CARİBOU KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI


Kişisel Verilerin Korunması Politikası

1. POLİTİKA'NIN HAZIRLANMA AMACI

Şirketimiz tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili diğer mevzuat kapsamında elde edilen kişisel verilerin gizliliği ve güvenliğinin öneminin farkındalığıyla, KVKK'nda tanımlanan veri sorumlusu sıfatıyla ilgili mevzuata uyum için gerekliliklerin layıkıyla yerine getirilmesini ve uluslararası standartlarda bir veri koruma ve işleme politikası oluşturulmasını hedeflemektedir.

Şirketimiz Kişisel Verilerin Korunması Politikası ("Politika") ile Şirketimiz tarafından kişisel verilerin korunması ve işlenmesinde benimsenen hukuka uygunluk, dürüstlük ve açıklık ilkeleri doğrultusunda ortaya konulmaktadır. Politika 'da ayrıca, Şirketimiz 'in kişisel verileri hangi amaçlarla işlediği, kişisel veri toplama yöntemi, hukuki sebebi ve amacı, verilerin kimlere hangi amaçlarla aktarılabileceği ile ilgililerin hakları ve başvuru yolları hakkında bilgi verilmektedir.


2. TANIMLAR

Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Aydınlatma Metni : Kişisel verinin hangi amaçla ne kadar süre saklanacağı, hangi yöntemle toplandığı, nasıl muhafaza edildiği ve 3. kişilerle paylaşılıp paylaşılmayacağı hususlarında ilgili kişiye yapılan açıklama

Başkanlık : Kişisel Verilerin Korunması Kurumu Başkanlığı

Envanter : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

İlgili Kişi : Kişisel verisi işlenen gerçek kişi

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun/KVKK : Kişisel Verilerin Korunması Kanunu

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, banka hesap numarası vb. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi KVKK kapsamında değildir.

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kurul : Kişisel Verilerin Korunması Kurulu

Kurum : Kişisel Verilerin Korunması Kurumu

Özel Nitelikli Hassas Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler

VERBIS : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri Sorumluları Sicili : Başkanlık tarafından tutulan Veri Sorumluları Sicili

Veri Sorumlusu İrtibat Kişisi : Türkiye'de yerleşik olan tüzel kişiler ile Türkiye'de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi

Silme : Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Yok Etme : Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi


3. KİŞİSEL VERİLERİN İŞLENMESİNDE TEMEL İLKELER

Şirketimiz, kişisel verilerin korunması ve işlenmesiyle ilgili olarak mevzuatta yer verilen genel ilkeler ile şartları karşılar ve kişisel verilerin Anayasa'ya ve KVKK'na uygun olarak işlenmesini sağlamak amacıyla aşağıda sıralanan ilkelere uygun hareket eder.

3.1. Kişisel Verilerin İşlenmesinin Kural Olarak Yasak Olması

Şirketimiz, kişisel verilerin işlenmesinin kural olarak yasak olduğunun bilinciyle yalnızca mevzuat tarafından öngörülen sınırlar dâhilinde, aşağıdaki sebeplere dayanarak işlemektedir:

a. Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Veri, sahibinin açık rızası kapsamında ve açık rızada belirtilen amaçlarla işlenir. Kural olarak, aşağıdaki diğer şartların varlığı halinde veri sahibinin ayrıca açık rızasının alınmasına gerek bulunmamaktadır.

b. Kanunlarda Açıkça Öngörülmesi

Kanunda açıkça öngörülmesi halinde, veri sahibinin kişisel verileri, hukuka uygun olarak işlenir. Kanunlarda veri işlemeye izin verilen hallerde, ilgili kanunda yer alan sebep ve veri kategorileri ile sınırlı olarak veri işlenir.

c. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilir.

d. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde (sözleşmenin kurulması veya ifasına dayalı olarak verisi işlenecek kişinin sözleşmenin taraflarından birisi olması koşuluyla) kişisel veriler işlenebilir.

e. Hukuki Yükümlülüğün Yerine Getirilmesi

Şirketimiz'ın hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması hallerinde, veri sahibinin kişisel verilerini işleyebilir.

f. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin kişisel verisinin, kendisi tarafından alenileştirilmiş olması halinde, alenileştirme amacı ile sınırlı olarak, ilgili kişisel veriler işlenebilir.

g. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

h. Meşru Menfaatler Nedeniyle Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimiz'ın meşru menfaatleri için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilir.

İşlenen verilerin KVKK'da tanımlandığı şekilde özel nitelikli kişisel veri olması halinde; kişisel veri sahibinin açık rızası da yok ise, kişisel veri ancak Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla, aşağıdaki durumlarda işlenebilir:

3.2. Hukuka Ve Dürüstlük Kuralına Uygunluk

Şirketimiz, KVKK'nın 4.maddesi uyarınca kişisel verileri hukuka ve dürüstlük kuralına uygun olarak işler, "haklı menfaat" gözeterek çatışan menfaatleri dengelemeyi amaçlar. Bilgilendirmede, açıklık ve dürüstlük esas alınır, toplanan kişisel verilerin kullanım amacı hakkında net bilgi verilir ve veriler bu çerçevede işlenir.

3.3. Amaca Bağlılık, Sınırlı olma ve Ölçülülük

Şirketimiz, ilgili kişinin verilerini açık rızası doğrultusunda hangi amaçlar için işleyeceğini belirler. Bu kapsamda ölçülü olarak işleme amacı ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verileri işlemekten kaçınır, veri işleme faaliyetleri esnasında gerekli olan veri asgari seviyede toplanır.

3.4. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması

Şirketimiz, işlediği kişisel verilerin doğru olmasını sağlar, bunun için ilgili kişinin beyanlarına itibar eder ve gerektiğinde güncelliğine ilişkin teyit alır.

3.5. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi

Şirketimiz, kişisel verileri meşru ve hukuka uygun sebeplerle toplar ve işler. Şirketimiz, kişisel verileri, yürütmekte oldukları faaliyetlerle bağlantılı olarak, makul çerçevede ve gerekli olduğu ölçüde işler ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder.

3.6. Veri Emniyeti İlkesi

Şirketimiz, teknolojinin gelişme hızının farkındalığıyla verilerinizin güvenliğinin sadece hukuki yöntemlerle sınırlı olmadığının ve teknoloji destekli yolların da esas alınmasının öneminin bilincindedir. Bu bağlamda veri emniyetini sağlamak için gereken tüm önlemleri almaya çalışır.


4. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ

- Şirketimizin ticari faaliyetini sürdürmesi amacıyla yaptığı her türlü ticari işlem, görüşme ve sözleşmenin ifası esnasında gerçek kişilere ve tüzel kişilerin hissedarlarına, yönetim kurulu üyelerine, temsilcilerine, imza yetkililerine, çalışanlarına ilişkin kişisel verilerin elde edilmesi,

- Şirketimizin istihdam ihtiyacını karşılamak amacıyla çalışan adayları ile yapılan görüşmeler esnasında elde edilen genel ve özel nitelikli kişisel verilerin elde edilmesi,

- Çalışan ile iş sözleşmesinin imzalanması ve iş sözleşmesinin ifası esnasında genel ve özel nitelikli kişisel verilerin elde edilmesi,

- Bayilik ve yetkili servislik yetkisi vermek amacıyla yapmış olduğumuz görüşmeler aracılığıyla,

- Güvenli giriş çıkışın sağlanması amacıyla güvenlik kamerası kayıtları ve ziyaretçi formunun doldurulması suretiyle,

- Ürün ve hizmetlerimizden yararlanmak amacıyla, Şirketimizin, ofis binalarının, şubelerinin, bayilerinin, mağaza ve merkezlerinin fiziken ziyaret edilmesi, internet sayfaları ve/veya sair sosyal ve dijital mecraların ziyaret edilmesi suretiyle,

- Garanti ve yetkili servis, yedek parça değişim hizmetleri amacıyla çağrı merkezimizle yapılan görüşmeler suretiyle,

- Şirketimizin düzenlediği etkinlik, seminer, organizasyon, eğitim gibi faaliyetlere katılım suretiyle de kişisel verileriniz işlenebilecektir.

Kişisel veriler otomatik ya da otomatik olmayan yöntemlerle benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilmektedir. Toplanan kişisel verileriniz size daha iyi hizmet verebilmek amacıyla KVKK'nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında işlenebilecek ve aktarılabilecektir.

4.1. KİŞİSEL VERİLERİN TİPLERİ, TOPLANMASI VE İŞLENME AMAÇLARI

4.1.1. ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİ

İstihdam amacıyla Aday'la yapmış olduğumuz görüşmeler kapsamında ilgili mevzuata uygun olarak elde edilen ad soyad, nüfus cüzdanı ve/veya ehliyet suretleri, doğum yeri ve tarih bilgisi, adres, telefon numarası, e-posta adresi, fotoğraf, bina giriş çıkış kayıtları, güvenlik kamerası kayıtları(CCTV), özgeçmiş, mülakat notları, diploma ve benzeri belgeler, adli sicil bilgisi ve/veya belgesi, Aday'ın paylaştığı ve/veya izinli referanslardan elde edilen bilgi ve belgeler, iş bulmaya aracılık eden şirketlerle yapılan sözleşmeler kapsamında Aday tarafından bu şirketlerle paylaşılan bilgiler, geçmiş performans değerlendirme bilgileri, fiziksel ve ruhsal özelliklerine ilişkin bilgiler, adayın işe uygunluğunun anlaşılması amacı ile, sağlık raporları ve mülakat esnasında öğrenilen kişisel sağlık verileri, aday tarafından sunulan her türlü kişisel veri, bunlarla sınırlı olmamak kaydıyla kişisel veri tanımına giren her türlü veri aşağıdaki koşullar ve kapsamda Şirketimiz tarafından işlenmektedir.

Bu kişisel veriler; Şirketimiz tarafından açık pozisyon için özgeçmişlerin toplanması ve uygun adaylarla görüşme organizasyonu, iş sözleşmesinin kurulabilmesi için yetkinlik değerlendirme yöntemleri ile mülakat, sınav gibi iş görüşmesi, aday değerlendirme ve iş teklif mektubunun gönderilmesi süreçlerinde işlenmektedir. Görüşülen pozisyonuna Aday'ın farklı bir iş tanımı için uygun olması ve/veya gelecekte uygun iş tanımları için değerlendirilebilmesi için Şirketimiz nezdinde tutulmakta olan özgeçmiş bankasında sadece şirketimizin veya grup şirketlerinin işgücü ve istihdam ihtiyacında kullanılmak üzere İnsan Kaynakları Departmanı tarafından bu Aday tarafından kabul edilmesi koşulu ile özgeçmişler 2 yıl süre ile kayıt altında tutulmaktadır.

Aday'ın işe uygunluğunun anlaşılması amacı ile kişisel sağlık verilerinin mülakat esnasında öğrenilmesi söz konusu olabilmektedir. Aday'ın özgeçmişinde bu hususların yer alması ve/veya kendisi tarafından paylaşılması halinde bu hususlar mülakat formuna işlenmektedir.

Bahsi geçen tüm bu hususlar; KVKK'nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında işlenecektir.

Adayın işe uygun olup olmadığının tespiti amacıyla elde edilen; kişisel sağlık verileri, adli sicil bilgileri, fiziksel ve ruhsal özellikleri, CV ve nüfus cüzdanında bulunan fotoğraf ve din bilgisi özel nitelikli kişisel verilerdir.

Kişisel sağlık verileri; adayın iş tanımına uygun olarak iş sözleşmesinin ifasını yerine getirmesine engel olabilecek bir husus olup olmadığını, diğer iş arkadaşlarını veya müşterileri tehlikeye sokacak bulaşıcı hastalıkların mevcut olup olmadığını ve işe başlama anında veya sonrasında çalışma kabiliyetini ortadan kaldırabilecek bedensel veya ruhsal bir engel olup olmadığını tespit edebilmek amacıyla gerekli olduğu ölçüde işlenmekte ve bu kapsamda aday tarafından açık rıza verilmesi halinde saklanmaktadır.

