RS CTA Tekstil Sanayi ve Ticaret Anonim Şirketi ( “Şirket”) olarak kişisel verilerin korunması konusunda gerekli özeni göstermekte ve bunu bir şirket politikası haline getirerek tüm gerçek ve tüzel kişiler için uygulamaktayız. Bu kapsamda, işbu Kişisel Verilerin İşlenmesi ve Veri Güvenliği Politikası (“Politika”) ile Müşterilerimizin, İş birliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarının ve diğer Üçüncü Kişilerin kişisel verilerinin korunmasını amaçlamaktayız.
Şirket olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca işlenen kişisel verilerin korunması için gereken idari ve teknik tedbirleri almaktayız.
Kişisel verilerin işlenmesinde (i) Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme, (ii) kişisel verileri doğru ve gerektiğinde güncel tutma, (iii) Kişisel verileri belirli, açık ve meşru amaçlar için işleme, (iv) Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme, (v) Kişisel verileri ilgili mevzuatta öngörülen veya işledikleri amaç için gerekli olan süre kadar muhafaza etme, (vi) Kişisel veri sahiplerini aydınlatma ve bilgilendirme, (vii) Kişisel veri sahiplerinin haklarını kullanması için gerekli teknik ve idari alt yapıyı oluşturma, (viii) Kişisel verilerin muhafazasında gerekli teknik ve idari tedbirleri alma, (ix) Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve Kurul’un düzenlemelerine uygun davranma, (x) Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme ilkelerini benimsemekteyiz. İşbu Politika’da söz konusu temel ilkelere ilişkin detaylı açıklamalarda bulunmaktayız.
Bu Politika’nın amacı, Şirket’nün hukuka uygun olarak kişisel verileri işlerken uyguladığı ve benimsediği yöntemler ile işlenen verilerin korunması için almış olduğu güvenlik önlem ve tedbirleri konusunda açıklamalarda bulunmak ve bu kapsamda kişisel verileri Şirket tarafından işlenen kişileri bilgilendirmektir. Bu kapsamda, işbu Politika, Müşterilerimizin, İşbirliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarımızın ve diğer Üçüncü Anayasa başta olmak üzere Kişilerin Kişisel Verilerin Korunması Kanunu ve sair mevzuat kapsamında otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Şirket tarafından toplanan kişisel verilerinin işlenmesi ve korunmasına ilişkin kamuyu bilgilendirmek amacıyla hazırlanmıştır.
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirket yürürlükteki mevzuatı uygulayacağını kabul etmektedir.
Şirket, Kanun’un 12. maddesi kapsamında, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerin muhafazasını sağlamak ve kişisel verilere yetkisiz kişilerce erişiminin engellenmesi amacıyla gerekli olan önlem ve tedbirleri almakta olup, gerekli denetimleri yapmak ve yaptırmaktadır.
Bu kapsamda, Kurul tarafından yayımlanan Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler); (i) Yetki Matrisini, (ii) Yetki Kontrolünü, (iii) Erişim Loglarını (iv) Kullanıcı Hesap Yönetimini, (v) Ağ Güvenliğini, (vi) Uygulama Güvenliğini, (vii) Şifrelemeyi, (viii) Sızma Testini, (ix) Saldırı Tespit ve Önleme Sistemlerini, (x) Log Kayıtlarını, (xi) Veri Maskelemeyi, (xii) Veri Kaybı Önleme Yazılımlarını, (xiii) Yedeklemeyi, (xiv) Güvenlik Duvarlarını, (xv) Güncel Anti Virüs Sistemlerini, (xvi) Silme, Yok Etme ve Anonim Hale Getirmeyi, (xvii) Anahtar Yönetimini veri sorumluları tarafından alınabilecek teknik tedbirler olarak açıklamıştır. Aynı şekilde, söz konusu Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler) (i) Kişisel Veri Envanteri Hazırlanmasını, (ii) Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha, vb.) hazırlanmasını ve uygulanmasını, (iii) Sözleşmelerin (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu- Veri İşleyen Arasında) Akdedilmesini, (iv) Gizlilik Taahhütnameleri imzalanmasını, (v) Kurum İçi Rastgele veya Periyodik Denetimler Yapılmasını, (vi) Risk Analizi Yapılmasını, (vii) İş Sözleşmesine ve Disiplin Yönetmeliği’ne Kanun’a Uygun Hükümler İlave Edilmesini, (viii) Kurumsal İletişim Prensiplerinin Kanun’a Uygun Hale Getirilmesini (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi, vb.), (ix) Eğitim ve Farkındalık Faaliyetlerinin Yürütülmesini (Bilgi Güvenliği ve Kanun çerçevesinde) ve (x) Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Sürecinin Oluşturulmasını alınabilecek idari tedbirler olarak açıklamıştır.
