ZENZA KOZMETİK ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI
POLİTİKASI
A-)GİRİŞ
Kişisel verilerin korunması hakkı,
birçok uluslararası metinde ve Türkiye Cumhuriyeti Anayasa’sında temel bir
insan hakkı olarak kabul edilmektedir. Bu hak; kişinin kendisiyle ilgili
kişisel verilerin korunmasını, hakkında bilgilendirilme, bu verilere erişme,
bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda
kullanılıp kullanılmadığını öğrenmeyi de kapsar.
ZENZA KOZMETİK ANONİM
ŞİRKETİ (ZENZA) kişisel verileri
işlerken, kişisel verilerin korunması hakkını büyük bir hassasiyetle
gözetmektedir.
B-)AMAÇ VE KAPSAM
İşbu “Kişisel Verilerin İşlenmesi ve
Korunması Politikası” (POLİTİKA);
ZENZA’ya ait https://zenza.com.tr/ adlı
web sitesini
ziyaret edenlere, ZENZA ile fiziki
veya elektronik yollarla irtibat kurup bilgi aktarımında bulunanlara, ZENZA çalışanlarına, hissedarlarına,
yetkililerine, mevcut ve potansiyel iş ortaklarına ait kişisel verilerin 6698 sayılı “Kişisel Verilerin Korunması
Kanunu”, Avrupa Birliği Genel Veri
Koruma Tüzüğü (GDPR) hükümlerine ve anılan düzenlemelere aykırı olmamak
kaydıyla kişinin tabi olduğu ülkenin yasal düzenlemelerine uygun olarak
toplanması, işlenmesi, aktarılması ve korunması hususunda bilgi vermek amacıyla
düzenlenmiştir.
İşbu POLİTİKA, ZENZA’nın “Çerez Politikası” nı da kapsamaktadır.
ZENZA mevzuat değişikliklerine uyum sağlamak veya
ortaya çıkacak yeni gereksinimleri karşılamak amacıyla işbu POLİTİKA'yı her
zaman değiştirme ve güncelleme hakkına sahiptir.
C-)TANIMLAR
Açık
rıza :Belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rızayı,
Anonim
hâle getirme :Kişisel verilerin, başka verilerle
eşleştirilse dahi hiçbir surette kimliği
belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili
kişi :Kişisel verisi işlenen gerçek
kişiyi,
Kanun :6698
sayılı Kişisel Verilerin Korunması Kanunu’nu,
Kişisel
veri :Kimliği belirli veya belirlenebilir
gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel
verilerin işlenmesi :Kişisel verilerin tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması,
muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması
ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü
işlemi,
Kişisel verilerin
anonim
hale getirilmesi :Kişisel verilerin başka verilerle
eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin
silinmesi :Kişisel verilerin ilgili
kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilmesi işlemidir.
Kişisel verilerin
yok edilmesi :Kişisel verilerin hiç kimse
tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz
hale getirilmesi işlemidir.
Kurul :Kişisel
Verileri Koruma Kurulu’nu,
Kurum :Kişisel
Verileri Koruma Kurumunu,
Veri
işleyen :Veri sorumlusunun verdiği yetkiye
dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri kayıt sistemi
:Kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri
sorumlusu :Kişisel verilerin işleme amaçlarını
ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
D-)TEKNİK
AÇIKLAMALAR
1-)Açık
Rıza
Gerek Kanun gerekse
uluslararası pek çok düzenlemeye göre kişisel veriler kural olarak kişinin “açık
rızası” ile işlenebilir. Açık rıza; belli bir konuya ilişkin olması,
rızanın bilgilendirmeye dayanması ve ilgili kişinin özgür iradesiyle açıklanmış
olması halinde geçerlidir.
ZENZA, işlenecek kişisel veri
kategorisine göre ilgili kişinin “açık
rızasını” aramaktadır.
2-)Kişisel
Veri
Gerçek bir kişiyi
belirli veya belirlenebilir kılan her türlü bilgi kişisel veri olarak kabul
edilmektedir. Bir başka tanımla kişisel veri; kişinin şahsi, mesleki, ailevi,
ekonomik, kültürel, sosyal ve psikolojik özelliklerini gösteren, o kişiyi
tanımlanabilir hale getiren ve diğer kişilerden ayırmaya elverişli her türlü
bilgidir. Bu kapsamda örneğin kişinin adı,
soyadı, doğum tarihi, doğum yeri, resmi kayıtlara işlenmiş kimlik, pasaport,
vergi, sosyal güvenlik numarası gibi bilgileri ile telefon numarası, taşıt
plakası, özgeçmişi, resim, görüntü ve ses kayıtları, parmak izleri, genetik
bilgileri, kullandığı cihazların IP adresleri, konum bilgisi, sicil kaydı ve
benzeri bilgiler de kişisel veri olarak kabul edilir.
ZENZA’nın kategoriler halinde işlediği
kişisel veriler aşağıda belirtilmiştir.
3-)Veri
Sorumlusu
Veri sorumlusu tanımına
göre işbu politika kapsamındaki kişisel verilerin işlenmesinde, Ankara Ticaret Odası’na 527097 sicil
numarası ile kayıtlı, 0997196878500001 Mersis Numaralı “ZENZA KOZMETİK ANONİM ŞİRKETİ(ZENZA)” veri sorumlusudur.
ZENZA’nın iletişim bilgileri aşağıda
belirtilmiştir:
Adres (Merkez): Kızılırmak Mah. 1435.Sokak No:11 İç Kapı No:72 Çankaya - ANKARA
Telefon
: 0 545 577
50 01
e-posta
: [email protected]
E-)KİŞİSEL VERİLERİN
İŞLENMESİNE İLİŞKİN TEMEL İLKELER
ZENZA, kişisel verilerin işlenmesi sürecinde, pek çok ulusal ve uluslararası
yasal düzenlemelerde kabul görmüş, bununla birlikte 6698 sayılı Kişisel
Verilerin Korunması Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü’nde
(GDPR) düzenlenmiş temel ilkelere uymaktadır.
Bu ilkeler aşağıda belirtilmiştir:
Ø
Kişisel verilerin işlenmesinde hukuka ve
dürüstlük kurallarına uygun hareket edilmesi ilkesi
Ø
Kişisel verilerin doğru ve gerektiğinde güncel
tutulması ilkesi.
Ø
Kişisel verilerin belirli, açık ve meşru
amaçlar için işlenmesi ilkesi.
Ø
Kişisel verilerin işlendikleri amaçla bağlantılı,
sınırlı ve ölçülü işlenmesi ilkesi.
Ø
Kişisel verilerin ilgili mevzuatta öngörülen
veya işlendiği amaç için gerekli olan süre kadar muhafaza edilmesi ilkesi.
F-)KİŞİSEL VERİLERİN İŞLENME ŞARTLARI (HUKUKİ
DAYANAKLARI)
Kişisel verilerin işlenme şartları, yani kişisel
verilerin işlenmesi amacının “hukuki
dayanakları” aşağıda açıklanmış olup bu şartlardan en az birinin varlığı
halinde kişisel verilerin işlenmesi mümkündür.
Kişisel veri işleme faaliyetinin amaçlarında
birden fazla kişisel veri işleme şartı bulunabilir. Örneğin işçi özlük dosyasının tutulması
amacıyla işlenen kişisel verilerin şartları (hukuki dayanakları) aynı anda;
sözleşmenin ifası ve hukuki yükümlülüğün yerine getirilmesi şartlarının ikisini
de taşımaktadır.
ZENZA, aşağıdaki şartlar (hukuki dayanaklar) kapsamında
kişisel verileri işlemektedir.
1-)İlgili Kişinin Açık Rızasının Varlığı (Açık Rıza)
Kişisel verilerin işlenmesinde, kural olarak
ilgili kişinin açık rızası gerekmekle birlikte aşağıda sayılan diğer şartlardan
en az birinin varlığı halinde ilgili kişinin açık rızası olmaksızın da kişisel
verisi işlenebilir.
Bu nedenle kişisel veri işleme faaliyetine
ilişkin amacın öncelikli olarak açık rıza dışındaki diğer işleme şartlarından
birine dayanıp dayanmadığını tespit edilmesi, eğer bu amaç açık rıza dışındaki
işleme şartlarından en az birini karşılamıyorsa ancak bu durumda ilgili kişinin
açık rızasının alınması gerekir.
2-)Kişinin Açık Rızasının Aranmadığı Kişisel Veri İşleme Şartları
a-)Kanunlarda Açıkça Öngörülmesi (Kanun Hükmü)
Kanunlarda veya kanuna dayalı ikincil düzenlemelerde
(yönetmelik vb) kişisel veri işlenebileceğine dair açık bir hüküm varsa,
kişisel veri bu hükme dayanılarak işlenebilecektir. Örneğin iş kanunlarına göre
veri sorumlusu işverenin çalıştırdığı her işçiye ilişkin özlük dosyası tutması
gerekir. Bu kapsamda işlenen kişisel veriler kanunda açıkça öngörülmesi şartına
dayanarak işlenmektedir.
b-)Fiili İmkânsızlık
Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olduğu hallerde ilgili kişinin kişisel verileri
işlenebilecektir. Örneğin bir trafik kazası nedeniyle bilinci kapalı bir
kazazedenin yakınlarına ulaşmak için ona ait cep telefonun kullanılması gibi.
