KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI
Tanımlar
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
| Anonim Hale Getirme | Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi; Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesi |
| Başvuru Formu | İşbu Politika ekinde sunulan, veri sahibinin ilgili mevzuat çerçevesinde haklarını kullanmak için yapacağı başvuruyu içeren form |
| İnternet Sitesi | Şirket’e ait www.1869.co alan adına sahip internet sitesi |
| İş Ortağı | Şirket’in ticari faaliyetlerini yürütürken bizzat veya hissedarları şirketler veya grup şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu gerçek veya tüzel kişiler |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir very kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
| Mobil Uygulama | Şirket’e ait 1869 Mobil Uygulama isimli mobil uygulama |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler |
| Veri Sahibi | Kişisel verisi işlenen gerçek kişi |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
| Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten gerçek veya tüzel kişi |
| KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
| KVK Kurulu | Kişisel Verileri Koruma Kurulu |
| Şirket/1869 | 1869 Turizm ve Organizasyon A.Ş. |
| Politika | 1869 Turizm ve Organizasyon A.Ş. tarafından hazırlanıp yayımlanan Kişisel Verilerin Korunması ve Gizlilik Politikası |
2. GİRİŞ
Kişisel verilerin korunması ve Kanuna ve mevzuata uyugn şekilde işlenmesi hususunda 1869 azami hassasiyete sahiptir. 1869 tarafından KVKK’ya uyum sağlanması için KVK Kurulu’nun öngördüğü ilkeler benimsenerek, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili yükümlülükler yerine getirilmektedir. Bu kapsamda düzenlenen Gizlilik ve Kişisel Verilerin Korunması Politikası kişisel verisi işlenen Veri Sahibi(leri)’nin erişimine sunulmaktadır.
1869 tarafından İnternet Sitesi ve Mobil Uygulama üzerinden sunulan bilet satış hizmetinden yararlanan Kullanıcıların/Üyelerin (“Kullanıcı”); İnternet Sitesi’ni ve Mobil Uygulama’yı ziyaret etmek suretiyle, Mobil Uygulama veya sosyal medya hesaplarımız aracılığıyla ya da başkaca herhangi bir şekilde 1869 ile ilişki tesis eden diğer gerçek kişilerin; bizzat veya bir şirket veya kuruluşun temsilcisi olarak 1869 ile iletişime geçen/sözleşme tesis eden şahısların; 1869’in iş ortaklarının, pay sahiplerinin, çalışanlarının ve 1869’e iş başvurusunda bulunan çalışan adaylarının kişisel verilerinin korunmasına büyük önem verilmektedir.
Bu çerçevede Şirket olarak, KVKK’ya ve sair mevzuata uyumun sağlanması ve KVKK çerçevesinde kişisel verilerin işlenmesine ilişkin prensiplerimizi açıklamak adına işbu Politika’yı hazırlamış bulunmaktayız.
3. POLİTİKA’NIN KAPSAM VE AMACI
İşbu Politika’nın en temel amacı Kişisel Veriler’in Şirket tarafından KVKK’ya uyumlu bir şekilde işlenmesini ve korunmasını sağlamak için gerekli yönetim talimatlarının, prosedürlerin ve şartların belirlenmesi ve teknik bir yöntem oluşturmasıdır.
Bu Politika, Şirket’in “Veri Sorumlusu” ve/veya “Veri İşleyen” sıfatıyla uhdesinde bulundurduğu, tüm Kişisel Veriler’in işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır. Politika, KVKK ve Kişisel Veriler’in işlenmesine ve korunmasına ilişkin diğer mevzuata dayalı olarak ele alınmış ve hazırlanmıştır.
Bu Politika 1869’in;
- Kişisel Veriler’i toplama yöntemlerini ve hukuki sebeplerini
- Hangi kişi gruplarının Kişisel Veriler’inin işlendiğini
- Bu kişi gruplarına ilişkin olarak hangi kategoride Kişisel Veri işlendiğini (Veri Kategorileri) ve örnek veri türleri
- Bu Kişisel Veriler’in hangi iş süreçlerinde ve hangi amaçlarla kullanıldığını
- Kişisel Veriler’in güvenliğini sağlamak amacıyla alınan teknik ve idari tedbirleri
- Kişisel Veriler’in kimlere ve hangi amaçla aktarılabileceğini
- Kişisel Veriler’i saklama sürelerini
- Veri Sahibi’nin Kişisel Veriler’i üzerindeki haklarının neler olduğunu ve bu hakları nasıl kullanabileceklerini
- Veri Sahibi’nin elektronik ticari ileti alma konusundaki olumlu veya olumsuz tercihlerini nasıl değiştirebileceklerini
- Resmi makamlarla Kişisel Veri paylaşımını
açıklamaktadır.
4. KİŞİSEL VERİ
4.1. Kişisel Veri Tanımı
KVKK m.3/I(d) çerçevesinde “kişisel veri” kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgiyi ifade eder. Bu kapsamda, anonim bilgiler, anonim hale getirilen bilgiler ve belirli bir kişi ile ilişkilendirilemeyen diğer veriler işbu Politika kapsamında kişisel veri olarak kabul edilmez.
4.2. Kişisel Verilerin İşlenmesinde Genel İlkeler
KVKK m.3/I(e) çerçevesinde kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilebilecek her türlü işlem “veri işleme” kapsamına girmektedir.
Şirket, Kişisel Veriler’i, aşağıda sayılan ilkelere uygun olarak işlemektedir:
a. Hukuka ve dürüstlük kurallarına uygun olma
b. Doğru ve gerektiğinde güncel olma
c. Belirli, açık ve meşru amaçlar için işlenme
d. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Bu kapsamda Şirket tarafından ya da İnternet Sitesi, Mobil Uygulama ve bunlarla sınırlı olmaksızın her türlü kanallar aracılığı ile yazılı, sözlü veya elektronik ortamda; KVKK ve sair mevzuat kapsamında elde edilen kişisel veriler; KVKK’da öngörülen şekillerde elde edilebilir, kaydedilebilir, saklanabilir, depolanabilir, muhafaza edilebilir, değiştirilebilir, hukuki ve kanuni sebeplerle ya da Şirket tarafından sunulan hizmetin hukuki ve fiili gereklilikleri doğrultusunda Şirket tarafından uygun görülen yurt içinde veya yurtdışında 3. şahıs gerçek veya tüzel kişilerle paylaşılabilir ve sair yöntemlerle işlenebilir.
4.3. Şirket Tarafından İşlenen Veriler
4.3.1. Genel Olarak
Şirket, Veri Sahibi’nin açık rızasıyla veya KVKK’nın 5. ve 6. maddelerinde öngörülen hallerde açık rıza olmaksızın genel ve özel nitelikli kişisel verileri işleyebilmektedir.
Şirket tarafından, 6502 Sayılı Tüketicinin Korunması Hakkında Kanun, bu kanun kapsamında çıkartılan Mesafeli Sözleşmeler Yönetmeliği, 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, bu kanuna dayanılarak hazırlanan Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik, 4857 sayılı İş Kanunu, 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6102 sayılı Türk Ticaret Kanunu, 213 sayılı Vergi Usul Kanunu ve sayılanlarla sınırlı olmaksızın sair tüm kanunlar, bu kanunlara bağlı yönetmelikler, tebliğ ve diğer tüm yasal düzenlemeler ile ilgili mevzuatta belirtilen hükümler dahilinde Kişisel Veriler işlenebilmektedir.
4.3.2. Özel Olarak
Sair mevzuat ışığında ve işbu Politika’da yer alan esaslar ile Şirket’in meşru menfaati doğrultusunda, Şirket tarafından işlenebilecek kişisel veriler aşağıda yer almaktadır:
| 1. | Müşteri/Üye a. Kimlik Bilgisi: Ad, soyadı, doğum tarihi, cinsiyet, T.C. kimlik numarası b. Lokasyon Bilgisi: Seçtiği bölge, yaşadığı şehir c. İletişim Bilgisi: Cep telefonu, e-posta adresi, bölge d. Finansal Bilgi: TC kimlik no, vergi kimlik no e. Müşteri Bilgisi: Fotoğraf f. Müşteri İşlem Bilgisi: IP adresi, gezinme bilgileri, çağrı merkezi görüşme kayıtları, ticari iletişim izni, faydalanılan kampanyalar, satın almaya ilişkin bilgiler g. Risk Yönetimi Bilgisi: IP adresi h. Pazarlama Bilgisi: Çerez kayıtları, hedefleme bilgileri, alışkanlık ve beğenileri gösteren değerlendirmeler aracılığıyla sosyal medya kanallarında pazarlama yapılması i. İşitsel Veri: Çağrı merkezi görüşme kayıtları j. Hukuki İşlem ve Uyum Bilgisi: Verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı, Veri Sahibi’nin elektronik ortamda verdiği ticari elektronik ileti izni, onay verdiği üyelik sözleşmesi, mesafeli satış sözleşmesi ve 1869 tarafından sunulan hizmetlerden faydalanılmasını sağlayan sair hukuki metinler ve sözleşmeler k. Doğrudan Pazarlama Bilgisi: İlgili kişinin verdiği ticari elektronik ileti iznine istinaden gönderilen pazarlama amaçlı sms, e-postalar l. Talep/Şikâyet Yönetimi/İtibar Yönetimi Bilgisi: İlgili kişinin satın almış olduğu hizmete ilişkin İnternet Sitesi, Mobil Uygulama, sosyal medya hesapları veya çağrı merkezi üzerinden ilettiği şikâyet ve/veya talepler ile bu istemlerin değerlendirilmesi veya yönetimi sürecinde yapılan işlemlere ilişkin kayıtlar |
| 2. | Çevrimiçi Ziyaretçi a. Hukuki İşlem Bilgisi/Risk Yönetimi Bilgisi: IP adresi b. Hukuki İşlem Bilgisi: Verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı |
| 3. | Personel Verisi Kimlik Bilgileri (Ad, soyad, doğum tarihi, cinsiyet, T.C. kimlik numarası), İletişim Bilgisi (cep telefonu, e-posta adresi, adres vb.), eğitim geçmişi, çalışma geçmişi, özgeçmiş bilgileri, sabıka kaydı |
| 4. | İş Ortağı Verisi, İş Ortağı Yetkilisi Ve İş Ortağı Çalışanı a. Kimlik Bilgisi: TC kimlik no, ad-soyad ve sair bilgiler. b. İletişim Bilgisi: e-posta adresi, telefon, adres, cep telefonu c. Finansal Bilgi: Hesap no, vergi dairesi, vergi kimlik numarası, vergi levhası, IBAN d. Hukuki İşlem ve Uyum Bilgisi: İmza sirküleri, faaliyet belgesi e. Özel Nitelikli Kişisel Veri/Hukuki İşlem Bilgisi: İmza f. Görsel Bilgi: Fotoğraf |
| 5. | Tedarikçi Verisi, Tedarikçi Çalışanı ve Tedarikçi Yetkilisi a. Kimlik Bilgisi: TC kimlik no, ad-soyad ve sair bilgiler. b. İletişim Bilgisi: e-posta adresi, telefon, adres, cep telefonu c. Finansal Bilgi: Hesap no, vergi dairesi, vergi kimlik numarası, vergi levhası, IBAN d. Hukuki İşlem ve Uyum Bilgisi: İmza sirküleri, faaliyet belgesi e. Özel Nitelikli Kişisel Veri/Hukuki İşlem Bilgisi: İmza f. Görsel Bilgi: Fotoğraf |
| 6. | Ajans Verisi, Ajans Çalışan Verisi a. Kimlik Bilgisi: TC kimlik no, ad-soyad b. İletişim Bilgisi: e-posta adresi, telefon, adres, cep telefonu c. Finansal Bilgi: Hesap no, vergi dairesi, vergi kimlik numarası, vergi levhası, IBAN d. Hukuki İşlem ve Uyum Bilgisi: İmza sirküler, faaliyet belgesi, e. Özel Nitelikli Kişisel Veri/Hukuki İşlem Bilgisi: İmza f. Görsel Bilgi: Fotoğraf |
4.4. Kişisel Verilerin İşlenme Amaçları
Şirket, kişisel verileri aşağıda belirten amaçlarla işleyebilir ve bu amaçların gerektirdiği süre boyunca ve her halükarda yasal mevzuatın gerektirdiği süreler boyunca muhafaza edilebilir:
a. Çevrimiçi ziyaretçi verilerinin ilgili mevzuat uyarınca işlenmesi
b. Kullanıcılar tarafından, İnternet Sitesi ve Mobil Uygulama üzerinden üyelik ve bilet satın alma işleminin gerçekleştirilmesi, Kullanıcılar’ın kişisel hesabının oluşturulması, düzenlenmesi ve kişisel hesap üzerinden üyelik/bilet satın alma işlemlerinin yönetilmesi
c. Üyelik ve bilet satın alma işlemlerinin gerçekleştirilmesi, akdedilen/akdedilmesi düşünülen sözleşmelerin müzakeresi, kurulması ve ifa edilmesi
d. Mobil Uygulama ve İnternet Sitesi üzerinden sunulan hizmetlerin iyileştirilmesi, yeni hizmetlerin geliştirilmesi ve bununla ilgili bilgilendirme yapılması
e. Müşteri ile kurulan Mesafeli Bilet Satış Sözleşmesi’nin ve Üyelik Sözleşmesi ifası amacıyla, ticari elektronik ileti onayı mevcut müşteriler açısından; Müşteri/Üye tercih, beğeni ve ihtiyaçlarının analiz edilmesi ve Müşteri’ye özel tanıtım, fırsat ve fayda sağlanması
f. Sözleşme ilişkisi kapsamında, ticari elektronik ileti onayı mevcut müşteriler açısından; doğrudan pazarlama, dijital pazarlama, yeniden pazarlama, hedefleme, profilleme ve analiz yapılarak Müşteri/Üye’nin tercih ve beğenisi doğrultusunda uygulama, etkinliklerin ve hizmetlerin tanıtımının ve pazarlamasının yapılması
g. Müşteri sorun ve şikayetlerinin çözümlenmesi
h. Ticari elektronik ileti iznine istinaden Müşteri ile iletişime geçilmesi, gerek İnternet Sitesi gerek Mobil Uygulama üzerindeki Müşteri/Üye deneyiminin iyileştirilmesi
i. Müşteri/Üye memnuniyeti, sadakati ve bağlılığının yaratılması
j. Muhasebe ve satın alma işlemlerinin takibi
k. Şirket’e ait İnternet Sitesi, Mobil Uygulama ve diğer elektronik sistemlerin, sosyal medya hesaplarının ve fiziki ortamların güvenliğinin sağlanması
l. Hukuki süreçler ve mevzuata uyum sağlanması
m. İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması
n. Bilgi ve işlem güvenliği sağlanması ve kötü amaçlı kullanımın önlenmesi
o. İnsan kaynakları politikaları çerçevesinde işe alım süreçlerinin yürütülmesi
p. İş başvurularının uygunluğunun değerlendirilmesi, sonuçlandırılması ve iş başvurusunda bulunan adaylar ile iletişime geçilmesi
q. İşlenen verilerin güncel ve doğru olmasının sağlanması amacıyla gerekli düzenlemelerin yapılması ve sayılı tüm bu süreçlere ilişkin faaliyetleri gerçekleştirmek
r. Kanundan ve sair mevzuattan doğan saklama yükümlülüklerinin yerine getirilmesi
amacıyla kullanılmaktadır.
4.5. Kişisel Verilerin Türkiye İçinde ve Dışında Aktarımı
Şirket, KVKK’da sayılan genel ilkelere ve KVKK’nın 8. ve 9. maddelerinde öngörülen şartlara uymak, gerekli güvenlik tedbirlerini almak kaydıyla, işbu Politika’da belirtilen amaçlar doğrultusunda, temin edilen kişisel verileri üçüncü kişilere aktarabilir ve yurt içinde ve yurt dışında bulunan sunucularda veya diğer elektronik ortamlarda işleyip saklayabilir. Kişisel verilerin aktarılabileceği üçüncü kişiler, veri sahibi ile Şirket arasındaki ilişkinin türü (/kullanıcı/üyelik ilişkisi, iş ilişkisi vs.) ve niteliğine ve bunun gibi çeşitli faktörlere bağlı olarak değişebilmekle birlikte, genel itibariyle aşağıda gösterildiği gibidir: (i) 1869 Grup Şirketleri, (ii) 1869’in çalıştığı saklama kuruluşları, platform sahipleri, veri yayın kuruluşları, alt yapı sağlayıcılar ile diğer iş ortakları, tedarikçileri ve alt yüklenicileri, (iii) her nevi resmi merci ve kurumlar, (iv) tahsilat amacıyla bankalar ve/veya tahsilat ile yetkilendirilen kurumlar ve bu amaçlarla ilgili faaliyetin yürütülebilmesi için çalışılan kuruluşlar ve diğer ilgili üçüncü kişiler.
4.6. Kişisel Verilerin Toplanma Yöntemi
Şirket, kişisel verileri, KVKK’nın 5. ve 6. maddelerinde yer alan şartlar çerçevesinde işbu Politika’da belirtilen amaçlar için yazılı, sözlü, ses kaydı veya diğer fiziksel veya elektronik şekillerde elde edebilmektedir. Ayrıca kişisel veriler; veri sahiplerinin irtibat kurabileceği genel merkez ve Şirket’e ait diğer fiziki ortamlar, internet siteleri, mobil uygulamalar, elektronik işlem platformları, sosyal medya ve diğer kamuya açık mecralar veya düzenlenen etkinlikler, satış ve pazarlama birimleri, müşteri formları, dijital pazarlama gibi kanallar, sözleşmeler, başvurular, formlar, teklifler, platform ziyaretlerinde kullanılan çerezler (cookies) aracılığı ile de toplanabilmektedir.
4.7. Kişisel Verilerin Güvenliği ve Denetimi
KVKK madde 12 çerçevesinde, Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla “veri sorumlusu” olarak uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaktadır. Bu amaçla, (i) kişisel verilerin korunması amacıyla hazırlanan şirket içi politika ve kurallara uygun şekilde faaliyetlerin yürütülmesi sağlanmakta, (ii) kişisel verilerin korunması mevzuatı ve bu doğrultuda hazırlanan Şirket içi politika ve kurallar konusunda çalışanlara gerekli eğitim ve sorumluluklar verilmekte, (iii) çalışanlardan ve Şirket adına veri işleyen kişi ve kurumlardan verilerin gizliliği ve korunması için gerekli tüm beyan ve taahhütler alınmakta, (iv) kişisel verilerin Şirket içinde ve dışında güvenliğini sağlamak ve verilere yetkisiz erişimi önlemek üzere gerekli bilgi güvenliği tedbirleri uygulanmakta, (v) kişisel verilerin korunması için oluşturulan iç politika ve kurallara uyulması sağlanmakta, (vi) alınan tedbirlerin yeterliliği kontrol edilerek ihtiyaç ve imkânlara göre yeni veri güvenliği sistemleri temin edilmekte ve/veya mevcut veri güvenliği sistemleri geliştirilmekte, güncellenmekte ve bu hususta gerekli denetlemeler yapılmaktadır.
4.8. Kişisel Verilerin Güvenliğini Sağlamak Amacıyla Alınan Teknik ve İdari Tedbirler
1869; kişisel verilerinizin gizliliği, bütünlüğü ve güvenliğinin sağlanması için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir.
1869, kişisel verilere yetkisiz erişimi, hatalı kullanımı, kişisel verilerin hukuka aykırı olarak işlenmesini, ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek için gerekli önlemleri almaktadır. 1869 kişisel verileri işlerken güvenlik duvarları ve Güvenli Soket Katmanı (SSL) şifrelemesi gibi genel kabul görmüş güvenlik teknolojisi standartlarını kullanmaktadır. Buna ek olarak, web sitesi, mobil uygulama ve mobil sitesi aracılığıyla 1869’e kişisel verilerinizi gönderilirken SSL kullanılmaktadır.
1869 işlediği kişisel verilere hukuka aykırı erişimin engellenmesi, bu verilerin hukuka aykırı işlenmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanmasına ilişkin olarak;
a. Kişisel verilerin alındığı web sitesi veya mobil uygulamadaki tüm alanlar SSL ile korur,
b. İnternet Sitesi veya Mobil Uygulama’dan toplanan kişisel verilerin hukuka aykırı olarak işlenmemesi için, çalışanlarına yönelik erişim yetki ve kontrol matrisleri oluşturur ve uygulamaya alır,
c. Kişisel verilere hukuka aykırı olarak erişilmemesini sağlamak üzere; periyodik olarak sızma testleri yaptırır, sistemin yetkisiz erişimlere dayanıklılığını test eder,
d. Birincil işleme amacı dışında kalan tüm ikincil veri işlemeler bakımından, Pseudonymization (takma adlı veri) yöntemini kullanır. Pseudonymous verinin ilgili kişinin tespit edilmesini olanaksız kılmasını sağlamak amacıyla da bu verinin yer aldığı sistemlerde şifreleme yöntemleri kullanır ve bu verilere daha sıkı bir erişim yetki ve kontrol politikası uygular,
e. Kâğıt ortamdaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlar.
Hizmet alınan üçüncü taraflara ait çerezler aracılığıyla işlenen kişisel veriler, üyelik sona erdiği takdirde üçüncü taraflara ait sistemlerden silinmektedir.
1869’in gerekli bilgi güvenliği önlemlerini almasına rağmen kusuru olmaksızın, 1869 tarafından işletilen platformlara veya 1869 sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, 1869 bu durumu derhal veri sahibine ve Kişisel Verileri Koruma Kurulu’na bildirecek ve gerekli önlemleri alacaktır.
4.9. Kişisel Veriler’in Kimlere ve Hangi Amaçla Aktarılabileceği
1869, kişisel verileri yalnızca işbu Politika’da belirtilen amaçlar doğrultusunda ve KVKK’nın 8. ve 9. maddelerine uygun olarak üçüncü kişilere aktarmaktadır. Bu kapsamda, işlenen Müşteri/Üye verileri ve satın alınan hizmetin ifa edileceği kişi bilgisi, etkinlik organizatörü, ajans, kamu kurum ve kuruluşları, grup içi şirketler ile paylaşılmakta ve bu verilere gerektiğinde çağrı merkezi tarafından da erişilebilmektedir.
Müşteri/Üye verileri ayrıca; müşterinin/üyenin ticari elektronik ileti onayı doğrultusunda alışveriş tercih, beğeni ve alışkanlıkları doğrultusunda kendisine tanıtım, reklam yapılabilmesi, fayda ve fırsat sunulabilmesi amacıyla ticari elektronik ileti aracı hizmet sağlayıcısı ile paylaşılmaktadır.
İnternet Sitesi veya Mobil Uygulama kullanım tercihleri ve gezinti geçmişi, Müşteri/Üye ile beğeni ve tercihleri doğrultusunda iletişime geçilmesi amacıyla, çerez (cookie) hizmeti alınan üçüncü taraflarla paylaşılmaktadır. Bu kapsamda gerçekleştirilen kişisel veri aktarımları, ilgili üçüncü tarafın sunduğu güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir. Üçüncü taraflardan alınan hizmetin içeriği ve kapsamına bağlı olarak; Müşteri/Üye’nin kişisel verilerinin aktarımına gerek olmayan tüm hallerde Pseudonymous data (takma adlı veri) kullanılarak aktarım yapılmaktadır.
Kişisel verilerin işlenmesi, yurt içi ve yurt dışı aktarıma konu edilmesi sürecinde, kişisel verilerin güvenliklerinin sağlanması hususunda işbu maddede belirtilen teknik tedbirlerin uygulanmasına ek olarak, 1869 tarafından 3. şahıslarla akdedilen sözleşmelerde yer alan KVKK hükümleri çerçevesinde verilerin güvenliğinin hukuki ve sözleşmesel olarak da korunması sağlanmakradır.
4.10. Kişisel Verileri Saklanma Süreleri
Hukuken daha uzun sürelerde saklama gerekliliği ya da izni bulunan durumlar hariç olmak üzere Şirket, işbu Politika ve Kişisel Verileri Saklama ve İmha Politikası’nda belirlenen amaçlar doğrultusunda KVKK’ya uygun şekilde temin ederek işlediği kişisel verileri yine KVKK ve diğer özel kanunlarda belirtilen sürelerce saklamaktadır.
Mezkûr sürelerin belirlenmesinde, bahsi geçen hakkın ileri sürülebilmesine yönelik, ilgili mevzuatta belirlenen zamanaşımı ve saklama süreleri esas alınmaktadır.
Belirtilen süreler Şirket tarafından titizlikle takip edilmekte ve yukarıda anılan saklama sürelerinin dolduğu tespit edilen kişisel veriler yine ve Kişisel Verileri Saklama ve İmha Politikası’nda detayları belirtildiği üzere KVKK’ya uygun şekilde Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
1869 işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca KVKK ile uyumlu olarak muhafaza etmekte ve işlemektedir.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
| Çağrı Merkezi Ses Kayıtları | 3 yıl | Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun ve ilgili ikincil mevzuat ve Tüketicinin Korunması Hakkında Kanun |
| Üyelik Ve Satın Almaya İlişkin Kayıtlar | 10 yıl | Türk Borçlar Kanunu, Türk Ticaret Kanunu, Tüketicinin Korunması Hakkında Kanun ve Vergi Usul Kanunu |
| Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar | 10 yıl | Türk Ticaret Kanunu ve Vergi Usul Kanunu |
| Çerezler | 6 Ay – En Fazla 2 Yıl | İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |
| Ticari Elektronik İleti Onay Kayıtları | Onayın geri alındığı tarihten itibaren 3 yıl | Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun ve ilgili ikincil mevzuat |
| Çevrimiçi Ziyaretçilere İlişkin Trafik Bilgileri | 2 yıl | İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |
| Müşterilere İlişkin Kişisel Veriler | 6563 Kanun ve ilgili ikincil mevzuat uyarınca 3 yıl, hukuki ilişki sona erdikten sonra 10 yıl; | Türk Borçlar Kanunu, Elektronik ticaretin düzenlenmesi hakkındaki kanun ve ilgili ikincil mevzuat |
| Tedarikçilere İlişkin Kişisel Veriler | Hukuki ilişki sona erdikten sonra 10 yıl | Türk Ticaret Kanunu, Vergi Usül Kanunu |
| İnsan Kaynakları Süreçleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | İş Kanunu, Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu |
Çerezler yoluyla elde edilen kişisel verilerin saklama süreleri konusunda Çerez (Cookie) Politikası incelenmelidir.
4.11. Profilleme
1869 Müşteri/Üye’ye ilişkin olarak işlediği kişisel verileri kullanarak;
a. Ticari elektronik ileti alma konusunda onay veren Müşteri/Üye’ye ilişkin olarak, Müşteri/Üye’nin beğeni ve tercihlerine daha uygun içerik hazırlanması, reklam, tanıtım, indirim yapılabilmesi amacıyla profilleme yapmaktadır.
b. Ticari elektronik ileti onayı vermemiş olan Müşteri/Üye bakımından da profilleme yapılarak;
i. Ürün iyileştirmesi yapılması (en çok satılan veya satılmayan ürün kategorilerinin belirlenmesi),
ii. Alışveriş tercihlerinin analiz edilmesi suretiyle modellemeler yapılarak belirli bir ürünü alma potansiyeli olan müşteri gruplarına yönelik kampanyalar düzenlenmesi ve sisteme yüklenmesi,
iii. Satış potansiyelinin artırılmasına yönelik aksiyonlar alınması gibi çalışmalar yapılmaktadır.
Profilleme çalışmaları kapsamında Müşteri/Üye’nin kişisel verileri özellikle ad ve soyadı, cep telefonu, e-postası veya adres bilgisi doğrudan kullanılmamakta, bunun yerine kendilerine atanan Müşteri/Üye ID’leri ile işlem yapılmaktadır. Müşteri ID’si veya diğer bir ifade ile takma adlı veri kullanımı sayesinde Müşteri/Üye’nin kişisel verilerinin korunması sağlanmaktadır. Müşteri/Üye ID’leri 1869 içinde sadece ilgili kişi veya departmanların erişimine açıktır. Müşteri/Üye’ye atanan bu ID’ler 1869 tarafından sistem içinde muhafaza edilmekte ve bu bölüme erişim yine sadece sınırlı kişilere tanınmaktadır.
4.12. İlgili Kişiler’in Kişisel Verileri Üzerindeki Haklarının Neler Olduğunu ve Bu Hakları Nasıl Kullanabilecekleri
1869 tarafından işlenen kişisel veriler üzerinde İlgili Kişi’nin KVKK madde 11 uyarınca sahip olduğu haklar aşağıda sıralanmaktadır:
a. Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f. KVK Kanunu 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri Sahibi kişisel verileri üzerindeki haklarını kullanmak amacıyla; 1869 İnternet Sitesi, Mobil Uygulama ve mobil sitesi içindeki “Profil” bölümünden hesabına erişerek ve gerekli değişiklik, güncelleme ve/veya silme gibi işlemleri yapabilecektir. info@1869.co müşteri hizmetleri kanalı üzerinden başvuru yapılarak da söz konusu haklar kullanılabilecektir.
Ayrıca, www.1869.co sayfasında yer alan Başvuru Formu’nda belirtilen diğer yöntemlerle de konuya ilişkin başvuru yapılabilecektir.
4.13. İlgili Kişiler’in Elektronik Ticari İleti Alma Konusundaki Olumlu Veya Olumsuz Tercihlerini Nasıl Değiştirebilecekleri
1869 tarafından işletilen elektronik ticaret platformlarının web sitesi veya mobil uygulamasına üye olurken veya daha sonraki bir zamanda verilmiş ticari elektronik ileti alma konusundaki olumlu veya olumsuz tercihler her zaman “Profil” bölümüne erişerek değiştirilebilir veya güncellenebilecektir.
Üyeliğin sona erdirilmesi, ticari elektronik ileti alma konusunda onayın geri alınması anlamına gelmemektedir. Bu nedenle ayrıca verilen onayı geri almaya ilişkin tüm işlemlerin tamamlandığından emin olunması gerekmektedir.
Çerez yönetimi konusunda, Çerez (Cookie) Politikamızda belirtilen adımları takip edebilirsiniz.
4.14. Resmi Makamlarla Kişisel Veri Paylaşımı
1869, 1869 tarafından işletilen elektronik ticaret platformlara ve mobil aplikasyonlara yapılan ziyaret veya üyeliğe ilişkin kişisel veriler ve gezinme bilgileri gibi trafik bilgileri; spor müsabakalarında bilet satın alma sırasında talep edilen TCKN ve pasaport numarası, 1869’in yasalar karşısındaki yükümlülüğünü ifa etmesi amacıyla (6222 sayılı Sporda Şiddet Ve Düzensizliğin Önlenmesine Dair Kanun, suçla mücadele, devlet ve kamu güvenliğinin tehdidi ve benzeri ancak bununla sınırlı olmamak üzere 1869’in yasal veya idari olarak bildirim veya bilgi verme yükümlülüğünün mevcut olduğu durumlarda) yasal olarak bu bilgileri talep etmeye yetkili olan kamu kurum ve kuruluşları ile paylaşabilecektir.
4.15. Çerez (Cookie) Kullanımı ve Yönetimi
1869 tarafında kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikası inlecelenmelidir.
5. ÜÇÜNCÜ KİŞİLERE AİT SİTE, ÜRÜN VE HİZMETLER
Şirket’e ait internet siteleri, platform ve uygulamaları, üçüncü kişilere ait internet sitesi ve ürünlere ilişkin linkler içerebilir. Söz konusu linkler, üçüncü kişilere ait gizlilik politikalarına tabi olup, üçüncü kişiler ve üçüncü kişilere ait siteler Şirket’ten bağımsızdır ve Şirket hiçbir surette üçüncü kişilerin gizlilik uygulamalarından sorumlu olmayacaktır.
6. DEĞİŞİKLİKLER
Şirket, KVKK’ya bağlı olarak çıkartılacak Yönetmelik maddeleri ve sair mevzuat ışığında ve bunlarla sınırlı olmaksızın başkaca nedenlere, muhtelif zamanlarda işbu Kişisel Verilerin Korunması ve Gizlilik Politikası’nda, değişiklik yapma hakkını haizdir. Politika’nın güncel versiyonu Şirket’e ait internet sitelerinde yayınlanacak olup, kullanıcı ve üyelerin internet sitelerinden erişimine açık tutulacaktır.
7. YÜRÜRLÜK
İşbu Politika, yayınlandığı tarihte yürürlüğe girecek olup, internet sitesinden kaldırılana kadar yürürlükte kalmaya devam edecektir.
EK- ŞİRKET KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
1. Tanımlar
| İlgili Kişi/Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi anlamına gelmektedir. |
| Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder. |
| Kişisel Verilerin Silinmesi | Kişisel verilerin ilgili kişiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
| Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. |
| Kişisel Verilerin Anonimleştirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
2. Amaç Ve Kapsam
İşbu Silme ve İmha Politikası’nın amacı; Şirket’ın ilgili kişilere ait kişisel verilerin Kişisel Verilerin Korunması Kanunu’na (“Kanun” veya “KVKK”) uyumlu bir şekilde işlenmesini, saklanmasını, korunmasını ve kanun hükümlerine uygun olarak işlenmesine rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde ve yasal saklama sürelerinin sona ermesi durumunda KVKK ve KVKK’nun ikincil düzenlemesini teşkil eden 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e (“Yönetmelik”) uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesini sağlamak adına yönetim talimatları, prosedür şartları ve teknik bir politika oluşturmak ve Yönetmelik’den doğan yükümlülüklerin yerine getirilmesini sağlamaktır.
İşbu Silme ve İmha Politikası, Şirket tarafından işlenen kişisel verilerin saklanması ve imhasına ilişkin faaliyetlerde uygulanmaktadır.
İşbu Silme ve İmha Politikası, KVKK, “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”e ve kişisel verilerin saklanmasına ve imhasına ilişkin sair mevzuata dayalı olarak ele alınmış ve hazırlanmıştır.
3. Şirket Nezdinde Yürütülen Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Faaliyetleri
Kişisel veriler, Şirket tarafından ancak ilgili mevzuatta belirtilen saklama ve zamanaşımı süreleri dâhilinde ve/veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Buna uygun olarak Şirket, öncelikle ilgili mevzuatta kişisel verilerin saklanması hususunda herhangi bir süre ve/veya zamanaşımı süresi olup olmadığını tespit etmekte ve bu sürelere uygun şekilde kişisel verilerin saklamaktadır. İlgili mevzuatta herhangi bir süre öngörülmemesi durumunda, kişisel veriler KVKK’na uygun şekilde ve işlendikleri amaç için gerekli olan süre kadar saklamaktadır.
Şirket, KVKK’nun 7. Maddesinde düzenlendiği üzere, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda ve/veya yasal saklama sürelerinin sona ermesi halinde re’sen veya ilgili kişinin talebi üzerine “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”in 8., 9. ve 10. maddelerine uygun olarak kişisel verileri silmek, yok etmek veya anonim hale getirmek suretiyle imha etmektedir.
Şirket, Kanun ve Yönetmelikten doğan yükümlülüklerini yerine getirmek adına, teknik ve idari anlamda gerekli tedbirleri alarak; bu konuda gerekli işleyiş mekanizmaları geliştirmiş olup; bu yükümlüklerine riayet etmek üzere ilgili birimlerini eğitmekte ve bu hususta gerekli görevlendirmeleri yapmaktadır.
4. Kişisel Verilerin İmhasini Gerektiren Haller
KVKK ve Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından re’sen veya talep üzerine silinir, yok edilir veya anonim hale getirilir:
a. Kişisel verilerin işlenmesine, saklanmasına ve saklama sürelerine esas teşkil eden sair mevzuat hükümlerinin, kişisel verilerin saklanmasına ilişkin yükümlülüğü ortadan kaldıracak şekilde değiştirilmesi ve/veya yürürlükten kaldırılması,
b. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
c. Kanun’un 5. ve 6. Maddelerinde belirtilen” Kişisel Verilerin İşlenme Şartları”’nın ortadan kalkması,
d. Kişisel verilerin işlenmesinin yalnızca “açık rıza” şartına istinaden gerçekleştiği durumlarda, veri sahibinin rızasını geri alması,
e. Veri sahibinin, KVKK’nın 11. Maddesinin 1/e-f bentlerinde anılan hakları kapsamında, kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi hususunda yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
f. Kurul tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi hususunda karar verilmesi,
g. Kişisel verilerin saklanmasını gerektiren azami sürenin dolması akabinde, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir kanuni şartın mevcut olmaması.
5. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Yöntemleri
Şirket kişisel verilerin imhasında KVKK’na uygun olarak silme, yok etme ve anonimleştirme yöntemlerini kullanmaktadır:
a. Silme Yöntemleri: Şirket, kişisel verinin niteliğine ve bulunduğu ortama göre silme yöntemi olarak; veri tabanından komutla silme, karartma, yöntemlerinden bir veya birkaçını kullanır.
b. Yok Etme Yöntemleri: Şirket, kişisel verinin niteliğine ve bulunduğu ortama göre yok etme yöntemi olarak; fiziksel olarak yok etme, de-manyetize etme, üzerine yazma yöntemlerinden bir veya birkaçını kullanır.
c. Anonimleştirme Yöntemleri: Şirket, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliği, büyüklüğü, fiziki ortamlarda bulunma yapısı, çeşitliliği, veriden sağlanmak istenen fayda ve işleme amacına göre anonimleştirme yöntemi olarak; bölgesel gizleme, değişkenleri çıkarma, kayıtları çıkartma, genelleştirme, alt ve üst sınır kodlama, global kodlama, örnekleme, veri değiş tokuşu, gürültü ekleme mikro birleştirilme, veri karma ve bozma yöntemlerinden bir ya da birkaçını kullanır.
6. Kişisel Verileri Saklama Ve İmha Süreçlerinde Yer Alan Şirket Personelleri Birim, Unvan Ve Görev Tanımları
Kişisel verileri, veri tabanından saklama, silme, imha ve anonimleştirme işlemleriyle ilgili olarak aşağıda detaylandırılan pozisyonda görev alan kişi(ler) sorumlu olacaktır.