Şirket, yukarıda açıklanan ve Kurul tarafından yayımlanan Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler) ışığında aşağıda sıralanan idari ve teknik önlemleri almıştır:
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak amacıyla gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanlar doğrultusunda almaktadır. Bu kapsamda;
Şirket, kişisel verilerin tedbirsizlik sebebiyle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanları doğrultusunda almaktadır. Buna göre;
Şirket, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanları doğrultusunda almaktadır. Buna göre;
Şirket, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’nün iç işleyişi kapsamında konu ile ilgili birimine raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Şirket, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlamaktadır.
Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kanun’un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi ve idari ve teknik düzenlemeleri yürütmektedir.Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, Kurulca bir ücret öngörülmesi halinde, Şirket tarafından Kurulca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
Kanun bazı kişisel verilerin özel nitelikli olması sebebiyle bu tip verilerin işlenmesi ve korunmasına ilişkin ayrıca birtakım düzenlemeler getirmiştir. Kanun uyarınca, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel verilerdir. Perakende sektöründe faaliyet gösteren bir Şirket olmamız ve yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde ve korunmasına ayrıca önem ve özen göstermekteyiz. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için teknik ve idari tedbirler alınmakta, periyodik olarak da gerekli denetimler yapılmaktadır.
Şirket olarak, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için Şirket Çalışanlarına, Şirket Yetkililerimize eğitimler düzenlemekte olup, ihtiyaç duyulması halinde kişisel verilerin korunması konusunda bu konuda uzman kişilerle çalışmaktayız. Şirket Çalışanlarına, Şirket Yetkililerimize yönelik düzenlenen eğitimler periyodik olarak tekrarlanmaktadır. Söz konusu eğitimler mevzuatın güncellenmesine paralel olarak eğitimlerimizi güncellemekte ve yenilemekteyiz.
Şirket, Anayasa’nın 20. maddesi olan Özel Hayatın Gizliliği ve Kanun’un 4. maddesine ve 6. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirket kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği ve/veya sektörel bazda da kabul görmüş süre kadar ve aşağıdaki ilkeler ışığında kişisel verileri muhafaza etmektedir.
Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirket, hem Anayasa’nın 20. maddesinin üçüncü fıkrası hem de Kanun’un 5. maddesi uyarınca, ilgili Kanun maddesinde sayılan şartlardan bir veya birkaçına dayalı olarak işlemekte olup, kişisel verileri, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Ayrıca Şirket, Kanun’un 8. ve 9. maddelerine uygun olarak, kişisel verileri Kanun’da öngörülen ve Kurul tarafından yayınlanan düzenlemelere uygun olarak aktarmaktadır. Şirket, Kanun’un 10.maddesine uygun olarak, kişisel veri sahiplerini, işlenen kişisel verilerine ilişkin aydınlatmak ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır. Bu kapsamda Şirket, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Kanun’un 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Şirket, bu kapsamda, Kanun’un 11. maddesine uygun olarak Kişisel Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
Perakende sektöründe faaliyet gösteren bir şirket olarak, yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde Kanunu’nda öngörülen düzenlemelere hassasiyet gösterilmekte ve uygun davranılmaktadır. Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler, Şirket tarafından Kanun’a uygun Kurul tarafından yayımlanan Kişisel Veri Güvenliği Rehberi (İdari ve Teknik) ile 3.01.2018 karar tarihli 2018/10 sayılı Kurul kararı uyarınca 13.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararında belirlenen önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Şirket hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket, bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 6. Bölümünde yer verilmiştir.
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan ve Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul tarafından yayınlanan yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
Şirket hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. Şirket bu doğrultuda Kanun’un 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda özel nitelikli kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
Şirket nezdinde; Şirket’nün meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere ve Kanun’da düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle (Müşterilerimiz, İşbirliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetklilileri ve Çalışanları, Ziyaretçilerimiz, Web Sitesi Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişilerin ) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-soyadı, baba adı-soyadı, doğrum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile bu bilgilerin yer aldığı diğer dokumanlar, vergi numarası, SGK numarası, imza bilgisi, taşıt plakası, vb.
Telefon numarası, adres, elektronik posta (e-mail) adresi, faks numarası, IP adresi, vb.
Reçete bilgisi, doktor raporu, tahlil ve radyoloji sonuçları, sağlık raporu, kan grubu, genetik verisi, vb. gib her türlü sağlık verisi ile din, üye olunan dernek verisi, vb
Şirket’e ait veya kiracısı olduğu (Şirket Merkez Binası ve/veya Şirket Mağazaları) fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler: kamera kayıtları, güvenlik noktasında alınan kayıtlar, vb.
Tedarikçiler, İş Ortakları ve diğer 3. Kişilerle veya diğer kişisel veri sahipleri ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finasal profil, malvarlığı verisi, gelir bilgisi verileri vb.
Her türlü fotoğraf ve kamera kayıtları, ses kayıtları.
Şirket ile çalışma ilişkisi olan veya olacak olan gerçek kişilerin (ör: Tedarikçilerin Çalışanlarının ve/veya İş birliği Ortaklarının Çalışanlarının ve/veya Çalışan Adaylarının ancak Şirket Çalışanları hariç) özlük haklarının oluşmasına temel olacak bilgiler (özgeçmiş, sağlık raporu, banka hesap, SGK dökümü, vesikalık fotoğraf, ikametgah sureti, nüfus cüzdanı sureti, vb.)
Şirket’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin veriler.
Şirket’nün ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse de Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler
Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler.
Şirket’nün hukuki alacak ve haklarının tespiti, tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerin ve Şirket politikalarına uyum kapsamında işlenen kişisel veriler.
Şirket’nün kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler
Kişiyle ilişkilendirilen ve Şirket’nün ticari itibarını korumak maksatlı toplanan kişisel veriler (örneğin; Şirket ile ilgili yapılan paylaşımlar)
Şirket, Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından açık rızanız temin edilmektedir.
Bu kapsamda, Çalışan Adaylarının (i) yazılı veya elektronik ortamda yayınlanan dijital başvuru formu, (ii) Şirket’e e-posta, kargo, referans vb. yollarla ulaştırdıkları özgeçmişler ve (iii) istihdam ve/veya danışmanlık şirketleri aracılığı, (iv) video konferans veya yüz yüze yapılan mülakatlar sırasında, (v) tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri aracılığı ile, (vi) işe alım sürecinde, (vii) işe alım sonrası önceden belirlenen bir amaç kapsamında toplanmaktadır.
Çalışan Adayları diledikleri takdirde Veri Sahibi olmalarından kaynaklanan ve Kanun’dan doğan hakları ile ilgili taleplerini işbu Politika’nın 10. maddesinde açıklanan yöntem ile iletebilirler
Şirket Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir:
Şirket’nün, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
Şirket’nün ticari faaliyetlerinin yürütülmesi kapsamında, Şirket’nün emir ve talimatlarına uygun ve sözleşme temelli olarak Şirket’e hizmet sunan taraflar
Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak
Şirket’in hissedarı olduğu şirketler
Şirket’in iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak
İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Şirket tarafından gerçekleştirilen aktarımlarda Politika’nın 2. ve 3. Bölümlerinde düzenlenmiş hususlara uygun olarak hareket edilmektedir.
Şirket tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
i. Kişisel Veri Sahibinin Açık Rızasının Bulunması: Kişisel verilerin işlenme şartlarından biri kişisel veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Açık rıza sözlü alınabileceği gibi yazılı da alınabilmektedir. Aşağıda (ii), (iii), (iv), (v), (vi), (vii), (viii)’de sayılan şartlardan birinin varlığı halinde açık rıza aranmamakta, söz konusu şartlardan birinin veya birkaçının varlığı halinde Şirket açık rıza almamaktadır.
ii. Kanunlarda Açıkça Öngörülmesi: Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir. Şirket, Kanun’un 10. maddesine uygun olarak işlediği kişisel veriler hakkında kişisel veri sahibini aydınlatmaktadır. Örneğin, Şirket faturalarının üzerinde Vergi Usul Kanunu’nun 230. maddesi uyarınca kişisel bilgiler (ad soy ad, şahıs ise şahıs vergi kimlik numarası) bulunmaktadır.
