{ "type": "identify", "data": { "id":"", "user": { "email": "", "signupDate": "", "gender": "", "permission": "", "memberTypes": "guest" } } }
{ "type": "pageViewed", "data": "" }
{ "type": "gtmStart" }
0850 800 42 82 ATASAYIM GARANTİDE
Anasayfa | Kişisel Verilerin Korunması Ve Işlenmesi Politikası

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Hazırlayan    : ATASAY KUYUMCULUK SAN. VE TİC A.Ş. Hukuk Müşavirliği Versiyon    : 2.0

Onaylayan    : ATASAY KUYUMCULUK SAN. VE TİC A.Ş. Yönetim Kurulu tarafından onaylanmıştır.

Güncelleme Tarihi    : 11/11/2018


GİRİŞ

İşbu Politika, ATASAY KUYUMCULUK SAN. VE TİC A.Ş. ve bünyesindeki şirketler tarafından kişisel verilerin korunması ve hukuka uygun işlenmesi için benimsenecek ve içselleştirilecek idari yapı, süreç ve prosedürleri ifade etmektedir.

İşbu Politika’nın amacı, kişisel verilerin güvenliği ve korunması hususunda gerekli teknik ve idari önlemleri alarak, kişisel verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK” veya “Kanun”) uyumlu olarak işlenmesinin ve tutulmasının içselleştirilmesi ve çalışanlar ve tüm iş ortaklarında gerekli farkındalığın yaratılarak Kanun’a uyum sağlanmasıdır.

Atasay Şirketleri iş ve işlemleri süresince kişisel verilerin yasal gerekliliklere uygun olarak ele alınması ve uygunluğun sağlanması amacıyla hem kendi içinde hem de mümkün olduğu sürece Atasay Şirketleri’nin verileri dahil bunlar tarafından sağlanan verileri işleyen üçüncü kişiler tarafından makul adımların atılmasını sağlama sorumluluğu altındadır. Bu sorumluluğunun bilincinde olan Atasay, bu konuda yetkin idari ve hukuki görüşler almakta ve verilerin Kanun’un gerekliliklerinin ötesinde güvenle korunması için gereken adımları uygulamaktadır. Bu kapsamda, mevcut uygulamalarına ilişkin de detaylı analiz çalışmaları gerçekleştirmiş ve analiz sonuçları çerçevesinde tüm süreçlerini Kanun’a ve kişisel verilerin korunmasına ilişkin tüm uluslararası düzenlemelere uygun hale getirmek üzere her tür idari ve teknik süreci başlatmıştır. İşbu Politika’ da ifade edilen pek çok adım hâlihazırda Atasay Şirketleri bünyesinde uygulanmakta olan sistemi yansıtmakta ve Kanun’un gerektirdikleri hâlihazırda Atasay Şirketleri tarafından yerine getirilmektedir. Atasay, Kanun ve kişisel verilerin korunmasına ilişkin başlattığı uyum çalışmasını, kişisel verilerin korunmasına ilişkin en üst düzey standartların belirlenmesi ve uygulanabilmesini sağlamak üzere iş yapış sürecinde bir iyileştirme fırsatı olarak görmektedir.

İşbu Politika, Atasay Şirketleri tarafından tutulan ve çalışanlarına, müşterilerine, tedarikçilerine ve diğer tüm bireylere ait kişisel verilerin hukuka uygun bir biçimde işlendiğinden, Kanun ve buna ait değişiklikler kapsamında öngörülen gereklilikler de dâhil olmak üzere, ilgili tüm yasal gerekliliklere uyulduğundan ve Atasay Şirketleri’nin iç prosedürlerinin dürüstlük kurallarına ve hukuka uygunluğu sağlamak için periyodik olarak denetlendiğinden emin olmak için gerekli tüm adımların atılması amacıyla hazırlanmıştır.

Atasay Şirketleri tarafından bu Politika’ ya tam bir uyum ile hareket edilecek olup tüm Atasay Şirketleri bu Politika uyarınca denetlenecek ve uyum devamlılığı ile Atasay ailesinin her bir ferdi bakımından içselleştirilmesi temin edilecektir.

TANIMLAR

Atasay veya Atasay Şirketleri: Atasay Kuyumculuk San. Ve Tic. A.Ş. ile iştirakleri şirketlerinin tamamını kapsamaktadır. Her bir şirket ayrı ayrı Atasay, birlikte Atasay Şirketleri olarak anılacaktır.

Veri: Elektronik olarak bilgisayarda ya da bir takım kâğıt bazlı dosyalama sistemlerinde saklanan bilgileri ifade etmektedir.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Atasay Şirketleri, müşteri tercihlerini anlamak ve daha iyi hizmet vermek ve benzeri amaçlar ile internet siteleri aracılığıyla, genel olarak “web kayıt bilgisi" adı verilen verileri (kullanıcıların internet tarayıcılarına, mobil cihazlarına, işletim sistemine, ziyaret ettiği sayfalara, bu sayfalara eriştiği diğer internet sayfalarına, ilgili internet sitesini ziyaret ettiği tarih ve zamana, ziyaret edilen spesifik sayfalara ve daha fazlasına ait bilgiler ve benzerlerini) toplayabilir ve internet sitesinde yer alan sayfaların ziyaret edilmesi halinde, çerezleri (cookies) kullanabilir. Bu kapsamda Kişisel Veri elde edilmesi ya da bu yol ile toplanan verilerin birlikte işlenmesi halinde belirli bir kişiye işaret etmeleri durumunda, çerezler ve web kayıt bilgileri de işbu Politika’ya tabi olacaktır.

Özel Nitelikli / Hassas Kişisel Veri: Irka, etnik kökene, siyasi düşüncelere, felsefi inanca, dine, mezhebe veya diğer inançlara, kılık ve kıyafete, dernek, vakıf ya da sendika üyeliklerine, sağlığa, cinsel hayata, ceza mahkûmiyeti ve güvenlik tedbirlerine ve biyometrik verilere ilişkin verileri ifade etmektedir. Hassas veriler sadece sıkı şartlar altında işlenebilirler ve işlenmesi genellikle veri sahibinin açık rızasını gerektirmektedir.

Veri İlgilisi veya Sahipleri: Kişisel Verileri Atasay tarafından işlenen çalışanlar dahil tüm gerçek kişileri kapsamaktadır. Veri sahibi Türk vatandaşı olmak ya da Türkiye’de ikamet etmek zorunda değildir. Tüm veri sahipleri, kendi kişisel verilerine ilişkin yasal haklara sahiptir.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Bu kişilerin, Kanun’a uygun olarak uygulamalar ve ilkeler belirlemek yönünde sorumlulukları vardır. Atasay’ ın iş süreçlerinde kullanılan tüm kişisel verilere ilişkin veri sorumlusu ilgili Atasay Şirketi ve Atasay olmaktadır.

Veri İşleyen: Bir veri sorumlusu tarafından verilen yetkiye dayanarak ve onun adına veri işleyen herhangi bir kişidir. Veri sorumlusunun çalışanlar bu tanımın dışındadır, ancak uygulanabilir olması halinde, Atasay adına kişisel veri işleyen tedarikçiler, iş ortakları ve diğer üçüncü kişiler bu tanıma dahil edilebilir.

Veri İşleme / İşleme: Veri kullanımına ilişkin her türlü aktiviteyi kapsamaktadır. Verinin elde edilmesi, kaydedilmesi ya da tutulmasını, ya da veriyi düzenlenme, değiştirme, geri alma,

kullanma, açıklama, silme ya da yok etme de dâhil olmak üzere veri üzerinde yürütülen bir veya bir takım işlemleri içerir. Verinin üçüncü kişilere aktarılması da verinin işlenmesi anlamına gelmektedir.

Politikanın Amacı

İşbu Politika ile amaçlanan, Atasay Şirketleri tarafından Kanun’a uyum için gerekli düzenlemelerin her bir Atasay Şirketi bünyesinde benimsenmesinin sağlanması, uygulanacak politikaların düzenlenmesi ve iştirakler arasında bir birliğin oluşturulmasıdır. Bu bağlamda Politika, Kanun ve ilgili mevzuat tarafından konulan kuralların Atasay Şirketleri tarafından nasıl uygulandığına / uygulayacağına ilişkin temel ve tüm iş birimleri için geçerli kurallar ve ilkelerin belirlenmesini amaç edinmektedir.

Atasay Şirketleri, tüm iç süreçlerini Politika’ya uygun hale getirecektir. Politika’ya uyum için gerekli düzenlemeleri yapacak ve belirli aralıklara Politika’ya uyum konusunda, denetim mekanizmalarını işleterek Politika’ya uyumun devamlılığını sağlayacaklardır. Tüm çalışanlarının Politika’ya uyumunu teyit edecek ve değişiklikler hakkında tüm ilgililerin bilgilendirilmesini temin edecektir. Değişen ve yenilenen süreçlere, en kısa sürede uyum gösterilmesi için şirket içi eğitimler düzenlenecek ve tüm çalışanlar nezdinde tüm sürecin Kanun’a uygun yürütülmesinden sorumlu olacaktır.

Bu Politika ile Atasay Şirketleri’nin Kanun ve ilgi mevzuat kapsamında gerekli idari yapı, süreç ve prosedürlerin oluşturulup, Kişisel Verilerin güvenliği ve korunması hususunda gerekli teknik ve idari önlemlerin alınması sağlanarak, Kişisel Verilerin Kanun’a uyumlu şekilde işlenmesinin ve tutulmasının içselleştirilmesi, çalışanlar ve tüm iş ortaklarında gerekli farkındalığın yaratılarak, Kanun’a uyum sağlaması amaçlanmaktadır.


  • KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

    Atasay bakımından önem arz eden hususlardan biri, Kişisel Verilerin Kanun ve ilgili mevzuatta öngörülen genel ilkelere uygun olarak işlenmesidir. Bu kapsamda, Atasay Şirketleri tarafından Kişisel Veriler;

    • Hukuka ve iyi niyete uygun olarak işlenmelidir:
      • Bu ilkenin amacı Kişisel Verinin işlenmesi önlemek değil, Kişisel Verilerin işlenmesinin dürüstlük kurallarına ve hukuka uygun, Veri İlgisinin haklarını olumsuz şekilde etkilemeyecek şekilde yapıldığından emin olmaktır.
      • Veri Sahibine, Veri Sorumlusunun kim olduğu, verinin Atasay tarafından hangi amaçla işleneceği, verinin açıklanabileceği veya aktarılabileceği kişilerin kimliği ve bu veri sahibinin hakları söylenmelidir.
      • Kişisel Verinin hukuka uygun olarak işlenebilmesi için bir takım şartların sağlanması gerekir. Bunlar, diğerlerinin yanı sıra, Veri Sahibinin Kişisel Verilerinin işlenmesine rıza göstermiş olması ya da işlemenin Veri Sorumlusunun veya verinin açıklandığı üçüncü kişinin meşru menfaati kapsamında gerekli olması gibi gereklilikleri içerebilir. Bazı durumlarda Veri Sahibinin ilgili verinin işlenmesine ilişkin açık onay vermesi gerekebilir.
      • Kişisel Veriler, Veri Sahibinin açık rızası halinde İşleme hariç olarak, ancak işlemenin kanunlarda açıkça öngörülmüş olması; fiili imkansızlık nedeniyle rızasını açıklayamayacak durumunda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; işlemenin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; işlenen verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması; işlemenin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işlemenin veri sorumlusunun meşru menfaatleri için zorunlu olması hallerinden birinin varlığı halinde işlenecektir. Ancak Kişisel Verilerin işlenmesine ilişkin burada sınırlı olarak sayılan istisnalar kapsamında işlenen verilerin Veri İlgililerine, Kanun’un 16. Maddesi uyarınca öngörülen Aydınlatma Yükümlülüğü’nü kapsayacak şekilde bilgilendirme yapılacak, söz konusu bilgilendirme ile Kişisel Verilerin Atasay Şirketleri tarafından işbu Politika uyarınca işlendiği konusunda bilgi verilecek ve verilerin Kanun, ilgili mevzuat ve işbu Politika’ya uygun olarak işlendiği teyit edilecektir.
      • Atasay, bu çerçevede, Kanun’daki düzenlemelere uyum için gerekli süreçleri oluşturacaktır.

    • Belirli, açık ve meşru amaçlar için işlenmelidir:
      • Kişisel Veri, verinin ilk toplandığı sırada Veri Sahibine bildirilen belirli amaçlar çerçevesinde ya da Kanun tarafından özellikle izin verilen herhangi başka bir amaçla işlenebilir. Bu, Kişisel Verinin belirli bir amaç için toplanıp, sonradan başka bir amaç için kullanılamayacağı anlamına gelir. Eğer Kişisel Verinin işlenme amacının değiştirilmesi zorunlu hale gelirse, Kişisel Veri işlenmeden önce veri sahibinin söz konusu yeni işleme amacından haberdar edilmesi gerekir.

    • Sınırlı, ölçülü ve amaç için gerekli şekilde işlenmelidir:
      • Kişisel veri, sadece Veri Sahibine bildirilen belirli amacın gerektirdiği ölçüde toplanmalıdır. Bu amaç için gerekli olmayan herhangi bir verinin toplanmaması gerekir. Tüm çalışanlar gerekli olmayan kişisel verileri almaktan kaçınmalıdır. Tedarikçilerle/üçüncü kişilerle imzalanan sözleşmeler de bu kuralı yürürlüğe koyan mekanizmalar içermelidir.

    • Doğru ve gerektiğinde güncel olmalıdır:
      • Veri Sahiplerinin verilerini güncellemeleri için olanaklar tanınmalı ve bu olanaklar konusunda Veri Sahipleri bilgilendirilmelidir. Kişisel verilerin alınması sırasında, güncelleme süreçlerine ilişkin Veri Sahiplerine bilgi verilmelidir. Çalışanlar tarafından da belirli aralıklarla verilerin güncelliği teyit edilmeli ve güncel olmayan veya güncel olarak işlenmesinde yarar görülmeyen tüm veriler, güncellenme imkânı söz konusu değil ise silinmeli ya da anonim hale getirilmelidir.

    • İlgili mevzuat uyarınca öngörülmüş süreden ya da veri toplama amacının zorunlu kıldığı süreden fazla tutulmamalı / saklanmamalı ve arşivlenmemelidir:
      • Kişisel Veri, amacın gerektirdiğinden daha uzun süre tutulmamalıdır. Başka bir deyişle, kişisel verilerin işlenmesi artık gerekli olmadığında veya ihtiyaç kalmadığında, kişisel veriler yok edilmeli ya da Atasay sistemlerinden silinmelidir veya anonim hale getirilmelidir. Kişisel Verinin gelecekte kullanılması gerekebileceği varsayımı ile saklanmaması ve arşivlenmemesi gerekmektedir.
      • Her bir iş birimi, farklı türdeki Kişisel Verilerin işlenmesi için gerekli süreyi değerlendirmeli ve gerekli sürenin ne kadar olduğunu yazılı şekilde belirlemelidir.
      • Bu süre, işlemenin amacı gereğince iş biriminin veriyi tutmasını gerektiren süreyi aşmamalıdır.
      • Kişisel Verilerin saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin politikalara ilişkin ( E) başlığına bakınız.

    • Veri Sahibinin haklarıyla uyumlu olarak işlenmelidir:
      • Veri Sahibini haklarına ve hukuki başvuru yollarına ilişkin (C) başlığına bakınız.

    • Güvende tutulmalıdır:
      • Veri Güvenliğine ilişkin Atasay politikalarının detaylarına ilişkin (D) başlığına bakınız.

