Üye Girişi | Üye Ol

KVKK Metni

ECCO AYAKKABI TİCARET LİMİTED ŞİRKETİ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ

Ecco Ayakkabı Ticaret Limited Şirketi (“Şirket”) ve Grup Şirketleri (“Ecco Grup”)  için kişisel verilerinizin gizliliği ve güvenliği büyük önem taşımaktadır. Bu nedenle, İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyulacağına ilişkin temel ilkeler belirlenmektedir.

2. AMAÇ

Şirket ve Ecco Grup tarafından, Kişisel Verilerin Korunması Mevzuatı’na tam uyumu sağlamak ve bu düzenlemelere ilişkin ihlâlleri önlemek amacıyla amaçları aşağıda açıklanmış olan işbu Politika düzenlenmiştir:

  1. Kişisel Verilerin İşlenmesi konulu faaliyetlere ilişkin kurallar koymak ve prosedürler belirlemek;
  2. Verilerin Korunmasına ilişkin uyumun sağlanması ile doğrudan/dolaylı ilişkili kişileri ve bu kişilerin Şirket ve Ecco Grup içindeki ve dışındaki görevleri ve sorumluluklarını belirlemek;
  3. Kişisel Verilerin Korunmasına ilişkin gerekli düzenlemeleri yapacak çalışanlarının ve iş ortaklarının farkındalığının oluşması için gerekli sistemi oluşturmak;
  4. Çalışanlar,  hissedarlar,  yetkililer, ziyaretçiler, işbirliği içinde olunan kurumların çalışanları, hissedarları ve yetkilileri ile üçüncü kişiler başta olmak üzere kişisel verileri, Şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamak.

 

3. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

Politika, ilgili mevzuat tarafından ortaya konulan kuralların Şirket uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.

 

4. POLİTİKA’NIN YÜRÜRLÜĞÜ

Şirketimiz tarafından düzenlenen işbu Politika 20/04/2020  tarihlidir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir.

Politika Şirketimizin internet sitesinde (tr.ecco.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

 

5. TANIMLAR

 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Üçüncü Kişi: Veri sahibi, Veri Sorumlusu, Veri İşleyen ve Veri Sorumlusu ya da Veri İşleyen’in doğrudan yetkisi altında, kişisel verileri işleme yetkisi bulunan kişiler haricindeki bir gerçek veya tüzel kişiyi, kamu kurumunu, kuruluşunu veya organını ifade eder.

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Kişisel Veri İhlali: aktarılan, saklanan veya işlenen Kişisel Veriler’e ilişkin sehven veya hukuka aykırı imha, kayıp, değişiklik, yetkisiz ifşa veya erişime sebebiyet veren güvenlik ihlalini ifade eder.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

  • Kişisel Verileri Koruma Kurumunu ifade eder.
  • Kişisel Verileri Koruma Kurulunu ifade eder.

Yetkili Kişiler: Veri Sorumlusu tarafından Kişisel Verilerin İşlenmesi süreçlerinin yürütülmesi için atanmış gerçek kişileri ifade eder.

İlgili Kişi Talebi: İlgili Kişi’nin 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki haklarını kullanmak üzere yazılı olarak sunduğu talebi ifade eder.

Aydınlatma Formu: İlgili Kişi’ye, Kişisel Verilerin nasıl toplandığı, kullanıldığı, saklandığı ve ifşa edildiği hakkında bilgi veren beyanı ifade eder.

Güvenlik Önlemleri: Veri Sorumlusu ve Veri İşleyen’in 6698 sayılı Kişisel Verileri Koruma Kanunu’na uygun olarak gerekli güvenlik düzeyini sağlamak üzere alacağı tüm teknik, bilgi işlem bağlantılı, idarî, lojistik ve usûli önlemleri ifade eder.

Verilerin Korunması Mevzuatı:  KVKK ve ilgili yönetmelikler ile yürürlükteki tüm ilgili mevzuat, kural, yönetmelik, bağlayıcı idari kılavuzlar ve bunların güncellenmiş versiyonları dahil ve fakat bunlarla sınırlı olmamak üzere yürürlükteki tüm gizlilik ve veri korumasına ilişkin kanunları ifade eder.

Kişisel Veri İşleme Envanteri: Veri Sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Veri İşleme faaliyetlerini; Kişisel Veri İşleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve Kişisel Verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

 

6. UYGULAMA ALANI, VERİ SAHİPLERİ VE KİŞİSEL VERİ KATEGORİLERİ

İşbu Politika, Şirket’in faaliyet gösterdiği bölgelerde uygulama alanı bulacaktır.

  1. olitika’nın uygulama alanı, aşağıdaki veri sahiplerine ait kişisel verilerin işlenme süreçleridir:
  • Gerçek Kişi Müşteriler
  • Şirket Yetkilileri
  • Hissedarlar
  • İş Ortağı Hissedarları, Yetkilileri, Çalışanları
  • Tedarikçi Hissedarları, Yetkilileri, Çalışanları
  • Çalışan Adayları
  • İş Ortağı Adayları
  • Tedarikçi Adayları
  • Ziyaretçiler
  • Üçüncü Kişiler

 

Kişisel veri olarak aşağıdaki bilgiler sayılabilir;

  • Kimlik Bilgileri (ad, soyad, TC Kimlik numarası, doğum yeri, doğum tarihi, vs.)
  • İletişim Bilgileri (Telefon numarası, adres, e-mail adresi vs)
  • Aile Bireyleri ve yakınlarının bilgisi (Şirket ve Ecco Grup iş birimleri tarafından yürütülen operasyonlar çerçevesinde, veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler)
  • Özgeçmişler
  • IP Adresleri, Çerez Bilgileri (Cookie), Konum Bilgisi

İşbu Politika, Politika konusu ile ilgili meydana gelebilecek tüm olasılıkları ve/veya yasal gereklilikleri kapsamaz ve yapılması gerekebilecek özel düzenlemeleri/yasal gerekliliklerin tamamını öngörmez ve/veya bunların yerine geçmez. Bu sebeple, gerektiğinde Veri Sorumlusu’ndan hukukî tavsiye alınmalıdır.

İşbu Politika, ilgili mevzuattaki ve/veya iç politikalardaki değişiklikleri yansıtabilmek adına, periyodik olarak güncellenebilir.

 

7. VERİ SORUMLUSU’NUN, TEMSİLCİSİ’NİN VE VERİ İŞLEYEN’İN KİMLİKLERİ

Veri Sorumlusu, Şirketimiz olup kayıtlı merkezi, Esentepe Mahallesi Büyükdere Caddesi Bahar Sokak No: 13 River Plaza K:5 B. Böl. 10 Şişli İstanbul adresindedir. Veri Sorumlusu, Veri Sorumlusu Temsilcisi olarak ______________________________ atamıştır.

Veri Sorumlusu Temsilcisi’nin (“VST”) nin irtibat adresi dur.

 

8. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER

Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde incelenmektedir.

8.1 Hukuka ve Dürüstlük Kuralına Uygun Olma

Şirket ve Ecco Grup, kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmelidir. Bu kapsamda Şirket ve Ecco Grup, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemelidirler.

 

8.2 Doğru ve Gerektiğinde Güncel Olma

Şirket ve Ecco Grup, işlemekte oldukları kişisel verilerin doğru ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır.

 

8.3 Belirli, Açık ve Meşru Amaçlar için İşlenme

Şirket ve Ecco Grup, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Bu kapsamda, kişisel verilerin hangi amaçla işleneceğini belirlenmeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunulmalıdır.

 

8.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirket ve Ecco Grup, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.

 

8.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar

Muhafaza Etme

Şirket ve Ecco Grup, kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmelidir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmalıdır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

 

9. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

9.1 Kişisel Verilerin İşlenmesi

Şirket ve Ecco Grup, kişisel veri işleme faaliyetlerini, KVKK’nın 5. Maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:

(a) Kişisel Veri Sahibinin Açık Rızasının Varlığı

Diğer veri işleme şartlarının var olmadığı durumlarda, KVKK’nın 5. Maddesinde yer verilen genel ilkelere uygun olarak, Şirket ve Ecco Grup tarafından veri sahibinin kişisel verileri, veri sahibinin özgür iradesi ile kişisel veri işleme faaliyetine ilişkin yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olarak onay vermesi halinde işlenebilmektedir.

 

(b) Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması

Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, Şirket ve Ecco Grup tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir.

 

(c )Fiili İmkânsızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise, Şirket ve Ecco Grup tarafından bu kapsamda veri işleme faaliyeti yürütülür.

 

(d) Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde, Şirket ve Ecco Grup,veri işleme faaliyeti yürütür.

 

(e) Hukuki Yükümlülüğün Yerine Getirilmesi için Kişisel Verilerin İşlenmesi

Şirket ve Ecco Grup, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için veri sahibinin kişisel verilerini işleyebilecektir.

 

(f) Veri Sahibinin Kişisel Verisini Alenileştirmesi

Şirket ve Ecco Grup tarafından, ilgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel veriler alenileştirilme amacına uygun olarak işlenir.

 

(g) Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, Şirket ve Ecco Grup tarafından bu zorunluluk ile paralel olarak kişisel veri işleme faaliyet yürütülür.

 

(h) Meşru Menfaat için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in ve Ecco Grup’un meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri işleme faaliyeti yürütülebilecektir.

 

9.2 Özel Nitelikli Kişisel Verilerin İşlenmesi

Şirket ve Ecco Grup tarafından, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel verilerin işlenmesine ayrıca önem gösterilmektedir. Bu kapsamda, Şirket ve Ecco Grup tarafından KVKK 6. Madde uyarınca özel nitelikli kişisel verilerin işlenme yürütülmektedir.

 

10. KİŞİSEL VERİLERİN AKTARILMASI

Şirket ve Ecco Grup, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini KVKK’nın 8. maddesi uyarınca üçüncü kişilere aktarabilmektedir.

Şirket ve Ecco Grup tarafından, KVK Kurulu'nca yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere kişisel veriler aktarılabilmektedir.

 

11. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI

Şirket ve Ecco Grup, KVKK’nın 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir.

Bu kapsamda, Şirket tarafından veri sahiplerine sunulan Aydınlatma Formlarında aşağıda sıralanan bilgiler bulunmaktadır:

  • Veri Sorumlusu olarak Şirketimizin unvanı ve temsilcisinin kimliği,
  • Şirket ve Ecco Grup tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kişisel veri sahibinin sahip olduğu haklar

 

12. KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI

Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler.

KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Yukarıda belirtilen hakların kullanımı ile ilgili taleplerinizin, Şirket’in internet sitesinde (tr.ecco.com) yayımlanan Başvuru Formunun,

  • yazılı ve ıslak imzalı olarak iadeli taahhütlü mektupla veya noter kanalıyla Esentepe Mahallesi Büyükdere Caddesi Bahar Sokak No: 13 River Plaza K:5 B. Böl. 10 Şişli İstanbul adresine veya
  • 5070 Sayılı Elektronik İmza Kanunu kapsamındaki güvenli elektronik imzanızla ya da mobil imzanızla ya da veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan e-posta adresini kullanmak suretiyle tr-info@ecco.com adresine iletilmesi gerekmektedir.

 

13. MEVZUAT GEREĞI KIŞISEL VERI SAHIPLERININ HAKLARI DIŞINDA KALAN HALLER

KVKK’nın 28. maddesi gereğince, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır.

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

KVKK’nın 28. maddesinin 1. fıkrasına göre ise aşağıdaki durumlarda veriler, Kanun kapsamı dışında olacağından, veri sahiplerinin talepleri bu veriler bakımından da işleme alınmayacaktır:

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

 

14. KIŞISEL VERILERIN GÜVENLIĞINI SAĞLAMA YÜKÜMLÜLÜĞÜ

Şirket ve Ecco Grup, işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.

Söz konusu tedbirlerden bazıları aşağıda belirtilmiştir.

  • Kişisel verilerin korunması hakkındaki mevzuata ilişkin olarak çalışanların eğitilmesi, bilinçlendirilmesi ve teknik konularda bilgili personel istihdam edilmesi
  • Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknolojiye uygun teknik önlemler alınması ve alınan önlemlerin periyodik olarak güncellenmesi
  • Alınan teknik önlemlerin periyodik olarak ilgilisine raporlanması, güvenlik riski olan hususlara teknolojik çözüm üretilmesi
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dahil ilgili yazılımların ve sistemlerin kurulması
  • Kişisel verilerin aktarıma konu olduğu durumlarda, kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtların eklenmesi

 

15. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ

Şirket ve Ecco Grup, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler, Şirket ve Ecco Grup’un, o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in ve Ecco Grup’un belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

16. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİNE İLİŞKİN ŞARTLAR VE TEKNİKLER

16.1 Şartlar

Şirket ve Ecco Grup, Türk Ceza Kanunu’nun 138. maddesinde ve KVKK’nın 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine veya kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı 6 (altı) aydır.

 

16.2 Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri

Şirket ve Ecco Grup tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

(a) Fiziksel Olarak Yok Etme (Physical Destruction)

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

(b) Yazılımdan Güvenli Olarak Silme (Secure Deletion Software)

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

(c) Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)

Şirket ve Ecco Grup, bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

 

16.3 Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Şirket ve Ecco Grup tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

(a) Maskeleme (Masking)

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

(b) Toplulaştırma (Aggregation)

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

(c) Veri Türetme (Data Derivation)

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

(d) Veri Karma (Data Shuffling, Permutation)

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

 

17. KİŞİSEL VERİ İŞLEME ENVANTERİ

Şirket ve Ecco Grup, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci ve verilerin aktarıldığı alıcı grupları yer almaktadır.

 

18. KİŞİSEL VERİ İHLALİ

Şirket ve Ecco Grup, kişisel verilerin kazara veya yasa dışı olarak imha edilmesi, kaybedilmesi, değiştirilmesi, yetkisiz olarak ifşa edilmesi veya verilere erişilmesi ile sonuçlanacak güvenlik ihlalleri hakkında veri sahiplerini veya resmi makamları bilgilendirmeye yönelik tüm kanuni yükümlülüklere uymaktadır ve herhangi bir muhtemel Kişisel Veri İhlali’nden doğacak sonuçların tespiti, raporlanması ve iyileştirilmesi için, aynı olayın tekrarlanmasını engellemek amacıyla bazı yöntemler ve prosedürler belirlemiştir.

 

19. RAPORLAMA

İşbu Politika ile düzenlenen Kişisel Verilere ilişkin mevzuata uyulmaması gerekçesiyle Şirket’in sorumluluğunun doğmasına yol açabilecek tehlike, risk, görevi ihmal/kötüye kullanma veya yanlış uygulamaya sebep olabilecek her türlü davranış dahil olmak üzere her türlü risk, ihlal, kontrol hatası, aşağıdaki adrese raporlanmalıdır:

1. Şirket Veri Sorumlusu Temsilcisi, ____________________

Kişisel Verilere ilişkin bir ihlalin ve/veya kontrol hatasının olası bir krize sebebiyet vermesi halinde, kriz yönetimi takımı meseleye dahil olacak ve yönetim sürecinde birincil sorumluluğu üstlenecektir.

Bunlara ek olarak, işbu Politika’nın amaçları dahilinde ihbarda bulunan şahıslar, herhangi bir yaptırımdan korunacaklardır; zira Şirket ve Ecco Grup, ihbarda bulunan şahısları iş akdi feshi, mevki düşürme, istenmeyen transfer veya “mobbing” olarak tanımlanabilecek davranışlar gibi zararlı sonuçlardan korumak adına, yaptırım karşıtı önlemler almaktadır.

 

20. DENETİM SİSTEMİ

Şirket Etik Kuralları’na uygun olarak, işbu Politika’ya karşı her ihlal, ilgili ihlalin ağırlığı ve yürürlükte bulunan yasal mevzuat, sözleşmesel hükümler ve şirket standart prosedürlerine göre orantısal olarak yaptırıma uğrar.

Şirket ve Ecco Grup, herhangi bir ihlali, ilgili Adli ve İdarî Makamlar’a ihbar etme hakkını saklı tutar.