Kişisel Verilerin İşlenmesi ve Veri Güvenliği Politikası

1. GENEL AÇIKLAMA

RS CTA Gıda Tekstil Sanayi Ticaret Limited Şirketi (“Nocturne” ve/veya “Şirket”) olarak kişisel verilerin korunması konusunda gerekli özeni göstermekte ve bunu bir şirket politikası haline getirerek tüm gerçek ve tüzel kişiler için uygulamaktayız. Bu kapsamda, işbu Kişisel Verilerin İşlenmesi ve Veri Güvenliği Politikası (“Politika”) ile Müşterilerimizin, İş birliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarının ve diğer Üçüncü Kişilerin kişisel verilerinin korunmasını amaçlamaktayız.

Nocturne olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca işlenen kişisel verilerin korunması için gereken idari ve teknik tedbirleri almaktayız.

Kişisel verilerin işlenmesinde (i) Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme, (ii) kişisel verileri doğru ve gerektiğinde güncel tutma, (iii) Kişisel verileri belirli, açık ve meşru amaçlar için işleme, (iv) Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme, (v) Kişisel verileri ilgili mevzuatta öngörülen veya işledikleri amaç için gerekli olan süre kadar muhafaza etme, (vi) Kişisel veri sahiplerini aydınlatma ve bilgilendirme, (vii) Kişisel veri sahiplerinin haklarını kullanması için gerekli teknik ve idari alt yapıyı oluşturma, (viii) Kişisel verilerin muhafazasında gerekli teknik ve idari tedbirleri alma, (ix) Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve Kurul’un düzenlemelerine uygun davranma, (x) Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme ilkelerini benimsemekteyiz. İşbu Politika’da söz konusu temel ilkelere ilişkin detaylı açıklamalarda bulunmaktayız.

1.1. Polı̇tı̇ka’nın Amacı ve Kapsamı

Bu Politika’nın amacı, Nocturne’nün hukuka uygun olarak kişisel verileri işlerken uyguladığı ve benimsediği yöntemler ile işlenen verilerin korunması için almış olduğu güvenlik önlem ve tedbirleri konusunda açıklamalarda bulunmak ve bu kapsamda kişisel verileri Nocturne tarafından işlenen kişileri bilgilendirmektir. Bu kapsamda, işbu Politika, Müşterilerimizin, İşbirliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarımızın ve diğer Üçüncü Anayasa başta olmak üzere Kişilerin Kişisel Verilerin Korunması Kanunu ve sair mevzuat kapsamında otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Nocturne tarafından toplanan kişisel verilerinin işlenmesi ve korunmasına ilişkin kamuyu bilgilendirmek amacıyla hazırlanmıştır.

1.2. Politika’nın ve İlgili Mevzuatın Uygulanması

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Nocturne yürürlükteki mevzuatı uygulayacağını kabul etmektedir.

2.KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

2.1. Kişisel Verilerin Güvenliğinin Sağlanması

Nocturne, Kanun’un 12. maddesi kapsamında, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerin muhafazasını sağlamak ve kişisel verilere yetkisiz kişilerce erişiminin engellenmesi amacıyla gerekli olan önlem ve tedbirleri almakta olup, gerekli denetimleri yapmak ve yaptırmaktadır.

Bu kapsamda, Kurul tarafından yayımlanan Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler); (i) Yetki Matrisini, (ii) Yetki Kontrolünü, (iii) Erişim Loglarını (iv) Kullanıcı Hesap Yönetimini, (v) Ağ Güvenliğini, (vi) Uygulama Güvenliğini, (vii) Şifrelemeyi, (viii) Sızma Testini, (ix) Saldırı Tespit ve Önleme Sistemlerini, (x) Log Kayıtlarını, (xi) Veri Maskelemeyi, (xii) Veri Kaybı Önleme Yazılımlarını, (xiii) Yedeklemeyi, (xiv) Güvenlik Duvarlarını, (xv) Güncel Anti Virüs Sistemlerini, (xvi) Silme, Yok Etme ve Anonim Hale Getirmeyi, (xvii) Anahtar Yönetimini veri sorumluları tarafından alınabilecek teknik tedbirler olarak açıklamıştır. Aynı şekilde, söz konusu Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler) (i) Kişisel Veri Envanteri Hazırlanmasını, (ii) Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha, vb.) hazırlanmasını ve uygulanmasını, (iii) Sözleşmelerin (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu- Veri İşleyen Arasında) Akdedilmesini, (iv) Gizlilik Taahhütnameleri imzalanmasını, (v) Kurum İçi Rastgele veya Periyodik Denetimler Yapılmasını, (vi) Risk Analizi Yapılmasını, (vii) İş Sözleşmesine ve Disiplin Yönetmeliği’ne Kanun’a Uygun Hükümler İlave Edilmesini, (viii) Kurumsal İletişim Prensiplerinin Kanun’a Uygun Hale Getirilmesini (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi, vb.), (ix) Eğitim ve Farkındalık Faaliyetlerinin Yürütülmesini (Bilgi Güvenliği ve Kanun çerçevesinde) ve (x) Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Sürecinin Oluşturulmasını alınabilecek idari tedbirler olarak açıklamıştır.

Nocturne, yukarıda açıklanan ve Kurul tarafından yayımlanan Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler) ışığında aşağıda sıralanan idari ve teknik önlemleri almıştır:

  • Mevcut risk ve tehditler belirlenmekte,
  • Nocturne Çalışanlarının eğitilmesi ve farkındalık çalışmaları yapılmakta,
  • Kişisel veri güvenliği politikaları ve prosedürleri belirlenmekte,
  • Nocturne tarafından işlenen kişisel veriler mümkün olduğunca azaltılmakta,
  • Veri İşleyenler ile Nocturne arasında Kanun kapsamında Sözleşme akdedilmekte,
  • Siber güvenliğin sağlanması için idari ve teknik tedbirler alınmakta (örneğin, kullanılmayan yazılım ve servislerin silinmesi, güvenlik duvarlarının oluşturulması, yama yönetimi ve yazılım güncellemeleri, erişim sınırlamaları, erişim yetki ve kontrol matrisinin oluşturulması, antivirüs ürünlerinin kullanımı, SSL bağlantılar kurulması, vb.)
  • Kişisel veri güvenliği takip edilmekte (örneğin log kayıtları tutulmakta, güvenlik sorunlarının bildirilmesi için resmi bir raporlama prosedürü oluşturulmakta, zafiyet taramaları ve sızma testleri yapılmaktadır),
  • Kişisel veriler bulut ortamında şifrelenerek saklanmakta ve şifreleme anahtarı kullanılmakta, ve
  • Veri yedekleme stratejileri geliştirilmektedir.

2.1.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Teknik Ve İdari Tedbirler

Nocturne, kişisel verilerin hukuka uygun işlenmesini sağlamak amacıyla gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanlar doğrultusunda almaktadır. Bu kapsamda;

  • Nocturne bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmekte,
  • alınan teknik önlemler ihtiyaç halinde ilgilisine raporlanmakta,
  • teknik konularda bilgili personel istihdam edilmekte,
  • Nocturne ile Nocturne Çalışanları arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda Nocturne Çalışanlarının farkındalığı arttırılmakta,
  • Nocturne Çalışanları, periyodik olarak kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmekte,
  • düzenli olarak iş süreçleri analiz edilerek veri envanteri çıkarılmakta ve iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin Kanun’a uygunluğunun sağlanması için yerine getirilecek olan gereklilikler her bir süreç özelinde belirlenmekte,
  • hukuksal uyum gerekliliklerinin sağlanması, Şirket içerisinde farkındalık yaratılması, uygulamaların sürekliliğinin sağlanması ve düzenli denetimler yapılması için politikalar hayata geçirilmekte ve periyodik olarak Nocturne’nün kurumsal sistemlerine erişim hakkı olan kişilere (bunlarla sınırlı kalmaksızın gerekli görülmesi halinde diğer gerçek kişilere) eğitimler verilmekte, ve
  • Nocturne ile İş birliği İçinde Olduğumuz Kurumlar, Tedarikçiler, İş Ortakları, Ziyaretçilerimiz, Web Sitesi Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişiler arasındaki hukuki ilişkiyi yöneten sözleşmeler ve belgelere, kanunla getirilen istisnalar dışında, karşılıklı olarak kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı sağlanmaktadır.

2.1.2.Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler

Nocturne, kişisel verilerin tedbirsizlik sebebiyle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanları doğrultusunda almaktadır. Buna göre;

  • teknolojideki gelişmelere uygun teknik önlemler alınmakta ve söz konusu önlemler gerektiğinde güncellenmekte ve yenilenmekte,
  • süreç bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirmelere ilişkin teknik çözümler devreye alınmakta,
  • erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmekte,
  • alınan teknik önlemler ihtiyaç halinde ilgili kişiye raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmekte,
  • virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmakta,
  • teknik konularda bilgili personel istihdam edilmekte,
  • virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar,
  • Nocturne Çalışanları, kişisel verilere hukuka aykırı erişimleri engellemek için alınacak teknik tedbirler konusunda eğitilmekte,
  • süreç bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmakta,
  • Nocturne Çalışanları, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmakta,
  • Nocturne tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

2.1.3.Kişisel Verilerin Güvenli Ortamlarda Saklanması

Nocturne, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanları doğrultusunda almaktadır. Buna göre;

  • kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmakta,
  • teknik konularda uzman personel istihdam edilmekte,
  • saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler ihtiyaç halinde ilgili kişiye raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmekte,
  • kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmakta,
  • kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmekte,
  • Nocturne Çalışanları, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda eğitilmekte,
  • Nocturne tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

2.1.4.Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Nocturne, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Nocturne’nün iç işleyişi kapsamında konu ile ilgili birimine raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

2.1.5.Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

Nocturne, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlamaktadır.

2.2. Veri̇ Sahibinin Haklarının Gözetilerek Veri Sahiplerinin Taleplerinin Nocturne Tarafından Değerlendirmeye Alınması İçin Başvuru Kanalının Oluşturulması ve Nocturne Tarafından Yapılan Başvuruların Değerlendirilmesi Süreci

Nocturne, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kanun’un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi ve idari ve teknik düzenlemeleri yürütmektedir.Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak Nocturne’e iletmeleri durumunda Nocturne talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, Kurulca bir ücret öngörülmesi halinde, Nocturne tarafından Kurulca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış̧ işlenmiş̧ olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

2.3. Özel Nitelikli Kişisel Verilerin Korunması

Kanun bazı kişisel verilerin özel nitelikli olması sebebiyle bu tip verilerin işlenmesi ve korunmasına ilişkin ayrıca birtakım düzenlemeler getirmiştir. Kanun uyarınca, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel verilerdir. Perakende sektöründe faaliyet gösteren bir Şirket olmamız ve yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde ve korunmasına ayrıca önem ve özen göstermekteyiz. Bu kapsamda, Nocturne tarafından, kişisel verilerin korunması için teknik ve idari tedbirler alınmakta, periyodik olarak da gerekli denetimler yapılmaktadır.