    • Yeterli korumaya sahip olmayan ülkelerde bulunan kişilere ya da organizasyonlara aktarılmamalıdır:
      • Atasay Şirketleri tarafından Kişisel Veriler, yurtdışına aktarılmamaktadır. Arşivleme amacı ile Kişisel Verilerin tutulduğu, üçüncü kişilerin mülkiyetindeki serverlar dahi Türkiye’de yer almakta ve güncel durumda verilerin yurtdışına aktarımı söz konusu olmamaktadır.
      • Ancak, Şirket politikaları gereği Kişisel Verilerin yurtdışına aktarılması veya yurtdışındaki serverlar da tutulmasının kararlaştırılması halinde, ancak KVKK hükümlerine uygun şekilde ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirleyeceği kurallar çerçevesinde yurt dışına aktarılacaktır.
      • Kişisel Verilerin üçüncü kişilere aktarımına ilişkin (D) başlığına bakınız.


  • KİŞİSEL VERİ SAHİBİNİN HAKLARI

    Kişisel Veri Sahipleri, Kanun’un 11. Maddesinde düzenlenen,

    • Kişisel Verisinin işlenip işlenmediğini öğrenme,
    • Kişisel Veri işlenmişse, buna ilişkin bilgi talep etme,
    • Kişisel Veri işleme amacını ve verilerin amaca uygun kullanılıp kullanılmadığını öğrenme,
    • Kişisel Verilerin aktarıldığı üçüncü kişileri öğrenme ve
    • Kişisel Veriler eksik ya da yanlış işlenmişse bunların düzeltilmesini isteme ve bunun Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme hakları ile
    • Kişisel Verilerin Kanun’a aykırı işlenmesi sebebiyle zarara uğranması durumunda tazminat talep etme haklarını

    haiz olup Atasay Şirketleri tarafından Veri Sahibinin talebi üzerine bu hakların yerine getirilmesi konusunda en kısa süre içerisinde aksiyon alınacak ve Veri Sahibine taleplerine ilişkin prosedür ile ilgili detaylı bilgi verilecektir.



  • KİŞİSEL VERİLERİN GÜVENLİĞİ

    Atasay Şirketleri, Kişisel Verilerin hukuka aykırı işlenmesini önlemek, Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel Verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

    Atasay, hukuka aykırı ya da yetkisiz Kişisel Veri işlenmesine veya Kişisel Verinin bir kaza sonucu kaybı ya da zarar görmesine karşı uygun güvenlik önlemlerinin alındığından emin olmalıdır. Bu tür zararlara uğramaları durumunda Veri Sahipleri, dava yolu ile tazminat talebinde bulunabilecektir.

    Kanun, Kişisel Verilerin toplanma anından yok edilme anına kadar güvenliğinin sağlanabilmesi için, Atasay’ın bir takım idari ve teknik önlemler almasını zorunlu kılmaktadır.

    Veri güvenliğinin sağlanması, aşağıda tanımlandığı üzere, kişisel verinin gizliliğinin, bütünlüğünün ve erişiminin garanti altına alınması anlamına gelmektedir.

    • Gizlilik, sadece veriyi kullanmaya yetkili kişilerin veriye erişmesi anlamına gelmektedir.
    • Bütünlük, kişisel verinin doğru olması ve işlenme amacına uygun olması anlamına gelmektedir.
    • Erişim, yetkili kullanıcıların, yetkilendirilmiş oldukları amaç çerçevesinde ihtiyaç duymaları halinde, veriye erişebilmeleri anlamına gelmektedir.

    Kişisel Verilere ilişkin güvenlik prosedürleri, veri güvenliğine ilişkin teknik anlamda yetkin Atasay bünyesindeki Bilişim Teknolojileri (“BT”, “IT”) birimine danışılarak yürürlüğe konacaktır. Atasay Şirketleri’nin hâlihazırdaki uygulamalarına uyumlu olarak her bir iş biriminin erişim yetkileri, ilgili iş birimi bakımından gerektiği ölçüde sınırlandırılacaktır. İlgili sınırlandırmalar, Atasay Şirketleri nezdinde hâlihazırda uygulanmaktadır ve bu sınırlandırmalar düzenli aralıklarla gözden geçirilecek ve Kişisel Verilere erişim yalnızca zorunlu olduğu ölçüde söz konusu olabilecektir.

    Atasay Şirketleri’nin tüm çalışanları, veri güvenliğine ilişkin belirlenecek prosedürler çerçevesinde bilgilendirilecek ve eğitilecektir. Bu kapsamda, Kişisel Verilere erişmek üzerine şifre ile giriş yapılan sistemlere ilişkin şifreler, herhangi bir üçüncü kişiye veya yetkisiz çalışana açıklanmayacaktır. Kişisel Verilere erişme yetkisi verilen kullanıcılar, uygulanabilir olması durumunda, bireysel ekranlarının yakınından geçenlere gizli bilgilerin gösterilmediğinden ve ekranlarının başında olmadıkları zaman bilgisayar oturumlarını kapattıklarından emin olacaktır.

    Atasay Şirketleri nezdinde tutulan Kişisel Veriler dahil tüm verilerin güvenliği için gereken teknik önlemler halihazırda alınmakta olup Atasay Şirketleri tarafından mevcut güvenlik sistemleri, virüs koruma programları ve ileti gönderilerine ilişkin koruma sistemleri periyodik olarak denetlenecek ve tüm bu sistemlerin en güncel sürümleri yürürlüğe konulacaktır. Bu konuda, teknolojik gelişmeler takip edilecek ve ortaya çıkabilecek risklere en kısa sürede müdahale edecek teknik ekip ve sistem tahsis edilecektir.

    Yukarıdakilere ek olarak, tüm Atasay çalışanları, işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi ve/veya Kişisel Verilerin güvenliğine ilişkin herhangi bir riskin söz konusu olması hâlinde derhal , gereken önlemlerin koordinasyonu ve uygulanabilir olması halinde bu durumun en kısa sürede ilgili Veri Sahibine ve Kurula bildirilmesi için [Atasay KVK Komitesi] birimine bilgi verecektir.

    Uygulanabilir olması halinde, Kişisel Verilerin hukuka uygun olarak aktarıldığı mevcut üçüncü kişiler ile yapılan sözleşmeler, hâlihazırdaki gizlilik yükümlülüklerine ek olarak, Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağını ve kendi işletmelerinde / kurumlarında / kuruluşlarında bu tedbirlere uyulmasını sağlayacağını temin etmek üzere değiştirilmektedir. Atasay’ın gerektirdiği güvenlik önlemlerini sağlamayan ve verilerin gizliliği, bütünlüğü ve erişimine ilişkin Kanun’un gerekliliklerini yerine getirmeyen üçüncü kişilere hiçbir surette Kişisel Veri aktarılmayacaktır.

  • KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI

    Kişisel Verilerin yurtiçindeki üçüncü kişilere aktarılabilmesi, Kişisel Verilerin işlenme amaçları ile Veri Sahipleri ile akdedilen sözleşmelerin ifası için zorunlu olması ve Şirketin meşru menfaatleri gerektirdiği ölçüde Kanun’un öngördüğü şartlara uygun olarak gerçekleştirilmektedir. Kişisel Verilerin işlenme amaçları dışında başka bir amaçla veri aktarımı yapılmamaktadır. Ancak her ne kadar İşlemenin, rıza alınmasını gerektiren istisnaları kapsamında değerlendirilse de elde edilecek olan yeni Veri Sahiplerinin Kişisel Verilerinin Atasay Şirketleri’nin kendi aralarında ve Atasay’nun gerektirdiği güvenlik önlemlerini alan iş ortaklarına aktarılması için ilgili Veri Sahibinin açık rızasının alınması sağlanacaktır. Atasay Şirketleri, iş ortaklarının seçiminde kişisel verilerin gizliliğine ilişkin hususlarda ön inceleme yapacak ve onlarla yapacağı sözleşmelerde Kişisel Verilerin güvenliği ve gizliliğine ilişkin Kanun’un gerekliliklerini tatmin edecek hükümlere yer verilmesini sağlayacaktır.

    Atasay Şirketleri tarafından Kişisel Veriler, yurtdışına aktarılmamaktadır. Arşivleme amacı ile Kişisel Verilerin tutulduğu, üçüncü kişilerin mülkiyetindeki serverlar dahi Türkiye’de yer almakta ve güncel durumda verilerin yurtdışına aktarımı söz konusu olmamaktadır. Ancak, Şirket politikaları gereği Kişisel Verilerin yurtdışına aktarılması veya yurtdışındaki serverlarda tutulmasının kararlaştırılması halinde, alınmamış ise Veri İlgilisinin ilgili Atasay Şirketi tarafından açık rızası alınacak ve veri, kural olarak, Kurul’un belirleyeceği yeterli korumanın bulunduğu ülkelerden dışında bir ülkeye aktarılmayacaktır. Kişisel Veriler, uygulanabilir olması durumunda, ancak Atasay ve ilgili ülkede veri sorumlusu olacak gerçek ve/veya tüzel kişi tarafından yeterli korumanın bulunduğu yazılı olarak taahhüt edilmek ve Kurul’un veri transferine izni alınmak kaydıyla yeterli korumanın olmadığı yabancı ülkelere de aktarılabilecektir.

    Bu bağlamda, Atasay tarafından Kanun’un 8. ve 9. Maddesinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli süreçler tasarlanacaktır. İşbu Politika’ yı onaylayan Veri Sahipleri, işbu Politika’ da belirtilen hususlara tabi olmak üzere, Kişisel Verilerinin, işlenmesinin gerektirdiği amaçlar ve arşivleme amacı ile sınırlı olarak, kanun ve yargı kararları ile idari kararlar dâhil kamu kurum ve kuruluşlarının ilgili mevzuatta düzenlenen hakları çerçevesinde bilgi ve belge talep ettiği hallerde Kişisel Verilerin aktarılabileceği istisnası saklı kalmak kaydıyla, Atasay Şirketleri arasında ve / veya üçüncü kişi iş ortakları, hizmet / destek / danışmanlık alınan ya da işbirliği yapılan ya da proje / program / finansman ortağı olunan kamu / özel kurum ve kuruluşlar, tedarikçiler, Atasay Şirketlerinin ortakları, şirket yetkilileri, bankalar, fonlar, şirketler ve sair 3. kişi ya da kuruluşlar ile paylaşılmasına açık şekilde rıza göstermektedir.

    Atasay Şirketlerinin faaliyetlerinin şirketler topluluğumuzun ilke, operasyon, süreç, hedef ve stratejilerine uygun olarak yürütülmesi, Atasay’ın hak ve menfaatleri ile itibarının korunması amacıyla gerekli görülmesi halinde, kişisel verilerin, Atasay Şirketleri veya iş ortakları tarafından ve şirketler topluluğumuzun hâkim şirketi tarafından işlenebilmesi, grubumuzun meşru menfaati kapsamındadır. Bu durum, Kişisel Verilerin, Kanun’a aykırı şekilde işlenmesi anlamına gelmeyecek olup tüm Atasay Şirketleri, Kanun’a en üst derecede uyum gösterecek şekilde süreçlerini yönetmektedir. Atasay Şirketleri, tüm Veri İlgililerine bu duruma ilişkin aydınlatma yükümlülüğünü yerine getirecek ve veri aktarımına ilişkin Veri İlgililerinin yazılı rızalarını alacaktır.

  • KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ PROSEDÜRLERİ

    Kişisel Verilerin Silinmesi ve Yok Edilmesi Prosedürü

    Atasay Şirketleri, Kanun’a uygun şekilde, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, ilgili kanun ve mevzuatta öngörülen asgari saklama sürelerine riayet etmek koşulu ile Kişisel Verileri re’sen veya ilgili kişinin talebi üzerine silecek veya yok edecektir. Silme veya yok etme sırasında kullanılan teknikler;

    • Fiziksel Olarak Yok Edilebilir
      Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

    • Yazılımdan Güvenli Olarak Silinebilir
      Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

    Kişisel Verileri Anonim Hale Getirme Prosedürü

    Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surettekimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

    Anonimleştirme için kullanılan Prosedürler

    Maskeleme (Masking)

    Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

    Toplulaştırma (Aggregation)

    Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

    Veri Türetme (Data Derivation)

    Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

    Veri Karma (Data Shuffling, Permutation)

    Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
    Kişisel Verilerin, silinmesi, yok edilmesi ve anonim hale getirilmesi için asgari süreler, ilgili Kişisel Veriyi işleyen iş birimi tarafından belirlenecek ve tüm Atasay Şirketleri’nin sistemleri, bu süreçlere uygun hale getirilecektir. Yasal zorunluluklardan daha uzun süre veri saklanmasına ilişkin Atasay Şirketlerinin Kişisel Veri işleme amaçları uyarınca bir karar alınması halinde, bu karar ve Kişisel Verilerinin ne kadar süre işleneceğine ilişkin Veri İlgililerine ayrıca bilgi verilecektir. Her halde, Atasay Şirketleri, Kişisel Verilerin saklanmasına ilişkin prosedürlerine ve veri işleme amaçlarına ilişkin aydınlatma yükümlülüğüne uygun davranmak zorundadır.
    İlgili kanun ve mevzuat uyarınca saklanması için asgari sürelerin söz konusu olduğu verilere ilişkin bu sürelerin geçmesinden önce Veri İlgililerinden gelecek silme, yok etme veya anonim hale getirmeye ilişkin talepler, ilgili yasal zorunluluklar açıklanmak kaydıyla reddedilecektir.
    Kişisel verilerin saklanmasına ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Atasay’ ın veri işleme amacı uyarınca belirleyeceği, mevcut iş yapış, prosedür ve uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte; daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı, ilgili mevzuat ve Atasay Şirketleri’nin belirlediği süreler sona erse dahi, kişisel veriler olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla (güncellikleri teyit ve temin edilmeden) yeniden olağan işlenmeleri söz konusu olmamak kaydıyla arşivlenebilecektir. Arşivleme sürelerinin tespitinde zamanaşımı süreleri dikkate alınmakla beraber, Atasay Şirketlerinin kendi tecrübeleri ve benzer veri gruplarına ilişkin önceki talepler ışığında zamanaşımı sürelerini aşan süreler belirlenmesi mümkün olabilecektir. Bu durumlarda, kişisel verilere (güncellikleri ve işlenmelerine ilişkin yeni bir açık rızanın alınması teyit ve temin edilmeden) hukuki uyuşmazlığın çözümü dışında herhangi bir başka amaçla erişilmeyecektir. Arşivleme için belirlenecek süreler sonunda, arşivlenmesine karar verilen veriler dahi silinecek, yok edilecek ve anonim hale getirilecektir.



    Atasay Şirketleri tarafından işlenen başlıca Kişisel Veriler ve bu verilerin başlıca işleme amaçları aşağıdaki gibidir:

    Gerçek Kişi Müşteri Verileri Her Atasay Şirketi için geçerli olmamakla beraber, gerçek kişi

    müşterilere ilişkin ad, soyad, adres, e-mail, cep tel, ev tel, iş tel, doğum tarihi, T.C. kimlik no, cinsiyet, medeni durum, meslek, evlilik tarihi, eş adı, eş doğum tarihi, eğitim durumu, takip edilen medya, sosyal medya, telefon markası, tuttuğu takıma ilişkin veriler ve benzeri Kişisel Veriler işlenebilmektedir.

    Söz konusu Kişisel Veriler, işlenen her Kişisel Veriyi kapsamamakla beraber, satış tarihçesi oluşturmak, fatura oluşturmak, fatura kesmek, üyelik hesabına sadakat kartını tanımlamak, sadakat kartı veya basılı iletişim materyalleri iletmek, ürünü teslim etmek, e-fatura göndermek, newsletter göndermek, pazarlama iletişimi yapmak, müşteri analizi yapmak, müşteri sadakatini artırmak, özel üretim yapmak ve benzeri amaçlar ile sınırlı olarak işlenmektedir.
    Kurumsal Müşteriler, Tedarikçi ve Hizmet SağlayıcılarınPersonellerine ve İmzaYetkililerine İlişkin Veriler Her Atasay Şirketi için geçerli olmamakla beraber, kurumsal müşterilerin personelleri için yapılan özel dikimler kapsamında veya en genel anlamda kurumsal müşterilerin, tedarikçilerin ve hizmet sağlayıcıların imza yetkililerine ve şahıs firmalarına ilişkin personel adı,personel soyadı, personel sicil no, personel t.c. kimlik no, personel boyu, personel kilosu, personel cinsiyeti, personel bedeni; imzaya yetkili kişininadı,soyadı, e-mail, T.C. kimlik no, banka bilgileri, şahısfirmalarınailişkindiğer bilgiler ve benzeri Kişisel Veriler işlenebilmektedir.

    Söz konusu Kişisel Veriler, işlenen her Kişisel Veriyi kapsamamakla beraber, toptan satış yapmak, satıştarihçesi oluşturmak, fatura oluşturmak, fatura kesmek, ürünü teslim etmek, e- fatura göndermek, newsletter göndermek, pazarlama iletişimi yapmak, müşteri analizi yapmak, cari hesap açmak, mutabakat yapmak, proje bazlıdevlet teşviki almak ve benzeri amaçlar ile sınırlı olarak işlenmektedir. Bu kişilere Atasay Şirketleri nezdinde işlenen verilerin aktarılması da söz konusu olabilmekte ve aktarma prosedürleri işbu Politika’nın (E) başlığı altındadüzenlenmiştir.
    Potansiyel Müşteri Verileri Her Atasay Şirketi için geçerli olmamakla beraber, Atasay Şirketlerinin potansiyel müşterilerineilişkin ad, soyad, e- mail, cinsiyet, cep tel, doğum tarihi, ev adresi, iş adresi, beden, evlilik tarihi ve benzeri Kişisel Veriler işlenebilmektedir.

    Söz konusu Kişisel Veriler, işlenen her Kişisel Veriyi kapsamamakla beraber, hediye göndermek, sadakat kartıgöndermek, etkinlik davetiyesi göndermek, newsletter göndermek, pazarlama iletişimi yapmak, analiz yapmak, yeni çıkan ürün hakkında bilgilendirmek ve benzeri amaçlar ile sınırlı olarak işlenmektedir.

    Potansiyel müşterilere ilişkin veriler, söz konusu veriyi aktarmak konusunda verisinin Atasay Şirketleritarafındanyukarıda belirtilen amaçlar çerçevesinde işlenebileceğineilişkin bilgilendirilmek kaydıyla, ilgili potansiyel müşterininilgili verinin üçüncü kişilere aktarımına rızası dahilinde edinilmiş veriler olmaktadır. Potansiyel müşteriler ile ilk iletişimde, potansiyel müşteri, işbu Politika ve bu kapsamda işlenenverileri hakkında aydınlatmayükümlülüğükapsamında bilgilendirilecek ve itiraz / şikayetiüzerine söz konusu Kişisel Veri derhal silinecek, yok edilecek ve anonim hale getirilecektir. Potansiyel müşteriile müşteriilişkisikurulması halinde, bu kapsamda işlenen veriler de müşteri verilerine ilişkin prosedürlere tabi olacaktır.
    Çalışan Verileri Her Atasay Şirketi için geçerli olmamakla beraber, Atasay Şirketlerinin çalışanlarına ilişkin ad, soyad, doğum yeri, doğum tarihi, cep tel, e-mail, ikametgah adresi, cinsiyet, maaş, medeni hali, eşinin adı, eşinin soyadı, eşinin işdurumu, mükellefle oturan veya mükellef tarafından bakılan çocukların durumu, çocuk sayısı, sicil no, t.c. kimlik no, sosyal güvenlik no, fotoğraf, acil durumda ulaşılacakkişininadısoyadı, acil durumda ulaşılacak kişinin yakınlık derecesi, acil durumda ulaşılacak kişinin cep tel, eğitim bilgileri, özgeçmiş bilgileri, ikametgah belgesi, nüfus cüzdan sureti, diploma, çalışma belgesi, sabıkakaydı, kan grubu, askerlik belgesi, sağlık raporu, sigorta hizmet dökümü, SGK bildirge kaydı,işsözleşmesi, not dökümü, referans mektubu, işeuyum anketi, performans formları,iştençıkış mülakat formu, mazeretli izin formu, yıllık izin formu, görev tanımları ve benzeri Kişisel Veriler işlenebilmektedir.

    Çalışanlarınsağlık verileri dâhil Özel Nitelikli Kişisel Verileri de, mevzuatıngerektirdiği ölçüde, İnsanKaynaklarıiş birimi tarafındanişlenebilmektedir. Özel Nitelikli Kişisel Verilerin işlenmesineilişkin (G) başlığınabakınız.Ayrıca, bir takımsağlık verileri iş yeri hekimi ve işgüvenliği uzmanlarıtarafından işlenebilmektedir. İnsan Kaynakları ve işyerihekimi tarafındanişlenensağlık verileri, 20 Ekim 2016 tarih ve 29863 sayılı Resmi Gazete’de yayınlanan KişiselVerilerin İşlenmesi ve Mahremiyetinin SağlanmasıHakkında Yönetmelik uyarıncaişlenmekte ve ilgili birimler dahil hiçbir iş birimi ile paylaşılmamaktadır. Söz konusu verilere erişim en üst düzeyde sınırlıdır. Bu veri grubuna ilişkin arşivleme amacıyla üçüncü kişiler ile paylaşımlarşifreleme sistemleri ile korunacak / korunmaktadır ve arşivfirması dahil ilgili birimler dışında hiçbir kişinin sağlıkverilerine erişimi söz konusu olmayacaktır. Üçüncü kişilerile yapılan ilgili sözleşmeler, bu hususu teyit edecek şekilderevize edilecektir. İşyeri hekimi tarafındanişlenen verilerin arşivleme amacı için dahi olsa hiçbir üçüncü kişi ile paylaşımı söz konusu değildir. İşyeri hekimi tarafından ilgili sağlık verileri, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin SağlanmasıHakkında Yönetmelik uyarıncaSağlıkBakanlığı’nınbelirleyeceği standartlar çerçevesinde sağlık verilerini SağlıkBakanlığı nezdindeki Merkezi Sağlık Veri Sistemi’ne aktarılması gerekecektir.Söz konusu Kişisel Veriler, işlenen her Kişisel Veriyi kapsamamakla beraber, personel kaydı açmak, performans ölçümü yapmak, personel maaşını ödemek, proje için devlet teşviki almak, işe giriş çıkış saatlerini kaydetmek, bilgi güncellemek, çalışanın sigorta bildirimini yapmak, analiz yapmak, çalışanın performansını değerlendirmek, çıkış değerlendirmesi yapmak, izin almak, avans talebi işletmek ve benzeri amaçlar ile sınırlı olarak çalışanlarınrızası ve muvafakati dahilinde işlenmektedir.

