MÜŞTERİLERE İLİŞKİN AYDINLATMA VE AÇIK RIZA METNİ


İşbu aydınlatma metni; Özbarış Garaj Servis Ekipmanları Sanayi ve Ticaret Ltd. Şti (“Şirket”) olarak Şirketimizin sunduğu bir ürün veya hizmetin tüketicilerinin (“Müşteri”) kişisel verilerinin Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuata uygun olarak işlenmesinin ve verisi işlenen ilgili kişilerin haklarını etkin şekilde kullanabilmelerinin sağlanması amacıyla hazırlanmıştır. Şirketimiz ile paylaşılmış olan tüm kişisel veriler hukuka uygun bir şekilde, faaliyet ve hizmet amaçlarımız ile bağlantılı ve ölçülü olarak işlenebilecektir.

⦁    Tanımlar
İşbu aydınlatma metninde kullanılan kişisel veri, özel nitelikli kişisel veri ve veri işleme kavramları KVKK’da yapılan tanımlara istinaden kullanılmıştır. KVKK’da geçen “kişisel veri” kavramı kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi; “özel nitelikli kişisel veri” kavramı, Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri; “kişisel verilerin işlenmesi” kavramı ise, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
⦁    Kişisel Verilerin İşlenmesi İlkeleri

KVKK’nın 4. maddesi uyarınca veri sahibine ait kişisel veriler; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar için; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme kurallarına uygun bir şekilde, veri sorumlusu Şirket tarafından aşağıda belirtilen amaçlar kapsamında işlenecektir.
⦁    Kişisel Verilerin İşlenmesi Amaçları

Kişisel verileriniz;
⦁    Hizmetlerin ve iletişimin geliştirilmesi ve çeşitlendirilmesi, bilgi talep edilmesi halinde Müşteri ile irtibat kurulması,
⦁    Müşteri ile Şirket arasında akdedilecek olan sözleşmenin şartlarının belirlenmesi ve onaylanması, 
⦁    Müşteri ile Şirket arasında akdedilen sözleşme uyarınca üstlenilen yükümlülüklerin ifa edilebilmesi,
⦁    Şirketin, çalışma ortamının, organizasyon, ziyaret veya herhangi bir sebeple bulunan kişilerin güvenliğinin temini, 
⦁    İleride çıkabilecek hukuki uyuşmazlıkların giderilmesi
⦁    Yetkili resmi kurum veya kuruluşların hukuka uygun olarak talep etmeleri halinde ilgili kurumlara gerekli bildirimlerin resmi yollarla yapılması,
⦁    Şirketin sağladığı hizmetler ile ilgili müşteri şikayet ve önerilerinin değerlendirilebilmesi,
⦁    Finans, muhasebe ve kurumsal iletişim faaliyetlerinin planlanması ve icrası,
⦁    Ürün ve hizmetlere ilişkin reklam ve pazarlama süreçlerinin planlanması ve uygulanması,
amaçlarıyla, KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarına uygun olarak işlenecektir.
⦁    Kişisel Verilerinizin Aktarılması 

Şirketimiz, kişisel verilerin aktarılması konusunda, KVKK'da öngörülen düzenlemelere uygun bir şekilde hareket etmektedir. Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli veriler, Veri Sahibi'nin açık rızası olmadan, tarafımızca diğer gerçek veya tüzel kişilere aktarılmamaktadır. KVKK ve sair mevzuatın öngördüğü istisnai hallerde ise kişisel verilerin yetkili kılınan idari veya adli kurum veya özel kuruluşlara aktarılması esnasında mevzuatta öngörülen şekil ve sınırlamalara uygun davranılmasına azami özen gösterilmektedir. 
Kişisel verileriniz, kanuni yükümlülüğün yerine getirilmesi amacıyla yetkili resmi kurum ve kuruluşlar ile kanunen yetkilendirilmiş özel kişilere, ilgili mevzuatta öngörülen usul ve esaslar çerçevesinde ve KVKK’nın 8. maddesinde belirtilen kişisel veri aktarma şartları ve amaçlarına uygun olarak aktarılabilecektir.

Kişisel verileriniz;
⦁    Kanuni yükümlülüğün yerine getirilmesi amacıyla yetkili resmi kurum ve kuruluşlar ile kanunen yetkilendirilmiş özel kişilere,
⦁    Yargısal süreçlerin yürütülebilmesi veya takibinin sağlanması amacıyla ilgili yargı makamlarına,
⦁    Birleşme, bölünme, devralma gibi durumlarda bahsi geçen durumlar sonucu ortaya çıkan şirket/şirketlere veya Şirket ile aynı sektörde faaliyet gösteren grup şirketlerine, iş ortaklarımıza,
⦁    Şirket tarafından taahhüt edilen hizmetlerin sağlanabilmesi ve verilen hizmetlerin kalite kontrolünün yapılabilmesi için anlaşmalı üçüncü kişilere,
ilgili mevzuatta öngörülen usul ve esaslar çerçevesinde ve KVKK’nın 8. ve 9. maddelerinde belirtilen kişisel verilerin aktarılması şartlarına ve amaçlarına uygun olarak aktarılabilecektir.
⦁    Kişisel Verilerin/Özel Nitelikli Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi
Kişisel verileriniz, otomatik veya otomatik olmayan yöntemlerle, Şirketin ürün ve hizmetlerinden yararlanmanız kapsamında ofisler, şubeler ile elektronik ortamda internet sitesi ile bizimle temas kurduğunuz kanal üzerinden sözleşmenin kurulması veya ifası ile ilgili ve Şirketin meşru menfaatine yönelik hukuki sebeplere dayalı olarak toplanmaktadır. 
Söz konusu kişisel verilerinizin Şirket tarafından işlenmesindeki hukuki sebepler; 
KVKK’nın 5. maddesinin ikinci fıkrasının ç,e ve f bentlerinde belirtilen açık rızanın istisnası olan hallerdir. Kişisel verileriniz belirtilen hukuki sebeplerle yürürlükte olan her türlü mevzuata uygun şekilde ve işbu Aydınlatma Metninin 4. ve 5. maddelerinde belirtilen amaçlarla Şirketimiz tarafından toplanmaktadır. 

⦁    Veri Sahibinin md.11’de Belirtilen Hakları
Veri sahipleri, veri sorumlusu olarak hareket eden Şirket’e başvurarak kendisiyle ilgili; kişisel verisinin işlenip işlenmediğini öğrenme, kişisel verisinin işlenmişse buna ilişkin bilgi talep etme; kişisel 
verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişiler hakkında bilgilendirilme; kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini talep etme; 6698 sayılı KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini talep etme; KVKK’nın 11. maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme; işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme; kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir. 



2 - KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

⦁    İmha Politikasının Niteliği ve Amacı 
İşbu Kişisel Veri Saklama ve İmha Politikası, Özbarış Garaj Servis Ekipmanları Sanayi ve Ticaret Ltd. Şti. (“Şirket”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Şirket tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle Şirket nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak saklanmakta ve imha edilmektedir.
⦁    Tanımlar

İşbu imha politikası metninde geçen;
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Yönetmelik: 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği,
İfade eder. 

⦁    Kişisel Verilerin Saklandığı Ortamlar 
Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket, her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Aydınlatma Metnine işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak işlemek ve korumaktadır.
⦁    Matbu Ortamlar: Verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır.
⦁    Yerel Dijital Ortamlar: Şirket bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.
⦁    Bulut Ortamlar: Şirket bünyesinde yer almamakla birlikte, Şirket’in kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır

Güvenliğin Sağlanması
Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

1)    Teknik Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:
⦁    Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
⦁    Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
⦁    Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
⦁    Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.

1)    İdari Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:
⦁    Kişisel verilere erişimi olan tüm Şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
⦁    Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
⦁    Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.

1)    Şirket İçi Denetim
Şirket, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.


4.    Kişisel Verilerin İmhası

1)    Saklama ve İmha Nedenleri
Şirket bünyesinde tutulan kişisel veriler Kanun ve Aydınlatma Metni uyarınca, burada belirtilen amaç ve nedenlerle saklanmaktadır.
Şirket bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:
⦁    Kanunlarda açıkça öngörülmesi.
⦁    Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
⦁    Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
⦁    Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
⦁    İlgili kişinin kendisi tarafından alenileştirilmiş olması.
⦁    Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
⦁    İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.    İmha Yöntemleri
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi yöntemi olarak Şirket aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
⦁    Matbu ortamda bulunan kişisel veriler karartma yöntemi ile çizilerek, boyanarak veya kesilerek işlem uygulanır.
⦁    Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi yöntemi olarak Şirket aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
⦁    Matbu ortamda tutulan belgeler fiziksel yok etme ile evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.
⦁    Yerel dijital ortamda tutulan kişisel veriler, fiziksel yok etme yöntemi ile kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi işlemler uygulanarak yok edilir. 
⦁    Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. 

Anonimleştirme Yöntemleri

Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Kişisel verilerin anonimleştirilmesi yöntemi olarak Şirket aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
⦁    İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçı çıkarılır.
⦁    Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgiler silinir.
⦁    Birçok kişiye ait kişisel veriler bir araya getirilip ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilir.
⦁    Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir.