RS CTA Gıda Tekstil Sanayi Ticaret Limited Şirketi (“Nocturne” ve/veya “Şirket”) olarak kişisel verilerin korunması konusunda gerekli özeni göstermekte ve bunu bir şirket politikası haline getirerek tüm gerçek ve tüzel kişiler için uygulamaktayız. Bu kapsamda, işbu Kişisel Verilerin İşlenmesi ve Veri Güvenliği Politikası (“Politika”) ile Müşterilerimizin, İş birliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarının ve diğer Üçüncü Kişilerin kişisel verilerinin korunmasını amaçlamaktayız.
Nocturne olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca işlenen kişisel verilerin korunması için gereken idari ve teknik tedbirleri almaktayız.
Kişisel verilerin işlenmesinde (i) Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme, (ii) kişisel verileri doğru ve gerektiğinde güncel tutma, (iii) Kişisel verileri belirli, açık ve meşru amaçlar için işleme, (iv) Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme, (v) Kişisel verileri ilgili mevzuatta öngörülen veya işledikleri amaç için gerekli olan süre kadar muhafaza etme, (vi) Kişisel veri sahiplerini aydınlatma ve bilgilendirme, (vii) Kişisel veri sahiplerinin haklarını kullanması için gerekli teknik ve idari alt yapıyı oluşturma, (viii) Kişisel verilerin muhafazasında gerekli teknik ve idari tedbirleri alma, (ix) Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve Kurul’un düzenlemelerine uygun davranma, (x) Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme ilkelerini benimsemekteyiz. İşbu Politika’da söz konusu temel ilkelere ilişkin detaylı açıklamalarda bulunmaktayız.
Bu Politika’nın amacı, Nocturne’nün hukuka uygun olarak kişisel verileri işlerken uyguladığı ve benimsediği yöntemler ile işlenen verilerin korunması için almış olduğu güvenlik önlem ve tedbirleri konusunda açıklamalarda bulunmak ve bu kapsamda kişisel verileri Nocturne tarafından işlenen kişileri bilgilendirmektir. Bu kapsamda, işbu Politika, Müşterilerimizin, İşbirliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarımızın ve diğer Üçüncü Anayasa başta olmak üzere Kişilerin Kişisel Verilerin Korunması Kanunu ve sair mevzuat kapsamında otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Nocturne tarafından toplanan kişisel verilerinin işlenmesi ve korunmasına ilişkin kamuyu bilgilendirmek amacıyla hazırlanmıştır.
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Nocturne yürürlükteki mevzuatı uygulayacağını kabul etmektedir.
Nocturne, Kanun’un 12. maddesi kapsamında, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerin muhafazasını sağlamak ve kişisel verilere yetkisiz kişilerce erişiminin engellenmesi amacıyla gerekli olan önlem ve tedbirleri almakta olup, gerekli denetimleri yapmak ve yaptırmaktadır.
Bu kapsamda, Kurul tarafından yayımlanan Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler); (i) Yetki Matrisini, (ii) Yetki Kontrolünü, (iii) Erişim Loglarını (iv) Kullanıcı Hesap Yönetimini, (v) Ağ Güvenliğini, (vi) Uygulama Güvenliğini, (vii) Şifrelemeyi, (viii) Sızma Testini, (ix) Saldırı Tespit ve Önleme Sistemlerini, (x) Log Kayıtlarını, (xi) Veri Maskelemeyi, (xii) Veri Kaybı Önleme Yazılımlarını, (xiii) Yedeklemeyi, (xiv) Güvenlik Duvarlarını, (xv) Güncel Anti Virüs Sistemlerini, (xvi) Silme, Yok Etme ve Anonim Hale Getirmeyi, (xvii) Anahtar Yönetimini veri sorumluları tarafından alınabilecek teknik tedbirler olarak açıklamıştır. Aynı şekilde, söz konusu Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler) (i) Kişisel Veri Envanteri Hazırlanmasını, (ii) Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha, vb.) hazırlanmasını ve uygulanmasını, (iii) Sözleşmelerin (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu- Veri İşleyen Arasında) Akdedilmesini, (iv) Gizlilik Taahhütnameleri imzalanmasını, (v) Kurum İçi Rastgele veya Periyodik Denetimler Yapılmasını, (vi) Risk Analizi Yapılmasını, (vii) İş Sözleşmesine ve Disiplin Yönetmeliği’ne Kanun’a Uygun Hükümler İlave Edilmesini, (viii) Kurumsal İletişim Prensiplerinin Kanun’a Uygun Hale Getirilmesini (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi, vb.), (ix) Eğitim ve Farkındalık Faaliyetlerinin Yürütülmesini (Bilgi Güvenliği ve Kanun çerçevesinde) ve (x) Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Sürecinin Oluşturulmasını alınabilecek idari tedbirler olarak açıklamıştır.
Nocturne, yukarıda açıklanan ve Kurul tarafından yayımlanan Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler) ışığında aşağıda sıralanan idari ve teknik önlemleri almıştır:
Nocturne, kişisel verilerin hukuka uygun işlenmesini sağlamak amacıyla gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanlar doğrultusunda almaktadır. Bu kapsamda;
Nocturne, kişisel verilerin tedbirsizlik sebebiyle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanları doğrultusunda almaktadır. Buna göre;
Nocturne, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanları doğrultusunda almaktadır. Buna göre;
Nocturne, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Nocturne’nün iç işleyişi kapsamında konu ile ilgili birimine raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Nocturne, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlamaktadır.
Nocturne, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kanun’un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi ve idari ve teknik düzenlemeleri yürütmektedir.Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak Nocturne’e iletmeleri durumunda Nocturne talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, Kurulca bir ücret öngörülmesi halinde, Nocturne tarafından Kurulca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
Kanun bazı kişisel verilerin özel nitelikli olması sebebiyle bu tip verilerin işlenmesi ve korunmasına ilişkin ayrıca birtakım düzenlemeler getirmiştir. Kanun uyarınca, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel verilerdir. Perakende sektöründe faaliyet gösteren bir Şirket olmamız ve yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde ve korunmasına ayrıca önem ve özen göstermekteyiz. Bu kapsamda, Nocturne tarafından, kişisel verilerin korunması için teknik ve idari tedbirler alınmakta, periyodik olarak da gerekli denetimler yapılmaktadır.
Nocturne olarak, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için Nocturne Çalışanlarına, Şirket Yetkililerimize eğitimler düzenlemekte olup, ihtiyaç duyulması halinde kişisel verilerin korunması konusunda bu konuda uzman kişilerle çalışmaktayız. Nocturne Çalışanlarına, Şirket Yetkililerimize yönelik düzenlenen eğitimler periyodik olarak tekrarlanmaktadır. Söz konusu eğitimler mevzuatın güncellenmesine paralel olarak eğitimlerimizi güncellemekte ve yenilemekteyiz.
Nocturne, Anayasa’nın 20. maddesi olan Özel Hayatın Gizliliği ve Kanun’un 4. maddesine ve 6. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Nocturne kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği ve/veya sektörel bazda da kabul görmüş süre kadar ve aşağıdaki ilkeler ışığında kişisel verileri muhafaza etmektedir.
Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Nocturne, hem Anayasa’nın 20. maddesinin üçüncü fıkrası hem de Kanun’un 5. maddesi uyarınca, ilgili Kanun maddesinde sayılan şartlardan bir veya birkaçına dayalı olarak işlemekte olup, kişisel verileri, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Ayrıca Nocturne, Kanun’un 8. ve 9. maddelerine uygun olarak, kişisel verileri Kanun’da öngörülen ve Kurul tarafından yayınlanan düzenlemelere uygun olarak aktarmaktadır. Nocturne, Kanun’un 10.maddesine uygun olarak, kişisel veri sahiplerini, işlenen kişisel verilerine ilişkin aydınlatmak ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır. Bu kapsamda Nocturne, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Kanun’un 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Nocturne, bu kapsamda, Kanun’un 11. maddesine uygun olarak Kişisel Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
Perakende sektöründe faaliyet gösteren bir şirket olarak, yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde Kanunu’nda öngörülen düzenlemelere hassasiyet gösterilmekte ve uygun davranılmaktadır. Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler, Nocturne tarafından Kanun’a uygun Kurul tarafından yayımlanan Kişisel Veri Güvenliği Rehberi (İdari ve Teknik) ile 3.01.2018 karar tarihli 2018/10 sayılı Kurul kararı uyarınca 13.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararında belirlenen önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Nocturne hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Nocturne, bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 6. Bölümünde yer verilmiştir.
Nocturne meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan ve Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
Nocturne gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul tarafından yayınlanan yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
Nocturne hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Nocturne; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. Nocturne bu doğrultuda Kanun’un 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Nocturne meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
Nocturne meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda özel nitelikli kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
Nocturne nezdinde; Nocturne’nün meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere ve Kanun’da düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle (Müşterilerimiz, İşbirliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetklilileri ve Çalışanları, Ziyaretçilerimiz, Web Sitesi Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişilerin ) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-soyadı, baba adı-soyadı, doğrum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile bu bilgilerin yer aldığı diğer dokumanlar, vergi numarası, SGK numarası, imza bilgisi, taşıt plakası, vb.
Telefon numarası, adres, elektronik posta (e-mail) adresi, faks numarası, IP adresi, vb.
Reçete bilgisi, doktor raporu, tahlil ve radyoloji sonuçları, sağlık raporu, kan grubu, genetik verisi, vb. gib her türlü sağlık verisi ile din, üye olunan dernek verisi, vb
Nocturne’e ait veya kiracısı olduğu (Nocturne Merkez Binası ve/veya Nocturne Mağazaları) fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler: kamera kayıtları, güvenlik noktasında alınan kayıtlar, vb.
Tedarikçiler, İş Ortakları ve diğer 3. Kişilerle veya diğer kişisel veri sahipleri ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finasal profil, malvarlığı verisi, gelir bilgisi verileri vb.
Her türlü fotoğraf ve kamera kayıtları, ses kayıtları.
Nocturne ile çalışma ilişkisi olan veya olacak olan gerçek kişilerin (ör: Tedarikçilerin Çalışanlarının ve/veya İş birliği Ortaklarının Çalışanlarının ve/veya Çalışan Adaylarının ancak Nocturne Çalışanları hariç) özlük haklarının oluşmasına temel olacak bilgiler (özgeçmiş, sağlık raporu, banka hesap, SGK dökümü, vesikalık fotoğraf, ikametgah sureti, nüfus cüzdanı sureti, vb.)
Nocturne’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin veriler.
Nocturne’nün ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse de Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler
Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler.
Nocturne’nün hukuki alacak ve haklarının tespiti, tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerin ve Nocturne politikalarına uyum kapsamında işlenen kişisel veriler.
Nocturne’nün kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler
Kişiyle ilişkilendirilen ve Nocturne’nün ticari itibarını korumak maksatlı toplanan kişisel veriler (örneğin; Nocturne ile ilgili yapılan paylaşımlar)
Nocturne, Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Nocturne tarafından açık rızanız temin edilmektedir.
Bu kapsamda, Çalışan Adaylarının (i) yazılı veya elektronik ortamda yayınlanan dijital başvuru formu, (ii) Nocturne’e e-posta, kargo, referans vb. yollarla ulaştırdıkları özgeçmişler ve (iii) istihdam ve/veya danışmanlık şirketleri aracılığı, (iv) video konferans veya yüz yüze yapılan mülakatlar sırasında, (v) tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri aracılığı ile, (vi) işe alım sürecinde, (vii) işe alım sonrası önceden belirlenen bir amaç kapsamında toplanmaktadır.
Çalışan Adayları diledikleri takdirde Veri Sahibi olmalarından kaynaklanan ve Kanun’dan doğan hakları ile ilgili taleplerini işbu Politika’nın 10. maddesinde açıklanan yöntem ile iletebilirler.
Nocturne Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir:
Nocturne’nün, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
Nocturne’nün ticari faaliyetlerinin yürütülmesi kapsamında, Nocturne’nün emir ve talimatlarına uygun ve sözleşme temelli olarak Nocturne’e hizmet sunan taraflar
Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak
Şirket’in hissedarı olduğu şirketler
Şirket’in iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak
İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Nocturne tarafından gerçekleştirilen aktarımlarda Politika’nın 2. ve 3. Bölümlerinde düzenlenmiş hususlara uygun olarak hareket edilmektedir.
Nocturne tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
i. Kişisel Veri Sahibinin Açık Rızasının Bulunması: Kişisel verilerin işlenme şartlarından biri kişisel veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Açık rıza sözlü alınabileceği gibi yazılı da alınabilmektedir. Aşağıda (ii), (iii), (iv), (v), (vi), (vii), (viii)’de sayılan şartlardan birinin varlığı halinde açık rıza aranmamakta, söz konusu şartlardan birinin veya birkaçının varlığı halinde Nocturne açık rıza almamaktadır.
ii. Kanunlarda Açıkça Öngörülmesi: Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir. Nocturne, Kanun’un 10. maddesine uygun olarak işlediği kişisel veriler hakkında kişisel veri sahibini aydınlatmaktadır. Örneğin, Nocturne faturalarının üzerinde Vergi Usul Kanunu’nun 230. maddesi uyarınca kişisel bilgiler (ad soy ad, şahıs ise şahıs vergi kimlik numarası) bulunmaktadır.
iii. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması:Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya v . beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Nocturne ziyaretçisinin aniden rahatsızlanması sonucunda, bilincini yitirmesi ve Nocturne çalışanının ziyaretçinin kimlik bilgilerini sağlık görevlisine açıklaması fiili imkansızlık sebebiyle ilgilinin açık rızasının alınamamasıdır.
iv.Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin, Nocturne’nün kiracısı olduğu iş yeri için akdedilen kira sözleşmesinde kiraya veren şahısın banka hesap numarasının bulunması sözleşmenin ifası amacıyla ödemenin yapılabilmesi için işlenen kişisel veridir.
v.Nocturne’nün Hukuki Yükümlülüğünü Yerine Getirmesi: Nocturne veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, mahkeme tarafından talep edilen bilgilerin mahkemeye sunulması hukuki yükümlülüktür.
vi. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş̧ olması halinde ilgili kişisel veriler işlenebilecektir. Örneğin, veri sahibinin kişisel verilerini kendi internet sitesinde ifşa etmesi ile kişisel verisini alenileştirmiş olmaktadır.
vii. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri sahibinin kişisel verileri işlenebilecektir. Örneğin, eski Nocturne çalışanının özlük dosyasının saklanması ve gerekli olduğu anda (örneğin işe iade veya alacak davası açması durumunda) kullanılması için Nocturne veri işleyebilir.
vii.Nocturne’nün Meşru Menfaati için Veri İşlemenin Zorunlu Olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Nocturne’nün meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek: Nocturne binasında güvenlik amaçlı kamera kaydı yapılması Nocturne’nün meşru menfaati için veri işlemesinin zorunlu olduğu bir durumdur.
Nocturne tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, 01.2018 karar tarihli 2018/10 sayılı Kurul kararı uyarınca 13.03.2018 tarihli ve 30356 sayılı Resmi Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”de belirlenen önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Nocturne tarafından güvenliğin sağlanması amacıyla, Nocturne Merkez Ofisi ve Mağazaları (“Binalar”) güvenlik kamerasıyla izleme faaliyeti ile misafir giriş-çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Nocturne Binaların girişlerinde ve içerisinde kamera izleme faaliyeti yürütmekte olup, Şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumayı amaçlamaktadır. Bu kapsamda, Nocturne Kanun’a ve diğer ilgili mevzuata uygun hareket etmektedir. Şöyle ki, kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olup, Nocturne tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde Kanun’da yer alan düzenlemelere uygun hareket edilmektedir. Buna göre; Kanun’un 10. Maddesi çerçevesinde, kişisel veri sahibi aydınlatılmaktadır. Aydınlatma yükümlülüğünün bir parçası olarak, Nocturne internet sitesinde işbu Politika’yı yayımlamakta olup, izlemenin yapıldığı alanlara da buna ilişkin bildirim yazıları asılmaktadır.
Nocturne, Kanun’un 4. maddesi uyarınca, kişisel verileri işlendikleri amaçlarla bağlantılı, sınırlı ve ölçülü bir biçimde işlemekte olup, video kamera ile izleme faaliyetini de amacı kapsamında sürdürmektedir. Bu doğrultuda, Nocturne güvenlik kameralarının izleme alanlarını, sayısını ve video kayıtlarının saklanma sürelerini güvenlik amacını aşmadan sınırlı olarak belirlemektedir. Ayrıca belirtmek gerekir ki, kişinin mahremiyetine müdahale edilmeyecek şekilde video kayıt faaliyeti sürdürülmektedir.
Nocturne tarafından video kayıt yoluyla yürütülen izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için de gerekli teknik ve idari tedbirler Nocturne tarafından alınmaktadır. Bu kapsamda, ilgili video kayıtlarına sınırlı sayıda Nocturne çalışanın erişimi bulunmakta olup, söz konusu çalışanlardan ayrıca gizlilik taahhütnamesi alınmaktadır.
Nocturne sahibi olduğu internet sitelerinde Nocturne’nün yapmış olduğu işlemlerin (site ziyareti, üyelik işlemleri, alışveriş işlemi) güvenliği için gerekli önlemler bilgi ve işlemin mahiyetine göre Nocturne’nün sözleşme akdetmek suretiyle internet sitesinin yazılımını, kurulumunu, barındırma ve bakım hizmetlerini sağlayan ve e-ticaret sisteminin ve bu sistem ile yürütülen tüm e- ticaret faaliyetlerimizin yönetim ve işletim hizmetlerinden sorumlu olan ve ayrıca ziyaretçilere ve müşterilere karşı konsinye hizmet vermek suretiyle veri sorumlusu sıfatıyla doğrudan kişisel verilerini internet sitesi üzerinden toplayan ve işleyen 3. Kişi firma tarafından ve/veya 3. Kişi firmanın anlaşmalı olduğu ilgili kuruluşça sistemlerde ve internet alt yapısında, teknolojik imkanlar ve maliyet unsurları dahilinde, uygun teknik ve idari yöntemler ile alınmıştır. Bu siteleri ziyaret eden kişilerin ziyaretlerini, ziyaret amaçlarıyla uygun olarak gerçekleştirmeleri ve kendilerine özelleştirilmiş içerikler gösterebilmek, çevrimiçi reklamcılık faaliyetlerinde bulunabilmek amacıyla (Kurabiyeler (cookie), vb.) site ve/veya uygulama içerisindeki internet hareketleri teknik yöntemlerle 3. Kişi firma tarafından işlenmekte olup, Nocturne’nün hukuki bir sorumluluğu bulunmamaktadır. İnternet sitesi içerisinde yürütülmekte olunan bu faaliyetlere ve kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamaları ilgili internet sitesinin “Gizlilik Politikası” başlıklı metinleri içerisinde açıklamaktadır.
Kanun’un 10. Maddesi uyarınca kişisel veri sahibinin hakları aşağıdaki gibidir:
Kişisel veri sahipleri, Kanun’un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda işbu Politika’nın 10.1.1. maddesinde sayılan haklarını ileri süremezler. Şöyle ki:
Kanun’un 28.maddesinin 2. fıkrası gereğince; aşağıda sayılan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç işbu Politika’nın 8.2. maddesinde sayılan diğer haklarını ileri süremezler:
Kişisel Veri Sahipleri işbu Politika’nın 8.1. maddesinde sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurul’un belirlediği diğer yöntemlerle Veri Sahibi Başvuru Forumu’nu doldurup imzalayarak Nocturne’e ücretsiz olarak iletebileceklerdir:
Ayrıca, Kişisel Veri Sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır. Kişisel Veri Sahipleri başvurularını Türkçe yapmak zorunda olup, sizden aşağıdaki bilgiler talep edilir:
1. www.nocturne.com.tr adresinde bulunan formun doldurulduktan sonra ıslak imzalı -- noter aracılığı ile Merkez Mahallesi Kazım Orbay Cad. No:33/2 Şişli, İstanbul adresine iletilmesi veya
2. www.nocturne.com.tr adresinde bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imzanızla imzalandıktan sonra güvenli elektronik imzalı veya mobil imzalı formun rsctagidavetekstil@hs03.kep.tr adresine kayıtlı elektronik posta ile gönderilmesi
Kişisel Veri Sahibi, Kanun’un 14. maddesi uyarınca başvurunun süresi içerisinde reddedilmesi veya verilen cevabın yetersiz bulunması veya Nocturne tarafından cevap verme süresi içerisinde başvuruya cevap verilmemesi durumunda; Nocturne’nün cevabını öğrendiği tarihten itibaren otuz (30) ve her hâlde başvuru tarihinden itibaren altmış (60) gün içinde Kurul’a şikâyette bulunabilir.
Nocturne’e yalnızca Nocturne’nün Kanun kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Bu durum, Nocturne’nün doğrudan ilgili kişiden kişisel veri topladığı ya da ilgili Nocturne İştirakleri ile Nocturne arasındaki veri paylaşımının Kanun kapsamında veri sorumlusundan veri sorumlusuna veri transferi sayıldığı durumlarda mevcut olabilmektedir. Bunlar dışında, Nocturne İştiraklerinin veri sorumlusu sayıldığı kişisel veri işleme faaliyetleri ile ilgili başvuruların Nocturne’e değil, ilgili Nocturne İştiraki’ne yapılması gerekmektedir. Kişisel veri sahibinin, işbu Politika’nın 8.3. maddesinde açıklanan usule uygun olarak talebini Nocturne’e iletmesi durumunda Nocturne talebin niteliğine göre en geç otuz (30) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, Kurul tarafından bir ücret öngörülmesi halinde, Nocturne tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır. 10 Mart 2018 tarihli 30356 sayılı Resmi Gazete’de yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in 7. maddesi uyarınca Kişisel Veri Sahibinin talebine yazılı olarak cevap verilmesi halinde, ilgili cevap 10 (on) sayfa veya daha fazla ise her sayfa için 1 Türk Lirası ücret alınabilecektir. Başvuruya CD, flash bellek gibi kayıt ortamında cevap verilmesi halinde, Nocturne’nün talep edeceği ücret kayıt ortamının maliyetini geçmeyecektir. Nocturne, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir, başvurusu ile ilgili soru yöneltebilir. Nocturne aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
Nocturne, işbu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve islenmesi konusunda iç kullanıma yönelik alt politikalar oluşturmaktadır.
Nocturne tarafından Kanun düzenlemelerine uygun hareket edilmesi ve Kişisel Verilerin Korunması ve İşlenmesi Politikasının yürürlüğünü sağlamak için yönetim ekibi oluşturulmuştur. Bu kapsamda, Nocturne bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili 11. Maddede belirtilen diğer politikaların uygulanmasını ve yönetimini sağlamak amacıyla Şirket, bir veri sorumlusu temsilcisi, bir irtibat kişisi ve bir bilişim teknoloji uzmanı olmak üzere 3 kişiden oluşan Veri Koruma Kurulu atamıştır. Veri Koruma Kurulu’nun görevleri aşağıdaki gibidir:
Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.
Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.
Şirket: RS CTA TEKSTİL SANAYİ TİCARET ANONİM ŞİRKETİ ’dir.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir.
Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişidir.
Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Anonim hale getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. (Örneğin, maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesidir.)
İmha: Kişisel verilerin, silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. (Örneğin, Nocturne’nün verilerini tutan bulut bilişim firması, vb.)
Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu veri kayıt sistemini yöneten kişidir.
İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişidir.
Üçüncü Kişi: Kişisel verileri Politika kapsamında işlenen herhangi bir gerçek kişidir.
Veri Sahibi Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren Kanun gereğince kişisel veri sahibi veya temsilcisi tarafından Veri sorumlusuna yapılacak başvurulara ilişkin Nocturne internet sitesinden ulaşılabilen başvuru formudur.
Nocturne Grup Şirketleri: RRS CTA TEKSTİL SANAYİ TİCARET ANONİM ŞİRKETİ ’nin doğrudan ya da dolaylı olarak bağlı olduğu NRS CTA TEKSTİL SANAYİ TİCARET ANONİM ŞİRKETİ dahil olmak üzere diğer (iştirak, ortak, vb.) tüm şirketlerdir.
Çalışan Adayı: Nocturne’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Nocturne’nün incelemesine açmış olan gerçek kişilerdir.
İş birliği İçinde Olduğumuz Kurum Yetkilileri ve Çalışanları: Nocturne’nün her türlü iş ilişkisi içerisinde bulunduğu kurumların (hastaneler, bakanlıklar gibi, ancak bunlarla sınırlı olmaksızın) hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.
Tedarikçi: Nocturne’nün ticari faaliyetlerini yürütürken Nocturne’nün emir ve talimatlarına uygun olarak sözleşme temelli olarak Nocturne’e hizmet sunan tüzel veya gerçek kişilerdir.
Tedarikçi Yetkilileri ve Çalışanları: Tedarikçilerin hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.
İş Ortakları: Nocturne’nün ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflardır.
İş Ortakları Yetkilileri ve Çalışanları: İş Ortakları’nın hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.
Ziyaretçi: Nocturne’nün iş yerlerinde çeşitli amaçlarla fiziksel olarak bulunmuş olan veya internet sitelerini ziyaret eden gerçek kişiler.
Web Sitesi Kullanıcısı: Nocturne’nün web sitelerini ziyaret eden gerçek kişilerdir.
Nocturne Merkez Binası: Talatpaşa Bulvarı No:21/A Konak Alsancak, Kazım Orbay Cad. No:33/5 Kat:2 Şişli/ İstanbul adresinde bulunan Nocturne iş yeridir.
Nocturne Mağazaları: Türkiye’nin farklı şehirlerinde bulunan mağazalarıdır.
Şirket Yetkilisi: Nocturne yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.
SSL: Güvenli giriş katmanını ifade eder. Sunucu ile istemci arasında alan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikadır.
Güvenli Elektronik İmza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzadır.