jojomayshop – JJ Global KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI


2021 İstanbul


İçindekiler

I.    Politika Amaç ve Kapsamı    1

II.    İlgili Mevzuat ve Diğer Belgeler    1

III.    Tanımlar    2

IV.    Kişisel Verilerin İşlenmesine İlişkin Genel Prensipler    3

V.    Kişisel Verilerin İşlenmesi    3

İşleme Kavramı    3

Yasal İşleme Şartları    3

Kişisel Veri İşleme Amaçları    3

Kişisel Verilerin Aktarılması    3

VI.    KVKK Kapsamında Şirket’nin Yükümlülükleri    4

Aydınlatma Yükümlülüğü    4

İdari ve Teknik Tedbirler İle Denetim    4

Veri Sorumluluları Siciline Kayıt    4

İlgili Kişinin Başvurusuna Cevap Verme Yükümlülüğü    4

Silme/Yok Etme/Anonimleştirme    4

VII.    Politika Sorumluları    4

VIII.    Politika’ya Uyum    4

IX.    Yürürlük    4

I.    Politika Amaç ve Kapsamı

Kişisel verilerin güvenliği jojomayshop – JJ Global  için büyük önem taşımakta olup, kişisel verilerin mevzuatın öngördüğü şartlara uygun olarak, mümkün olan en güvenli şekilde ve hukuki yükümlülüklerin gerektirdiği süreyle işlenmesi ve mevzuata uygun koşullarda saklanması Şirket açısından yüksek önemi haizdir. Bu bağlamda ’nin, kişisel verilerin işlenmesi açısından mevzuata uygun hareket etmesi ve uyumluluğu tesis etmesi hukuka uygunluk açısından oldukça önemlidir.

Şirket , 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, veri sorumlusu sıfatıyla kişisel verilerin korunması ve hukuka uygun işlenmesine yönelik her türlü yasal düzenlemeye tam olarak uyum sağlamayı hedeflemektedir.

İşbu Politika kapsamındaki tüzel kişilik jojomayshop – JJ Global ’dir.

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (‘’Politika’’) amacı, İlgili Şirket  tarafından, ürün veya hizmet alan kişiler, çalışanlar, aday çalışanlar ve diğer üçüncü kişilerin kişisel verilerinin işlenmesine yönelik prensipler ile usul ve esasların belirlenmesidir. İşbu Politika, Şirket’in ilgili birimleri ve çalışanlarının kişisel verilerin işlenmesi sırasındaki görev ve sorumluluklarını da ihtiva etmektedir.

İşbu Politika’nın hazırlanması, güncellenmesi ve uygulanmasından Şirket bünyesinde kişisel verilerin tutulduğu, işlendiği ve/veya aktarıldığı sistemleri kullanan/yöneten birimler ve ilgili çalışanlar sorumludur.

Kişisel verilerin işlenmesi faaliyetlerinde yürürlükteki mevzuata tam uyumluluk hedefiyle tarafından hazırlanan işbu Politika, Şirket yönetim organlarınca kabul edilerek yürürlüğe girmiştir.

II.    İlgili Mevzuat ve Diğer Belgeler

o    6698 sayılı Kişisel Verilerin Korunması Kanunu

o    28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

o    30 Aralık 2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik

o    10 Mart 2018 tarihli Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

o    6098 sayılı Türk Borçlar Kanunu

o    4857 sayılı İş Kanunu

o    5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu

o    6361 sayılı İş Sağlığı ve Güvenliği Kanunu

o    5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

o    Şirket Veri Saklama ve İmha Politikası

o    Kişisel Verilerin Korunması Mevzuatı İlgili Kişi Başvuru Prosedürü

III.    Tanımlar

Bu Politika’da yer alan terimler, aşağıda yer verilen anlamları ifade eder.

Tanım    Açıklama

Alıcı Grubu    Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza    Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hâle Getirme    Kişisel verilerin, başka verilerle eşleştirilerek kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

İlgili Kişi    Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı    Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha    Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun veya KVKK    6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı    Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri    Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri    Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel Verilerin İşlenmesi    Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul    Kişisel Verileri Koruma Kurulu

Kurum    Kişisel Verileri Koruma Kurumu

Özel Nitelikli Kişisel Veri    Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler

Periyodik İmha    Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Şirket    jojomayshop – JJ Global 

Veri İşleyen    Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi    Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumlusu    Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri Sorumluları Sicil Bilgi Sistemi

(VERBİS)    Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurum tarafından oluşturulan ve yönetilen bilişim sistemi.

IV.    Kişisel Verilerin İşlenmesine İlişkin Genel Prensipler

KVKK kapsamında Veri Sorumlusu sıfatıyla Şirket  kişisel verilerin mevzuat ve Politika hükümlerine aykırı olacak şekilde işlenmesini ve/veya aktarımını, kişisel verilere hukuka aykırı erişimi ve meydana gelebilecek olası güvenlik eksikliklerini önlemek adına, mevcut teknik imkanlar dahilinde ve ilgili kişisel verinin niteliğine göre gerekli her türlü tedbiri almaktadır.

