Gizlilik Politikası

KVKK & Gizlilik Politikası

Kişisel Verilerin Korunması, İşlenmesi ve Gizlilik Politikası

I. GİRİŞ

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun ile kişisel verinin tanımı yapılarak, bunların korunmasına ilişkin ilkeler ve bu verilerin işlenmesinde veri sorumlusu sıfatı taşıyanların uyacakları şartlara yer verilmiştir. Kanun’a göre kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişi”lere ilişkin her türlü bilgidir. Kişisel verilerin işlenmesi ise “kişisel verilerin otomatik olan ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, üçüncü kişilerle paylaşılması ve yurtdışına transfer edilmesi dahil kişisel veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Naapsak Elektronik İletişim Perakende Gıda Anonim Şirketi (“Naapsak”) Kanun’a uygunluğun Naapsak Platformları yönünden sağlanması amacıyla, ilgili mevzuatta yer alan kişisel verilerin korunması ve işlenmesine ilişkin ilkeleri benimseyerek gerekli idari ve teknik tedbirleri almaktadır. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politika (“Politika”) kapsamı için bkz. VI. VERİ SAHİBİ VE KİŞİSEL VERİ KATEGORİZASYONU. Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli olarak uygulanacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Naapsak yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika Naapsak’nin internet sitesinde (www.Naapsak.com) yayımlanarak kişisel veri sahiplerinin erişimine sunulmaktadır. Değişen şartlara ve mevzuata uyum sağlamak amacıyla Politika’da değişiklik ve güncellemeler yapılabilecek olup ilgili internet sitesi üzerinden kişisel veri sahiplerine sunulabilecektir.

II. KİŞİSEL VERİLERİN İŞLENMESİ

II.I. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Anayasa’nın m. 20/III kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği belirtilerek kişisel verilerin korunması güvence altına alınmıştır. Kişisel veri sahiplerine tanınan bu hak doğrultusunda Naapsak kişisel verileri ilgili mevzuatta belirtilen ilkeler doğrultusunda veya kişinin açık rızasının bulunduğu durumlarda aşağıdaki ilkelere uygun işlemektedir:

• Hukuka ve Dürüstlük Kuralına Uygun İşleme
• Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
• Belirli, Açık ve Meşru Amaçlarla İşleme
• İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
• İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

II.II. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI VE AMAÇLARI

Kişisel veriler, prensip olarak ancak kişisel veri sahibinin açık rızası bulunan hallerde işlenebilmektedir. Kanun’un 5. maddesinde kişisel veriler ile 6. maddesinde özel nitelikli kişisel verilerin işlenmesine ilişkin şartlara yer verilmiştir. Kanun, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel verileri “özel nitelikli kişisel veri” olarak belirlemiştir. Kanun’un 6. maddesinde özel nitelikli kişisel veriler sınırlı bir şekilde sayılmıştır ve bunlar kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini içermektedir. Yukarıda politika kapsamında belirtilen şekilde kullanıcılarımızın özel nitelikli kişisel verilerini işlememekteyiz.

Naapsak kişisel verileri her halde Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak aşağıda belirtilen amaç ve koşullar doğrultusunda işlemektedir.

Genel nitelikli kişisel veriler ile ilgili olarak;

• Kişisel verilerinizin işlenmesine ilişkin Naapsak’nin ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi
• Naapsak tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması
• Kişisel verilerinizin Naapsak tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması
• Kişisel verilerinizin işlenmesinin Naapsak’nin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
• Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Naapsak tarafından işlenmesi
• Kişisel verilerinizin Naapsak tarafından işlenmesinin Naapsak’nin veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması
• Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Naapsak’nin meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması

kapsamında kişisel veriler Naapsak tarafından aşağıdaki amaçlarla işlemektedir:

• Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası
• Bilgi teknolojileri altyapısının oluşturulması ve yönetilmesi
• Çalışanların bilgiye erişim yetkilerinin planlanması ve icrası
• Finans ve/veya muhasebe işlerinin takibi
• Hukuk işlerinin takibi
• İş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası
• İş faaliyetlerinin planlanması ve icrası
• Restoranlar ve iş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası
• Restoranlar ve iş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi
• İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası
• Kurumsal iletişim faaliyetlerinin planlanması ve icrası
• Lojistik faaliyetlerinin planlanması ve icrası
• Müşteri/kullanıcı ilişkileri yönetimi süreçlerinin planlanması ve icrası
• Müşteri/kullanıcı memnuniyeti aktivitelerinin planlanması ve/veya icrası
• Müşteri/kullanıcı talep ve/veya şikayetlerinin takibi
• Müşterilerin/kullanıcıların finansal risklerinin tespitine yönelik faaliyetler yapılması
• Destek hizmetleri aktivitelerinin planlanması ve/veya icrası
• Şirket denetim faaliyetlerinin planlanması ve icrası
• Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası
• Şirket operasyonlarının güvenliğinin temini
• Şirketin sunduğu ürün veya hizmetlerden en yüksek faydanın elde edilmesi için ilgili süreçlerin planlanması ve icrası
• Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi
• Stratejik planlama faaliyetlerinin icrası
• Üretim ve/veya operasyon süreçlerinin planlanması ve icrası
• Ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası
• Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icrası
• Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası
• Verilerin doğru ve güncel olmasının sağlanması
• Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi

III. KİŞİSEL VERİLERİN AKTARILMASI

III.I. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN GENEL İLKELER

Kanun’un 8. ve 9. maddesinde kişisel verilerin yurt içinde ve yurt dışına aktarılmasına ilişkin hususlara yer verilmiştir. Naapsak, hukuka uygun olarak elde etmiş olduğu kişisel verileri veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak üçüncü kişilere aktarabilmektedir. Bu doğrultuda Naapsak kişisel verileri Bölüm II’de belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir:

• Kişisel veri sahibinin açık rızası var ise,
• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
• Naapsak’ın hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Naapsak’ın meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

III.II. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Naapsak meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin kişisel verilerini aşağıdaki hallerde yurtdışına aktarabilecektir:

• Kanun’un 5. ve 6.maddelerinde belirtilen şartlardan birinin varlığı ve verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde,
• Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
  • a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
  • b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
  • c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
  • ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
• Yeterlilik kararının bulunmaması ve yukarıda sayılı uygun güvencelerden herhangi birinin sağlanamaması durumunda, Kanun’da sayılı arızi hallerden birinin varlığı halinde.

III.III. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ TARAFLAR

Naapsak yukarıda belirtilen şartlar doğrultusunda ve Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda belirtilen taraflara aktarabilir:

• İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etme amacıyla anonim olarak iş ortaklarına, (başkaca veri aktarımının gerekmesi halinde ayrıca açık rıza alınmaktadır.)
• Restoranlar ile sözleşme kapsamındaki amaçların yerine getirilmesi için sınırlı olarak restoranlara,
• Naapsak’ın tedarikçiden dış kaynaklı olarak temin ettiği ve Naapsak’ın ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Naapsak’a sunulmasını sağlamak amacıyla sınırlı olarak tedarikçilere,
• Naapsak iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak iştiraklere,
• Naapsak’ın ticari faaliyetlerine ilişkin stratejilerin tasarlanması, şirket prosedürlerine uygun bilgilendirmelerin yapılması ile ilgili mevzuat hükümlerine uygun şekilde denetim amaçlarıyla sınırlı olarak hissedarlara,
• Hukuki yetkileri dahilinde talep ettikleri amaçla sınırlı olarak ilgili kamu kurum ve kuruluşları ile özel hukuk kişilerine

IV. KİŞİSEL VERİLERİN KORUNMASI

Naapsak, işlediği kişisel verilerin güvenliğini sağlamak için ilgili mevzuat uyarınca öngörülen ve KVK Kurulu tarafından bildirilecek olan diğer idari ve teknik önlemleri alarak kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını temin etmektedir. Bu kapsamda Naapsak, kişisel verilerin hukuka uygun olarak işlenmesi, güvenli ortamlarda saklanması, yetkisiz erişim riskleri ile diğer her türlü hukuka aykırı erişimlerin önlenmesi, arızi olarak gerçekleşen veri kayıplarının önlenmesi, verilere kasıtlı olarak zarar verilmesi ile silinmesinin önlenmesi için teknolojik imkânlar ve uygulama maliyetinin de ele alındığı makul derecedeki teknik ve idari önlemleri almaktadır. Şöyle ki;

• Naapsak’ın kişisel veri işleme faaliyetlerinin kurulan teknik sistemlerle denetlenmesi, Alınan teknik önlemlere ilişkin olarak periyodik raporlamaların yapılması,
• Naapsak nezdinde kişisel veri işleyen çalışanların, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmesi ve eğitilmesi,
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılarak ve uygulama kurallarının belirlenmesi, bu hususların denetimi ve sürdürülebilirliğini sağlamak için şirket içi politikalar ve eğitimlerin düzenlenmesi,
• Naapsak ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Naapsak’ın talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtların ve bu konuda çalışanların farkındalığının oluşturulması,
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirmelerin yapılması ve buna uygun olarak erişim yetkilerinin sınırlandırılması,
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulması ve işletilmesi,
• Naapsak’ın kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet aldığı taraflar dahil olmak üzere kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümlerin eklenmesi,
• Hukuka uygun yedekleme programlarının kullanılarak saklanma alanlarına yönelik teknik güvenlik sistemlerin kurulması,

Naapsak, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

V. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI, HAKLARI VE BİLGİLENDİRİLMESİ

V.I. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI

Kanun’un 10. maddesinde kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerinin aydınlatılması gerektiği belirtilmiştir. Naapsak, bu doğrultuda ilgili mevzuatta belirtilen diğer kişisel veri işleme faaliyeti genel ilkelerine uygun olarak kişisel veri sahiplerini kişisel verilerinin elde edilmesi sırasında; (i) varsa temsilcisinin kimliği, (ii) kişisel verilerin hangi amaçla işleneceği, (iii) kimlere ve hangi amaçla aktarılabileceği, (iv) kişisel veri toplamanın yöntemi ve hukuki sebebi, (v) kişisel veri sahibinin sahip olduğu haklara ilişkin olarak bilgilendirmektedir.

V.II. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

Kanun’un 11. maddesinde ise kişisel veri sahibinin sahip olduğu haklar sayılmıştır. Şöyle ki veri sahibi;

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir. Ancak Kanun’un 28. maddesi uyarınca aşağıdaki durumlarda yukarıda sayılan haklar ileri sürülemez:

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun’un 28/2 maddesi uyarınca; aşağıda belirtilen durumlarda kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç olmak üzere, yukarıda belirtilen diğer haklarını ileri süremezler:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

V.III. KİŞİSEL VERİ SAHİPLERİNİN BİLGİLENDİRİLMESİ

Kişisel veri sahipleri, Anayasa’nın 20. maddesi uyarınca kendileriyle ilgili kişisel veriler hakkında bilgi sahibi olma ile yukarıda belirtilen haklar arasında sayılan “bilgi talep etme” hakkı doğrultusunda yapmış oldukları bilgi talepleri Naapsak tarafından Kanun’a uygun olarak karşılanmaktadır. Naapsak, kişisel veri sahiplerine gereken bilgilendirmelerin yapılması amacıyla Kanun’un 13. Maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir. Bu doğrultuda kişisel veri sahipleri yukarıda belirtilen haklarına ilişkin taleplerini Naapsak’ne iletmeleri durumunda talebin niteliğine göre talebe karşılık gerekçeli olumlu/olumsuz yanıtını en geç otuz gün içinde ücretsiz olarak bildirmektedir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Naapsak, KVK Kurulunca belirlenen tarifedeki ücreti alabilecektir. Kişisel veri sahipleri yukarıda belirtilen haklarına ilişkin aşağıdaki yöntemlerden biri ile gerçekleştirilecektir:

• ……………. e posta adresine talep gönderilmesi, (Bu durumda başvurucunun başvuruda bulunduğu kanaldan başvurucunun gerçekten hak sahibi olan kişisel veri sahibi olup olmadığının tespit edilebilmesi için; talep sahibinin gerçekten bu başvuruyu yapıp yapmadığını belirlemek üzere ilgili kişiyle kayıtlı telefon üzerinden iletişim kurulacaktır. Bu kapsamda başvurucunun son sipariş bilgileri teyit edilerek veri sahibi ile talebi yapan kişi eşleştirilmesi halinde başvuru değerlendirmeye alınacaktır.)
• Kişisel Verileri Koruma Kurulu tarafından öngörülen bir yöntemin izlenmesi.

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

Naapsak, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir. Kişisel veri sahibi Kanun’un 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Naapsak’ın yanıtını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na başvuruda bulunabilir.

VI. VERİ SAHİBİ VE KİŞİSEL VERİ KATEGORİZASYONU

VI.I. VERİ SAHİBİ KATEGORİZASYONU

Naapsak, kendi bünyesinde işlediği kişisel verilerin sahiplerini aşağıdaki şekilde kategorize etmiştir. İşbu Politika kapsamında oluşturulan veri sahibi kategorizasyonu aşağıdaki kişisel veri sahipleri ile ilişkilendirilmektedir. Bu kapsam dışında kalan veri sahipleri de Politika doğrultusunda taleplerini Naapsak’a yöneltebileceklerdir.

Kişisel Veri Sahibi Kategorisi

• Müşteri/Kullanıcı/Ürün veya Hizmet Alan Kişi: Naapsak ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler
• Potansiyel Müşteri: Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler
• Üçüncü Kişiler: Bu Politika ve Naapsak Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına girmeyen diğer gerçek kişiler
• İş Ortağı Hissedarı, Yetkilisi, Çalışanı: Naapsak’ın her türlü iş ilişkisi içerisinde bulunduğu kurumlarda çalışanlar, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler
• Tedarikçi Hissedarı, Yetkilisi, Çalışanı: Naapsak’ın ürün veya hizmet temin ettiği ve iş ilişkisi içerisinde bulunduğu kurumlarda çalışanlar, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler
• İş Ortağı Adayı: Naapsak’nin herhangi bir iş ilişkisi kurmayı öngördüğü gerçek kişiler veya tüzel kişilerin çalışanları, hissedarları ve yetkilileri olan gerçek kişiler
• Ziyaretçi: Naapsak'nin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler

VI.II. KİŞİSEL VERİ KATEGORİZASYONU

İşbu Politika kapsamında, Naapsak tarafından işlenen kişisel veriler kategorize edilmiştir. Yukarıda belirtilen veri sahibi kategorilerinde yer alan kişisel veri sahiplerinin kişisel verileri aşağıda belirtilen kişisel veri kategorileri ile ilişkilendirilmiştir.

Kişisel Veri Kategorizasyonu

• Profil Bilgisi: Kullanıcı adı gibi profile özgü bilgiler.
• İletişim Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler
• Lokasyon Verisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibinin Naapsak iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Naapsak’ın işbirliği içerisinde olduğumuz kurumların çalışanlarının Naapsak araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler
• Müşteri İşlem Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler
• İşlem Güvenliği Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen IP adresi, (sistem giriş bilgileri) log in credentials, tedarikçilerin destek hizmeti verirken eriştikleri kaynakların loglanması, cüzdan sistemi özelinde kullanıcı hareketleri (şifre sıfırlama, şifre oluşturma gibi) gibi kişisel veriler
• Finansal Bilgi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Naapsak'ın kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler
• Hukuki İşlem Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler
• Pazarlama Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler
• Risk Yönetimi Bilgisi: Kişiyle ilişkilendirilen ve şirketimizin ticari itibarını korumak maksatlı toplanan bilgiler (örneğin Şikayetvar sitesinden gelen bilgiler, Twitter ve Facebook'tan şirketimiz, üst düzey yöneticilerimiz ve hissedarlarımız aleyhine yapılan paylaşımlarla ilgili toplanan bilgiler, buna ilişkin oluşturulan değerlendirme raporları ve buna ilişkin alınan aksiyonlarla ilgili bilgiler)

