketimizle ilişki kuran kişinin başkasına ait verileri kullanılmak üzere vermesi durumunda ise, ilgili üçüncü kişiye yönelik aydınlatma ve gerekirse rıza beyanı alma işlemi, bu verinin ilgili üçüncü kişiyle iletişim kurulması için verilmiş olması halinde belirtilen bu ilk iletişim esnasında, böyle değilse söz konusu verinin ilk defa işlenme ya da aktarma faaliyetine maruz tutulacağı esnada yapılır.
Yukarıdaki paragrafta belirtilen hallere örnek olarak; başkasının kredi kartı ile mal ya da hizmet almak isteyen müşteri, çalışanların işe alınması için referans mektubu gönderen kişiler ya da AGİ gibi ek-sosyal ödeme için kimlik bilgileri alınan çalışan yakınları gibi durumlar gösterilebilir.
Şirketimiz hukuka uygun şekilde kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini yurt içi ve yurt dışında üçüncü kişilere (uzman hizmet sağlayıcılarımıza, tedarikçilere, grup şirketlerimize, hissedarlarımıza, iş ortaklarımıza ve bunların yetkilileri ve çalışanları ile kanunen yetkili kurum ve kuruluşlara) aktarabilmektedir. Şirketimiz bu doğrultuda KVKK’nun 8. ve 9. maddelerinde öngörülen düzenlemelere uygun olarak hareket etmektedir.
Kişisel Verilerin Yurtiçinde Aktarılması
Şirketimizce işlenen kişisel ve özel nitelikli kişisel veriler KVKK’nun 8/1. Maddesi uyarınca ilgili kişinin açık rızasına dayalı olarak yurt içinde yukarıda belirtilen paydaşlarımıza aktarılabilmektedir. Bunun yanında KVKK’nun 8/2-a maddesi yollaması ile aynı Kanun’un 5/2. Maddesinde ve yine KVKK’nun 8/2-b maddesi yollaması ile aynı Kanun’un 6/3. Maddesinde belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel ve özel nitelikli kişisel veriler aynı şekilde yurtiçinde aktarılabilmektedir. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı tutulmaktadır.
Bu kapsamda, KVKK’nun 8/2-a maddesi yollamasıyla, ilgili kişinin rızası aranmadan Şirketimizce kişisel veri aktarımı yapılabilecek olan KVKK’nun 5/2. Maddesindeki şartlar şunlardır;
KVKK’nun 8/2-b maddesi yollamasıyla, ilgili kişinin rızası aranmadan Şirketimizce özel nitelikli kişisel veri aktarımı yapılabilecek olan KVKK’nun 6/3. Maddesindeki şartlar ise şunlardır;
Kişisel Verilerin Yurtdışına Aktarılması
Şirketimizce işlenen kişisel ve özel nitelikli kişisel verilerin yurt dışına aktarılması işlemi KVKK’nun 9. Maddesinde belirlenen şartlar uyarınca yerine getirilmektedir. Bu kapsamda;
a) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı,
b) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi,
c) Ortak ekonomik faaliyette bulunan teşebbüs grubumuz bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi,
b) Aktarımın, ilgili kişi ile veri sorumlusu olan Şirketimiz arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
c) Aktarımın, ilgili kişi yararına veri sorumlusu olan Şirketimiz ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
ç) Aktarımın üstün bir kamu yararı için zorunlu olması,
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Yukarıda belirtilen kapsamda yurt dışına kişisel veri aktarılması halinde Şirketimizce aşağıda belirtilen hususlara da ayrıca dikkat edilmektedir:
KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
5.1. Şirketimize Ait Fiziksel Mekânlarda Güvenlik Amacıyla Yapılan Kişisel Veri İşleme Faaliyetleri
Şirketimize ait hizmet birimlerindeki fiziksel mekânlarda yapılan veri işleme faaliyetleri bu kapsama girmektedir. Şirket tarafından, belirtilen fiziksel mekânlarda, çalışanların, müşterilerin, potansiyel müşterilerin, ziyaretçilerin, şirket yetkililerinin, hissedarların, misafirlerin ve diğer 3. kişilerin giriş ve çıkışlarının takibi, veri güvenliği ve fiziksel güvenliğin sağlanması, muhtemel bir adli vakada adli makamlara ve kolluk görevlilerine delil ibrazı, çalışanların ve diğer kişilerin giriş çıkışının kontrolü, can ve mal güvenliğinin de sağlanması amaçlarıyla 7 gün 24 saat kapalı devre kamera sistemleri ile izlenmekte ve kayıt altına alınmak suretiyle, kişisel veri niteliğindeki bu görüntü kayıtları işlenmektedir.
Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, İşyeri Açma ve Çalışma Ruhsatlarına İlişkin Yönetmelik, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili diğer mevzuata uygun olarak sürdürülmektedir.
Yine Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVKK’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirket hizmet birimlerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVKK’nda sayılan kişisel veri işleme şartlarına uygun olarak kapalı devre güvenlik kamerası izleme faaliyetinde bulunmaktadır.
Şirketimiz tarafından KVKK’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. Bu konuda 6698 sayılı Kanun ve ilgili mevzuata uygun aydınlatma metinleri ve uyarı levhaları görülebilir şekilde izlenen alanlarda konumlandırılmıştır. Şirketimiz genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
Yine Şirket tarafından kamera ile kişisel veri işlenmesine yönelik olarak; internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı ve işaretler asılmaktadır (yerinde aydınlatma, katmanlı aydınlatma).
Şirketimiz, KVKK’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlar izlemeye tabi tutulmamaktadır.
Şirketin sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla IP bilgileri ve teknik vasıtalarla (Örn. Cookie/çerezler gibi) site içerisindeki internet hareketleri kaydedilebilmektedir. Şirketin yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar “www.most-amazing-places.com” internet sitesinde yer alan “Çerezlere Dair Aydınlatma Metni” içerisinde yer almaktadır.
Şirketimiz tarafından çalışanlar, hissedarlar ve ziyaretçilere (bilumum üçüncü kişilere) yönelik şirket hizmet birimlerinde kaldıkları süre boyunca ücretsiz şekilde sağlanan internet erişimlerini kullanmaları halinde, buna ilişkin internet erişimi bağlantısı için girilen bilgiler, bağlanılan cihazın kimlik numarası ile IP ve LOG kaydı ve diğer trafik bilgileri 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınabilmektedir. Bu çerçevede elde edilen bilgilere yalnızca sınırlı sayıda Şirket çalışanlarının erişimi bulunmaktadır.
Bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya bilgi güvenliğinin sağlanması için Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek ve/veya hukuki haklarımızın korunması ve savunma haklarının tesisi amacıyla işlenmekte ve uzman hizmet sağlayıcılarımız hariç, üçüncü kişilerle paylaşılmamaktadır.
Şirketimiz nezdinde, KVKK’nun 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin KVKK’nun 4. maddesinde belirtilen genel ilkeler ve şartlar olmak üzere KVKK’nda belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir.
Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri kategorileri ve açıklamaları aşağıdaki Tabloda düzenlenmiş ve gösterilmiştir:
Tablo 2: Kişisel veri kategorileri
KİŞİSEL VERİ KATEGORİLERİ | AÇIKLAMA |
Kimlik Bilgisi | Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, medeni durum, anne adı-baba adı, doğum yeri, doğum tarihi, yaşı, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi v.b. bilgiler. |
İletişim Bilgisi | Telefon numarası, adres, e-posta adresi gibi kişisel veriler. |
Çalışan, Eski Çalışan, Çalışan Adayı Bilgisi | Şirket çalışanlarına, eski çalışanlarına, çalışan adaylarına ve stajyerlerine ilişkin geçerli mevzuat ve ticari teamül kuralları gereği işlenen yazılı, görsel, elektronik ortamlardaki kişisel veriler. |
Aile Bireyleri ve Yakın Bilgisi | Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Şirketin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; çalışanlarımıza ilişkin yan haklar sağlama açısından ya da iş yeri sağlığı faaliyeti kapsamında kronik hastalık takibi için eş, anne, baba, çocuklar) ve acil haller gibi durumlarda ulaşmak için yakınları hakkındaki kişisel veriler. |
Fiziksel Mekân Güvenlik Bilgisi | Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar v.b. |
İşlem Güvenliği Bilgisi | Şirketin faaliyetlerini yürütürken gerek veri sahibinin gerekse Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen, Şirketçe sağlanan internet erişimi ve web trafik bilgileri, güvenlik kamerası görüntü ve çağrı merkezi ses kayıtları gibi kişisel veriler. |
Risk Yönetimi Bilgisi | Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kurallarına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel veriler. |
Finansal Bilgi | Şirket ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil gibi kişisel veriler. |
Hukuki İşlem ve Uyum Bilgisi | Şirketin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükler ve Şirket politikalarına uyum kapsamında ve yine çalışanlarının yasal takibe düşen işlemleriyle ilgili işlenen kişisel veriler. |
Özel Nitelikli Kişisel Veri | Kanunu’nun 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil sağlık verileri, adli sicil kaydı bilgisi gibi). |
Talep/Şikâyet Yönetimi Bilgisi | Şirkete yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin çağrı merkezi ses kaydı dâhil diğer kişisel veriler. |
İtibar Yönetimi Bilgisi | Kişiyle ilişkilendirilen ve Şirketin ticari itibarını korumak maksatlı toplanan kişisel veriler (örneğin; Şirket ile ilgili yapılan paylaşımlar). |
Olay Yönetimi Bilgisi | Kişisel veri sahibiyle ilişkilendirilen ve Şirket çalışanlarını, hissedarlarını etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler (örneğin; kamuoyunun doğru yönetilmesine ilişkin toplanan bilgiler, değerlendirmeler gibi). |
Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri işleme amaçları aşağıdaki Tabloda gösterilmiştir:
Tablo 3: Kişisel veri işleme amaçları
ANA AMAÇLAR | İKİNCİL AMAÇLAR |
Şirketimizin ticari politikalarının tespiti, planlanması ve uygulanması | 1. Şirket içi veya dışı eğitim faaliyetlerinin planlanması ve icrası 2. Müşteriler, iş ortakları ve tedarikçilerle olan mali, muhasebesel ve finansal işlemlerin yürütülmesi, risk yönetiminin gerçekleştirilmesi, |
Şirketin İnsan Kaynakları Faaliyetlerinin Tasarlanması ve Yürütülmesi | 1. İnsan kaynakları ve çalışan temin süreçlerinin planlanması ve yürütülmesi 2. Şirket çalışanları için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi 3. Çalışanların iş faaliyetlerinin takibi ve denetimi 4. Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası 5. Çalışan çıkış işlemlerinin planlanması ve icrası 6.Çalışanların performans değerlendirme süreçlerinin planlanması ve takibi 7. Şirket içi eğitim faaliyetlerinin planlanması ve icrası 8. İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi 9. Ücret yönetimi 10. Şirket içi oryantasyon aktivitelerinin planlanması ve icrası |
Şirketin Yürüttüğü Ticari Faaliyetlerin Mevzuata ve Şirket Politikalarına Uygun Olarak Yerine Getirilmesi İçin Şirket Bünyesindeki İş Birimleri Tarafından Gerekli Çalışmaların Yapılması ve bu Doğrultuda Faaliyetlerin Yürütülmesi | 1. Finans ve muhasebe işlerinin takibi 2. Yatırımcı ilişkilerinin ve pazarlama faaliyetlerinin yürütülmesi 3. Kurumsal iletişim faaliyetlerinin planlanması ve icrası 4. İş faaliyetlerinin etkinlik/verimlilik ve yerindelik analizlerinin gerçekleştirilmesi planlanması ve icrası, Etkinlik yönetimi 5. Tedarik zinciri ve süreçlerinin kesintisiz icrası, 6. Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi 7. Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası 8. İş sürekliğinin sağlanması faaliyetlerinin planlanması ve icrası 9. İş ortakları ve tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası 10. Satış sonrası desteğe ilişkin yükümlülüklerin yerine getirilmesi |
Şirketin insan kaynakları faaliyetlerinin tasarlanmasına, planlanmasına ve icrasına destek olunması | 1. Şirketin insan kaynakları stratejilerinin planlanması konusunda destek olunması 2. Şirket çalışanlarının transfer, geçici görevlendirme, terfi ve işten ayrılmalarının takibi ve duyurulması 3. Şirket çalışan bağlılığının ölçümlenmesi süreçlerinin planlanması ve yürütülmesine destek olunması 4. Şirket çalışan temin süreçlerine destek olunması |
Şirketin ticari itibarının ve oluşturduğu güvenin korunması | 1. Talep ve şikâyet yönetimi 2. Şirket değerlerinin itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi |
Şirketimiz KVKK’nda yer alan ilkelere ve özellikle 6698 sayılı Kanunu’nun 8. ve 9. maddelerine uygun olarak işbu Politika kapsamı dâhilindeki kişisel verilerin aktarımını/paylaşılmasını aşağıda sıralanan alıcı kişi gruplarına yine aşağıdaki Tabloda belirtilen amaçlarla yapar:
Tablo 4: Kişisel veri aktarımında bulunulan taraf kategorileri ve aktarım amaçları
VERİ AKTARIMI YAPILAN KİŞİLER | TANIMI | VERİ AKTARIM AMACI |
Hissedarlar, Grup Şirketleri, İş Ortakları ve Yetkili ve Çalışanları | Şirketin ortağı ve ticari faaliyetlerinin yürütülmesi gibi amaçlarla grup içi veya dışında iş ortaklığı / birliği kurduğu taraflar | İş ortaklığı / birliğinin kurulma ve yürütülme amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçiler, Hizmet Sağlayıcıları, Uzman Hizmet Sunucuları, Bunların Yetkili ve Çalışanları, İlgili Banka Şubesi-Finans Kurumları, BES Şirketi | Şirketin ticari faaliyetlerinin yürütülmesi kapsamında, şirketin talimatlarına uygun ve sözleşme temelli olarak Şirkete mal veya hizmet sunan taraflar | Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli mal ve hizmetler ile Muhasebe, Finans, Bilişim ve Hukuk gibi uzmanlık hizmetlerinin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Tüzel Kişileri | İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk tüzel kişileri | İlgili özel hukuk tüzel kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme, yok etme veya anonimleştirme) ile imha edilmektedir.
Şirketimizce işlenen kişisel verilerin saklanması ve imhası konusuyla ilgili söz konusu verilerin tutulduğu kayıt ortamları, güvenli şekilde saklanmasına ve korunmasına ilişkin alınan tüm teknik ve idari tedbirler, saklama ve imhayı gerektiren hukuki sebeplere ilişkin açıklamalar, süreç bazında kişisel veri saklama süreleri ve periyodik imha süreleri ile imha teknikleri gibi hususlara ilişkin detaylı ve gerekli tüm açıklamaları Şirketimize ait “www.most-amazing-places.com” internet sitesinde erişime açık bulunacak olan “Kişisel Veri Saklama ve İmha Politikası” metninde bulabilirsiniz.
Şirketimiz kişisel verilerinizi, iş bu Politika’da ve “www.most-amazing-places.com” internet sitemizde yayınlanan “Müşteri Kişisel Veri Aydınlatma Metni” ile diğer özel aydınlatma metinlerinde yazılı kişi veya kurumlar dışında yetkisiz üçüncü kişilere KVKK’nun 8 ve 9. maddesindeki istisnalar dışında hiçbir şekilde ve açık rızanız olmadan aktarmaz ve açıklamaz. Şirketimizce işlenen kişisel verilerinize, sadece gizlilik sözleşmesi olan Şirketimiz yetkili personelleri ve sağlık verileri açısından ayrıca sır saklama yükümlülüğü olan iş yeri hekimlerimiz erişebilirler.
Şirketimiz internet sitesinde kişi kimliklerini açıklamadan, istatistiksel bilgileri (tarayıcı tipi, coğrafi konum vb.) web sitesini iyileştirmek ve genel olarak etkin ve verimli çalışma için istatistik elde etmek amacıyla meşru menfaati gereği kullanabilir. Bu bilgiler, hiçbir şekilde üçüncü kişilere açıklanmaz. Ancak, yasal zorunluluk nedeniyle ve/veya resmi mercilerin talepleri karşısında işbu Politika’da ve Aydınlatma Metninde yazılı olan ilgililerle paylaşabilir.
Şirketimiz internet sitemizdeki bağlantılar aracılığıyla gideceğiniz diğer sitelerin Şirketimizin Gizlilik İlkeleri’ne uyacağını garanti etmez; bu nedenle kişisel olarak belirlenebilir herhangi bir bilgi vermeden önce, gittiğiniz sitelerin gizlilik yaklaşımlarını değerlendirmeniz gerekmektedir.
Şirketimiz kişisel verilerinizin 6698 sayılı Kanuna, iş bu Politika hükümlerine ve işbu Politika’nın uygulama/prosedür belgeleri olarak ilgili kişi gruplarına yönelik ayrı ayrı hazırlanmış bulunan aydınlatma metinlerine aykırı olacak şekilde açıklanmaları ve aktarımını, bu verilere erişimin sağlanmasını ve meydana gelebilecek diğer güvenlik eksikliklerini önlemek adına, imkânlar dâhilindeki ve korunacak kişisel verinin niteliğine göre gerekli her türlü tedbiri almaktadır.
Kişisel veri sahipleri Kanun’un 11. Maddesine göre aşağıda yer alan haklara sahiptirler:
a) Kişisel verilerinizin işlenip işlenmediğini öğrenme,
b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) KVKK’nun 7 nci maddesinde öngörülen şartlar çerçevesinde, yasal şekilde işlenmiş bulunan kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
h) Kişisel verilerinizin işlenmesine ilişkin rıza beyanınızı ve tarafınıza elektronik ticari ileti gönderilmesine ilişkin verdiğiniz onayınızı istediğiniz her an hiçbir sebep göstermeksizin durdurma ve geri alma.
Yukarıda belirtilen haklarınızın kullanılması kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre “Kişisel Veri Sahibi Başvuru Formu”nu doldurmak suretiyle yada benzeri bir dilekçeyle, Şirketimizin “Gümüşsuyu Mah. İnönü Cad. Melek Apt. No: 11/2 Beyoğlu/İSTANBUL” adresine şahsen başvurarak kimlik tevsikiyle veya Noter vasıtasıyla yazılı olarak ya da kayıtlı/güvenli elektronik posta üzerinden “pelin@most-amazing-places.com” adresine e-posta olarak iletebilirsiniz.
Talebinizin niteliğine göre mümkün olan en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket İlgili Çalışanı olan Kişisel Veri Sorumlusu İrtibat Kişisi tarafınca tutulacak dosyasında saklanır.
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
Şirketimiz tarafından düzenlenen bu Politika 01.06.2024 tarihlidir. Politika, Şirketimizin www.most-amazing-places.com internet sitesinde yayınlanmasının ardından yürürlüğe girmiş ve kişisel veri sahiplerinin erişimine açık hale gelmiş kabul edilir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda yürürlük tarihi güncellenecektir.
Politika’nın yürürlükten kaldırılmasına karar verilmesi halinde, ıslak imzalı eski nüshaları Şirket Veri Sorumlusu Yetkilisi Kararı ile Şirket İrtibat Kişisi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve 10 yıl süre ile Şirket İlgili Çalışanı olan Kişisel Veri Sorumlusu İrtibat Kişisi tarafınca tutulacak dosyasında saklanır.