    Çalışan verilerinin işlenmesi ve çalışanların özlük dosyaları, tüm Atasay Şirketleriadına, Atasay Kuyumculuk San. Ve Tic. A.Ş. bünyesindeki ortak İnsan Kaynakları birimi tarafından saklanmaktadır ve işlenmektedir. İnsanKaynakları birimi tarafındanişlenen veriler ile sınırlı olarak tüm çalışanlar,işbuPolitika’nın kabul edilmesiyle mevcut sisteme ve Kişisel Verilerinin bordrosuna kayıtlı olduğuAtasay Şirketidışındaki bir Atasay Şirketi’nin bünyesindeki İnsan Kaynakları birimi tarafından işlenmesine rıza göstermektedir.
    Çalışan Adayı Verileri Her Atasay Şirketi için geçerli olmamakla beraber, Atasay Şirketlerinde çalışmak için başvuran adaylara ilişkin ad, soyad, anne adı, baba adı, cinsiyet, doğum yeri, doğumtarihi, askerlik durumu, medeni hali, eş adı, eş soyadı,çocuk sayısı, ikametgâh adresi, ev telefonu, iş telefonu, cep telefonu, e-mail, acil durumda ulaşılacak kişinin adısoyadı, acil durumda ulaşılacakkişininyakınlık derecesi, acil durumda ulaşılacakkişinin cep telefonu, acil durumda ulaşılacak kişinin ev telefonu, acil durumda ulaşılacakkişinin iş telefonu, özgeçmiş bilgileri, eğitim bilgileri, yabancı dil düzeyi, katıldığı staj, kurs ve seminerler, iştecrübesi, şahsi bilgiler, referans veren kişininadı, referans veren kişinin soyadı, referans veren kişinin çalıştığıyer/görevi, referans veren kişinin cep telefonu ve benzeri Kişisel Veriler işlenebilmektedir.

    Söz konusu Kişisel Veriler, işlenen her Kişisel Veriyi kapsamamakla beraber, uygun çalışanadayınıişe almak amacıyla sınırlı olarak işlenmektedir. Hizmet sözleşmesiilişkisininkurulması ile birlikte bu kapsamda işlenen veriler de çalışan verilerine ilişkin prosedür ve süreçlere tabi olacaktır.
    Dinleyici Verileri Temel olarak, Atasay nezdinde yayın yapan iş birimleri için geçerli olmak üzere, dinleyiciler arasında düzenlenen yarışmalar ve analizler için gerçek kişilereilişkin ad, soyad, telefon no, e- mail, adres, şehir,yaş,doğum tarihi, cinsiyet, meslek, kimlik bilgileri, eğitim durumu, cep telefonu, bu kişiler tarafından çekilen özçekimler hariç fotoğraf ve benzeri Kişisel Veriler işlenebilmektedir.

    Söz konusu Kişisel Veriler, yarışmalara katılım, hediye çeklerinin ve yarışma ödüllerinin gerçekleştirilmesi ile analiz yapılması ve benzeri amaçlar ile söz konusu verilerin işlenmesine ilişkin üçüncü kişiler ile çalışılmasıhalinde, üçüncü kişiler ile paylaşımı da kapsayacak şekildeişlenmektedir. Üçüncü kişilereaktarım konusunda(E) başlığınabakınız.
    Şikayet Verileri Her Atasay Şirketi için geçerli olmamakla beraber, 6502 sayılı Tüketicinin Korunması Hakkında Kanun uyarıncatüketici şikâyet ve taleplerinin yerine getirilmesine ilişkinolarak tüketicilerin ad, soyad, cinsiyet, e-mail, cep telefonu, ev telefonu, doğum tarihi, adres, beden, T.C. kimlik numarası ve benzeri Kişisel Veriler işlenebilmektedir.Söz konusu Kişisel Veriler, gelen şikayet ve taleplerin gerekliliklerinin yerine getirilmesi, analiz yapılması ve benzeri amaçlar için işlenmektedir.


  • ÖZEL NİTELİKLİKİŞİSELVERİLERİNİŞLENMESİ

    Atasay Şirketleri bünyesinde, Özel Nitelikli Kişisel Veriler, yalnızca kanuni ve idari / adli mercii gerekliliklerinin yerine getirilmesi ve Atasay Şirketlerinin işleyişi ile doğrudan ilgili olmak kaydıyla ve erişimi en üst düzeyde sınırlı ve güvenli olacak şekilde işlenmektedir. Söz konusu veriler, Kanun’a tam bir uyum göstermek kaydıyla, (i) sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler dışındaki veriler bakımından işlemenin kanunlarda açıkça öngörülmüş olması durumunda ve (ii) sağlık ve cinsel hayata ilişkin veriler bakımınsdan ise ancak, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumunda Veri İlgilisi’nin rızası aranmaksızın işlenebilir. Ancak Atasay Şirketleri, bu istisna koşulları oluşsa dahi Veri İlgililerine Özel Nitelikli Kişisel Verilerinin işlenmesine ilişkin aydınlatma yükümlüğünün gerekliliklerini yerine getirecek ve istisnaların olduğu durumlarda dahi Veri İlgilisinin açık rızasını alacaktır. İstisnaların söz konusu olmadığı veya uygulanabilir olduklarına ilişkin şüphe duyulması halinde ise, açık rıza olmadan alınan Özel Nitelikli Kişisel Veriler derhal silinecek, yok edilecek ve anonim hale getirilecektir. Bu tip durumlarda, derhal, gereken önlemlerin koordinasyonu ve uygulanabilir olması halinde bu durumun en kısa sürede ilgili Veri Sahibine ve Kurula bildirilmesi için [ATASAY KVK KOMİTESİ] birimine bilgi verilecektir.



  • KİŞİSELVERİİLGİLİSİNİ AYDINLATMA YÜKÜMLÜLÜĞÜ

    Atasay Şirketleri,Kişisel Verilerin elde edilmesi sırasında, verisi işlenecek olan gerçek kişileribilgilendirmek ile yükümlüdür. Bu bilgilendirme yükümlülüğünkapsamı,aşağıdaki gibidir:

    • Veri sorumlusunun ve varsa temsilcisinin kimliği,
    • Kişisel Verilerin hangi amaçla işleneceği,
    • İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
    • Kişisel Veri toplamanın yönetimi ve hukuki sebebi ile,
    • Veri İlgilisinin (C) başlığı altında belirtilen hakları.

    Atasay Şirketleri, bu konuda, sistemlerinde işlemek üzere Üçüncü Kişilerden veri elde etme araçları vasıtasıyla gerekli bilgilendirmeleri yapacak ve aydınlatma yükümlülüğünün gerçekleştirildiğinin ispatı için veri işlemeye ilişkin Veri Sahiplerinden aydınlatılmış onam alacaktır. Kişisel Veriler, Atasay Şirketlerinin elektronik ticaret, perakende ve toptan satış mağazaları dahil tüm satış kanalları, şubeleri, internet siteleri, üçüncü kişilerden hizmet alınabilecek çağrı merkezi ve benzeri diğer tüm kanalları aracılığıyla otomatik ya da otomatik olmayan yollarla sözlü, yazılı veya elektronik olarak toplanabilecektir.

    • Yazılı Şekilde Kişisel Veri Elde Edilmesi:

      Yazılı şekilde, Kişisel Veri elde edilmesi sırasında, işbu Politika’ya referans verilmek ve revize edilecek yeni ilgili form ve bilgilerin kullanılması kaydıyla verilerin işlenmesine ilişkin Aydınlatma Yükümlülüğü yerine getirilecektir. Ayrıca, müşteri ilişkisi kurulan kişilerden alınacak İzinli İletişim Formları dahil her tür form ve sözleşme, her ne kadar ilgili veri grubunun işlenmesi Kanun kapsamında istisna kapsamında değerlendirilebilse de, Kişisel Verilerin işlenmesine ilişkin Veri İlgilisinin açık rızasını gösterecek şekilde revize edilecektir. Müşteri ilişkilerinde, Kanun’a uyumu tevsik eder nitelikteki yeni formlar, belgeler ve bilgilendirmeler kullanılacak; tüm ilgili çalışanlar bu konuda gerçek kişiye yeterli düzeyde detaylı bilgiyi sağlamak ve referansları göstermek konusunda eğitilecektir. Mutlak surette, Kişisel Verilerin aydınlatılmış onamların yer aldığı yazılı formlar ile elde edilmesi temin edilecektir.

    • Sözlü Şekilde Kişisel Veri Elde Edilmesi:

      Hâlihazırda alınan İzinli İletişim Formları uyarınca işlenen mevcut müşterilere ilişkin herhangi bir şekilde, mevcutta olmayan yeni bir veri elde edilmesi ve Çağrı Merkezi aracılığıyla veri elde edilmesi sırasında Kişisel Verilerin işlenmesine ilişkin aydınlatma yükümlülüğüne ilişkin bilgi verilecektir. Sözlü veri elde edilmesi sırasında, önceden bilgi verilmek kaydıyla görüşmenin kaydedildiği hatırlatılacak ve Kişisel Verilerinin işbu Politika ve var ise mevcut İzinli İletişim Formlarına dâhil olarak işleneceği konusunda onam verildiği teyit edilecektir. Çalışan ve Çağrı Merkezi, iş yapış süreçleri bu çerçevede yeniden değerlendirilecek ve uygulanacaktır.

    • Elektronik Ortamda Kişisel Veri Elde Edilmesi:

      Elektronik ticaret kanalları ve Atasay’ın diğer internet kanalları ile elde edilen veriler de işbu Politika dâhil olmak üzere, Kişisel Verilerin elde edilmesi ve işlenmesini gerektiren mesafeli satış sözleşmeleri dâhil tüm sözleşme ve belgeler / bağlantı adresleri / internet sayfaları Kişisel Verilerin işlenmesine ilişkin aydınlatma yükümlülüğünü yerine getirecek şekilde revize edilecektir. İşbu Politika tüm internet sayfalarından ulaşılabilecek şekilde, Atasay Şirketlerinin tamamının internet sitelerinde yer alacak ve veri elde edilmesini gerektirebilecek her bağlantı adresinde veri elde edilmesi için Atasay Şirketleri tarafından veri işlenmesinin onaylanmasını gerektiren sistemler kurulacaktır. Kişisel Verilerin işlenmesine onam verildiği açıkça işaretlenmedikçe, girilen hiçbir bilgi ve belge otomatik olarak hiçbir Atasay Şirketi sistemine kaydedilmeyecek ve her ne şekilde olursa olsun işlenmeyecektir.

    • Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri:

      Atasay tarafından güvenliğin sağlanması amacıyla, Atasay binalarında ve tesislerinde güvenlik amacıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır.

      Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri
      Atasay tarafından bina ve tesisilerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir. Atasay, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.

      Atasay tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi aydınlatılmaktadır. Ayrıca, Atasay, Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.

      Atasay tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç işbu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.

      Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Atasay çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
      Atasay Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi Atasay tarafından, güvenliğin sağlanması ve işbu Politika’da belirtilen amaçlarla, Atasay binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

      Misafir olarak Atasay binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Atasay nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.



  • ŞİKÂYET SÜREÇLERİNE İLİŞKİN PROSEDÜRLER

    Kişisel Verileri Atasay Şirketleri tarafından işlenen Veri Sahipleri tarafından yapılacak şikâyetler, Atasay Şirketleri tarafından en kısa süre içerisinde ve en geç 30 gün içerisinde cevaplandırılacak ve sonuçlandırılacaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.
    ShapeVeri Sahibi, talep ve şikâyetlerini Atasay Kuyumculuk San. Ve. Tic. A.Ş. Şirketi Atasay KVK Komitesi tarafından kimlik kontrolü yapılmak kaydıyla şahsen veya noter onaylı vekâlet sunulması kaydıyla vekâleten yapılan başvurular, noter kanalı ile yapılan başvurular ve güvenli elektronik imza kullanılmak kaydıyla kayıtlı elektronik posta adresleri ile kvkk@atasay.com adresine yapılabilecektir.
    E-posta ve telefon yoluyla gelen taleplerle ilgilenen tüm çalışanlar, Atasay tarafından tutulan herhangi bir kişisel bilginin açıklanması konusunda dikkatli olmalıdır. Bahsi geçen çalışanlar, özellikle;

    • Kişisel Verinin, kişisel veriyi almaya yönelik bir hakka sahip olan/yetkisi olan kişiye verildiğinden emin olmak için, çağrı yolu ile ulaşan kişinin kimliğini kontrol etmelidirler;
    • Eğer çalışanlar, arayanın kimliğinden emin olmadıkları ya da kimliklerinin kontrol edilemediği bir çağrı alırlarsa, arayanın talebini yazılı olarak iletmesini önermelidirler.
    • Zor durumlarda yardım için müdürlerine başvurmalıdırlar. Hiç kimse Kişisel Verinin açıklanması için zorlanmamalıdır.

    Bir çalışanın, yukarıdaki prosedürlere tabi olmak kaydıyla, Veri Sahiplerinden bir bildirim / talep alması halinde, bu durum bu bildirimin / talebin alınmasını takiben derhal [Atasay KVK Komitesi’ne ] yazılı şekilde rapor edilecek ve bu taleplere cevap verilirken, söz konusu birimin tüm talimatlarına uygun hareket edilecektir. Söz konusu iş birimi, şikâyetleri / talepleri çözümlemek için ilgili iş biriminden ve destek birimlerinden arkadaşlar ile bağlantı kuracaktır.

    Veri Sahibinden gelen talepler özenli bir şekilde rapor edilmeli ve gözden geçirilmeli, [Atasay KVK Komitesi ] tarafından, talebin niteliğini de göz önünde bulundurarak, en fazla 30 gün içerisinde olmak şartıyla, mümkün olan en kısa sürede ve Veri Sahibine ek bir masraf yansıtılmaksızın söz konusu şikâyetler yanıtlanacak ve talepler uygulanabilir olması halinde yerine getirilecektir. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

    Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi dahil, her tür Veri Sahibi talebinin incelenmesine ilişkin takip eden süreç aşağıdaki şekilde olacaktır:

    • [Atasay KVK Komitesi ] birimi, talebin/şikâyetin geçerli olup olmadığına ve kimlik teyidi ya da ek bilginin gerekli olup olmadığına karar vermek için talebin ilk değerlendirmesini yapacaktır.

    • [Atasay KVK Komitesi ] birimi, yazılı olarak birey ile bağlantı kurarak, ilgili kişi erişim talebinin alındığını teyit edecek ve gerektiği takdirde kimlik teyidi ve ek bilgi talep edecek ya da ilgili kişi erişimi ile ilgili bir istisnanın olması durumunda talebi reddedecektir.

    • Tüm ilgili elektronik ve basılı dosyalama sistemleri üzerinde bir arama düzenlenecektir.

    • [Atasay KVK Komitesi ], komplike durumları, özellikle de talebin üçüncü kişiler ile ilgili bilgiyi içerdiği ya da Kişisel Verilerin ifşa edilmesinin ticari gizliliğe ya da hukuki süreçlere zarar verebileceği durumları, şirket içi ilgili birimler ya da üçüncü kişi danışmanlara sevk edebilir ve talebin yanıtlanması konusunda destek alabilir.

    • [Atasay KVK Komitesi ], talep edilen bilgileri kolaylıkla okunabilir bir formatta düzenleyecektir.

    [Atasay KVK Komitesi ], ilgili Atasay Şirketi adına Veri Sahibinin talebini kabul edebilir ya da gerekçesini açıklayarak yazılı ya da elektronik ortamda reddedebilir. Bununla sınırlı olmaksızın, özellikle Kanun’un ve Politika’nın uygulanmasına ilişkin istisnalardan birinin söz konusu olduğu hallerde talep reddedilebilecektir. Eğer Veri Sahibinin talebi kabul edilirse, talep Atasay’ın ilgili birimleri tarafından derhal yerine getirilecektir. Şikâyet sahibi, Atasay Şirketleri tarafından verilecek cevap ya da tespite tamamen ya da kısmen itiraz edebilecek ve ilgili Atasay çalışanını bu konuda bilgilendirebilecektir. İlgili çalışan derhal [Atasay KVK Komitesi ]’ ne bilgi verecektir. Böyle bir durumda, şikâyet talebi yeniden değerlendirilecek ve nihai olarak cevaplandırılacaktır. Uygulanacak prosedür ve sürelere ilişkin ilk sürelere uygulanabilir prosedür ve süreler geçerli olacak olup bu durum Kanun’un öngördüğü sürelerin kesilmesi veya durdurulması anlamına gelmeyecektir. Zira ikinci kez değerlendirmeye ilişkin talepler kanuni bir yükümlülük kapsamında değil salt müşteri memnuniyeti açısından yeniden değerlendirilecektir. Kanun uyarınca, Veri Sahibinin ilk şikâyet başvurusuna verilecek ilk yanıttan itibaren, Atasay Şirketi’nin cevabını öğrendiği tarihten itibaren otuz ve her hâlde ilk başvuru tarihinden itibaren altmış gün içinde Kurula başvurma hakkı vardır ve söz konusu sürelere riayet edilmesi hak düşürücü niteliktedir.


  • KİŞİSEL VERİLERİN KORUNMASI KURUMU İLE İLETİŞİM

    Atasay Şirketleri, devlet sırlarını içeren bilgi ve belgeler hariç olmak üzere; Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri 15 gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

    [Atasay KVK Komitesi ], Kurum ile yapılacak yazışmaları gerçekleştirecek iş birimi olarak belirlenmiştir ve çalışanlar, Kişisel Verinin korunmasına ilişkin Kurul ile her türlü iletişimi [Atasay KVK Komitesi]’ne yönlendirmelidirler. Atasay ve tüm Atasay çalışanları, Kurul’un re’sen ya da şikâyet üzerine yapılan soruşturmanın sonucunda verilen kararlarına, gecikmesiz ve bildirimden itibaren en geç 30 gün içerisinde uyacaktır. Tüm Atasay Şirketleri, Kurulun aktif olarak faaliyete geçmesi ve Kişisel Verileri Koruma Kurumu nezdinde oluşturulacak başkanlık teşkilatının oluşumunu takiben Kurulun gözetiminde ve Kişisel Verileri Koruma Kurumu Başkanlığı tarafından kamuya açık olarak tutulacak Veri Sorumluları Sicili’ne, Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna getirilecek istisnalara tabi olmadıkça, kayıt olacaktır.



  • KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİM YAPISI

    Atasay Kuyumculuk San. Ve Tic. A.Ş. tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesi ve Kişisel Verilerin Korunması ve İşlenmesi Politikasının yürürlüğü için

    Kişisel Veriler Yönetim Üst Kurulu oluşturulmuş ve Kişisel Verilerin Korunması Komitesi kurmuştur.

    Bu komitenin görevleri;

    • Kişisel Verilerin Korunması ve İşlenmesi ile ilgili kararlar alarak, üst yönetime sunulmak üzere üst kurula iletmek,
    • Kişisel Verilerin Korunması ve İşlenmesi ile ilgili Politaka’da değişiklikler yapmak, Politikanın uygulanmasını ve denetimini sağlamak,
    • KVK Kanunu ve ilgili mevzuat çerçevesinde yapılması gereken hususları tespit etmek,
    • Kişisel Veri sahiplerinin başvurularını değerlendirmek,
    • Kişisel Verilerin Korunması ile ilgili gelişmeleri takip etmek, ilgilileri bilgilendirmek suretiyle uygulanmasını sağlamak ve gerekli önlemleri almak,


  • POLİTİKA’NIN UYGULANMASINA İLİŞKİN İSTİSNALAR
    • Kişisel Verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi;
    • Kişisel Verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi;
    • Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi;
    • Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi;
    • Kişisel Verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

    Aydınlatma yükümlülüğü hariç olmak üzere, Veri Sahipleri aşağıdaki istisnaların birinin varlığı halinde Kanun ve işbu Politika’da düzenlenen haklarını kullanamayacaktır:

    • Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması;
    • Veri Sahibinin kendisi tarafından alenileştirilmiş Kişisel Verilerin işlenmesi;
    • Kişisel Veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması;
    • Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

    Yukarıdakiler dışında, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilen Kişisel Veriler de bu Politika’nın kapsamı dışındadır. Bu çerçevede, Atasay Şirketleri nezdinde herhangi bir veri kayıt sisteminde yer almayan tüm veriler bakımından Kanun ve işbu Politika uygulanmayacaktır. Atasay’ın söz konusu veriler ile ilgili sorumluluğu T.C. Anayasası ve Türk Ceza Kanunu hükümleri ile sınırlı olacaktır.



  • İYİLEŞTİRME VE DEĞİŞİKLİKLER

    Herhangi bir çalışanın, işbu Politika ve Kanun hakkında soruları ya da sorunları olur ise, bu konular hakkında [ Atasay KVK Komitesi ] ile iletişime geçmesi gerekmektedir. Bu çerçevede, Kanun’un ve işbu Politika’nın gerekliliklerinin tüm çalışanlar bakımından en üst düzeyde anlaşıldığı teyit edilecek ve Kanun ve Politika’nın gerekliliklerinin çalışanlar nezdinde içselleştirilmesi temin edilecektir.

    Tüm çalışanlar, işbu Politika’nın kabul edilmesiyle birlikte, iş süreçlerinin işbu Politika’ya uyum gösterdiğini kabul, beyan ve taahhüt etmiş olacaktır. Herhangi bir çalışanın ya da diğer Veri Sahiplerine ait kişisel veriler bakımından işbu Politika’ya uyulmadığı düşünülüyorsa, konu [Atasay KVK Komitesi ]’ne yönlendirilecektir.

    İşbu Politika, Kanun uyarınca hazırlanacak ve yürürlüğe girecek Yönetmelik ve diğer ikincil mevzuat uyarınca değişebilecek ve güncellenebilecektir. Atasay Şirketleri ve tüm çalışanları, tüm süreçlerini en kısa süre içerisinde Kanun ve işbu Politika’da yapılacak değişikliklere ve Kişisel Verilerin korunmasına ilişkin çıkarılacak ikincil mevzuata tam bir uyum içerisinde gerçekleştirmeyi kabul, taahhüt ve beyan etmektedir.

    İşbu Politika’nın herhangi bir değişikliğe uğraması halinde, söz konusu değişikliğe ilişkin tüm Veri Sahiplerine bilgilendirme yapılacak ve Veri Sahiplerinin güncel Politika’ya ulaşması için gereken bağlantı adresleri ve güncellenen Politika’ya ilişkin bilgi alabilecekleri kanallar hakkında bilgilendirilmesi sağlanacaktır.



Ek Bilgiler – İletişim Bilgileri

Güveniniz bizim için önemlidir. Bu nedenle kişisel verilerinizin işleme alınması ile ilgili olarak her zaman sorularınıza yanıt vermek arzusundayız. Bu veri koruma açıklamasında yanıt alamadığınız sorular varsa veya bir konuya ilişkin daha detaylı bilgi almak istediğiniz zaman lütfen bizimle bağlantı kurunuz:

Veri Koruma Yetkili Merci:
Atasay Kuyumculuk San. Ve Tic. A.Ş. Merkez Mah. Sedir Sok. No:7 Bahçelievler-İstanbul
Telefon: +90 212 652 33 66
Telefax: +90 212 639 79 58
E-Posta: kvkk@atasay.com

KVK Kanununun 14. maddesine göre şikâyet hakkının kullanılması için gerekli bilgileri sizlere sunuyoruz:
Yetkili Merci
Kişisel Verileri Koruma Kurumu Nasuh Akar Mah. Ziverbey Cad. 1407. Sk. No: 4
06520 Çankaya-Ankara
Telefon: +90 312 216 50 00
Internet: www.kvkk.gov.tr

SONUÇ VE SORUMLULUK

Atasay, Kanun uyarınca tüm süreçlerini Kanun’a uygun şekilde yönetmek ve Kanun’un gerekliliklerini yerine getirmek amacıyla hâlihazırda Türkiye Cumhuriyeti Anayasası ve Türk Ceza Kanunu hükümleri ile kişisel veri korumasına ilişkin uluslararası genel ilkelere uyumlu süreçlerini iyileştirmektedir. Bu kapsamda, tüm iş birimlerine uygulanmak üzere hazırlanan işbu genel Politika uyarınca, Kişisel Verilerin Atasay Şirketleri tarafından işlenme esasları ile tüm iş birimlerini ve çalışanlarını bağlamaktadır.