parasol,cafe parasol,restaurant parasol

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

1. GİRİŞ VE AMAÇ

Özcan Şemsiye Sanayi ve Ticaret Ltd.Şti. olarak; müşterilerimizin, ziyaretçilerimizin ve iş ortaklarımızın kişisel verilerinin güvenliğine ve mahremiyetine büyük önem vermekteyiz.

İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”); 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) uyarınca Veri Sorumlusu sıfatıyla gerçekleştirdiğimiz kişisel veri işleme faaliyetleri, işleme amaçlarımız, veri aktarım süreçlerimiz ve haklarınız konusunda sizleri şeffaf ve anlaşılır bir şekilde aydınlatmak amacıyla hazırlanmıştır.

2. KAPSAM

İşbu Politika; Şirketimizin çalışanları dışındaki gerçek kişileri (Müşteriler, Potansiyel Müşteriler, Ziyaretçiler, Tedarikçi Yetkilileri, Hissedarlar vb.) kapsamaktadır. Çalışanlarımızın verilerine ilişkin süreçler, şirket içi ağlarda yayınlanan ayrı bir "Çalışan Kişisel Verilerinin Korunması Politikası" ile düzenlenmektedir.


3.KİŞİSEL VERİLERİ İŞLEME İLKELERİMİZ

Şirketimiz, kişisel verilerin işlenmesinde KVKK’nın 4. maddesinde belirtilen aşağıdaki genel ilkelere sıkı sıkıya bağlı kalır:

• Hukuka ve Dürüstlük Kuralına Uygunluk: Tüm veri işleme faaliyetlerimiz, mevzuata ve genel dürüstlük kurallarına uygundur.
• Doğruluk ve Güncellik: İşlenen verilerin doğru ve güncel olması için gerekli teknik imkanlar sağlanır.
• Belirli, Açık ve Meşru Amaçlar: Veriler sadece bu Politikada belirtilen açık ve hukuka uygun amaçlarla işlenir.
• Ölçülülük: Veriler, işleme amacıyla bağlantılı ve sınırlı olarak işlenir; gereksiz veri toplanmaz.
• Süreyle Sınırlılık: Veriler, mevzuatta öngörülen veya işleme amacının gerektirdiği süre kadar muhafaza edilir.

4. VERİ SAHİBİ KATEGORİLERİ

Şirketimiz tarafından kişisel verileri işlenen çalışanlar dışındaki veri sahiplerinin kategorileri aşağıdaki tabloda yer almaktadır.  Aşağıdaki kategorilerin dışında yer alan kişiler de KVKK kapsamında Şirketimize taleplerini yöneltebilecek olup; bu kişilerin talepleri de değerlendirmeye alınacaktır.

 5. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

Şirketimiz, veri sahipleri ile olan ilişkinin niteliğine göre aşağıdaki kategorilerdeki kişisel verileri işleyebilmektedir:

 6. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kişisel verileriniz, KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak; aşağıdaki amaçlarla işlenmektedir:

 7. KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ SEBEPLERİ

Kişisel verileriniz; web sitemiz, mobil uygulamalarımız, çağrı merkezimiz, güvenlik kameralarımız, e-posta yazışmalarımız ve fiziki formlar aracılığıyla; elektronik ve fiziki ortamlarda toplanmaktadır.

Şirketimiz bu verileri; başta 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu, 4857 sayılı İş Kanunu ve 213 sayılı Vergi Usul Kanunu olmak üzere ilgili mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi ve KVKK’nın 5. ve 6. maddelerinde belirtilen aşağıdaki hukuki sebeplere dayanarak işlemektedir:

1. Kanunlarda Açıkça Öngörülmesi: (Örn: Vergi Usul Kanunu gereği fatura saklama).
2. Sözleşmenin Kurulması ve İfası: (Örn: Ürün satışı ve teslimatı için adres işleme).
3. Hukuki Yükümlülüğün Yerine Getirilmesi: (Örn: Yetkili makamların bilgi taleplerini karşılama).
4. Veri Sorumlusunun Meşru Menfaati: (Örn: Şirket güvenliği için kamera kaydı alma).
5. Bir hakkın tesisi, kullanılması veya korunması: (Örn. İspat yükümlülüğü için kayıt saklanması).
6. Açık Rıza: Yukarıda belirtilen şartların sağlanamadığı hallerde (örneğin; kişiye özel pazarlama faaliyetleri, profil oluşturma veya bazı özel nitelikli verilerin işlenmesi durumlarında) verileriniz, yalnızca sizlerin özgür iradesiyle verdiği AÇIK RIZAnıza dayalı olarak işlenir. Açık rızanızın bulunması halinde; hizmetlerimizin beğeni ve tercihlerinize göre özelleştirilmesi (Profilleme), kampanyaların bildirilmesi ve ticari elektronik ileti onaylarınızın İleti Yönetim Sistemi (İYS) üzerinden mevzuata uygun şekilde yönetilmesi süreçleri yürütülür.

 8. KİŞİSEL VERİLERİN AKTARIMI

Kişisel verileriniz, Kanun’un 8. ve 9. maddelerinde belirtilen veri işleme şartlarına ve aşağıda açıklanan yöntemlere uygun olarak, gerekli tüm teknik ve idari tedbirler alınmak suretiyle üçüncü taraflara aktarılabilmektedir.

 8.1.Yurtiçinde Kişisel Veri Aktarımı

Şirketimiz, kişisel verilerin aktarılması konusunda başta KVKK’nın 8. maddesi olmak üzere; mevzuatta öngörülen düzenlemelere ve Kişisel Verileri Koruma Kurulu ("Kurul") kararlarına uygun hareket etme sorumluluğu altındadır.

Kural olarak; veri sahiplerine ait kişisel veriler ve özel nitelikli veriler, ilgili kişinin açık rızası olmadan üçüncü kişilere aktarılamaz. Ancak, KVKK’nın 5. ve 6. maddelerinde belirtilen (Kanunlarda öngörülmesi, sözleşmenin ifası, hukuki yükümlülük vb.) şartların varlığı halinde, ilgili kişinin rızası aranmaksızın da mevzuata uygun güvenlik önlemleri alınarak veri aktarımı mümkündür.

Bu kapsamda Şirketimiz, operasyonel süreçlerini yürütebilmek ve yasal yükümlülüklerini yerine getirebilmek adına verilerinizi aşağıdaki alıcı gruplarıyla paylaşmaktadır:

• Tedarikçiler ve İş Ortakları: Şirketimizin dışarıdan hizmet aldığı; bilgi teknolojileri (IT) desteği, arşivleme, kargo/lojistik, mali müşavirlik, hukuk büroları ve güvenlik hizmeti sağlayıcıları.
• Grup Şirketleri ve Hissedarlar: Holding/Şirketler Topluluğu yönetimi, konsolide finansal raporlama ve iç denetim süreçlerinin yürütülmesi amacıyla bağlı olduğumuz ana şirket ve iştiraklerimiz.
• Yetkili Kamu Kurum ve Kuruluşları: Vergi Usul Kanunu, İş Kanunu ve diğer mevzuat gereği bilgi talep etmeye yetkili olan (Örn: Gelir İdaresi Başkanlığı, SGK, Bakanlıklar, Savcılıklar ve Mahkemeler) resmi merciler.
• Yetkili Özel Kurumlar: Denetim firmaları, bağımsız denetçiler, bankalar ve sigorta şirketleri.

8.2.Yurtdışına Kişisel Veri Aktarımı

Şirketimiz; faaliyetlerinin verimli yürütülmesi, global teknoloji standartlarının yakalanması ve hizmet sürekliliğinin sağlanması amacıyla; sunucuları yurt dışında bulunan güvenli bulut bilişim teknolojilerini (E-posta sunucuları, veri depolama sistemleri, global CRM/ERP yazılımları vb.) kullanmaktadır.

Kişisel verilerinizin yurt dışına aktarımı, 6698 sayılı Kanun’un 9. maddesinde 2024 yılında yapılan değişikliklere tam uyumlu olarak; "Açık Rıza"nıza ihtiyaç duyulmadan, aşağıdaki güvenlik ve hukuk zinciri sağlanarak gerçekleştirilir:

• Uluslararası Standart Sözleşmeler: Verilerinizin tutulduğu yabancı hizmet sağlayıcılar (Örn: Microsoft, Google, SAP vb.) ile Kurul tarafından belirlenen "Standart Sözleşmeler" imzalanarak, verilerinizin Türkiye’deki standartlarda korunacağı hukuken taahhüt altına alınır.
• Güvenli Ülke Statüsü: Aktarım yapılan ülkenin, Kurul tarafından ilan edilen "Yeterlilik Kararı Verilmiş (Güvenli) Ülkeler" listesinde yer alması durumunda aktarım doğrudan gerçekleştirilir.
• İstisnai Durumlar: Yurt dışı seyahatleriniz, yurt dışı otel rezervasyonlarınız veya uluslararası bir iş sürecinin yürütülmesi gibi fiili durumlarda; hizmetin size ulaşması için zorunlu olduğu ölçüde aktarım yapılır.

