CLM TEKSTİL GİYİM SANAYİ VE TİCARET LİMİTED ŞİRKETİ

 

KİŞİSEL VERİLERİN KORUNMASI, ELEKTRONİK TİCARET, TÜKETİCİ HAKLARI VE MESAFELİ SATIŞ SÖZLEŞMESİNE İLİŞKİN MEVZUATLAR KAPSAMINDA

HUKUKİ DEĞERLENDİRME

 

 

  TANIMLAR   

 Metnin içeriğinde kanun ve sair mevzuatlar kapsamında belirtmiş olduğumuz bazı terimlerin ve hukuki açıklamaların daha iyi anlaşılması için aşağıdaki tanımlamaların yapılması zaruri görülmüştür.   

 Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,   

 Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,   

 İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,   

 Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,   

 Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,   

 Kurul: Kişisel Verileri Koruma Kurulunu,   

 Kurum: Kişisel Verileri Koruma Kurumunu,   

 Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,   

 Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,   

 Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi   

 Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,   

 Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,   

 Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,   

Ticari elektronik ileti: Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri, ç) Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişileri,

Elektronik ticaret hizmet sağlayıcı: Elektronik ticaret pazar yerinde ya da kendine ait elektronik ticaret ortamında mal veya hizmetlerinin teminine yönelik sözleşme yapan ya da sipariş alan hizmet sağlayıcıyı

Elektronik ticaret ortamı: Elektronik ticaret faaliyetinde bulunulan internet sitesi, mobil site veya mobil uygulama gibi platformları, 

Elektronik ticaret pazar yeri: Elektronik ticaret aracı hizmet sağlayıcının aracılık hizmetlerini sunduğu elektronik ticaret ortamını

Ticari elektronik ileti yönetim sistemi (İYS): Ticari elektronik ileti onayı alınmasına, reddetme hakkının kullanılmasına ve şikâyet süreçlerinin yönetilmesine imkân tanıyan sistemi ifade eder.

 

GİRİŞ

İş bu yazıda, Clm Tekstil Giyim Sanayi ve Ticaret Limited Şirketi’nin (bundan böyle ““Şirket”” olarak ifade edilecektir) 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat ile 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve sair mevzuat kapsamındaki hak ve yükümlülükleri değerlendirilecek olup; yapılan değerlendirme ve “Şirket”e verilen görüş, somut olayın özelliklerine göre “Şirket”in yapısı ve faaliyetleri ile sınırlı tutulmuştur. 

18.12.2023 tarihinde, 496866-5 sicil ve 0211-1468-3900-0001 mersis numarası ile İstanbul Ticaret Odası’na  kayıtlı bulunan “Şirket”, 14.14.01 nace koduyla, tekstil ve konfeksiyon alanında ürettiği veya satın aldığı ürünlerin ticaret/e-ticaretini, bizzat hizmet sağlayıcı olarak veya aracı hizmet sağlayıcılar vasıtasıyla yapmak amacıyla kurulmuş olup; hali hazırda sigortalı çalışanı bulunmamaktadır. “Şirket”in ticaretini yönlendireceği hedef kitlesi, şu an itibariyle gerçek kişi perakende müşterileri olarak belirtilmiş; faaliyetine yönelik olarak hayatın olağan akışı içerisinde farklı tüzel/gerçek kişiler ile çeşitli hususlarda akitler yapabileceği de göz önüne alınmıştır.

Dip Not: Kişisel Veriler, sadece gerçek kişilere ait verileri kapsamakta olup; Tüzel Kişiler’e ait veriler, KVKK kapsamında değerlendirilmemekte ve kişisel veri niteliğini haiz değildir.

KİŞİSEL VERİLER HAKKINDA GENEL BİLGİ

Kişisel veriler, genel nitelikli kişisel veriler ve özel nitelikli kişisel veriler olmak üzere iki farklı kategoriye ayrılmıştır. Özel nitelikli kişisel veriler KVKK m.6’da sayılmış olup; ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirtilmiştir. 

Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikteki veriler olduğundan ötürü kanun koyucu bu niteliği haiz verileri, diğer kişisel verilere göre çok daha sıkı şekilde korunmaya değer görmekle farklı düzenlemeler getirmiştir. Aşağıda “Açık Rıza” bölümünde bu farklılıklara değinilecektir.

VERBİS KAYIT YÜKÜMLÜLÜĞÜ HAKKINDA

Verbis (Veri Sorumluları Sicil Bilgi Sistemi)’ne kayıtla yükümlü tutulan bazı veri sorumluları;

  • Yurt dışında yerleşik bulunan gerçek ve tüzel kişiler
  • Yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı da 100 milyon TL’den fazla olan  (Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması Hakkında Kişisel Verileri Koruma Kurulunun 06/07/2023 Tarihli ve 2023/1154 Sayılı Kararı ile güncellenmiş ) ve faaliyet alanı özel nitelikli kişisel verilerin işlenmesi olmayan gerçek ve tüzel kişi veri sorumluları 
  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı da 100 milyon TL’den az olan  (Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması Hakkında Kişisel Verileri Koruma Kurulunun 06/07/2023 Tarihli ve 2023/1154 Sayılı Kararı ile güncellenmiş) fakat faaliyet alanı özel nitelikli kişisel verilerin işlenmesi olan gerçek ve tüzel kişi veri sorumluları   

 

“Şirket”, hali hazırda yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’nin altında olup, faaliyet alanı özel kişisel veri işleme olmayan tüzel kişiler kapsamında olduğundan ötürü Verbis’e kayıttan istisna tutulmuştur. Bu bağlamda, Verbis ve Verbis’e kayıt ile ilgili hususlar, değerlendirme kapsamında tutulmuş olup; istisna halinin sona ermesi durumunda ayrı bir değerlendirmeye tabi tutulacaktır. “Şirket”’in, daha sonraki bir tarihte kayıt yükümlüsü haline gelmesi durumunda, kayıt yükümlüsü olduğu tarihten itibaren 30 gün içerisinde Verbis’e kayıt olma zorunluluğu bulunmaktadır.

 

Dip Not: “Şirket”’in Verbis’e kayıt yükümlülüğünden istisna tutulması, 6698 sayılı KVKK ve sair mevzuat içerisinde belirtilen yükümlülüklerinden de istisna tutulduğu anlamına gelmemektedir.

 

KVKK KAPSAMINDA DİĞER BAZI YÜKÜMLÜLÜKLER HAKKINDA

 

  • Saklama ve İmha Politikası/Gizlilik Politikası Hazırlanması
  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesi
  • Açık Rıza Alınması Yükümlülüğü

 

Yukarıda belirtilen yükümlülükler içerisinde “Şirket”’i hali hazırda ilgilendirenler; “Aydınlatma Yükümlülüğünün Yerine Getirilmesi” ve “Açık Rıza Alınması Yükümlülüğü” olup; diğer yükümlülükler, değerlendirme dışı bırakılmıştır. Nitekim; “Veri Sorumluları Sicili Hakkında Yönetmelik” m. 5 ve “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” m.5 uyarınca, politika ve envanter hazırlanması yükümlülüğü, sicile kayıtla yükümlü veri sorumlularına getirilmiştir. 

 

AYDINLATMA YÜKÜMLÜLÜĞÜ VE AÇIK RIZA ALINMASI HAKKINDA

 

Aydınlatma Yükümlülüğü

 

6698 sayılı KVKK m.10 kapsamında veri sorumlularına getirilen “Aydınlatma Yükümlülüğü”, veri sorumlularının, kişisel verilerini işlediği ilgili kişilere karşı ifa etmesi gereken bir bilgilendirme olarak kanun koyucu tarafından konulmuştur. Bu yükümlülüğün yerine getirilmesi; “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” çerçevesinde gerçekleştirilmelidir.

