Gizlilik ve Kişisel Verilerin Korunması Politikası
CENGİZ OPTİK SAAT TURİZM SANAYİ VE TİCARET LİMİTED ŞİRKETİ (“Cengiz Optik”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında veri sorumlusu sıfatıyla kişisel verilerinizin gizliliğini ve güvenliğini korumaya büyük önem verir.
Cengiz Optik, Kanun’un getirdiği yükümlülükler çerçevesinde kişisel verilerin işlenmesi, saklanması, silinmesi, anonim hale getirilmesi, aktarılması, aydınlatma yükümlülüğünün yerine getirilmesi ve veri güvenliğinin sağlanması için gerekli tüm idari ve teknik tedbirleri almaktadır.
Bu Gizlilik ve Kişisel Verilerin Korunması Politikası, kişisel verileri işlenen bireyleri (veri sahiplerini) bilgilendirmek amacıyla hazırlanmıştır ve aşağıda belirtilen konular hakkında şeffaf bir şekilde bilgi sunmayı hedeflemektedir.
1. Politikanın Kapsamı ve Amacı
İşbu Politika, Cengiz Optik’in kişisel veri işleme süreçlerini şu başlıklar altında açıklamaktadır:
- Kişisel verilerin hangi yollarla toplandığı ve işlenmesinin hukuki dayanakları,
- Kişisel verileri işlenen kişi grupları (Veri Sahibi Kategorileri),
- Hangi veri kategorilerinin işlendiği ve örnek veri türleri,
- Toplanan kişisel verilerin hangi amaçlarla kullanıldığı,
- Verilerin kimlerle ve hangi amaçlarla paylaşılabileceği,
- Kamu kurum ve kuruluşlarıyla yapılan veri paylaşımları,
- Kişisel verilerin saklama süreleri,
- Profilleme ve segmentasyon uygulamaları,
- Veri sahiplerinin Kanun kapsamında sahip oldukları haklar ve bu hakları nasıl kullanabilecekleri.
a. Kişisel Verilerin Toplanma Yöntemleri ve Hukuki Dayanakları
Cengiz Optik, kişisel verileri fiziki mağazalar, çağrı merkezi, web sitesi, sosyal medya kanalları, e-posta, posta, telefon, CCTV sistemleri, çerezler, faks ve idari veya adli makamlardan gelen resmi yazışmalar gibi çeşitli iletişim kanalları üzerinden işitsel, elektronik ya da yazılı yollarla toplamaktadır. Tüm bu işlemler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda öngörülen veri işleme şartlarına ve bu Politika’da belirtilen hukuki gerekçelere uygun şekilde gerçekleştirilmektedir.
b. Veri Sahibi Kategorileri
Cengiz Optik tarafından kişisel verileri işlenen kişi grupları aşağıda belirtilmiş olup, iş süreçlerinin ve mevzuatın gerekliliklerine göre bu gruplar genişleyebilir:
- Müşteriler
- Çevrimiçi Müşteriler
- Ziyaretçiler
- Çevrimiçi Ziyaretçiler
- İş Ortakları / Tedarikçiler
c. İşlenen Kişisel Veri Kategorileri ve Örnek Veri Türleri
Cengiz Optik tarafından işlenen kişisel veriler, veri sahibi gruplarına ve işlem amacına göre çeşitli kategorilere ayrılmıştır. Aşağıda veri sahibi türlerine göre işlenebilecek örnek veri kategorileri ve veri türleri belirtilmiştir:
No |
Veri Sahibi Grubu |
Veri Kategorisi |
Örnek Veri Türleri |
1 |
Müşteri |
Kimlik Bilgileri |
Ad-soyad, cinsiyet, T.C. kimlik numarası, doğum tarihi ve yeri, medeni hal, pasaport bilgileri |
İletişim Bilgileri |
Ev/iş adresi, e-posta adresi, telefon numarası |
Finansal Bilgiler |
Banka hesap numarası, IBAN, ödeme bilgileri, işlem hareketleri |
Müşteri İşlem Bilgileri |
Müşteri numarası, işlem geçmişi, şikayet ve talep kayıtları, memnuniyet bilgileri |
Özel Nitelikli Veriler |
Dioptri ölçümleri, sağlık raporları |
2 |
Çevrimiçi Müşteri |
Kimlik Bilgileri |
Ad-soyad, cinsiyet, doğum tarihi ve yeri |
İletişim Bilgileri |
Ev/iş adresi, e-posta adresi, telefon numarası |
Finansal Bilgiler |
Banka hesap detayları, ödeme işlemleri |
Müşteri İşlem ve Davranış Bilgileri |
Müşteri numarası, işlem tarihleri, şikayet ve talepler, web sitesi kullanım alışkanlıkları, arama kayıtları |
Özlük ve Meslek Bilgileri |
Öğrenim durumu, sigorta bilgileri, bağlı olduğu kurumlar |
3 |
Ziyaretçi |
Kimlik Bilgileri |
Ad-soyad, T.C. kimlik numarası, pasaport numarası |
İletişim Bilgileri |
E-posta adresi, telefon numarası |
İşlem Güvenliği Bilgileri |
5651 log kayıtları |
Diğer Bilgiler |
Araç plakası, CCTV kamera görüntüleri |
4 |
Çevrimiçi Ziyaretçi |
İşlem Güvenliği Bilgileri |
Şifre, üye numarası, cep telefonu |
Hukuki İşlem Bilgileri |
IP adresi |
5 |
İş Çözüm Ortağı / Tedarikçi |
Kimlik Bilgileri |
Ad-soyad, cinsiyet, T.C. kimlik numarası, kimlik belgelerindeki detaylar, doğum tarihi ve yeri, medeni durum, mesleki kimlik bilgileri |
İletişim Bilgileri |
Adres bilgileri, e-posta adresi, telefon ve cep telefonu numaraları |
Finansal Bilgiler |
Banka hesap bilgileri, işlem hareketleri, IBAN numarası, ödeme detayları, teminat mektupları |
CV ve Mesleki Bilgiler |
Öğrenim durumu, askerlik bilgileri, sektör deneyimi, bağlı olduğu kuruluş, işe giriş/çıkış tarihleri, unvan, sigorta bilgileri |
Hukuki İşlem ve Uyum Bilgileri |
İmza sirküleri, faaliyet belgeleri, vekaletname örnekleri |
Özel Nitelikli Kişisel Veriler |
Adli sicil kaydı, imza örnekleri, sağlık bilgileri |
Diğer Bilgiler |
Araç plakası bilgileri, CCTV kamera görüntüleri, fotoğraf kayıtları |
d. Kişisel Verilerin İşlenme Amaçları
Cengiz Optik, topladığı kişisel verileri aşağıdaki amaçlar doğrultusunda işlemektedir:
- Şirketin ticari faaliyetlerinin yürütülmesi için gerekli operasyonel süreçlerin planlanması ve uygulanması
- İş süreçlerinin verimliliğinin ve etkinliğinin analiz edilmesi
- İş sürekliliği planlarının hazırlanması ve uygulanması
- Lojistik ve tedarik süreçlerinin yönetilmesi
- Kurumsal iletişim çalışmalarının yürütülmesi
- Tedarik zinciri süreçlerinin planlanması ve yönetimi
- Bilgi güvenliği prosedürlerinin uygulanması ve denetlenmesi
- Finansal ve muhasebe işlemlerinin takibi
- İç ve dış eğitim faaliyetlerinin planlanması ve yürütülmesi
- İş ortakları ve tedarikçilerle ilişkilerin yönetilmesi
- Ürün ve hizmetlerin satış süreçlerinin yürütülmesi
- Satış sonrası destek hizmetlerinin sağlanması
- Müşteri ilişkileri yönetiminin planlanması ve uygulanması
- Müşteri taleplerinin ve şikayetlerinin değerlendirilmesi ve yanıtlanması
- Pazar araştırması faaliyetlerinin yürütülmesi ve pazarlama stratejilerinin geliştirilmesi
- Ürün ve hizmetlerin tanıtımı ve pazarlanması faaliyetlerinin yürütülmesi
- Müşteri memnuniyetine yönelik faaliyetlerin planlanması ve uygulanması
- Hukuki yükümlülüklerin yerine getirilmesi ve hukuki süreçlerin takibi
- Şirket içi süreçlerin mevzuata ve iç prosedürlere uygun şekilde yürütülmesinin sağlanması
- Yetkili kurum ve kuruluşlara yasal bildirimlerin yapılması
- Denetim faaliyetlerinin planlanması ve uygulanması
- Şirket binalarının ve tesislerinin güvenliğinin sağlanması
- Operasyonel güvenliğin temini
- Şirket varlıklarının, taşınırlarının ve demirbaşlarının korunması
- Ziyaretçi kayıtlarının tutulması ve güvenliğinin sağlanması
e. Kişisel Verilerin Kimlerle ve Hangi Amaçla Paylaşılabileceği
Cengiz Optik, kişisel verileri yalnızca bu Gizlilik ve Kişisel Verilerin Korunması Politikası’nda belirtilen amaçlar doğrultusunda ve 6698 Sayılı Kanun’un 8. ve 9. maddelerine uygun şekilde üçüncü taraflarla paylaşmaktadır. Bu paylaşımlar, hem yurt içindeki hem de yurt dışındaki iş ortakları veya hissedarlarla gerçekleştirilebilir.
Veri aktarım süreçlerinde, üçüncü tarafların sunduğu güvenli iletişim yöntemleri ve altyapılar kullanılmaktadır. Aktarımın zorunlu olmadığı hallerde ise kişisel veriler mümkün olduğunca takma adlandırılmış (pseudonymized) biçimde paylaşılmakta ve böylece veri sahibinin doğrudan tanımlanabilirliği azaltılmaktadır.
Yurt içi ve yurt dışına gerçekleştirilen veri aktarımlarında, kişisel verilerin güvenliği için teknik önlemlerin yanı sıra hukuki koruma da sağlanır. Bu amaçla, veri aktarılan taraflarla yapılan sözleşmelere Kanun’a uyumlu hükümler eklenerek veri işleme faaliyetleri yasal çerçeveye uygun şekilde yürütülür.
No |
Veri Sahibi |
Veriler Kimlerle ve Hangi Amaçlarla Paylaşılabilir? |
1 |
Müşteri Çevrimiçi Müşteri
|
İzinli pazarlama kapsamında kampanya, bilgilendirme veya mağaza duyurularının SMS yoluyla iletilebilmesi için SMS hizmet sağlayıcılarıyla iletişim bilgilerinin paylaşılması; e-fatura işlemleri için fatura bilgilerinin elektronik fatura sağlayıcılarıyla paylaşılması; müşteri taleplerinin ve şikayetlerinin çözümü için çağrı merkezi hizmetleriyle paylaşım yapılması; tüketici hakem heyeti başvurularında savunma için avukatlara gerekli bilgilerin sağlanması; siparişin teslim edileceği kişinin bilgileriyle kargo firmalarına paylaşım yapılması; cam ve lens gibi ürünlerin temininde tedarikçilerle anonimleştirilmiş veri paylaşımı; raporlama ve istatistik çalışmaları için Cengiz Optik hissedarıyla paylaşım; müşteri verilerinin fiziki veya dijital olarak güvenli biçimde saklanması amacıyla hizmet sağlayıcılarla paylaşılması; ayrıca web sitesi gezinme tercihleri ve segmentasyon çalışmaları doğrultusunda kişiye özel iletişim kurulması için üçüncü taraflarla paylaşım yapılması gibi durumlar söz konusudur.
|
2 |
İş Ortağı / Tedarikçi
|
Cengiz Optik mağazalarının yer aldığı AVM’lerde yapılacak çalışmalarda kimlik bilgilerinin AVM yönetimiyle paylaşılması; iş ortaklarının ve tedarikçilerin fiziki ve elektronik verilerinin güvenli şekilde saklanması amacıyla hizmet sağlayıcılarla paylaşılması gibi durumlar söz konusudur.
|
f. Kamu Kurum ve Kuruluşları ile Resmi Makamlarla Yapılan Kişisel Veri Paylaşımları
Cengiz Optik, yasal yükümlülükleri çerçevesinde ve ilgili mevzuata uygun olarak bazı durumlarda kamu kurumları ve resmi makamlarla kişisel veri paylaşımı yapabilir. Aşağıda örnek paylaşım süreçleri özetlenmiştir:
No |
Veri Sahibi Grubu |
Paylaşımın Kimle ve Hangi Amaçla Yapıldığı |
1 |
Müşteri / Çevrimiçi Müşteri
|
Müşterilerin dioptri ölçümleri ve sağlık bilgileri, gözlük ve cam hakkından yararlanabilmeleri için Sosyal Güvenlik Kurumu (SGK) veya müşterinin TBMM üyesi olması durumunda TBMM ile paylaşılabilir. Ayrıca, SGK ve Sağlık Bakanlığı denetimlerinde ilgili sağlık verileri ile finansal kayıtlar paylaşılabilir. Mağazada meydana gelebilecek hukuka aykırı durumların savcılık veya emniyet birimlerine bildirilmesi ve vergi denetimleri sırasında fatura/tahsilat bilgileri Maliye Bakanlığı ile paylaşılması da mümkündür.
|
2 |
Ziyaretçi / Çevrimiçi Ziyaretçi
|
Cengiz Optik'in çevrimiçi platformlarına yapılan ziyaret veya üyelik sırasında toplanan trafik bilgileri, gezinme verileri ve log kayıtları; suçla mücadele, kamu güvenliğinin sağlanması ve benzeri yasal yükümlülükler kapsamında yetkili kamu kurum ve kuruluşlarıyla paylaşılabilir. Ayrıca, mahkeme veya savcılık talepleri doğrultusunda kamera görüntüleri gibi veriler ilgili resmi mercilere sunulabilir.
|
3 |
İş Ortağı / Tedarikçi
|
İş ortakları veya tedarikçilerle yürütülen ticari ilişkiler kapsamında açılan cari kart bilgileri Ticaret Sicil Müdürlükleri ve noterle paylaşılabilir. Muhasebe işlemlerine ilişkin yasal bildirimlerin yapılabilmesi için ilgili resmi kurumlar ve noterlerle veri paylaşımı mümkündür. Ayrıca, vergi denetimleri sırasında fatura ve tahsilat makbuzları Maliye Bakanlığı ile paylaşılabilir, banka üzerinden ödeme yükümlülüklerinin yerine getirilmesi amacıyla finansal veriler bankalarla paylaşılabilir.
|
g. Kişisel Verilerin Saklanma Süreleri
Cengiz Optik, işlediği kişisel verileri, ilgili mevzuatta belirtilen veya işleme amacının gerektirdiği süre boyunca Kanun’a uygun şekilde muhafaza eder. Şirketin Kişisel Verilerin Saklanması ve İmhası Politikası’nda bu süreler yaklaşık olarak aşağıdaki gibidir:
Veri Türü |
Saklama Süresi |
Hukuki Dayanak |
Müşteri Verileri |
Hukuki ilişki sona erdikten sonra 10 yıl; ticari iletişim izinleri için 3 yıl |
6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
İş Ortağı / Tedarikçi Verileri |
Hukuki ilişki sona erdikten sonra 10 yıl |
6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun |
İş Başvurularında Alınan CV ve Özlük Bilgileri |
2 yıl |
İşe alım süreçlerinde gelecekte iletişim kurulması amacıyla |
Çağrı Merkezi Ses Kayıtları |
3 yıl |
6563 Sayılı Kanun ve ilgili ikincil düzenlemeler |
Çevrimiçi Müşteri Verileri |
Hukuki ilişki sona erdikten sonra 10 yıl; ticari iletişim izinleri için 3 yıl |
6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
Potansiyel Müşteri Verileri |
1 yıl |
Pazarlama ve analiz faaliyetlerinin yürütülmesi |
Ziyaretçi Verileri (Kamera Kayıtları) |
3 ay |
İşyeri güvenliğinin sağlanması |
Çevrimiçi Ziyaretçi Verileri |
2 yıl |
5651 Sayılı Kanun |
Muhasebe ve Finans Kayıtları |
10 yıl |
6098 Sayılı Kanun |
h. Veri Sahiplerinin Kişisel Verileri Üzerindeki Hakları ve Başvuru Yöntemleri
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında, veri sahipleri aşağıdaki haklara sahiptir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
- Kişisel verilerin işlenme amacını ve bunların amaca uygun kullanılıp kullanılmadığını öğrenme
- Kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
- Kişisel verilerin eksik veya hatalı işlenmiş olması hâlinde bunların düzeltilmesini isteme
- 6698 sayılı Kanun’un 7. maddesi çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme
- Verilerin düzeltme veya silinmesine ilişkin taleplerin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- İşlenen verilerin yalnızca otomatik sistemler aracılığıyla analiz edilmesi sonucu kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme
- Kişisel verilerin hukuka aykırı işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesini talep etme
Veri sahipleri, bu haklarını kullanmak için Cengiz Optik’in resmi internet sitesi www.armottica.com üzerinde yer alan iletişim kanalları veya resmi e-posta adresi [email protected] aracılığıyla başvuruda bulunabilir ve gerekli taleplerini iletebilirler.
2. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Şartları
Cengiz Optik, iş süreçleri kapsamında fiziki ortamlarda, elektronik sistemlerde, web sitesi veya e-posta gibi dijital kanallardan topladığı kişisel verileri; 6698 Sayılı Kanun’un 7. ve 17. maddeleri ile Türk Ceza Kanunu’nun 138. maddesi uyarınca ilgili mevzuatta belirtilen süreler veya işleme amacının gerektirdiği süre boyunca muhafaza eder. Bu sürelerin sona ermesinin ardından kişisel veriler, ilgili Yönetmelik ve rehberler doğrultusunda silinir, yok edilir veya anonimleştirilir.
Kişisel verilerin silinmesi, verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. Yok edilmesi ise, verilerin hiç kimse tarafından geri getirilemeyecek veya erişilemeyecek şekilde tamamen ortadan kaldırılması anlamına gelir. Anonimleştirme ise, kişisel verilerin başka verilerle eşleştirilse dahi bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini sağlar.
Cengiz Optik, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında hazırladığı Saklama ve İmha Politikası’nda; bu işlemlerin nasıl yapılacağını, uygulanan teknik ve idari tedbirleri detaylı olarak açıklamaktadır. Ayrıca söz konusu Politika’da, yasal olarak öngörülen periyodik imha süresi 6 ay olarak belirlenmiştir ve bu periyotlarla imha işlemleri gerçekleştirilmektedir.
3. Gizlilik ve Kişisel Verilerin Korunması Politikası’nda Yapılabilecek Değişiklikler
Cengiz Optik, bu Gizlilik ve Kişisel Verilerin Korunması Politikası’nda gerektiğinde değişiklik yapma hakkını saklı tutar. Yapılan güncellemeler, yeni Politika metninin şirketin resmi kanallarında yayınlanmasıyla birlikte yürürlüğe girer. Politika üzerinde yapılan değişiklikler hakkında veri sahipleri uygun iletişim yöntemleriyle bilgilendirilecektir. Kullanıcıların güncel Politika’yı takip etmeleri önerilir.