c-)Sözleşmenin Kurulması veya İfası İçin Gerekli olması (Sözleşmenin İfası)
Bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel
verilerin işlenmesinin zorunlu olması halinde bu amaçla kişisel verilerin
işlenmesi mümkündür. Örneğin müşteriye fatura kesilebilmesi amacıyla müşterinin
kimlik bilgilerinin alınması gibi.
d-)Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirilebilmesi İçin
Zorunlu Olması (Hukuki Sorumluluk)
Veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde ilgili kişinin
kişisel verileri işlenebilecektir. Örneğin bir vergi denetimi kapsamında
müşterilere ait faturaların sunulması gibi.
e-)Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması
(Aleniyet Kazandırma)
İlgili kişinin kendisi tarafından alenileştirilen,
bir başka anlatımla herhangi bir şekilde kamuoyuna açıklanmış olan kişisel
veriler işlenebilecektir. Örneğin bir internet sitesinde, çalışanların
iletişim amacıyla telefon, e-posta adreslerini paylaşması gibi.
f-)Kişisel Verilerin İşlenmesinin Bir Hakkın
Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması (Hakkın Tesisi,
Korunması, Kullanılması)
Bir hakkın tesisi, kullanılması veya korunması
için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
Örneğin işçi tarafından şirket aleyhinde açılan bir davada, işçinin kişisel
verilerinin mahkemeye sunulması veya zamanaşımı süreleri içerisinde bir
müşteriye ait sözleşme, fatura gibi bilgilerin saklanması gibi.
g-)Veri İşlemenin İlgili Kişinin Temel Hak ve
Özgürlüklerine Zarar Vermemek Kaydıyla Veri Sorumlusunun Meşru Menfaatleri İçin
Zorunlu Olması (Meşru Menfaat)
İlgili kişinin temel hak ve özgürlüklerine
zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri
işlenmesinin zorunlu olması halinde veriler işlenebilecektir. Örneğin çalışanların
özlük durumlarını düzenlemek için çalışan verilerinin işlenmesi durumu şirket
sahibinin meşru menfaati kapsamındadır.
Bu arada meşru menfaat şartının, diğer şartlar
uygulanamadığı hallerde her durumda kullanılabilecek bir şart olmadığı kabul
edilir.
G-)ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME
ŞARTLARI
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi,
felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler “özel
nitelikli” verilerdir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi
yasaktır. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler,
kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın
işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
ZENZA, özel nitelikli kişisel verilerin işlenmesinde
yukarıdaki şartlarla hareket etmekte, gerekli hallerde ilgili kişinin açık
rızasını almaktadır.
H-)ZENZA TARAFINDAN İŞLENEN KİŞİSEL VERİLER,
İŞLENME AMACI VE ŞARTLARI
Veri Sorumlusu sıfatıyla ZENZA tarafından işlenen tüm kişisel veriler; veri kategorisi,
kapsamı ve niteliği bakımından aşağıdaki tabloda belirtilmiştir:
b-)Kişisel Verilerin İşlenme Amacı ve Şartları
(Hukuki Dayanaklar)
Veri sorumlusu sıfatıyla ZENZA tarafından işlenen kişisel verilerin işlenme amaçları ile
işlenme şartları (hukuki dayanakları) aşağıdaki tabloda belirtilmiştir:
|
|
Veri
Kategorisi |
İşlenme Amacı |
İşlenme
şartları (Hukuki
Dayanaklar) |
|
1 |
Kimlik
Verileri |
· Acil durum yönetimi süreçlerinin yürütülmesi · Bilgi güvenliği süreçlerinin yürütülmesi · Çalışan adayı/stajyer/öğrenci seçme ve yerleştirme
süreçlerinin yürütülmesi · Çalışan adaylarının başvuru süreçlerinin yürütülmesi · Çalışan memnuniyeti ve bağlılığı süreçlerinin
yürütülmesi · Çalışanlar için iş akdi ve mevzuattan kaynaklı
yükümlülüklerin yerine getirilmesi · Çalışanlar için yan haklar ve menfaatleri
süreçlerinin yürütülmesi · Denetim/etik faaliyetlerinin yürütülmesi · Eğitim faaliyetlerinin yürütülmesi · Erişim yetkilerinin yürütülmesi · Faaliyetlerin mevzuata uygun yürütülmesi · Finans ve muhasebe işlerinin yürütülmesi · Firma/ürün/hizmetlere bağlılık süreçlerinin
yürütülmesi · Görevlendirme süreçlerinin yürütülmesi · Hukuk işlerinin takibi ve yürütülmesi · İç denetim/soruşturma/istihbarat faaliyetlerinin
yürütülmesi · İnsan kaynakları süreçlerinin planlanması · İş faaliyetlerinin yürütülmesi/denetimi · İş sağlığı/güvenliği faaliyetlerinin yürütülmesi · İş süreçlerinin iyileştirilmesine yönelik önerilerin
alınması ve değerlendirilmesi · İş sürekliliğinin sağlanması faaliyetlerinin
yürütülmesi · Mal/hizmet satın alım süreçlerinin yürütülmesi · Mal/hizmet satış sonrası destek hizmetlerinin
yürütülmesi · Mal/hizmet satış süreçlerinin yürütülmesi · Mal/hizmet üretim ve operasyon süreçlerinin
yürütülmesi · Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi · Müşteri memnuniyetine yönelik aktivitelerin
yürütülmesi · Organizasyon ve etkinlik yönetimi · Performans değerlendirme süreçlerinin yürütülmesi · Risk yönetimi süreçlerinin yürütülmesi · Saklama ve arşiv faaliyetlerinin yürütülmesi · Sözleşme süreçlerinin yürütülmesi · Talep/şikayetlerin takibi · Taşınır mal ve kaynakların güvenliğinin temini · Ücret politikasının yürütülmesi · Veri sorumlusu operasyonlarının güvenliğinin temini · Yetenek/kariyer gelişimi faaliyetlerinin yürütülmesi · Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi · Yönetim faaliyetlerinin yürütülmesi |
· Kanun Hükmü (KVKK
m.5/2-a) · Sözleşmenin Kurulması/İfası (KVKK m. 5/2-c) · Hukuki Sorumluluk (KVKK m.