 

Aydınlatma yükümlülüğü, kişisel verisi işlenecek kişinin talebine bağlı bir yükümlülük değildir. İlgili kişinin açık rızasının ya da kanunla düzenlenen diğer kişisel veri işleme şartlarının bulunması durumunda veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmelidir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

 

Aydınlatma yükümlülüğünün yerine getirilmesi, kişisel verilerin, bizzat kişisel verisi işlenecek gerçek kişiden elde edilmesi veya elde edilmemesi haline göre farklılık gösterecektir. Aydınlatma yükümlülüğünün, bizzat kişisel verisi işlenecek gerçek kişiden elde edilmesi durumunda KVKK m.10 kapsamında asgari şartları taşıması gerekmekte olup; yazımız ekinde kanuna uygun ve “Şirket”e özgü bir aydınlatma metni paylaşılacağından ötürü hukuki detaylara bu yazıda yer verilmesine gerek görülmemiştir.

 

Aydınlatma yükümlülüğünün, bizzat kişisel verisi işlenecek gerçek kişiden elde edilmemesi durumunda ise bu yükümlülüğün; 

- Kişisel verinin elde edilmesinden itibaren makul bir süre içerisinde,

- Kişisel verinin ilgili kişiyle iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,

- Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada yerine getirilmesi gerekmektedir.

Örnekleme: “Şirket”’in, fiziki veya elektronik ortamda bizzat hizmet sağlayıcı olarak veri sorumlusu sıfatını haiz şekilde gerçek kişi müşterilerinden kişisel veri toplayarak işlediği, örneğin; kendi web sitesi veya mobil uygulaması vasıtasıyla siteye veya uygulamaya giren müşterilerinin bazı kişisel verilerini alarak kişisel verileri topladığı anda bu verileri işlemeden önce ilgili kişilere fiziki veya elektronik şekilde aydınlatma yükümlülüğünü yerine getirerek bu bilgilendirme metnini okuyup anladığına dair onay alması gerekmektedir. 

“Şirket”’in, ilgili kişisel verileri, bizzat ilgili kişilerden değil de dolaylı yollardan elde ederek işlemesi halinde ise ilgili kişi ile iletişim kurularak derhal yapılması önem arz etmektedir. “Şirket”’in, daha önce kişisel verilerini işlediği bir gerçek kişi müşterisinin kişisel verilerini başka bir kişiye aktaracağı durumlarda veya bu müşterisine ait kişisel verilerin üçüncü kişiler vasıtasıyla elde edilmesi durumunda bu hüküm geçerli olacaktır. 

“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” m. 5. uyarınca veri sorumlusu ya da yetkilendirdiği kişi tarafından aydınlatma yükümlülüğü; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılmak suretiyle yerine getirilebilir.  Veri sorumlusu veya yetkilendirdiği kişi, bu yöntemlerden hangisini kullanacağına kendisi karar vermelidir. Bu yöntemlere örnek olarak; veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü (yüz yüze yapılan, şifahi aydınlatma), yazılı (web sayfasında yer alan metin, bina girişinde duvara asılı levha, bir kameranın altında duvara monte edilmiş bilgi panosu ), ses kaydı (ilgili kişiye ses kaydı dinletilmesi ), çağrı merkezi (operatörle görüşmeden önce bir ses dosyası dinletilmesi) gibi fiziksel veya elektronik ortam (web sayfasında yer alan bir belgede katmanlı aydınlatma yapılması, açılan pencere [pop-up pencere] çıkması,) kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi verilebilir. 

Açık Rıza

 

T.C. Anayasası m.20/3, KVKK m.5, m.6, m.8 ve m.9 uyarınca kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenemeyeceği ve aktarılamayacağı düzenlenmiştir. Açık rıza alınırken dikkat edilmesi gereken hususlar; belirli bir konuya ilişkin olması, bilgilendirmeye dayalı olması ve özgür iradeyle açıklanması gerekliliğidir. Bu şartları taşımayan bir açık rıza metni kanunlara uygun olmadığından hukuken geçersiz kabul edilecektir. Esas kural açık rıza alınması olup; kanun koyucu bu durumun istisnaları düzenleyerek her şartta açık rıza alınmasına gerek bulunmayan durumları belirtmiştir. Bunlar;

 

  •  Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

Örnekleme: Söz konusu örnekler, kanunda sayılan hallerin “Şirket” tarafından daha iyi anlaşılarak somutlaştırılması için verilmiştir:

 

Kanunlarda açıkça öngörülen durumlar: Çalışana ait özlük bilgilerinin kanun gereği tutulması

Sözleşmenin İfası: Teslimat yapılması için “Şirket”in, ilgili kişinin adres bilgilerini kaydetmesi

Fiili İmkansızlık: Kaçırılan ya da kayıp kişinin konum bilgisi

Hukuki Sorumluluk: Bankacılık, enerji, sermaye piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması

Alenileştirilme: Evini satmak isteyen kişinin, satış ilanında iletişim bilgisine yer vermesi.

Hakkın tesisi: İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması

Meşru Menfaat: Çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi. 

 

Yukarıda sayılan durumlarda ilgili kişilerden ayrıca açık rıza alınmasına gerek bulunmamakta ve aydınlatma yükümlülüğünün yerine getirilmesi yeterli kabul edilmektedir. Yazımız ekinde kanuna uygun ve “Şirket”e özgü bir açık rıza metni paylaşılacağından ötürü hukuki detaylara bu yazıda yer verilmesine gerek görülmemiştir.

 

Özel nitelikli verileri açısından ise farklı bir değerlendirme yapılması gerekmektedir. Yukarıda sayılan özel nitelikli kişisel veriler, ilgili kişinin açık rızası dışında; 

 

  •  Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.

 

Özetle belirtilmek istenen; genel nitelikli kişisel veriler işlenirken veri sorumlusu tarafından, kişisel verilerin işlenme şartlarının varlığı halinde açık rıza alınmasına gerek olmayabilirken; özel nitelikli kişisel veriler, yukarıda sayılan istisnalar dışında yalnızca ilgilisinden açık rıza alınarak işlenebilecektir. 

 

Örnek vermek gerekirse, “Şirket”’in reklam faaliyetleri için anlaştığı mankenlik ajansından fotoğraf çekimleri için gönderilen bir mankenin biyometrik fotoğrafları özel nitelikli kişisel veri sayılacağından ötürü, her ne kadar işlenme şartı oluşmuş olsa da bu kişiden biyometrik verisinin alınacağı belirtilmek suretiyle açık rıza alınması uygun olacaktır.

 

Dip Not: İlgili kişi tarafından verilen açık rıza, aynı kişi tarafından dilediği zaman geri alınabilen bir haktır.

 

Dip Not: Aydınlatma yükümlülüğü ve açık rıza alınması, ayrı ayrı yerine getirilmesi gereken işlemlerden olup, aynı belgede veya metinde birlikte alınmaları hukuken geçersizdir.

 

Dip Not: Bazı veri sorumlularının, yukarıda sayılan işlenme şartlarını dikkate almadan kendilerini garantiye aldıklarını sanarak, işlenme şartı olan durumlarda dahi ilgili kişilerden açık rıza almaları Kurum tarafından kötü niyetli bir işlem kabul edilerek bu şekilde davranan veri sorumluları cezai yaptırımlarla karşılaşmaktadır. Bu sebeple, yukarıda öngörülen işlenme şartlarının doğru bir şekilde değerlendirilerek açık rızanın, işlenme şartlarının var olmadığı durumlarda alınması tavsiye edilmektedir.

 

Dip Not: “Şirket” özelinde kişisel verilerin yurt dışına aktarımı söz konusu olmadığından ötürü, KVKK m.9 ve sair mevzuat ile düzenlenen bu konu değerlendirme dışı bırakılmıştır.