iii. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması:Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya v .beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Şirket ziyaretçisinin aniden rahatsızlanması sonucunda, bilincini yitirmesi ve Şirket çalışanının ziyaretçinin kimlik bilgilerini sağlık görevlisine açıklaması fiili imkansızlık sebebiyle ilgilinin açık rızasının alınamamasıdır.
iv.Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin, Şirket’nün kiracısı olduğu iş yeri için akdedilen kira sözleşmesinde kiraya veren şahısın banka hesap numarasının bulunması sözleşmenin ifası amacıyla ödemenin yapılabilmesi için işlenen kişisel veridir.
v.Şirket’nün Hukuki Yükümlülüğünü Yerine Getirmesi: Şirket veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, mahkeme tarafından talep edilen bilgilerin mahkemeye sunulması hukuki yükümlülüktür.
vi. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş̧ olması halinde ilgili kişisel veriler işlenebilecektir. Örneğin, veri sahibinin kişisel verilerini kendi internet sitesinde ifşa etmesi ile kişisel verisini alenileştirmiş olmaktadır.
vii. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri sahibinin kişisel verileri işlenebilecektir. Örneğin, eski Şirket çalışanının özlük dosyasının saklanması ve gerekli olduğu anda (örneğin işe iade veya alacak davası açması durumunda) kullanılması için Şirket veri işleyebilir.
vii.Şirket’nün Meşru Menfaati için Veri İşlemenin Zorunlu Olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’nün meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek: Şirket binasında güvenlik amaçlı kamera kaydı yapılması Şirket’nün meşru menfaati için veri işlemesinin zorunlu olduğu bir durumdur.
Şirket tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, 01.2018 karar tarihli 2018/10 sayılı Kurul kararı uyarınca 13.03.2018 tarihli ve 30356 sayılı Resmi Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”de belirlenen önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket Merkez Ofisi ve Mağazaları (“Binalar”) güvenlik kamerasıyla izleme faaliyeti ile misafir giriş-çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Şirket Binaların girişlerinde ve içerisinde kamera izleme faaliyeti yürütmekte olup, Şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumayı amaçlamaktadır. Bu kapsamda, Şirket Kanun’a ve diğer ilgili mevzuata uygun hareket etmektedir. Şöyle ki, kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olup, Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde Kanun’da yer alan düzenlemelere uygun hareket edilmektedir. Buna göre; Kanun’un 10. Maddesi çerçevesinde, kişisel veri sahibi aydınlatılmaktadır. Aydınlatma yükümlülüğünün bir parçası olarak, Şirket internet sitesinde işbu Politika’yı yayımlamakta olup, izlemenin yapıldığı alanlara da buna ilişkin bildirim yazıları asılmaktadır.
Şirket, Kanun’un 4. maddesi uyarınca, kişisel verileri işlendikleri amaçlarla bağlantılı, sınırlı ve ölçülü bir biçimde işlemekte olup, video kamera ile izleme faaliyetini de amacı kapsamında sürdürmektedir. Bu doğrultuda, Şirket güvenlik kameralarının izleme alanlarını, sayısını ve video kayıtlarının saklanma sürelerini güvenlik amacını aşmadan sınırlı olarak belirlemektedir. Ayrıca belirtmek gerekir ki, kişinin mahremiyetine müdahale edilmeyecek şekilde video kayıt faaliyeti sürdürülmektedir.
Şirket tarafından video kayıt yoluyla yürütülen izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için de gerekli teknik ve idari tedbirler Şirket tarafından alınmaktadır. Bu kapsamda, ilgili video kayıtlarına sınırlı sayıda Şirket çalışanın erişimi bulunmakta olup, söz konusu çalışanlardan ayrıca gizlilik taahhütnamesi alınmaktadır.
Şirket sahibi olduğu internet sitelerinde Şirket’nün yapmış olduğu işlemlerin (site ziyareti, üyelik işlemleri, alışveriş işlemi) güvenliği için gerekli önlemler bilgi ve işlemin mahiyetine göre Şirket’nün sözleşme akdetmek suretiyle internet sitesinin yazılımını, kurulumunu, barındırma ve bakım hizmetlerini sağlayan ve e-ticaret sisteminin ve bu sistem ile yürütülen tüm e- ticaret faaliyetlerimizin yönetim ve işletim hizmetlerinden sorumlu olan ve ayrıca ziyaretçilere ve müşterilere karşı konsinye hizmet vermek suretiyle veri sorumlusu sıfatıyla doğrudan kişisel verilerini internet sitesi üzerinden toplayan ve işleyen 3. Kişi firma tarafından ve/veya 3. Kişi firmanın anlaşmalı olduğu ilgili kuruluşça sistemlerde ve internet alt yapısında, teknolojik imkanlar ve maliyet unsurları dahilinde, uygun teknik ve idari yöntemler ile alınmıştır. Bu siteleri ziyaret eden kişilerin ziyaretlerini, ziyaret amaçlarıyla uygun olarak gerçekleştirmeleri ve kendilerine özelleştirilmiş içerikler gösterebilmek, çevrimiçi reklamcılık faaliyetlerinde bulunabilmek amacıyla (Kurabiyeler (cookie), vb.) site ve/veya uygulama içerisindeki internet hareketleri teknik yöntemlerle 3. Kişi firma tarafından işlenmekte olup, Şirket’nün hukuki bir sorumluluğu bulunmamaktadır. İnternet sitesi içerisinde yürütülmekte olunan bu faaliyetlere ve kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamaları ilgili internet sitesinin “Gizlilik Politikası” başlıklı metinleri içerisinde açıklamaktadır.
Kanun’un 10. Maddesi uyarınca kişisel veri sahibinin hakları aşağıdaki gibidir:
Kişisel veri sahipleri, Kanun’un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda işbu Politika’nın 10.1.1. maddesinde sayılan haklarını ileri süremezler. Şöyle ki:
Kanun’un 28.maddesinin 2. fıkrası gereğince; aşağıda sayılan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç işbu Politika’nın 8.2. maddesinde sayılan diğer haklarını ileri süremezler:
Kişisel Veri Sahipleri işbu Politika’nın 8.1. maddesinde sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurul’un belirlediği diğer yöntemlerle Veri Sahibi Başvuru Forumu’nu doldurup imzalayarak Şirket’e ücretsiz olarak iletebileceklerdir:
Ayrıca, Kişisel Veri Sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır. Kişisel Veri Sahipleri başvurularını Türkçe yapmak zorunda olup, sizden aşağıdaki bilgiler talep edilir:
1. www.shopmorethanfriends.com adresinde bulunan formun doldurulduktan sonra ıslak imzalı -- noter aracılığı ile Merkez Mahallesi Kazım Orbay Cad. No:33/2 Şişli, İstanbul adresine iletilmesi veya
2. www. shopmorethanfriends.com.tr adresinde bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imzanızla imzalandıktan sonra güvenli elektronik imzalı veya mobil imzalı formun rsctagidavetekstil@hs03.kep.tr adresine kayıtlı elektronik posta ile gönderilmesi
Kişisel Veri Sahibi, Kanun’un 14. maddesi uyarınca başvurunun süresi içerisinde reddedilmesi veya verilen cevabın yetersiz bulunması veya Şirket tarafından cevap verme süresi içerisinde başvuruya cevap verilmemesi durumunda; Şirket’nün cevabını öğrendiği tarihten itibaren otuz (30) ve her hâlde başvuru tarihinden itibaren altmış (60) gün içinde Kurul’a şikâyette bulunabilir.
Şirket’e yalnızca Şirket’nün Kanun kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Bu durum, Şirket’nün doğrudan ilgili kişiden kişisel veri topladığı ya da ilgili Şirket İştirakleri ile Şirket arasındaki veri paylaşımının Kanun kapsamında veri sorumlusundan veri sorumlusuna veri transferi sayıldığı durumlarda mevcut olabilmektedir. Bunlar dışında, Şirket İştiraklerinin veri sorumlusu sayıldığı kişisel veri işleme faaliyetleri ile ilgili başvuruların Şirket’e değil, ilgili Şirket İştiraki’ne yapılması gerekmektedir. Kişisel veri sahibinin, işbu Politika’nın 8.3. maddesinde açıklanan usule uygun olarak talebini Şirket’e iletmesi durumunda Şirket talebin niteliğine göre en geç otuz (30) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, Kurul tarafından bir ücret öngörülmesi halinde, Şirket tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır. 10 Mart 2018 tarihli 30356 sayılı Resmi Gazete’de yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in 7. maddesi uyarınca Kişisel Veri Sahibinin talebine yazılı olarak cevap verilmesi halinde, ilgili cevap 10 (on) sayfa veya daha fazla ise her sayfa için 1 Türk Lirası ücret alınabilecektir. Başvuruya CD, flash bellek gibi kayıt ortamında cevap verilmesi halinde, Şirket’nün talep edeceği ücret kayıt ortamının maliyetini geçmeyecektir. Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir, başvurusu ile ilgili soru yöneltebilir. Şirket aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
Şirket, işbu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve islenmesi konusunda iç kullanıma yönelik alt politikalar oluşturmaktadır.
