VUU OFFICIAL KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
GİRİŞ
VUU OFFICIAL, yasal düzenlemelere uyum konusunda azami özeni göstermektedir. Bu çerçevede kişisel verilerin korunmasına ilişkin mevzuata uyum kapsamında da gerekli idari ve teknik önlemleri almakta; sistem kurmakta ve bu konuyu bir yasal zorunluluk olmasının yanı sıra bir kurum kültürüne dönüştürmek için gerekli çalışmaları yürütmektedir.
POLİTİKA'NIN AMACI
VUU OFFICIAL Kişisel Verilerin İşlenmesi ve Korunması Politikası’nın (“Politika”) temel amacı, VUU OFFICIAL tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda çalışanlarımız, çalışan adaylarımız, eski çalışanlar, Şirket hissedarları, Şirket yetkilileri, ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, müşteriler, potansiyel müşteriler ile üçüncü kişiler başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen gerçek kişileri bilgilendirerek şeffaflığı sağlamaktır.
Politika, Şirketin yurt içi ve yurt dışında faaliyet gösteren iştiraklerinde yasal mevzuatın gerektirdiği uygulamaları ortaya koyan temel prensipleri ve veri güvenliği ilkelerini düzenlemektedir. Bu Politika ile mevzuata uyumun temini, düzenin kurulması ve sürdürülebilir kılınması amaçlanmaktadır.
KAPSAM
Bu Politika, 2016/679 sayılı Avrupa Birliği Veri Koruma Tüzüğü (General Data Protection Regulation - GDPR) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuata dayalı olarak ele alınmış ve hazırlanmıştır. VUU OFFICIAL’nin yurt dışında faaliyette bulunan iştirakleri, öncelikli olarak bulundukları ülkenin mevzuatına uygun hareket etmekten sorumludurlar. VUU OFFICIAL iştiraklerinin faaliyette bulundukları ülkede herhangi bir yasal düzenlemenin olmaması durumunda, işbu Politika hükümleri geçerlidir.
Politika, VUU OFFICIAL’nin sahibi olduğu ya da VUU OFFICIAL tarafından yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır. Bu Politika, VUU OFFICIAL’nin tüm çalışanlarının ve VUU OFFICIAL’nin iş birliği yaptığı tüm kurum ve kuruluşlar nezdindeki çalışanların bilmesinin ve sürekli olarak uymasının beklendiği temel kontrol tedbirlerini tanımlamaktadır.
1. TANIMLAR ve KISALTMALAR
İşbu Politika’da yer alan terim ve kavramlar aşağıdaki şekilde sıralanmış ve açıklanmıştır.
TANIM/KISALTMA |
AÇIKLAMA |
AB |
Avrupa Birliği |
Açık rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Alıcı grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Anonim hâle getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
Genel Merkez |
VUU OFFICIAL Mağazacılık Hizmetleri Ticaret A.Ş.’nin ticaret sicil kayıtlarında görünen resmi merkez adresi |
GDPR |
2016/679 sayılı Avrupa Birliği Veri Koruma Tüzüğü |
İlgili kişi ve/veya Veri Sahibi |
Kişisel verisi işlenen gerçek kişi |
İlgili kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Mevzuat |
Başta 2016/679 sayılı Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) olmak üzere, VUU OFFICIAL’nin yurt dışı iştiraklerinin bulunduğu tüm ülkelerde yürürlükte bulunan kişisel verilerin korunması kanun, alt düzenlemeleri ve yasal kurumların yayımladığı kararlar ile rehber dokümanlar |
Kayıt ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
Kişisel veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel verilerin işlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kurul |
Kişisel Verileri Koruma Kurulu |
Kurum |
Kişisel Verileri Koruma Kurumu |
VUU OFFICIAL |
Veri sorumlusu ve/veya VUU OFFICIAL Mağazacılık Hizmetleri Ticaret A.Ş. |
Periyodik imha: |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
Politika |
VUU OFFICIAL Mağazacılık Hizmetleri Ticaret A.Ş Kişisel Verilerin Korunması ve İşlenmesi Politikası |
Üçüncü Taraf |
VUU OFFICIAL’nin ticari faaliyetlerini yürütürken hizmet aldığı, projeler yürüttüğü, iş ortaklığı kurduğu, iş birliği içinde olduğu gerçek ve/veya tüzel kişiler, kurum, kuruluş, organizasyon veya tedarikçiler |
Veri işleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri kayıt sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
Veri sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ve/veya VUU OFFICIAL |
Yurt içi |
İlgili mevzuata uygun olarak kişisel veri işleme ve aktarım faaliyetlerinin kısmen veya tamamen; Türkiye Cumhuriyeti coğrafi sınırlarında, ilgili mevzuata göre Türkiye Cumhuriyeti sınırlarına dahil olduğu kabul edilen tüm alanlarda ve bu alanlar içerisindeki bulut erişim sahalarında gerçekleştirilmesi halinde, işleme yurt içinde (Türkiye'de) yapılmış sayılır. |
Yurt dışı |
İlgili mevzuata uygun olarak kişisel veri işleme ve aktarım faaliyetlerinin kısmen veya tamamen; Türkiye Cumhuriyeti coğrafi sınırlarının dışında, GDPR’ın uygulama alanı bulduğu durumlar ile AB sınırları içerisinde veya ulusal olarak özel mevzuatın bulunduğu diğer yabancı ülkelerde ve bu alanlar içerisindeki bulut erişim sahalarında gerçekleştirilmesi halinde, işleme yurt dışında gerçekleştirilmiş sayılır.
|
2. KİŞİSEL VERİ KATEGORİLERİ
1. Kimlik (ad soyad, anne - baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi)
2. İletişim (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi)
3. Lokasyon (bulunduğu yerin konum bilgileri)
4. Özlük (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi)
5. Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)
6. Müşteri İşlem (çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi)
7. Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi)
8. İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi)
9. Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)
10. Finans (bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi)
11. Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi)
12. Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)
13. Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar gibi)
14. Felsefi İnanç, Din, Mezhep ve Diğer İnançlar (dini aidiyetine ilişkin bilgiler, felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer inançlarına ilişkin bilgiler gibi)
15. Kılık ve Kıyafet (kılık ve kıyafete ilişkin bilgiler)
16. Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)
17. Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi)
18. Biyometrik Veri (avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi)
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
VUU OFFICIAL; kişisel verilerin işlenmesi halinde, ilgili Mevzuat kapsamında; hukuka ve dürüstlük kurallarına uygun, şeffaf, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü bir biçimde, gizlilik esasına dayanarak kişisel veri işleme ve aktarma faaliyetinde bulunmakta; kişisel veri sahiplerini bu konuda aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır. Kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
3.1. Kişisel Verilerin İşlenme Şartları
Mevzuata uygun olarak aşağıda yazan şartlardan birinin varlığı durumunda kişisel veriler işlenmektedir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
3.1.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması:
Kişisel veriler, veri sahibinin bilgilendirilmeye ve özgür iradeye dayalı açık rızasının olduğu durumlarda işlenmektedir. Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, kişisel veri sahiplerinin ispata elverişli ilgili yöntemler ile açık rızaları alınmaktadır. Kişisel veri sahibinin açık rızası; her irade beyanı gibi hakkın kötüye kullanılması sayılmadığı ve dürüstlük kuralına aykırı olmadığı durumlarda, her zaman geri alınabilen bir irade beyanıdır.
3.1.2. Kanunlarda Açıkça Öngörülmesi:
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir. Örnek: Vergi Usul Kanunu'nun 230. maddesi uyarınca fatura üzerinde ilgili kişinin adına yer verilmesi.
3.1.3 Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması:
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek: Çalışmakta iken iş kazası geçiren personelin kimlik bilgilerinin şirket çalışanı tarafından doktorlara verilmesi.
3.1.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması:
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örnek: Çalışılmakta olan gerçek kişi tedarikçiye ödeme yapılabilmesi amacıyla, tedarikçinin banka hesap bilgisinin elde edilmesi.
3.1.5. VUU OFFICIAL’nin Hukuki Yükümlülüğünü Yerine Getirmesi:
VUU OFFICIAL veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek: Mahkeme kararıyla talep edilen bilgilerin mahkemeye sunulması.
3.1.6. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi:
Veri sahibinin, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir. Örnek: Kişinin belirli hallerde kendisi ile iletişime geçilmesi amacıyla iletişim bilgilerini, sosyal ağlar üzerinde yayınlaması.
3.1.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması:
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri sahibinin kişisel verileri işlenebilecektir. Örnek: Bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verilerin kullanılması
3.1.8. VUU OFFICIAL’nin Meşru Menfaati için Veri İşlemenin Zorunlu Olması:
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla VUU OFFICIAL’nin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri verileri işlenebilecektir. Örnek: VUU OFFICIAL’nin çalışanların temel hak ve özgürlüklerine zarar vermemek kaydı ile, onların atamaları, maaş zamları yahut sosyal haklarının düzenlenmesi için çalışanların kişisel verilerinin işlemesi.
3.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
VUU OFFICIAL tarafından, "Özel Nitelikli" kişisel veri işlenirken, Mevzuat ’ta öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
VUU OFFICIAL tarafından; kişinin sağlık bilgileri dışındaki özel nitelikli kişisel veriler, veri sahibinin açık rızası yok ise ancak, Mevzuat tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla, kanunlarda öngörülen hallerde olması şartı ile işlenmektedir. Kişisel veri sahibinin sağlığına ilişkin özel nitelikli kişisel verileri ise Mevzuat tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar olması şartı ile işlenmektedir.
3.3. Kişisel Verilerin İşlenme Amaçları
VUU OFFICIAL, Mevzuatta belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak; ancak burada sayılanlarla sınırlı olmamak üzere, kişisel verileri çeşitli amaçlarla işlemektedir.
• • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
• • Bilgi Güvenliği Süreçlerinin Yürütülmesi
• • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
• • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• • Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
• • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
• • Denetim / Etik Faaliyetlerinin Yürütülmesi
• • Eğitim Faaliyetlerinin Yürütülmesi
• • Erişim Yetkilerinin Yürütülmesi
• • Faaliyetlerin Mevzuata Uygun Yürütülmesi
• • Finans Ve Muhasebe İşlerinin Yürütülmesi
• • Fiziksel Mekan Güvenliğinin Temini
• • Görevlendirme Süreçlerinin Yürütülmesi
• • Hukuk İşlerinin Takibi Ve Yürütülmesi
• Ýç Denetim/ Soruºturma Faaliyetlerinin Yürütülmesi
• Ýletiºim Faaliyetlerinin Yürütülmesi
• İnsan Kaynakları Süreçlerinin Planlanması
• • İş Faaliyetlerinin Yürütülmesi / Denetimi
• • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
• • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
• • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• • Lojistik Faaliyetlerinin Yürütülmesi
• • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
• • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
• • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
• • Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
• • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
• • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
• • Organizasyon Ve Etkinlik Yönetimi
• • Pazarlama Analiz Çalışmalarının Yürütülmesi
• • Performans Değerlendirme Süreçlerinin Yürütülmesi
• • Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
• • Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
• • Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
• • Sözleşme Süreçlerinin Yürütülmesi
• • Talep / Şikayetlerin Takibi
• • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• • Ücret Politikasının Yürütülmesi
• • Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
• • Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
• • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
• • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
• • Yönetim Faaliyetlerinin Yürütülmesi
• • Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
4. KİŞİSEL VERİLERİN AKTARILMASI
VUU OFFICIAL tüm iş süreçlerinde yurt içinde ve/veya yurt dışına kişisel verilerin aktarılması bakımından, ilgili mevzuata uygun ve uyumlu hareket edilmesini sağlar.
İlgili mevzuat uyarınca kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Bu durumun istisnası olarak; kişisel verilerin işlenmesi aşağıda belirtilen hallerden birinin kapsamına giriyorsa, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılması mümkün olabilir:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel verilerin yurt dışına aktarılabilmesi için de ilgili kişinin açık rızası bulunması gerekmektedir. Ancak yukarıda sayılan istisnai hallerden birinin var olması ve bu halin varlığına ek olarak kişisel verinin aktarılacağı yabancı ülkede aşağıdaki şartlardan duruma uygun olanının karşılanması durumunda kişisel verilerin yurt dışına aktarımı mümkün olabilir:
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (Yeterli korumanın bulunduğu ülkeler Kurul tarafından belirlenerek ilan edilir.)
5. VUU OFFICIAL’NİN KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLERİ
VUU OFFICIAL; kişisel verilerin ve özel nitelikli kişisel verilerin güvenlik, gizlilik, bütünlük ve erişilebilirliği için müşterilerinin, çalışanlarının ve iş birliği içerisinde olduğu tüm tarafların bilgilerinin güvenliğine büyük önem vermekte ve bunu sağlamak adına en ileri teknolojiye sahip araçlarla çalışmaktadır. Tüm bilgiler yurt içinde ve yurt dışında yer alan güvenli sunucularda saklanmakta ve yedeklenmektedir. VUU OFFICIAL; bilgi güvenliği hususunda çalışanlarının ve iş birliği yaptığı tüm kurum ve kuruluşların gerekli hassasiyeti taşımaları ve yeterli farkındalığa sahip olmaları için gerekli tüm önlemleri almaktadır. Alınan güvenlik tedbirleri aşağıda listelenmiştir:
• Að güvenliði ve uygulama güvenliði saðlanmaktadýr.
• Að yoluyla kiºisel veri aktarýmlarýnda kapalý sistem að kullanýlmaktadýr.
• Anahtar yönetimi uygulanmaktadır.
• • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• • Erişim logları düzenli olarak tutulmaktadır.
• • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• • Gizlilik taahhütnameleri yapılmaktadır.
• • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• • Güncel anti-virüs sistemleri kullanılmaktadır.
• • Güvenlik duvarları kullanılmaktadır.
• • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• • Kişisel veri güvenliğinin takibi yapılmaktadır.
• • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• • Kişisel veriler mümkün olduğunca azaltılmaktadır.
• • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• • Mevcut risk ve tehditler belirlenmiştir.
• • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
• • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• • Sızma testi uygulanmaktadır.
• • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• • Şifreleme yapılmaktadır.
• • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
Versiyon 1.0
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
• • Veri kaybı önleme yazılımları kullanılmaktadır.
6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Mevzuat’ta belirlenen kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin Veri Sorumlusu tarafından re’sen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde;
➢ Mevzuat’ta kişisel verilerin işlenmesi kapsamında uyulması gereken genel ilkelere,
➢ Veri sorumlularının veri güvenliğine ilişkin yükümlülükleri kapsamında alınması gereken teknik ve idari tedbirlere ve ilgili mevzuat hükümlerine,
➢ Kişisel veri saklama ve imha politikasına, uygun hareket edilmesi zorunludur.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.
VUU OFFICIAL, ilgili mevzuat hükümlerine göre işlediği kişisel verilerinin saklama ve imha sürelerinin tespitinde aşağıda yer alan kriterleri dikkate almaktadır:
• • İlgili kişisel verinin işlenmesi mevzuat bakımından gerekli ve saklanması açısından da bir süre öngörülmüş ise bu süreye uyulur. Mevzuat’ta belirlenen sürenin sona ermesi halinde, ilgili kişisel verinin saklanması için diğer kriterler değerlendirilir, saklanmasına gerek bulunmuyor uygun bir yöntemle silinir, anonimleştirilir ya da yok edilir.
• İlgili Mevzuat’ta bir kişisel verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması halinde; o Özel nitelikli kişisel veriler, verinin işlenmesine gerek kalmadığı anda derhal uygun yöntemle imha edilir.
o Kişisel verilerin ilgili mevzuatın genel ilkeleri ve/veya istisnai hükümleri kapsamında işlenmesine gerek kalmaması halinde ve/veya bunlara aykırılık doğduğu ya da mevzuatın değiştiği ve/veya yürürlükten kalktığı tarihten sonra ilgili veriler uygun bir yöntemle silinir, anonimleştirilir ya da yok edilir.
o İlgili mevzuat çerçevesinde kişisel verilerin işlenebileceği makul süreler tespit edilir. Bu sürelerin sona ermesiyle birlikte ve/veya verilerin saklanmasını gerektiren sürenin geçmiş olmasına karşın, kişisel verileri daha uzun süre saklamayı haklı kılacak makul bir sebebin var olmaması durumunda ilgili veriler uygun bir yöntemle silinir, anonimleştirilir ya da yok edilir.
o Belirlenen periyodik imha tarihlerinde kişisel veriler silinir, anonimleştirilir ya da yok edilir.
o Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması halinde kişisel veriler silinir, anonimleştirilir ya da yok edilir.
o Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması halinde kişisel veriler silinir, anonimleştirilir ya da yok edilir.
o İlgili kişinin, mevzuat kapsamında kişisel verileri üzerindeki haklarını ileri sürmesi ve bunun üzerine taleplerinin veri sorumlusu tarafından kabul edilmesi halinde kişisel veriler silinir, anonimleştirilir ya da yok edilir.
o Veri sorumlusunun; ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi/taleplerini içeren başvurusunu reddetmesi, yetersiz cevap vermesi veya mevzuatta öngörülen süre içinde cevap vermemesi halleri ile ilgili kişinin Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması halinde, kişisel veriler silinir, anonimleştirilir ya da yok edilir.
7. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN YÜKÜMLÜLÜKLER ile VERİ SAHİPLERİNİN HAKLARI ve VERİ SAHİPLERİNE CEVAP VERME USULÜ
7.1 Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi Yükümlülüğü
VUU OFFICIAL, Mevzuata ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan diğer düzenlemelere uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda VUU OFFICIAL, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
7.2 Veri Sahibinin Hakları ve Kullanılması
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
• • Kişisel veri işlenip işlenmediğini öğrenme,
• • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Versiyon 1.0
• Mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• • Kişisel verilerin Mevzuat’a aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Yukarıda belirtilen hakların kullanılması için Veri Sahibinin kimliğini tespit edici gerekli bilgiler ile kullanmayı talep ettiği hakkına yönelik açıklamalarını içeren talebini; http://corporate.lcwaikiki.com/Kisisel-verilerin-islenmesi-aydinlatma-metni adresindeki formu doldurarak, “15 Temmuz Mahallesi, Gülbahar Caddesi No: 41 Bağcılar/ İSTANBUL” adresine elden teslim etmesi veya noter kanalı ile göndermesi veya formun imzalı bir nüshasını KVKK_bilgitalep@lcwaikiki.com e-mail adresine güvenli elektronik imzalı olarak kayıtlı elektronik posta adresinden iletmesi yeterlidir. Başvuruda bulunurken, ad, soy ad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgeler yukarıda belirtildiği şekilde başvuruya eklenir.
Kişisel veri sahiplerinin bizzat talepte bulunması gerekmekte olup, üçüncü bir kişinin onun adına talepte bulunması mümkün değildir. Üçüncü bir kişinin talepte bulunması için veri sahibinin başvuruda bulunacak üçüncü kişi adına düzenlenmiş özel vekaletname ile yetkilendirilmiş olması ve üçüncü kişinin bu vekaletnameyi başvuru belgeleri arasına eklemesi gerekmektedir.
7.3 VUU OFFICIAL’nin Başvurulara Cevap Verme Usulü, Süresi ve Reddetme Hakkı
Kişisel veri sahibinin, usule uygun olarak talebini VUU OFFICIAL’ye iletmesi durumunda VUU OFFICIAL talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, Kurul tarafından ya da ilgili yasal mevzuatta bir ücret öngörülmesi hâlinde, VUU OFFICIAL tarafından başvuru sahibinden ilgili mevzuatta belirlenen tarifedeki ücret alınacaktır.
VUU OFFICIAL, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder ve cevabını kişisel veri sahibine yazılı olarak veya elektronik ortamda bildirir. Belirtilen usule uygun olarak ve/veya hukuken geçerli bir şekilde iletilmeyen taleplerin VUU OFFICIAL’ye ulaşmamasından ve/veya VUU OFFICIAL tarafından cevap verilmemesinden, VUU OFFICIAL sorumlu değildir.
VUU OFFICIAL, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. VUU OFFICIAL, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
VUU OFFICIAL aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
✓ Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
✓ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek
Versiyon 1.0
kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
✓ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbâri faaliyetler kapsamında işlenmesi.
✓ Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
✓ Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
✓ Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
✓ Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
✓ Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; kişisel veri sahibi, VUU OFFICIAL’nin cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Madde 7.2’de düzenlenen başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
8. VUU OFFICIAL KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİM YAPISI
İşbu Politika ile korunan esaslar ve değerler kapsamında; ilgili Mevzuat, rehber dokümanlar, resmi kurum kararları ve bu çerçevede VUU OFFICIAL tarafından yayımlanan global politikalar, prosedür, uygulama talimatları gibi kurumsal dokümanlar, diğer tüm Kişisel Verileri Koruma Kurulu faaliyetleri, birbirleriyle uyumlu ve bir bütün olarak yürütülür ve gözetilir. Bu amaçla, VUU OFFICIAL bünyesinde kişisel verilerle ilgili faaliyetler Bilgi Güvenliği Yönlendirme Komitesi tarafından yürütülür.
8.1. Bilgi Güvenliği Yönlendirme Komitesi ve Yönetim Temsilcisi/İrtibat Kişisi
VUU OFFICIAL kişisel verilerin ve özel nitelikli verilerin korunması ve işlenmesi ile ilgili Mevzuat yükümlülüklerini, Bilgi Güvenliği Yönlendirme Komitesi ve Yönetim Temsilcisi/İrtibat Kişisi aracılığıyla yerine getirmektedir. Bilgi Güvenliği Yönlendirme Komitesi ve Yönetim Temsilcisi/İrtibat Kişisi tarafından icra edilecek görev ve sorumluluklar aşağıda yer almaktadır:
• • Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,
• • Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
• Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,
• • Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
• • Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,
• • Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
• • Şirketin KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmak,
• • Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
• • Kurum ve Kurul ile olan ilişkileri yönetmek.
BİLGİ GÜVENLİĞİ YÖNLENDİRME KOMİTESİ |
|
Başkan |
Risk Yönetiminden Sorumlu GMY |
Üye |
Dijital Dönüşüm ve Bilgi Teknolojileri Genel Müdürü |
Üye |
Bilgi Teknolojileri GMY |
Üye |
İnşaat Yatırımları ve Denetimden Sorumlu GMY |
Üye |
Yurtiçi Mağazacılık GMY |
Üye |
Altyapı ve Destek Direktörü |
Üye |
CEO Yardımcısı |
Üye |
Merkez Finans Direktörü |
Üye |
Personel İşleri Direktörü |
Yönetim Temsilcisi / İrtibat Kişisi |
Bilgi Güvenliği Birim Yöneticisi |