 

Dip Not: Kişisel verilere ilişkin açık rıza metni alınması gerekliliğinin doğduğu durumlarda, açık rıza metni, belirli bir konuya özgü olduğu belirtilerek amacı ve hangi verilere ilişkin olacağı net şekilde belirtilmek suretiyle alınmalı, muğlak ifadelerden kaçınılmalıdır.

 

 

 

ÇEREZLER VE ÇEREZ POLİTİKASI HAKKINDA

 

Çerezler, genel tanımıyla; kişisel verileri işlenecek ilgili kişiler tarafından web sayfası veya mobil uygulamalar gibi elektronik ortamlar ziyaret edildiğinde, ilgili kişilere ilişkin birtakım bilgilerin bu kişilere ait terminal cihazlarında depolanmasına izin veren formatlardır. “Şirket” tarafından bu tip elektronik ortamlarda kişisel verilerin işlenip işlenmeyeceği, hangi kişisel verilerin işleneceği, genel nitelikli mi özel nitelikli mi oldukları, hangi amaçla işlendikleri, işlenecek kişisel verilerin açık rıza alınarak mı yoksa kanunda belirtilen işlenme şartlarına dayanılarak mı işleneceği vs. gibi hususların tespit edilerek bu yönde hangi çerezlerin kullanılacağına karar verildikten sonra bu çerezlere ilişkin bir politika ve aydınlatma metni düzenlenmesi daha sağlıklı olacaktır.

 

Çerezler; 

  • Oturum çerezleri/kalıcı çerezler, 
  • Zorunlu çerezler/işlevsel çerezler/analitik çerezler/reklam çerezleri
  • Birinci taraf/üçüncü taraf çerezleri gibi genel ayrımlara tabi tutulmakta olup bazı çerezlere örnek verilecek olursa;

 

Kullanıcı Girdili Çerezler, Kimlik Doğrulama Çerezleri, Kullanıcı Merkezli Güvenlik Çerezleri, Multimedya Oynatıcısı Oturum Çerezleri, Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri, Sosyal Eklenti İçerik Paylaşımı Çerezleri, Açık Rıza Yönetim Platformu için Kullanılan Çerezler, Birinci Taraf Analitik Çerezler, İnternet Sitesinin Güvenliği için Kullanılan Çerezler, Sosyal Eklenti Takip Çerezleri ve Çevrim İçi Davranışsal Reklamcılık Çerezleri sayılabilecektir.  

 

Hangi çerezlerin kullanılacağı, bu çerezlerin yurt içi/yurt dışı yerleşik şirketlerden hangileri vasıtasıyla kullanılacağı, çerez duvarlarının kullanılıp kullanılmayacağı gibi hususlar, “Şirket” ve IT ekibi tarafından kararlaştırılarak tarafımıza bilgi verilmesi durumunda, bu çerezlere ilişkin politika ve aydınlatmanın nasıl olabileceği, bu çerezlere ilişkin politika/aydınlatma metinlerinin paylaşılması ve hangi çerezler kullanıldığı takdirde açık rıza alınması gerekip gerekmediği hususlarında ayrıca görüş verilmesi gerekmektedir. 

 

Dip Not: Yurt dışında yerleşik şirketler vasıtasıyla çerez kullanımının söz konusu olduğu durumlarda, ilgili kişilerin kişisel verilerinin yurt dışına aktarımı söz konusu olabileceğinden ötürü, yurt dışına aktarım ile ilgili olarak yukarıda değerlendirme dışı bırakıldığı belirtilen, KVKK m.9 kapsamındaki yükümlülüklerin yerine getirilmesi gerekmekte olup; çerez kullanımının yurt dışı kaynaklı “Şirket”ler vasıtasıyla yapılacağının “Şirket” tarafından netleşmesi durumunda bu konuya ilişkin ayrıca görüş verilecektir. 

 

Dip Not: Örnek olarak; Çevrim İçi Reklamcılık Çerezlerinin kullanımında, kullanım sözleşmesi veya koşulları gibi belgeler içerisine iliştirme (bundled) yöntemiyle açık rıza alınması kanuna aykırı olacaktır. Amaç, sözleşme kapsamında verilen temel hizmetin yerine getirilmesiyle doğrudan ilgisi olmayan kişisel verilerin işlenmesinde sözleşmeye dayanılmasının, ilgili kişilerin yanıltılması kabul edileceğinden ötürü, çerez yoluyla kişisel veri işlenmesinde açık rıza istenmesinin, ilgili kişiye sözleşmenin kurulması veya ifası için dayatılmasının önüne geçmektir. 

 

Dip Not: Siteye erişim için çerez duvarı konulması suretiyle çerezlere rıza verilmesi durumunda, bu hususun, hizmetin ön koşulu olarak ilgili kişiye dayatılması özgür iradeyi sakatlayabileceğinden ötürü alınan açık rıza kanuna aykırı olabilecek olup; “Şirket”’in, çerez duvarı dışında ilgili kişilere seçenekler sunması tavsiye edilmektedir. 

 

Dip Not: İnternet sayfasına yahut mobil uygulamaya, üçüncü taraf çerezlerin yerleştirilmesi kararı verildiği durumlarda, “Şirket” ve çerez yerleştiren üçüncü şahıslarca, ilgili kişilerin bu çerezler hakkında açık bir şekilde bilgilendirilmesi ve açık rızalarının alınması gerekmektedir. 

 

Dip Not: “Şirket” web sayfasında veya mobil uygulamada kullanılacak çerezlere ilişkin olarak ilgili kişilere yapılacak aydınlatma ve açık rıza alınması işleminin, iki katmanlı bir yönetim uygulanarak düzenlenmesi tavsiye edilmektedir.

 

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA

 

KVKK m.7’de düzenlendiği üzere kanun koyucu, veri sorumlularına, kişisel verilerini işlediklerini ilgili kişilerin kişisel verilerini, işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili kişinin talebi üzerine silme, yok etme veya anonim hale getirme yükümlülüğü getirmiştir. “Şirket”, saklama ve imha politikası hazırlamakla yükümlü olmamakla birlikte, kanunun gerektirdiği kişisel verilere ilişkin diğer tüm yükümlülüklere uymak zorunda olduğundan bu yükümlülük ile de bağlı olacak; 

 

  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması
  • Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması
  • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
  • Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması ve benzeri hallerde 

 

İş bu yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silmek, yok etmek veya anonim hale getirmekle mükelleftir.

 

Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu işlemi gerçekleştirirken dikkat edilmesi gereken hususlar; silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi, erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi, ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi ve ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılmasıdır.  Bu işlem yerine getirilirken; bulut sistemindeki verilerin silme komutu verilerek silinmesi, kağıt ortamında bulunan kişisel verilere karartma işlemi uygulanması, merkezi sunucuda yer alan dosyaların işletim sistemindeki silme komutu ile silinmesi, flash bellek gibi ortamlarda saklanan verilerin şifrelenmesi veya uygun yazılımlar kullanılarak silinmesi ve verilerin bulunduğu satırların veri tabanı komutları ile silinmesi gibi yöntemler kullanılabilecektir. 

 

Kişisel verilerin yok edilmesi; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu işlem yerine getirilirken; de-manyetize etme, fiziksel yok etme, üzerine yazma, kağıt imha/kırpma makinaları kullanılması ve şifreleme anahtarlarının yok edilmesi gibi yöntemler kullanılabilecektir.

 

Kişisel verilerin anonim hale getirilmesi; kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. Bu işlem yerine getirilirken; değişkenleri/kayıtları çıkartma, bölgesel gizleme, genelleştirme, alt/üst sınır ve global kodlama, örnekleme, mikro birleştirme, veri değiş tokuşu, gürültü ekleme, K-anonimlik, L-çeşitlilik ve T-yakınlık gibi yöntemler kullanılabilecektir.