5/2-ç) · Hakkın Tesisi, Korunması, Kullanılması (KVKK m.5/2-e) · Meşru Menfaat (KVKK
m.5/2-f)
|
|
2 |
İletişim
Verileri |
·
Acil
durum yönetimi süreçlerinin yürütülmesi ·
Bilgi
güvenliği süreçlerinin yürütülmesi ·
Çalışanlar
için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi ·
Faaliyetlerin
mevzuata uygun yürütülmesi ·
İç
denetim/ soruşturma/istihbarat faaliyetlerinin yürütülmesi ·
İletişim
faaliyetlerinin yürütülmesi ·
Mal/hizmet
satın alım süreçlerinin yürütülmesi ·
Mal/hizmet
satış sonrası destek hizmetlerinin yürütülmesi ·
Mal/hizmet
satış süreçlerinin yürütülmesi ·
Mal/hizmet
üretim ve operasyon süreçlerinin yürütülmesi ·
Müşteri
ilişkileri yönetimi süreçlerinin yürütülmesi ·
Müşteri
memnuniyetine yönelik aktivitelerin yürütülmesi ·
Organizasyon
ve etkinlik yönetimi ·
Posta
ve kargo gönderilmesi ·
Sözleşme
süreçlerinin yürütülmesi ·
Talep/şikayetlerin
takibi ·
Yetkili
kişi, kurum ve kuruluşlara bilgi verilmesi ·
Yönetim
faaliyetlerinin yürütülmesi |
· Kanun Hükmü (KVKK
m.5/2-a) · Sözleşmenin Kurulması/İfası (KVKK m. 5/2-c) · Hukuki Sorumluluk (KVKK m.
5/2-ç) · Hakkın Tesisi, Korunması, Kullanılması (KVKK m.5/2-e) · Meşru Menfaat (KVKK
m.5/2-f) |
|
3 |
Özlük
Verileri |
·
Çalışan
adayı/stajyer/öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi ·
Çalışan
adaylarının başvuru süreçlerinin yürütülmesi ·
Çalışan
memnuniyeti ve bağlılığı süreçlerinin yürütülmesi ·
Çalışanlar
için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi ·
Çalışanlar
için yan haklar ve menfaatleri süreçlerinin yürütülmesi ·
Denetim/etik
faaliyetlerinin yürütülmesi ·
Eğitim
faaliyetlerinin yürütülmesi ·
Faaliyetlerin
mevzuata uygun yürütülmesi ·
Görevlendirme
süreçlerinin yürütülmesi ·
İç
denetim/ soruşturma/istihbarat faaliyetlerinin yürütülmesi ·
İnsan
kaynakları süreçlerinin planlanması ·
İş
faaliyetlerinin yürütülmesi/denetimi ·
İş
sağlığı/güvenliği faaliyetlerinin yürütülmesi ·
Performans
değerlendirme süreçlerinin yürütülmesi ·
Risk
yönetimi süreçlerinin yürütülmesi ·
Sözleşme
süreçlerinin yürütülmesi ·
Ücret
politikasının yürütülmesi ·
Yetenek/kariyer
gelişimi faaliyetlerinin yürütülmesi ·
Yetkili
kişi, kurum ve kuruluşlara bilgi verilmesi |
· Kanun Hükmü ·
(KVKK
m.5/2-a) ·
Sözleşmenin
Kurulması/İfası (KVKK m.
5/2-c) ·
Hukuki
Sorumluluk ·
(KVKK
m. 5/2-ç) ·
Hakkın
Tesisi, Korunması, Kullanılması ·
(KVKK
m.5/2-e) ·
Meşru
Menfaat ·
(KVKK
m.5/2-f)
|
|
4 |
Hukuki
İşlem Verileri |
·
Faaliyetlerin
mevzuata uygun yürütülmesi ·
Hukuk
işlerinin takibi ve yürütülmesi ·
Risk
yönetimi süreçlerinin yürütülmesi ·
Sözleşme
süreçlerinin yürütülmesi |
· Kanun Hükmü (KVKK
m.5/2-a) · Sözleşmenin Kurulması/İfası (KVKK m. 5/2-c) · Hukuki Sorumluluk (KVKK m.
5/2-ç) · Hakkın Tesisi, Korunması, Kullanılması (KVKK m.5/2-e) · Meşru Menfaat (KVKK m.5/2-f) |
|
5 |
Müşteri
İşlem Verileri |
·
Bilgi
güvenliği süreçlerinin yürütülmesi ·
Faaliyetlerin
mevzuata uygun yürütülmesi ·
Finans
ve muhasebe işlerinin yürütülmesi ·
Hukuk
işlerinin takibi ve yürütülmesi ·
İş
sürekliliğinin sağlanması faaliyetlerinin yürütülmesi ·
Mal/hizmet
satış sonrası destek hizmetlerinin yürütülmesi ·
Mal/hizmet
satış süreçlerinin yürütülmesi ·
Mal/hizmet
üretim ve operasyon süreçlerinin yürütülmesi ·
Müşteri
ilişkileri yönetimi süreçlerinin yürütülmesi ·
Müşteri
memnuniyetine yönelik aktivitelerin yürütülmesi ·
Risk
yönetimi süreçlerinin yürütülmesi ·
Talep/şikayetlerin
takibi ·
Yetkili
kişi, kurum ve kuruluşlara bilgi verilmesi |
· Kanun Hükmü (KVKK
m.5/2-a) · Sözleşmenin Kurulması/İfası (KVKK m. 5/2-c) · Hukuki Sorumluluk (KVKK m.
5/2-ç) · Hakkın Tesisi, Korunması, Kullanılması (KVKK m.5/2-e) · Meşru Menfaat (KVKK
m.5/2-f) |
|
6 |
Finansal/Mali
Veriler |
·
Çalışanlar
için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi ·
Çalışanlar
için yan haklar ve menfaatleri süreçlerinin yürütülmesi ·
Denetim/etik
faaliyetlerinin yürütülmesi ·
Faaliyetlerin
mevzuata uygun yürütülmesi ·
Finans
ve muhasebe işlerinin yürütülmesi ·
İş
sürekliliğinin sağlanması faaliyetlerinin yürütülmesi ·
Mal/hizmet
satın alım süreçlerinin yürütülmesi ·
Mal/hizmet
satış sonrası destek hizmetlerinin yürütülmesi ·
Mal/hizmet
satış süreçlerinin yürütülmesi ·
Mal/hizmet
üretim ve operasyon süreçlerinin yürütülmesi ·
Müşteri
ilişkileri yönetimi süreçlerinin yürütülmesi ·
Sözleşme
süreçlerinin yürütülmesi ·
Yetkili
kişi, kurum ve kuruluşlara bilgi verilmesi ·
Yönetim
faaliyetlerinin yürütülmesi |
· Kanun Hükmü (KVKK
m.5/2-a) · Sözleşmenin Kurulması/İfası (KVKK m. 5/2-c) · Hukuki Sorumluluk (KVKK m.
5/2-ç) · Hakkın Tesisi, Korunması, Kullanılması (KVKK m.5/2-e) · Meşru Menfaat (KVKK
m.5/2-f) |
|
7 |
Görsel
ve İşitsel Kayıt Verileri |
·
Çalışanlar
için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi ·
Erişim
yetkilerinin yürütülmesi ·
Faaliyetlerin
mevzuata uygun yürütülmesi ·
Fiziksel
mekan güvenliğinin temini ·
İç
denetim/ soruşturma/istihbarat faaliyetlerinin yürütülmesi ·
İş
faaliyetlerinin yürütülmesi/denetimi ·
Müşteri
ilişkileri yönetimi süreçlerinin yürütülmesi ·
Organizasyon
ve etkinlik yönetimi ·
Performans
değerlendirme süreçlerinin yürütülmesi ·
Reklam/kampanya/promosyon
süreçlerinin yürütülmesi ·
Talep/şikayetlerin
takibi ·
Yetkili
kişi, kurum ve kuruluşlara bilgi verilmesi ·
Ziyaretçi
kayıtlarının oluşturulması ve takibi |
· Kanun Hükmü (KVKK
m.5/2-a) · Sözleşmenin Kurulması/İfası (KVKK m. 5/2-c) · Hukuki Sorumluluk (KVKK m.