Şirket tarafından Kanun düzenlemelerine uygun hareket edilmesi ve Kişisel Verilerin Korunması ve İşlenmesi Politikasının yürürlüğünü sağlamak için yönetim ekibi oluşturulmuştur. Bu kapsamda, Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili 11. Maddede belirtilen diğer politikaların uygulanmasını ve yönetimini sağlamak amacıyla Şirket, bir veri sorumlusu temsilcisi, bir irtibat kişisi ve bir bilişim teknoloji uzmanı olmak üzere 3 kişiden oluşan Veri Koruma Kurulu atamıştır. Veri Koruma Kurulu’nun görevleri aşağıdaki gibidir:
Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.
Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.
Şirket:RS CTA TEKSTİL SANAYİ TİCARET ANONİM ŞİRKETİ ’dir.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir.
Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişidir.
Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Anonim hale getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. (Örneğin, maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesidir.)
İmha: Kişisel verilerin, silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Veri işleyen:Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. (Örneğin, Şirket’nün verilerini tutan bulut bilişim firması, vb.)
Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu veri kayıt sistemini yöneten kişidir.
İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişidir.
Üçüncü Kişi: Kişisel verileri Politika kapsamında işlenen herhangi bir gerçek kişidir.
Veri Sahibi Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren Kanun gereğince kişisel veri sahibi veya temsilcisi tarafından Veri sorumlusuna yapılacak başvurulara ilişkin Şirket internet sitesinden ulaşılabilen başvuru formudur.
Şirket Grup Şirketleri:RRS CTA TEKSTİL SANAYİ TİCARET ANONİM ŞİRKETİ ’nin doğrudan ya da dolaylı olarak bağlı olduğu NRS CTA TEKSTİL SANAYİ TİCARET ANONİM ŞİRKETİ dahil olmak üzere diğer (iştirak, ortak, vb.) tüm şirketlerdir.
Çalışan Adayı:Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’nün incelemesine açmış olan gerçek kişilerdir.
İş birliği İçinde Olduğumuz Kurum Yetkilileri ve Çalışanları: Şirket’nün her türlü iş ilişkisi içerisinde bulunduğu kurumların (hastaneler, bakanlıklar gibi, ancak bunlarla sınırlı olmaksızın) hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.
Tedarikçi:Şirket’nün ticari faaliyetlerini yürütürken Şirket’nün emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan tüzel veya gerçek kişilerdir.
Tedarikçi Yetkilileri ve Çalışanları: Tedarikçilerin hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.
İş Ortakları: Şirket’nün ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflardır.
İş Ortakları Yetkilileri ve Çalışanları: İş Ortakları’nın hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.
Ziyaretçi: Şirket’nün iş yerlerinde çeşitli amaçlarla fiziksel olarak bulunmuş olan veya internet sitelerini ziyaret eden gerçek kişiler.
Web Sitesi Kullanıcısı: Şirket’nün web sitelerini ziyaret eden gerçek kişilerdir.
Şirket Merkez Binası:Talatpaşa Bulvarı No:21/A Konak Alsancak, Kazım Orbay Cad. No:33/5 Kat:2 Şişli/ İstanbul adresinde bulunan Şirket iş yeridir.
Şirket Mağazaları: Türkiye’nin farklı şehirlerinde bulunan mağazalarıdır.
Şirket Yetkilisi: Şirket yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.
SSL: Güvenli giriş katmanını ifade eder. Sunucu ile istemci arasında alan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikadır.
Güvenli Elektronik İmza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzadır.