CLM TEKSTİL GİYİM SANAYİ VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI, ELEKTRONİK TİCARET, TÜKETİCİ HAKLARI VE MESAFELİ SATIŞ SÖZLEŞMESİNE İLİŞKİN MEVZUATLAR KAPSAMINDA
HUKUKİ DEĞERLENDİRME
TANIMLAR
Metnin içeriğinde kanun ve sair mevzuatlar kapsamında belirtmiş olduğumuz bazı terimlerin ve hukuki açıklamaların daha iyi anlaşılması için aşağıdaki tanımlamaların yapılması zaruri görülmüştür.
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumunu,
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri, ç) Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişileri,
Elektronik ticaret hizmet sağlayıcı: Elektronik ticaret pazar yerinde ya da kendine ait elektronik ticaret ortamında mal veya hizmetlerinin teminine yönelik sözleşme yapan ya da sipariş alan hizmet sağlayıcıyı
Elektronik ticaret ortamı: Elektronik ticaret faaliyetinde bulunulan internet sitesi, mobil site veya mobil uygulama gibi platformları,
Elektronik ticaret pazar yeri: Elektronik ticaret aracı hizmet sağlayıcının aracılık hizmetlerini sunduğu elektronik ticaret ortamını
Ticari elektronik ileti yönetim sistemi (İYS): Ticari elektronik ileti onayı alınmasına, reddetme hakkının kullanılmasına ve şikâyet süreçlerinin yönetilmesine imkân tanıyan sistemi ifade eder.
GİRİŞ
İş bu yazıda, Clm Tekstil Giyim Sanayi ve Ticaret Limited Şirketi’nin (bundan böyle ““Şirket”” olarak ifade edilecektir) 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat ile 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve sair mevzuat kapsamındaki hak ve yükümlülükleri değerlendirilecek olup; yapılan değerlendirme ve “Şirket”e verilen görüş, somut olayın özelliklerine göre “Şirket”in yapısı ve faaliyetleri ile sınırlı tutulmuştur.
18.12.2023 tarihinde, 496866-5 sicil ve 0211-1468-3900-0001 mersis numarası ile İstanbul Ticaret Odası’na kayıtlı bulunan “Şirket”, 14.14.01 nace koduyla, tekstil ve konfeksiyon alanında ürettiği veya satın aldığı ürünlerin ticaret/e-ticaretini, bizzat hizmet sağlayıcı olarak veya aracı hizmet sağlayıcılar vasıtasıyla yapmak amacıyla kurulmuş olup; hali hazırda sigortalı çalışanı bulunmamaktadır. “Şirket”in ticaretini yönlendireceği hedef kitlesi, şu an itibariyle gerçek kişi perakende müşterileri olarak belirtilmiş; faaliyetine yönelik olarak hayatın olağan akışı içerisinde farklı tüzel/gerçek kişiler ile çeşitli hususlarda akitler yapabileceği de göz önüne alınmıştır.
Dip Not: Kişisel Veriler, sadece gerçek kişilere ait verileri kapsamakta olup; Tüzel Kişiler’e ait veriler, KVKK kapsamında değerlendirilmemekte ve kişisel veri niteliğini haiz değildir.
KİŞİSEL VERİLER HAKKINDA GENEL BİLGİ
Kişisel veriler, genel nitelikli kişisel veriler ve özel nitelikli kişisel veriler olmak üzere iki farklı kategoriye ayrılmıştır. Özel nitelikli kişisel veriler KVKK m.6’da sayılmış olup; ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirtilmiştir.
Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikteki veriler olduğundan ötürü kanun koyucu bu niteliği haiz verileri, diğer kişisel verilere göre çok daha sıkı şekilde korunmaya değer görmekle farklı düzenlemeler getirmiştir. Aşağıda “Açık Rıza” bölümünde bu farklılıklara değinilecektir.
VERBİS KAYIT YÜKÜMLÜLÜĞÜ HAKKINDA
Verbis (Veri Sorumluları Sicil Bilgi Sistemi)’ne kayıtla yükümlü tutulan bazı veri sorumluları;
“Şirket”, hali hazırda yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’nin altında olup, faaliyet alanı özel kişisel veri işleme olmayan tüzel kişiler kapsamında olduğundan ötürü Verbis’e kayıttan istisna tutulmuştur. Bu bağlamda, Verbis ve Verbis’e kayıt ile ilgili hususlar, değerlendirme kapsamında tutulmuş olup; istisna halinin sona ermesi durumunda ayrı bir değerlendirmeye tabi tutulacaktır. “Şirket”’in, daha sonraki bir tarihte kayıt yükümlüsü haline gelmesi durumunda, kayıt yükümlüsü olduğu tarihten itibaren 30 gün içerisinde Verbis’e kayıt olma zorunluluğu bulunmaktadır.
Dip Not: “Şirket”’in Verbis’e kayıt yükümlülüğünden istisna tutulması, 6698 sayılı KVKK ve sair mevzuat içerisinde belirtilen yükümlülüklerinden de istisna tutulduğu anlamına gelmemektedir.
KVKK KAPSAMINDA DİĞER BAZI YÜKÜMLÜLÜKLER HAKKINDA
Yukarıda belirtilen yükümlülükler içerisinde “Şirket”’i hali hazırda ilgilendirenler; “Aydınlatma Yükümlülüğünün Yerine Getirilmesi” ve “Açık Rıza Alınması Yükümlülüğü” olup; diğer yükümlülükler, değerlendirme dışı bırakılmıştır. Nitekim; “Veri Sorumluları Sicili Hakkında Yönetmelik” m. 5 ve “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” m.5 uyarınca, politika ve envanter hazırlanması yükümlülüğü, sicile kayıtla yükümlü veri sorumlularına getirilmiştir.
AYDINLATMA YÜKÜMLÜLÜĞÜ VE AÇIK RIZA ALINMASI HAKKINDA
Aydınlatma Yükümlülüğü
6698 sayılı KVKK m.10 kapsamında veri sorumlularına getirilen “Aydınlatma Yükümlülüğü”, veri sorumlularının, kişisel verilerini işlediği ilgili kişilere karşı ifa etmesi gereken bir bilgilendirme olarak kanun koyucu tarafından konulmuştur. Bu yükümlülüğün yerine getirilmesi; “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” çerçevesinde gerçekleştirilmelidir.
Aydınlatma yükümlülüğü, kişisel verisi işlenecek kişinin talebine bağlı bir yükümlülük değildir. İlgili kişinin açık rızasının ya da kanunla düzenlenen diğer kişisel veri işleme şartlarının bulunması durumunda veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmelidir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
Aydınlatma yükümlülüğünün yerine getirilmesi, kişisel verilerin, bizzat kişisel verisi işlenecek gerçek kişiden elde edilmesi veya elde edilmemesi haline göre farklılık gösterecektir. Aydınlatma yükümlülüğünün, bizzat kişisel verisi işlenecek gerçek kişiden elde edilmesi durumunda KVKK m.10 kapsamında asgari şartları taşıması gerekmekte olup; yazımız ekinde kanuna uygun ve “Şirket”e özgü bir aydınlatma metni paylaşılacağından ötürü hukuki detaylara bu yazıda yer verilmesine gerek görülmemiştir.
Aydınlatma yükümlülüğünün, bizzat kişisel verisi işlenecek gerçek kişiden elde edilmemesi durumunda ise bu yükümlülüğün;
- Kişisel verinin elde edilmesinden itibaren makul bir süre içerisinde,
- Kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
- Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada yerine getirilmesi gerekmektedir.
Örnekleme: “Şirket”’in, fiziki veya elektronik ortamda bizzat hizmet sağlayıcı olarak veri sorumlusu sıfatını haiz şekilde gerçek kişi müşterilerinden kişisel veri toplayarak işlediği, örneğin; kendi web sitesi veya mobil uygulaması vasıtasıyla siteye veya uygulamaya giren müşterilerinin bazı kişisel verilerini alarak kişisel verileri topladığı anda bu verileri işlemeden önce ilgili kişilere fiziki veya elektronik şekilde aydınlatma yükümlülüğünü yerine getirerek bu bilgilendirme metnini okuyup anladığına dair onay alması gerekmektedir.
“Şirket”’in, ilgili kişisel verileri, bizzat ilgili kişilerden değil de dolaylı yollardan elde ederek işlemesi halinde ise ilgili kişi ile iletişim kurularak derhal yapılması önem arz etmektedir. “Şirket”’in, daha önce kişisel verilerini işlediği bir gerçek kişi müşterisinin kişisel verilerini başka bir kişiye aktaracağı durumlarda veya bu müşterisine ait kişisel verilerin üçüncü kişiler vasıtasıyla elde edilmesi durumunda bu hüküm geçerli olacaktır.
“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” m. 5. uyarınca veri sorumlusu ya da yetkilendirdiği kişi tarafından aydınlatma yükümlülüğü; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılmak suretiyle yerine getirilebilir. Veri sorumlusu veya yetkilendirdiği kişi, bu yöntemlerden hangisini kullanacağına kendisi karar vermelidir. Bu yöntemlere örnek olarak; veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü (yüz yüze yapılan, şifahi aydınlatma), yazılı (web sayfasında yer alan metin, bina girişinde duvara asılı levha, bir kameranın altında duvara monte edilmiş bilgi panosu ), ses kaydı (ilgili kişiye ses kaydı dinletilmesi ), çağrı merkezi (operatörle görüşmeden önce bir ses dosyası dinletilmesi) gibi fiziksel veya elektronik ortam (web sayfasında yer alan bir belgede katmanlı aydınlatma yapılması, açılan pencere [pop-up pencere] çıkması,) kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi verilebilir.
Açık Rıza
T.C. Anayasası m.20/3, KVKK m.5, m.6, m.8 ve m.9 uyarınca kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenemeyeceği ve aktarılamayacağı düzenlenmiştir. Açık rıza alınırken dikkat edilmesi gereken hususlar; belirli bir konuya ilişkin olması, bilgilendirmeye dayalı olması ve özgür iradeyle açıklanması gerekliliğidir. Bu şartları taşımayan bir açık rıza metni kanunlara uygun olmadığından hukuken geçersiz kabul edilecektir. Esas kural açık rıza alınması olup; kanun koyucu bu durumun istisnaları düzenleyerek her şartta açık rıza alınmasına gerek bulunmayan durumları belirtmiştir. Bunlar;
Örnekleme: Söz konusu örnekler, kanunda sayılan hallerin “Şirket” tarafından daha iyi anlaşılarak somutlaştırılması için verilmiştir:
Kanunlarda açıkça öngörülen durumlar: Çalışana ait özlük bilgilerinin kanun gereği tutulması
Sözleşmenin İfası: Teslimat yapılması için “Şirket”in, ilgili kişinin adres bilgilerini kaydetmesi
Fiili İmkansızlık: Kaçırılan ya da kayıp kişinin konum bilgisi
Hukuki Sorumluluk: Bankacılık, enerji, sermaye piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması
Alenileştirilme: Evini satmak isteyen kişinin, satış ilanında iletişim bilgisine yer vermesi.
Hakkın tesisi: İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması
Meşru Menfaat: Çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi.
Yukarıda sayılan durumlarda ilgili kişilerden ayrıca açık rıza alınmasına gerek bulunmamakta ve aydınlatma yükümlülüğünün yerine getirilmesi yeterli kabul edilmektedir. Yazımız ekinde kanuna uygun ve “Şirket”e özgü bir açık rıza metni paylaşılacağından ötürü hukuki detaylara bu yazıda yer verilmesine gerek görülmemiştir.
Özel nitelikli verileri açısından ise farklı bir değerlendirme yapılması gerekmektedir. Yukarıda sayılan özel nitelikli kişisel veriler, ilgili kişinin açık rızası dışında;
Özetle belirtilmek istenen; genel nitelikli kişisel veriler işlenirken veri sorumlusu tarafından, kişisel verilerin işlenme şartlarının varlığı halinde açık rıza alınmasına gerek olmayabilirken; özel nitelikli kişisel veriler, yukarıda sayılan istisnalar dışında yalnızca ilgilisinden açık rıza alınarak işlenebilecektir.
Örnek vermek gerekirse, “Şirket”’in reklam faaliyetleri için anlaştığı mankenlik ajansından fotoğraf çekimleri için gönderilen bir mankenin biyometrik fotoğrafları özel nitelikli kişisel veri sayılacağından ötürü, her ne kadar işlenme şartı oluşmuş olsa da bu kişiden biyometrik verisinin alınacağı belirtilmek suretiyle açık rıza alınması uygun olacaktır.
Dip Not: İlgili kişi tarafından verilen açık rıza, aynı kişi tarafından dilediği zaman geri alınabilen bir haktır.
Dip Not: Aydınlatma yükümlülüğü ve açık rıza alınması, ayrı ayrı yerine getirilmesi gereken işlemlerden olup, aynı belgede veya metinde birlikte alınmaları hukuken geçersizdir.
Dip Not: Bazı veri sorumlularının, yukarıda sayılan işlenme şartlarını dikkate almadan kendilerini garantiye aldıklarını sanarak, işlenme şartı olan durumlarda dahi ilgili kişilerden açık rıza almaları Kurum tarafından kötü niyetli bir işlem kabul edilerek bu şekilde davranan veri sorumluları cezai yaptırımlarla karşılaşmaktadır. Bu sebeple, yukarıda öngörülen işlenme şartlarının doğru bir şekilde değerlendirilerek açık rızanın, işlenme şartlarının var olmadığı durumlarda alınması tavsiye edilmektedir.
Dip Not: “Şirket” özelinde kişisel verilerin yurt dışına aktarımı söz konusu olmadığından ötürü, KVKK m.9 ve sair mevzuat ile düzenlenen bu konu değerlendirme dışı bırakılmıştır.
Dip Not: Kişisel verilere ilişkin açık rıza metni alınması gerekliliğinin doğduğu durumlarda, açık rıza metni, belirli bir konuya özgü olduğu belirtilerek amacı ve hangi verilere ilişkin olacağı net şekilde belirtilmek suretiyle alınmalı, muğlak ifadelerden kaçınılmalıdır.
ÇEREZLER VE ÇEREZ POLİTİKASI HAKKINDA
Çerezler, genel tanımıyla; kişisel verileri işlenecek ilgili kişiler tarafından web sayfası veya mobil uygulamalar gibi elektronik ortamlar ziyaret edildiğinde, ilgili kişilere ilişkin birtakım bilgilerin bu kişilere ait terminal cihazlarında depolanmasına izin veren formatlardır. “Şirket” tarafından bu tip elektronik ortamlarda kişisel verilerin işlenip işlenmeyeceği, hangi kişisel verilerin işleneceği, genel nitelikli mi özel nitelikli mi oldukları, hangi amaçla işlendikleri, işlenecek kişisel verilerin açık rıza alınarak mı yoksa kanunda belirtilen işlenme şartlarına dayanılarak mı işleneceği vs. gibi hususların tespit edilerek bu yönde hangi çerezlerin kullanılacağına karar verildikten sonra bu çerezlere ilişkin bir politika ve aydınlatma metni düzenlenmesi daha sağlıklı olacaktır.
Çerezler;
Kullanıcı Girdili Çerezler, Kimlik Doğrulama Çerezleri, Kullanıcı Merkezli Güvenlik Çerezleri, Multimedya Oynatıcısı Oturum Çerezleri, Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri, Sosyal Eklenti İçerik Paylaşımı Çerezleri, Açık Rıza Yönetim Platformu için Kullanılan Çerezler, Birinci Taraf Analitik Çerezler, İnternet Sitesinin Güvenliği için Kullanılan Çerezler, Sosyal Eklenti Takip Çerezleri ve Çevrim İçi Davranışsal Reklamcılık Çerezleri sayılabilecektir.
Hangi çerezlerin kullanılacağı, bu çerezlerin yurt içi/yurt dışı yerleşik şirketlerden hangileri vasıtasıyla kullanılacağı, çerez duvarlarının kullanılıp kullanılmayacağı gibi hususlar, “Şirket” ve IT ekibi tarafından kararlaştırılarak tarafımıza bilgi verilmesi durumunda, bu çerezlere ilişkin politika ve aydınlatmanın nasıl olabileceği, bu çerezlere ilişkin politika/aydınlatma metinlerinin paylaşılması ve hangi çerezler kullanıldığı takdirde açık rıza alınması gerekip gerekmediği hususlarında ayrıca görüş verilmesi gerekmektedir.
Dip Not: Yurt dışında yerleşik şirketler vasıtasıyla çerez kullanımının söz konusu olduğu durumlarda, ilgili kişilerin kişisel verilerinin yurt dışına aktarımı söz konusu olabileceğinden ötürü, yurt dışına aktarım ile ilgili olarak yukarıda değerlendirme dışı bırakıldığı belirtilen, KVKK m.9 kapsamındaki yükümlülüklerin yerine getirilmesi gerekmekte olup; çerez kullanımının yurt dışı kaynaklı “Şirket”ler vasıtasıyla yapılacağının “Şirket” tarafından netleşmesi durumunda bu konuya ilişkin ayrıca görüş verilecektir.
Dip Not: Örnek olarak; Çevrim İçi Reklamcılık Çerezlerinin kullanımında, kullanım sözleşmesi veya koşulları gibi belgeler içerisine iliştirme (bundled) yöntemiyle açık rıza alınması kanuna aykırı olacaktır. Amaç, sözleşme kapsamında verilen temel hizmetin yerine getirilmesiyle doğrudan ilgisi olmayan kişisel verilerin işlenmesinde sözleşmeye dayanılmasının, ilgili kişilerin yanıltılması kabul edileceğinden ötürü, çerez yoluyla kişisel veri işlenmesinde açık rıza istenmesinin, ilgili kişiye sözleşmenin kurulması veya ifası için dayatılmasının önüne geçmektir.
Dip Not: Siteye erişim için çerez duvarı konulması suretiyle çerezlere rıza verilmesi durumunda, bu hususun, hizmetin ön koşulu olarak ilgili kişiye dayatılması özgür iradeyi sakatlayabileceğinden ötürü alınan açık rıza kanuna aykırı olabilecek olup; “Şirket”’in, çerez duvarı dışında ilgili kişilere seçenekler sunması tavsiye edilmektedir.
Dip Not: İnternet sayfasına yahut mobil uygulamaya, üçüncü taraf çerezlerin yerleştirilmesi kararı verildiği durumlarda, “Şirket” ve çerez yerleştiren üçüncü şahıslarca, ilgili kişilerin bu çerezler hakkında açık bir şekilde bilgilendirilmesi ve açık rızalarının alınması gerekmektedir.
Dip Not: “Şirket” web sayfasında veya mobil uygulamada kullanılacak çerezlere ilişkin olarak ilgili kişilere yapılacak aydınlatma ve açık rıza alınması işleminin, iki katmanlı bir yönetim uygulanarak düzenlenmesi tavsiye edilmektedir.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA
KVKK m.7’de düzenlendiği üzere kanun koyucu, veri sorumlularına, kişisel verilerini işlediklerini ilgili kişilerin kişisel verilerini, işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili kişinin talebi üzerine silme, yok etme veya anonim hale getirme yükümlülüğü getirmiştir. “Şirket”, saklama ve imha politikası hazırlamakla yükümlü olmamakla birlikte, kanunun gerektirdiği kişisel verilere ilişkin diğer tüm yükümlülüklere uymak zorunda olduğundan bu yükümlülük ile de bağlı olacak;
İş bu yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silmek, yok etmek veya anonim hale getirmekle mükelleftir.
Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu işlemi gerçekleştirirken dikkat edilmesi gereken hususlar; silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi, erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi, ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi ve ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılmasıdır. Bu işlem yerine getirilirken; bulut sistemindeki verilerin silme komutu verilerek silinmesi, kağıt ortamında bulunan kişisel verilere karartma işlemi uygulanması, merkezi sunucuda yer alan dosyaların işletim sistemindeki silme komutu ile silinmesi, flash bellek gibi ortamlarda saklanan verilerin şifrelenmesi veya uygun yazılımlar kullanılarak silinmesi ve verilerin bulunduğu satırların veri tabanı komutları ile silinmesi gibi yöntemler kullanılabilecektir.
Kişisel verilerin yok edilmesi; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu işlem yerine getirilirken; de-manyetize etme, fiziksel yok etme, üzerine yazma, kağıt imha/kırpma makinaları kullanılması ve şifreleme anahtarlarının yok edilmesi gibi yöntemler kullanılabilecektir.
Kişisel verilerin anonim hale getirilmesi; kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. Bu işlem yerine getirilirken; değişkenleri/kayıtları çıkartma, bölgesel gizleme, genelleştirme, alt/üst sınır ve global kodlama, örnekleme, mikro birleştirme, veri değiş tokuşu, gürültü ekleme, K-anonimlik, L-çeşitlilik ve T-yakınlık gibi yöntemler kullanılabilecektir.
Bazı kişisel verilere ilişkin uygulanabilecek saklama süreleri, “Şirket”’in öngörülebilir işleme faaliyetleri dikkate alınarak örnek olması açısından aşağıda verilmiştir:
Dip Not: Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan “Şirket”, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirmek zorundadır.
Dip Not: “Şirket”’in kişisel veriler kapsamında yürütmek zorunda olduğu tüm işlemler gibi saklama ve imha süreçlerinde yer alacak ve periyodik imhayı, kararlaştırıldığı üzere gerçekleştirecek personelini belirlemesi tavsiye edilmektedir.
Dip Not: “Şirket”’in, her halukarda işleyeceği kişisel verileri, işlendiği amaçla sınırlı süre ve amaçla sakladıktan sonra ilk periyodik imha sürecinde bu işlemleri gerçekleştirilmesi ve kişisel verileri saklama süresini minimumda tutması tavsiye edilmektedir.
KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN İDARİ VE TEKNİK TEDBİRLER HAKKINDA
Kişisel verilerin işlenmesi ve saklanması, oldukça riskli bir süreç olup “Şirket” tarafından veri kaybı veya sızıntısı yaşanmaması adına gerekli idari ve teknik tedbirlerin alınması büyük bir önem arz etmektedir.
Kişisel verilerin güvenliğine ilişkin “Şirket” tarafından alınabilecek bazı idari ve teknik tedbirler aşağıda örneklenmiştir;
Teknik Tedbirler
Yetki Matrisi, Yetki Kontrol, Erişim Logları, Kullanıcı Hesap Yönetimi, Ağ Güvenliği, Uygulama Güvenliği, Şifreleme, Sızma Testi, Saldırı Tespit ve Önleme Sistemleri, Log Kayıtları, Veri Maskeleme, Veri Kaybı Önleme Yazılımları, Yedekleme, Güvenlik Duvarları, Güncel Anti-Virüs Sistemleri, Silme, Yok Etme veya Anonim Hale Getirme Anahtar Yönetimi
İdari Tedbirler
Kişisel Veri İşleme Envanteri Hazırlanması, Kurumsal Politikalar, Sözleşmeler, Gizlilik Taahhütnameleri, Kurum İçi Periyodik ve/veya Rastgele Denetimler, Risk Analizleri, İş Sözleşmesi, Disiplin Yönetmeliği, Kurumsal İletişim, Eğitim ve Farkındalık Faaliyetleri, Veri Sorumluları Sicil Bilgi Sistemine Bildirim
ELEKTRONİK TİCARET, HİZMET SAĞLAYICILAR VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA
E-Ticaret ve ETBİS
“Şirket”, bu bölümde, 6563 sayılı “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun”, “Ticari İletişim Ve Ticari Elektronik İletiler Hakkında Yönetmelik” ve “Elektronik Ticaret Aracı Hizmet Sağlayıcı Ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik” mevzuatları kapsamında birlikte değerlendirilecektir.
“Şirket”, elektronik ticaret faaliyetinde bulunan tüzel kişi olarak; “Hizmet Sağlayıcı” sıfatını haizdir.
“Şirket”, aracı hizmet sağlayıcılar vasıtasıyla e-ticaret yapmasının yanı sıra, kendisine ait elektronik ticaret ortamlarında da faaliyet göstereceğinden ötürü ETBİS (Elektronik Ticaret Bilgi Sistemi) ve alıcılara yönelik ticari elektronik ileti göndereceğinden ötürü İYS ( İleti Yönetim Sistemi) platformlarına kayıtla yükümlüdür.
Hizmet sağlayıcı “Şirket”, KEP (Kayıtlı Elektronik Posta) adresi bulundurmakla yükümlüdür.
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 12’nci maddesinin birinci fıkrasının (d) bendi çerçevesinde ETBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında idari para cezası verileceği hükme bağlanmıştır.
Sosyal medya siteleri üzerinden satış yapanların kayıt ve bildirim yükümlülüğü bulunmamaktadır. Ancak “Şirket”, kendi web sitesi, mobil uygulaması veya aracı hizmet sağlayıcılar (Trendyol, Hepsiburada vs.) vasıtasıyla da satış yapacağı için yükümlülükten istisna değildir.
“Şirket”, ticari faaliyetine başlamadan önce ETBİS’e kayıt yaptırmak zorunda olup, aylık herhangi bir bildirim yapma yükümlülüğü, söz konusu bilgilerde değişiklik olduğu takdirde otuz gün içinde bu değişikliğin bildirilmesi durumu hariç bulunmamaktadır.
ETBİS'e kayıt olmak için herhangi bir evrakın sunulması ya da ücret ödenmesi gerekmemekte olup, tüm işlemler www.eticaret.gov.tr adresi üzerinden elektronik ortamda gerçekleştirilmektedir.
Dip Not: Ayrıca “Şirket” için, asgari güvenlik ve hizmet kalitesi standartlarına uyduğunu tescilleyen ve müşteriler nezdinde güvenilirliğini arttıracak elektronik bir işaret olan Güven damgası alınması tavsiye edilmektedir.
Ticari Elektronik İleti ve İYS
“Şirket”, hedef alıcı kitlesinin önceden yazılı veya elektronik onayını almak kaydıyla ve alıcının istediği zaman gerekçe göstermeksizin onayını geri alma hakkı saklı kalmak kaydıyla (esnaf ve tacirler için onay aranmamaktadır) ticari elektronik ileti gönderebilecektir. Ancak müşteri/alıcının, kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini vermesi hâlinde, ayrıca onay alınmasına gerek bulunmamaktadır.
Ticari elektronik iletinin içeriği, alıcıdan alınan onaya uygun olmalıdır. Örneğin; sadece kendi ürünlerinin tanıtımı veya pazarlaması ile ilgili indirimlerden haberdar edilmek amacıyla onay alınan alıcıya, başka bir firma ile yapılan ortaklık neticesinde o firmanın ürünlerinin tanıtılması yönünde ileti gönderilmesi kanuna aykırı olacaktır.
“Şirket”, alıcı/müşteri hedef kitlesine ticari elektronik ileti göndermek istediği takdirde öncelikle kendisi veya İYS sistemi aracılığı ile onay almalı; eğer onay kendisi tarafından alınıyorsa bu onay, üç iş günü içinde İYS sisteminde kaydedilmeli ve bu onay ile birlikte sisteme kaydetme işleminin akabinde ticari elektronik ileti göndermelidir. İYS sistemine kaydedilmeyen onaylar geçersiz sayılacaktır. Özetle, İYS sistemi üzerinden onay alınmadan veya yahut alınan onay İYS sistemine 3 üş günü içerisinde kaydedilmediği takdirde ticari elektronik ileti gönderilmesi mümkün değildir. “Şirket”’in iş yükünün azalması ve ispat kolaylığı açısından İYS sistemi üzerinden onay alınması tavsiye edilmektedir.
Şirket tarafından alıcı/müşterinin elektronik iletişim adresine ticari elektronik ileti gönderilmek suretiyle onay alınması kanuna aykırı olup önce onay/ret seçeneğinin sunularak bu iletinin gönderilmesi, kabul halinde ticari elektronik ileti gönderilmesi gerekmektedir.
“Şirket”, tacir sıfatını haiz olduğundan ötürü göndereceği ticari elektronik iletinin başlığında veya içeriğinde Mersis numarası ve ticaret unvanının, tanınmasını sağlayan bilgiler ile haberleşmenin türüne bağlı olarak telefon numarası, faks numarası, kısa mesaj numarası ve elektronik posta adresi gibi erişilebilir durumdaki iletişim bilgilerinin yer alması gerekmektedir. “Şirket”, varsa isteğe bağlı olarak marka veya işletme adı gibi bilgilerine de yer verebilecektir.
Şirket, ticari elektronik ileti gönderebilmek amacıyla gönderdiği onay talebinde, alıcı/müşterinin, aynı şartlarla ve kolaylıkta ret bildirimini yapabilmesini de sağlamalıdır. Ret bildirimini mütekip üç iş günü içerisinde alıcı/müşteriye ticari elektronik ileti gönderilmesi durdurulmalıdır.
Şirket, aldığı onaya ilişkin kayıtları, onayın geçerliliğinin sona erdiği tarihten, ticari elektronik iletilere ilişkin diğer kayıtları ise kayıt tarihinden itibaren üç yıl süreyle saklamakla mükelleftir.
Hizmet Sağlayıcı Şirket’in Diğer Yükümlülükleri
“Şirket”, kendine ait elektronik ticaret ortamının ana sayfasında doğrudan ulaşılabilecek şekilde “iletişim” başlığı altında aşağıdaki bilgileri eksiksiz olarak bulundurmak durumundadır;
- Ticaret unvanı, MERSİS numarası ve merkez adresi;
- KEP adresi, elektronik posta adresi, telefon numarası ve varsa işletme adı ile tescilli markası.
- Mensubu olduğu meslek odası, meslekle ilgili davranış kuralları ve bunlara elektronik olarak ne şekilde ulaşılabileceğine ilişkin bilgiler.
Elektronik ticaret pazar yerinde (Trendyol, Hepsiburada vs.) satış yapacak “Şirket” kendine tahsis edilen alanda aşağıdaki bilgileri eksiksiz olarak bulundurmak durumundadır;
- Ticaret unvanı, işletme adı veya tescilli marka bilgilerinden en az biri.
- KEP adresi.
- MERSİS numarası.
Şirket, elektronik ticaret ortamının ana sayfasında doğrudan ulaşılabilecek şekilde “İşlem Rehberi” başlığı altında aşağıdaki bilgileri güncel olarak bulundurmak durumundadır;
- Sözleşmenin kurulabilmesi için mal ve hizmetin seçilmesi, teslimat ve ödeme bilgilerinin girilmesi ile siparişin onaylanması gibi gerekli aşamaları gösterir şekilde teknik adımlar.
-Sözleşmenin elektronik ortamda saklanıp saklanmayacağı ile bu sözleşmeye alıcının daha sonra aynı ortamda erişiminin mümkün olup olmayacağı ve bu erişimin ne kadar süreyle sağlanacağına ilişkin bilgi.
- Alıcının siparişi vermeden önce veri girişindeki hatalarını belirleyebilmesi ve düzeltebilmesi amacıyla özet sipariş formu ile geri al gibi teknik araçların sunulacağına ilişkin bilgi.
- Alıcıyla arasında uyuşmazlık çıkması halinde varsa alternatif uyuşmazlık çözüm mekanizmaları.
“Şirket", kendine ait elektronik ticaret ortamında;
- İkinci el malların ayrı kategoride satışa sunulmasını,
- Siparişin onaylanması aşamasında ve ödeme bilgilerinin girilmesinden önce, vergi ve teslimat masrafları da dâhil olmak üzere alıcının ödeyeceği toplam bedelin ve sözleşmenin diğer şartlarının alıcı tarafından açıkça görülmesini,
- Mal veya hizmetin toplam bedeli, fiyatın hesaplanma usulü ve teslimat masrafları önceden belirlenemiyorsa buna ilişkin ek masrafların ödenebileceği bilgisini,
- Alıcının siparişi onaylamasından önce veri girişindeki hatalarını belirleyebilmesi ve düzeltebilmesi amacıyla özet sipariş formu ile geri al gibi teknik araçları,
- Sözleşme hükümlerinin, alıcı tarafından yeniden görülebilmesi, basılı bir şekilde kullanılabilmesi ve saklanabilmesi amacıyla söz konusu hususların alıcıya fiziki veya elektronik ortamda temin edilmesini sağlamakla yükümlüdür.
“Şirket", kendine ait elektronik ticaret ortamında; siparişi aldığını, işlemin yapıldığı elektronik ticaret ortamı üzerinden ve ayrıca elektronik posta, kısa mesaj veya telefon araması gibi araçlardan en az biriyle gecikmeksizin alıcıya bildirir.
TÜKETİCİ KANUNU KAPSAMINDA MESAFELİ SATIŞ SÖZLEŞMESİ
6502 sayılı Tüketicinin Korunması Hakkındaki Kanunu (TKHK) 48. maddenin yer verdiği mesafeli sözleşmeye ilişkin tanım ise şöyledir: “Mesafeli sözleşme, satıcı veya sağlayıcı ile tüketicinin eş zamanlı fiziksel varlığı olmaksızın, mal veya hizmetlerin uzaktan pazarlanmasına yönelik olarak oluşturulmuş bir sistem çerçevesinde, taraflar arasında sözleşmenin kurulduğu ana kadar ve kurulduğu an da dâhil olmak üzere uzaktan iletişim araçlarının kullanılması suretiyle kurulan sözleşmelerdir”.
Mesafeli sözleşmelerde tüketicinin korunmasını sağlamak amacıyla bilgilendirme yükümlülüğü öngörülmüştür. Bu sözleşmelerde taraflar karşı karşıya gelmemekte, müzakere sırasında da taraflar fiziksel olarak aynı ortamda bulunmamaktadır. Bu durumun olumsuz etkilerinden tüketiciyi korumak amacıyla bilgilendirme yükümlülüğü getirilmiştir. Bu yükümlülük KVKK kapsamındaki aydınlatma yükümlülüğünden farklıdır.
“Şirket”, gerçekleştireceği faaliyet gereği elektronik ortamda alıcı/müşterilerle mesafeli satış sözleşmesi kuracaktır. Bu kapsamda “Şirket”’in de mevzuat gereği bilgilendirme yükümlülüğü bulunmakla yazımız ekinde bilgilendirme metni paylaşılmıştır. Bilgilendirme metninde tüketici sıfatını haiz alıcı/müşterinin;
Sözleşme konusu mal veya hizmetin temel nitelikleri, Satıcı, sağlayıcı veya aracı hizmet sağlayıcının adı, unvanı, açık adresi, telefon numarası, Mal veya hizmetin tüm vergiler dâhil toplam fiyatı, Varsa tüm nakliye, teslim ve benzeri ek masraflar, Cayma hakkının kullanımı, Hak arama yollarının kullanımı gibi konularda önceden bilgilendirilmesi gerekmektedir. Bu yükümlülüğün yerine getirilmemesi;
Tüketicinin, satıcının ek masraflara ilişkin karşılamakla yükümlü olmaması, tüketicinin, cayma hakkını kullanmak için on dört günlük süre değil 1 yıllık süre ile bağlı olması, tüketicinin siparişi ile bağlı olmaması ve sözleşmenin kurulmaması gibi sonuçlara yol açabilecektir.
Örneğin; Satıcının, tüketicinin ön bilgileri edindiğini kullanılan (telefon, internet gibi) uzaktan iletişim aracına uygun olarak teyit etmemesi, sözleşmenin kurulmaması sonucuna yol açacaktır.
Mesafeli satış sözleşmelerinde, İnternet veya telefon üzerinden yapılan alışverişlerde taahhüt edilen bir süre yoksa en geç otuz gün içerisinde satıcı malı göndermek zorundadır. Eğer bu süre içerisinde mal gönderilmez ise, tüketici sözleşmeyi feshederek on dört gün içerisinde yasal faiziyle birlikte tüm ödemelerini geri alma hakkına sahiptir.
“Şirket”’in, mesafeli satış sözleşmesi ve ön bilgilendirme metnini elektronik ortamda paylaşması tavsiye edilmektedir.
Saygılarımızla
KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
GENEL AYDINLATMA METNİ
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 10 Mart 2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) ve ilgili mevzuat kapsamında hazırlanan iş bu Kişisel Verilerin Korunması Kanunu Genel Aydınlatma Metni (“Aydınlatma Metni”), İstanbul Ticaret Sicil Müdürlüğü’nde 496866-5 sicil numarası ile kayıtlı, Namık Kemal Mah. Tonguç Baba Cad. Savaş Triko N: 43/7 Esenyurt/İstanbul adresinde mukim CLM TEKSTİL GİYİM SANAYİ VE TİCARET LİMİTED ŞİRKETİ ( “Veri Sorumlusu” veya “Şirket” ) tarafından, Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesinde belirtilen; Veri Sorumlusunun ve varsa temsilcisinin kimliği, Kişisel Verilerinizin hangi amaçlarla işleneceği, işlenen kişisel verilerinizin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanun’un 11. maddesinde sayılan haklarınız ile ilgili olarak detaylı şekilde sizi bilgilendirmek amacıyla hazırlanmıştır. İş bu Aydınlatma Metninde, Kişisel Verileriniz için yapılan açıklamalar, Özel Nitelikli Kişisel Verilerinizi de kapsamaktadır.
Sayın Müşterilerimiz, Potansiyel Müşterilerimiz, Çalışan Adaylarımız, Çalışanlarımız, İş Ortaklarımız, Tedarikçilerimiz, Hissedarlarımız, Yetkililerimiz ve fiziki/elektronik ortamdaki Ziyaretçilerimiz ile işbirliği içerisinde bulunduğumuz kurumların çalışanları, hissedarları, yetkilileri ve üçüncü şahıslar başta olmak üzere Kişisel Verileri Şirketimiz tarafından işlenen kişiler ve Şirketimizin herhangi bir şekilde ilişki içerisinde olduğu tüm gerçek kişiler; Kişisel Verilerinizin dürüstlük kuralları çerçevesinde hukuka ve kanunlara uygun olarak en doğru ve hassas şekilde korunması, işlenmesi, saklanması, Şirket açısından büyük bir önem arz etmektedir.
Kişisel Verileriniz, Şirket tarafından faaliyetlerinin yürütülebilmesi, sözleşmesel ve hukuki yükümlülüklerinin yerine getirilmesi amacıyla, aşağıda detaylıca açıklandığı üzere, Şirket ile bulunulan ticari/ticari olmayan ve/veya akdi olan/akdi olmayan ilişkiler kapsamında, açıklanan amaçlar ve şartlar çerçevesinde, Kişisel Veriler, 6698 sayılı Kanun’un 5 ve 6. maddeleri uyarınca toplanabilecek ve işlenebilecektir.
Kişisel Verileriniz, siz saygıdeğer Müşterilerimiz/Potansiyel Müşterilerimizin, Çalışan Adaylarımızın, Çalışanlarımızın, İş Ortaklarımız / Tedarikçilerimizin, Hissedarlarımız / Yetkililerimizin, Üyelerimizin ve fiziki/elektronik ortamdaki Ziyaretçilerimiz ile işbirliği içerisinde bulunduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü şahıslar başta olmak üzere Kişisel Verileri Şirketimiz tarafından işlenen kişiler ve Şirketimizin herhangi bir şekilde ilişki içerisinde olduğu tüm gerçek kişilerin, çeşitli vasıtalarla paylaşmış olduğu bilgiler dahilinde toplanmakta ve işlenmektedir.
Fiziksel ortamda Kişisel Verileriniz, Şirket ile herhangi bir sebeple imzalanan sözleşmeler, Şirket merkezine veya Şirket ile ilintili diğer iş yerlerine herhangi bir sebeple yapmış olduğunuz ziyaretler esnasında veya bu mekanlarda bulunmadan da olsa Şirket’e fiziken göndermek niyetiyle herhangi bir sebeple tarafınızca doldurulan veya doldurulup çeşitli vasıtalarla fiziken gönderilen çeşitli formlar, iş başvurusu amacıyla Şirket ile paylaştığınız bilgiler (CV, form, anket, test vb. bilgiler), Şirket ile bulunulan akdi/akdi olmayan ilişkiler kapsamında ilişkinin yürütülebilmesi veya sonuçlandırılabilmesi için Şirket ile paylaştığınız bilgiler, sizlerle fiziki ortamda gerçekleştirilen yüz yüze görüşmeler ve benzeri yollarla toplanabilecek ve işlenebilecektir.
Elektronik ortamda Kişisel Verileriniz, Şirket merkezine veya Şirket ile ilintili diğer iş yerlerine herhangi bir sebeple yapmış olduğunuz ziyaretler esnasında güvenlik kameralarına yansıyan görüntüleriniz, iş başvurusu, satın alma, ziyaret etme, sipariş verme ve benzeri herhangi bir sebeple, web sitesi, mobil uygulama, telefon veya e-posta da dahil diğer elektronik platformlar aracılığıyla Şirket ile paylaştığınız bilgiler (CV, form, anket, kimlik bilgisi, iletişim bilgisi, ödeme bilgisi, finansal bilgiler vb. bilgiler), talepler veya şikayetler, Şirket ile bulunulan akdi/akdi olmayan ilişkiler kapsamında ilişkinin yürütülebilmesi veya sonuçlandırılabilmesi için, web sitesi, telefon veya e-posta da dahil diğer elektronik platformlar aracılığıyla tarafınızca Şirket ile paylaşılan bilgiler, sizlerle elektronik ortamda yapılan görüşmeler ve benzeri yollarla toplanabilecek ve işlenebilecektir.
Bu kapsamda kişisel verileriniz, gerekli idari ve teknik tüm tedbirler alınmak suretiyle, tarafınızca sağlanan bilgi ve belgelerle sınırlı ve kanuni saklama sürelerine uygun olarak işlenmekte, Şirket’in kendi bünyesinde erişim izni tanıdığı ve önceden belirlediği yöneticilerinin, çalışanlarının, şubelerinin, kişisel verileri işlemek için profesyonel hizmet alınan üçüncü kişilerin ve kanunlara uygun şekilde belirlenen diğer kişilerin erişimine açılmaktadır.
Bu doğrultuda toplanacak ve işlenecek veya işlenmekte olan Kişisel Verileriniz, aşağıdaki tabloda belirtilmiştir:
KİŞİSEL VERİ
KATEGORİZASYONU
KATEGORİZASYON AÇIKLAMASI
KİMLİK BİLGİSİ
Ad-soyad, T.C. kimlik numarası, doğum yeri, doğum tarihi, cinsiyet, imza, vergi numarası, SGK numarası vb. bilgiler
İLETİŞİM BİLGİSİ
Telefon numarası, adres, e-posta, faks numarası vb. bilgiler
MÜŞTERİ İŞLEM
VERİSİ
Şirket web sitesi veya mağazaları aracılığıyla yapılan ürün veya hizmet alımına ve kullanımına ilişkin kayıtlar, müşteri numarası, sözleşme numarası, işlem tarihi, hesap numarası vb. bilgiler
FİNANSAL BİLGİ
Şirket’in veri sahibi ile kurmuş olduğu ilişkinin türüne ve amacına yönelik oluşturulan her türlü finansal bilgi, belge ve kayıtlara işlenen veriler, banka hesap numarası, IBAN numarası, gelir bilgisi, alacak-borç bilgisi vb. bilgiler
HUKUKİ İŞLEM
BİLGİSİ
Hukuki süreçlerin tespiti, takibi, ifası ve Şirket’in kanuni yükümlülükleri ile ilgili olarak işlenen tüm veriler
ÖZLÜK BİLGİSİ
Çalışan ile akdedilen hizmet akdi kapsamında ve çalışan adayları ile ilgili olmak üzere kanuni açıdan düzenlenmesi gereken ve özlük dosyasına temel teşkil edebilecek tüm bilgiler
EĞİTİM VERİSİ
Çalışan ve çalışan adaylarının, işe başvuru aşamasında form veya sair vasıtalarla paylaştıkları bilgiler, özgeçmişlerinde yer alan veya sürecin gereği olarak Şirketle paylaşılan diploma, transkript, sertifika vb. veriler
MESLEKİ DENEYİM
Çalışan adaylarının, işe başvuru aşamasında form veya sair vasıtalarla paylaştıkları bilgiler, özgeçmişlerinde yer alan, meslek hayatındaki tecrübelerini ve referanslarını gösteren veriler
İŞLEM GÜVENLİĞİ
IP adresi, erişim logları, verilen hizmetin başlama ve bitiş zamanı, faydalanılan hizmetin nevi, aktarılan veri miktarı vb. bilgiler
ÖZEL NİTELİKLİ
Biyometrik veriler
TALEP/ŞİKAYET
YÖNETİM BİLGİSİ
Veri Sorumlusu sıfatıyla Şirket’e yöneltilen her türlü talep, şikayet, görüş ve öneriler
Kişisel Verileriniz, aşağıda belirtilen amaçlar doğrultusunda Kanun ve ilgili mevzuata uygun olmak kaydıyla Şirket tarafından işlenebilecektir:
Yukarıda belirtilen amaçlar, sınırlı sayıda sayılmamış olup; ihtiyaç duyulduğu ve işin gereği olduğu hallerde Kanun ve ilgili mevzuata uygun olmak kaydıyla, Şirket’in, Şirket tarafından farklı amaçlar ekleme, çıkarma ve güncelleme yapma hakkı saklıdır.
Kişisel Verileriniz, Şirket’in, ticari hedef ve stratejilerinin planlanması, yürütülmesi, geliştirilmesi ve sürecin yönetiminin sağlanması ile takibinin yapılması, Şirket içi çalışanlar arasında motivasyon ve verimliliğin arttırılması, müşteri memnuniyetinin sağlanması ve hedef kitlenin genişletilmesi, Kişisel Verilerinizin profesyonel şekilde işlenmesini sağlamak, tarafınızca yöneltilen talep, şikayet ve sorulara karşı doğru bir şekilde aksiyon alabilmek, gerektiği takdirde hukuki, mali ve finansal hizmetlerden yararlanabilmek ve diğer amaçlarla ve ancak bunlarla sınırlı olmamak üzere Kanun ve ilgili mevzuat kapsamında yurt içi ve yurt dışındaki kişilere aktarılabilecektir.
Kişisel Verileriniz, Gizlilik Politikası’nda detaylı bir şekilde belirtilen, Kanun’un 5 ve 6. maddelerinde ve ilgili mevzuatta konuya ilişkin öngörülen durumlar haricinde açık rızanız olmaksızın yurt içi ve yurt dışındaki Üçüncü Kişilere aktarılamayacaktır.
Kişisel Verileriniz, periyodik olarak güvenlik amacıyla değiştirilen özel şifre ve kullanıcı adıyla yetkili kişiler tarafından erişilebilen güvenli ortamlarda, sınırlı sayıda olmamak kaydıyla; otoriteler, bakanlıklar, yargı mercileri gibi kanunen yetkili kamu ve özel kurum ve kuruluşlar, tedarikçi/iş ortakları, bankalar, finans kuruluşları, uzmanlık gerektiren hizmetler alınan firmalar, avukatlar, denetçiler, danışmanlar, müşavirler, tarafınızca yetki verilmiş vekil, vasi ve temsilciler, sigorta şirketleri, iş yeri hekimi, iş sağlığı ve güvenliği şirketleri, adli ve idari makamlar, Şirket’in bünyesinde bulunduğu Şirketler Grubu (Holding) gibi yurt içi ve yurt dışındaki Üçüncü Kişilere, Kanun’un 8 ve 9. maddeleri, Şirket’in Gizlilik Politikası ile ilgili mevzuata uygun olmak kaydıyla aktarılabilecek ve erişimlerine açılabilecektir.
Kişisel Verilerinize yönelik olarak Kanun’un 11. maddesi ve ilgili mevzuat uyarınca öngörülen haklarınız aşağıda belirtilmiştir:
Söz konusu haklarınızı kullanabilmenizin istisnaları Kanun ve sair mevzuatta detaylı şekilde belirtilmiştir.
Yukarıda belirtilen, Kanun ve ilgili mevzuat tarafından sizlere tanınmış haklarınızı ve bu haklarınıza yönelik taleplerinizi; Türkçe dilinde ve yazılı olmak kaydıyla ıslak imzalı olarak Şirket adresine bizzat teslim etmek, yahut noter kanalı veya iadeli taahhütlü mektup göndermek suretiyle veya kayıtlı elektronik posta (“KEP”) adresi, güvenli elektronik imza, mobil imza ya da tarafınızca Şirket’e daha önce bildirilen ve Şirket’in sisteminde kayıtlı bulunan elektronik posta adresi vasıtasıyla, Şirket’in kayıtlı elektronik posta adresine elektronik ortamda iletebilirsiniz.
Ayrıca, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” kapsamında Şirket’e yapacağınız başvurularda bulunması zorunlu bilgiler aşağıda belirtilmiştir:
- Ad, soyadı ve başvuru yazılı ise imza,
- Türkiye Cumhuriyeti vatandaşları için T.C kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu,
- Konuya ilişkin bilgi ve belgeler.
Şirket, tarafınızca iletilen talepleri, talebin niteliğine göre en kısa sürede ve azami 30 (otuz) gün içerisinde sonuçlandıracak ve cevap verecektir. Tarafınız adına Üçüncü Kişilerin başvuru talebinde bulunabilmesi için, tarafınızca başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletnamenin bulunması gerekmektedir.
Başvurularınızın işleme alınması ve sonuçlandırılmasın aşamasında esas kural; Şirket tarafından ücret alınmaması olsa da; Kurul tarafından ücret tarifesi öngörülmesi durumunda, Şirket, iş bu tarife üzerinden ücretlendirme yapabilecektir. Başvurunun, Şirket’in hatasından kaynaklanması durumunda alınan ücret tarafınıza iade edilecektir.
Şirket, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek adına başvuruda bulunan kişiden bilgi talep edebilecek, başvuruda belirtilen hususları netleştirmek adına, İlgili Kişiye başvurusu ile ilgili soru yöneltebilecektir.
İş bu aydınlatma metni, Şirket ile imzalanan her türlü sözleşmenin ve hizmet alımına yönelik taleplerin eki ve ayrılmaz bir parçasıdır.
Saygılarımızla,
Aydınlatma metnini okudum ve anladım.
CLM TEKSTİL GİYİM SANAYİ VE TİCARET LİMİTED ŞİRKETİ (VERİ SORUMLUSU)
ADRES: NAMIK KEMAL MAH. TONGUÇ BABA CAD. SAVAŞ TRİKO N: 43/7 ESENYURT/İSTANBUL
TELEFON:
MERSİS: 0211-1468-3900-0001
WEB ADRESİ: