Ürün sepete eklendi.
OR-PA PAZARLAMA VE TEKSTİL SANAYİ A.Ş.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI 2022
1. Giriş
Or-Pa Pazarlama ve Tekstil Sanayi A.Ş. ( “Şirket”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle, kişisel veri işleme süreçlerimize ilişkin detayları bildirmek adına işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız.
1.1. Politikanın Amacı
İşbu Politika’nın temel amacı, Şirket’in “şirket faaliyetlerinin şeffaflık içinde yürütülmesi ilkesi”nin sürdürülebilirliğini sağlamak, hukuka ve Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışanları, Çalışan Adayları, Ziyaretçileri, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşterileri ve Üçüncü Kişileri de kapsayacak biçimde, kişisel verileri Şirketimiz tarafından işlenen kişileri bilgilendirmektir.
1.2. İlgili Kişiler
1.3.Tanımlar
İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:
2.KİŞİSEL VERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ
Şirket ile İlgili Kişi arasındaki ticari, hukuki, sözleşmesel veya bir başka surette kurulan ilişki kapsamında; aşağıda detaylı olarak belirtilen amaçlar çerçevesinde ve 6698 sayılı Kanun’un 5. Maddesinin 2. Fıkrası ve devamındaki hukuka uygunluk sebeplerine istinaden veya böyle bir sebep bulunmaması halinde açık rızaya istinaden; Kişisel Veriler, Şirket tarafından doğrudan ilgili kişiden elektronik veya fiziksel ortamlarda toplanmakta ve işlenebilmektedir. Bu hususta gerekli detaylar her bir veri ilgilisi için ayrıca hazırlanmış olan aydınlatma metinlerinde belirtilmiş ve Veri ilgililerine fiziki ve elektronik ortamlarda sunulmuştur (Mağaza ve web sitesi aydınlatma metinleri, Tedarikçi/İş ortağı aydınlatma metni, Personel/Personel Adayı aydınlatma metni, Ziyaretçi Aydınlatma metni vb). Veri işlemenin hukuki dayanağı olarak aşağıdaki hususlardan en az biri kabul edilmektedir.
· Şirket’in tabi olduğu mevzuatta öngörülmüş olması,
·Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, talep edilen ürün ve hizmetleri sunabilmek veya akdedilen sözleşmelerin gereğinin yerine getirilmesi,
· Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için veri işlemenin zorunlu
olması,
· İlgili kişi tarafından alenileştirilmiş olması,
· Şirket’in mevzuat veya iç uygulayışı gereği bir hakkın tesisi, kullanılması veya
korunması için veri işlemenin zorunlu olması,
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru
menfaatleri için veri işlemenin gerekli olması,
· Veri İlgilisinin açık rızası.
3. KİŞİSEL VERİ KATEGORİLERİ VE İŞLEME AMAÇLARI
3.1. Kişisel Veri Kategorileri
Şirket nezdinde; Şirket’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere ve Kanun’da düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bu kategorilerde işlenen kişisel verilerin genel tanımlarının yanı sıra hangi bilgileri kapsadıklarına dair açıklama yapılmıştır.
3.2. Kişisel Verilerin İşlenmesinde Genel
İlkeler
Şirket tarafından Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirket, Kişisel Verileri işlerken aşağıdaki ilkelerle hareket eder:
Kişisel Veriler, ilgili hukuk kurallarına ve dürüstlük kuralının gereklerine uygun olarak işlenir.
Kişisel Verilerin doğru ve güncel olması sağlanır. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır.
Kişisel Veriler; belirli, açık ve meşru amaçlarla işlenir. Amacın meşru olması, Şirketin işlediği Kişisel Verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir.
Kişisel Veriler, Şirket tarafından belirlenen amaçların gerçekleştirilebilmesi için amaçla bağlantılı olup, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verileri işlenmesinden kaçınılır. İşlenen veriyi, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Bu kapsamda işlenen Kişisel Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.
İlgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda Kişisel Veriler’i, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel Veri’nin daha fazla muhafaza edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu veri silinir, yok edilir veya anonim hale getirilir.
3.3. Kişisel Verilerin İşlenme Amaçları
Kişisel veriler, veri işleme şartlarına ve ilkelerine uygun olarak aşağıda sıralanan amaçlarla Şirket tarafından işlenmektedir.
Aşağıda yer alan amaçların varlığı, her İlgili Kişi özelinde değişiklik gösterebilmektedir.
Elde edilen kişisel veriler, Şirket tarafından işin niteliğine göre KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve aşağıda sayılan amaçlar dahilinde işlenmektedir:
3.3.1. Şirket’in Ana Kişisel Veri İşleme Amaçları
3.3.2. Şirket’in İlgili Kişiler Özelinde Kişisel Veri İşleme Amaçları
3.3.2.1. Şirket’in Müşterileri
Müşterilerin D’S Damat web sitesi ziyaretleri, alışverişleri, fiziki mağazalardan yapılan alışverişler, mağaza ziyaretleri sırasında doldurulan tadilat fişleri, ürün inceleme formları ve diğer formlar; telefon veya e-posta yazışmalarındaki paylaşımlar, Müşteri Hizmetleri ile telefonda yapılan görüşmeler/paylaşımlar, doldurulan iletişim formları veya bir başka surette ticari veya hukuki ilişkiye girilmesi durumunda, bu verilerden, kimlik bilgileri (Ad, Soyad, TC Kimlik No, Cinsiyet) başta olmak üzere, iletişim verileri (E-mail Adresi, Adres ve Telefon Bilgileri, IP adresi), Şirket’in faaliyet alanı kapsamında satın alınan ürüne dair veriler, Müşteri hizmetleri ile yapılan görüşmelerde kaydedilen işitsel veriler, mağaza içinde güvenlik kameralarına yansıyan görsel veriler; Kanun’un 5. Maddesi 2. Fıkrasında belirtilen hukuka uygunluk sebepleri çerçevesinde, sözleşmenin kurulması, ifası, bir hakkın tesisi ve meşru menfaatler çerçevesinde doğrudan veri ilgilisinden toplanmakta ve işlenmektedir.
Bu bilgilerin yanı sıra müşterilere özel kampanyalar düzenlenmesi ve D’S Damat kart kapsamında özel indirimler tanımlanabilmesi için Meslek, Doğum Tarihi ve Evlilik tarihine ilişkin kişisel bilgiler de toplanabilmekte ancak bu verilerin işlenmesi için veri ilgilisinden açık rıza talep edilmektedir.
Ayrıca D’S Damat tarafından sunulan ürün ve hizmet avantajlarından yararlanma ve haberdar olma iradesini ortaya koyan Müşterilerin paylaştığı kişisel verilerin kullanılması suretiyle, ilgili kişiye çeşitli avantajların sağlanıp sunulabilmesi ve özel reklam, satış, pazarlama, anket ve benzer amaçlı her türlü elektronik iletişim yapılması ve diğer iletişim mesajlarının gönderilmesi amacıyla da ilgili kişiden onay talep edilmektedir. Veri ilgilisi ile herhangi bir ürün veya hizmet satış ilişkisi kurulmamış olması halinde ise yukarıda sayılan veriler, aşağıdaki amaçlar için ancak açık rızaya istinaden işlenebilecektir.
Şirket, sunduğu ürün ve hizmetlere ilişkin olarak, gerçek veya tüzel kişi müşterilerle kurulan alım satım ilişkisi uyarınca aşağıda yer alan amaçlar kapsamında veri işleme faaliyeti yürütmektedir.
· Mal/ Hizmet Satın Alma, Üretim ve Satış Süreçlerinin Yürütülmesi
· Satış Sonrası Destek Hizmetlerinin, Üretim Ve Operasyon Süreçlerinin Yürütülmesi
· Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
· Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
· Fiziksel Mekan Güvenliğinin Temini
· İletişim ve Bilgi güvenliği Faaliyetlerinin Yürütülmesi
· Faaliyetlerin Mevzuata Uygun Yürütülmesi
· Finans Ve Muhasebe İşlerinin Yürütülmesi
· Firma/ Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
· Pazarlama Analiz Çalışmalarının Yürütülmesi
· Reklam/ Kampanya / Promosyon Süreçlerinin Yürütülmesi
· Ticari/Sözleşmesel İlişki Kapsamında İşlem Ve Faaliyetlerin Yürütülmesi, Mali ve hukuki Yükümlülüklerin Yerine Getirilmesi
· Talep/ Şikayetlerin Takibi
· Yasal Yükümlülüklerin Yerine Getirilmesi
· Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
· Hukuki Süreçlerin Yürütülmesi
· Saklama ve arşiv faaliyetleri
3.3.2.2. Şirket’in Potansiyel Müşterileri
İlgili kişinin Web sitemizi ziyaretleri, D’S Damat Kart (Sadakat Kart) üyeliği, Sosyal Medya Hesaplarımızdaki, telefon veya e-posta yazışmalarındaki paylaşımları, Müşteri Hizmetleri ile telefonda yaptığı görüşmeler/paylaşımlar, talep, öneri veya şikayetler ve fuar alanlarında, etkinliklerde paylaştığı kartvizitler (Kartvizit üzerindeki veri alenileştirilmiş kabul edilir.) vasıtasıyla doğrudan ilgili kişiden temin edilen kimlik (Ad, Soyad, Doğum Tarihi, Cinsiyet) ve iletişim Telefon numarası, E-mail adresi), Meslek ve Evlilik tarihi bilgileri; Kanun’un 5 maddesi uyarınca AÇIK RIZA’ya istinaden işlenmektedir. Yine şirketimizin ürün ve hizmetlerinden haberdar olunması, reklam ve kampanyalarla ilgili ticari elektronik ileti gönderilebilmesi ve ilgili kişiye özel bir takım ürünlerin sunulması hedefi çerçevesinde ise pazarlama amacına uygun olarak ilgili kişinin iznine istinaden (elektronik ticari iletişim amacıyla) işlenmektedir.
3.3.2.3. Şirket’in Çalışanları
Şirket bünyesinde, iş sözleşmesi bağı ile hizmet gören tüm çalışanlara ait kişisel veriler, 6698 sayılı Kanun’da açıklanan şekilde, Kanunun izin verdiği ölçüde, iş sözleşmesinin kurulabilmesi ve gereğinin yerine getirilebilmesi, iş ilişkisinin ispatlanması, ücret ve ücrete ilişkin bilgilerin kayıt altına alınması, Maliye Bakanlığı, Çalışma Bakanlığı, Sosyal Güvenlik Kurumu ve diğer tüm kurumlara yasal bildirimlerin yapılabilmesi, iş sağlığı ve güvenliği esaslarının uygulanabilmesi, kanunlardan doğan yükümlülüklerin yerine getirilmesi, çalışma koşullarının belirlenmesi, çalışanlara şirket bünyesinde sağlanan hizmetlerin yönetimi (yemek, servis, güvenlik vb.), verilen hizmet nedeniyle çalışan ve aile bireyleri için özel sağlık sigorta poliçelerinin, seyahat sigortalarının, uçak ve otel rezervasyonlarının yapılabilmesi, maaş banka hesaplarının açılabilmesi, zorunlu BES ödemeleri, sosyal güvenlik prim ödemelerinin yapılabilmesi, çalışanlara sunulan eğitim burslarının temini, Şirket’in üyesi olduğu Turquality programına dair süreçlerin yönetimi ve resmi dairelerle yasal süreçlerin takip edilmesi için 4857 Sayılı İş Kanunu’nun 75. Maddesince düzenlenen, personele ait özlük dosyasında muhafaza edilen tüm bilgi ve belgeler, bunlarla sınırlı olmamak üzere, kişisel veri kapsamında değerlendirilmekte ve bu amaçlarla toplanmaktadır.
Çalışanlarla ilgili veri işleme amaçları aşağıda liste halinde sunulmuştur:
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
· Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
· Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
· Denetim/ Etik Faaliyetlerinin Yürütülmesi
· Eğitim Faaliyetlerinin Yürütülmesi
· Erişim Yetkilerinin Yürütülmesi
· Faaliyetlerin Mevzuata Uygun Yürütülmesi
· Finans Ve Muhasebe İşlerinin Yürütülmesi
· Fiziksel Mekan Güvenliğinin Temini
· Görevlendirme Süreçlerinin Yürütülmesi
· Hukuk İşlerinin Takibi Ve Yürütülmesi
· İnsan Kaynakları Süreçlerinin Planlanması
· İş Faaliyetlerinin Yürütülmesi / Denetimi
· İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
· İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
· İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
· Performans Değerlendirme Süreçlerinin Yürütülmesi
· Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
· Yönetim Faaliyetlerinin Yürütülmesi
· Resmi Kurumlara Gerekli Yasal Bildirimlerin Gerçekleştirilmesi, Resmi Kurumlar Nezdinde
Teşviklerden Yararlanılması, Resmi Kurumların Denetimleri Kapsamında İlgili Makamlara Bildirimde Bulunulması
· İnsan Kaynakları Operasyonlarının ve Özellikle Özlük Faaliyetinin Yürütülmesi
· Çalışan Denetiminin Sağlanması ve İşverenin Yönetim Hakkı Kapsamında Gerekli Veri
İşleme Faaliyetinde Bulunulması
3.3.2.4. Şirket’in Çalışan Adayları
Şirket’in bünyesinde bulunduğu Orka Holding A.Ş. tarafından tüm grup şirketleri için personel temini süreçleri yürütülmekte olup, bu kapsamda Şirket işe alım süreçlerinde Orka Holding A.Ş. tarafından organize edilen iş başvuru formunu kullanmaktadır.
Şirket tarafından veri sorumlusu sıfatıyla; iş başvuruları kapsamında adaylar tarafından paylaşılan CV’ler veya doldurulan başvuru formu ile alınan, çalışan adaylarına ait kişisel veriler (kimlik, iletişim, eğitim, meslek, ücret, askerlik durumu, iş geçmiş, referanslara ait veriler ve iş ilişkisinin kurulması aşamasında işe uygunluğu ölçmek amacıyla çeşitli departmanlar aracılığı ile yapılan eğilim ve yetenek testlerinin sonucunda ortaya çıkan ve adayın yetenek/performans durumunu ortaya koyan kişisel veriler); ilgili şirketin otomatik sistemleri veya fiziksel ortamlarında ve şirket yazılı standartlarında, çalışan adaylarıyla iş ilişkisi kurulabilmesi amacıyla işlenmekte ve 2 yıl boyunca saklanmaktadır. Burada amaç bu süre boyunca çalışan adayının yeniden değerlendirmeye alınması ve kurulması muhtemel iş ilişkisi için belirli süre ile sistemde tutulmasıdır. Bu süre içinde aday ile iş ilişkisi kurulmaması durumunda 2. yılın sonunda ilk periyodik imha işleminde bu veriler imha edilmektedir. Adayın işe alınması durumuna ise bu bilgiler Özlük dosyasında saklanmaktadır.
Şirket, çalışan adayından başvuru formunda özel nitelikli kişisel verilerden olan sağlık verileri ve sabıka kaydı verilerini de almak isterse, bu bilgileri işlemek için öncelikle çalışan adayından açık rıza talep etmektedir. Şirket, bu metinde belirtilen özel nitelikli kişisel veriler dışında personel adaylarının başkaca özel nitelikli kişisel verisini işlememektedir. Bu nedenle adaylardan özgeçmişlerinde ve başvuru formunda bu bilgilere yer vermemesi talep edilmektedir. Çalışan adaylarına ait genel veri işleme amaçları aşağıda sıralanmıştır:
· Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
· Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
· İnsan Kaynakları Operasyonlarının, Personel Temini ve İşe Alım Süreçlerinin Yürütülmesi,
· İş Sürekliliğinin Sağlanması, İş Faaliyetlerinin Yürütülmesi ve Fiziksel Mekan Güvenliğinin Temini
· Uyuşmazlıklarda delil olarak kullanma
· Yönetim Faaliyetlerinin Yürütülmesi
3.3.2.5. Şirket’in Ziyaretçileri
Gerçek kişilerin Şirket’in işyerini ziyaretleri sırasında; Şirket tarafından ziyaretçilerin ve şirketin güvenliğinin sağlanması amacıyla, ziyaretçi kayıtlarının oluşturulması ve güvenlik kameraları ile görüntü alınması suretiyle kimlik verileri ve görsel verilerden ibaret kişisel veriler işlenmektedir. Bu kişisel veriler; sözleşmenin ifası için zorunlu olması, yasal zorunluluklar ve kamu otoritesinin yazılı talepleri dışında hiçbir suretle 3. kişilerle paylaşılmamaktadır. Bu konuda gerekli yasal uyarı ve bilgilendirmeler, işyeri girişlerinde ve web sitesindeki aydınlatma metninde belirtilmiştir. Yine bu kapsamda Şirket tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla; Şirket tarafından ziyaretçilerin bina ve tesisler içerisinde bulunduğu süre boyunca, talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya Şirket içinde gerçekleştirilecek denetimlerde ilgililerle paylaşılmaktadır. Bu alanda veri işleme amaçları aşağıda belirtilmiştir:
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
· Fiziksel Mekan Güvenliğinin Temini
· Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
· Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
· İnternet Erişimi Sağlanması ve Erişim Güvenliğinin Temini
· Denetim ve Güvenlik Faaliyetlerinin Yürütülmesi
3.3.2.6. Şirket’in İş Ortakları ve Tedarikçileri
Şirket tarafından yürütülen ticari faaliyetler kapsamında, ticari veya hukuki ilişki içinde bulunulan, gerçek veya tüzel kişi tacir ve esnaflara ait kişisel bilgiler (Kimlik verisi, İletişim
verisi, Finansal veri, İmza verisi) işlenmektedir. Bu veriler Kanun’un 5. Maddesinde belirtilen; Sözleşmelerimizin kurulması ve ifası, yasal yükümlülüklerin yerine getirilmesi ve Şirket’in meşru menfaatleri kapsamında Kanun’da öngörülen temel ilkelere uygun olarak ve belirtilen kişisel veri işleme şartları dâhilinde işlenmektedir. Kişisel veriler Şirket tarafından yukarıda sıralanan amaçlar kapsamında ve elektronik ortamda Tedarikçi ve İş Ortakları tarafından doğrudan iletilmek yöntemi ile toplanmakta ve işlenmektedir. Veri işleme amaçları;
· Sözleşme Süreçlerinin Yürütülmesi
· Finans Ve Muhasebe İşlerinin Yürütülmesi
· Mevzuattan Kaynaklanan Sorumlulukların ve Hukuksal Süreçlerin Yürütülmesi ve Takibi
· Şirket İç Operasyonlarının Yürütülmesi
· Strateji Planlama & İş Ortakları/Tedarikçi Yönetimi
· Fiziksel Mekan Güvenliğinin Sağlanması
· Lojistik Faaliyetlerinin Yürütülmesi
· Tedarik Zinciri Yönetim Süreçlerinin Yönetilmesi
· İlgili Mevzuat Gereği Saklanması Gereken Bilgilerinizin Muhafazası; Bilgi Kayıplarının Önlenebilmesi İçin Kopyalanması, Yedeklenmesi; Bilgilerinizin Tutarlılığının Kontrolünün Sağlanması; Veri Tabanlarımızın ve Bilgilerinizin Güvenliği İçin Gerekli Teknik ve İdari Tedbirlerin Alınması
4. KİŞİSEL VERİLERİN AKTARIM AMAÇLARI VE ALICI GRUPLARI
4.1. Kişisel Verilerin Aktarılacağı Kişiler/Alıcı Grupları
Şirket, KVK Kanunu’nda yer alan ilkelere ve özellikle, KVK Kanunu’nun 8. ve 9. Maddelerine uygun olarak Politika kapsamı dahilinde olan ilgili kişilerin (Bkz. 1.2.) kişisel verilerini aşağıda sıralanan kişi gruplarına yukarıdaki tabloda belirtilen amaçlarla aktarılabilir:
Orka Holding A.Ş. ve diğer grup şirketleri Orka Tekstil Sanayi ve Turizm Ticaret A.Ş. ve Red Tanıtım ve İletişim Hizmetleri A.Ş.’ye,
İlgili kişilere sunulan mal ve hizmetlerin temini ya da ulaştırılması için çalıştığımız tedarikçi ve iş ortaklarımıza,
Malların sunulması, tanıtılması ve benzeri amaçlarla işbirliği yapılan ve/veya hizmet alınan iş ortaklarımız, tedarikçi firmalar ile bankalar, finans kuruluşlarına,
Web sitemizin ve sosyal medya hesaplarımızın yönetimi için hizmet aldığımız ajanslara ve kuruluşlara,
Avukatlar, denetçiler, danışmanlar ve hizmet alınan
firmalara,
Tarafınızca yetki verilmiş olan vekil, vasi ve temsilcilerinize,
Düzenleyici ve denetleyici kurumlar ile mahkeme ve icra müdürlükleri gibi kişisel verilerinizi talep etmeye yetkili kurum veya kuruluşlara ve bunların belirlediği kişilere,
Veri aktarım şartlarına uygun olarak diğer üçüncü kişilere.
4.2. Kişisel Verilerin Aktarım Amaçları
Kişisel Verileriniz; hukuka ve Kanun’un amacına uygun olarak Politika ile yönetilen aşağıda sıralanan kişi kategorilerine aşağıdaki amaçlarla aktarılabilir:
5.KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Kişisel Veriler’in silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirket, bu Kanun ve diğer kanun hükümlerine uygun olarak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Veriler’i re’sen veya ilgili kişinin talebi üzerine siler, yok eder veya anonim hale getirir.
Şirket, Kişisel Veriler’i mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra işlenmesini gerektiren sebeplerin ortadan kalkması halinde Kanun’un 7. Maddesi gereğince; re’sen veya ilgili kişinin talebi üzerine KVK Kurumu tarafından yayımlanan rehberlere uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Şirket’in dahil olduğu Orka Holding A.Ş. bünyesindeki tüm grup şirketleri için geçerli olacak şekilde; kişisel verilerin İmha usullerinin belirlendiği bir İMHA POLİTİKASI hazırlamış ve Şirket içinde yayınlamıştır. Tüm imha süreçleri bu politikaya uygun olarak yürütülmektedir.
6.KİŞİSEL VERİLERİN KORUNMASI DAİR HUSUSLAR
Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Veriler’in hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
6.1. Kişisel Verilerin Güvenliğinin Sağlanması
6.1.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
(i) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
· Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri düzenli olarak denetlenmektedir.
· Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği komiteye raporlanmaktadır.
· Teknik konularda bilgi işlem departmanı kurulmuş olup bu konuda bilgili personel istihdam edilmektedir.
· Yeni teknolojik gelişmeler takip edilmekte ve özellikle siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
· Şirket bünyesindeki her bir bölüm özelinde belirlenen hukuksal uyum gereksinimleri çerçevesinde erişim ve yetkilendirme çözümleri devreye alınmaktadır.
· Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Eski çalışanlara erişim kısıtlaması uygulanmakta, hesaplar belirli süreler sonunda kapatılmaktadır.
· Şirket, iç işleyiş gereğince alınan teknik önlemler veri tabanlarına erişim yetkisi olan personele raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
· Virüs koruma sistemleri, veri açığı güvenlikleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
· Teknik konularda uzman personel istihdam edilmektedir.
· Kişisel verilerin toplandığı uygulamalar da dahil olmak üzere tüm bilgi sistemleri, güvenlik açıklarını saptamak için düzenli olarak dış etki testine tabi tutulmakta ve bu testin sonuçlarına göre bulunan açıkların kapatılması sağlanmaktadır.
(ii) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
· Şirket’in çalışanları, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda mevzuatta veya iş uygulamalarında ortaya çıkan gelişmeler uyarınca bilgilendirilmekte ve eğitilmektedir.
· Şirket’in yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
· Şirket bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, ilgili şirketler tarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir.
· Şirket bünyesindeki bölümlerin kişisel veri güvenliği ile ilgili denetim ve yönetimi, Bilgi işlem departmanı tarafından organize edilmektedir. İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmektedir.
· Şirket ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmaktadır.
· Şirket bünyesindeki her bir bölüm özelinde, kişisel veri işleme süreçleri dikkate alınarak hukuki uyum, şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri uygulanmaktadır. (Kişisel veri barındıran veri tabanlarına erişim yetkileri bilgi işlem ve ERP destek departmanları tarafından sağlanmakta ve kontrol edilmektedir.)
· Şirket, ticari faaliyetleri gereği iş ilişkisi içinde bulunduğu ve hizmet aldığı iş ortakları ve tedarikçileriyle yapmış olduğu sözleşmelere (kişisel veri işleme süreçleri barındıran ticari faaliyetlerle ilgili sözleşmeler) kişisel veri gizliliği hükümleri eklemekte veya bu hususta kişisel verilerin korunması taahhütnameleri almaktadır.
7.İLGİLİ KİŞİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ
7.1. İlgili Kişi’nin KVK Kanunu Uyarınca Hakları
Şirket, Kanun’un 10. maddesi uyarınca size haklarınızı bildirmekte; söz konusu hakların nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik düzenlemeleri gerçekleştirmektedir. Şirket, Kanun’un 11. maddesi uyarınca Kişisel Veriler’i alınan kişilere;
· Kişisel Veri işlenip işlenmediğini öğrenme,
· Kişisel Veriler’i işlenmişse buna ilişkin bilgi talep etme,
· Kişisel Veriler’in işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında Kişisel Veriler’in aktarıldığı üçüncü kişileri bilme,
· Kişisel Veriler’in eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
· Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde Kişisel Veriler’in silinmesini
veya yok edilmesini isteme,
· Kanun’un 11. Maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel Veriler’in kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarının olduğunu açıklar.
7.2. İlgili Kişi’nin Haklarını Kullanması
İlgili Kişiler işbu Politika’nın (7.1.) maddesinde sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle "Başvuru Formu" bağlantısından ulaşabileceğiniz Başvuru Formu’nu doldurup imzalayarak veya benzer içerikte bir başka yazılı belge ile Şirket’e ücretsiz olarak iletebileceklerdir:
(i) Başvuru formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya iadeli taahhütlü posta ile Ayazağa Mahallesi Kemerburgaz Caddesi Vadi İstanbul Park Sitesi 7 B Blok No: 7 C / 40 Sarıyer/İSTANBUL adresine iletilmesi,
(ii) Başvuru formu doldurulduktan sonra
imzalı bir nüshasının, başvuru sahibi tarafından daha önce şirkete bildirilmiş ve şirket sistemlerine kaydedilmiş e posta adresi üzerinden, şirketin KVKKbasvuru@dsdamat.com.tr adresine iletilmesi,
(iii) Başvuru formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla imzalandıktan sonra güvenli elektronik imzalı formun orpapazarlama@hs01.kep.tr adresine kayıtlı elektronik posta ile gönderilmesi.
Veri İlgilileri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için, başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
7.3. Şirket’in Başvurulara Cevap Verme Usulü Ve Süresi
İlgili Kişi’nin Kişisel Veriler’ine ilişkin taleplerini Şirket’e yazılı olarak (KVK kurulu tarafından yayınlanan tebliğe uygun olarak) iletmeleri durumunda, Şirket veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir.
Şirket, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu Kişisel Veri’nin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Şirket ayrıca İlgili Kişi’nin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, başvurusu ile ilgili soru yöneltebilir.
İlgili Kişi’nin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumlarda, Veri sorumlusu tarafından gerekçesi açıklanarak talep reddedilebilecektir.
8.ŞİRKET’İN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM
YAPISI
Şirket tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında her bir Şirket bünyesinde gerekli koordinasyonu sağlayacak olan “Kişisel Verilerin Korunması Komitesi” kurulmuştur. Bu Komite, şirket birimleri arasında birlik sağlanması, yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin yürütülmesi ve
iyileştirilmesinden sorumludur. Bu kapsamda, KVK Komitesi’nin temel görevleri aşağıda belirtilmektedir:
Şirket içi kişisel verilerinin korunması ve işlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak
Şirket içi kişisel verilerinin korunması
ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede Şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak
KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek; uygulanmasını gözetmek ve koordinasyonunu sağlamak
Kişisel verilerin korunması ve işlenmesi konusunda Şirket içinde ve işbirliği içerisinde olunan kurumlar nezdinde farkındalığı arttırmak
Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını sağlamak; iyileştirme önerilerini sunmak
Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak
Kişisel veri ilgililerinin başvurularını karara bağlamak
Kişisel veri ilgililerinin; Şirket’in kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek
Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak
Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket operasyonlarında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak
Kurum ve Kurul ile olan ilişkileri yönetmek
9. GÜNCELLEME, UYUM VE DEĞİŞİKLİKLER
Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.
İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.
Değişiklikler
02/04/2018 : Kişisel Verilerin İşlenmesi ve
Korunması Politikası yayınlanmıştır.
01/03/2020 : Kişisel Verilerin İşlenmesi ve
Korunması Politikası güncel gelişmeler ışığında revize edilmiştir.
OR-PA PAZARLAMA VE TEKSTİL SANAYİ A.Ş.
(VERİ SORUMLUSU)
ADRES: Ayazağa Mahallesi Kemerburgaz Caddesi Vadi İstanbul Park Sitesi 7 B Blok No: 7 C/40 Sarıyer/İSTANBUL
TELEFON: 0212 314 23 23
MERSİS: 0644032088500011