4.2. ÇALIŞANLARIN KİŞİSEL VERİLERİ BAKIMINDAN

İş sözleşmesinin kurulması aşaması da dahil olmak üzere yapılan görüşmelerde ve iş sözleşmesinin kuruluşunun mütekaip Şirket ile Çalışan'ın paylaşmış olduğu ve ilgili mevzuattan kaynaklanan gerekliliklerin yerine getirilmesi amacıyla Çalışan'dan ve ilgili mercilerden edinilmiş olan ad soyad, nüfus cüzdanı ve/veya ehliyet suretleri, doğum yeri ve tarih bilgisi, adres, telefon numarası, e-posta adresi, özgeçmiş, mülakat notları, diploma ve benzeri belgeler, adli sicil belgesi, bedensel ve ruhsal özelliklerine ilişkin bilgiler, kişisel sağlık verileri, yurt dışı seyahat organizasyonlarında pasaport örneği, banka ve kredi kartı hesap bilgileri, fotoğraf, güvenlik kamerası kayıtları(CCTV), performans değerlendirme formları, aile üyelerinin ad-soyadı, yaşı, gelir durumu bunlarla sınırlı olmamak kaydıyla, kişisel veri tanımına giren her türlü veri aşağıdaki koşullar ve kapsamda Şirketimiz tarafından işlenmektedir.

İşbu kişisel veriler;

a) İşe giriş, personel özlük dosyası oluşturma, işten çıkış kayıtlarının yapılması,

b) İç terfi sistemini çalıştırmak, çalışanlara kariyer planlaması yapmak, çalışan aidiyetini arttırmak, yönetici ihtiyacını karşılamak, terfi duyurularının kayıt altına alınması ve diğer çalışanlarla paylaşılması, özel sağlık sigortası ve Bireysel Emeklilik Sigortası gibi yan hakların yönetimi,

c) Yasal zorunluluk nedeniyle yapılması gereken Zorunlu Bireysel Emeklilik Sigortası, Asgari Geçim İndirimi işlemleri, bordrolama, maaş, avans ve benzeri ücret ödemelerinin yapılması,

d) Yetenek yönetiminin kategorize edilmesi, performans puanlarının ihtiyaç halinde kullanılması, ücret çalışmalarının raporlanması, ödül ve ceza evraklarının özlük dosyasında saklanması, organizasyonlara katılacak personel için gerekli izinlerin alınması, bilgilendirmelerin ve organizasyonun yapılması,

e) İş güvenliği ve Çalışan sağlığı konularında yasal gereksinimleri karşılamak,

f) İletişim ve operasyon takibi, hesap bilgilerinin tanımlanması, eğitim durumunun takibi, fatura aşımlarının kontrol edilmesi,

g) Mesleki ve Teknik eğitimlere katılım bilgileri, sınav notu ve benzeri dokümantasyonun özlük dosyasında saklanması,

h) Barista Şampiyonası katılımcıları ve eleme listelerinin belirlenmesi, organizasyon oluşturma ve karşı tarafı bilgilendirme,

i) Araç tahsis edilmesi(pc, telefon, araba vb.), ulaşım giderlerinin takibi ve raporlanması, etkinliklerde ulaşım araçlarının ve konaklama süreçlerinin yönetimi, yurtdışı çıkış işlemleri, vize başvuruları, gelen giden kargo takibi, kontrol ve tedbir, istatistik, bilgi güvenliğinin sağlanması,

j) Toplantı düzeninin tarih ve saat açısından kontrolü,

k) IT güvenliğini sağlamak amacıyla problem giderme ve yetki tanımlama/sınırlandırma, internet erişimi sağlamak,

l) Biyometrik(parmak izi ve benzeri) verilerle işyerine güvenli giriş çıkışın sağlanması,

m) Sair yasal zorunluluklar nedeniyle.

amaçlarıyla işlenmektedir.

4.3 TEDARİKÇİ VE İŞ ORTAĞI

Şirketimizle sözleşmenin kurulması, imzalanması ve ifası amacıyla yapılmış olan görüşmeler, toplantılar, ziyaretler ve sözleşmenin imzası sonrasında paylaşılan kişisel veriler şirketimizce işlenmektedir. Sözleşmenin kurulması ve/veya ifası aşamasında, taraf sıfatı ile Şirketiniz hissedarlarına, imza yetkililerine, çalışanlarına, tedarikçilerinize, danışmanlarınıza, avukatlarınıza, muhsabecinize ve bunlarla sınırlı olmamak kaydıyla sözleşmenin kurulması ve ifası kapsamında tarafınızca paylaşılacak herhangi bir gerçek kişiye ait temin edilmesi muhtemel, ad soyad, nüfus cüzdanı ve/veya ehliyet suretleri, doğum yeri ve tarih bilgisi, adres, telefon numarası, e-posta adresi, banka ve kredi kartı hesap bilgileri, özgeçmiş, fotoğraf, güvenlik kamerası kayıtları(CCTV), çağrı merkezi tarafından yapılan ses kaydı, ziyaretçi defterine geçen kayıt ve bilgiler ve bunlarla sınırlı olmamak kaydıyla kişisel veri tanımına giren her türlü veri aşağıdaki koşullar ve kapsamında Şirketimiz tarafından işlenmektedir. İşlenme; KVKK'nın 3. maddesinde kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması işlemleri olarak tanımlanmıştır.

