KVKK Genel Politikası

ATEŞ ALIŞVERİŞ VE YAŞAM MERKEZİ LTD. ŞTİ. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI


1. AMAÇ

Ateş alışveriş ve yaşam merkezi ltd. Şti. (‘Demirpark,’ ‘Şirket’), 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘KVKK,’ ‘Kanun’) yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunması ve bu çerçevede KVKK’da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesi için çalışmaktadır. İşbu Kişisel verilerin Korunması ve Gizlilik Politikası (‘Politika’), kişisel verilerin Demirpark tarafından toplanması, kullanılması, paylaşılması, aktarılması ve saklanması süreçleri ve prensipleri hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır. İşbu Politika’da, Demirpark tarafından veri sahiplerine ait kişisel verilerin işlenmesine ilişkin esaslara KVKK’da yer alan düzenleme sırasına uygun olarak yer verilmiş olup, bu açıklamalar Demirpark çalışanlarını, aktif ve potansiyel müşterilerini, ziyaretçilerini ve Demirpark ile ilişki içerisinde bulunan diğer gerçek kişileri kapsamaktadır.


2. KAPSAM

İşbu Politika, Demirpark’un KVKK kapsamında bulunan veri işleme süreçlerinde uygulanmaktadır.


3. TANIM VE KISALTMALAR

  • Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

  • İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir

  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

  • Kanun/KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu

  • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

  • Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale gelmesi

  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik

    olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

  • Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili

    Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

  • Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde

    erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

  • Kurul: Kişisel Verileri Koruma Kurulu

  • Kurum: Kişisel Verileri Koruma Kurumu

  • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

  • Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

  • Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi

  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi


4. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN GENEL İLKELER

Demirpark, kişisel verileri KVKK ve ilgili diğer mevzuatta öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede, Demirpark tarafından kişisel veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır:

• Hukuka ve dürüstlük kurallarına uygun olma,

• Doğru ve gerektiğinde güncel olma,

• Belirli, açık ve meşru amaçlar için işlenme,

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme


5. KİŞİSEL VERİ SAHİPLERİ VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

Demirpark tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında ilgili kişisel veri sahipleri ile işlenen kişisel veri kategorileri ve açıklamaları aşağıdaki şekildedir:


Tablo I. Kişisel Veri Sahipleri Kategorileri:


Tablo II. İşlenen Kişisel Veri Kategorileri:



6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki şartlardan biridir. Açık rıza dışında, kanunda sayılan ve aşağıda belirtilen şartların varlığı halinde kişisel veriler işlenebilir. Aşağıda belirtilen şartlardan yalnızca biri kişisel veri işleme şartı olabileceği gibi birden fazlası da Demirpark kişisel veri işleme faaliyetlerine dayanak oluşturabilir.

• Kanunlarda açıkça öngörülmesi,

• Fiili imkansızlık nedeniyle kişisel veri sahibinin açık rızasının alınamaması,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

• Demirpark’un hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

• Kişisel verilerin, veri sahibinin kendisi tarafından alenileştirilmiş olması,

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Veri İşleme Şartları

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise Demirpark tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Demirpark tarafından; özel nitelikli kişisel veriler, kişisel veri sahibinin açık rızası yok ise ancak, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir: (i) Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, (ii) Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.


7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI


Kişisel verileri işleme amaçları şirket politikalarımız ve mevzuattan kaynaklanan yükümlülüklerimiz doğrultusunda güncellenebilecek olup aşağıdakiler mevcut işleme amaçlarını kapsamaktadır:

• Demirpark insan kaynakları politikalarına uygun şekilde insan kaynakları operasyonlarının yürütülmesi,

• Demirpark tarafından sunulan hizmetlerin ilgili iş birimleri tarafından yerine getirilmesi amacı doğrultusunda; Demirpark tarafından yürütülen hizmetlerin ifası,

• Demirpark ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda yürütülen idari operasyonlar,

• Demirpark’un ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda yürütülen süreçleri ve operasyonları, finans operasyonları, iletişim aktiviteleri ve bunların yürütülmesi,

• Demirpark ticari ve iş stratejilerinin belirlenmesi ve uygulanması, şirket içi sistem ve uygulama yönetimi,

• Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi,

• Çalışan memnuniyetinin ve/veya bağlılığı süreçlerinin planlanması ve icrası, çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası, çalışanların bilgiye erişim yetkilerinin planlanması ve icrası, çalışanların iş faaliyetlerinin takibi ve/veya denetimi,

• İş faaliyetlerinin ve hizmetlerin satış ve pazarlama ve/veya tanıtımı faaliyetlerinin planlanması ve icrası,

• İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası, iş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi,

• Kurumsal iletişim faaliyetlerinin planlanması ve icrası, kurumsal yönetim faaliyetlerinin planlanması ve icrası,

• Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası, müşteri memnuniyeti süreçlerinin planlanması ve/veya takibi, müşteri talep ve/veya şikayetlerinin takibi,

• Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,

• Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini,

• Şirket dışı eğitim faaliyetlerinin planlanması,

• Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası,

• Verilerin doğru ve güncel olmasının sağlanması,

• Yetkili kişi ve/veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi,

• Ziyaretçi kayıtlarının oluşturulması ve takibi ve şirket yerleşkesi ve tesislerinin güvenliğinin sağlanması,

• Demirpark tarafından sunulan ürün ve hizmetlerden kişilerin yararlanmasını sağlamak üzere aktivitelerin yapılması.

Yukarıda belirtilen kategoriler sizleri bilgilendirme amaçlı olup, Demirpark’un gelecekteki ticari ve diğer faaliyetlerini yürütebilmesi için tarafımızca başka kategoriler de eklenebilecektir. Bu gibi durumlarda Demirpark, sizi en hızlı şekilde bilgilendirmeye devam edebilmek için, belirtilen kategorileri sizler için ilgili metinlerde güncellemeye devam edecektir.


8. KİŞİSEL VERİLERİN SAKLANMASI


Elde ettiğimiz kişisel veriler, Demirpark’un ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, Demirpark tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına izin verilen veya zorunlu tutulan haller ayrı olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Demirpark tarafından kendiliğinden veya ekte bulunan veri sahibi başvuru formu aracılığıyla ve kullanılabilecek farklı teknikler ile veri sahiplerinin talebi üzerine veriler silinecek, yok edilecek veya anonimleştirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.

Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, yukarıda belirtilen prosedüre göre silinecek, yok edilecek veya anonim hale getirilecektir.


9. KİŞİSEL VERİLERİN YURTİÇİNDEKİ KİŞİLERE AKTARILMASI


Demirpark, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, Demirpark tarafından veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler Demirpark tarafından, veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

• Kanunlarda açıkça öngörülmesi,

• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmaya kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

• Veri sahibinin kendisi tarafından alenileştirilmiş olması,

• Bir hakkın kendisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise; (a) Kamu sağlığının korunması, (b) Koruyucu hekimlik, (c) Tıbbı teşhis, (d) Tedavi ve bakım hizmetlerinin yürütülmesi, (e) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.

Özel nitelikli kişisel verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.


10.KİŞİSEL VERİLERİN YURTDIŞINDAKİ KİŞİLERE AKTARILMASI


Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, KVKK’nın 9. Maddesi doğrultusunda veri sahibinin açık rızası aranmaktadır. Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da Demirpark tarafından kişisel veriler yurtdışına aktarılabilecektir. Eğer aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, Demirpark ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt edecektir.


11.VERİ SAHİBİNİN HAKLARI


Demirpark tarafından işbu Politikada yer alan esaslara uygun olarak işlenen kişisel verilere ilişkin olarak, KVKK’nın 11. Maddesinde veri sahipleri için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıştır. Bahse konu haklar şunlardır:

• Kişisel veri işlenip işlenmediğini öğrenme,

• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Veri sahipleri, yukarıda sayılan haklarını, işbu Politikanın ekinde bulunan veri sahibi başvuru formunun ıslak imzalı bir nüshasını, Demirpark iletişim adreslerine, posta, e- posta yahut iadeli taahhütlü mektup vasıtasıyla ileterek kullanabilirler. Formun doldurulması yahut Demirpark’a gönderilmesi hakkında detaylı bilgiler, ekte bulunan başvuru formunda yer almaktadır. Demirpark, ilgili başvurulara yönelik cevabı fiziken yahut elektronik olarak ilgili veri sahibine ulaştıracaktır.

Demirpark, talebin niteliğine göre, talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Demirpark tarafından KVK Kurulunca belirlenen tarifedeki ücret ilgililerden alınacaktır. Ayrıca, veri sahiplerinin taleplerinin sonuçlandırılması sürecinde, Demirpark tarafından başvuruculardan ek bilgi veyahut belge talep edilebilecektir.


12.VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER


Demirpark, kişisel verilerin korunması için gerekli olan uygun güvenlik seviyesini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. Demirpark; (a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (b) Kişisel verilere hukuka aykırı erişilmesini önlemek ve (c) Kişisel verilerin muhafazasını sağlamak amaçlarını gerçekleştirmek için aşağıdaki önlemleri almaktadır:

• Demirpark, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır.

• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Demirpark bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

• Kişisel verilerin paylaşılması ile ilgili olarak, Demirpark, kişisel verilerin paylaşıldığı kişiler ile çerçeve sözleşme imzalar veya sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar.

• Demirpark, kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline gerekli Kişisel Verilerin Korunması eğitimlerini verir.

• Demirpark, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli Kişisel Verilerin Korunması eğitimlerini verir.

• Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.

• Kişisel verilerin kurum dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapıyı temin eder.

• Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar.


13.GÖRÜNTÜ KAYITLARININ İŞLENMESİ


Demirpark tarafından, tesis ve işletmelerinin genel ve ticari güvenliğinin temin edilebilmesi amacıyla, KVKK’da öngörülen ve işbu Politika’da yer verilen temel ilkelere uygun olarak ziyaretçilerin, çalışanların ve diğer ilgili kişilerin görüntü kaydı alınmakta ve bu kayıtlar işlenme amaçlarına uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır.

Görüntü kaydı alınan yerlerde, veri sahiplerinin bilgilendirilmesi amacıyla, görüntü kaydı alındığına dair uyarı görünür bir biçimde yer almaktadır. Söz konusu faaliyetler kapsamında Demirpark tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. Mahremiyetin yüksek olduğu yerlerde ise görüntüleme yapılmamaktadır.


14.YÜRÜRLÜK VE GÖZDEN GEÇİRME


İşbu Politika, yayımlandığı andan itibaren yürürlüğe girer. İşbu Politikanın yürürlükten kaldırılması dahil Politika içeriğinde yapılacak değişiklikler ve ne şekilde uygulanacakları konusunda Demirpark yetkilidir.

İşbu Politikaya bağlı olarak düzenlenecek; bu Politikanın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları yönetmelik şeklinde düzenlenecektir.