RAFENİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
Versiyon: 1.0
İçindekiler
Bölüm
1. Politika’nın Amacı ve Kapsamı Bölüm
2. Kanun’un Genel İlkeleri ve Kapsam Dışı Haller Bölüm
3. Kişisel Verilerin Rafeni Tarafından İşlenmesi
I. Rafeni Tarafından İşlenen Kişisel Verilerin Kategorizasyonu
II. Kişisel Verilerin Rafeni Tarafından İşlenme Amaçları
III. Kişisel Verilerin Aktarılması ve Veri Aktarımı Gerçekleştirilen Tarafların Kategorizasyonu
IV. Kişisel Verilerin İşlenmesi Usulü
V. Kişisel Veri Güvenliği
Bölüm 4. Veri Sahiplerinin Kanun’dan Doğan Hakları
Bölüm 1. Politika’nın Amacı ve Kapsamı
6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun, kişisel verilerin “veri sorumlusu” olarak sınıflandırılan ve kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerce kişisel verilerin işlenmesine ilişkin usul ve esasları ortaya koymaktadır.
Bu Politika, Rafeni'nin Kanun kapsamında bir veri sorumlusu olarak kişisel verilerin işlenmesine ilişkin usul ve esasları ortaya koymak ve Kanun’un 10. maddesi uyarınca ilgili gerçek kişileri aydınlatmak amacıyla hazırlanmıştır.
Bu Politika'nın konusu, Rafeni'nin hizmet sunduğu ve ilişki kurduğu aşağıdaki kişi gruplarına ait kişisel verilerin işlenmesidir:
• Müşteriler, kurumsal müşterilerin hissedarları, yetkilileri ve çalışanları.
• Potansiyel müşteriler, iş ortaklarının ve tedarikçilerin hissedarları, yetkilileri ve çalışanları.
• Çalışan adayları, eskiden çalışanlar, stajyerler ve emekli olan kişiler (Çalışanlara ilişkin detaylı hususlar ayrı bir politika metninde düzenlenmektedir).
• Ziyaretçiler, şirket yetkilileri ve hissedarlar.
• İş ortağı ve tedarikçi adayları ve sair üçüncü kişiler.
Bölüm 2. Kanun’un Genel İlkeleri ve Kapsam Dışı Haller
I. Kişisel Verilerin İşlenmesine ilişkin Genel İlkeler
Kişisel veriler, Kanun ve ilgili diğer mevzuata uygun şekilde aşağıdaki ilkelere bağlı kalınarak işlenmelidir:
• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
II. Kişisel Veri İşleme ve Paylaşım Amaçları
a. Kişisel Verilerin İşlenmesine ilişkin Amaçlar
Rafeni, üyeler ve çocuklarına ilişkin kişisel verileri aşağıdaki amaçlarla işler:
• Üyelerin ve çocuklarının gelişim profillerine uygun oyuncak önerileri sunmak.
• Sipariş ve ürün kullanım talimatlarını sağlamak.
• Blog ve içerik paylaşımları ile kişiselleştirilmiş bilgi sunmak.
• Sistem geliştirme ve iyileştirme, veri analizi yapmak.
• Hizmet kalitesini artırmak.
b. Kişisel Verilerin Paylaşımına ilişkin Amaçlar
Rafeni, üyelerin ve çocukların kişisel verilerini üçüncü kişilerle paylaşmaz; yalnızca dahili analiz ve sistem geliştirme için kullanır. Ancak Kanun’un 8. maddesine uygun olarak açık rıza alınması durumunda veri aktarımı gerçekleştirilebilir.
III. Kanun Kapsamı Dışında Kalan Haller
Kanun’un 28. maddesi uyarınca aşağıdaki durumlarda Kanun uygulanmayacaktır:
• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Bölüm 3. Kişisel Verilerin Rafeni Tarafından İşlenmesi
I. Rafeni Tarafından İşlenen Kişisel Verilerin Kategorizasyonu
Rafeni tarafından işlenen kişisel veri kategorileri şunlardır:
• Üye Kimlik Bilgisi: Ad-soyad, doğum tarihi, TCKN gibi bilgiler.
• İletişim Bilgisi: E-posta, telefon, adres.
• Çocuk Bilgisi: Yaş, gelişim düzeyi, ilgi alanları, anket soruları tüm yanıtlar.
• Sipariş Bilgisi: Sipariş edilen oyuncaklar, ödeme ve teslimat bilgileri.
• Platform Kullanım Bilgisi: Giriş-çıkış tarihleri, tercihler, kullanıcı adı ve şifre.
• Finansal Bilgi: Ödeme bilgileri, fatura ve sipariş kayıtları.
• Görsel ve İşitsel Veri: Kullanıcı veya çocuklara ait fotoğraf, video veya ses kayıtları.
II. Kişisel Verilerin Rafeni Tarafından İşlenme Amaçları
Rafeni, yukarıda kategorize edilen kişisel verileri aşağıdaki amaçlarla işlemektedir:
A. Temel İş Faaliyetlerine Yönelik Amaçlar (Ürün ve Hizmet Odaklı)
• Kişiye özel oyuncak önerileri ve içerik sunumu.
• Sipariş ve ürün teslimat süreçlerinin yürütülmesi.
• Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası.
• Müşteri talep ve/veya şikayetlerinin takibi.
• Ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası.
• Üretim ve/veya operasyon süreçlerinin planlanması ve icrası.
B. Kurumsal Yönetim ve Destek Faaliyetlerine Yönelik Amaçlar (Operasyonel ve Yasal)
• Sistem geliştirme ve hizmet kalitesini artırma.
• Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası.
• Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi.
• Finans ve/veya muhasebe işlerinin takibi.
• Hukuk işlerinin takibi ve sözleşme süreçlerinin takibi.
• İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası.
• Şirket operasyonlarının güvenliğinin temini.
• Ziyaretçi kayıtlarının oluşturulması ve takibi.
• Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi.
III. Kişisel Verilerin Rafeni Tarafından Aktarılması ve Veri Aktarımı Gerçekleştirilen Tarafların Kategorizasyonu
Rafeni, kişisel verileri dahili ekip dışında üçüncü kişilerle paylaşmaz. Kanun’un izin verdiği durumlarda veri aktarımı sadece açık rıza ile yapılır.
IV. Kişisel Verilerin Rafeni Tarafından İşlenmesi Usulü
Rafeni, veri sorumlusu sıfatı ile Kanun’dan doğan yükümlülükleri kapsamında, veri sahiplerinden kişisel verilerini temin etmeden evvel Kanun’un 10. maddesi doğrultusunda veri sahiplerini aydınlatmaktadır. Kanun’da belirtilen şartları karşlamadığı takdirde ise veri sahiplerinden açık rızaları temin edilmekte ve ilgili süreçler bu rıza çerçevesinde sürdürülmektedir.
Kanun kapsamında açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır.
Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. Rafeni, asgari olarak yasal yükümlülüklerinin gerektirdiği süre ile ve her halükârda ilgili zamanaşımı süreleri dolana kadar kişisel verileri saklamaktadır. İşleme amacının ortadan kalkması ile birlikte Rafeni kişisel verileri Kanun’a uygun bir şekilde anonimleştirmekte, silmekte veya yok etmektedir.
V. Kişisel Veri Güvenliği
Rafeni, kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya zarar görmesini engelleyecek makul teknik ve idari önlemleri almaktadır. Bu kapsamda alınan aksiyonlardan bazıları şunlardır:
• İşlenen kişisel verilere uygun yazılımsal ve donanımsal güvenlik önlemlerinin alınması.
• Kanun kapsamında öngörülmüş bulunan denetimlerin gerçekleştirilmesi.
• Şirket içi eğitimler, politika ve prosedürler ile Rafeni ve çalışanların Kanun’a uyumunun sağlanması.
• Şirket içi yetkilendirmeler ile bilgiye erişimin gereklilik esasına dayalı bir şekilde sağlanması ve kayıt altına alınması.
• Tedarikçilerle ilişkilerde kişisel verilerin korunması ve güvenliğinin sağlanması ile ilgili sözleşmesel taahhütlerin alınması.
Bölüm 4. Veri Sahiplerinin Kanun’dan Doğan Hakları
I. Veri Sahiplerinin Hakları
Kanun’un 11. maddesine göre kişisel veri sahipleri aşağıdaki haklara sahiptir:
• Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme.
• Kendisi ile ilgili kişisel veri işlenmişse buna ilişkin bilgi talep etme.
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
• İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme.
• Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
II. Hakların Kullanılması
Veri sahipleri, yukarıda bahsi geçen hakları kullanmak için Başvuru Formu’nu kullanabileceklerdir. Başvurular aşağıdaki yöntemlerle Rafeni’ye iletilebilir:
1. Elden veya Noter Aracılığıyla Islak İmzalı: Formun ıslak imzalı bir kopyasının kimliği tespit edici belgelerle birlikte şu adrese iletilmesi:
o Adres: Kemalöz Mah. Değirmendere Cad. Desan Avşar Evleri B Blok No: 57 B İç Kapı No: 21 Merkez/Uşak
2. Güvenli Elektronik İmza ile Kayıtlı E-Posta: 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza ile imzalanarak kayıtlı elektronik posta gönderimi ile:
o E-posta: info@rafeni.com
3. Kayıtlı E-posta Adresi ile E-posta: Rafeni’ye daha önce bildirilen ve Rafeni sisteminde kayıtlı bulunan elektronik posta adresinden gönderilecek e-mail ile.
Veri sahibi talepleri, Rafeni tarafından azami otuz güniçerisinde değerlendirilmekte ve cevaplanmaktadır. Rafeni, başvuru sahibinin ilgili veri sahibi olup olmadığının değerlendirilmesi amacıyla ek bilgi ve belge talep etme hakkını saklı tutar. Başvurular kural olarak ücretsiz değerlendirilmektedir, ancak Kişisel Verileri Koruma Kurulu tarafından bir ücret belirlenmiş ise bu ücret talep edilebilir