Yemexpress

Kişisel Verilerin Korunması

1. Giriş 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun ile kişisel verinin tanımı yapılarak, bunların korunmasına ilişkin ilkeler ve bu verilerin işlenmesinde veri sorumlusu sıfatı taşıyanların uyacakları şartlara yer verilmiştir. Kanun’a göre kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir. Kişisel verilerin işlenmesi ise “kişisel verilerin otomatik olan ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, üçüncü kişilerle paylaşılması ve yurtdışına transfer edilmesi dahil kişisel veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Yemexpress (“Yemexpress”) Kanun’a uygunluğun sağlanması amacıyla, ilgili mevzuatta yer alan kişisel verilerin korunması ve işlenmesine ilişkin ilkeleri benimseyerek gerekli idari ve teknik tedbirleri almaktadır. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politika (“Politika”) kapsamı için bkz. VI. VERİ SAHİBİ VE KİŞİSEL VERİ KATEGORİZASYONU. Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli olarak uygulanacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Yemexpress yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika 11.10.2018 tarihinde yürürlüğe girmiştir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Politika Yemexpress ‘in internet sitesinde (www.yemexpress.com) yayımlanarak kişisel veri sahiplerinin erişimine sunulmaktadır. Değişen şartlara ve mevzuata uyum sağlamak amacıyla Politika’da değişiklik ve güncellemeler yapılabilecek olup ilgili internet sitesi üzerinden kişisel veri sahiplerine sunulabilecektir. 2. Kişisel Verilerin İşlenmesine İlişkin İlkeler Anayasa’nın m. 20/III kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği belirtilerek kişisel verilerin korunması güvence altına alınmıştır. Kişisel veri sahiplerine tanınan bu hak doğrultusunda Yemexpress kişisel verileri ilgili mevzuatta belirtilen ilkeler doğrultusunda veya kişinin açık rızasının bulunduğu durumlarda aşağıdaki ilkelere uygun işlemektedir: - Hukuka ve Dürüstlük Kuralına Uygun İşleme - Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama - Belirli, Açık ve Meşru Amaçlarla İşleme - İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma - İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme 3. Kişisel Verilerin İşlenme Şartları ve Amaçları Kişisel veriler, prensip olarak ancak kişisel veri sahibinin açık rızası bulunan hallerde işlenebilmektedir. Kanun’un 5. maddesinde kişisel veriler ile 6. maddesinde özel nitelikli kişisel verilerin işlenmesine ilişkin şartlara yer verilmiştir. Kanun, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel verileri “özel nitelikli kişisel veri” olarak belirlemiştir. Kanun’un 6. maddesinde özel nitelikli kişisel veriler sınırlı bir şekilde sayılmıştır ve bunlar kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini içermektedir. Yukarıda politika kapsamında belirtilen şekilde müşteri/kullanıcı vb. özel nitelikli kişisel verilerini işlememekteyiz. Veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Aşağıda anılan şartlardan biri veya birden fazlasının varlığı halinde kişisel veriler, sahibinin açık rızası alınmaksızın işlenebilecektir. Yemexpress kişisel verileri her halde Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak aşağıda belirtilen amaç ve koşullar doğrultusunda işlemektedir. Genel nitelikli kişisel veriler ile ilgili olarak; - Kişisel verilerinizin işlenmesine ilişkin Yemexpress ’in ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi - Yemexpress tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması - Kişisel verilerinizin Yemexpress tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması - Kişisel verilerinizin işlenmesinin Yemexpress ’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması - Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Yemexpress tarafından işlenmesi - Kişisel verilerinizin Yemexpress tarafından işlenmesinin Yemexpress ‘in veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması - Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Yemexpress ‘in meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması Bu kapsamda kişisel veriler Yemexpress tarafından aşağıdaki amaçlarla işlemektedir: - Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası - Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi - Çalışanların kullanıcı bilgiye erişim yetkilerinin planlanması ve icrası - Finans ve/veya muhasebe işlerinin takibi - Hukuk işlerinin takibi - İş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası - İş faaliyetlerinin planlanması ve icrası - Restoranlar ve iş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası - Restoranlar ve iş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi - İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası - Kurumsal iletişim faaliyetlerinin planlanması ve icrası - Lojistik faaliyetlerinin planlanması ve icrası - Müşteri/kullanıcı ilişkileri yönetimi süreçlerinin planlanması ve icrası - Müşteri/kullanıcı memnuniyeti aktivitelerinin planlanması ve/veya icrası - Müşteri/kullanıcı talep ve/veya şikayetlerinin takibi - Müşterilerin/kullanıcıların finansal risklerinin tespitine yönelik faaliyetler yapılması - Satış sonrası destek hizmetleri aktivitelerinin planlanması ve/veya icrası - Şirket denetim faaliyetlerinin planlanması ve icrası - Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası - Şirket operasyonlarının güvenliğinin temini - Şirketin sunduğu ürün veya hizmetlerden en yüksek faydanın elde edilmesi için ilgili süreçlerin planlanması ve icrası - Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi - Stratejik planlama faaliyetlerinin icrası - Üretim ve/veya operasyon süreçlerinin planlanması ve icrası - Ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası - Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icrası - Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası - Verilerin doğru ve güncel olmasının sağlanması - Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi 4. Kişisel Verilerin Aktarılması Kanun’un 8. ve 9. maddesinde kişisel verilerin yurt içinde ve yurt dışına aktarılmasına ilişkin hususlara yer verilmiştir. Yemexpress, hukuka uygun olarak elde etmiş olduğu kişisel verileri veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak veri sahibinin kişisel verilerini/ özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Bu doğrultuda Yemexpress kişisel verileri Bölüm II’de belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir: - Kişisel veri sahibinin açık rızası var ise, - Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, - Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa; - Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, - Yemexpress’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, - Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise, - Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, - Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Yemexpress’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise. 5. Kişisel Verilerin Korunması Yemexpress, işlediği kişisel verilerin güvenliğini sağlamak için ilgili mevzuat uyarınca öngörülen ve KVK Kurulu tarafından bildirilecek olan diğer idari ve teknik önlemleri alarak kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını temin etmektedir. Bu kapsamda Yemek Sepeti, kişisel verilerin hukuka uygun olarak işlenmesi, güvenli ortamlarda saklanması, yetkisiz erişim riskleri ile diğer her türlü hukuka aykırı erişimlerin önlenmesi, arızi olarak gerçekleşen veri kayıplarının önlenmesi, verilere kasıtlı olarak zarar verilmesi ile silinmesinin önlenmesi için teknolojik imkânlar ve uygulama maliyetinin de ele alındığı makul derecedeki teknik ve idari önlemleri almaktadır. Şöyle ki; - Yemexpress’in kişisel veri işleme faaliyetlerinin kurulan teknik sistemlerle denetlenmesi, - Alınan teknik önlemlere ilişkin olarak periyodik raporlamaların yapılması, - Yemek Sepeti nezdinde kişisel veri işleyen çalışanların, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmesi ve eğitilmesi, - İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılarak ve uygulama kurallarının belirlenmesi, bu hususların denetimi ve sürdürülebilirliğini sağlamak için şirket içi politikalar ve eğitimlerin düzenlenmesi, - Yemek Sepeti ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Yemexpress’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtların ve bu konuda çalışanların farkındalığının oluşturulması, - İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirmelerin yapılması ve buna uygun olarak erişim yetkilerinin sınırlandırılması, - Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulması ve işletilmesi, - Yemexpress’in kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet aldığı taraflar dahil olmak üzere kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümlerin eklenmesi, - Hukuka uygun yedekleme programlarının kullanılarak saklanma alanlarına yönelik teknik güvenlik sistemlerin kurulması, Yemek Sepeti, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.