Süreklilik arz etmeyen ve yukarıdaki güvencelerin (Standart Sözleşme veya Yeterlilik Kararı) teknik olarak sağlanamadığı çok özel ve arızi durumlarda ise; Kanun’un 9/6. maddesindeki istisnalara dayanılabilir veya son çare olarak Açık Rızanıza başvurulur.

 9. KAPALI DEVRE KAMERA KAYDI (CCTV) YOLUYLA VERİ İŞLEME

Şirketimizin, ofislerimizin, tesislerimizin ve yerleşkelerimizin güvenliğinin sağlanması amacıyla güvenlik kameraları kullanılmakta ve bu yolla görüntü kaydı niteliğindeki kişisel veriler işlenmektedir.

İşleme Amaçlarımız: Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında;

• Sunulan hizmetin kalitesini artırmak,
• Şirketimizin bulunduğu fiziki yerleşkelerin güvenliğini sağlamak,
• Şirket içinde bulunan kişilerin (Çalışan, Ziyaretçi, Müşteri) can ve mal güvenliğini temin etmek,
• Olası hırsızlık, iş kazası veya suistimalleri önlemek ve tespit etmek,
• Veri sahiplerinin ve Şirketin meşru menfaatlerini korumak amaçlarını taşımaktadır.

Hukuki Dayanak ve Orantılılık: Bu faaliyetler; Anayasa’ya, KVKK’ya ve ilgili mevzuata uygun bir biçimde yürütülmektedir. 

Şirketimiz, KVKK m. 4’e uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Kişinin mahremiyetine, güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (Örn: Tuvaletler, giyinme kabinleri, ibadethaneler) kesinlikle izleme yapılmamaktadır.

Bilgilendirme ve Erişim: CCTV kaydı yapılan tüm giriş ve ortak alanlarda, veri sahiplerini bilgilendirmek amacıyla uyarı levhaları (veya QR kodlu aydınlatma metinleri) yerleştirilmiştir. Kayıt işlemi, Şirketimizin "meşru menfaati" ve "hukuki güvenliğin sağlanması" sebebine dayandığı için kişilerden ayrıca Açık Rıza alınmamaktadır.

CCTV kamera görüntülerine yalnızca Şirket tarafından yetkilendirilmiş sınırlı sayıda personel (İdari İşler / Güvenlik Birimi) erişebilmekte ve bu yetkiler düzenli olarak denetlenmektedir. Bu kayıtlara erişimi olan personel, verilere hukuka aykırı erişimi önleyeceğine dair "Gizlilik Taahhütnamesi" imzalamıştır. Ayrıca KVKK m. 12’ye uygun olarak, CCTV izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

 10. KİŞİSEL VERİLERİ SAKLAMA SÜRESİ

Şirketimiz, kişisel verilerinizi yalnızca toplandıkları amacı yerine getirmek için gerekli süre boyunca saklar. Bu süreler her bir iş süreci özelinde ayrı ayrı belirlenir. Süre sona erdiğinde, verilerinizi saklamamız gereken başkaca bir hukuki sebep bulunmuyorsa verileriniz KVKK’ya uygun bir şekilde imha edilir.

Saklama sürelerini belirlerken şu kriterleri dikkate alıyoruz:

• Mevzuatta öngörülen yasal zorunluluklar (Örn: Vergi Usul Kanunu, TTK, İş Kanunu),
• Veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süreler,
• İlgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
• Olası hukuki uyuşmazlıklarda ispat yükümlülüğümüzü yerine getirebilmek için gereken zamanaşımı süreleri (Genellikle 10 yıl),
• Verinin saklanmasının yaratacağı risk, maliyet ve hukuki sorumluluk dengesi.

11. KİŞİSEL VERİNİN İMHASI

Yasal saklama süreleri sona eren veya işleme amacı ortadan kalkan kişisel verileriniz; Şirketimizin "Kişisel Veri Saklama ve İmha Politikası" uyarınca, düzenli periyotlarla yapılan denetimler sonucunda aşağıdaki yöntemlerden biriyle güvenli şekilde işlemden kaldırılır:

11.1.Kişisel Verilerin Silinmesi

Dijital ortamdaki verilerin, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. (Örn: Veri tabanı komutları ile silme veya erişim yetkilerinin kaldırılması).

