KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI VE AYDINLATMA METNİ

ECE MAĞAZACILIK VE E-TİCARET LTD. ŞTİ. (“GİYZE” veya “Veri Sorumlusu”) veri sorumlusu olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uyum sağlanması için ilgili mevzuatların öngördüğü ilkeleri benimsemekte, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili yükümlülüklerini yerine getirmektedir. Bu kapsamda işbu Gizlilik ve Kişisel Verilerin Korunması Politikası (“Politika”) düzenlenmiş olup kişisel verisi işlenen gerçek kişilerin (“ilgili kişi”) erişimine sunulmaktadır.

1. POLİTİKANIN AMACI ve KAPSAMI

İşbu Gizlilik ve Kişisel Verilerin Korunması Politikası aşağıda yer alan hususları düzenlemekte olup ilgili kişileri aydınlatmayı amaçlamaktadır.
Kişisel verilerin işlenmesine ilişkin ilkeleri
Kişisel veri işleme şartlarını
Özel nitelikli kişisel verilerin işlenebileceği halleri
Kişi grubunun aydınlatılması ve bilgilendirilmesi
Kişisel verilerin kategorize edilmesi
Kişisel verilerin işlenme amaçları
Kişisel verilerin yurtiçi ve yurtdışı üçüncü kişilere aktarılması
Kişisel verilerin işlenmesinin yöntemi ve hukuki sebebi
Kişisel verilerin saklanma süreleri
Kişisel verilerin güvenliği
Çerez kullanımı
Kişi gruplarının yasal hakları ve kullanma yöntemleri ile ilgili iletişim bilgileri
Yürürlük ve güncellenebilirlik

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

2.1. Hukuka,Dürüstlük Kuralına ve Şeffaflığa Uygun İşleme
Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralı ile şeffaflık prensibine uygun hareket edilmektedir.

2.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişi gruplarının işlenen kişisel verilerinin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tüm makul tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler GİYZE bünyesinde oluşturulur. Üyeler bakımından bu değişiklik ve güncellemeler www.giyze.com web sitesi üzerindeki Hesabım Sayfasından yapılmasına imkân sağlanmaktadır.

2.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veriler açık, belirli ve meşru veri işleme amaçlarına dayalı olarak işlenmektedir. Verilerin hangi amaçla işleneceği, işbu Politikada detaylı olarak yer almaktadır.

2.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler öngörülen amaç/amaçların gerçekleştirilebilmesi için ölçülü, amaçla ilintili ve sınırlı biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

2.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
GİYZE kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler GİYZE’nin Kişisel Verilerin Saklanması ve İmhası Politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. İşbu Politikada saklama sürelerine detaylıca yer verilmiştir.

2.6. Verilerin Bütünlüğü ve Gizliliğine Uygun İşleme
Kişisel veriler, yetkisiz veya hukuka aykırı işlemeye ya da kazara kayba, imhaya veya tahribe karşı koruma da dahil olmak üzere uygun teknik veya idari tedbirlerin kullanılması suretiyle kişisel verilerin güvenliğini sağlayan bir şekilde işlenmektedir.

3. KİŞİSEL VERİLERİNİN İŞLENMESİ ŞARTLARI

Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen hukuka uygunluk sebeplerinden yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen kişisel verilerin, özel nitelikli kişisel veri olması halinde ise; aşağıda “Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller” başlığı içerisinde yer alan koşullar uygulanır.
İlgili kişi gruplarının açık rızası, kişisel verilerin hukuka uygun olarak işlenmesini olanaklı kılan hukuka uygunluk sebeplerinden sadece bir tanesidir. Açık rıza dışında, aşağıda yer alan diğer hukuka uygunluk sebeplerinden birinin varlığı durumunda da kişisel veriler işlenebilir.
İlgili kişi gruplarının kişisel verileri, aşağıda açıklanan işleme şartları dâhilinde işlenmektedir.

3.1. Kanunlarda Açıkça Öngörülmesi
Kanunlarda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, GİYZE verisi işlenecek kişi gruplarının ayrıca açık rızasını almadan kişisel verilerini işlemektedir. Örneğin Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca GİYZE’ye üyelik, ticari elektronik izni verilmesi, sipariş, ödeme, teslimat, ürüne ilişkin iptal veya iade gibi süreçlerde kişisel verilerin işlenmesi, kanunda açıkça öngörülmesi halinde gerçekleşen işleme faaliyetidir.

3.2. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması veya Kişisel Verilerin İlgili Kişinin veya Başka Bir Kişinin Hayati Çıkarlarının Korunması İçin Gerekli Olması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişi grubunun kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişi grubunun açık rızası alınmaksızın verileri işlenebilir. Ayrıca kişisel veriler, ilgili kişinin veya başka bir kişinin hayati menfaatlerinin korunması için gerekli ise, söz konusu ilgili kişinin açık rızası alınmadan işlenebilecektir.

3.3. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veriler işlenebilir. Örneğin; Giyze Sadakat Programı üyelik işleminin gerçekleştirilebilmesi, GİYZE’ye üyelik işleminin gerçekleştirebilmesi için Üye’nin verdiği kişisel veriler, sözleşmenin ifası ile doğrudan ilgili işleme faaliyetidir.

3.4. GİYZE’nin Hukuki Yükümlülüğünü Yerine Getirmesi
Veri sorumlusu olarak, hukuki yükümlülükleri yerine getirmek için işlemenin zorunlu olması halinde açık rıza alınmaksızın kişi grubunun kişisel verileri işlenebilir. Örneğin, siparişte cayma hakkının kullanımı neticesinde ürün iadesi durumunda, satıcıya ürün bedelinin ödenmesi gibi faaliyetler GİYZE’nin hukuki yükümlülüğünü yerine getirmesi için gerekli işleme faaliyetleridir.

3.5. Kişi Gruplarının Kişisel Verisini Alenileştirmesi
Kişi grubunun, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde, açık rızaya gerek olmaksızın veriler işlenebilir. Örneğin, Üye’nin internette, sosyal medya hesaplarında herkese açık olarak paylaşmış olduğu kişisel veriler GİYZE sosyal medya kanalları ile bağlantılı kişi ise, bu paylaşım iradesine uygun ve ölçüde olduğu takdirde işlenebilecektir.

3.6. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde, kişi grubunun açık rızası alınmaksızın verileri işlenebilir. Örneğin, Üye’nin tüketici hakem heyetine yapmış olduğu bir şikâyete istinaden, alışveriş ile bilgilerinin bu şikâyet dosyasına gönderilmesi hakkın tesisi veya korunması için gerekli bir işleme faaliyetidir.

3.7. Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi
Kişi grubunun temel hak ve özgürlüklerine zarar vermemek kaydıyla GİYZE’nin meşru menfaatleri için veri işlemenin zorunlu olması halinde kişi grubunun açık rızası alınmaksızın kişisel verileri işlenebilir.

3.8. Kişi Grubunun Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi
Kişi grubunun kişisel verileri, yukarıda belirtilen şartlardan herhangi birine dayalı olarak işlenemediği durumlarda, açık rızaya dayalı olarak işlenecektir, bu durumda KVKK’nın ve GDPR’ın belirlediği kriterlere uygun açık rıza alınarak işleme faaliyeti gerçekleştirilmektedir. Örneğin, ticari elektronik ileti gönderimi için ilgili kişilerin iletişim bilgilerinin işlenmesi açık rıza halinde gerçekleşmektedir.

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ HALLER

Kişisel verilerin bir kısmı, “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır. GİYZE’de özel nitelikli kişisel veriler, ayrı işleme şartları ve korumaya tabidir.
4.1. Özel Nitelikli Kişisel Verilerin Açık Rızaya Dayalı Olarak İşlenmesi
Özel nitelikli kişisel veriler, kişi grubunun açık rızası olması halinde, işbu Politikada belirtilen ilkeler ve gerekli idari ve teknik tedbirler alınarak işlenebilir.

4.2. Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenebileceği Haller
Özel nitelikli kişisel veriler, kişi grubunun açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla, sağlık ve cinsel hayat dışındaki veriler için, kanunlarda öngörülen hallerde; sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir. Örneğin iş sağlığı ve güvenliği faaliyetleri için sağlık verileri GİYZE işyeri hekimi tarafından işlenebilecektir.

5.KİŞİ GRUBUNUN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

GİYZE’de kişisel verilerin elde edilmesi sırasında ilgili kişi grupları, GİYZE tarafından bilgilendirilir ve aydınlatma gerçekleştirilir. Ayrıca www.giyze.com web sitesinde, şirket içerisinde ortak alanlarda, mağaza ve ofis alanlarında yer alan politika, aydınlatma metinleri ve kare kodlar ile aydınlatma gerçekleştirilmektedir. Aydınlatma kapsamında GİYZE’nin veri sorumlusu kimliği, işlenen kişisel veri türleri, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişi gruplarının sahip oldukları haklar bildirilir.
Kişi grupları; GİYZE’ye kisiselverilerim@giyze.com üzerinden her zaman bilgi talep edebilir. Bu halde en kısa sürede gerekli bilgilendirme yapılır.

6. KİŞİSEL VERİLERİN KATEGORİZE EDİLMESİ

GİYZE tarafından kişi gruplarının aşağıda belirtilen ve örneklendirilen kategorilerdeki kişisel verileri işlenmektedir. Ayrıca bu kategoriler dışında şirket içi süreçlerde çalışan, stajyer, taşeron çalışan gibi kişi gruplarının işlenen özlük ve benzeri kategoriler bulunmaktadır işbu kategori ve kişi grupları GİYZE’nin Çalışan Kişisel Verilerin İşlenmesi Politikasında düzenlenmektedir.

Kimlik Ad, soyadı, doğum tarihi, cinsiyet, T.C. kimlik numarası	Müşteri-Üye Müşteri, Misafir Müşteri Tedarikçi Yetkilisi Tedarikçi Çalışanı Çalışan Adayı
İletişim Cep telefonu, e-posta adresi, adres, posta kodu, sabit telefon	Müşteri- Üye Müşteri, Misafir Müşteri Tedarikçi Yetkilisi Tedarikçi Çalışanı Çalışan Adayı
Lokasyon	Müşteri- Üye Müşteri, Misafir Müşteri Tedarikçi Çalışanı
Hukuki İşlem Sözleşme, yasal bilgiler	Müşteri- Üye Müşteri, Misafir Müşteri Tedarikçi Yetkilisi Tedarikçi Çalışanı Çalışan Adayı
Müşteri İşlem Satın alınan ürün/ler, beden ve renk tercihleri, alışveriş tutar tarih vb. bilgileri, çağrı merkezi görüşme kayıtları, faydalanılan kampanyalar/yarışmalar, kullanılan kuponlar, siparişe ilişkin bilgiler	Müşteri- Üye Müşteri, Misafir Müşteri
İşlem Güvenliği Şifre, parola, IP bilgileri	Müşteri- Üye Müşteri, Misafir Müşteri Çevrimiçi Ziyaretçi Tedarikçi Yetkilisi Tedarikçi Çalışanı
Finans Fatura bilgileri, banka hesap bilgileri, finansal bilgiler, ödeme borç alacak bilgileri	Müşteri- Üye Müşteri, Misafir Müşteri Tedarikçi Yetkilisi Tedarikçi Çalışanı
Mesleki Deneyim	Tedarikçi Çalışanı Çalışan Adayı
Pazarlama	Müşteri- Üye Müşteri, Misafir Müşteri Çevrimiçi Ziyaretçi

7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

7.1. İşlenme Koşulları
Kişisel veriler aşağıdaki koşullarla sınırlı olarak işlenmektedir.

Kişisel verilerinizin işlenmesine ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi,
Kişisel verilerinizin GİYZE tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
Kişisel verilerin işlenmesinin GİYZE’nin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Kişisel verilerin kişi grubu tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde GİYZE tarafından işlenmesi,
Kişisel verilerin GİYZE tarafından işlenmesinin GİYZE’nin veya kişi gruplarının veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
Kişi gruplarının temel hak ve özgürlüklerine zarar vermemek kaydıyla GİYZE’nin meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
GİYZE tarafından kişisel veri işleme faaliyetinde bulunulmasının ilgili kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da ilgili kişinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması veya kişisel verilerin ilgili kişinin veya başka bir kişinin hayati çıkarlarının korunması için gerekli olması.

Yukarıda belirtilen şartların bulunmaması halinde; kişisel veri işleme faaliyetinde bulunmak için GİYZE kişisel veri sahiplerinin açık rızalarına başvurmaktadır.

7.2. İşleme Amaçları
GİYZE, kişisel verileri; aşağıda belirtilen amaçlarla işlemektedir:

Müşteri Grubu için:

Üye Müşteri Kişisel Verileri;

Üyelik işlemlerinin gerçekleştirilmesi.
GİYZE tarafından sunulan hizmetlerden yararlandırılması, hizmetlerin iyileştirilmesi, yeni hizmetlerin geliştirilmesi ve bilgilendirme yapılması.
Üyelik Sözleşmesinin ve Mesafeli Satış Sözleşmesinin ifası.
Açık rıza bulunması halinde tanıtım, fırsat ve fayda sağlanması, pazarlama faaliyetlerinin gerçekleştirilmesi.
Üye Müşteri sorun ve şikâyetlerinin çözümlenmesi.
Gerek masaüstü, tablet ve mobil platform gerek mobil uygulama deneyimlerinin iyileştirilmesi.
Muhasebe ve satın alma işlemlerinin takibi.
Hukuki süreçler ve mevzuata uyum.
İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması.
Bilgi ve işlem güvenliği sağlanması ve kötü amaçlı kullanımın önlenmesi.
İşlenen verilerin doğru ve güncel olmasının sağlanması amacıyla gerekli düzenlemelerin yapılması.
Bilginin güvenliğinin ve şirket içi süreç iyileştirmelerin sağlanmasına ilişkin süreçlerin oluşturulması ve uygulanması.
Giyze Sadakat Programı işlemleri.

Misafir Müşteri (üye olmadan alışveriş yapan kullanıcılar) Kişisel Verileri;

GİYZE tarafından sunulan hizmetlerden yararlandırılması, hizmetlerin iyileştirilmesi, yeni hizmetlerin geliştirilmesi ve bilgilendirme yapılması.
Açık rıza bulunması halinde tanıtım, fırsat ve fayda sağlanması, pazarlama faaliyetlerinin gerçekleştirilmesi.
Gerek masaüstü, tablet ve mobil platform gerek mobil uygulama deneyimlerinin iyileştirilmesi.
Muhasebe ve satın alma işlemlerinin takibi.
Hukuki süreçler ve mevzuata uyum.
İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması.
Bilgi ve işlem güvenliği sağlanması ve kötü amaçlı kullanımın önlenmesi.
İşlenen verilerin doğru ve güncel olmasının sağlanması amacıyla gerekli düzenlemelerin yapılması.
Bilginin güvenliğinin ve şirket içi süreç iyileştirmelerin sağlanmasına ilişkin süreçlerin oluşturulması ve uygulanması.

Tedarikçi Grubu (Tedarikçi, Tedarikçi Yetkilisi, Tedarikçi Çalışanı) için:

Tedarikçilerle olan iş sürecinin yönetilmesi.
İhtiyaç duyulan hizmete ilişkin sözleşme gibi hukuksal süreçlerin ve yasal gerekliliklerin yerine getirilmesi.
Seçilen tedarikçilerle sözleşmelerin kurulması ve gerekli işlemlerin yürütülmesi.
Satın alma, üretim, tedarik ve benzeri işlemlerinin gerçekleştirilmesi.
Satın alınan ürün/hizmet sonrası hizmetlerin ve iade/iptal/giderim gerekliliklerinin ve süreçlerinin yürütülmesi.
İş Sağlığı yasası ve sözleşme gereği.
SGK mevzuatı uyarınca çalışana ve devlete ödenmesi gereken prim ödemelerinin yapılmasının kontrolü.
Çalışanların yeterlilik belgelerinin bulunup bulunmadığının kontrolü (yaptığı işe bağlı şekilde sertifika, yetki belgesi vb.)
Şirket kaynaklarının ekonomik kullanılmasının sağlanması ve şirket operasyonlarının müşteri odaklı iyileştirilmesi.
Kişisel veri işleyen gerçek veya tüzel kişi tedarikçinin KVKK uyarınca Giyze’nın veri güvenliği bakımından uymak zorunda olduğu yükümlere uyacağına dair taahhütlerin alınması.
Muhasebe ve satın alma işlemlerinin takibi, ödemelerin kontrolü ve onay verilmesi.
Hukuki süreçler ve mevzuata uyum, hukuki yükümlülüklerin yerine getirilmesi.
İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması.
Bilgi ve işlem güvenliği sağlanması ve kötü amaçlı kullanımın önlenmesi.
İşlenen verilerin güncel ve doğru olmasının sağlanması amacıyla gerekli düzenlemelerin yapılması.
Taahhütlerin yerine getirilip getirilmediğinin kontrolü ve denetimlerinin planlanması.

Aday Çalışan Grubu için:

İnsan kaynakları politikalarının ve süreçlerinin tamamlanması ve yürütülmesinin sağlanması.
Çalışan adaylarının başvuru seçme ve değerlendirme süreçlerinin planlanması.
İş sağlığı ve güvenliği çerçevesinde yapılması gereken faaliyetlerin icra edilmesi.
Çalışan adayı yerleştirilmesi için gerekli iletişim aktiviteleri.
Stajyer alımı, yerleştirilmesi ve operasyon süreçlerinin planlanması.

Çevrimiçi Ziyaretçi için:

Çevrimiçi ziyaretçi ve kullanıcıların sistem hareketlerinin log kayıtlarının alınması.
Hukuki süreçler ve mevzuata uyum.
İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması.
Bilgi ve işlem güvenliği sağlanması ve kötü amaçlı kullanımın önlenmesi.
Hukuki yükümlülüklerin yerine getirilmesi.

8. KİŞİSEL VERİLERİN YURTİÇİ VE YURTDIŞI ÜÇÜNCÜ KİŞİLERE AKTARILMASI
8.1. Kişisel Verilerin Aktarılması
Kişisel veriler ve özel nitelikli kişisel veriler, KVKK’nın Madde 8 ve Madde 9’da öngörülen koşulların gerçekleşmesi durumunda, işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınarak üçüncü kişilere (üçüncü taraf şirketlere, üçüncü gerçek kişilere) aktarılabilmektedir.
Kişisel veriler, kullanılan yazılım ve sunucu altyapısı, hizmet alınan ürün yazılım ve sunucu altyapısı nedeni ile yurt dışına aktarılabilmektedir.
Kişisel Verileri Koruma Kurumu güvenli ülkeler listesini henüz açıklamamış olup, bu bağlamda KVKK madde 9 uyarınca kişisel veriler, ilgili kişilerin açık rızaları doğrultusunda yurt dışına aktarılabilmektedir.

8.2. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler
Kişisel verileriniz aşağıda sıralanan veri konusu kişi gruplarına aktarılabilir:

GİYZE iş ortaklarına,
GİYZE tedarikçilerine,
GİYZE iştiraklerine,
GİYZE hissedarlarına,
Hukuken yetkili kamu kurum ve kuruluşlarına,
Hukuken yetkili özel hukuk kişilerine.

9. KİŞİSEL VERİLERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ

Şirket’e elektronik veya fiziki ortamda iletilen kişisel verileriniz işbu Politikada yer verilen amaçlar doğrultusunda KVKK’nın 5. ve GDPR’ın ilgili maddeleri uyarınca; kişi gruplarına göre aşağıdaki hukuki sebepler çerçevesinde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmektedir.

Müşteri (Üye/Misafir) Grubu için;

Müşterinin haklarının ve menfaatlerinin korunması.
İş ilişkisinin kurulması amacıyla Müşterilere hak ve menfaatler sağlanması.
Şirket içi faaliyetlerin sürdürülmesi ve geliştirilmesi.
Mevzuattan doğan yükümlülüklerin yerine getirilmesi.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Müşterinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, iş sürekliliğinin sağlanabilmesi için müşteri siparişlerinin ilgili saklama ve analiz yazılımlarına girilmesi gibi, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Müşterinin açık rızası bulunması
Giyze Sadakat Programı avantaj ve sisteminden yararlandırılması.

Tedarikçi/İş Ortağı Grubu (Tedarikçi/İş Ortağı, Tedarikçi/İş Ortağı Yetkilisi, Tedarikçi/İş Ortağı Çalışanı) için:

Veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi için gerekli olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Tedarikçi/İş Ortağı’nın temel hak ve özgürlüklerine zarar vermemek kaydıyla, iş sürekliliği ile hızlı ve efektif iletişim sağlanabilmesi için ilgililerin iletişim bilgilerinin saklanması gibi, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Tedarikçi/İş Ortağı’nın açık rızası bulunması

Aday Çalışan Grubu için:

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Aday Çalışan temel hak ve özgürlüklerine zarar vermemek kaydıyla, gelecekte oluşabilecek personel ihtiyacı için yapılacak saklamalar ve değerlendirmeler gibi, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Aday Çalışan’ın açık rızası bulunması

Çevrimiçi Ziyaretçi Grubu için:

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Çevrimiçi Ziyaretçi temel hak ve özgürlüklerine zarar vermemek kaydıyla, iş geliştirme amacıyla hangi sayfaların daha çok ziyaret edildiğinin analizi gibi, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Çevrimiçi Ziyaretçi’nin açık rızası bulunması

10. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
GİYZE tarafından işlenen kişisel verilerin saklanma süreleri ve kanuni dayanakları aşağıdaki tabloda yer almaktadır:

Kimlik	Hukuki İlişkinin Sona Ermesinden İtibaren 15 yıl	6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 6102 Sayılı Türk Ticaret Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 213 Sayılı Vergi Usul Kanunu, 6502 Sayılı Tüketicinin Korunması Kanunu, 4857 Sayılı İş Kanunu, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
İletişim	Hukuki İlişkinin Sona Ermesinden İtibaren 10 yıl	6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 6102 Sayılı Türk Ticaret Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 213 Sayılı Vergi Usul Kanunu, 6502 Sayılı Tüketicinin Korunması Kanunu, 4857 Sayılı İş Kanunu, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
Lokasyon	Hukuki İlişkinin Sona Ermesinden İtibaren 10 yıl	6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 6102 Sayılı Türk Ticaret Kanunu, 6098 Sayılı Türk Borçlar Kanunu
Hukuki İşlem	Yargılamanın kesinleşmesinden itibaren 10 yıl	6100 Sayılı Hukuk Muhakemeleri Kanunu, 5271 Sayılı Ceza Muhakemeleri Kanunu
Müşteri İşlem	Hukuki İlişkinin Sona Ermesinden İtibaren 10 yıl	6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 6102 Sayılı Türk Ticaret Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 213 Sayılı Vergi Usul Kanunu, 6502 Sayılı Tüketicinin Korunması Kanunu, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
İşlem Güvenliği	2 yıl	5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
Finans	Hukuki İlişkinin Sona Ermesinden İtibaren 10 yıl	6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 6102 Sayılı Türk Ticaret Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 213 Sayılı Vergi Usul Kanunu, 6502 Sayılı Tüketicinin Korunması Kanunu
Pazarlama	Hukuki İlişki Süresince

11. KİŞİSEL VERİLERİN GÜVENLİĞİ

GİYZE’de kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul önlemler alınmaktadır.
Kişisel verilere, erişim yetkisi bulunan kişilerden başkasının erişmesini engellemek adına gereken her türlü teknik ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, hiç kimsenin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanır. Sağlık verileri gibi özel nitelikli kişisel verilerin güvenliği sağlanırken diğer kişisel verilere göre daha katı önlemler alınır.
Yetkilendirilmiş kişiler gereken güvenlik ve iç kontrollerinden geçirilir. Ayrıca bu kişiler görev ve sorumlulukları hakkında eğitilir.
Kişisel verilere erişim kayıtları teknik imkânlar elverdiği ölçüde tutulur ve bu kayıtlar düzenli aralıklarla incelenir. Yetkisiz erişim söz konusu olduğunda derhal soruşturma ve yasal işlemler başlatılır.
GİYZE, işlenen verilerin güvenliğinin sağlanması amacıyla aşağıdaki güvenlik tedbirlerini almaktadır:

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar yönetimi uygulanmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim logları düzenli olarak tutulmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

12. ÇEREZ KULLANIMI

GİYZE, internet sitesi ve uygulamalarından en verimli şekilde faydalanılabilmesi ve kullanıcı deneyimini geliştirebilmek için çerezler, pikseller, GIF’ler vb. birtakım teknolojilerden (“çerez”) faydalanmaktadır. Bu teknolojilerin kullanımı başta KVKK olmak üzere tabi olunan mevzuata uygun şekilde gerçekleştirilmektedir. İlgili kişiler tarafından çerez kullanılmasını tercih edilmez ise tarayıcının ayarlarından çerezler silinebilir ya da engellenebilir. GİYZE tarafından kullanılan çerezlere ilişkin ayrıntılı bilgiye Çerez Politikasından erişebilir tercihlerinizi belirleyebilirsiniz.

13. OTOMATİK İŞLEME FAALİYETLERİ

GİYZE, müşteri ve potansiyel müşterilerine özel ürün ve hizmetlerin sunulabilmesi amacıyla, çerezler vb. teknolojiler ile elde ettiği davranış verilerini otomatik işlemektedir. Bu bağlamda, elde edilen bilgiler ile kişinin satın almayı tercih edebileceği ürünler analiz edilebilmektedir. Örneğin, genel olarak satışı yapılan ürünler istatistiksel olarak eşleştirilerek belirli bir ürüne alaka gösteren kullanıcıya ilgili diğer ürünler de ayrıca özel fırsatlar ile otomatize bir şekilde sunulabilmektedir.

14. KİŞİ GRUPLARININ YASAL HAKLARI VE KULLANMA YÖNTEMLERİ

14.1. KVKK Kapsamında Kişisel Verilere İlişkin Haklar
Kişisel verilerine ilişkin olarak kişi gruplarının kullanabileceği haklar KVKK Madde 11’de yer almakta olup, aşağıdaki gibidir:

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu hükümler uyarınca yapılan işlemlerin, kişisel verilen aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

14.2. GDPR Kapsamında Kişisel Verilere İlişkin Haklar
Kişisel verilerine ilişkin olarak kişi gruplarının kullanabileceği haklar GDPR Bölüm 3’te (Madde 12-23) yer almakta olup, aşağıda sıralanmaktadır:

Kişisel verileriniz açık rızanıza dayalı olarak işleniyorsa söz konusu rızayı geri alma;
Aşağıdaki hallerde kişisel verilerinizin işlenmesinin sınırlandırılmasını talep etme;
- Kişisel verilerinizin doğruluğuna tarafınızca itiraz edilmişse söz konusu doğruluğu kontrol edebileceğimiz bir süre kadar,
- Veri işlemenin hukuka aykırı olması fakat verilerinizin silinmesinden ziyade kullanımının sınırlandırılmasını tercih etmeniz halinde,
- Kişisel verilerinizin işlenmesinin ilgili veri işleme amacı için artık gerekli olmaması fakat hukuki talep ve iddialarınızın tesis edilmesi, uygulanması veya sunulması için gerekli olması dolayısıyla talebiniz halinde veya
- GDPR’ın 21. maddesi uyarınca kullandığınız itiraz hakkı sonrası menfaatlerimiz dolayısıyla itirazın geçersiz olup olmadığının incelemesi yapıldığı sırada;
Kişisel verileriniz kamu yararı gerekçesiyle veya veri sorumlusuna kanunen verilen yetkiye veya veri sorumlusu veya bir üçüncü kişinin meşru menfaatine dayanılarak profilleme uygulamaları da dahil olmak üzere işleniyorsa söz konusu kişisel verilerinizin işlenmesine itiraz etme;
Aşağıdaki bilgilere erişme;
- Kendinizle ilgili kişisel verilerin işlendiğini doğrulatma ve bu durumda ilgili kişisel verilerinize ve ilgili veri işleme amaçlarına ve kategorilerine,
- Kişisel verilerinizin paylaşıldığı veya paylaşılacağı veri alıcıları veya bunların kategorilerine, mümkünse kişisel verilerinizin saklanacağı süre, bu mümkün değilse söz konusu süreyi belirlemek için kullanılan kritere,
- Kişisel verilerin işlenmesinin sınırlandırılması, silinmesi veya yok edilmesi, kişisel verilerin işlenmesine itiraz etme ve denetleyici kuruma başvuru hakkının varlığına ve
- Kişisel verilerin ilgili kişiden veya üçüncü bir kişiden elde edildiği bilgisine ve
- Profilleme dahil, kullandığımız otomatize karar alma mekanizmalarının varlığı ve bunların arkasındaki mantık ve sizin için bunun olası sonuçları ve önemi bilgilerine erişme;
Kişisel verileriniz açık rızanıza veya bir sözleşme hükmüne dayanılarak işleniyorsa ve veri işleme otomatik mekanizmalar yoluyla gerçekleştiriliyorsa verilerinizin düzenli, kullanılabilir ve makine tarafından okunabilir bir formattaki versiyonunu tarafınıza veya teknik olarak makul olması halinde başkaca bir veri sorumlusuna transfer ettirme;
Profilleme dahil, kullandığımız otomatize karar alma mekanizmalarının varlığı ve bunların arkasındaki mantık ve ilgili kişi için bunun olası sonuçları ve önemi hakkında bilgi edinme haklarına sahipsiniz.

14.3. Kişisel Verilere İlişkin Hakların Kullanılmasına İlişkin Esaslar
İlgili kişiler, kişisel verilere ilişkin hakları kullanmak için; www.giyze.com sayfasında ve aşağıda yer verilen linkte yer alan KVK Başvuru Formunu kullanarak;
giyze@hs03.kep.tr KEP adresimize başvuru gerçekleştirebilir,
kisiselverilerim@giyze.com e-mail adresimize mobil imzalı, e-imzalı veya sistemlerimizde kayıtlı ve onaylı e-mail adresi vasıtasıyla başvuru gerçekleştirebilir,
Davutpaşa Cd No:80-A, Güngören/İstanbul adresine şahsen ıslak imzalı yazılı başvuru veya noter kanalı ile taleplerine ilişkin başvuru gerçekleştirilebilirler.
İşbu usullere ve KVKK düzenlemelerinde yer alan başvuru usullerine uygun başvurulara en geç 30 gün içerisinde cevap verilecektir. Başvurunuzun reddedilmesi, verilen cevabı yetersiz bulmanız veya süresinde başvuruya cevap veremememiz hâllerinde; cevabımızı öğrendiğiniz tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kuruluna şikâyette bulunabilirsiniz.

Kişisel verilerinizin sürekli olarak açık, doğru ve yasalara uygun bir şekilde işlenmesini sağlamak için GDPR açısından Veri Koruma Görevlisi (DPO) görevlendirdik. Veri Koruma Görevlimize aşağıdaki iletişim bilgilerinden ulaşabilirsiniz:
E-posta: dpo@giyze.com

15. YÜRÜRLÜK VE GÜNCELLENEBİLİRLİK

İşbu Politika yayımı tarihinde yürürlüğe girmiştir. Politika değişen koşullara ve mevzuata uyum amacıyla güncellenmektedir. Güncel Kurul kararları ve gereklilikler ışığında güncellenen Politika, GİYZE Veri Koruma Komitesi tarafından takip edilerek GİYZE Yönetim Kurulunda onaylanmakta ve www.giyze.com üzerinden yayınlanmaktadır.

Giyze.com'a aşağıda yer alan iletişim bilgilerinden ulaşabilirsiniz:
ECE Mağazacılık ve E-Ticaret Ltd. Şti.
Adres: Genç Osman Mah. Davutpaşa Cd No:80-A GÜNGÖREN / İSTANBUL/TÜRKİYE
Telefon: 0212 610 94 20
E-posta: kisiselverilerim@giyze.com