Sürüm 1.1
1. Giriş
Bluefun Apparels Tekstil Sanayi ve Dış Tic. Ltd. Şti. ("Bluefun", "Şirketimiz") 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") kapsamında Veri Sorumlusu sıfatına sahiptir ve çalışanlarının, çalışan adaylarının, müşterilerinin, tedarikçilerinin, potansiyel müşterilerinin, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerinin, iş birliği içinde olduğu tüm tarafların çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına yüksek önem vermektedir.
Türkiye Cumhuriyeti Anayasası'nın 20. maddesine göre, tüm gerçek kişiler kendileriyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Şirketimiz bu anayasal hakkı bir şirket politikası olarak benimser ve aşağıdaki idari ve teknik tedbirlerle hayata geçirir.
Bu Politika, kişisel verilerin işlenmesinde Şirketimizin benimsediği temel ilkeleri düzenler: hukuka ve dürüstlük kurallarına uygun işleme; doğru ve gerektiğinde güncel tutma; belirli, açık ve meşru amaçlarla işleme; amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işleme amacı için gerekli olan süre kadar muhafaza; veri sahibinin aydınlatılması; veri sahibi haklarının kullanımı için sistem kurma; gerekli teknik ve idari tedbirlerin alınması; üçüncü kişilere aktarımda mevzuata ve Kurul düzenlemelerine uygunluk; özel nitelikli verilere gerekli hassasiyetin gösterilmesi.
2. Tanımlar
- Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
- Anayasa: 18.10.1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.
- Kurul: Kişisel Verileri Koruma Kurulu.
- Politika: Kişisel Verilerin Korunması ve İşlenmesi Politikası.
- Türk Ceza Kanunu: 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.
- Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
- Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilse bile kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
- Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi.
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
- Kişisel Verilerin İşlenmesi: Kişisel veriler üzerinde tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen her türlü işlem.
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
- Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten gerçek veya tüzel kişi.
3. Amaç, Kapsam ve Uygulama
Bu Politikanın amacı, Şirketimiz tarafından hukuka uygun olarak yürütülen kişisel veri işleme faaliyetleri ile kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklama yaparak şeffaflığı sağlamaktır.
Politika; müşterilerin, müşteri adaylarının, stajyerlerin, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerin, iş ortaklarımızın çalışanlarının, hissedarlarının ve yetkililerinin, tedarikçilerimizin, üçüncü kişilerin ve çalışanlarımızın otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Belirli veri sahibi gruplarına Politikanın tamamı ya da yalnızca bir kısmı uygulanabilir.
Yürürlükteki mevzuat ile Politika arasında uyumsuzluk bulunması hâlinde yürürlükteki mevzuat uygulanır. Politika, Kanun'un ortaya koyduğu kuralların Şirketimiz uygulamaları kapsamında somutlaştırılmasıdır.
4. Kişisel Verilerin Korunmasına İlişkin Uygulama Esasları
Şirketimiz, Kanun'un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almaktadır. Bu kapsamda: erişim yetkileri sınırlandırılmakta; çalışanlara eğitim verilmekte ve gizlilik taahhütleri alınmakta; veri işleyen iş ortaklarından ve tedarikçilerden sözleşmeyle Kanun'a uygun işleme yükümlülükleri alınmakta; iç denetimler yürütülmekte; hukuka aykırı erişim hâllerinin veri sahibine ve Kurul'a bildirilmesini sağlayan süreçler işletilmektedir.
Veri Sahibinin Haklarının Gözetilmesi
Şirketimiz, Kanun'un 13. maddesi uyarınca veri sahibi taleplerini değerlendirmek üzere gerekli kanalları ve iç işleyişi kurmuştur. Yazılı başvurular en geç otuz gün içinde ücretsiz olarak sonuçlandırılır; Kurul'un belirlediği tarifede bir ücret öngörülmesi hâlinde ilgili ücret talep edilebilir. Veri sahipleri adına üçüncü kişilerin başvuruda bulunabilmesi için noter kanalıyla düzenlenmiş özel vekâletname gereklidir.
Özel Nitelikli Kişisel Verilerin Korunması
Özel nitelikli kişisel verilerin işlenmesinde ve korunmasında Kanun'un 6. maddesinde öngörülen düzenlemelere hassasiyetle uyulur; Kurul tarafından belirlenen ek tedbirler uygulanır.
Veri Sahibinin Aydınlatılması
Kanun'un 10. maddesine uygun olarak kişisel veri sahipleri, verilerin elde edilmesi sırasında veri sorumlusunun kimliği, işleme amaçları, aktarım alıcıları ve amaçları, toplama yöntemi ve hukuki sebebi ile 11. madde kapsamındaki hakları konusunda aydınlatılır. Bu Politika, ayrı Aydınlatma Metni ve diğer kamuya açık belgelerimiz birlikte bu aydınlatmayı oluşturur.
5. Kişisel Verilerin İşlenmesi
Şirketimiz; kişisel verileri hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işler. Kişisel veriler, kanunlarda öngörülen veya işleme amacının gerektirdiği süre kadar muhafaza edilir.
Anayasa'nın 20. maddesi uyarınca kişisel veriler ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebilir. Şirketimiz, Kanun'un 5. maddesinde sayılan hukuki sebeplerden bir veya birkaçına dayanarak işleme yapar: veri sahibinin açık rızası; kanunda açıkça öngörülme; fiili imkânsızlık; sözleşmenin kurulması veya ifası; hukuki yükümlülük; veri sahibinin alenileştirmesi; hakkın tesisi veya korunması; Şirketimizin meşru menfaati (veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla).
Özel nitelikli kişisel veriler, Kanun'un 6. maddesinde öngörülen şartlar çerçevesinde ve yalnızca Kurul'un belirlediği yeterli önlemlerin alınması kaydıyla işlenir. Sağlık ve cinsel hayata ilişkin veriler yalnızca sır saklama yükümlülüğü altındaki kişiler veya yetkili kurumlar tarafından ve mevzuatta öngörülen amaçlarla işlenebilir.
Kişisel veriler, Kanun'un 8. ve 9. maddelerine uygun olarak ve Kurul'un düzenlemeleri çerçevesinde, uygun teknik ve sözleşmesel güvenceler altında üçüncü kişilere (iş ortakları, veri işleyenler, hukuk, muhasebe ve denetim danışmanları, kamu kurum ve kuruluşları) aktarılabilir.
Yurt Dışı Aktarımları
Bluefun, sınırlı hâllerde kişisel verileri Türkiye dışına aktarabilir. Bu genellikle altyapısı yurt dışında bulunan bulut e-posta, web sitesi barındırma veya form işleme hizmet sağlayıcıların kullanılmasından kaynaklanır. Yurt dışı aktarımları Kanun'un 9. maddesi ve 10 Temmuz 2024 tarihli Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik çerçevesinde yürütülür: Kurul'un yeterli koruma kararı bulunan ülkeler için ilgili karara; aksi hâlde Kurul tarafından onaylanan standart sözleşme, bağlayıcı şirket kuralları gibi uygun güvencelere; bunların hiçbirinin uygulanamadığı durumlarda ise risklerin veri sahibine bildirilmesinin ardından alınan açık rızaya dayanılır. Yurt dışı aktarım, bu Politikada ve Aydınlatma Metni'nde tanımlanan hizmetlerin yürütülmesi için gerekli olanın ötesine geçmez.
6. İşleme Amaçları ve Saklama Süreleri
Şirketimiz, Kanun'un 5. maddesinin 2. fıkrası ve 6. maddesinin 3. fıkrasındaki şartlarla ve Kanun'un 4. maddesindeki genel ilkelerle sınırlı olarak kişisel verileri işler ve 10. madde kapsamında veri sahiplerini bilgilendirir.
Tipik işleme amaçları arasında şunlar yer alır: iş ortakları ve tedarikçilerle ilişkilerin yönetimi; personel temin ve kariyer değerlendirme süreçlerinin yürütülmesi; insan kaynakları süreç ve ihtiyaçlarının planlanması ve icrası; finansal raporlama ve risk yönetimi; hukuk işlerinin takibi; kurumsal iletişim ve yönetim faaliyetleri; finans, muhasebe, ücret ve yatırım süreçleri; yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi; ziyaretçi kayıtlarının oluşturulması; iş faaliyetleri ve iş sürekliliğinin planlanması ve icrası; şirket denetim faaliyetleri; bilgi güvenliği süreçleri; bilgi teknolojileri altyapısı; çalışanlara yönelik yan haklar ve performans değerlendirme; acil durum ve operasyonel risk yönetimi. Kanun kapsamında öngörülen şartlardan herhangi birinin karşılanamadığı hâllerde açık rıza alınır.
Kişisel veriler, ilgili mevzuatta öngörülen süre boyunca saklanır. Mevzuatta bir süre öngörülmemişse, Şirketimizin uygulamaları ve ticari teamüller çerçevesinde işleme amacının gerektirdiği süre kadar saklanır. Sonrasında, olası hukuki uyuşmazlıklarda delil teşkil etmesi veya ilgili hakkın ileri sürülebilmesi amacıyla yalnızca gerekli olduğu ölçüde ve ilgili zamanaşımı süreleri boyunca saklamaya devam edilebilir. Sürelerin bitiminde veriler silinir, yok edilir veya anonim hale getirilir; uzatılmış saklama süresi boyunca erişim yetkili personelle sınırlıdır.
7. Silme, Yok Etme ve Anonimleştirme
Türk Ceza Kanunu'nun 138. maddesi ve Kanun'un 7. maddesi uyarınca, hukuka uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler, Şirketimizin kararına istinaden veya veri sahibinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir. Bu yükümlülüğün yerine getirilmesi için gerekli teknik ve idari tedbirler alınmış, ilgili iş birimleri eğitilmiştir.
Kullanılan teknikler: otomatik olmayan yollarla işlenen veriler için fiziksel yok etme (ortamın sonradan kullanılamayacak şekilde yok edilmesi); dijital veriler için yazılımdan güvenli silme (bir daha kurtarılamayacak biçimde silme yöntemleri); gerektiğinde uzman tarafından güvenli silme. Anonimleştirme tekniklerinde maskeleme (temel belirleyicinin veri setinden çıkarılması), toplulaştırma (veriler toplulaştırılarak kişiyle bağın kopması), veri türetme (daha genel bir değerle değiştirme) ve veri karma (değerlerin karıştırılarak kişiyle bağın kopartılması) yöntemleri kullanılır.
8. Veri Sahibi Kategorileri
Kişisel veriler, bütünüyle veya kısmen aşağıdaki veri sahibi kategorileri için işlenmektedir: çalışanlar; çalışan adayları ve stajyerler; müşteriler ve müşteri adayları; tedarikçiler; iş ortakları ile onların çalışanları, hissedarları ve yetkilileri; ziyaretçiler; Bluefun hissedarları ve yetkilileri; olağan iş akışı içinde verileri Şirketimize ulaşan üçüncü kişiler.
9. İletişim
Bu Politikaya ilişkin sorular veya Kanun kapsamındaki haklarınızın kullanımı için sitedeki başvuru formunu kullanabilir ya da Aydınlatma Metni'nde belirtilen iletişim adreslerinden bize ulaşabilirsiniz.