11.2.Kişisel Verilerin Yok Edilmesi

Fiziksel (kağıt) veya dijital ortamdaki verilerin, hiç kimse tarafından geri getirilemez şekilde fiziksel olarak yok edilmesidir.

• Kağıt Ortamlar: Kağıt kıyma makineleri (shredder) ile geri birleştirilemeyecek boyutta parçalanır.
• Dijital Ortamlar: CD, DVD, Hard disk gibi materyaller fiziksel olarak kırılarak, yakılarak veya manyetik alanla (de-magnetize) okunamaz hale getirilerek yok edilir.

11.3.Anonim Hale Getirme

Kişisel verilerin, başka verilerle eşleştirilse dahi kimliği belirli bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. (Örn: Müşteri isimlerinin silinerek sadece "İstanbul'da yaşayan X kişi" şeklinde istatistiksel veri haline dönüştürülmesi).

 12. KİŞİSEL VERİLERİN GÜVENLİĞİ

Şirketimiz; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere izinsiz erişilmesini engellemek ve muhafazasını sağlamak amacıyla; KVKK Kurulu’nun yayınladığı "Kişisel Veri Güvenliği Rehberi" doğrultusunda gerekli tüm idari ve teknik tedbirleri almaktadır.

Verileriniz, Şirketimize ve tedarikçilerimize ait uluslararası bilgi güvenliği standartlarına uygun veri merkezlerinde ve fiziki arşivlerde yüksek güvenlik altında saklanmaktadır.

12.1.İdari Tedbirler

• Risk Analizi: Şirketimiz, tüm iş süreçlerini ve veri akışını analiz ederek "Kişisel Veri İşleme Envanteri" oluşturmuş ve riskli alanları belirleyerek tedbirler almıştır.
• Çalışan Eğitimi ve Taahhütler: Tüm çalışanlarımız, veri güvenliği konusunda düzenli eğitimlerden geçirilmekte ve iş sözleşmelerine eklenen "Gizlilik Taahhütnameleri" ile hukuki sorumluluk altına alınmaktadır.
• Tedarikçi Yönetimi: Hizmet aldığımız tedarikçilerle imzaladığımız sözleşmelere, verilerin korunması için özel "Veri Güvenliği Maddeleri" eklenmekte ve tedarikçilerimiz periyodik olarak denetlenmektedir.
• Veri Minimizasyonu: "Gerektiği kadar veri" prensibiyle hareket edilmekte; güncelliğini yitiren veya amacı kalmayan veriler, İmha Politikamız uyarınca sistemden silinmektedir.

12.2.Teknik Tedbirler

• Siber Güvenlik ve Ağ Koruması: Sistemlerimiz, güncel güvenlik duvarları ve saldırı tespit yazılımları ile korunmaktadır. Kötü amaçlı yazılımlara karşı lisanslı anti-virüs programları kullanılmakta ve düzenli taramalar yapılmaktadır.
• Şifreleme ve Kriptografi: Hassas veriler ve özel nitelikli veriler, uluslararası standartlarda (SSL/TLS) kriptografik yöntemlerle şifrelenerek saklanmakta ve transfer edilmektedir.
• Erişim Yönetimi ve Yetki Matrisi: Verilere erişim, "Yetki Matrisi" çerçevesinde sınırlandırılmıştır. Çalışanlarımız sadece görevleri gereği ihtiyaç duydukları verilere erişebilir. İşten ayrılan personelin erişim yetkileri derhal kapatılır.
• Log (Erişim) Kayıtları: Sistemlerimizde yapılan tüm işlemler (veri görüntüleme, değiştirme, silme) silinemez şekilde kayıt altına alınmakta (Loglama) ve olası ihlallerin tespiti için izlenmektedir.

12.3.Denetim ve İhlal Yönetimi

Şirketimiz, aldığı tüm bu önlemlerin etkinliğini Sızma Testleri aracılığıyla test etmektedir. Olası bir veri ihlali durumunda, KVKK'nın 12. maddesi uyarınca bu durumun en kısa sürede Kurul’a ve ilgili kişilere bildirilmesi için "Veri İhlali Müdahale Planı" devreye alınır.


13. VERİ SAHİBİ OLARAK HAKLARINIZ

KVKK’nın 11. maddesi uyarınca, Şirketimize başvurarak kişisel verilerinizle ilgili aşağıdaki haklarınızı kullanabilirsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme ve buna ilişkin bilgi talep etme,
• İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
• Eksik veya yanlış işlenmişse düzeltilmesini isteme,
• Şartları oluşmuşsa silinmesini veya yok edilmesini talep etme,
• Aleyhinize çıkan bir sonuca itiraz etme ve zarara uğranması halinde tazminat talep etme.
  
  

14. BAŞVURU YÖNTEMİ

KVKK’nın 11. maddesi kapsamındaki taleplerinizi; "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" uyarınca, aşağıda belirtilen yöntemlerle Şirketimize ücretsiz olarak iletebilirsiniz:

1. Şahsen Başvuru: Başvuru formunun doldurulup ıslak imzalı olarak imzalandıktan sonra Şirket adresine şahsen iletilmesi (Kimliğinizin tevsik edilmesi amacıyla kimlik ibrazı gereklidir).
2. Noter Kanalı: Başvuru formunun veya talep dilekçesinin Noter vasıtası ile Şirket adresine (Velibaba mah.Narin sok. No:17 Pendik/ İstanbul) gönderilmesi.
3. KEP (Kayıtlı Elektronik Posta): Başvuru formunun, 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra      (ozcsemsiye@hs01.kep.tr)  adresine gönderilmesi.
4. Kayıtlı E-Posta: Şirketimize daha önce bildirilen ve sistemimizde kayıtlı bulunan e-posta adresinizi kullanmak suretiyle iletilmesi.

14.1.Başvuruda Bulunması Zorunlu Bilgiler

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ gereği başvurunuzda;

• Ad, soyad ve başvuru yazılı ise imza,
• Türkiye Cumhuriyeti vatandaşları için T.C. Kimlik Numarası (Yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası),
• Tebligata esas yerleşim yeri veya iş yeri adresi,
• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
• Talep konusunun bulunması zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenmelidir.

 14.2.Başkası Adına Başvuru

Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için; konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletnamenin ıslak imzalı ve noter onaylı bir kopyası ibraz edilmelidir.

 14.3. Yanıt Süresi ve Ücret

Bu kapsamda yapacağınız başvurular mümkün olan en kısa zaman diliminde ve en çok 30 gün içerisinde sonuçlandırılacaktır. Söz konusu başvurular kural olarak ücretsizdir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, KVK Kurulu’nca belirlenen tarifedeki ücret alınabilir.

Şirketimiz, başvuruda bulunan kişinin "gerçek veri sahibi" olup olmadığını tespit etmek adına ilgili kişiden ek bilgi talep edebilir ve başvuruda yer alan hususları netleştirmek adına soru yöneltebilir.

 14.4.Şikayet Hakkı

KVKK m. 14 uyarınca; Şirketimizce başvurunuzun reddedilmesi, verdiğimiz cevabı yetersiz bulmanız veya süresinde başvuruya cevap vermediğimiz hâllerde; Şirketimizin cevabını öğrendiğiniz tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilirsiniz.

 15. DİĞER HUSUSLAR

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde; öncelikle yürürlükteki Kanun ve mevzuat hükümleri uygulanacaktır.

Şirketimiz; yasal düzenlemelerde yapılacak değişikliklere, Kişisel Verileri Koruma Kurulu kararlarına veya şirket süreçlerindeki yeniliklere uyum sağlamak amacıyla işbu Politikada her zaman değişiklik yapma hakkını saklı tutar. Güncel metin web sitesinde yayınlandığı tarih itibariyle yürürlüğe girer.

Web sitemizi ziyaret eden ve hizmetlerimizi kullanan kişiler; işbu Politikayı okuduklarını, içeriğini anladıklarını ve burada belirtilen hususlara uyacaklarını kabul ederler.

Kullanıcılar; bu Politikadan veya Şirketimizle olan ilişkilerinden doğabilecek uyuşmazlıklarda; Şirketimizin defter, kayıt ve belgeleri ile bilgisayar, elektronik ve sistem kayıtlarının (e-posta, log kayıtları vb.) 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 193. maddesi uyarınca geçerli, bağlayıcı ve kesin delil teşkil edeceğini gayrikabili rücu olarak kabul, beyan ve taahhüt etmişlerdir.