 

2.4.Nocturne Müşterilerimizin, Şirket Yetkililerimizin, İş birliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Ziyaretçilerimizin, Web Sitesi Kullanıcılarımızın, Çalışan Adaylarımızın ve diğer Üçüncü Kişilerin Kişisel Verilerin Korunması Ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi

 

Nocturne olarak, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için Nocturne Çalışanlarına, Şirket Yetkililerimize eğitimler düzenlemekte olup, ihtiyaç duyulması halinde kişisel verilerin korunması konusunda bu konuda uzman kişilerle çalışmaktayız. Nocturne Çalışanlarına, Şirket Yetkililerimize yönelik düzenlenen eğitimler periyodik olarak tekrarlanmaktadır. Söz konusu eğitimler mevzuatın güncellenmesine paralel olarak eğitimlerimizi güncellemekte ve yenilemekteyiz.

3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

3.1. Kişisel Verilerin İşlenmesi

Nocturne, Anayasa’nın 20. maddesi olan Özel Hayatın Gizliliği ve Kanun’un 4. maddesine ve 6. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Nocturne kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği ve/veya sektörel bazda da kabul görmüş süre kadar ve aşağıdaki ilkeler ışığında kişisel verileri muhafaza etmektedir.

  • Hukuka ve Dürüstlük Kuralına Uygun İşlemek: Nocturne; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kurallarına uygun hareket etmektedir. Bu kapsamda Nocturne, kişisel verileri, “kişisel verileri işleme amacının” gerektirdiği dışında işlememekte ve kullanmamaktadır.
  • Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Nocturne; işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta ve bu doğrultuda işbu Politika’da açıklandığı üzere gerekli tedbirleri almaktadır.
  • Belirli, Açık ve Meşru Amaçlarla İşleme:Nocturne, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Nocturne, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar kişisel veri işlemektedir. Nocturne tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
  • İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Nocturne, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
  • İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Nocturne, kişisel verileri ancak ilgili mevzuatta belirtildiği veya sektörel bazda kabul görmüş süre kadar veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Nocturne öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan ve/veya sektörel bazda da kabul görmüş süre kadar ve/veya Silme Politikası’nda belirlediği süreler kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Nocturne tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Nocturne, hem Anayasa’nın 20. maddesinin üçüncü fıkrası hem de Kanun’un 5. maddesi uyarınca, ilgili Kanun maddesinde sayılan şartlardan bir veya birkaçına dayalı olarak işlemekte olup, kişisel verileri, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Ayrıca Nocturne, Kanun’un 8. ve 9. maddelerine uygun olarak, kişisel verileri Kanun’da öngörülen ve Kurul tarafından yayınlanan düzenlemelere uygun olarak aktarmaktadır. Nocturne, Kanun’un 10.maddesine uygun olarak, kişisel veri sahiplerini, işlenen kişisel verilerine ilişkin aydınlatmak ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır. Bu kapsamda Nocturne, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Kanun’un 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Nocturne, bu kapsamda, Kanun’un 11. maddesine uygun olarak Kişisel Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.

3.2. Özel Nitelikli Kişisel Verilerin İşlenmesi

Perakende sektöründe faaliyet gösteren bir şirket olarak, yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde Kanunu’nda öngörülen düzenlemelere hassasiyet gösterilmekte ve uygun davranılmaktadır. Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler, Nocturne tarafından Kanun’a uygun Kurul tarafından yayımlanan Kişisel Veri Güvenliği Rehberi (İdari ve Teknik) ile 3.01.2018 karar tarihli 2018/10 sayılı Kurul kararı uyarınca 13.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararında belirlenen önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

  • Kişisel veri sahibinin açık rızası var ise veya
  • Kişisel veri sahibinin açık rızası yok ise;
  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.

3.3.Kişisel Verilerin Aktarılması

Nocturne hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Nocturne, bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 6. Bölümünde yer verilmiştir.

3.3.1. Kişisel Verilerin Aktarılması

Nocturne meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan ve Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:

  • Kişisel veri sahibinin açık rızası var ise,
  • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
  • Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
  • Nocturne’nün hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
  • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,
  • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Nocturne’nün meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

3.3.2. Özel Nitelikli Kişisel Verilerin Aktarılması

Nocturne gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul tarafından yayınlanan yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.

  • Kişisel veri sahibinin açık rızası var ise veya
  • Kişisel veri sahibinin açık rızası yok ise;
  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

3.4. Kişisel Verilerin Yurtdışına Aktarılması

Nocturne hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Nocturne; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. Nocturne bu doğrultuda Kanun’un 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Nocturne meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:

  • Kişisel veri sahibinin açık rızası var ise,
  • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
  • Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
  • Nocturne’nün hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
  • Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş̧ ise,
  • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Nocturne’nün meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

3.4.1. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

Nocturne meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda özel nitelikli kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:

  • Kişisel veri sahibinin açık rızası var ise veya
  • Kişisel veri sahibinin açık rızası yok ise;
  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI

4.1. Kişisel Verilerin Kategorizasyonu

Nocturne nezdinde; Nocturne’nün meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere ve Kanun’da düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle (Müşterilerimiz, İşbirliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetklilileri ve Çalışanları, Ziyaretçilerimiz, Web Sitesi Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişilerin ) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.

  • Kişisel Veri veya Özel Nitelikli Kişisel Veri Açıklama

    • Kimlik Bilgisi
    • Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-soyadı, baba adı-soyadı, doğrum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile bu bilgilerin yer aldığı diğer dokumanlar, vergi numarası, SGK numarası, imza bilgisi, taşıt plakası, vb.

    • İletişim Bilgisi
    • Telefon numarası, adres, elektronik posta (e-mail) adresi, faks numarası, IP adresi, vb.

    • Özel Nitelikli Kişisel Veri
    • Reçete bilgisi, doktor raporu, tahlil ve radyoloji sonuçları, sağlık raporu, kan grubu, genetik verisi, vb. gib her türlü sağlık verisi ile din, üye olunan dernek verisi, vb

    • Fiziksel Mekân Güvenlik Bilgisi
    • Nocturne’e ait veya kiracısı olduğu (Nocturne Merkez Binası ve/veya Nocturne Mağazaları) fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler: kamera kayıtları, güvenlik noktasında alınan kayıtlar, vb.

    • Finansal Bilgi
    • Tedarikçiler, İş Ortakları ve diğer 3. Kişilerle veya diğer kişisel veri sahipleri ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finasal profil, malvarlığı verisi, gelir bilgisi verileri vb.

    • Görsel/İşitsel Bilgi
    • Her türlü fotoğraf ve kamera kayıtları, ses kayıtları.

    • Özlük Bilgileri
    • Nocturne ile çalışma ilişkisi olan veya olacak olan gerçek kişilerin (ör: Tedarikçilerin Çalışanlarının ve/veya İş birliği Ortaklarının Çalışanlarının ve/veya Çalışan Adaylarının ancak Nocturne Çalışanları hariç) özlük haklarının oluşmasına temel olacak bilgiler (özgeçmiş, sağlık raporu, banka hesap, SGK dökümü, vesikalık fotoğraf, ikametgah sureti, nüfus cüzdanı sureti, vb.)

    • Talep/Şikayet Yönetimi Bilgisi
    • Nocturne’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin veriler.

    • İşlem Güvenliği Bilgisi
    • Nocturne’nün ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse de Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler

    • Risk Yönetim Bilgisi
    • Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler.

    • Hukuki İşlem Uyum Bilgisi
    • Nocturne’nün hukuki alacak ve haklarının tespiti, tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerin ve Nocturne politikalarına uyum kapsamında işlenen kişisel veriler.

    • Denetim ve Teftiş Bilgisi
    • Nocturne’nün kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler

    • İtibar Yönetimi Bilgisi
    • Kişiyle ilişkilendirilen ve Nocturne’nün ticari itibarını korumak maksatlı toplanan kişisel veriler (örneğin; Nocturne ile ilgili yapılan paylaşımlar)

4.2. Kişisel Verilerin İşlenme Amaçları

Nocturne, Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;

  • Kişisel verilerinizin işlenmesine ilişkin Nocturne’nün ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi
  • Kişisel verilerinizin Nocturne tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması
  • Kişisel verilerinizin işlenmesinin Nocturne’nün hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • Kişisel verilerinizin sizler tarafından alenileştirilmiş̧ olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Nocturne tarafından işlenmesi
  • Kişisel verilerinizin Nocturne tarafından işlenmesinin Nocturne’nün veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması
  • Sizlerin temel hak ve özgürlüklerinize zarar vermemek kaydıyla Nocturne’nün meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması
  • Nocturne tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması
  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağılığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından islenmesidir.

Bu kapsamda Nocturne, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir:

  • Şirket iç operasyonlarının, iş faaliyetlerinin yürütülmesi ve Şirket operasyonlarının güvenliğinin temin edilmesi, iş faaliyetlerinin etkinlik, verimlilik, yerindelik analizlerinin gerçekleştirilmesi için gerekli faaliyetlerinin yürütülmesi,
  • Strateji planlama faaliyetlerinin ve iş ortakları/tedarikçi ilişkilerinin yönetimi,
  • Müşteri ilişkileri ile ilgili süreçlerinin ve müşteri memnuniyeti aktivitelerinin yürütülmesi,
  • Pazarlama ve satış faaliyetlerinin yürütülmesi, Şirket’in sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin yürütülmesi, ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin yürütülmesi
  • Etkinliklere ilişkin faaliyetlerin yürütülmesi,
  • Üretim ve/veya operasyon süreçlerinin yürütülmesi,
  • Bankacılık işlemleri ile ve finans/muhasebe faaliyetlerinin yürütülmesi,
  • Hukuksal, teknik ve idari sonucu olan faaliyetlerin yürütülmesi ve yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuksal taleplere ilişkin faaliyetler ile hukuki işlerin yürütülmesi,
  • İş sürekliliğinin sağlanması ve kurumsal yönetim faaliyetler için gereken süreçlerin işletilmesi,
  • Ürün ve/veya hizmetlerin satış süreçlerine ve satış sonrası destek hizmetlerine ilişkin faaliyetlerin yürütülmesi,/li>
  • Verilerin doğru ve güncel tutulması,
  • Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesi için gerekli işlemlerin yapılması,
  • Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin teminin edilmesi,
  • Ziyaretçi kayıtlarının oluşturulması ve takiplerinin yapılması,
  • Lojistik faaliyetlerin planlanması ve icrası,
  • Bilgi güvenliği süreçleri ile bilgi teknoloji alt yapısına ilişkin faaliyetlerin yürütülmesi,
  • Acil durum yönetimi süreçlerinin planlanması ve icrası, iş sağlığı ve/veya güvenliği süreçlerinin yürütülmesi,
  • İnsan kaynakları süreçlerinin planlanması,
  • Ürün ve/veya hizmetlerin satış süreçlerine ve satış sonrası destek hizmetlerine ilişkin faaliyetlerin yürütülmesi,
  • Verilerin doğru ve güncel tutulması,
  • Yapı veya inşaat işlerinin planlanması,
  • Grup şirketlerine ilişkin faaliyetlerin yürütülmesi, çalışanların bilgiye erişimlerinin sağlanması,
  • Şirket içi atama-terfi ve işten ayrılma süreçlerinin planlanması ve icrası, personel çıkış işlemlerinin planlanması ve icrası, yetenek- kariyer gelişimi faaliyetlerinin planlanması ve icrası, işe alım / istihdam, personel temin süreçlerinin yürütülmesi,
  • Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası, ücret yönetimi faaliyetlerinin yürütülmesi, çalışanların ücret artışlarının planlanması,
  • Çalışanların iş faaliyetlerinin takibi ve/veya denetimi, çalışanların performans değerlendirme süreçlerinin planlanması ve takibi süreçlerinin yürütülmesi, çalışan memnuniyetinin ve/veya bağlılığı süreçlerinin planlanması ve icrası,
  • Çalışan Adayının niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek,
  • Üçüncü kişiler ile iletişime geçerek Çalışan Adayı hakkında araştırma yapmak,
  • Başvuru ve işe alım süreci hakkında Çalışan Adayı ile iletişime geçmek,
  • Sonradan pozisyon açılması durumunda Çalışan Adayı ile iletişime geçmek,
  • İlgili mevzuatın gereklerini ve/veya yetkili kurum ve kuruluşların taleplerini karşılamak.

Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Nocturne tarafından açık rızanız temin edilmektedir.

Bu kapsamda, Çalışan Adaylarının (i) yazılı veya elektronik ortamda yayınlanan dijital başvuru formu, (ii) Nocturne’e e-posta, kargo, referans vb. yollarla ulaştırdıkları özgeçmişler ve (iii) istihdam ve/veya danışmanlık şirketleri aracılığı, (iv) video konferans veya yüz yüze yapılan mülakatlar sırasında, (v) tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri aracılığı ile, (vi) işe alım sürecinde, (vii) işe alım sonrası önceden belirlenen bir amaç kapsamında toplanmaktadır.

Çalışan Adayları diledikleri takdirde Veri Sahibi olmalarından kaynaklanan ve Kanun’dan doğan hakları ile ilgili taleplerini işbu Politika’nın 10. maddesinde açıklanan yöntem ile iletebilirler.

5. NOCTURNE TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Nocturne Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:

  • Nocturne iş ortaklarına,
  • Nocturne tedarikçilerine,
  • Nocturne iştiraklerine (Nocturne Giyim Sanayi ve Ticaret Limited Şirketi),
  • Hukuken Yetkili kamu kurum ve kuruluşları ile yetkili özel hukuk kişilerine,
  • Veri aktarım şartlarına uygun olarak, diğer üçüncü kişilere.

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir:

  • VERİ AKTARIMI YAPILABİLECEK KİŞİLER TANIMI VERİ AKTARIM AMACI

    • İş Ortağı
    • Nocturne’nün, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar

    • İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak

    • Tedarikçi
    • Nocturne’nün ticari faaliyetlerinin yürütülmesi kapsamında, Nocturne’nün emir ve talimatlarına uygun ve sözleşme temelli olarak Nocturne’e hizmet sunan taraflar

    • Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak

    • İştirakler
    • Şirket’in hissedarı olduğu şirketler

    • Şirket’in iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak

    • Hukuken Yetkili Kamu Kurum ve Kuruluşları
    • İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları

    • İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

    • Hukuken Yetkili Özel Hukuk Kişiler
    • İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri

    • İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

Nocturne tarafından gerçekleştirilen aktarımlarda Politika’nın 2. ve 3. Bölümlerinde düzenlenmiş hususlara uygun olarak hareket edilmektedir.

6. KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ

6.1. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin İşlenmesi

6.1.1. Kişisel Verilerin İşlenmesi

Nocturne tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

      i. Kişisel Veri Sahibinin Açık Rızasının Bulunması: Kişisel verilerin işlenme şartlarından biri kişisel veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle                    açıklanmalıdır. Açık rıza sözlü alınabileceği gibi yazılı da alınabilmektedir. Aşağıda (ii), (iii), (iv), (v), (vi), (vii), (viii)’de sayılan şartlardan birinin varlığı halinde açık rıza aranmamakta, söz konusu şartlardan birinin veya birkaçının varlığı                  halinde Nocturne açık rıza almamaktadır.

     ii. Kanunlarda Açıkça Öngörülmesi: Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir. Nocturne, Kanun’un 10. maddesine uygun olarak işlediği kişisel veriler hakkında kişisel veri                 sahibini aydınlatmaktadır. Örneğin, Nocturne faturalarının üzerinde Vergi Usul Kanunu’nun 230. maddesi uyarınca kişisel bilgiler (ad soy ad, şahıs ise şahıs vergi kimlik numarası) bulunmaktadır.

     iii. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması:Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya        v .    beden   bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Nocturne ziyaretçisinin aniden rahatsızlanması sonucunda, bilincini yitirmesi ve Nocturne                       çalışanının     ziyaretçinin kimlik bilgilerini sağlık görevlisine açıklaması fiili imkansızlık sebebiyle ilgilinin açık rızasının alınamamasıdır.

     iv.Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin       işlenmesi mümkündür. Örneğin, Nocturne’nün kiracısı olduğu iş yeri için akdedilen kira sözleşmesinde kiraya veren şahısın banka hesap numarasının bulunması sözleşmenin ifası amacıyla ödemenin yapılabilmesi için işlenen kişisel veridir.

     v.Nocturne’nün Hukuki Yükümlülüğünü Yerine Getirmesi: Nocturne veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin,             mahkeme tarafından talep edilen bilgilerin mahkemeye sunulması hukuki yükümlülüktür.

     vi. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş̧ olması halinde ilgili kişisel veriler işlenebilecektir. Örneğin, veri sahibinin kişisel verilerini kendi internet sitesinde ifşa         etmesi ile kişisel verisini alenileştirmiş olmaktadır.

     vii. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri sahibinin kişisel verileri işlenebilecektir. Örneğin, eski                     Nocturne çalışanının özlük dosyasının saklanması ve gerekli olduğu anda (örneğin işe iade veya alacak davası açması durumunda) kullanılması için Nocturne veri işleyebilir.

     vii.Nocturne’nün Meşru Menfaati için Veri İşlemenin Zorunlu Olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Nocturne’nün meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin         kişisel verileri işlenebilecektir. Örnek: Nocturne binasında güvenlik amaçlı kamera kaydı yapılması Nocturne’nün meşru menfaati için veri işlemesinin zorunlu olduğu bir durumdur.

6.1.2. Özel Nitelikli Kişisel Verilerin İşlenmesi

Nocturne tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, 01.2018 karar tarihli 2018/10 sayılı Kurul kararı uyarınca 13.03.2018 tarihli ve 30356 sayılı Resmi Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”de belirlenen önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

7. NOCTURNE MERKEZ OFİSİ VE MAĞAZALARI İLE BU BİNALAR İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

7.1. Nocturne Merkez Binası ve Mağazalarında Yapılan Kişisel Veri İşleme Faaliyetleri

Nocturne tarafından güvenliğin sağlanması amacıyla, Nocturne Merkez Ofisi ve Mağazaları (“Binalar”) güvenlik kamerasıyla izleme faaliyeti ile misafir giriş-çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Nocturne Binaların girişlerinde ve içerisinde kamera izleme faaliyeti yürütmekte olup, Şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumayı amaçlamaktadır. Bu kapsamda, Nocturne Kanun’a ve diğer ilgili mevzuata uygun hareket etmektedir. Şöyle ki, kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olup, Nocturne tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde Kanun’da yer alan düzenlemelere uygun hareket edilmektedir. Buna göre; Kanun’un 10. Maddesi çerçevesinde, kişisel veri sahibi aydınlatılmaktadır. Aydınlatma yükümlülüğünün bir parçası olarak, Nocturne internet sitesinde işbu Politika’yı yayımlamakta olup, izlemenin yapıldığı alanlara da buna ilişkin bildirim yazıları asılmaktadır.

Nocturne, Kanun’un 4. maddesi uyarınca, kişisel verileri işlendikleri amaçlarla bağlantılı, sınırlı ve ölçülü bir biçimde işlemekte olup, video kamera ile izleme faaliyetini de amacı kapsamında sürdürmektedir. Bu doğrultuda, Nocturne güvenlik kameralarının izleme alanlarını, sayısını ve video kayıtlarının saklanma sürelerini güvenlik amacını aşmadan sınırlı olarak belirlemektedir. Ayrıca belirtmek gerekir ki, kişinin mahremiyetine müdahale edilmeyecek şekilde video kayıt faaliyeti sürdürülmektedir.

Nocturne tarafından video kayıt yoluyla yürütülen izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için de gerekli teknik ve idari tedbirler Nocturne tarafından alınmaktadır. Bu kapsamda, ilgili video kayıtlarına sınırlı sayıda Nocturne çalışanın erişimi bulunmakta olup, söz konusu çalışanlardan ayrıca gizlilik taahhütnamesi alınmaktadır.

7.2. Internet Sitesi Ziyaretçileri

Nocturne sahibi olduğu internet sitelerinde Nocturne’nün yapmış olduğu işlemlerin (site ziyareti, üyelik işlemleri, alışveriş işlemi) güvenliği için gerekli önlemler bilgi ve işlemin mahiyetine göre Nocturne’nün sözleşme akdetmek suretiyle internet sitesinin yazılımını, kurulumunu, barındırma ve bakım hizmetlerini sağlayan ve e-ticaret sisteminin ve bu sistem ile yürütülen tüm e- ticaret faaliyetlerimizin yönetim ve işletim hizmetlerinden sorumlu olan ve ayrıca ziyaretçilere ve müşterilere karşı konsinye hizmet vermek suretiyle veri sorumlusu sıfatıyla doğrudan kişisel verilerini internet sitesi üzerinden toplayan ve işleyen 3. Kişi firma tarafından ve/veya 3. Kişi firmanın anlaşmalı olduğu ilgili kuruluşça sistemlerde ve internet alt yapısında, teknolojik imkanlar ve maliyet unsurları dahilinde, uygun teknik ve idari yöntemler ile alınmıştır. Bu siteleri ziyaret eden kişilerin ziyaretlerini, ziyaret amaçlarıyla uygun olarak gerçekleştirmeleri ve kendilerine özelleştirilmiş içerikler gösterebilmek, çevrimiçi reklamcılık faaliyetlerinde bulunabilmek amacıyla (Kurabiyeler (cookie), vb.) site ve/veya uygulama içerisindeki internet hareketleri teknik yöntemlerle 3. Kişi firma tarafından işlenmekte olup, Nocturne’nün hukuki bir sorumluluğu bulunmamaktadır. İnternet sitesi içerisinde yürütülmekte olunan bu faaliyetlere ve kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamaları ilgili internet sitesinin “Gizlilik Politikası” başlıklı metinleri içerisinde açıklamaktadır.

8. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI İLE BU HAKLARIN KULLANILMASI VE NOCTURNE TARAFINDAN DEĞERLENDİRİLMESİ

8.1. Veri Sahibinin Hakları

Kanun’un 10. Maddesi uyarınca kişisel veri sahibinin hakları aşağıdaki gibidir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış̧ işlenmiş̧ olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

8.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kişisel veri sahipleri, Kanun’un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda işbu Politika’nın 10.1.1. maddesinde sayılan haklarını ileri süremezler. Şöyle ki:

Kanun’un 28.maddesinin 2. fıkrası gereğince; aşağıda sayılan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç işbu Politika’nın 8.2. maddesinde sayılan diğer haklarını ileri süremezler:

  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş̧ kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  • Kişisel veri işlemenin suç̧ işlenmesinin önlenmesi veya suç̧ soruşturması için gerekli olması.
  • Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

8.3. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Veri Sahipleri işbu Politika’nın 8.1. maddesinde sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurul’un belirlediği diğer yöntemlerle Veri Sahibi Başvuru Forumu’nu doldurup imzalayarak Nocturne’e ücretsiz olarak iletebileceklerdir:

Ayrıca, Kişisel Veri Sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır. Kişisel Veri Sahipleri başvurularını Türkçe yapmak zorunda olup, sizden aşağıdaki bilgiler talep edilir:

       1. www.nocturne.com.tr adresinde bulunan formun doldurulduktan sonra ıslak imzalı -- noter aracılığı ile Merkez Mahallesi Kazım Orbay Cad. No:33/2 Şişli, İstanbul adresine iletilmesi veya

       2. www.nocturne.com.tr adresinde bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imzanızla imzalandıktan sonra güvenli elektronik imzalı veya mobil imzalı formun                                        rsctagidavetekstil@hs03.kep.tr adresine kayıtlı elektronik posta ile gönderilmesi

  • Ad, soyad ve başvuru yazılı ise imza,
  • Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu,
  • pasaport numarası veya varsa kimlik numarası,
  • Tebligata esas yerleşim yeri veya iş yeri adresi,
  • Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
  • Talep konusu,
  • Varsa konuya ilişkin ayrıca bilgi ve belgeler.

8.4. Kişisel Veri Sahibinin Kurul’a Şikâyette Bulunma Hakkı

Kişisel Veri Sahibi, Kanun’un 14. maddesi uyarınca başvurunun süresi içerisinde reddedilmesi veya verilen cevabın yetersiz bulunması veya Nocturne tarafından cevap verme süresi içerisinde başvuruya cevap verilmemesi durumunda; Nocturne’nün cevabını öğrendiği tarihten itibaren otuz (30) ve her hâlde başvuru tarihinden itibaren altmış (60) gün içinde Kurul’a şikâyette bulunabilir.

8.5. Nocturne’nün Başvurulara Cevap Verme Süreci

Nocturne’e yalnızca Nocturne’nün Kanun kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Bu durum, Nocturne’nün doğrudan ilgili kişiden kişisel veri topladığı ya da ilgili Nocturne İştirakleri ile Nocturne arasındaki veri paylaşımının Kanun kapsamında veri sorumlusundan veri sorumlusuna veri transferi sayıldığı durumlarda mevcut olabilmektedir. Bunlar dışında, Nocturne İştiraklerinin veri sorumlusu sayıldığı kişisel veri işleme faaliyetleri ile ilgili başvuruların Nocturne’e değil, ilgili Nocturne İştiraki’ne yapılması gerekmektedir. Kişisel veri sahibinin, işbu Politika’nın 8.3. maddesinde açıklanan usule uygun olarak talebini Nocturne’e iletmesi durumunda Nocturne talebin niteliğine göre en geç otuz (30) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, Kurul tarafından bir ücret öngörülmesi halinde, Nocturne tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır. 10 Mart 2018 tarihli 30356 sayılı Resmi Gazete’de yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in 7. maddesi uyarınca Kişisel Veri Sahibinin talebine yazılı olarak cevap verilmesi halinde, ilgili cevap 10 (on) sayfa veya daha fazla ise her sayfa için 1 Türk Lirası ücret alınabilecektir. Başvuruya CD, flash bellek gibi kayıt ortamında cevap verilmesi halinde, Nocturne’nün talep edeceği ücret kayıt ortamının maliyetini geçmeyecektir. Nocturne, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir, başvurusu ile ilgili soru yöneltebilir. Nocturne aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

  • 1. Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • 2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç̧ teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • 3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş̧ kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • 4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  • 5. Kişisel veri işlemenin suç̧ işlenmesinin önlenmesi veya suç̧ soruşturması için gerekli olması.
  • 6. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş̧ kişisel verilerin işlenmesi.
  • 7. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • 8. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
  • 9. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
  • 10. Orantısız çaba gerektiren taleplerde bulunulmuş̧ olması
  • 11. Talep edilen bilginin kamuya açık bir bilgi olması.

9. NOCTURNE’NÜN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA DİĞER İÇ POLİTİKALARI

Nocturne, işbu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve islenmesi konusunda iç kullanıma yönelik alt politikalar oluşturmaktadır.

9.1. Nocturne Kı̇şı̇sel Verı̇lerı̇n Korunması Ve İşlenmesı̇ Polı̇tı̇kası Yönetimi

Nocturne tarafından Kanun düzenlemelerine uygun hareket edilmesi ve Kişisel Verilerin Korunması ve İşlenmesi Politikasının yürürlüğünü sağlamak için yönetim ekibi oluşturulmuştur. Bu kapsamda, Nocturne bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili 11. Maddede belirtilen diğer politikaların uygulanmasını ve yönetimini sağlamak amacıyla Şirket, bir veri sorumlusu temsilcisi, bir irtibat kişisi ve bir bilişim teknoloji uzmanı olmak üzere 3 kişiden oluşan Veri Koruma Kurulu atamıştır. Veri Koruma Kurulu’nun görevleri aşağıdaki gibidir:

  • Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak ve Şirket Yönetimi’nin onayına sunmak.
  • Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunulması ve koordinasyonun sağlanması hususlarını Şirket Yönetiminin onayına sunmak.
  • Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve Şirket Yönetiminin onayına sunmak, uygulanmasını gözetmek ve koordinasyonunu sağlamak üzere Şirket Yönetimi’ne iletmek.
  • Kişisel verilerin korunması ve işlenmesi konusunda Nocturne içerisinde ve Nocturne’nün iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak.
  • Nocturne’nün kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini Şirket Yönetiminin onayına sunmak.
  • Kişisel verilerin korunması ve politikaların uygulanması ve yayılımı konusunda, kişisel veri sahiplerinin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilendirilmelerinin sağlanması yönünde eğitimler düzenlenmesini sağlamak.
  • Kişisel veri sahiplerinin başvurularını karara bağlamak üzere Şirket Yönetimi’ne iletmek.
  • Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Nocturne içinde yapılması gerekenler konusundaki önerilerini Şirket Yönetimi’ne iletmek.
  • Kurul ve Kurum ile olan ilişkileri Şirket Yönetimi’nin koordinasyonunda yürütmek.
  • Şirket Yönetimi’nin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmektir.

KISALTMALAR VE TANIMLAR

Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.

Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.

Şirket: RS CTA Gıda Tekstil Sanayi Ticaret Limited Şirketi’dir.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir.

Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişidir.

Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim hale getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. (Örneğin, maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesidir.)

İmha: Kişisel verilerin, silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. (Örneğin, Nocturne’nün verilerini tutan bulut bilişim firması, vb.)

Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu veri kayıt sistemini yöneten kişidir.

İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişidir.

Üçüncü Kişi: Kişisel verileri Politika kapsamında işlenen herhangi bir gerçek kişidir.

Veri Sahibi Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren Kanun gereğince kişisel veri sahibi veya temsilcisi tarafından Veri sorumlusuna yapılacak başvurulara ilişkin Nocturne internet sitesinden ulaşılabilen başvuru formudur.

Nocturne Grup Şirketleri: RS CTA Gıda Tekstil Sanayi Ticaret Limited Şirketi’nin doğrudan ya da dolaylı olarak bağlı olduğu Nocturne Giyim Sanayi ve Ticaret Limited Şirketi dahil olmak üzere diğer (iştirak, ortak, vb.) tüm şirketlerdir.

Çalışan Adayı: Nocturne’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Nocturne’nün incelemesine açmış olan gerçek kişilerdir.

İş birliği İçinde Olduğumuz Kurum Yetkilileri ve Çalışanları: Nocturne’nün her türlü iş ilişkisi içerisinde bulunduğu kurumların (hastaneler, bakanlıklar gibi, ancak bunlarla sınırlı olmaksızın) hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.

Tedarikçi: Nocturne’nün ticari faaliyetlerini yürütürken Nocturne’nün emir ve talimatlarına uygun olarak sözleşme temelli olarak Nocturne’e hizmet sunan tüzel veya gerçek kişilerdir.

Tedarikçi Yetkilileri ve Çalışanları: Tedarikçilerin hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.

İş Ortakları: Nocturne’nün ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflardır.

İş Ortakları Yetkilileri ve Çalışanları: İş Ortakları’nın hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.

Ziyaretçi: Nocturne’nün iş yerlerinde çeşitli amaçlarla fiziksel olarak bulunmuş olan veya internet sitelerini ziyaret eden gerçek kişiler.

Web Sitesi Kullanıcısı: Nocturne’nün web sitelerini ziyaret eden gerçek kişilerdir.

Nocturne Merkez Binası: Talatpaşa Bulvarı No:21/A Konak Alsancak, Kazım Orbay Cad. No:33/5 Kat:2 Şişli/ İstanbul adresinde bulunan Nocturne iş yeridir.

Nocturne Mağazaları: Türkiye’nin farklı şehirlerinde bulunan mağazalarıdır.

Şirket Yetkilisi: Nocturne yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.

SSL: Güvenli giriş katmanını ifade eder. Sunucu ile istemci arasında alan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikadır.

Güvenli Elektronik İmza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzadır.