Kişisel Verileri İşleme, Saklama ve İmha Politikası

KİŞİSEL VERİLERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI

BÖLÜM 1 -  KİŞİSEL VERİ İŞLEME POLİTİKASI GİRİŞ

1.   AMAÇ

Bu Politika, SOYLU ALIŞVERİŞ MERKEZLERİ TİCARET LİMİTED ŞİRKETİ  (SOYLU AVM” veya “Şirket, Firma” ) tarafından gerçekleştirilmekte olan kişisel verileri işleme, saklama ve imha faaliyetlerinden kaynaklanan veri sorumlusu sıfatına ilişkin iş ve işlemler ile çalışanların çalışırken ellerine geçen ya da bilgileri dahline giren tüm Kişisel Verileri saklanması, işlenmesi yahut imha edilmesine dair süreç ve yöntemleri açık bir şekilde ortaya koymak için hazırlanmıştır. Bu politika,  6698 sayılı Kişisel Verileri Koruma Kanunu başta olmak üzere hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurumunun almış olduğu kararlara uygun olarak çıkartılmıştır. Bu politikanın amacı, SOYLU AVMnin 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmış olan Kişisel Verilerin Korunması Kanununa (KVKK”) uyumlu bir şekilde işlenmesini ve korunmasını sağlamak için izlenecek yöntem ve ilkeleri düzenleyerek kamuya açıklamaktadır.

2.KAPSAM

Bu Politika, görevleri kapsamında Kişisel Verileri tamamen veya kısmen otomatik yol ve araçlarla işleyen ya da bir kayıt sisteminin bir parçasını oluşturan ya da bir kayıt sisteminin bir parçasını oluşturması amaçlanan Kişisel Verileri (otomatik yol ve araçlar dışında) başka yol ve araçlarla işleyen tüm çalışanlarımıza; SOYLU AVM çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, SOYLU AVM adayları ve diğer üçüncü kişilere ait kişisel verilerin işlenmesi faaliyetlerine ilişkin olarak uygulanır.

3.TANIMLAR

     Kişisel Veri                                                          : İsim, adres, telefon numarası, e-posta adresi veya benzeri kimlik bilgileri gibi Veri Süjesiyle ilgili her türlü bilgi anlamına gelir.

     Kişisel Verilerin İşlenmesi                                 : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Sağlık Verisi                                            : Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler.

Alıcı Grubu                                                          : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza                                                             : Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hale Getirme                                        : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Özel Nitelikli Kişisel Veriler                              : Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler

VERBİS                                                               : Veri sorumluları (SOYLU AVM) veri sicil bilgi sistemi

Veri İrtibat Kişisi                                                : Kişisel verileri koruma kurumu ile kurulacak iletişim için SOYLU AVM Yönetim Kurulu tarafından VERBİSe kayıt esnasından bildirilen gerçek kişi.

Veri İşleyen                                                          : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.

Veri Süjesi ya da İlgili Kişi                                : Verinin ait olduğu, kimliği belirlenmiş veya belirlenebilir gerçek kişi.

Çalışan                                                                 : Bir iş Sözleşmesine dayanarak SOYLU AVMda istihdam edilen kişiler

Çalışan Adayı                                                      : SOYLU AVMe iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini SOYLU AVMe erişilebilir kılan gerçek kişiler

Müşteri/ Müteahhit Adayı                                 : Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın SOYLU AVM tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler.

Ziyaretçiler                                                          : SOYLU AVM’ın fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler.

İmha                                                                    : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Periyodik İmha                                                   : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Üçüncü Kişiler                                                     : Prosedürde tanımlanmamış olmasına rağmen işbu Prosedür çerçevesinde kişisel verileri işlenen tedarikçi, mağdur, aile bireyleri vb. dâhil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişiler.

BÖLÜM 2-  KİŞİSEL VERİLERİN İŞLENMESİ VE SAKLANMASI HUSUSLARI

       SOYLU AVM kişisel verileri işlerken kanunlar başta olmak üzere işin gereklerinden kaynaklı olarak aşağıda belirtilen hususlara uygun olarak kişisel veri almaktadır:

*       Genel ilkelere,

*        Kişisel Veri İşleme Şartlarına,

*        Özel Nitelikli Kişisel Verilere uygun olarak hareket eder.

Bu sebeplere uygun olmadan kişisel veri alınamaz. Bu şekilde kişisel veri işlendiği farkedildiği durumlarda veri imha edilir. Aşağıda işleme hususlarını ayrıntılı olarak inceleyeceğiz.

2.1. GENEL İLKELERE UYGUNLUK

a.     Hukuka ve Dürüstlük Kuralına Uygun İşleme

SOYLU AVM, kişisel verilerin işlenmesinde de  hukuksal düzenlemelerle getirilen ilkeler ile işlenen verinin tabi bulunduğu genel güven ve dürüstlük kuralına uygun hareket eder. SOYLU AVM dürüstlük kuralı gereğince kişisel verileri işlerken ilgili kişinin çıkarlarını göz önünde bulundurur. Kişisel verinin eline geçtiği ilk andan verinin imhası sürecine kadar SOYLU AVM verisi işlenen kişi aleyhine hareket etmez. İlgili kişinin verisini işlerken belirtmediği, ilgili kişinin öngöremeyeceği şekilde bir veri işleme yahut aktarım faaliyetinde bulunamaz. Hukuk ve dürüstlük kurallarına uygun yapılan veri işleme faaliyeti açık, belirli ve şeffaftır.

b.    Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

SOYLU AVM, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır. Güncellenecek veriler söz konusu olduğunda SOYLU AVMte bulunan verilerin güncelliğini kaybetmemiş veriler olması önemlidir.  SOYLU AVM, kişisel verilerin yanlış yahut eksik tutulmasından kaynaklı olarak kişilerin uğrayabileceği zararların farkındadır. Bu sebeple oluşturulmuş sistemle SOYLU AVM ilgili kişilerin verilerini 1 yıl aralıklarla günceller. 1 yıl aralıklarla güncellenmeyen veriler bakımından artık güncel veri niteliğinde sayılamayacağından dolayı güncel veri hükümleri uygulanmaz. Veri güncellemesi talep eden ilgili kişinin talebi en kısa süre içinde güncellenir. İlgili kişi tekrar başvurarak verilerinin güncellenmiş haline erişebilir.

 

c.     Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi

SOYLU AVM kişisel verileri işlerken bir amaç belirler. Bu amaç açık, net ve kesindir. SOYLU AVMin ilgili verilerini sadece işleme amacı değil, elde etme, toplama amacı da meşru, belirli, açık ve nettir. Buradan anlaşılan şudur ki; SOYLU AVM verileri işlerken faaliyet konusuna uyumlu amaçlarla bu verileri işleyecektir. Amaçlar faaliyet çerçevesinden ayrık vaziyette yahut alakasız değildir.  Belirlenen bu amaçlar İnternet Sitemizde bulunan Aydınlatma Metninde açıklamalı olarak bulunmaktadır. Bir veri ile toplama amacından apayrı başka konuyla ilgili yeni bir amaç söz konusu olduğu durumlarda ilgili kişinin açık rızasının alınması gereken durumlardan olması şartıyla, ilgili kişiden yeniden açık rıza alınır.

d.    Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

SOYLU AVM, kişisel verileri alırken belirlenen amaca hizmet edecek nitelikte olan ve bu amaçla alınabilecek en az veriyi işlemektedir.  İşlenen kişisel veriler yeterli, ilgili ve işlenme amaçlarıyla sınırlı olarak işlenmektedir. Alınan kişisel veriler ile veri alma aracı arasında bağlantı bulunmaktadır. SOYLU AVM aldığı kişisel verileri açıkça göstermediği amaçlar haricinde işleyemez yahut kullanamaz. Sonradan ortaya çıkan yahut belirlenen amaçla uyumlu olmayan yeni bir veri işleme amacının sonradan ortaya çıkması durumunda SOYLU AVM verilerin ilk defa toplanması sırasında sağlanması gereken şartlar yeni amaçlar için de tekrar sağlanmaktadır. Ayrıca; SOYLU AVM elde ettiği kişisel verileri Kanun düzenlemeleri saklı kalmak kaydıyla sözleşmenin şekline göre belirler. SOYLU AVM öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

2.2. KİŞİSEL VERİ İŞLEME ŞARTLARINA UYGUNLUK 

       Kişisel verilerin işlenebilmesi için Kanun tarafından bazı koşulların varlığı aranmaktadır. Kanunun 5 ve 6. Maddelerinde sayılan bu işleme koşulları, veri koruma hukukunun esasını oluşturan kişisel verilerin işlenmesi yasağının istisnaları, işlemeyi hukuka uygun hale getiren sebeplerdir. Kişisel verileri işleme sebepleri kanunda sınırlı sayıda sayılmış olup SOYLU AVM bu amaçlar dışında başka amaçla verileri işlemez.

a.     Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel veri işlenmesinin şartlarından biri ilgili kişi tarafından verilmiş açık rıza beyanıdır. Bu beyanı SOYLU AVM meşru amaçlarla alır. İlgili kişiden açık rıza alınabilmesi için ilk olarak kişiye aydınlatma yapılarak SOYLU AVMye vereceği veri için aydınlatılır. Aydınlatma beyanında da yer alan amaçlarla sınırlı olarak belirli bir konuya ilişkin ilgili kişiden veriler alınabilir.

Açık rıza haricinde kanunun açık rızaya gerek olmaksızın işlenebileceği durumlar kanunda sayılmıştır.

b.     Kanunlarda Açıkça Öngörülmesi

SOYLU AVM işlenmesi kamu yararı için gerçekleştirilen bir görevin ifası için zorunlu olması veya veri sorumlusunun resmi yetkisini kullanması bağlamında gerekli olması durumunda ilgili kişinin açık rızası olmaksızın veri işleme faaliyetinde bulunabilmektedir. SOYLU AVM bu şekilde şekli anlamda kanun maddelerinin zorunlu kıldığı ölçülerde veri işler. Örneğin SOYLU AVM; Mimarlık ve Mühendislik Kanunu, Türk Ticaret Kanunu, Sosyal Güvenlik Kanunu, Borçlar Kanunu kapsamında tutulması zorunlu olarak gösterilen verileri tutmak için açık rıza almaz. Kanun kapsamında emredici hükümlere göre aydınlatma yapar ve verileri işler. Bu sebeplerle işlenen veriler için KVKK gereğince ilgili kişinin verinin silinmesini ya da imhasını talep etme hakkı yoktur.

c.   Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Rızasına hukuki olarak geçerlilik tanımayan kişilerle, fiili imkansızlık nedeniyle açık rızasının alınamayacağı kişilerde uygulanmaktadır. İlgili kişinin veya üçüncü kişinin hayatı yahut beden bütünlüğünün korunması zorunlu olan hallerde bu işleme faaliyeti sağlık verileri hariç yapılmaktadır.

d.   Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

SOYLU AVM ile ilgili kişi arasında yapılmış olan mevcut ve geçerli bir sözleşmenin ifası ya da yeni bir sözleşmenin kurulmasına yönelik zorunlu işlemler çerçevesinde kişisel veri işleyebilir. Genel olarak sözleşmelerde veri alımı sözleşmenin mütemmim cüzü niteliğindedir. Bu sebeple sözlemenin kurulması için kişisel verileri işleme zorunlu mahiyette olduğundan SOYLU AVM açık rıza aranmaksızın sözleşme yaptığı kişilerin sözleşmeyle alakalı olan verilerini işlemektedir. Kişisel verilerin alınacağı sözleşmede yer almasa dahi sözleşmenin ifası için doğrudan doğruya gerekli olan kişisel veriler işlenecektir. Yalnızca sözleşmenin esaslı unsurları değil tali unsurları bakımından olan kişisel veriler de bu kapsamda değerlendirilir. Örneğin SOYLU AVM ile yapılan satış sözleşmesinde, sözleşmenin gereklerine göre SOYLU AVM kişisel verileri işler.

e.   Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Kanunen öngörülmüş olma ve sözleşmenin ifası için gerekli olma halleri saklı kalmak üzere SOYLU AVM hukuki yükümlülüklerini yerine getirmek amacıyla kişilerin verisini açıkça rıza almaksızın işleyebilmektedir. SOYLU AVM kanunlar dışındaki hukuki düzenlemelerden, mahkeme kararlarından ve usulünce verilmiş resmi makam talimatlarından doğan hukuki yükümlülüklerden kaynaklı veri işleme faaliyetini bu kapsamda açık rıza almaya gerek kalmaksızın gerçekleştirir. Cumhurbaşkanı kararnamesi, yönetmelik, tebliğ v.b. gibi adli ve idari merciler tarafından çıkartılan düzenleyici işlemler, mahkemeye güvenlik kamerası yahut parmak izi bilgilerinin ibrazı, belli kurumlar tarafından istenen bilgilerin belirtilen veri tabanına kaydedilmesi gibi SOYLU AVM veri işlemeye yönelik bir hukuki zorunluluk olmadıkça hukuki yükümlülük için veri işlemez.

f.    Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel veriler; SOYLU AVM tarafından açık rıza olmaksızın işlenebilecektir. Fakat her halükârda verisini alenileştirmiş olan ilgili kişinin verileri alenileştirme sebebinden başkaca bir şekilde SOYLU AVM tarafından işlenmez. Örneğin; SOYLU AVM düzenlemiş olduğu eğitim yahut her türlü sosyal faaliyet gibi durumlarda katılımcıların fotoğraflarının çekilmesi gibi durumlarda, fotoğraf çekilen yere gitmiş olması durumunda fotoğrafları alenileştirdiği kabul edilecek ve bu şekilde açık rıza aranmaksızın SOYLU AVM kişisel verileri işleyebilecektir.

g.   Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

SOYLU AVM hukuken korunan bir hakkın kurulması, korunması veya kullanılması için zorunluluk arz eden verileri işlerken de ilgili kişiden açık rıza almamaktadır. Bu bakımdan yalnız ilgili kişilerin hakları değil üçünü kişilerin de haklarına ilişkin bu gibi hakların korunması için de veriler saklanabilir. Örneğin; SOYLU AVM iş ilişkisi bittikten sonra dava zamanaşımı boyunca işten ayrılan personelin, ilerleyen zamanlarda örneğin dava açılması durumunda kullanılmak üzere verilerini saklayabilmektedir.

h.   Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

SOYLU AVM, meşru menfaatleri için ilgili kişinin kişisel verilerini işlemek zorunda olduğu hallerde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek şartıyla işleme faaliyetinde bulunabilir. Bu SOYLU AVM için sınırsız bir yetki değil meşru menfaat ve çıkarların ağır bastığı durumlarda uygulanacak bir yetkidir. Belirli, açık ve meşru olan çıkar ve menfaatler için bu hüküm uygulama alanı bulacaktır.

2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

       SOYLU AVM kişilerin özel nitelikli kişisel verilerini kanunda sayılan haller ayrı olmak üzere açık rıza almakla işleyebilmektedir. Özel Nitelikli Kişisel Veriler yalnızca ilgili kişinin Açık Rızasının bulunması yahut, cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn: Şirket hekimi) veya yetkili kurum ve kuruluşlar tarafından açık rıza almaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesi ve saklanması bakımından Kurum tarafından öngörülen idari ve teknik tedbirlerin tümü alınır. Şirket, Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik gerekli eğitimleri vermekte, gizlilik sözleşmesi yapmakta, bilgi güvenliği taahhütnameleriyle bu konuda çalışan personele bilgilendirme yapılmaktadır. Özel nitelikli kişisel verilerin işlenmesine ilişkin olarak yetki matrisleri oldukça azaltılmıştır. Yalnızca özel nitelikli kişisel veri ile yaptığı iş doğrudan ilgili olan personelin ilgili verilere erişim imkanı bulunmaktadır. Periyodik imha yöntemiyle saklama süresi sona ermiş özel nitelikli kişisel veriler imha edilmektedir.  Bu önlemler detaylı olarak bu politikanın devamında yer alan idari ve teknik tedbirler bölümünde açıklanmıştır.

2.4. KİŞİSEL VERİLERİN AKTARILMASI

       Kişisel verilerin üçüncü kişilere aktarılması da bir kişisel veri işleme faaliyetidir. SOYLU AVM kişilerin kişisel verilerini açık rıza olmaksızın aktarmaz. Yapılacak aktarım bakımından kanunda gösterilen genel ve özel nitelikli kişisel verileri işleme kurallarına uygun olarak bu aktarımı gerçekleştirir. SOYLU AVM gerekli hallerde kişisel verileri 3. Kişilere aktarabilmektedir.

Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde SOYLU AVM tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.

·      Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,

·      Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,

·      Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

·      Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,

·      Kişisel verilerin Şirket tarafından aktarılmasının Şirketin veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,

·      Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,

·      Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olmasıdır.

2.5. İLGİLİ KİŞİLERİN AYDINLATILMASI

SOYLU AVM; Kanunun 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda SOYLU AVM aydınlatmada, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.  

 

BÖLÜM 3- KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER

 

       SOYLU AVM kendi alanıyla ilgili işleriyle olduğu kadar kişisel verilerin işlenmesi hususunda da önem göstermektedir. Kişisel veri işlemenin en önemli hususu işlenen verinin saklanması ve korunmasıdır. SOYLU AVM özel ve genel nitelikli kişisel veriler bakımından kanundan kaynaklanan koruma gereklerine uygun olarak tedbir almaktadır. SOYLU AVM bu tedbirleri belirli bir veriye ilişkin olarak saklamayıp tüm verilerin korunması ve saklanması bakımından koruma tedbirlerini almaktadır.

İlk olarak kişisel veriler için alınan en sağlam tedbir gerekli olmayan veriyi elde tutmamaya ilişkindir. SOYLU AVM teknoloji ve bilimsel gelişme seviyesine uygun olarak işleme faaliyetinin doğası, önemi, kapsamı, bağlam ve amacını tespit ederek elinde bulunan kişisel verisi bulunan gerçek kişilerin hak ve özgürlükleri açısından çeşitli olasılık ve ciddiyetlere sahip risklerin olup olmadığını tespit ederek buna göre koruma tedbiri alır ve riskleri saptar.

SOYLU AVM kişisel verilerin hukuka aykırı olarak işlenmesi, erişilmesini önlemek kişisel verilerin muhafazasını gerektiği gibi sağlamak amacıyla her türlü teknik ve idari tedbiri alır. Kişisel verilerin imhası, alınan tedbirler ve korunması bakımından veri envanterine işlenmiş verilerin açıklanmış halidir. Aşağıda da belirtileceği üzere SOYLU AVMnin özel nitelikli kişisel veriler için daha kapsamlı ve daha geniş güvenlik önlemlerini içeren tedbirleri bulunmaktadır.

3.1 ORTAMLAR VE GÜVENLİK TEDBİRLERİ

SOYLU AVM tarafından alınan kişisel veriler uygun ortamlarda işlenir ve saklanır. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle matbu ortamlar, yerel dijital ortamlar ortamlardır.

*        Matbu Ortamlar     : Verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır.

*        Yerel Dijital Ortamlar    : Şirket bünyesinde yer alan otomasyon sistemleri, kayıt sistemleri, sunucular, sabit ya da taşınabilir diskler, optik diskler, bulut gibi sair dijital ortamlardır.

SOYLU AVM, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.

3.1.1. Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesini Önlemek, Verilere Hukuka Aykırı Olarak Erişilmesini Önlemek ve Verilerin Muhafazasını Sağlamak için  Alınan Teknik Tedbirler

  SOYLU AVM tarafından kişisel verilerin korunmasına ilişkin olarak teknolojinin imkan verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler dönemsel olarak teknolojik gelişmelere göre güncellenmektedir. Alınan önlemlerin uygulanmasına yönelik düzenli aralıklar ile denetim yapılmaktadır.

  Veri güvenliğini sağlayacak yazılım ve sistemler kurulmakta ve kullanılmaktadır, kişisel verilere hem şirket içerisinden hem de dışarıdan hukuka aykırı bir şekilde erişilmesi ve/veya müdahale yapılmasının önlenmesi için verileri barındıran sunucular güncel virüs koruma yazılımları ile korunmakta, oturum kaydı alan oturum yönetimi yazılımları, parola yönetim yazılımları ve güvenlik duvarları başta olmak üzere çeşitli katmanlarda korunma sağlanmaktadır.

    Kişisel verilere erişim yetkisi, belirlenen veri işleme amacı doğrultusunda sınırlandırılmakta ve yetkiler düzenli olarak gözden geçirilmektedir. Bilmesi gereken prensibi temeline dayanarak yetkilendirme yapılmaktadır.

  Saklama alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk olarak değerlendirilebilecek konular giderilmektedir.

  Kişisel verilerin hukuka uygun ve güvenli bir biçimde saklanmasını sağlamak için teknolojik gelişmelere uygun sistemler ve yedekleme yazılımları kullanılmaktadır.

  Şirkette alınan tedbirleri uygulamakla görevli olan bir personel bulunmaktadır.

  Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.

3.1.2    Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesini Önlemek, Verilere Hukuka Aykırı Olarak Erişilmesini Önlemek ve Verilerin Muhafazasını Sağlamak için Alınan İdari Tedbirler

 

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca idari tedbirler aşağıda listelenmiştir:

    SOYLU AVM bünyesinde Kişisel Verileri Koruma Kanuna göre düzenlenmeler yapılmıştır.

    SOYLU AVM çalışanları, kişisel verilerin korunması ve hukuka uygun olarak işlenmesi, bilgi güvenliğine uygun davranış, özel hayatın gizliliği konularında düzenli olarak bilgilendirilmekte ve eğitilmektedir.

    SOYLU AVM; bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.

    SOYLU AVM’nin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilmiş, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu iş süreçleri özelinde kişisel veri işleme faaliyetleri belirlenmiş ve kişisel veri envanterine işlenmiştir.

    Envanter SOYLU AVM tarafından düzenli olarak güncellenmektedir.

    SOYLU AVM iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri özelinde, kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler, her bir iş birimi ve detay faaliyet özelinde belirlenmiştir.

    Uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların ve uygulamanın sürekliliğini sağlamak için şirket içi politikalar hayata geçirilmekte ve denetimler yapılmaktadır.

    Çalışanlar ve üçüncü şahıslar ile imzalanan sözleşme ve belgelere, kişisel verilerin hukuka uygun olarak işlenmesi, korunması ve veri gizliliğini sağlamak amacıyla hükümler eklenmiş, tarafların sorumlulukları açıkça düzenlenerek hukuka ve sözleşmeye aykırı veri işleme faaliyetleri için yaptırım getiren hükümler uygulanmıştır.

3.1.3 Kişisel Verilerin Korunmasında Şirket İçi Denetim

SOYLU AVM, KVKK uyarınca, kendi bünyesinde gerekli denetimleri personeliyle yapmakta veya dışarıdan bu konuyla ilgili hizmet almaktadır. Bu denetimden kaynaklanan sonuçları, Şirketin iç işleyişi kapsamında, üst yönetime ve konu ile ilgili bölüme raporlanmakta, yapılacakları planlanmakta ve alınan tedbirlerin iyileştirilmesi için planlananların takibi, ilgili süreç sahipleri ve bu işle ilgilenen personel tarafından takip edilerek yürütülmektedir.

BÖLÜM 4- KİŞİSEL VERİLERİN SAKLANMA VE İMHASI

 

4.1. SAKLAMA VE İMHA, ANONİM HALE GETİRME NEDENLERİ

4.1.1. Saklama Nedenleri

SOYLU AVM bünyesinde bulunan kişisel veriler, Aydınlatma metninde, Envanterde ve Ek-1de yer alan amaçlar kapsamında işlemekte ve saklanmaktadır. SOYLU AVM aldığı tüm tedbirleri işbu saklama faaliyetinin Kanundaki şartlara uygun olabilmesi için gerçekleştirmektedir. 

4.1.2 İmha Nedenleri

SOYLU AVM, KVKK md.5-6da yer alan şartlar yahut ilgili kişinin başvurusu üzerine uhdesinde bulunan verileri imha edebilir. Kanunun 5nci ve 6ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

e) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

4.1.3 İmha Yöntemleri

SOYLU AVM, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngölen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise; kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

4.1.3.1. Silme yöntemleri

Kişisel verileri imha ederken fiziki ortamda tutulan veriler için Kağıt kesme makinesi ile öğütme, yakma, karalama ve geri dönüşüm yöntemleriyle silinmektedir.

Otomatik ortamda tutulan kişisel veriler ise Sabit disk veya USB bellek gibi veri barındıran ortamlara geri dönülemeyecek şekilde, yakma, delme gibi fiziksel yöntemlerle zarar verilmesi, Şifreleme yöntemleri ile verinin şifrelenerek veriye ilgili kullanıcı tarafından erişimin engellenmesi, Veri barındıran manyetik ortamların (sabit disk, CD-ROM veya USB bellek vb.) manyetik etkisinin yok edilmesi işlemi, Verilerin bulunduğu veri tabanlarında rol ve izin ataması yapılarak ilgili kullanıcının veri tabanına erişiminin engellenmesi ve Yazılımlar vasıtasıyla veya fabrika ayarlarına geri döndürme suretiyle var olan verilerin üzerine yenilerinin yazılması, İlgili kullanıcının, erişim politikaları ile ilgili veriye erişiminin engellenmesi yöntemleri ile silme işlemi gerçekleştirilmektedir.

4.1.4 Anonim Hale Getirme Yöntemi

Kişisel verilerin korunması bakımından silme işleminden daha güvenli bir yol olan anonim hale getirme işleminde ilgili kişisel verilerin ilgili kişilerle bağlantısı koparılmakta  ve bu şekilde kişisel veri olmaktan çıkartılmaktadır.

4.1.4.1 Maskeleme

Bu yöntem, kişisel veri niteliğindeki bir bilginin, belirli alanlarının kaldırılarak veya değiştirilerek ilgili kişi ile bağının kesilmesini ifade eder. SOYLU AVM olarak, otomatik ortamında tuttuğumuz verilere saklama süresinin dolması durumunda isim, soy isim ve benzeri kişisel verilerin bazı kısımları yıldızlanarak saklanacaktır. Değişkenleri yahut kayıtları çıkarma, rasgeleleştirme, vb. yöntemiyle kişisel veriler sistematik olmaktan çıkartılmaktadır.Verilerden bazı değişkenler çıkartılarak verilerin kime ait olduğunun belirlenemeyeceği durumlara getirilmektedir.

4.1.4.2. Gürültü Eklenmesi

Bu yöntem ile veri kümesinde yer alan değer, ekleme veya çıkarma işlemi ile belirlenen ölçüde değiştirilmektedir. Örneğin, veri kümesinde yer alan her bir yaş değerine 5 eklenmesi sonucunda bu yaş değeri değiştirilmiş ve yeni değerler oluşturulmuştur.

BÖLÜM 5 - VERİ SAHİPLERİNİN KANUN KAPSAMINDAKİ HAKLARI

Dilediğiniz zaman SOYLU AVMye başvurarak kişisel verilerinizin;

• İşlenip işlenmediğini, işlenme amacını ve amacına uygun kullanıp kullanılmadığı öğrenebilir ve işlenmiş ise bu konuda bilgi isteyebilir,

• Kanuna uygun olarak yurt içinde ve yurt dışında bilgilerinizin paylaşıldığı üçüncü kişileri öğrenebilir,

• Bilgilerinizin eksik ya da hatalı işlendiğini düşünüyorsanız düzeltilmesini isteyebilir,

• Kanunun 7. maddesinde öngölen şartlar çerçevesinde bilgilerinizin silinmesini ya da yok edilmesini talep edebilir,

• Bilgilerinizin aktarıldığı üçüncü kişilere (c) ve (d) bentlerinde belirtilen taleplerinizin bildirilmesini ve aynı işlemleri gerçekleştirmelerini isteyebilir,

• Bilgilerinizin, otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz edebilir veya kanuna aykırı olarak kaydedildiğini veya kullanıldığını düşünüyorsanız ve bu sebeple zarara uğramışsanız zararın giderilmesini isteyebilirsiniz.

Kanun kapsamındaki haklarınızdan yararlanmak için başvurularınızı, yazılı olarak SOYLU AVMye iletebilir, detaylı bilgi almak için Kişisel Verileri Koruma Kurumunun internet sayfasını ziyaret edebilirsiniz.

Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda noter tarafından tasdiklenmiş özel vekâletnamenizi ibraz etmeniz gerekecektir.

Başvurularınızda, ad-soyad, imza, T.C. kimlik numarası, ikamet veya işyeri adresi, e-posta adresi, telefon ve faks numarası, talep konusu unsurlarının bulunması “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca zorunludur. Söz konusu unsurları barındırmayan başvurular SOYLU AVM tarafından reddedilecektir.

SOYLU AVMnın Kanundan, ikincil düzenlemelerden ve Kurul kararlarından doğan sebeplerle değişiklik yapma hakkı her zaman saklıdır. Aydınlatma metninde yapılacak değişiklikler ve güncel metin tarafınıza tebliğ edildiği tarih itibariyle derhal geçerlilik kazanacaktır.

SOYLU ALIŞVERİŞ MERKEZLERİ TİCARET LİMİTED ŞİRKETİ

 

 

Ek-1 AYDINLATMA METNİ

 

KİŞİSEL VERİLERİN KORUNMASI

KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA AYDINLATMA METNİ

 

Soylu AVM, 1994 yılından beri perakende satış sektöründe faaliyet göstermekte olup tüm faaliyetlerini 14/01/2015 tarihli 29236 sayılı Taksitle Satış Sözleşmeleri Hakkında Yönetmelik ve 6502 sayılı Tüketicinin Korunması Kanunu başta olmak üzere mevzuata uygun şekilde yerine getirmekte olup aynı hassasiyeti kişilerin kendisiyle paylaştığı verileri için de göstermektedir. Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunmasını amaçlayan 7 Nisan 2016 tarihli ve 29677 Sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesi ile 10 Mart 2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca işbu Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni ile Şirketimiz “Soylu AVM” tarafından işlenen kişisel verileriniz hakkında sizleri bilgilendirmeyi hedeflemekteyiz.

 

1.VERİ SORUMLUSU OLARAK SOYLU AVM

 

Fevzi Çakmak Mah. 1107 Sokak No: 7/A 34220 Esenler/İstanbul adresinde merkezi bulunan Soylu Alışveriş Merkezleri Limited Şirketi KVKK ve ilgili düzenlemeler kapsamında “Veri Sorumlusu” dur.

 

2.SOYLU AVM’NİN İŞLEDİĞİ KİŞİSEL VERİLER

Soylu AVM ile tarafınızın kurduğu ilişki kapsamında aşağıda belirtilen yöntemler ile kişisel verileriniz işlenmektedir.

 

A.   MÜŞTERİ/MUHTEMEL MÜŞTERİ KONUMUNDAYSANIZ;

  1. Kimlik Bilgileriniz   :Ad soyadı, doğum yeri, doğum tarihi, fotoğraf, nüfus cüzdanı, nüfus cüzdanı veriliş tarihi, kayıt no, seri no ve kayıtlı olduğu adres, kimlik numarası;
  2. İletişim Bilgileriniz  :İşyeri adresi, ev adresi, e-posta, telefon, cep telefonu, fax numarası, ikametgah, IP adresi;
  3. Risk Yönetimi                      :Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler, malvarlığı bilgisi, ödeme yöntemi, alışveriş geçmişi, ödeme verileri, risk bilgileri;
  4. Görsel ve İşitsel Kayıtlar: Görsel ve İşitsel Kayıtlara ilişkin veriler;

 

B.    WEB SİTESİ ÜYESİ KONUMUNDAYSANIZ;

i.      Kimlik Bilgileriniz    : Ad-Soyad;

ii.      İletişim Bilgileriniz   : Ev adresi, e-posta, telefon, cep telefonu, parola, IP adresi, konum(Telefon Konum Servisleri Açıksa);

  iii.         Görsel ve İşitsel Kayıtlar: Görsel ve İşitsel Kayıtlara ilişkin veriler;

 

C.    WEB SİTESİ ZİYARETÇİSİ KONUMUNDAYSANIZ;

 

      i.         İletişim Bilgileriniz   : IP adresi, parola, konum (Telefon Konum Servisleri Açıksa);

    ii.         Görsel ve İşitsel Kayıtlar: Görsel, Web sitesi logları ve İşitsel Kayıtlara ilişkin veriler;

D.   TEDARİKÇİ ÇALIŞANI KONUMUNDAYSANIZ 

  1. Kimlik Bilgileriniz: ad soyadı, doğum yeri, doğum tarihi, fotoğraf, nüfus cüzdanı, nüfus cüzdanı veriliş tarihi, kayıt no, seri no ve kayıtlı olduğu adres, kimlik numarası, görev ve unvan bilgileri;
  2. İletişim Bilgileriniz: işyeri adresi, ev adresi, e-posta, telefon, cep telefonu, fax numarası, ikametgah, IP adresi;
  3. Görsel ve İşitsel Kayıtlar: Görsel ve İşitsel Kayıtlara ilişkin veriler;

 

E.    TEDARİKÇİ KONUMUNDAYSANIZ:

  1. Kimlik Bilgileriniz: ad soyadı, doğum yeri, doğum tarihi, fotoğraf, nüfus cüzdanı, nüfus cüzdanı veriliş tarihi, kayıt no, seri no ve kayıtlı olduğu adres, kimlik numarası, imza ve imza sirküleri, görev ve unvan bilgileri,
  2. İletişim Bilgileriniz: işyeri adresi, ev adresi, e-posta, telefon, cep telefonu, fax numarası, ikametgâh, adres kayıt sistemi kayıtları IP adresi;
  3. İşlem Bilgileriniz: Fatura bilgileri, banka ve şube bilgileri, kredi risk bilgileri, plaka bilgileri, sipariş ve talep bilgileri, sözleşmenin yapılma ve sonlandırılma tarihleri, ödeme bilgileri;
  4. Risk Yönetimi: Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler, kayıplara ve hırsızlığa dair beyanlar, istihbarat bilgileri, bilançoya dair bilgiler, finansal performans bilgileri, Kredi ve risk bilgileri, Findex Kredi Risk Raporu;
  5. Ticari Bilgiler: Vergi numarası, Kredi limit bilgisi;
  6. Görsel ve İşitsel Kayıtlar: Görsel ve İşitsel Kayıtlara ilişkin veriler;

 

3.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE HUKUKİ SEBEPLERİ

 

  1. MÜŞTERİ/MUHTEMEL MÜŞTERİ KONUMUNDAYSANIZ;

 

 

İŞLEME AMAÇLARI

HUKUKİ SEBEBİ

 

Pazar araştırmalarının yapılması,

 

  • Açık rızanızın bulunması.

 

Kampanya e-postaları ve e-bültenlerin, ticari ileti gönderimlerinin sağlanması ve internet sitesi ziyaretleri sonucu analizlerin yapılması,

 

Dijital pazarlama faaliyetlerinin gerçekleştirilmesi

 

Her türlü kanal aracılığıyla muhtemel müşteri/müşteri tarafından iletilecek öneri/dilek/şikâyet/anket yanıtları ve taleplerin değerlendirilebilmesi, cevaplandırılabilmesi ve bildirimler uyarınca iyileştirme çalışmalarının yapılabilmesi,

 

 

Müşterilerin siparişlerine uygun olarak amaçlı uygulamalara erişim sağlanması,

 

Muhtemel müşteri ile iletişim sağlanarak ürün tedariki sürecine geçilmesi,

·       Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

·       Kredilendirmeye esas teşkil eden hususların incelenmesi.

 

 

 

Sistemsel geliştirmelerin yapılması ve zorunlulukların karşılanması,

 

Muhtemel müşteriler ile iletişim kurularak kredilendirmeye esas bilgilerinin öğrenilmesi,

 

  Bilgi güvenliği süreçlerinin planlanması, bunları denetimi ve icrası

 

Risk analizlerinin ve iyileştirme çalışmalarının yapılması,

 

 

Muhtemel müşteri verilerinin sözleşme kurmaya yönelik irade beyanı olarak değerlendirilerek icaba cevap niteliğinde kullanılması,

 

Hizmetlerimizin geliştirilmesi ve çeşitlendirilmesi,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

  Finans ve/veya muhasebe işlerinin takibi, sözleşme yönetimi, hukuki işlemlerin tesisi ve hukuki süreçlerin takibi

 

  Sözleşmesel ve yasal yükümlülüklerimizin tam ve gereği gibi ifa edilebilmesi,

Kamu kurum ve kuruluşlarından gelen bilgi taleplerinin karşılanabilmesi,

·       Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

·       Hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması.

 

 

 

·       Hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması.

 

 

  1. TEDARİKÇİ ÇALIŞANI KONUMUNDAYSANIZ:

 

 

İŞLEME AMAÇLARI

HUKUKİ SEBEBİ

 

 

Her türlü kanal aracılığıyla tedarikçi çalışanı tarafından iletilecek öneri/dilek/şikâyet/anket yanıtları ve taleplerin değerlendirilebilmesi, cevaplandırılabilmesi ve bildirimler uyarınca iyileştirme çalışmalarının yapılabilmesi,

·       Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

 

 

Ürünlerin zamanında Firma mağazası/deposuna taşınması amacıyla iletişim kurulması,

 

Tedarikçilere teklif oluşturma amaçlı uygulamalara erişim sağlanması,

 

Firma araç giriş kısmının kullanılması,

 

Sistemsel geliştirmelerin yapılması ve zorunlulukların karşılanması,

 

Mobil uygulamaların yönetimi,

 

Bilgi güvenliği süreçlerinin planlanması, bunları denetimi ve icrası

Risk analizlerinin ve iyileştirme çalışmalarının yapılması,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

Hizmetlerimizin geliştirilmesi ve çeşitlendirilmesi

 

Araçlara ilişkin ceza yönetimi, ruhsat ve plaka yönetimlerinin sağlanması,

·       Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

·       Hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması.

 

  Finans ve/veya muhasebe işlerinin takibi,

 

  Sözleşme yönetimi, hukuki işlemlerin tesisi ve hukuki süreçlerin takibi

 

  Sözleşmesel ve yasal yükümlülüklerimizin tam ve gereği gibi ifa edilebilmesi,

 

Kamu kurum ve kuruluşlarından gelen bilgi taleplerinin karşılanabilmesi,

·       Hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması.

 

 

 

 

  1. WEB SİTESİ ÜYESİ/ZİYARETÇİSİ KONUMUNDAYSANIZ:

 

İŞLEME AMAÇLARI

HUKUKİ SEBEBİ

Promosyon, hediye çeki, indirim gönderimi yapılması,

  • Açık rızanızın bulunması.

Kampanya e-postaları ve e-bültenlerin gönderimlerinin sağlanması ve internet sitesi ziyaretleri sonucu analizlerin yapılması,

Dijital pazarlama faaliyetlerinin gerçekleştirilmesi,

Oturum çerezleri ile pazarlama stratejilerinin oluşturulması,

 

Her türlü kanal aracılığıyla sürücüler tarafından iletilecek öneri/dilek/şikâyet/anket yanıtlarının ve taleplerin değerlendirilebilmesi, cevaplandırılabilmesi ve bildirimler uyarınca iyileştirme çalışmalarının yapılabilmesi,

 

 

·       Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

 

Dijital ekran yönetimi,

Sistemsel geliştirmelerin yapılması ve zorunlulukların karşılanması,

Mobil uygulamaların yönetimi,

Bilgi güvenliği süreçlerinin planlanması, bunları denetimi ve icrası,

İyileştirme çalışmalarının yapılması,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Hizmetlerimizin geliştirilmesi ve çeşitlendirilmesi,

Sözleşme yönetimi, hukuki işlemlerin tesisi ve hukuki süreçlerin takibi

Sözleşmesel ve yasal yükümlülüklerimizin tam ve gereği gibi ifa edilebilmesi,

Kamu kurum ve kuruluşlarından gelen bilgi taleplerinin karşılanabilmesi,

·       Hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması.

 

  1. TEDARİKÇİ KONUMUNDAYSANIZ:

İŞLEME AMAÇLARI

HUKUKİ SEBEBİ

Her türlü kanal aracılığıyla Firma tedarikçileri/tedarikçi çalışanları tarafından iletilecek öneri/dilek/şikâyet ve taleplerin değerlendirilebilmesi, cevaplandırılabilmesi ve bildirimler uyarınca iyileştirme çalışmalarının yapılabilmesi,

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
  • Hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması.

 Alacak takibi ve tahsilatı, cari kart oluşturulması,

 

·      Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

Tedarikçilere teklif oluşturma, hizmetin ifası,  operasyonunun takibinin ve raporlanması amaçlı uygulamalara erişim sağlanması,

 

·       Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

·       Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Dijital ekran ve telefon yönetimi,

 

Sistemsel geliştirmelerin yapılması ve zorunlulukların karşılanması,

 Mobil uygulamaların yönetimi,

 Hizmetlerimizin geliştirilmesi ve   çeşitlendirilmesi,

·       Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

  Araç satışlarının ve kiralamalarının yapılması,

  Raporlama ve bütçe yönetimi,

 

 Risk analizlerinin ve iyileştirme çalışmalarının yapılması,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

·       Hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması.

 Potansiyel ve mevcut tedarikçiler hakkında bilgi   toplanması amacıyla

Etkinlik ve organizasyonların düzenlenmesi,

Finans ve/veya muhasebe işlerinin takibi,

Sözleşme yönetimi, hukuki işlemlerin tesisi ve hukuki süreçlerin takibi

Sözleşmesel ve yasal yükümlülüklerimizin tam ve gereği gibi ifa edilebilmesi,

Kamu kurum ve kuruluşlarından gelen bilgi taleplerinin karşılanabilmesi,

Bilgi güvenliği süreçlerinin planlanması, bunları denetimi ve icrası,

·       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

·       Hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması.

 

 

 

Amaçları ve sebepleri ile yukarıda belirtilen veriler Soylu AVM tarafından işlenmekte olup işbu veriler kanundan kaynaklanan süreler ile sınırlı kalmak üzere Soylu AVM bünyesinde saklanmaktadır. İşbu veriler ile ilgili bilgi almak istemeniz halinde KVKK md. 11 kapsamında aşağıda belirttiğimiz şekliyle Firmamıza başvuruda bulunabilirsiniz. 

 

4.İŞLENEN KİŞİSEL VERİLERİN AKTARIMI

Kişisel verileriniz, yukarıda sayılan amaçlar dâhilinde, Kanun’un 8. ve 9. maddesinde belirtilen şartlara uygun olarak mevzuatta izin verilen gerçek ve tüzel kişilere, hukuk hizmeti aldığımız avukatlık ofisine, yetkilendirilmiş veri işleyen olarak sorumlu olan ve altyapı hizmetleri sunan 3. kişilerle, gerektiğinde yetkili diğer kamu kurum ve kuruluşlarına, sözleşmesel ilişki kurulan ilgili tarafa, adli ve idari yargı mercilerine, kolluk kuvvetlerine, iş ilişkisi içerisinde olduğumuz kurum ve kuruluşlara, sözleşmesel ilişkimiz bulunan şirket ya da şahıslara, dışarıdan hizmet alınan danışmanlık, teknoloji ve eğitim şirketlerine aktarılabilmektedir.  

 

5.KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ

Kişisel verileriniz; Firmamız tarafından kendisi yahut yetkilendirilmiş veri işleyen gerçek veya tüzel kişiler tarafından, e-posta, telefon, internet sitesi, muhtelif sözleşmeler, kâğıt ortamında tutulan formlar ve tutanaklar gibi vasıtalarla otomatik ve otomatik olmayan yöntemlerle sözlü, yazılı veya elektronik ortamda toplanmaktadır. Kişisel verileriniz yukarıda sayılan hukuki sebepler açık rızanız, sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, kredilendirmeye esas teşkil edecek bilgilerin olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, hukuki yükümlülüğümüzün ifası hukuki sebeplerine dayanılarak işlenmekte olup yapılan tüm işlemelerde veri azaltılması ilkesi Firmamızca en önem verilen ilkedir. Firmamız bu kapsamda işlediği tüm veriler bakımından açık rıza istisna tutularak kanundan kaynaklanan nedenler ve parekende satış teamüllerinden kaynaklı olarak verileri işlemeye özen gösterir.

6. KİŞİSEL VERİSİ İŞLENEN İLGİLİ KİŞİNİN HAKLARI

Kanun’un 11. maddesi hükümleri uyarınca kişisel verilerinize ilişki olarak aşağıdaki haklarınız bulunmaktadır:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 Kanun kapsamındaki haklarınızdan yararlanmak için başvurularınızı, yazılı olarak Soylu AVM’ ye iletebilir, detaylı bilgi almak için Kişisel Verileri Koruma Kurumu’nun internet sayfasını ziyaret edebilirsiniz.

 

Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda noter tarafından tasdiklenmiş özel vekâletnamenizi ibraz etmeniz gerekecektir.

 

Başvurularınızda, Ad-Soyad, imza, T.C. kimlik numarası, ikamet veya işyeri adresi, e-posta adresi, telefon ve faks numarası, talep konusu unsurlarının bulunması “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca zorunludur. Söz konusu unsurları barındırmayan başvurular Soylu AVM tarafından reddedilecektir. Veri işleyene başvuru hakkınız bulunmamaktadır.

 

Soylu AVM’ nin işbu aydınlatma metninde Kanun’dan, ikincil düzenlemelerden ve Kurul kararlarından doğan sebeplerle değişiklik yapma hakkı her zaman saklıdır. Aydınlatma metninde yapılacak değişiklikler ve güncel metin tarafınıza tebliğ edildiği tarih itibariyle derhal geçerlilik kazanacaktır.


SOYLU ALIŞVERİŞ MERKEZLERİ TİCARET LİMİTED ŞİRKETİ


EK-2 SAKLAMA SÜRELERİ

Yerel kolejlere kayıt, 2005

Veri Türü

Saklama Süresi

Saklama Başlangıç Tarihi

 

 

 

 

 

Şirketin Genel Verileri

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Mali İşler ve Vergilere İlişkin Kayıtlar

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Maaş bordrosu ve maaş bilgileri

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

İşe Alım Olumlu Süreç (İK dosyası)

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

İşe Alım Olumsuz Süreç

6 Ay

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

İK, istihdam, emeklilik bilgileri çalışanlar için

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Ayrılan çalışana ilişkin tutulan veri

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

 

 

 

Çalışan sağlık ve iş güvenliği kayıtları/verileri

15 yıl 

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Hukuki metinler ve sözleşmeler

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

İş bağlantılarına ait veriler

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Potansiyel müşterilere ait veriler

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Müşterilere ait veriler

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Güvenlik (CCTV, ziyaretçi kayıt, araç plaka ve v.b.)

6 ay

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

 

 

 

 

Pazarlama Faaliyetleri Planlama ve İcrası

10 Yıl

İş İlişkisinin Sona Ermesinden İtibaren

 

 

 

 

 

İdari İşler Süreçleri (Araç, gereç tahsisi ve v.b.)

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Bilgi İşlem Departmanı Log / Kayıt / Takip Sistemleri

 

 

 

 

İnternet Sitesi Ziyaretçisi

 

6 ay

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

                

 EK-3 SAKLAMA AMAÇLARI

VERİ TÜRÜ

DOĞRUDAN AMAÇLAR

DOLAYLI AMAÇLAR

İşe Alım

Seçme Değerlendirme

İşe Alım Süreçlerinin Yönetilmesi,

İnsan Kaynakları Faaliyetlerinin Devamı ve Geliştirilmesi,

İşe Alım Olacağı Takdirde Teklif Mektubu Oluşturulması,

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi/Yönetilmesi,

Çalışan Adayı Seçme Süreçlerinin Yürütülmesi,

İş Akdine Hazırlık ve Mevzuat Gereği Olan İşlemlerin Yapılması,

Mülakat Sürecindeki Yapılan Görüşme Gerekleri

Çalışan Adayının Uygun Pozisyona Yerleştirilmesi,

Özlük

Çalışanlar İçin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi,

İş Süreçlerinin Yönetilmesi,

Özlük Dosyasının Hazırlanması, İlgili Çalışma Alanlarına göre Kişisel Sağlık Verilerinin İşlenmesi

Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,

Şirket stratejilerinin belirlenmesi ve uygulanması

 

Muhasebe

Şirket tarafından yürütülen bağımsız denetim, muhasebe hizmetleri ve danışmanlık vb. hizmetlerin ifası

 

Tahsilat/İstihbarat

Tahsilat Faaliyetlerinin Yürütülmesi / Müşterilerin Ödeme Gücünün Belirlenmesi

 

Finans

Şirketin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda yürütülen süreçleri ve operasyonları, finans operasyonları, iletişim, pazar araştırması ve sosyal sorumluluk aktiviteleri, satın alma operasyonlarının yürütülmesi, müşteri projelerinin yerine getirilmesi

 

Hukuki İşlem

Hukuk İşlerinin Takibi Ve Yürütülmesi, Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi, Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi,Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi,Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi,Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

 

Müşteri İşlem

Finans Ve Muhasebe İşlerinin Yürütülmesi, İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi, Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi,Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi, Müşteri İlişkileri Yönetimi ,Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi,Pazarlama Analiz Çalışmalarının Yürütülmesi,Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi, Talep / Şikayetlerin Takibi

 

Fiziksel Mekan Güvenliği

Fiziksel Mekan Güvenliğinin Temini,Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,Yönetim Faaliyetlerinin Yürütülmesi,

Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

 

Sağlık Bilgileri

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

 

Adli Sicil

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

 

Biyometrik Veri

Şirket İçi İşleyişin Yürütülmesi,

Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi, Yönetim Faaliyetlerinin Yürütülmesi

 

 

SOYLU ALIŞVERİŞ MERKEZLERİ TİCARET LİMİTED ŞİRKETİ