NİZOLİVE KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ

Kişisel verilerin korunması, NİZOLİVE LTD. ŞTİ. (bundan sonra “Şirket” veya “Nizolive” olarak anılacaktır) için önem arz eden bir husustur. Şirket, kurulduğu günden bu yana yürüttüğü faaliyetler kapsamında gerçek kişilerden elde ettiği kişisel verileri gizli tutmuş ve kişisel verilerin korunması ile veri güvenliğinin sağlanması için gerekli teknik ve idari tedbirleri alma ilkesini benimsemiştir.

Şirket, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) yürürlüğe girdiği 7 Nisan 2016 tarihinden önce de kişisel verilerin gizliliğini bir çalışma ilkesi olarak benimsemiş ve uygulamıştır.

Bu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Şirket’in kişisel veri işleme faaliyetlerine ilişkin genel ilkelerini, kurallarını ve uygulamalarını ortaya koymakta; kişisel verisi işlenen gerçek kişilerin (müşteri, ziyaretçi, çalışan adayı, çalışan, tedarikçi temsilcisi vb.) Şirket’in veri koruma yaklaşımı hakkında bilgilendirilmesini amaçlamaktadır.

2. AMAÇ

Bu Politika’nın amacı:

  • Şirket tarafından işlenen kişisel verilerin KVKK, ikincil mevzuat ve ilgili diğer düzenlemelere uygun olarak işlenmesini sağlamak,

  • Kişisel verilerin işlenmesine, saklanmasına, aktarılmasına, silinmesine, yok edilmesine ve anonim hale getirilmesine ilişkin temel ilkeleri belirlemek,

  • Veri güvenliğinin sağlanması için alınan teknik ve idari tedbirleri çerçevelemek,

  • Şirket çalışanları, iş ortakları ve tedarikçileri başta olmak üzere tüm paydaşlara kurumsal bir yol haritası sunmaktır.

Bu Politika; Şirket’in internet sitesi, fiziki mağaza/tesisleri, dijital kanalları, sözleşme ilişkileri ve diğer tüm iş süreçleri kapsamında işlenen kişisel verileri kapsar.

3. KAPSAM

Bu Politika, Şirket tarafından işlenen tüm kişisel verileri ve veri sahiplerini kapsar. Bunlar başta şunlardır:

  • Müşteriler ve potansiyel müşteriler,

  • İnternet sitesi ziyaretçileri ve kullanıcıları,

  • Tedarikçiler, iş ortakları ve bunların çalışan/temsilcileri,

  • Çalışanlar, çalışan adayları ve stajyerler,

  • Şirket fiziki alanlarını ziyaret eden ziyaretçiler,

  • Diğer üçüncü kişiler (örneğin şikâyet sahibi, referans gösterilen kişi vb.).

4. DAYANAK

Bu Politika, başta 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere;

  • Türkiye Cumhuriyeti Anayasası,

  • İlgili yönetmelik, tebliğ, rehber ve Kurul kararları,

  • Elektronik ticaret, tüketicinin korunması, ticaret ve vergi mevzuatı

çerçevesinde hazırlanmıştır.

5. TANIMLAR

Bu Politika’da geçen temel kavramlardan bazıları özetle aşağıdaki anlamlara gelir:

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

  • Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, sağlık bilgileri, biyometrik ve genetik veriler gibi KVKK’da sayılan hassas veri türleri.

  • Veri Sorumlusu: Kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek/tüzel kişi (bu Politika bakımından NİZOLİVE LTD. ŞTİ.).

  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen üçüncü gerçek veya tüzel kişi.

  • Kişisel Verilerin İşlenmesi: Kişisel veriler üzerinde gerçekleştirilen her türlü işlem (toplama, kaydetme, depolama, muhafaza, değiştirme, aktarma, silme, anonimleştirme vb.).

6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Şirket, kişisel verileri işlerken KVKK’nın 4. maddesinde belirtilen ilkelere uygun hareket eder:

  1. Hukuka ve dürüstlük kurallarına uygun olma

  2. Doğru ve gerektiğinde güncel olma

  3. Belirli, açık ve meşru amaçlar için işlenme

  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Bu ilkeler, Şirket’in tüm veri işleme süreçlerinin temelini oluşturur ve çalışanlar ile iş ortakları nezdinde de benimsenmesi için gerekli eğitim ve bilgilendirmeler yapılır.

7. KİŞİSEL VERİ KATEGORİLERİ VE İŞLEME AMAÇLARI

Şirket tarafından işlenen kişisel veri kategorileri ve bunların işlenme amaçları KVKK Aydınlatma Metninde ayrıntılı şekilde açıklanmış olup, özetle aşağıdaki gibidir:

  • Kimlik ve iletişim verileri: Ad, soyad, T.C. kimlik numarası, vergi kimlik numarası, şirket unvanı, yetkili kişi bilgileri, adres, telefon, e-posta vb. veriler; sipariş ve satış süreçlerinin yürütülmesi, kurumsal fatura düzenlenmesi, sözleşme süreçleri ve resmi bildirimlerin yapılması amacıyla işlenir.

  • Müşteri işlem verileri: Ürün ve hizmetlerin sunulması, siparişlerin takibi, iade ve değişim süreçlerinin yönetimi, müşteri memnuniyeti analizleri.

  • Finansal veriler: Ödeme ve tahsilat bilgileri, fatura içerikleri, kurumsal fatura için kullanılan vergi dairesi, vergi numarası ve şirket bilgileri; muhasebe ve finans süreçlerinin yürütülmesi, vergi ve ticaret mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesi amacıyla işlenir.

  • İşlem güvenliği verileri: Sistem güvenliğinin sağlanması, yetkisiz işlem ve dolandırıcılık girişimlerinin önlenmesi, log kayıtlarının tutulması.

  • Görsel ve işitsel veriler: Şirket binalarındaki kamera kayıtları ile fiziki güvenliğin sağlanması.

  • Özel nitelikli kişisel veriler (iş ilişkisi gerektiriyorsa): Çalışanların veya çalışan adaylarının iş sağlığı ve güvenliği, istihdam süreçleri vb. çerçevesinde, KVKK’da öngörülen şartlara uygun olarak işlenmesi.

Ayrıntılı liste ve örnekler için “KVKK Aydınlatma Metni” esas alınır.

8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Şirket, özel nitelikli kişisel verileri (örneğin sağlık verileri, biyometrik veriler vb.) sadece;

  • KVKK’da sayılan özel koşullar bulunduğunda,

  • İlgili kişinin açık rızası veya kanunda açıkça öngörülmesi hâlinde,

  • Yeterli teknik ve idari güvenlik tedbirleri alınarak

işler ve bu verilerin korunması için daha sıkı güvenlik önlemleri uygular. Özel nitelikli kişisel verilerin işlenmesi Kurul’un belirlediği güvenlik tedbirlerine uygun şekilde yürütülür.

9. KİŞİSEL VERİLERİN AKTARILMASI

Şirket, kişisel verileri yurt içinde ve yurt dışında aktarırken KVKK’nın 8. ve 9. maddelerine uygun hareket eder.

  • Yurt içi aktarımlar:

    • Kargo ve lojistik şirketleri,

    • Mali müşavirlik, muhasebe ve denetim hizmeti sağlayıcıları,

    • Bilgi teknolojileri altyapı sağlayıcıları,

    • Hukuk ve danışmanlık firmaları,

    • Yetkili kamu kurum ve kuruluşları

gibi taraflara, işleme amacıyla sınırlı olarak veri aktarımı yapılabilir.

  • Yurt dışı aktarımlar:
    Kişisel verilerin yurt dışına aktarılması gerektiğinde; Kurul tarafından ilân edilen yeterli korumanın bulunduğu ülkelere veya yeterli korumanın bulunmaması hâlinde KVKK’da öngörülen taahhütname ve Kurul izni veya ilgili kişinin açık rızası gibi şartlardan birinin varlığı aranır.

Aktarım yapılan taraflar ve aktarım amaçları, ilgili kişilere sunulan Aydınlatma Metni ile ayrıca bildirilir.

10. KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Şirket, kişisel verileri ilgili mevzuatta öngörülen veya işleme amaçları için gerekli olan süre boyunca saklar. Bu sürelerin dolmasının ardından kişisel veriler, KVKK ve ilgili mevzuata uygun olarak;

  • Silinir,

  • Yok edilir veya

  • Anonim hale getirilir.

Kişisel verilerin saklama süreleri belirlenirken;

  • Tüketici, vergi ve ticaret hukuku,

  • Zaman aşımı süreleri,

  • Şirket’in meşru menfaatleri

gibi kriterler dikkate alınır.

Şirket, kişisel verilerin imhası süreçlerini sistematik şekilde yürütmek amacıyla ayrıca bir Veri Saklama ve İmha Politikası’na dayanabilir; bu durumda işbu Politika ile söz konusu politika birlikte uygulanır.

11. VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK VE İDARİ TEDBİRLER

Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere yetkisiz erişimi önlemek, verileri muhafaza etmek için KVKK’nın 12. maddesi kapsamında gerekli teknik ve idari tedbirleri almaktadır. Bu çerçevede:

Teknik tedbirlerden bazıları:

  • Yetki matrisi ve erişim kontrol mekanizmaları,

  • Güçlü parola ve kimlik doğrulama politikaları,

  • Güvenlik duvarları, antivirüs ve saldırı tespit/önleme sistemleri,

  • Yedekleme, loglama ve sistem izleme,

  • Gerekli hâllerde şifreleme ve maskeleme yöntemleri.

İdari tedbirlerden bazıları:

  • Çalışanlara düzenli KVKK ve bilgi güvenliği eğitimleri verilmesi,

  • Gizlilik taahhütnameleri ve ilgili sözleşmelerde veri koruma hükümlerine yer verilmesi,

  • İş süreçlerinin KVKK’ya uyumlu şekilde tasarlanması,

  • Veri işleyen sıfatıyla hizmet sunan üçüncü kişilerin denetlenmesi,

  • İhlal ve olay yönetimi prosedürlerinin oluşturulması.

Olası bir kişisel veri ihlali tespit edilmesi hâlinde, Şirket; KVKK ve Kurul kararlarında öngörülen şekilde ilgili kişiye ve Kurul’a bildirim yükümlülüklerini yerine getirmeyi hedefler.

12. İLGİLİ KİŞİNİN HAKLARI VE BAŞVURU USULÜ

İlgili kişiler, KVKK’nın 11. maddesi kapsamında sahip oldukları hakları kullanmak için Şirket’e başvurabilir. Bu haklar arasında özetle;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,

  • İşlenmişse buna ilişkin bilgi talep etme,

  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,

  • Verilerin aktarıldığı üçüncü kişileri bilme,

  • Eksik veya yanlış işlenmişse düzeltilmesini isteme,

  • İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde verilerin silinmesini/yok edilmesini isteme,

  • Bu işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  • Otomatik sistemler ile analiz sonucu aleyhe bir durum oluşması hâlinde itiraz etme,

  • Kanuna aykırı işleme sebebiyle zarara uğranması hâlinde zararın giderilmesini talep etme

yer almaktadır.

Başvuru usulü, adres ve iletişim bilgilerine ilişkin ayrıntılar **“KVKK Aydınlatma Metni”**nde gösterilmiş olup, başvurular KVKK’nın 13. maddesine uygun olarak en geç 30 (otuz) gün içinde değerlendirilir.

13. ÇALIŞANLAR, İŞ ORTAKLARI VE TEDARİKÇİLERİN YÜKÜMLÜLÜKLERİ

Şirket çalışanları, iş ortakları ve tedarikçileri;

  • Kendilerine aktarılan veya eriştikleri kişisel verileri, sadece ilgili iş amacı doğrultusunda kullanmakla,

  • Bu verileri üçüncü kişilerle paylaşmamakla,

  • Şirket’in belirlediği bilgi güvenliği ve gizlilik prosedürlerine uymakla,

  • Görevleri sona erse dahi öğrendikleri kişisel verilerin gizliliğini korumakla

yükümlüdür.

Şirket, söz konusu yükümlülüklere aykırı hareket eden kişiler hakkında gerekli disiplin ve hukuki süreci işletme hakkını saklı tutar.

14. POLİTİKANIN YAYINLANMASI, YÜRÜRLÜĞÜ VE GÜNCELLENMESİ

Bu Politika, Şirket tarafından onaylanarak yürürlüğe girmiş olup;

  • Şirket içinde çalışanların erişimine açık şekilde bulundurulur,

  • Şirket internet sitesinde [www.nizolive.com / ilgili alan adı] üzerinden kamuoyunun erişimine sunulabilir.

Mevzuatta meydana gelebilecek değişiklikler, Kurul kararları veya Şirket’in kişisel veri işleme faaliyetlerinde ortaya çıkabilecek yeni ihtiyaçlar doğrultusunda bu Politika güncellenebilir. Politikanın güncel hâli, yayınlandığı tarih itibarıyla geçerli olur.

15. SON HÜKÜMLER

Bu Politika, genel çerçeveyi ve ilkeleri düzenlemekte olup; belirli süreçlere ilişkin olarak hazırlanmış KVKK Aydınlatma Metinleri, Veri Saklama ve İmha Politikası ve diğer iç prosedürler ile birlikte değerlendirilir.