 

Bazı kişisel verilere ilişkin uygulanabilecek saklama süreleri, “Şirket”’in öngörülebilir işleme faaliyetleri dikkate alınarak örnek olması açısından aşağıda verilmiştir:

 

  • Çerezler ve log kayıtları; 6 ay - 2 sene
  • Müşterilere ilişkin ad-soyad, mail adresi, doğum tarihi, telefon, ödeme bilgi/yöntemleri gibi kimlik, finans ve iletişim bilgilerine ilişkin kişisel veriler;  hukuki ilişki sona erdikten sonra 10 sene
  • Müşteri Bilgilerinden, ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler; 10 sene
  • Potansiyel Müşterilere İlişkin Veriler (Örneğin: cookies (çerez), linkedin üzerinden profillemeye ilişkin veriler); 12 ay
  • Sözleşmeler; sözleşmenin sona ermesinden itibaren 10 sene
  • Kamera kayıtları; 1 ay
  • İş Kanunu kapsamında saklanan özlük dosyasına ilişkin kişisel veriler; 10 sene
  • “Şirket” Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örneğin: Huzur hakkı ve Kâr payı ödemeleri vb.); 10 sene
  • Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları; 1 sene
  • Çalışan adayına ilişkin kişisel veriler; 2 sene

 

Dip Not: Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan “Şirket”, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirmek zorundadır.

 

Dip Not: “Şirket”’in kişisel veriler kapsamında yürütmek zorunda olduğu tüm işlemler gibi saklama ve imha süreçlerinde yer alacak ve periyodik imhayı, kararlaştırıldığı üzere gerçekleştirecek personelini belirlemesi tavsiye edilmektedir.

 

Dip Not: “Şirket”’in, her halukarda işleyeceği kişisel verileri, işlendiği amaçla sınırlı süre ve amaçla sakladıktan sonra ilk periyodik imha sürecinde bu işlemleri gerçekleştirilmesi ve kişisel verileri saklama süresini minimumda tutması tavsiye edilmektedir.

 

KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN İDARİ VE TEKNİK TEDBİRLER HAKKINDA

 

Kişisel verilerin işlenmesi ve saklanması, oldukça riskli bir süreç olup “Şirket” tarafından veri kaybı veya sızıntısı yaşanmaması adına gerekli idari ve teknik tedbirlerin alınması büyük bir önem arz etmektedir.

 

Kişisel verilerin güvenliğine ilişkin “Şirket” tarafından alınabilecek bazı idari ve teknik tedbirler aşağıda örneklenmiştir; 

 

Teknik Tedbirler

Yetki Matrisi, Yetki Kontrol, Erişim Logları, Kullanıcı Hesap Yönetimi, Ağ Güvenliği, Uygulama Güvenliği, Şifreleme, Sızma Testi, Saldırı Tespit ve Önleme Sistemleri, Log Kayıtları, Veri Maskeleme, Veri Kaybı Önleme Yazılımları, Yedekleme, Güvenlik Duvarları, Güncel Anti-Virüs Sistemleri, Silme, Yok Etme veya Anonim Hale Getirme Anahtar Yönetimi

 

İdari Tedbirler

Kişisel Veri İşleme Envanteri Hazırlanması, Kurumsal Politikalar, Sözleşmeler, Gizlilik Taahhütnameleri, Kurum İçi Periyodik ve/veya Rastgele Denetimler, Risk Analizleri, İş Sözleşmesi, Disiplin Yönetmeliği, Kurumsal İletişim, Eğitim ve Farkındalık Faaliyetleri, Veri Sorumluları Sicil Bilgi Sistemine Bildirim

ELEKTRONİK TİCARET, HİZMET SAĞLAYICILAR VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA

E-Ticaret ve ETBİS

“Şirket”, bu bölümde, 6563 sayılı “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun”, “Ticari İletişim Ve Ticari Elektronik İletiler Hakkında Yönetmelik” ve “Elektronik Ticaret Aracı Hizmet Sağlayıcı Ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik” mevzuatları kapsamında birlikte değerlendirilecektir. 

 “Şirket”, elektronik ticaret faaliyetinde bulunan tüzel kişi olarak; “Hizmet Sağlayıcı” sıfatını haizdir. 

“Şirket”, aracı hizmet sağlayıcılar vasıtasıyla e-ticaret yapmasının yanı sıra, kendisine ait elektronik ticaret ortamlarında da faaliyet göstereceğinden ötürü ETBİS (Elektronik Ticaret Bilgi Sistemi) ve alıcılara yönelik ticari elektronik ileti göndereceğinden ötürü İYS ( İleti Yönetim Sistemi) platformlarına kayıtla yükümlüdür.

Hizmet sağlayıcı “Şirket”, KEP (Kayıtlı Elektronik Posta) adresi bulundurmakla yükümlüdür.

6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 12’nci maddesinin birinci fıkrasının (d) bendi çerçevesinde ETBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında idari para cezası verileceği hükme bağlanmıştır.

Sosyal medya siteleri üzerinden satış yapanların kayıt ve bildirim yükümlülüğü bulunmamaktadır. Ancak “Şirket”, kendi web sitesi, mobil uygulaması veya aracı hizmet sağlayıcılar (Trendyol, Hepsiburada vs.) vasıtasıyla da satış yapacağı için yükümlülükten istisna değildir.

“Şirket”, ticari faaliyetine başlamadan önce ETBİS’e kayıt yaptırmak zorunda olup, aylık herhangi bir bildirim yapma yükümlülüğü, söz konusu bilgilerde değişiklik olduğu takdirde otuz gün içinde bu değişikliğin bildirilmesi durumu hariç bulunmamaktadır.

ETBİS'e kayıt olmak için herhangi bir evrakın sunulması ya da ücret ödenmesi gerekmemekte olup, tüm işlemler www.eticaret.gov.tr adresi üzerinden elektronik ortamda gerçekleştirilmektedir. 

Dip Not: Ayrıca “Şirket” için, asgari güvenlik ve hizmet kalitesi standartlarına uyduğunu tescilleyen ve müşteriler nezdinde güvenilirliğini arttıracak elektronik bir işaret olan Güven damgası alınması tavsiye edilmektedir.

Ticari Elektronik İleti ve İYS

“Şirket”, hedef alıcı kitlesinin önceden yazılı veya elektronik onayını almak kaydıyla ve alıcının istediği zaman gerekçe göstermeksizin onayını geri alma hakkı saklı kalmak kaydıyla (esnaf ve tacirler için onay aranmamaktadır) ticari elektronik ileti gönderebilecektir. Ancak müşteri/alıcının, kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini vermesi hâlinde, ayrıca onay alınmasına gerek bulunmamaktadır.  

Ticari elektronik iletinin içeriği, alıcıdan alınan onaya uygun olmalıdır. Örneğin; sadece kendi ürünlerinin tanıtımı veya pazarlaması ile ilgili indirimlerden haberdar edilmek amacıyla onay alınan alıcıya,  başka bir firma ile yapılan ortaklık neticesinde o firmanın ürünlerinin tanıtılması yönünde ileti gönderilmesi kanuna aykırı olacaktır. 

“Şirket”, alıcı/müşteri hedef kitlesine ticari elektronik ileti göndermek istediği takdirde öncelikle kendisi veya İYS sistemi aracılığı ile onay almalı; eğer onay kendisi tarafından alınıyorsa bu onay, üç iş günü içinde İYS sisteminde kaydedilmeli ve bu onay ile birlikte sisteme kaydetme işleminin akabinde ticari elektronik ileti göndermelidir. İYS sistemine kaydedilmeyen onaylar geçersiz sayılacaktır. Özetle, İYS sistemi üzerinden onay alınmadan veya yahut alınan onay İYS sistemine 3 üş günü içerisinde kaydedilmediği takdirde ticari elektronik ileti gönderilmesi mümkün değildir. “Şirket”’in iş yükünün azalması ve ispat kolaylığı açısından İYS sistemi üzerinden onay alınması tavsiye edilmektedir.

Şirket tarafından alıcı/müşterinin elektronik iletişim adresine ticari elektronik ileti gönderilmek suretiyle onay alınması kanuna aykırı olup önce onay/ret seçeneğinin sunularak bu iletinin gönderilmesi, kabul halinde ticari elektronik ileti gönderilmesi gerekmektedir.

“Şirket”, tacir sıfatını haiz olduğundan ötürü göndereceği ticari elektronik iletinin başlığında veya içeriğinde Mersis numarası ve ticaret unvanının, tanınmasını sağlayan bilgiler ile haberleşmenin türüne bağlı olarak telefon numarası, faks numarası, kısa mesaj numarası ve elektronik posta adresi gibi erişilebilir durumdaki iletişim bilgilerinin yer alması gerekmektedir. “Şirket”, varsa isteğe bağlı olarak marka veya işletme adı gibi bilgilerine de yer verebilecektir.

Şirket, ticari elektronik ileti gönderebilmek amacıyla gönderdiği onay talebinde, alıcı/müşterinin, aynı şartlarla ve kolaylıkta ret bildirimini yapabilmesini de sağlamalıdır. Ret bildirimini mütekip üç iş günü içerisinde alıcı/müşteriye ticari elektronik ileti gönderilmesi durdurulmalıdır.

Şirket, aldığı onaya ilişkin kayıtları, onayın geçerliliğinin sona erdiği tarihten, ticari elektronik iletilere ilişkin diğer kayıtları ise kayıt tarihinden itibaren üç yıl süreyle saklamakla mükelleftir.

Hizmet Sağlayıcı Şirket’in Diğer Yükümlülükleri

“Şirket”, kendine ait elektronik ticaret ortamının ana sayfasında doğrudan ulaşılabilecek şekilde “iletişim” başlığı altında aşağıdaki bilgileri eksiksiz olarak bulundurmak durumundadır; 

- Ticaret unvanı, MERSİS numarası ve merkez adresi; 

- KEP adresi, elektronik posta adresi, telefon numarası ve varsa işletme adı ile tescilli markası.

- Mensubu olduğu meslek odası, meslekle ilgili davranış kuralları ve bunlara elektronik olarak ne şekilde ulaşılabileceğine ilişkin bilgiler.

Elektronik ticaret pazar yerinde (Trendyol, Hepsiburada vs.) satış yapacak “Şirket” kendine tahsis edilen alanda aşağıdaki bilgileri eksiksiz olarak bulundurmak durumundadır;

- Ticaret unvanı, işletme adı veya tescilli marka bilgilerinden en az biri.

- KEP adresi.

- MERSİS numarası.

Şirket, elektronik ticaret ortamının ana sayfasında doğrudan ulaşılabilecek şekilde “İşlem Rehberi” başlığı altında aşağıdaki bilgileri güncel olarak bulundurmak durumundadır;

- Sözleşmenin kurulabilmesi için mal ve hizmetin seçilmesi, teslimat ve ödeme bilgilerinin girilmesi ile siparişin onaylanması gibi gerekli aşamaları gösterir şekilde teknik adımlar.

-Sözleşmenin elektronik ortamda saklanıp saklanmayacağı ile bu sözleşmeye alıcının daha sonra aynı ortamda erişiminin mümkün olup olmayacağı ve bu erişimin ne kadar süreyle sağlanacağına ilişkin bilgi.

- Alıcının siparişi vermeden önce veri girişindeki hatalarını belirleyebilmesi ve düzeltebilmesi amacıyla özet sipariş formu ile geri al gibi teknik araçların sunulacağına ilişkin bilgi.

- Alıcıyla arasında uyuşmazlık çıkması halinde varsa alternatif uyuşmazlık çözüm mekanizmaları.

“Şirket", kendine ait elektronik ticaret ortamında;

- İkinci el malların ayrı kategoride satışa sunulmasını,

- Siparişin onaylanması aşamasında ve ödeme bilgilerinin girilmesinden önce, vergi ve teslimat masrafları da dâhil olmak üzere alıcının ödeyeceği toplam bedelin ve sözleşmenin diğer şartlarının alıcı tarafından açıkça görülmesini,

- Mal veya hizmetin toplam bedeli, fiyatın hesaplanma usulü ve teslimat masrafları önceden belirlenemiyorsa buna ilişkin ek masrafların ödenebileceği bilgisini,

- Alıcının siparişi onaylamasından önce veri girişindeki hatalarını belirleyebilmesi ve düzeltebilmesi amacıyla özet sipariş formu ile geri al gibi teknik araçları,

- Sözleşme hükümlerinin, alıcı tarafından yeniden görülebilmesi, basılı bir şekilde kullanılabilmesi ve saklanabilmesi amacıyla söz konusu hususların alıcıya fiziki veya elektronik ortamda temin edilmesini sağlamakla yükümlüdür.

“Şirket", kendine ait elektronik ticaret ortamında; siparişi aldığını, işlemin yapıldığı elektronik ticaret ortamı üzerinden ve ayrıca elektronik posta, kısa mesaj veya telefon araması gibi araçlardan en az biriyle gecikmeksizin alıcıya bildirir.


TÜKETİCİ KANUNU KAPSAMINDA MESAFELİ SATIŞ SÖZLEŞMESİ

6502 sayılı Tüketicinin Korunması Hakkındaki Kanunu (TKHK) 48. maddenin yer verdiği mesafeli sözleşmeye ilişkin tanım ise şöyledir: “Mesafeli sözleşme, satıcı veya sağlayıcı ile tüketicinin eş zamanlı fiziksel varlığı olmaksızın, mal veya hizmetlerin uzaktan pazarlanmasına yönelik olarak oluşturulmuş bir sistem çerçevesinde, taraflar arasında sözleşmenin kurulduğu ana kadar ve kurulduğu an da dâhil olmak üzere uzaktan iletişim araçlarının kullanılması suretiyle kurulan sözleşmelerdir”.

Mesafeli sözleşmelerde tüketicinin korunmasını sağlamak amacıyla bilgilendirme yükümlülüğü öngörülmüştür. Bu sözleşmelerde taraflar karşı karşıya gelmemekte, müzakere sırasında da taraflar fiziksel olarak aynı ortamda bulunmamaktadır. Bu durumun olumsuz etkilerinden tüketiciyi korumak amacıyla bilgilendirme yükümlülüğü getirilmiştir. Bu yükümlülük KVKK kapsamındaki aydınlatma yükümlülüğünden farklıdır.

“Şirket”, gerçekleştireceği faaliyet gereği elektronik ortamda alıcı/müşterilerle mesafeli satış sözleşmesi kuracaktır. Bu kapsamda “Şirket”’in de mevzuat gereği bilgilendirme yükümlülüğü bulunmakla yazımız ekinde bilgilendirme metni paylaşılmıştır. Bilgilendirme metninde tüketici sıfatını haiz alıcı/müşterinin;

Sözleşme konusu mal veya hizmetin temel nitelikleri, Satıcı, sağlayıcı veya aracı hizmet sağlayıcının adı, unvanı, açık adresi, telefon numarası, Mal veya hizmetin tüm vergiler dâhil toplam fiyatı, Varsa tüm nakliye, teslim ve benzeri ek masraflar, Cayma hakkının kullanımı, Hak arama yollarının kullanımı gibi konularda önceden bilgilendirilmesi gerekmektedir. Bu yükümlülüğün yerine getirilmemesi;

Tüketicinin, satıcının ek masraflara ilişkin karşılamakla yükümlü olmaması, tüketicinin, cayma hakkını kullanmak için on dört günlük süre değil 1 yıllık süre ile bağlı olması, tüketicinin siparişi ile bağlı olmaması ve sözleşmenin kurulmaması gibi sonuçlara yol açabilecektir.

Örneğin; Satıcının, tüketicinin ön bilgileri edindiğini kullanılan (telefon, internet gibi) uzaktan iletişim aracına uygun olarak teyit etmemesi, sözleşmenin kurulmaması sonucuna yol açacaktır.

Mesafeli satış sözleşmelerinde, İnternet veya telefon üzerinden yapılan alışverişlerde taahhüt edilen bir süre yoksa en geç otuz gün içerisinde satıcı malı göndermek zorundadır. Eğer bu süre içerisinde mal gönderilmez ise, tüketici sözleşmeyi feshederek on dört gün içerisinde yasal faiziyle birlikte tüm ödemelerini geri alma hakkına sahiptir.

“Şirket”’in, mesafeli satış sözleşmesi ve ön bilgilendirme metnini elektronik ortamda paylaşması tavsiye edilmektedir.

 

Saygılarımızla

KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA

 GENEL AYDINLATMA METNİ

 

  1. GİRİŞ

 

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 10 Mart 2018 tarihli Resmi Gazetede yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) ve ilgili mevzuat kapsamında hazırlanan iş bu Kişisel Verilerin Korunması Kanunu Genel Aydınlatma Metni (“Aydınlatma Metni”), İstanbul Ticaret Sicil Müdürlüğü’nde 496866-5 sicil numarası ile kayıtlı, Namık Kemal Mah. Tonguç Baba Cad. Savaş Triko N: 43/7 Esenyurt/İstanbul  adresinde mukim CLM TEKSTİL GİYİM SANAYİ VE TİCARET LİMİTED ŞİRKETİ  ( “Veri Sorumlusu” veya “Şirket” ) tarafından, Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesinde belirtilen; Veri Sorumlusunun ve varsa temsilcisinin kimliği, Kişisel Verilerinizin hangi amaçlarla işleneceği, işlenen kişisel verilerinizin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanun’un 11. maddesinde sayılan haklarınız ile ilgili olarak detaylı şekilde sizi bilgilendirmek amacıyla hazırlanmıştır. İş bu Aydınlatma Metninde, Kişisel Verileriniz için yapılan açıklamalar, Özel Nitelikli Kişisel Verilerinizi de kapsamaktadır.

 

Sayın Müşterilerimiz, Potansiyel Müşterilerimiz, Çalışan Adaylarımız, Çalışanlarımız, İş Ortaklarımız, Tedarikçilerimiz, Hissedarlarımız, Yetkililerimiz ve fiziki/elektronik ortamdaki Ziyaretçilerimiz ile işbirliği içerisinde bulunduğumuz kurumların çalışanları, hissedarları, yetkilileri ve üçüncü şahıslar başta olmak üzere Kişisel Verileri Şirketimiz tarafından işlenen kişiler ve Şirketimizin herhangi bir şekilde ilişki içerisinde olduğu tüm gerçek kişiler; Kişisel Verilerinizin dürüstlük kuralları çerçevesinde hukuka ve kanunlara uygun olarak en doğru ve hassas şekilde korunması, işlenmesi, saklanması, Şirket açısından büyük bir önem arz etmektedir. 

 

  1. KİŞİSEL VERİLERİNİZİN TOPLANMASI VE İŞLENMESİNİN YÖNTEMLERİ VE HUKUKİ SEBEPLERİ

 

Kişisel Verileriniz, Şirket tarafından faaliyetlerinin yürütülebilmesi, sözleşmesel ve hukuki yükümlülüklerinin yerine getirilmesi amacıyla, aşağıda detaylıca açıklandığı üzere, Şirket ile bulunulan ticari/ticari olmayan ve/veya akdi olan/akdi olmayan ilişkiler kapsamında, açıklanan amaçlar ve şartlar çerçevesinde, Kişisel Veriler, 6698 sayılı Kanun’un 5 ve 6. maddeleri uyarınca toplanabilecek ve işlenebilecektir.

 

Kişisel Verileriniz, siz saygıdeğer Müşterilerimiz/Potansiyel Müşterilerimizin, Çalışan Adaylarımızın, Çalışanlarımızın, İş Ortaklarımız / Tedarikçilerimizin, Hissedarlarımız / Yetkililerimizin, Üyelerimizin ve fiziki/elektronik ortamdaki Ziyaretçilerimiz ile işbirliği içerisinde bulunduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü şahıslar başta olmak üzere Kişisel Verileri Şirketimiz tarafından işlenen kişiler ve Şirketimizin herhangi bir şekilde ilişki içerisinde olduğu tüm gerçek kişilerin, çeşitli vasıtalarla paylaşmış olduğu bilgiler dahilinde toplanmakta ve işlenmektedir. 

 

Fiziksel ortamda Kişisel Verileriniz, Şirket ile herhangi bir sebeple imzalanan sözleşmeler, Şirket merkezine veya Şirket ile ilintili diğer iş yerlerine herhangi bir sebeple yapmış olduğunuz ziyaretler esnasında veya bu mekanlarda bulunmadan da olsa Şirket’e fiziken göndermek niyetiyle herhangi bir sebeple tarafınızca doldurulan veya doldurulup çeşitli vasıtalarla fiziken gönderilen çeşitli formlar, iş başvurusu amacıyla Şirket ile paylaştığınız bilgiler (CV, form, anket, test vb. bilgiler), Şirket ile bulunulan akdi/akdi olmayan ilişkiler kapsamında ilişkinin yürütülebilmesi veya sonuçlandırılabilmesi için Şirket ile paylaştığınız bilgiler, sizlerle fiziki ortamda gerçekleştirilen yüz yüze görüşmeler ve benzeri yollarla toplanabilecek ve işlenebilecektir.

 

Elektronik ortamda Kişisel Verileriniz, Şirket merkezine veya Şirket ile ilintili diğer iş yerlerine herhangi bir sebeple yapmış olduğunuz ziyaretler esnasında güvenlik kameralarına yansıyan görüntüleriniz, iş başvurusu, satın alma, ziyaret etme, sipariş verme ve benzeri herhangi bir sebeple, web sitesi, mobil uygulama, telefon veya e-posta da dahil diğer elektronik platformlar aracılığıyla Şirket ile paylaştığınız bilgiler (CV, form, anket, kimlik bilgisi, iletişim bilgisi, ödeme bilgisi, finansal bilgiler vb. bilgiler), talepler veya şikayetler, Şirket ile bulunulan akdi/akdi olmayan ilişkiler kapsamında ilişkinin yürütülebilmesi veya sonuçlandırılabilmesi için, web sitesi, telefon veya e-posta da dahil diğer elektronik platformlar aracılığıyla tarafınızca Şirket ile paylaşılan bilgiler, sizlerle elektronik ortamda yapılan görüşmeler ve benzeri yollarla toplanabilecek ve işlenebilecektir.

 

Bu kapsamda kişisel verileriniz, gerekli idari ve teknik tüm tedbirler alınmak suretiyle, tarafınızca sağlanan bilgi ve belgelerle sınırlı ve kanuni saklama sürelerine uygun olarak işlenmekte, Şirket’in kendi bünyesinde erişim izni tanıdığı ve önceden belirlediği yöneticilerinin, çalışanlarının, şubelerinin, kişisel verileri işlemek için profesyonel hizmet alınan üçüncü kişilerin ve kanunlara uygun şekilde belirlenen diğer kişilerin erişimine açılmaktadır. 

 

Bu doğrultuda toplanacak ve işlenecek veya işlenmekte olan Kişisel Verileriniz, aşağıdaki tabloda belirtilmiştir:

 

KİŞİSEL VERİ

KATEGORİZASYONU

KATEGORİZASYON AÇIKLAMASI

KİMLİK BİLGİSİ

Ad-soyad, T.C. kimlik numarası, doğum yeri, doğum tarihi, cinsiyet, imza, vergi numarası, SGK numarası vb. bilgiler

İLETİŞİM BİLGİSİ

Telefon numarası, adres, e-posta, faks numarası vb. bilgiler

MÜŞTERİ İŞLEM 

VERİSİ

Şirket web sitesi veya mağazaları aracılığıyla yapılan ürün veya hizmet alımına ve kullanımına ilişkin kayıtlar, müşteri numarası, sözleşme numarası, işlem tarihi, hesap numarası vb. bilgiler 

FİNANSAL BİLGİ

Şirket’in veri sahibi ile kurmuş olduğu ilişkinin türüne ve amacına yönelik oluşturulan her türlü finansal bilgi, belge ve kayıtlara işlenen veriler, banka hesap numarası, IBAN numarası, gelir bilgisi, alacak-borç bilgisi vb. bilgiler

HUKUKİ İŞLEM

BİLGİSİ

Hukuki süreçlerin tespiti, takibi, ifası ve Şirket’in kanuni yükümlülükleri ile ilgili olarak işlenen tüm veriler

ÖZLÜK BİLGİSİ

Çalışan ile akdedilen hizmet akdi kapsamında ve çalışan adayları ile ilgili olmak üzere kanuni açıdan düzenlenmesi gereken ve özlük dosyasına temel teşkil edebilecek tüm bilgiler

EĞİTİM VERİSİ

Çalışan ve çalışan adaylarının, işe başvuru aşamasında form veya sair vasıtalarla paylaştıkları bilgiler, özgeçmişlerinde yer alan veya sürecin gereği olarak Şirketle paylaşılan diploma, transkript, sertifika vb. veriler

MESLEKİ DENEYİM

VERİSİ

Çalışan adaylarının, işe başvuru aşamasında form veya sair vasıtalarla paylaştıkları bilgiler, özgeçmişlerinde yer alan, meslek hayatındaki tecrübelerini ve referanslarını gösteren veriler

İŞLEM GÜVENLİĞİ

VERİSİ

IP adresi, erişim logları, verilen hizmetin başlama ve bitiş zamanı, faydalanılan hizmetin nevi, aktarılan veri miktarı vb. bilgiler

ÖZEL NİTELİKLİ

KİŞİSEL VERİ

Biyometrik veriler

TALEP/ŞİKAYET

YÖNETİM BİLGİSİ

Veri Sorumlusu sıfatıyla Şirket’e yöneltilen her türlü talep, şikayet, görüş ve öneriler

 

 

  1. KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI

Kişisel Verileriniz, aşağıda belirtilen amaçlar doğrultusunda Kanun ve ilgili mevzuata uygun olmak kaydıyla Şirket tarafından işlenebilecektir: 

  • Ticari faaliyetlerin ve iş ilişkilerinin meşru ve şeffaf bir şekilde yürütülebilmesi,
  • Şirket ve Şirket ile ilintili iş yerlerinin güvenliğinin tesis edilmesi,
  • İşçi ve iş sağlığı güvenliğinin sağlanması,
  • Hukuki, teknik ve idari netice doğuran veya doğurabilecek işlemlerin takibi ve icrası,
  • Satış ve satış sonrası müşteri hizmetlerinin planlanması, yürütülmesi ve icrası,
  • İnsan Kaynakları organizasyon ve operasyonlarının planlanması, yürütülmesi ve icrası,
  • Müşteri memnuniyeti ve devamlılığının sağlanması için yapılacak çalışmaların planlanması, yürütülmesi ve icrası,
  • Mal/Hizmet alımı veya sunumu süreçlerindeki tahsilat ve tedarik işlemlerinin, fatura düzenlenmesi işlemi de dahil olmak üzere planlanması, yürütülmesi ve icrası
  • Düzenleyici ve denetleyici kurum veya kuruluşlarla ve resmi makamlarla gerekli olan hususlarda bilgi alışverişinde bulunulması,
  • Kanun ve ilgili mevzuatlar gereği saklanması gereken verilerin muhafaza edilmesi,
  • Çalışan adaylarının, Şirket bünyesinde açılan ve talep olan pozisyonlarına uygunluğunu ölçmek amacıyla bu sürecin planlanması, yürütülmesi ve icrası,
  • Çalışanların özlük dosyasının oluşturulması, çalışanın, işin gerektirdiklerini ve kendisinden beklenileni aynı verimlilik ve süreklilikle yapabilme kapasitesinin tespiti, makine ve ekipman kullanımlarının planlanması, yürütülmesi ve icrası, seyahat planlamalarının yapılabilmesi ve takibi, özel sağlık sigortası yapılması, iş sağlığı ve güvenliği haklarının korunması, hukuki haklarının korunması,
  • Şirket finansal raporlama ve risk analizi işlemlerinin planlanması, yürütülmesi ve icrası,
  • Fiziki veya elektronik Ziyaretçi kayıtlarının oluşturulması ve takibi,
  • Şirket, internet, ortak ağ, bilgisayar kullanımlarının kanunlara uygun biçimde kullanılmasının sağlanması,
  • Kimlik teyidi, talep, soru ve şikayetlere cevap verilmesi,
  • Kendi uzmanlık alanına girmeyen konularda hizmet alınabilmesi ve teknoloji hizmeti amacıyla konusunda uzman kuruluşların faydalarının müşterilere sunulması,
  • Mal/Hizmet satın alma/satış süreçlerinin planlanması, yürütülmesi ve icrası,
  • Finansal ve muhasebesel kayıtların tutulması ve takibi,
  • Kanuni yükümlülüklerin ifa edilmesi (ilgili kamu kurum ve kuruluşları, noterlik, mahkeme ve savcılıklara bildirim zorunluluğu ve Şirketin hukuken haklarını korumak amacıyla her türlü yasal merci nezdinde),
  • Reklam, kalite kontrol ve pazarlama departmanlarını geliştirme çalışmalarının planlanması, yürütülmesi ve icrası,
  • Arşiv kaydı tutma ve kayıtları güvenli şekilde saklama,
  • Hizmet kalitesi takibi,
  • Ticari/Ticari olmayan ve/veya akdi/akdi olmayan ilişkilerin yürütülmesi ve bunlarla ilgili gerekli tüm yükümlülüklerin yerine getirilmesi,
  • Şirket resmi web sitesi, mobil uygulama veya mağaza ziyaretleri esnasında doldurulan formlar, Şirket’in resmi sosyal medya hesaplarında paylaşılan veya çağrı merkezine İlgili Kişiler tarafından çeşitli sebeplerle iletilen bilgiler aracılığıyla, talepler, sorular ve şikayetlere ilişkin hızlı ve güvenilir şekilde geri dönüş yapılabilmesi,
  • Şirketin satış ve pazarlama stratejileri doğrultusunda reklam, kampanya ve ticari uygulamalar hakkında bilgilerin e-posta, sms vb. yollar aracılığıyla paylaşılması,
  • Şirket stratejileri doğrultusunda, kanuna aykırı olmayan herhangi bir yolla hedef kitlesi olarak belirlenen İlgili Kişilere yönelik avantajlı teklifler hazırlanması,
  • İşe giriş ve çıkış kayıtlarının yapılması,
  • Özlük dosyasının oluşturulması,
  • İş akdi ile çalışanlar lehine düzenlenmiş yan hakların yönetimi,
  • Şirket içi veya Şirket dışı eğitim süreçlerinin planlanması, yürütülmesi ve icrası,
  • Yasal zorunluluk sebebiyle yapılması gereken zorunlu bireysel emeklilik sigortası, asgari geçim indirimi işlemleri, bordrolama, maaş, avans vb. ücret ödemelerinin yapılması ile birlikte tüm finans ve muhasebe işlemlerinin planlanması, yürütülmesi ve icrası,
  • Bilgisayar, araba, telefon vb. araçların tahsisi ile ilgili süreçlerin yönetimi,
  • Çalışan adına gelen ve giden kargo, kurye vb. işlemler ile ilgili takibin yapılması,
  • Hukuki süreçlerin yönetilmesi ve takibi,
  • IT güvenliğinin tesisi için problem giderme ve yetki tanımlama/sınırlandırma, internet erişimi sağlanması,
  • İş akdi ve kanunlardan kaynaklanan yükümlülüklerin ifa edilmesi,
  • Finansal ve muhasebesel kayıtların tutulması ve takibi ile bunlara ilişkin rapor hazırlanması,
  • Ödemelerin ve tahsilatların yapılabilmesi için, cari hesap ve tedarikçi ve müşteri kayıtlarının oluşturulması ve ilgili sistemlere kayıtların girilmesi,
  • Hesap mutabakatı ve ödemelerin yapılabilmesi, alınabilmesi için sebebiyle yazılı sözlü iletişim kurulması,
  • İnternet erişimine ilişkin süreçlerin yönetilmesi ve güvenliği,
  • Şirketin reklam ve pazarlama faaliyetleri kapsamında tanınırlığının arttırılması