5/2-ç) · Hakkın Tesisi, Korunması, Kullanılması (KVKK m.5/2-e) · Meşru Menfaat (KVKK
m.5/2-f) |
|
8 |
Pazarlama
Verileri |
·
Firma/ürün/hizmetlere
bağlılık süreçlerinin yürütülmesi ·
Mal/hizmet
satış sonrası destek hizmetlerinin yürütülmesi ·
Mal/hizmet
satış süreçlerinin yürütülmesi ·
Mal/hizmet
üretim ve operasyon süreçlerinin yürütülmesi ·
Müşteri
ilişkileri yönetimi süreçlerinin yürütülmesi ·
Müşteri
memnuniyetine yönelik aktivitelerin yürütülmesi ·
Organizasyon
ve etkinlik yönetimi ·
Pazarlama
analiz çalışmalarının yürütülmesi ·
Reklam/kampanya/promosyon
süreçlerinin yürütülmesi ·
Talep/şikayetlerin
takibi ·
Ürün/hizmetlerin
pazarlama süreçlerinin yürütülmesi ·
Yetkili
kişi, kurum ve kuruluşlara bilgi verilmesi |
· Kanun Hükmü (KVKK
m.5/2-a) · Sözleşmenin Kurulması/İfası (KVKK m. 5/2-c) · Hukuki Sorumluluk (KVKK m.
5/2-ç) · Hakkın Tesisi, Korunması, Kullanılması (KVKK m.5/2-e) · Meşru Menfaat (KVKK
m.5/2-f) |
I-)KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Veri sorumlusu ZENZA tarafından işlenen kişisel veriler, verilerin işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi
üzerine silinir, yok edilir veya anonim hâle getirilir.
ZENZA, kişisel verileri silme, yok etme ve anonim
hale getirme işlemlerini, yükümlülüğünün ortaya çıktığı tarihi takip eden ilk
periyodik imha işleminde (3 ay), kişisel verileri siler, yok eder veya anonim
hale getirir.
İlgili kişi, Kanun’un 11 ve 13 üncü maddelerine
istinaden ZENZA’ya başvurarak
kendisine ait kişisel verilerin silinmesini veya yok edilmesini istediğinde;
Ø
Kişisel verileri işleme şartlarının (hukuki
dayanakları) tamamı ortadan kalkmışsa, ZENZA,
talep tarihinden en geç 30 (otuz) gün içerisinde talep konusu kişisel verileri
siler, yok eder veya anonim hale getirerek ilgili kişiye bilgisini verir.
Ø
Kişisel verileri işleme şartlarının tamamı
ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa, ZENZA bu durumu üçüncü kişiye
bildirerek kişisel verilerin silinmesini, yok edilmesini veya anonim hale
getirilmesini temin eder.
Ø
Kişisel verileri işleme şartlarının tamamı
ortadan kalkmamışsa, ilgili kişinin talebi ZENZA
tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı en geç 30 (otuz)
gün içerisinde ilgili kişiye bildirilir.
ZENZA, işlediği kişisel verileri; kayıt ortamlarına
bağlı olarak ve ilgili
mevzuatta öngörülen veya işleme amacının gerekli kıldığı saklama süreleri
sona erdiğinde, Kurul tarafından yayımlanan Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesine ilişkin rehberde belirtilen silme ve
anonim hale getirme yöntemlerinden, iş süreçleri ve faaliyetlerine en uygun
olan bir veya birkaç tekniği kullanarak siler veya anonimleştirir.
İşlenen
kişisel verilerin ZENZA tarafından
saklanacağı süreler aşağıdaki tabloda belirtilmiştir:
|
|
Veri
Kategorisi |
Saklama
Süresi |
İmha
Süresi |
|
1 |
Kimlik |
Hukuki İlişki Süresince ve
bitiminden itibaren 10 Yıl |
Saklama süresini müteakip ilk 3
aylık periyodik imha süresi içerisinde |
|
2 |
İletişim |
Hukuki İlişki Süresince
ve bitiminden itibaren 10 Yıl |
Saklama süresini
müteakip ilk 3 aylık periyodik imha süresi içerisinde |
|
3 |
Özlük |
Hukuki İlişki Süresince
ve bitiminden itibaren 10 Yıl |
Saklama süresini
müteakip ilk 3 aylık periyodik imha süresi içerisinde |
|
4 |
Hukuki İşlem |
Hukuki İlişki Süresince
ve bitiminden itibaren 10 Yıl |
Saklama süresini
müteakip ilk 3 aylık periyodik imha süresi içerisinde |
|
5 |
Müşteri İşlem |
Hukuki İlişki Süresince
ve bitiminden itibaren 10 Yıl |
Saklama süresini
müteakip ilk 3 aylık periyodik imha süresi içerisinde |
|
6 |
Finansal/ Mali |
Hukuki İlişki Süresince
ve bitiminden itibaren 10 Yıl |
Saklama süresini
müteakip ilk 3 aylık periyodik imha süresi içerisinde |
|
7 |
Görsel ve İşitsel
Kayıt |
Hukuki İlişki Süresince
ve bitiminden itibaren 10 Yıl |
Saklama süresini
müteakip ilk 3 aylık periyodik imha süresi içerisinde |
|
8 |
Pazarlama |
Hukuki İlişki Süresince
ve bitiminden itibaren 10 Yıl |
Saklama süresini
müteakip ilk 3 aylık periyodik imha süresi içerisinde |
J-)KİŞİSEL VERİLERİN AKTARILMASI
Yukarıda sayılan kişisel veriler yine yukarıda belirtilen
amaçlar doğrultusunda, ilgili kişinin açık rızası (sağlık verileri için) veya Kanun’un 8 inci maddesinde hüküm altına
alınan ve açık rızanın gerekmediği diğer koşullarla ZENZA’nın yurt içindeki;
iştiraklerine, hissedarlarına, iş ortaklarına, temsilcilerine, danışmanlarına,
servis sağlayıcılarına, hizmet alınan üçüncü kişilere, denetçilere, yasal
olarak yetkili/görevli kamu kurum ve kuruluşlarına aktarabilecektir.
Kişisel veriler yurt dışına aktarılmamaktadır.
K-)HAK VE YÜKÜMLÜLÜKLER
1-)Veri Sorumlusunun Yükümlülükleri
a-)Aydınlatma Yükümlülüğü
Veri Sorumlusu, kişisel verilerin elde edilmesi
sırasında; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin
hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile
haklarının neler olduğu konusunda ilgili kişiye bilgi vermekle yükümlüdür.
Verimli sorumlusu ZENZA, aydınlatma yükümlülüğü kapsamında hazırladığı “Aydınlatma Metni” ile tüm kişilere gerekli bilgilendirmeleri
yapmaktadır.
b-)Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumlusu; kişisel verilerin hukuka aykırı
olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini
önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri
almak zorundadır.
ZENZA veya ZENZA
adına veri işleyen gerçek ve tüzel kişiler, işledikleri kişisel verileri, veri kayıt
sistemlerinde gizli olarak muhafaza etmekte ve bu verilere hukuka aykırı
erişimini önlemek için gerekli her türlü teknik ve idari güvenlik önlemlerini
almaktadır. Bu konuda ZENZA, en üst
düzeyde dikkat ve özeni gösterdiğini, gerekli denetimleri yapmakta veya
yaptırmakta olduğunu, en güncel teknolojileri kullandığını beyan ve taahhüt
etmektedir.
Kişisel veri güvenliğine ilişkin idari
tedbirler kapsamında ZENZA;
mevcut risk ve tehditleri sürekli olarak analiz etmekte, çalışanlarını eğiterek
üst düzeyde farkındalık oluşturmakta, bu iş ve işlemleri belirli politika ve
prosedürlere tabi tutmakta, işlenmesine gerek olmayan kişisel verileri süreç
içerisinde mümkün olduğunca azaltmakta, veri işeyenleri sürekli olarak
uyarmakta ve denetlemektedir. Çalışanlar için veri güvenliği konusunda belli
aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. Kişisel veri
güvenliği politika ve prosedürleri belirlenmiştir. Kişisel veri güvenliğinin
takibi yapılmaktadır. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla
ilgili gerekli güvenlik önlemleri alınmaktadır. Kişisel veri içeren fiziksel
ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. Kişisel
veri içeren ortamların güvenliği sağlanmaktadır. Kişisel veriler mümkün
olduğunca azaltılmaktadır. Kurum içi periyodik ve/veya rastgele denetimler
yapılmakta ve yaptırılmaktadır.
Kişisel veri güvenliğine ilişkin teknik
tedbirler kapsamında ise ZENZA; ağ
güvenliği ve bilgisayar program güvenliğini sağlamakta, ağ yoluyla kişisel veri
aktarımlarında kapalı sistem ağ kullanmakta, bilgi teknolojileri sistemleri
tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemlerini almakta,
bulutta depolanan kişisel verilerin güvenliğini sağlamakta, erişim loglarını
düzenli olarak tutmakta, erişim, bilgi güvenliği, kullanım, saklama ve imha
konularında kurumsal politikalar uygulamakta, gerektiğinde veri maskeleme
önlemi uygulamakta, güncel anti-virüs sistemleri kullanmakta, güvenlik
duvarları kullanmakta, kişisel verileri yedeklemekte ve yedeklenen kişisel
verilerin güvenliğini sağlamakta, kullanıcı hesap yönetimi ve yetki kontrol
sistemini uygulamakta ve bunların takibini yapmakta, Log kayıtlarını kullanıcı
müdahalesi olmayacak şekilde tutmakta, özel nitelikli kişisel veriler
elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya
kurumsal posta hesabı kullanılarak göndermekte, özel nitelikli kişisel veriler
için güvenli şifreleme/kriptografik anahtarlar kullanmakta, saldırı tespit ve
önleme sistemleri kullanmakta, sızma testi uygulamakta, siber güvenlik
önlemlerini almış olup uygulanmasını sürekli olarak takip etmekte, şifreleme
yapmakta, taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli
kişiler verileri şifreleyerek aktarmakta, veri kaybı önleme yazılımları kullanmaktadır.
c-)İlgili Kişiler Tarafından Yapılan
Başvuruların Cevaplanması ve Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Veri sorumlusu, ilgili kişi tarafından
yapılacak başvuruları talebin niteliğine göre en kısa sürede ve en geç otuz gün
içinde sonuçlandırmalıdır. Veri sorumlusu talebi kabul eder veya gerekçesini
açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik
ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri
sorumlusunca gereği yerine getirilir. Aksi hallerde ilgili kişi Kurum’a
şikayette bulunabilir.
Bu hususta ayrıntılı açıklamalar aşağıda “İlgili Kişinin Hakları” kısmında yapılmıştır.
d-)Bildirim Yükümlülüğü
Veri sorumlusunun bir diğer yükümlüğü de alınan
güvenlik önlemlerine rağmen, kişisel verilere hukuka aykırı şekilde erişilmesi,
elde edilmesi, kişisel verilerin zarar görmesi halinde bu durumun en geç 72
saat içerisinde ilgili kişiye ve Kurum'a bildirilmesidir.
ZENZA bu yükümlülüğe uyacağını taahhüt etmektedir.
2-)İLGİLİ KİŞİNİN HAKLARI
Kanun'un 11. Maddesi kapsamında ilgili kişi,
her zaman, veri sorumlusu ZENZA’ya
başvurarak kendisi ile ilgili;
Ø Kişisel veri işlenip işlenmediğini
öğrenme,
Ø Kişisel verileri işlenmişse buna
ilişkin bilgi talep etme,
Ø Kişisel verilerin işlenme amacını
ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Ø Yurt içinde veya yurt dışında
kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Ø Kişisel verilerin eksik veya yanlış
işlenmiş olması hâlinde bunların düzeltilmesini isteme,
Ø Kanun ve ilgili diğer kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini, yok
edilmesini veya anonim hale getirilmesini isteme,
Ø İşlenen verilerin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Ø Kişisel verilerin kanuna aykırı
olarak işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesini talep
etme,
haklarına sahiptir.
Kanunun 28 inci maddesi hükümleri saklıdır.
Başvuru Usulü:
İlgili kişi, yukarıda sayılan haklarına ilişkin
bildirimlerini; ekteki “başvuru formu”nu doldurup, çıktısını imzalayarak;
Ø
Posta veya kargo yolu ile ZENZA’nın Kızılırmak Mah. 1435.Sokak No:11 İç Kapı No:72 Çankaya
– ANKARA adresine,
Ø E-mail yoluyla [email protected] adresine,
Ø Veya ZENZA’nın
yukarıda belirtilen adresine elden iletebilir.
İlgili kişi adına üçüncü bir kişi tarafından
talepte bulunulması durumunda, başvuruda bulunacak kişi adına noter aracılığıyla
düzenlenmiş ve kişisel verilerin
korunması kanunu kapsamında başvuru yapmaya yetkili olunduğuna dair özel yetkiyi
içerir vekaletnamenin de iletilmesi
gerekir.
Yapılacak başvuruda;
Ø Ad, soyad ve imza,
Ø Türkiye Cumhuriyeti vatandaşları için T.C.
kimlik numarası, Türkiye Cumhuriyeti vatandaşı olmayanlar için uyruğu, pasaport
numarası veya varsa kimlik numarası
Ø Tebligata esas yerleşim yeri veya işyeri
adresi,
Ø Varsa bildirime esas e-posta adresi, telefon ve
faks numarası,
Ø Talep konusu,
bulunması zorunludur. Konuya ilişkin bilgi ve
belgeler de ayrıca başvuruya eklenir.
ZENZA, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde, ücretsiz
olarak talebi sonuçlandırmayı beyan ve taahhüt etmektedir.
ZENZA tarafından başvurunun reddedilmesi, verilen
cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hallerinde; ilgili kişinin, ZENZA’nın
cevabını öğrendiği tarihten itibaren otuz (30) ve her halde başvuru tarihinden itibaren
altmış (60) gün içinde Kurum'a şikayette bulunma hakkı mevcuttur.
Eki :Başvuru Formu