İşbu kişisel veriler,

a) Şirketimizin ticari olarak ve faaliyet alanlarında ihtiyaç duyduğu hizmetlerin alınması için görüşmeler yapılması, projeler hazırlanması, teklifler alınması, yetkililerle iletişimin sağlanması,

b) Şirketimizin faaliyet konularında ürün, yedek parça ve benzeri aksamın satın alınması amacıyla teklif toplama, satın alma işlemleri, sözleşmenin kurulması ve sözleşmesel taahhütlerin yerine getirilmesi,

c) Ödemelerin yapılabilmesi için, cari hesap ve tedarikçi kayıtlarının oluşturulması ve ilgili sistemlere kayıtların girilmesi,

d) Hesap mutabakatı ve ödemelerin yapılabilmesi için sebebiyle yazılı sözlü iletişim kurmak,

e) Güvenliğin sağlanabilmesi için bina, depo, tesis vb. giriş çıkış kayıtlarının ve kamera kayıtlarının tutulması,

f) Asıl işveren sıfatıyla adli sicil bilgisi ve kişisel sağlık verileri de dahil olmak üzere özlük dosyasının tutulması, iş sağlığı ve güvenliği gibi kanundan doğan tüm yükümlülüklerin yerine getirilmesi amacıyla,

g) Finansal raporların hazırlanması,

h) Adli ve idari makamlarca talep edilmesi halinde bilgi vermek,

i) Sair her türlü yasal zorunlulukları yerine getirmek.

Amaçlarıyla işlenmektedir.

4.4. MÜŞTERİLERİN KİŞİSEL VERİLERİ

Şirketimiz tarafından sunulan hizmet ve ürünlere ilişkin sosyal medya hesaplarımız, web sitemiz ve info maili aracılığıyla yapılan başvuru, öneri ve şikayetler için tarafımızla iletişime geçen nihai tüketicilerin kişisel verileri şirketimizce işlenmektedir. Nihai tüketiciye ait temin edilmesi muhtemel, ad soyad, adres, telefon numarası, e-posta adresi, sosyal medya hesapları, fotoğraf, yaş ve bunlarla sınırlı olmamak kaydıyla kişisel veri tanımına giren her türlü veri aşağıdaki koşullar ve kapsamında Şirketimiz tarafından işlenmektedir.

İşbu kişisel veriler,

a) Caribou tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi,

b) Müşteri soru ve taleplerine cevap verebilmek, gerektiğinde Müşteriyle iletişime geçebilmek,

c) Müşteri başvuru, öneri ve şikayetlerini değerlendirmek, gerektiğinde Müşteriye geri bildirim sağlamak,

d) Tarafınıza sağlanan hizmetlere ilişkin işlem ve işlerin yürütümü, hizmet kalitesi vb hususların takibi,

e) Finansal ve muhasebesel kayıtların tutulması,

f) İlgili Kamu Kurum ve Kuruluşları, Noterlik, Mahkeme ve Savcılıklar'a bildirim zorunluluğu ve Caribou'nun hukuken haklarını korumak amacıyla her türlü yasal merci nezdinde yükümlülüklerin yerine getirilmesi,

g) Sair her türlü yasal zorunlulukları yerine getirmek,

Amaçlarıyla işlenmektedir.


5. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel verileriniz, Şirketimiz'in ticari olarak varlığını sürdürebilmesi ve yukarıda belirtilen amaçların gerçekleştirilmesi amacıyla KVKK'nın 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde;

1. Grup şirketlerimiz ve iştiraklerimize, hissedarlarımıza ve yönetim kurulu üyelerimize, şirket yetkililerimize,

2. Şirketimizin bağımsız denetçilerine, mali müşavirlerine, tedarikçilerine, danışmanlarına, avukatlarına, çalıştığımız bankalara, sigorta şirketlerine, işyeri hekimine, iş sağlığı ve güvenliği şirketlerine, bu bahsi geçen tarafların yetkili çalışanlarına,

3. Adli ve idari makamlara, hukuken yetkili kamu ve özel kurum ve kuruluşlarına,

4. Yurtdışındaki şirketimiz yetkilileri ve hissedarlarına,

5. Yurtdışında ve Yurtiçinde Şirketimiz iş ortakları'na, kampanya, etkinlik ve organizasyon yetkililerine,

aktarılabilecektir.


6.KİŞİSEL VERİLERİN DOĞRU VE GÜNCEL TUTULMASI

KVKK'nın 4.maddesi uyarınca; Veri Sorumlularının kişisel verileri doğru ve güncel olarak tutulması yükümlülüğü gereği; İlgili Kişi, Şirketimizle paylaştığı kişisel verilerinin doğru olduğunu ve değişiklik olması halinde güncellemeyi taahhüt eder ve güncel kişisel verilerin Şirketimize bildirilmemesinden kaynaklı olarak herhangi bir hak talep etmeyeceğini kabul ve beyan eder. İlgili kişi, verilerinin doğru ve gerektiği takdirde güncel olmasını sağlamak amacıyla Şirketimiz tarafından belirli periyotlarda kendisiyle, iletişime geçilmesini kabul ettiğini beyan eder.


7. KİŞİSEL VERİ SAHİBİNİN HAKLARI

KVKK'nın 11. Maddesi kapsamında herkes veri sorumlusu sıfayı ile Şirketimiz'e aşağıdaki hususlarda başvurma hakkına sahiptir:

1. Kişisel veri işlenip işlenmediğini öğrenme,

2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

6. 6698 sayılı KVKK'nın 7. maddesi uyarınca, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

7. KVKK'nın 5. ve 6. Maddeler kapsamında bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

8. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMA YÖNTEMİ

Kişisel veri sahibi "İlgili Kişi", işbu Politikanın 7. Maddesinde haklarını ve taleplerini Şirketimiz'e bildirebilecektir. Bu kapsamda ilgili kişi 6698 Sayılı KVKK madde 11 uyarınca sahip olduğu diğer tüm haklarını kullanmak amacıyla http://www.cariboucoffee.com.tr/ adresinde yer alan başvuru formu kullanılarak,

- Başvuru sahibinin şahsen başvurusu ile,

- İmza beyannamesi eklenerek posta yoluyla,

- Noter vasıtasıyla,

- Başvuru sahibinin adına tanımlı güvenli elektronik imza ile imzalanarak 0216 385 62 32 /131 numaralı telefondan edineceği KEP adresine göndererek

kimliğini ve ilgisini ispatlamak suretiyle başvurabilir.


9. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER

KVKK 12. Maddesine uygun olarak Şirketimiz tarafından işlenen kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve kişisel verilerin güvenli şekilde muhafaza edilmesini sağlamak amacıyla gerekli idari ve teknik tedbirleri almakta ve bu kapsamda gerekli denetimleri yapmakta ve/veya yaptırmaktır. Kişisel verinin mahiyetine uygun tedbirler alınmakla birlikte, özel nitelikli kişisel veriler daha sıkı güvenlik tedbirleri ile korunmaktadırlar. Şirketimiz tarafından Erişim Hiyerarşisi Yönergesi düzenlenmiş olup, bu düzenlenmede çalışanlarımıza fiziksel ve elektronik ortamlara erişim koşulları hakkında bilgi verilmiştir.

a. Teknik Tedbirler

- Kişisel verilerin saklandığı fiziksel ortamlar kilit altında tutulmakta bu ortamlara erişim Erişim Hiyerarşisi Yönergesi kapsamında yürütülmektedir.

- Kişisel verilerin saklandığı elektronik ortamlar şifrelenmiş ve bu ortamlara ulaşım Erişim Hiyerarşisi Yönergesi kapsamında yürütülmektedir.

- Veri yedekleme süreçlerini ilerleyen dönemlerde imhası için yedekleme işlemlerinin kayıtları tutulmaktadır.

- Yurt dışındaki Server'larda yer alan kişisel verilerin gerekli güvenlik tedbirleri alınarak korunduğuna dair taahhütler alınmıştır.

- Bilgi Teknolojileri uygulamaları bakımından Şirketimizin uygulamalarında gerekli tedbirler alınmıştır.

- Ücretsiz WiFi hizmetlerinden doğrudan Internet erişimi sağlanmamakta Bunun üzerinden kurum merkezine yapılacak VPN bağlantısı üzerinden Internet'e erişilmemektedir.

- Kurumsal Uygulamalara doğrudan Internet üzerinden değil, VPN üzerinden erişilmektedir.

- Bilgi Teknolojileri bölümünün onayı olmadan kullanıcı sistemlerine uygulama yüklenmemektedir.

- Kullanıcı sistemlerinde, düzenli olarak güncelleme yapılmakta, Anti-virüs sistemleri kullanılmaktadır. Harici ağlardan yapılan bağlantılarda Firewall etkin hale getirilmektedir. Çalışanlara tahsis edilmiş, kişisel bilgisayarların başkasının kullanmasını izin verilmemektedir. Kullanıcı sistemlerine erişim şifre ile gerçekleştirilmektedir.

- Şirketimiz bünyesinde şifre karmaşıklığı için bir politika belirlenmeli ve şifreler için yaşlandırma uygulanmakta ve gerekli durumlarda iki aşamalı şifre girişi uygulanmaktadır.

- Şirketimiz ağına kişisel sistemlerin bağlantısına izin verilmemekte ve donanım adresi bazında erişim denetimi uygulanmaktadır. Misafir erişimi izole bir ağdan gerçekleştirilmekte, ayrı bir Internet bağlantısı tedarik edilmektedir.

- Şirketimiz bünyesindeki kablolu ve kablosuz ağlara, kullanıcı adı ve şifresi bazında erişim denetimi uygulanmakta ve erişim, mesai gün ve saatleri ile sınırlandırılmaktadır.

- Ağa ve ağ üzerindeki kaynaklara erişim kayıt altına alınmakta ve ağ kaynaklarına erişim için yetki seviyeleri belirlenmeli ve taviz verilmeden uygulanmaktadır. Ağ trafiğindeki anormallikler izlenmekte ve olağan dışı trafik desenleri tespit edildiğinde, ihmal edilmeden nedenleri araştırılmaktadır.

- Firewall kuralları düzenli olarak kontrol edilmekte, periyodik zafiyet testleri gerçekleştirilmektedir.

- Güvenlik bültenleri güncel olarak takip edilmekte, gerekli önlemler ivedilikle alınmaktadır.

- Kullanıcılara veri güvenliği için farkındalık eğitimleri verilmektedir.

b. İdari Tedbirler

- Çalışanlara KVKK hakkında farkındalık eğitimi verilmiş olmakla birlikte bu farkındalık eğitimi işe başlayan her çalışan için oryantasyon programı kapsamına alınmıştır.

- Şirketimizin kişisel verilerin korunmasına ve veri güvenliğine ilişkin uygulamalarını içeren aynı zamanda Çalışanları bir farkındalık seviyesine taşımak üzere hazırlanmış olan KVKK Çalışan Bilgilendirme Yönergesi hazırlanarak çalışanların bilgilerine sunulmuştur. Bu doküman ile Kişisel Veri İşleme Envanteri'nin önemi ve güncel tutulması bakımından Çalışan'ların görevleri hatırlatılmakla birlikte iş süreçleri bakımından dikkat edilmesi gereken hususlara da yer verilmiştir.

- Veri İşleyen 3. Kişilerle ve 2. Veri Sorumluları ile aktarılan kişisel verilerin işlenmesine ilişkin ek protokoller imzalanmıştır.

- İşlenme amaçları sona eren kişisel verilerin silinmesine dönük politikalar belirlenmiştir.

- Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Politika hazırlanmış ve uygulamaya alınmıştır.

- Saklama ve İmha Politikası hazırlanmış ve uygulamaya alınmıştır.


10.YÜRÜRLÜK VE UYGULAMA

Politika'nın tamamının veya belirli maddelerinin güncellenmesi durumunda güncellemeler yayımlandıkları tarihte yürürlüğe girer. Politika en güncel hali ile http://www.cariboucoffee.com.tr/ sitesinde yayımlanır.