Yasallık. Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak elde edilmeli ve işlenmelidir Şirket  kişisel verileri işlerken hukuka ve dürüstlük kurallarına uygun bir şekilde davranarak, azami hassasiyet ve kontrol ile kişisel verileri işlemektedir. Bu doğrultuda Şirket  kişisel verileri kanunda ön görülen sınırlar çerçevesinde kişisel verilerin işlenmesine yönelik olarak ilgili kişileri mevzuat çerçevesinde aydınlatarak ve gerekmesi halinde ilgili kişilerin açık rızasını alarak verileri işler.

Doğruluk ve Güncellik.İşlenen verilerin doğru ve güncel olması gerekmektedir. Şirket işlenen verilerin doğruluğunu her işleme seviyesinde kontrol eder ve gerektiğinde güncel olması için gerekli hazırlıkları yaparak Kişisel Veri İşleme Envanteri’nde ilgili çalışmaları gerçekleştirir.

Şeffaflık ve Belirlilik.Verilerin işlenmesi esnasında hangi verilerin işlendiği açık ve ne amaçla işlendiği belirli, hukuka uygun, eş söyleyişle meşru olmalıdır. Şirket, sadece meşru amaçlar için verileri işlemekte bu işleme sırasında elde edilecek olan verilerin işleme amaçlarının belirli olmasına özen göstermektedir. Şirketelde edilen kişisel veri ve bilgilerin farklı amaçlar için kullanılmaması ve yanlış anlaşılmaya sebebiyet vermemesi adına belirgin ve açık amaçlarla verileri işlemektedir.

Ölçülülük ve Sınırlılık.Verilerin işlenme amacına sadık, amaçla bağlantılı, o amaçla sınırlı ve ölçülü bir şekilde kontrollü bir şekilde işlenmesi gerekir. Şirket  yalnızca işlendikleri amaçla bağlı ve sınırlı olmak üzere ölçülü bir şekilde ilgili kişilerin verilerini işlemektedir.

Belirli Süre.Kişisel verilerin işlenmesini gerektiren esas amacın ortadan kalkması ve artık bu verilere ihtiyaç duyulmaması halinde söz konusu kişisel veriler silinir. Kanunlarda verilerin tutulmasına ilişkin sürelerin ön görülmesi halinde ise bu veriler, ilgili mevzuatta ön görülen sürelere uygun olacak şekilde muhafaza edilir; mevzuatta ön görülen sürenin dolmasından sonra ise bu veriler Şirket tarafından verilerin saklandığı sistemlerden, cihazlardan veya fiziksel olarak bulunduğu ortamlardan silinir, yok edilir veya anonimleştirilir.

Aydınlatma ve Açık Rıza.Şirket,kişisel verilerin işlenmesi ile ilgili olarak ilgili kişiyi mevzuatta belirlenen şekilde, tam ve gereği gibi bilgilendirmeyi hedefler. Gereken durumlarda, ilgili kişinin söz konusu işleme ile ilgili olarak açık rızasını alır ve vermiş olduğu açık rızayı dilediğinde geri çekme veya verileri ile ilgili talepte bulunma seçeneği sunmaktadır.

V.    Kişisel Verilerin İşlenmesi

İşleme Kavramı

KVKK, kişisel verilerin işlenmesi ifadesini, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi, veriler üzerinde gerçekleşen her türlü işlem olarak tanımlamaktadır.

Yasal İşleme Şartları

Kanun’a göre kişisel veriler, kaideten, ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza, Kanun’un 3’üncü maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan beyan olarak tanımlanmıştır. Bununla birlikte, “yasal işleme şartlarının” varlığı halinde de ilgili kişinin kişisel verisi Açık Rıza aranmaksızın işlenebilecektir.

Bu itibarla yasal işleme şartları aşağıdaki gibi tanımlanmaktadır:

o    İlgili Kişinin Açık Rızası,

o    Veri işlemenin kanunlarda açıkça öngörülmesi,

o    Veri işlemenin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

o    Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

o    Veri işlemenin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

o    Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

o    İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel Veri İşleme Amaçları

Şirket; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu bağlamda Şirket, kişisel verileri ve özel nitelikli kişisel verileri hukuka uygun olarak işlemek amacıyla ilgili kişinin açık rızasını veya hukuka uygun işleme nedenlerinin varlığını arar. Şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.

Şirket’in kişisel veri işleme amaçları, Şirket Kişisel Veri İşleme Envanteri’nin ilgili kısmında yer almaktadır.

Şirket tarafından bina girişleri ve/veya bina içerisinde gerçekleştirilen kişisel veri işleme faaliyetleri, Anayasa’ya, Kanun’a ve ilgili diğer mevzuata uygun bir biçimde yürütülür. Bu kapsamda Şirket, güvenliğin sağlanması amacıyla gerekli görürse kamera ile görüntü kaydı tutar. Ayrıca ziyaretçi giriş çıkışlarının takibine yönelik kişisel veri işler. Ziyaretçilerin Şirket işyerlerini ziyaretleri sırasında kişisel verileri elde edilirken ilgili kişiler söz konusu işleme faaliyetleri hakkında bilgilendirilmek suretiyle aydınlatılırlar. Ayrıca, Şirket işyerlerini ziyaretleri sırasında ziyaretçilerimize internet erişimi sağlanabilmekte olup böyle bir durumda ‘log’ kayıtları tutulabilmektedir. Şirket, söz konusu kamera, ‘log’ ve sair ziyaretçi kayıtlarının işlenmesinde, güvenliğin gereği gibi ve mümkün olan en yüksek seviyede alınması amacını güderek yürürlükteki mevzuata tam uygunluğu hedefler. Şirket, söz konusu dijital kayıtlara yalnızca belirli sayıda yetkilendirilmiş kişiler tarafından ve bu Politika ilkelerine uygun olarak erişilmesini temin eder.

Şirket veya üçüncü kişi hizmet sağlayıcıları, Şirket internet sayfasının nasıl kullanıldığıyla ilgili olarak bilgi toplamak amacıyla “çerez” adı verilen (cookie) standart bir uygulamayı kullanabilir. Şirket, söz konusu kayıt işleminin gerçekleştirilmesinde yürürlükteki mevzuata gereği gibi uygunluğu sağlamayı hedefler.  Bu bağlamda ilgili internet sayfasında teknik bilgilerle birlikte şu uyarı yer alır: “Çerezlerin kullanımı ile ilgili kişisel verilerinizin toplanmasını veya benzer surette işlenmesini istemiyorsanız, ilgili tarayıcı ayarlarında buna ilişkin seçimleri yapmanızı rica ederiz. Önemle belirtmek isteriz ki çerezlerin kullanımını reddetmeniz halinde Şirket internet sayfasının birtakım özelliklerini kullanamayabilirsiniz.”

Kişisel Verilerin Aktarılması

Şirket , hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibi İlgili Kişi’nin kişisel verilerini ve/veya özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket bu doğrultuda KVKK’nın 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

Aktarımın yurt dışına yapılması halinde ise, Şirket hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibi İlgili Kişi’nin kişisel verilerini yurtdışındaki üçüncü kişilere aktarabilecektir. Kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilir.

Şirket yurt dışına kişisel veri aktarımı konusunda KVKK’nın 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmekte olup, yurtdışına aktarım için ilgili kişinin açık rızası veya yasal işleme şartlarından birinin varlığını mutlak surette aramaktadır.

VI.    KVKK Kapsamında Şirket Yükümlülükleri

Aydınlatma Yükümlülüğü

Şirket, KVKK uyarınca ve Kurul’un Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği uyarınca, veri sorumlusunun aydınlatma yükümlülüğü kapsamında kişisel veri sahibi İlgili Kişilere kişisel verilerinin işlenmesi hakkında bilgi verir.  Bu doğrultuda aşağıdaki bilgiler tüm ilgili kişilere ve/veya yasal temsilcilerine, kişisel verilerinin elde edildiği anda sağlanır:

•    Şirket’nin ticari unvanı ve temsilcisinin kimliği,

•    Kişisel verilerin hangi amaçla işleneceği,

•    Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

•    Kişisel veri toplamanın yöntemi ve hukuki sebebi,

•    İlgili Kişinin KVKK’nın 11. maddesinde sayılan diğer hakları.

İdari ve Teknik Tedbirler ile Denetim

Şirket yönetici ve çalışanları, kişisel verilere, yalnızca söz konusu görevin kapsam ve amacına uygun olacak şekilde erişebilir. Yönetici ve çalışanların erişimi olan kişisel veriler, sair kişisel veya ticari amaçlar gözeterek işlenemeyeceği gibi; bu amaçlarla kişisel veriler yetkisiz kişilere açıklanamaz veya bu bilgiler ifşa edilemez.

Şirket, yönetici ve çalışanlarını, iş amaçları gereği elde ettikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamayacakları, işleme amacı dışında kullanamayacakları ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hususlarında bilgilendirir, gerekli eğitimleri verir ve kendileriyle bu yönde anlaşmalar akdeder.

Şirket tarafından kişisel veri işleme faaliyetleri detaylı şekilde ve periyodik olarak gerek hukuk gerekse bilgi teknolojileri alanındaki uzmanlarca incelenmekte ve denetlenmektedir. Teknolojinin imkân verdiği ölçüde kişisel verilerin işlenmesi faaliyetlerinde gerekli önlemler alınır ve alınan önlemlerin güncellenmesi ve iyileştirilmesi esastır. Şirket’in ilgili departmanı ve gerek hukuk gerekse bilgi teknolojileri alanındaki danışmanları bu faaliyetlerin yürütülmesinde ve denetlenmesinde uyumlu bir şekilde çalışmaktadır.  Şirket, Şirket bünyesinde ve kişisel veri aktarımı yaptığı üçüncü kişiler nezdinde kişisel verilerin korunması yönündeki Şirket ilkeleri ile kişisel verilerin hukuka uygun işlenmesine yönelik mevzuat gereklerini sağlamak amacıyla belirli aralıklarla, özellikle teknik ve idari tedbirlere ilişkin gerekli sorgulamaları ve gerekli ise denetimleri yapmaktadır.

Veri Sorumluluları Siciline Kayıt

Şirket, ilgili mevzuat gereği Kurum tarafından kurulan veri sorumluları siciline, Kurul’un 19/07/2018 tarihli ve 2018/88 sayılı kararı uyarınca, Şirket’in yıllık çalışan sayısının 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olması halinde kaydolacaktır.

İlgili sicil kapsamında aşağıdaki bilgiler yer alır;

•    Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,

•    Kişisel verilerin hangi amaçla işleneceği,

•    Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

•    Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

•    Yabancı ülkelere aktarımı öngörülen kişisel veriler,

•    Kişisel veri güvenliğine ilişkin alınan tedbirler,

•    Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

İlgili Kişinin Başvurusuna Cevap Verme Yükümlülüğü

Kişisel verileri işlenen ilgili kişiler, Şirket’e  başvurarak kendileriyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) Kişisel verilerin silinmesini veya yok edilmesini isteme,

f) Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir. Bu kapsamda Şirket, ilgili kişiler tarafından kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırır. İlgili kişinin kişisel verisinin işlenmesi açık rızaya dayanıyor ise, ilgili kişinin açık rızasını geri çekmesi halinde Şirket gerekli adımları atar.

Şirket tarafından, Kişisel Verilerin Korunması Mevzuatı İlgili Kişi Başvuru Prosedürü hazırlanarak yürürlüğe girmiş olup; söz konusu başvurular anılan prosedür ve ekleri uyarınca ilgili birimlerce yürütülür.

Silme/Yok Etme/Anonimleştirme

KVKK kapsamında, veri sorumlusunun kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde ilgili kişisel verileri re’sen ya da ilgili kişinin talebi üzerine silmesi, yok etmesi veya anonimleştirmesi zorunlu tutulmuştur. Bu doğrultuda, Şirket  Kişisel Veri Saklama ve İmha Politikası düzenlenerek yürürlüğe girmiştir.

VII.    Politika Sorumluları

İşbu Politika’nın hazırlanması, güncellenmesi ve uygulanmasından Şirket bünyesinde kişisel verilerin tutulduğu, işlendiği ve/veya aktarıldığı sistemleri kullanan/yöneten birimler ve ilgili çalışanlar sorumludur. Bu bağlamda Şirket’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Özel olarak, İnsan Kaynakları Birimi çalışanların politikaya uygun hareket etmesinden; Bilgi Teknolojileri Birimi Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumlu olup, bahse konu her iki birim ayrıca Politika’nın geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi açısından yetkili ve görevlidir.

VIII.    Politika’ya Uyum

Tüm Şirket  çalışanları, kişisel verilerin işlenmesi ve muhafazası sırasında Politika hükümlerine tam ve gereği gibi riayet etmekle mükellef olup, mezkûr politika çalışanların iş sözleşmelerinin ayrılmaz bir parçasını teşkil etmektedir.

Bu Politika’da yer alan hükümlerin ihlaline ilişkin somut emarelerin varlığı halinde Şirket yönetim organı şüphelenilen Politika ihlallerini araştırarak gerekli tedbirleri alır. İşbu politikaya uyulmaması, müşteri güven kaybı, dava, prestij kaybı, finansal kayıp ve Şirket itibarına zarar veya kişisel zarar dahil ve bunlarla sınırlı olmaksızın çeşitli olumsuz sonuçlara neden olabilir. Bu sebeple, bu politikaya herhangi bir şekilde uyulmaması Şirket çalışanları ya da ilgili sair kişiler hakkında disiplin soruşturması veya işin ya da sözleşmenin sona ermesi ile sonuçlanabilir. Anılan ihlal aynı zamanda dahil olan kişiler aleyhine hukuki işlemde bulunulmasına dahi yol açabilir.

IX.    Yürürlük

Kişisel verilerin işlenmesi faaliyetlerinde yürürlükteki mevzuata tam uyumluluk hedefiyle tarafından hazırlanan işbu Politika, Şirket  yönetim organı tarafından onaylanarak yürürlüğe girmiştir.

Politika, basılı kâğıt ve elektronik ortamda olmak üzere iki farklı ortamda yayınlanır. İç iletişime özgülenmiş elektronik ortamda çalışanlara açıklanır, basılı kâğıt nüshası da İnsan Kaynakları Departmanında saklanır. Politika, ihtiyaç hasıl oldukça gözden geçirilir ve gerektiğinde ilgili bölümler güncellenir.