 

Yukarıda belirtilen amaçlar, sınırlı sayıda sayılmamış olup; ihtiyaç duyulduğu ve işin gereği olduğu hallerde Kanun ve ilgili mevzuata uygun olmak kaydıyla, Şirket’in, Şirket tarafından farklı amaçlar ekleme, çıkarma ve güncelleme yapma hakkı saklıdır.

 

  1. KİŞİSEL VERİLERİN AKTARILMA AMAÇLARI VE AKTARILABİLECEĞİ KİŞİLER

 

Kişisel Verileriniz, Şirket’in, ticari hedef ve stratejilerinin planlanması, yürütülmesi, geliştirilmesi ve sürecin yönetiminin sağlanması ile takibinin yapılması, Şirket içi çalışanlar arasında motivasyon ve verimliliğin arttırılması, müşteri memnuniyetinin sağlanması ve hedef kitlenin genişletilmesi, Kişisel Verilerinizin profesyonel şekilde işlenmesini sağlamak, tarafınızca yöneltilen talep, şikayet ve sorulara karşı doğru bir şekilde aksiyon alabilmek, gerektiği takdirde hukuki, mali ve finansal hizmetlerden yararlanabilmek ve diğer amaçlarla ve ancak bunlarla sınırlı olmamak üzere Kanun ve ilgili mevzuat kapsamında yurt içi ve yurt dışındaki kişilere aktarılabilecektir.

 

Kişisel Verileriniz, Gizlilik Politikası’nda detaylı bir şekilde belirtilen, Kanun’un 5 ve 6. maddelerinde ve ilgili mevzuatta konuya ilişkin öngörülen durumlar haricinde açık rızanız olmaksızın yurt içi ve yurt dışındaki Üçüncü Kişilere aktarılamayacaktır.

 

Kişisel Verileriniz, periyodik olarak güvenlik amacıyla değiştirilen özel şifre ve kullanıcı adıyla yetkili kişiler tarafından erişilebilen güvenli ortamlarda, sınırlı sayıda olmamak kaydıyla; otoriteler, bakanlıklar, yargı mercileri gibi kanunen yetkili kamu ve özel kurum ve kuruluşlar, tedarikçi/iş ortakları, bankalar, finans kuruluşları, uzmanlık gerektiren hizmetler alınan firmalar, avukatlar, denetçiler, danışmanlar, müşavirler, tarafınızca yetki verilmiş vekil, vasi ve temsilciler, sigorta şirketleri, iş yeri hekimi, iş sağlığı ve güvenliği şirketleri, adli ve idari makamlar,   Şirket’in bünyesinde bulunduğu Şirketler Grubu (Holding) gibi yurt içi ve yurt dışındaki Üçüncü Kişilere, Kanun’un 8 ve 9. maddeleri, Şirket’in Gizlilik Politikası ile ilgili mevzuata uygun olmak kaydıyla aktarılabilecek ve erişimlerine açılabilecektir. 

 

  1. KANUNUN 11. MADDESİ KAPSAMINDA DÜZENLENEN HAKLARINIZ

 

Kişisel Verilerinize yönelik olarak Kanun’un 11. maddesi ve ilgili mevzuat uyarınca öngörülen haklarınız aşağıda belirtilmiştir:

  • Kişisel Verilerin işlenip işlenmediğini öğrenme, 
  • Kişisel Veriler işlenmişse buna ilişkin bilgi talep etme, 
  • Kişisel Veri işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 
  • Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı Üçüncü Kişileri bilme,
  • Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kanunun 7. maddesi kapsamında Kişisel Verilerin silinmesini veya yok edilmesini isteme, 
  • Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesine ve/veya Kişisel Verilerin silinmesini veya yok edilmesine ilişkin            işlemlerin Kişisel Verilerin aktarıldığı Üçüncü Kişilere bildirilmesini isteme,
  • Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

Söz konusu haklarınızı kullanabilmenizin istisnaları Kanun ve sair mevzuatta detaylı şekilde belirtilmiştir.

 

Yukarıda belirtilen, Kanun ve ilgili mevzuat tarafından sizlere tanınmış haklarınızı ve bu haklarınıza yönelik taleplerinizi; Türkçe dilinde ve yazılı olmak kaydıyla ıslak imzalı olarak Şirket adresine bizzat teslim etmek, yahut noter kanalı veya iadeli taahhütlü mektup göndermek suretiyle veya kayıtlı elektronik posta (“KEP”) adresi, güvenli elektronik imza, mobil imza ya da tarafınızca Şirket’e daha önce bildirilen ve Şirket’in sisteminde kayıtlı bulunan elektronik posta adresi vasıtasıyla, Şirket’in kayıtlı elektronik posta adresine elektronik ortamda iletebilirsiniz.

 

Ayrıca, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” kapsamında Şirket’e yapacağınız başvurularda bulunması zorunlu bilgiler aşağıda belirtilmiştir:

-   Ad, soyadı ve başvuru yazılı ise imza,

-   Türkiye Cumhuriyeti vatandaşları için T.C kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

-   Tebligata esas yerleşim yeri veya iş yeri adresi,

-   Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

-   Talep konusu,

-   Konuya ilişkin bilgi ve belgeler.

 

Şirket, tarafınızca iletilen talepleri, talebin niteliğine göre en kısa sürede ve azami 30 (otuz) gün içerisinde sonuçlandıracak ve cevap verecektir. Tarafınız adına Üçüncü Kişilerin başvuru talebinde bulunabilmesi için, tarafınızca başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletnamenin bulunması gerekmektedir.

 

Başvurularınızın işleme alınması ve sonuçlandırılmasın aşamasında esas kural; Şirket tarafından ücret alınmaması olsa da; Kurul tarafından ücret tarifesi öngörülmesi durumunda, Şirket, iş bu tarife üzerinden ücretlendirme yapabilecektir. Başvurunun, Şirket’in hatasından kaynaklanması durumunda alınan ücret tarafınıza iade edilecektir.

 

Şirket, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek adına başvuruda bulunan kişiden bilgi talep edebilecek, başvuruda belirtilen hususları netleştirmek adına, İlgili Kişiye başvurusu ile ilgili soru yöneltebilecektir.

 

İş bu aydınlatma metni, Şirket ile imzalanan her türlü sözleşmenin ve hizmet alımına yönelik taleplerin eki ve ayrılmaz bir parçasıdır.

 

Saygılarımızla,

 

 

Aydınlatma metnini okudum ve anladım.

 

 

CLM TEKSTİL GİYİM SANAYİ VE TİCARET LİMİTED ŞİRKETİ  (VERİ SORUMLUSU)

ADRES: NAMIK KEMAL MAH. TONGUÇ BABA CAD. SAVAŞ TRİKO N: 43/7 ESENYURT/İSTANBUL 

TELEFON: 

MERSİS: 0211-1468-3900-0001

WEB ADRESİ: 

 

 

cultureSettings.RegionId: 0 cultureSettings.LanguageCode: TR