VII. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNE İLİŞKİN İLKELER

Kişisel veriler, Naapsak tarafından ilgili mevzuatta öngörülen süreler boyunca ve hukuki yükümlülükleri doğrultusunda saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Naapsak’ın o veriyi işlerken yürüttüğü faaliyet ile bağlantılı olarak Naapsak’ın uygulamaları ile ticari teamüller doğrultusunda işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. İşlenme amacı sona ermiş kişisel veriler ile kişisel veri sahipleri tarafından silinmesi/anonimleştirilmesi talep edilmiş olan kişisel veriler, ilgili mevzuat ve Naapsak’ın belirlediği saklama sürelerinin de sonuna gelinmişse; yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Naapsak kişisel verilerin saklanma sürelerini belirlerken ilgili mevzuatta öngörülen zamanaşımı sürelerini esas almaktadır. Bu amaç doğrultusunda saklanan kişisel verilere yalnızca ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman sınırlı kişiler tarafından erişilmekte olup bu amaç dışında başka bir amaçla erişilmemektedir. Bu sürenin sonunda da kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

VIII. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI

Türk Ceza Kanunu’nun 138. maddesinde ve Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Naapsak’ın kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

IX. NAAPSAK KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ İLE İLGİLİ YÖNETİM YAPISI

Naapsak bünyesinde işbu Politika, ilişkili politikalar ile diğer çıktıların yönetilmesi, Kanun’a uyumluluk sürecinin takibi ve sürekliliğinin sağlanması amacıyla şirket içerisinde bir Kişisel Verilerin Korunması Komitesi (“Komite”) kurulmuştur. Bu Komite’nin görevleri;

• Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları oluşturmak, güncellemek, yürürlüğe koymak,
• Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetimine ilişkin aksiyonları almak, bununla ilgili şirket içi görevlendirmeler yaparak koordinasyonu sağlamak,
• Kanun ve ilgili mevzuata uyumun sağlanması ile kişisel verilerin korunması ve işlenmesi ile ilgili gelişmeleri takip ederek bu çerçevede gerekli aksiyonların alınmasını sağlamak,
• Kişisel verilerin korunması ve işlenmesi konusunda Naapsak içerisinde ve Naapsak’nin işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
• Kişisel veri sahiplerinin başvurularını değerlendirmek ve hukuka uygun bir şekilde çözüme ulaştırmak,
• Naapsak’nin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını sağlamak,
• KVK Kurulu ve Kurumu ile olan ilişkileri yürütmektir.

AYDINLATMA METNİ

İşbu Kişisel Verilerin Korunması Kanunu Uyarınca Aydınlatma Metni (“Aydınlatma Metni”) veri sorumlusu sıfatıyla hareket eden Yemek Sepeti Elektronik İletişim Perakende Gıda A.Ş. (““Naapsak””) tarafından “Naapsak”’nin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) uygun olarak “Naapsak” kullanıcılarının kişisel verilerinin işlenmesine ilişkin açıklamalarda bulunmak ve bilgilendirmek amacıyla kaleme almıştır.

1. Toplanan Kişisel Veriler

Aydınlatma Metni kapsamında kategorilendirilen kişisel verileriniz aşağıdaki gibidir;

• Kullanıcı Üyelik (Profil) Bilgisi: Kullanıcı adı (isim - soyisim), doğum tarihi (eğer ilettiyseniz).
• İletişim Bilgisi: Telefon numarası, adres, e-mail adresi
• Lokasyon Verisi: Kişisel veri sahibinin “Naapsak” iş birimleri tarafından yürütülen operasyonlar çerçevesinde, kullanıcının “Naapsak”’ni kullanırken işaretlediği ve/veya cihaz bazlı aktive ettiği lokasyonu
• Müşteri İşlem Bilgisi: Ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile hizmetlerimizi kullandığınızda sunucularımız, bir internet sitesini her ziyaret ettiğinizde tarayıcınızın otomatik olarak gönderdiği veya kullanırken mobil uygulamanızın otomatik olarak gönderdiği bilgiler de dahil olmak üzere çeşitli bilgileri ("günlük verileri") kaydeder. Bu günlük verileri arasında örneğin, İnternet Protokol (IP) adresiniz, “Naapsak” özelliklerini ("Kaydet" düğmesi gibi) içeren ziyaret ettiğiniz web sitelerindeki etkinlikler, tarayıcı türü ve ayarları ve Hizmetlere eriştiğiniz tarih ve saat yer almaktadır.
• İşlem Güvenliği Bilgisi: Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen IP adresi, (sistem giriş bilgileri) log in credentials, tedarikçilerin destek hizmeti verirken eriştikleri kaynakların loglanması, cüzdan sistemi özelinde kullanıcı hareketleri (şifre sıfırlama, şifre oluşturma gibi) gibi kişisel veriler
• Finansal Bilgi: ”Naapsak”'nin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve ödeme kayıtlarına ilişkin bilgiler ile ilk dört son altı hane olarak maskeli haldeki kredi kartı numarası
• Görsel ve İşitsel Kayıtlar: Kullanıma ilişkin canlı yardım kayıtları yahut telefon görüşme kayıtları, e-mail ile iletişim kurulması halinde e-mail yazışma kayıtları,
• Hukuki İşlem Bilgisi: Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler
• Pazarlama Bilgisi: Ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler (yararlanılan indirimler ve kampayanlar, sipariş zamanı, favori ürünler, kupon bilgisi, hangi uygulama üzerinden kayıt olunduğu, hangi uygulama ile sipariş verildiği (web, mobil, uygulama), alışveriş alışkanlıkları) ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler
• Kullanım Verileri Ve Çıkarımlar: Hizmetlerimizi kullanırken, hangi Pinlere tıkladığınız, aradığınız terimler, oluşturduğunuz panolar ve bir yorum veya açıklamaya eklediğiniz metinler gibi etkinliklerinizi, kayıt sırasında sağladığınız diğer bilgilerle ve iş ortaklarımız ile reklam verenlerden aldığımız verilerle birlikte değerlendirerek sizin ve tercihlerinize dair çıkarımlar yapılması, Örneğin, seyahat konulu bir pano oluşturduğunuzda sizin seyahat tutkunu olduğunuz yönünde bir çıkarımda bulunulması, Ayrıca çıkarımda bulunarak, aldığınız eğitim veya mesleki deneyiminiz gibi diğer bilgiler
• Risk Yönetimi Bilgisi: Kişiyle ilişkilendirilen ve şirketimizin ticari itibarını korumak maksatlı toplanan bilgiler

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. “Naapsak” herhangi bir şekilde özel nitelikli kişisel verilerinizi toplamaz ve işlemez. Bu gibi verileri paylaşmanızı istemeyiz. “Naapsak” ile ilişkiniz kapsamında hangi etkileşim yoluyla olursa olsun özel nitelikli kişisel verilinizi paylaşmayınız.

2. Kişisel Verilerin İşlenme Amacı

Yukarıda belirtilen kişisel verileriniz aşağıdaki amaçlar doğrultusunda ve bunlarla sınırlı ve ölçülü olacak şekilde işlenecektir.

i.Şirket tarafından sunulan hizmete ilişkin sözleşmenin yerine getirilebilmesi kapsamında;

• Siparişinizin tarafınıza iletilebilmesi (profil, iletişim, işlem güvenliği, hukuki işlem, lokasyon, görsel ve işitsel kayıtlar)
• “Naapsak” ile kurmuş olduğunuz sözleşmenin ifası (profil, iletişim, işlem güvenliği, hukuki işlem, lokasyon, görsel ve işitsel kayıtlar)
• Sözleşmenin diğer süreçlerinin takibi (pazarlama, müşteri işlem, profil, iletişim, işlem güvenliği, hukuki işlem, lokasyon, görsel ve işitsel kayıtlar)

ii.Şirket tarafından sunulan ürün ve hizmetlerin kullanıcı deneyiminin arttırılması için ve ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası kapsamında;

• Kullanıcı memnuniyeti aktivitelerinin planlanması ve/veya icrası (İletişim, pazarlama, görsel ve işitsel kayıtlar)
• Ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası (İletişim, pazarlama, müşteri işlem, görsel ve işitsel kayıtlar, profil)
• Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icrası (profil, iletişim, pazarlama, müşteri işlem, görsel ve işitsel kayıtlar)
• Şirketin sunduğu ürün veya hizmetlerden en yüksek faydanın elde edilmesi, kullanıcı deneyiminin artırılması için ilgili süreçlerin planlanması ve icrası ve bu kapsamda “Naapsak” tarafından anlık bildirimlerin yapılması, kullanıcı alışkanlıklarının tespit edilerek hedefleme, profilleme ve analizlerin yapılması, tarafınıza indirimli kampanya sunulması, özelleştirilmiş içeriklerin sunulması, dijital pazarlama, hedefleme, yeniden pazarlama (on-site remarketing),reklam yapılması (profil, iletişim, pazarlama, müşteri işlem)
• Satış, pazarlama ve optimizasyon süreçlerinin kullanıcı deneyimini iyileştirmek için planlanması ve icrası (profil, iletişim, pazarlama, müşteri işlem, görsel ve işitsel kayıtlar)
• Şirket iş ve stratejilerine ilişkin süreçlerin planlanması ve geliştirilmesi kapsamında tarafınıza yapılan reklamlara ilişkin değerlendirme, analiz ve kullanıcı deneyiminin geliştirilmesi için optimizasyon faaliyetlerinin yapılması, (profil, iletişim, risk yönetimi, müşteri işlem, görsel ve işitsel kayıtlar)
• Şirketin sunduğu ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası kapsamında pazar araştırmaları ve anketlerin yapılması (iletişim, profil, pazarlama, müşteri işlem, görsel ve işitsel kayıtlar)

iii.Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak ve bu kullanıcıların deneyiminin arttırılması için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi kapsamında;

• Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası (profil, iletişim, pazarlama, finans, müşteri işlem)
• Satış sonrası destek hizmetleri aktivitelerinin planlanması ve/veya icrası (profil, iletişim, pazarlama, finans, görsel ve işitsel kayıtlar, müşteri işlem)
• Kullanıcı ilişkileri yönetimi süreçlerinin planlanması ve icrası (profil, iletişim, görsel ve işitsel kayıtlar, müşteri işlem)
• Kullanıcı talep ve/veya şikayetlerinin takibi (profil, iletişim, görsel ve işitsel kayıtlar, müşteri işlem)
• Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi (profil, iletişim, pazarlama, müşteri işlem, hukuki işlem, görsel ve işitsel kayıtlar, işlem güvenliği, lokasyon)

iv.Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temin edilmesi kapsamında;

• Şirket denetim faaliyetlerinin planlanması ve icrası (iletişim, lokasyon, finans, risk yönetimi, işlem güvenliği, hukuki işlem)
• Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerin planlanması ve icrası (iletişim, işlem güvenliği, müşteri işlem, hukuki işlem, lokasyon, finans)
• Şirket operasyonlarının güvenliğinin temini (hukuki işlem, risk yönetimi, müşteri işlem, işlem güvenliği, lokasyon)
• Verilerin doğru ve güncel olmasının sağlanması (hukuki işlem, risk yönetimi, müşteri işlem, işlem güvenliği)
• Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi (iletişim, işlem güvenliği, müşteri işlem, hukuki işlem)

v.Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi kapsamında;

• Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası (profil, risk yönetimi, işlem güvenliği, müşteri işlem, hukuki işlem)
• Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi (risk yönetimi, işlem güvenliği, müşteri işlem, hukuki işlem)
• Finans ve/veya muhasebe işlerinin takibi (profil, iletişim, finans, müşteri işlem, hukuki işlem)
• Hukuk işlerinin takibi (profil, iletişim, müşteri işlem, hukuki işlem, işlem güvenliği, risk yönetimi, finans)
• İş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası (iletişim, lokasyon, hukuki işlem, görsel ve işitsel kayıtlar)
• İş faaliyetlerinin planlanması ve icrası (iletişim, lokasyon, hukuki işlem, görsel ve işitsel kayıtlar)
• Kurumsal iletişim faaliyetlerinin planlanması ve icrası (profil, iletişim, pazarlama, lokasyon)
• Lojistik faaliyetlerinin planlanması ve icrası (iletişim, müşteri işlem, lokasyon)
• Üretim, satış/hizmet ve/veya operasyon süreçlerinin planlanması ve icrası (iletişim, müşteri işlem, finans)
• Hileli faaliyetlerin önüne geçilmesi, mevzuata uygun hareket edilmesi, etik/uyum kurallarına uygun hareket edilmesi (hukuki işlem, risk yönetimi, işlem güvenliği)

vi.Şirket'in ticari ve/veya iş stratejilerinin planlanması ve icrası kapsamında;

• İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi (iletişim, müşteri işlem, lokasyon)
• Stratejik planlama faaliyetlerinin icrası (risk yönetimi, finans)
• İş ortakları ve/veya tedarikçilerin tedarik zinciri yönetiminin ve değerlendirme süreçlerinin planlanması ve takibi (iletişim, lokasyon, müşteri işlem, finans)
• Şirketin iş ve stratejilerine/iyileştirme süreçlerine ve denetime ilişkin süreçlerin planlanması (iletişim, finans, risk yönetimi, lokasyon, hukuki işlem, pazarlama, görsel ve işitsel kayıtlar)
• Performans yönetimi süreçlerinin planlanması ve icrası (müşteri işlem, lokasyon)

3. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel verileriniz “Naapsak” tarafından e-mail, ilgili internet siteleri ve mobil uygulama gibi kanallardan, “Naapsak”’nin erişimine imkan verdiğiniz sosyal medya hesapları üzerinden elektronik ortamda ve çağrı merkezi kanalı ile veya fiziki olarak posta/kargo yolu ile toplanmaktadır.

Kişisel verileriniz işbu Aydınlatma Metni’nin 2. maddesinde belirtilen amaçlar doğrultusunda Kanun'un 5. maddesinde belirtilen aşağıdaki hukuki sebeplere dayanılarak işlenebilecektir:

• Kanunlarda açıkça öngörülmesi: iii, iv, v
• Sizinle aramızdaki sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, size ait kişisel verilerinizi işlenmesinin gerekli olması: i, iii, v
• Hukuki yükümlülülüklerimizi yerine getirebilmemiz için zorunlu olması: iii, iv, v
• Sizin tarafınızdan alenileştirilmiş olması (alenileştirme amacınızla bağdaştığı ölçüde): ii, iii
• Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerinizi işlemenin zorunlu olması: iii, iv, v
• Temel hak ve özgürlüklerinize zarar vermemek kaydıyla, meşru menfaatlerimiz için zorunlu olması: ii, iii, iv, v, iv

4. Kişisel Verilerin Aktarılabileceği Taraflar ile Aktarım Amacı

“Naapsak” tarafından toplanan kişisel verileriniz, yukarıda Aydınlatma Metni’nin 2. maddesinde detayları verilen amaçlarla ve 3. maddede belirtilen hukuki sebeplere dayanılarak Kanun'un 8. maddesi uyarınca yurt içindeki iştiraklerimiz, hissedarlarımız, iş ortaklarımız, kanunen yetkili kamu kurumları ve özel kişiler ile paylaşılabilecektir.

Ayrıca profil, iletişim, lokasyon, müşteri işlem, işlem güvenliği, risk yönetimi, pazarlama ilgili kişisel verileriniz, 2. maddede detayları verilen amaçlarla ve bunlarla sınırlı olarak Kanun’un 9. maddesi uyarınca yurt dışındaki iştiraklerimiz, hissedarlarımız ve iş ortaklarıyla paylaşılabilecektir.

5. Kişisel Verilerinize İlişkin Haklarınız

Kanun’un 11. maddesi kapsamında kişisel verilerinize ilişkin olarak sizlere aşağıda belirtilen haklar tanınmıştır:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi info@”Naapsak”.com adresine iletebilirsiniz. Kişisel Verileri Koruma Kurumu tarafından ilgili mevzuat kapsamında belirlenen şartları taşımayan başvurular, şartları karşılaması için sizden talep edilebilecek ek bilgi tamamlanmadığı müddetçe, değerlendirmeye alınmayacaktır.

“Naapsak” talebin niteliğine göre talebi en kısa sürede ve/veya en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Bununla birlikte taleplerinizin yerine getirilmesi nedeniyle ek bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretin talep edilebileceğini hatırlatmak isteriz.

“Naapsak”’nin işbu Aydınlatma Metni’ni, iş gereksinimleri, kanuni gereksinimler doğması halinde tek taraflı olarak güncelleme hakkı saklıdır. Bu metnin en güncel haline ulaşmak için ana sayfamızı düzenli olarak ziyaret etmenizi öneririz.