2021 İstanbul


İçindekiler

I.    Politika Amaç ve Kapsamı    1

II.    İlgili Mevzuat ve Diğer Belgeler    1

III.    Tanımlar    2

IV.    Kişisel Verilerin İşlenmesine İlişkin Genel Prensipler    3

V.    Kişisel Verilerin İşlenmesi    3

İşleme Kavramı    3

Yasal İşleme Şartları    3

Kişisel Veri İşleme Amaçları    3

Kişisel Verilerin Aktarılması    3

VI.    KVKK Kapsamında Şirket’nin Yükümlülükleri    4

Aydınlatma Yükümlülüğü    4

İdari ve Teknik Tedbirler İle Denetim    4

Veri Sorumluluları Siciline Kayıt    4

İlgili Kişinin Başvurusuna Cevap Verme Yükümlülüğü    4

Silme/Yok Etme/Anonimleştirme    4

VII.    Politika Sorumluları    4

VIII.    Politika’ya Uyum    4

IX.    Yürürlük    4

I.    Politika Amaç ve Kapsamı

Kişisel verilerin güvenliği jojomayshop – JJ Global  için büyük önem taşımakta olup, kişisel verilerin mevzuatın öngördüğü şartlara uygun olarak, mümkün olan en güvenli şekilde ve hukuki yükümlülüklerin gerektirdiği süreyle işlenmesi ve mevzuata uygun koşullarda saklanması Şirket açısından yüksek önemi haizdir. Bu bağlamda ’nin, kişisel verilerin işlenmesi açısından mevzuata uygun hareket etmesi ve uyumluluğu tesis etmesi hukuka uygunluk açısından oldukça önemlidir.

Şirket , 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, veri sorumlusu sıfatıyla kişisel verilerin korunması ve hukuka uygun işlenmesine yönelik her türlü yasal düzenlemeye tam olarak uyum sağlamayı hedeflemektedir.

İşbu Politika kapsamındaki tüzel kişilik jojomayshop – JJ Global ’dir.

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (‘’Politika’’) amacı, İlgili Şirket  tarafından, ürün veya hizmet alan kişiler, çalışanlar, aday çalışanlar ve diğer üçüncü kişilerin kişisel verilerinin işlenmesine yönelik prensipler ile usul ve esasların belirlenmesidir. İşbu Politika, Şirket’in ilgili birimleri ve çalışanlarının kişisel verilerin işlenmesi sırasındaki görev ve sorumluluklarını da ihtiva etmektedir.

İşbu Politika’nın hazırlanması, güncellenmesi ve uygulanmasından Şirket bünyesinde kişisel verilerin tutulduğu, işlendiği ve/veya aktarıldığı sistemleri kullanan/yöneten birimler ve ilgili çalışanlar sorumludur.

Kişisel verilerin işlenmesi faaliyetlerinde yürürlükteki mevzuata tam uyumluluk hedefiyle tarafından hazırlanan işbu Politika, Şirket yönetim organlarınca kabul edilerek yürürlüğe girmiştir.

II.    İlgili Mevzuat ve Diğer Belgeler

o    6698 sayılı Kişisel Verilerin Korunması Kanunu

o    28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

o    30 Aralık 2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik

o    10 Mart 2018 tarihli Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

o    6098 sayılı Türk Borçlar Kanunu

o    4857 sayılı İş Kanunu

o    5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu

o    6361 sayılı İş Sağlığı ve Güvenliği Kanunu

o    5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

o    Şirket Veri Saklama ve İmha Politikası

o    Kişisel Verilerin Korunması Mevzuatı İlgili Kişi Başvuru Prosedürü

III.    Tanımlar

Bu Politika’da yer alan terimler, aşağıda yer verilen anlamları ifade eder.

Tanım    Açıklama

Alıcı Grubu    Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza    Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hâle Getirme    Kişisel verilerin, başka verilerle eşleştirilerek kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

İlgili Kişi    Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı    Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha    Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun veya KVKK    6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı    Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri    Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri    Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel Verilerin İşlenmesi    Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul    Kişisel Verileri Koruma Kurulu

Kurum    Kişisel Verileri Koruma Kurumu

Özel Nitelikli Kişisel Veri    Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler

Periyodik İmha    Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Şirket    jojomayshop – JJ Global 

Veri İşleyen    Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi    Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumlusu    Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri Sorumluları Sicil Bilgi Sistemi

(VERBİS)    Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurum tarafından oluşturulan ve yönetilen bilişim sistemi.

IV.    Kişisel Verilerin İşlenmesine İlişkin Genel Prensipler

KVKK kapsamında Veri Sorumlusu sıfatıyla Şirket  kişisel verilerin mevzuat ve Politika hükümlerine aykırı olacak şekilde işlenmesini ve/veya aktarımını, kişisel verilere hukuka aykırı erişimi ve meydana gelebilecek olası güvenlik eksikliklerini önlemek adına, mevcut teknik imkanlar dahilinde ve ilgili kişisel verinin niteliğine göre gerekli her türlü tedbiri almaktadır.

Yasallık. Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak elde edilmeli ve işlenmelidir Şirket  kişisel verileri işlerken hukuka ve dürüstlük kurallarına uygun bir şekilde davranarak, azami hassasiyet ve kontrol ile kişisel verileri işlemektedir. Bu doğrultuda Şirket  kişisel verileri kanunda ön görülen sınırlar çerçevesinde kişisel verilerin işlenmesine yönelik olarak ilgili kişileri mevzuat çerçevesinde aydınlatarak ve gerekmesi halinde ilgili kişilerin açık rızasını alarak verileri işler.

Doğruluk ve Güncellik.İşlenen verilerin doğru ve güncel olması gerekmektedir. Şirket işlenen verilerin doğruluğunu her işleme seviyesinde kontrol eder ve gerektiğinde güncel olması için gerekli hazırlıkları yaparak Kişisel Veri İşleme Envanteri’nde ilgili çalışmaları gerçekleştirir.

Şeffaflık ve Belirlilik.Verilerin işlenmesi esnasında hangi verilerin işlendiği açık ve ne amaçla işlendiği belirli, hukuka uygun, eş söyleyişle meşru olmalıdır. Şirket, sadece meşru amaçlar için verileri işlemekte bu işleme sırasında elde edilecek olan verilerin işleme amaçlarının belirli olmasına özen göstermektedir. Şirketelde edilen kişisel veri ve bilgilerin farklı amaçlar için kullanılmaması ve yanlış anlaşılmaya sebebiyet vermemesi adına belirgin ve açık amaçlarla verileri işlemektedir.

Ölçülülük ve Sınırlılık.Verilerin işlenme amacına sadık, amaçla bağlantılı, o amaçla sınırlı ve ölçülü bir şekilde kontrollü bir şekilde işlenmesi gerekir. Şirket  yalnızca işlendikleri amaçla bağlı ve sınırlı olmak üzere ölçülü bir şekilde ilgili kişilerin verilerini işlemektedir.

Belirli Süre.Kişisel verilerin işlenmesini gerektiren esas amacın ortadan kalkması ve artık bu verilere ihtiyaç duyulmaması halinde söz konusu kişisel veriler silinir. Kanunlarda verilerin tutulmasına ilişkin sürelerin ön görülmesi halinde ise bu veriler, ilgili mevzuatta ön görülen sürelere uygun olacak şekilde muhafaza edilir; mevzuatta ön görülen sürenin dolmasından sonra ise bu veriler Şirket tarafından verilerin saklandığı sistemlerden, cihazlardan veya fiziksel olarak bulunduğu ortamlardan silinir, yok edilir veya anonimleştirilir.

Aydınlatma ve Açık Rıza.Şirket,kişisel verilerin işlenmesi ile ilgili olarak ilgili kişiyi mevzuatta belirlenen şekilde, tam ve gereği gibi bilgilendirmeyi hedefler. Gereken durumlarda, ilgili kişinin söz konusu işleme ile ilgili olarak açık rızasını alır ve vermiş olduğu açık rızayı dilediğinde geri çekme veya verileri ile ilgili talepte bulunma seçeneği sunmaktadır.

V.    Kişisel Verilerin İşlenmesi

İşleme Kavramı

KVKK, kişisel verilerin işlenmesi ifadesini, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi, veriler üzerinde gerçekleşen her türlü işlem olarak tanımlamaktadır.

Yasal İşleme Şartları

Kanun’a göre kişisel veriler, kaideten, ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza, Kanun’un 3’üncü maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan beyan olarak tanımlanmıştır. Bununla birlikte, “yasal işleme şartlarının” varlığı halinde de ilgili kişinin kişisel verisi Açık Rıza aranmaksızın işlenebilecektir.

Bu itibarla yasal işleme şartları aşağıdaki gibi tanımlanmaktadır:

o    İlgili Kişinin Açık Rızası,

o    Veri işlemenin kanunlarda açıkça öngörülmesi,

o    Veri işlemenin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

o    Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

o    Veri işlemenin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

o    Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

o    İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel Veri İşleme Amaçları

Şirket; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu bağlamda Şirket, kişisel verileri ve özel nitelikli kişisel verileri hukuka uygun olarak işlemek amacıyla ilgili kişinin açık rızasını veya hukuka uygun işleme nedenlerinin varlığını arar. Şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.

Şirket’in kişisel veri işleme amaçları, Şirket Kişisel Veri İşleme Envanteri’nin ilgili kısmında yer almaktadır.

Şirket tarafından bina girişleri ve/veya bina içerisinde gerçekleştirilen kişisel veri işleme faaliyetleri, Anayasa’ya, Kanun’a ve ilgili diğer mevzuata uygun bir biçimde yürütülür. Bu kapsamda Şirket, güvenliğin sağlanması amacıyla gerekli görürse kamera ile görüntü kaydı tutar. Ayrıca ziyaretçi giriş çıkışlarının takibine yönelik kişisel veri işler. Ziyaretçilerin Şirket işyerlerini ziyaretleri sırasında kişisel verileri elde edilirken ilgili kişiler söz konusu işleme faaliyetleri hakkında bilgilendirilmek suretiyle aydınlatılırlar. Ayrıca, Şirket işyerlerini ziyaretleri sırasında ziyaretçilerimize internet erişimi sağlanabilmekte olup böyle bir durumda ‘log’ kayıtları tutulabilmektedir. Şirket, söz konusu kamera, ‘log’ ve sair ziyaretçi kayıtlarının işlenmesinde, güvenliğin gereği gibi ve mümkün olan en yüksek seviyede alınması amacını güderek yürürlükteki mevzuata tam uygunluğu hedefler. Şirket, söz konusu dijital kayıtlara yalnızca belirli sayıda yetkilendirilmiş kişiler tarafından ve bu Politika ilkelerine uygun olarak erişilmesini temin eder.

Şirket veya üçüncü kişi hizmet sağlayıcıları, Şirket internet sayfasının nasıl kullanıldığıyla ilgili olarak bilgi toplamak amacıyla “çerez” adı verilen (cookie) standart bir uygulamayı kullanabilir. Şirket, söz konusu kayıt işleminin gerçekleştirilmesinde yürürlükteki mevzuata gereği gibi uygunluğu sağlamayı hedefler.  Bu bağlamda ilgili internet sayfasında teknik bilgilerle birlikte şu uyarı yer alır: “Çerezlerin kullanımı ile ilgili kişisel verilerinizin toplanmasını veya benzer surette işlenmesini istemiyorsanız, ilgili tarayıcı ayarlarında buna ilişkin seçimleri yapmanızı rica ederiz. Önemle belirtmek isteriz ki çerezlerin kullanımını reddetmeniz halinde Şirket internet sayfasının birtakım özelliklerini kullanamayabilirsiniz.”

Kişisel Verilerin Aktarılması

Şirket , hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibi İlgili Kişi’nin kişisel verilerini ve/veya özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket bu doğrultuda KVKK’nın 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

Aktarımın yurt dışına yapılması halinde ise, Şirket hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibi İlgili Kişi’nin kişisel verilerini yurtdışındaki üçüncü kişilere aktarabilecektir. Kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilir.

Şirket yurt dışına kişisel veri aktarımı konusunda KVKK’nın 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmekte olup, yurtdışına aktarım için ilgili kişinin açık rızası veya yasal işleme şartlarından birinin varlığını mutlak surette aramaktadır.

VI.    KVKK Kapsamında Şirket Yükümlülükleri

Aydınlatma Yükümlülüğü

Şirket, KVKK uyarınca ve Kurul’un Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği uyarınca, veri sorumlusunun aydınlatma yükümlülüğü kapsamında kişisel veri sahibi İlgili Kişilere kişisel verilerinin işlenmesi hakkında bilgi verir.  Bu doğrultuda aşağıdaki bilgiler tüm ilgili kişilere ve/veya yasal temsilcilerine, kişisel verilerinin elde edildiği anda sağlanır:

•    Şirket’nin ticari unvanı ve temsilcisinin kimliği,

•    Kişisel verilerin hangi amaçla işleneceği,

•    Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

•    Kişisel veri toplamanın yöntemi ve hukuki sebebi,

•    İlgili Kişinin KVKK’nın 11. maddesinde sayılan diğer hakları.

İdari ve Teknik Tedbirler ile Denetim

Şirket yönetici ve çalışanları, kişisel verilere, yalnızca söz konusu görevin kapsam ve amacına uygun olacak şekilde erişebilir. Yönetici ve çalışanların erişimi olan kişisel veriler, sair kişisel veya ticari amaçlar gözeterek işlenemeyeceği gibi; bu amaçlarla kişisel veriler yetkisiz kişilere açıklanamaz veya bu bilgiler ifşa edilemez.

Şirket, yönetici ve çalışanlarını, iş amaçları gereği elde ettikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamayacakları, işleme amacı dışında kullanamayacakları ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hususlarında bilgilendirir, gerekli eğitimleri verir ve kendileriyle bu yönde anlaşmalar akdeder.

Şirket tarafından kişisel veri işleme faaliyetleri detaylı şekilde ve periyodik olarak gerek hukuk gerekse bilgi teknolojileri alanındaki uzmanlarca incelenmekte ve denetlenmektedir. Teknolojinin imkân verdiği ölçüde kişisel verilerin işlenmesi faaliyetlerinde gerekli önlemler alınır ve alınan önlemlerin güncellenmesi ve iyileştirilmesi esastır. Şirket’in ilgili departmanı ve gerek hukuk gerekse bilgi teknolojileri alanındaki danışmanları bu faaliyetlerin yürütülmesinde ve denetlenmesinde uyumlu bir şekilde çalışmaktadır.  Şirket, Şirket bünyesinde ve kişisel veri aktarımı yaptığı üçüncü kişiler nezdinde kişisel verilerin korunması yönündeki Şirket ilkeleri ile kişisel verilerin hukuka uygun işlenmesine yönelik mevzuat gereklerini sağlamak amacıyla belirli aralıklarla, özellikle teknik ve idari tedbirlere ilişkin gerekli sorgulamaları ve gerekli ise denetimleri yapmaktadır.

Veri Sorumluluları Siciline Kayıt

Şirket, ilgili mevzuat gereği Kurum tarafından kurulan veri sorumluları siciline, Kurul’un 19/07/2018 tarihli ve 2018/88 sayılı kararı uyarınca, Şirket’in yıllık çalışan sayısının 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olması halinde kaydolacaktır.

İlgili sicil kapsamında aşağıdaki bilgiler yer alır;

•    Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,

•    Kişisel verilerin hangi amaçla işleneceği,

•    Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

•    Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

•    Yabancı ülkelere aktarımı öngörülen kişisel veriler,

•    Kişisel veri güvenliğine ilişkin alınan tedbirler,

•    Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

İlgili Kişinin Başvurusuna Cevap Verme Yükümlülüğü

Kişisel verileri işlenen ilgili kişiler, Şirket’e  başvurarak kendileriyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) Kişisel verilerin silinmesini veya yok edilmesini isteme,

f) Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir. Bu kapsamda Şirket, ilgili kişiler tarafından kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırır. İlgili kişinin kişisel verisinin işlenmesi açık rızaya dayanıyor ise, ilgili kişinin açık rızasını geri çekmesi halinde Şirket gerekli adımları atar.

Şirket tarafından, Kişisel Verilerin Korunması Mevzuatı İlgili Kişi Başvuru Prosedürü hazırlanarak yürürlüğe girmiş olup; söz konusu başvurular anılan prosedür ve ekleri uyarınca ilgili birimlerce yürütülür.

Silme/Yok Etme/Anonimleştirme

KVKK kapsamında, veri sorumlusunun kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde ilgili kişisel verileri re’sen ya da ilgili kişinin talebi üzerine silmesi, yok etmesi veya anonimleştirmesi zorunlu tutulmuştur. Bu doğrultuda, Şirket  Kişisel Veri Saklama ve İmha Politikası düzenlenerek yürürlüğe girmiştir.

VII.    Politika Sorumluları

İşbu Politika’nın hazırlanması, güncellenmesi ve uygulanmasından Şirket bünyesinde kişisel verilerin tutulduğu, işlendiği ve/veya aktarıldığı sistemleri kullanan/yöneten birimler ve ilgili çalışanlar sorumludur. Bu bağlamda Şirket’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Özel olarak, İnsan Kaynakları Birimi çalışanların politikaya uygun hareket etmesinden; Bilgi Teknolojileri Birimi Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumlu olup, bahse konu her iki birim ayrıca Politika’nın geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi açısından yetkili ve görevlidir.

VIII.    Politika’ya Uyum

Tüm Şirket  çalışanları, kişisel verilerin işlenmesi ve muhafazası sırasında Politika hükümlerine tam ve gereği gibi riayet etmekle mükellef olup, mezkûr politika çalışanların iş sözleşmelerinin ayrılmaz bir parçasını teşkil etmektedir.

Bu Politika’da yer alan hükümlerin ihlaline ilişkin somut emarelerin varlığı halinde Şirket yönetim organı şüphelenilen Politika ihlallerini araştırarak gerekli tedbirleri alır. İşbu politikaya uyulmaması, müşteri güven kaybı, dava, prestij kaybı, finansal kayıp ve Şirket itibarına zarar veya kişisel zarar dahil ve bunlarla sınırlı olmaksızın çeşitli olumsuz sonuçlara neden olabilir. Bu sebeple, bu politikaya herhangi bir şekilde uyulmaması Şirket çalışanları ya da ilgili sair kişiler hakkında disiplin soruşturması veya işin ya da sözleşmenin sona ermesi ile sonuçlanabilir. Anılan ihlal aynı zamanda dahil olan kişiler aleyhine hukuki işlemde bulunulmasına dahi yol açabilir.

IX.    Yürürlük

Kişisel verilerin işlenmesi faaliyetlerinde yürürlükteki mevzuata tam uyumluluk hedefiyle tarafından hazırlanan işbu Politika, Şirket  yönetim organı tarafından onaylanarak yürürlüğe girmiştir.

Politika, basılı kâğıt ve elektronik ortamda olmak üzere iki farklı ortamda yayınlanır. İç iletişime özgülenmiş elektronik ortamda çalışanlara açıklanır, basılı kâğıt nüshası da İnsan Kaynakları Departmanında saklanır. Politika, ihtiyaç hasıl oldukça gözden geçirilir ve gerektiğinde ilgili bölümler güncellenir.