info@openboxotomat.com.tr
0850 201 02 00 
KOÇZER İLETİŞİM SÜRECİ KİŞİSEL VERİLERİNİN İŞLENMESİ AYDINLATMA METNİ
1. AMAÇ VE KAPSAM
Koç Topluluğu Etik İlkeleri ile KoçZer Çalışma İlkeleri’nin bir parçası olan bu KoçZer Kişisel Verilerin Korunması Politikası (“Politika”), KoçZer olarak, kişisel verilerin korunması ve işlenmesi konusunda Mevzuata uyum sağlamak amacıyla yürütülecek uyum faaliyetlerinin çerçevesini belirlemeyi ve koordinasyonu sağlamayı hedeflemektedir. Bu kapsamda amaç, kişisel veri işleme faaliyetlerinin, hukuka uygunluk, dürüstlük ve şeffaflık ilkelerine uygun olarak yürütülmesinin sürdürülmesidir.KoçZer çalışanları ve yöneticileri bu Politika ‘ya uygun hareket etmekle yükümlüdür. İş Ortaklarının da ilgili işlemlere uygulanabilir olduğu ölçüde bu Politikadaki ilke ve esaslara uygun hareket etmesi beklenmektedir.
2. TANIMLAR“Açık Rıza”: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. “Anonim Hale Getirme”: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. “İlgili Kişi” Kişisel verisi işlenen gerçek kişi (müşteriler, ziyaretçiler, çalışanlar ve çalışan adayları vb.).İş Ortakları: Tedarikçi, distribütör, bayi, yetkili servis ve iş ilişkisi içinde bulunulan diğer üçüncü taraflar, şirket nam ve hesabına hareket eden her türlü temsilci, taşeron, danışman, vb. ile bu sayılanların çalışan ve temsilcilerini kapsar “Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. “Kişisel Verilerin İşlenmesi”: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. “Koç Topluluğu”: Koç Holding A.Ş. tarafından doğrudan veya dolaylı olarak, tek başına veya müştereken kontrol edilen şirketlerin tümünü ve Koç Holding A.Ş.’nin konsolide finansal raporunda yer alan iş ortaklıklarını (Joint-Ventures) ifade eder.
“Mevzuat”: 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere, kişisel verilerin korunmasına ilişkin Türkiye’de ve ilgili ülkelerde yürürlükte olan, ilgili mevzuatın tümü. “Özel Nitelikli Kişisel Veri”: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.“VERBİS”: Veri Sorumluları Sicil Bilgi Sistemi.“Veri İşleyen”: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.“Veri Sorumlusu”: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi. “KoçZer” ve/veya “Şirket”: Zer Merkezi Hizmetler ve Ticaret A.Ş.
3. YETKİ VE SORUMLULUKLAR
Tüm KoçZer çalışanları ve yöneticileri bu Politika ‘ya uymakla yükümlüdür. KoçZer, İş Ortaklarının da ilgili taraf ve işleme uygulanabilir olduğu ölçüde, bu Politika ‘ya uyumlu davranmasını bekler ve bunun için gerekli adımları atar. KoçZer Baş Hukuk ve Uyum Müşavirliği, bu Politikanın uygulanmasından sorumlu birimdir. Bu Politika ‘ya, yürürlükteki Mevzuata veya Koç Topluluğu Etik İlkeleri ile KoçZer Çalışma İlkeleri (OR.PL.028) ’ne aykırı olduğu düşünülen herhangi bir eylemden haberdar olunması halinde, KoçZer Hukuk ve Uyum Müşavirliği ile iletişime geçilebilir. Sorular veya tereddüt ettiğiniz konularla ilgili lütfen yukarıda sayılan departman veya kişiler ile iletişime geçiniz. Alternatif bir yöntem olarak, etik ihlaller ile ilgili tüm bildirimleri, “koc.com.tr/ihbarbildirim veya https://www.koczer.com/etik-hatti” linki üzerinden yapılabilir.İşbu Politikanın ihlali, işten çıkarılma dâhil olmak üzere önemli disiplin cezalarına neden olabilir. Bu Politikanın üçüncü taraflar tarafından ihlal edilmesi halinde ise, söz konusu taraflar ile KoçZer arasındaki hukuki ilişki derhal sonlandırılabilecektir.KoçZer Kişisel Verilerin Korunması Politikası’nın güncellenmesinden KoçZer Baş Hukuk ve Uyum Müşavirliği sorumludur.
4. GENEL İLKELER
Bu Politikanın ihlali, KoçZer yöneticileri, çalışanları için hukuki, idari ve faaliyet gösterilen bölgedeki Mevzuata bağlı olarak cezai yaptırımlar da dâhil olmak üzere ağır sonuçlar doğurabilecek ve en önemlisi KoçZer ve Koç Topluluğu’nun itibarının ciddi bir şekilde zarar görmesine sebep olabilecektir. KoçZer bakımından öncelikle önem arz eden hususlardan biri, kişisel verilerin işlenmesinde Mevzuata ve Mevzuatta öngörülen genel ilkelere uygun davranılmasıdır. Bu kapsamda, ilgililerin Mevzuata uygun olarak kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket etmeleri beklenmektedir.KoçZer, faaliyetleri kapsamında yürüttüğü kişisel verileri işleme süreçlerini KoçZer Kişisel Verilerin İşlenmesi ve Korunması Politikasına 1 uygun şekilde gerçekleştirmektedir.
4.1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde BulunmaKişisel verilerin işlenmesi konusunda Mevzuata uyumlu olarak genel güven ve dürüstlük kuralına uygun hareket edilmelidir. Bu çerçevede, kişisel veriler, genel hukuk prensiplerine, iyi niyete ve genel ahlaka uygun olarak, iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmelidir.
4.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlamaİlgili kişilerin temel hakları dikkate alınarak işlenen kişisel verilerin doğru ve güncel olması sağlanmalı; bu doğrultuda gerekli tedbirlerin alınarak bunları sağlamaya yönelik sistemler kurulmalıdır.
4.3. Belirli, Açık ve Meşru Amaçlarla İşlemeKişisel veriler meşru ve hukuka uygun sebeplerle işlenmelidir. KoçZer, kişisel verileri yürütmekte olduğu faaliyetlerle bağlantılı olarak ve gerekli olduğu ölçüde işlemelidir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan belirlenmelidir.
4.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü OlmaKişisel veriler belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlenmeli ve amacın gerçekleştirilmesi için ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmalıdır.
4.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza EtmeKişisel veriler yalnızca ilgili Mevzuatta öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar muhafaza edilmelidir. Bu kapsamda, öncelikle ilgili Mevzuatta kişisel verilerin saklanması için belirli bir süre öngörülüp öngörülmediği tespit edilmeli, herhangi bir süre belirlenmişse bu süreye uygun davranılmalı, süre belirlenmemişse kişisel verileri işleme amacının gerçekleşmesi için gerekli olan süre kadar saklanmalıdır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. Gelecekte kullanma ihtimali ile kişisel veriler saklanmamalıdır.
5. POLİTİKANIN UYGULANMASI
5.1. KİŞİSEL VERİLERİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK İŞLENMESİ
5.1.1. Kişisel Veri İşleme Faaliyetlerinin Mevzuatta Belirlenen Kişisel Veri İşleme Şartlarına Dayalı Olarak Yürütülmesi
Kişisel veriler kural olarak, Mevzuatta belirlenen şartlardan en az birine uygun olarak işlenmelidir. KoçZer iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetlerinin bu şartlardan en az birine dayalı olarak yürütülüp yürütülmediği tespit edilmeli, bu şartı sağlamayan kişisel veri işleme faaliyetleri süreçlerde yer almamalıdır.
5.1.2. Özel Nitelikli Kişisel Veri İşleme Faaliyetlerinin Mevzuatta Belirlenen Özel Nitelikli Kişisel Veri İşleme Şartlarına Dayalı Olarak Yürütülmesi
Özel nitelikteki kişisel veriler kural olarak, Mevzuatta belirlenen şartlara uygun olarakişlenmelidir. KoçZer iş birimlerinin yürütmekte olduğu özel nitelikli kişisel veri işlemefaaliyetlerinin bu şartlara uygun hareket edildiğinden emin olunmalı, özel nitelikli kişiselverilerin işlenmesine ilişkin alınması gereken idari ve teknik tedbirler ile aşağıdaki şartlarınvarlığı temin edilmelidir:(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkçaöngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça birhüküm olması halinde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Aksi haldeilgili kişinin açık rızası alınmalıdır.(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığınınkorunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklamayükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rızaaranmaksızın işlenebilecektir. Aksi halde ilgili kişinin açık rızası alınmalıdır.Özel nitelikli kişisel verilerin işlenmesi, yurtiçinde ve yurtdışına üçüncü kişilere aktarılmasıkonusunda Mevzuatta öngörülen düzenlemeler dikkate alınarak özel nitelikteki kişisel veriişleme faaliyetleri yerine getirilmeli; yukarıda belirtilen hususların yanında bu durumlardaMevzuatın aradığı özel gereklilikler de yerine getirilerek kişisel veri işleme faaliyetlerigerçekleştirilmelidir.
5.2. KİŞİSEL VERİLERİN AKTARIMINDA UYULMASI GEREKENLER
İlgili kişinin kişisel verileri, kişisel veri işleme amaçlarına ve hukuki sebeplere uygun olarak vegerekli güvenlik önlemlerini alarak üçüncü kişilere aktarılmalıdır. Bu doğrultuda Mevzuattaöngörülen şartlara uygun hareket etmeye yönelik gerekli süreçler tasarlanmalıdır.
5.3. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN YÜKÜMLÜLÜKLER
5.3.1. VERBİS’e Kaydolma YükümlülüğüMevzuatta belirlenen kriterlere göre VERBİS’e kayıt yükümlülüğü olan KoçZer, Veri Sorumlusuolarak VERBİS’e kaydolmuştur. Kayıtlı bilgilerde değişiklik olması halinde değişikliğin meydanageldiği tarihten itibaren yedi gün içerisinde bilgiler VERBİS’de güncellenmelidir.KoçZer tarafından VERBİS’de gerçekleştirilen güncellemeler hakkında yılda iki kez 6 aylıkperiyodlarla (Haziran-Aralık) şirketin uyumdan sorumlu departmanı olan Baş Hukuk veUyum Müşavirliği’ne bilgi verilmeli ve Koç Holding Hukuk ve Uyum Müşavirliği’ne raporiletilmelidir.
5.3.2. İlgili Kişileri Aydınlatma Yükümlülüğü
Kişisel verilerin elde edilmesi sırasında, ilgili kişiler, Mevzuata uygun olarak aydınlatılmalıdır. Bu kapsamda, KoçZer tarafından aydınlatma yükümlülüğünün yerine getirilmesine yönelik olarak kişisel veri toplama kanalları tespit edilmeli; bu toplama faaliyetleri özelinde Mevzuattaaranan kapsam ve şartları haiz aydınlatma metinleri ile ilgili kişiler aydınlatılmalı; buna uygunsüreçler tasarlanmalıdır.KoçZer tarafından kişisel veri toplama kanalları bir liste halinde güncel bir şekilde tutulmalı veyılda iki kez 6 aylık periyodlarla (Haziran-Aralık) şirketin uyumdan sorumlu departmanı olanHukuk ve Uyum Müşavirliği ile ve Koç Holding Hukuk ve Uyum Müşavirliği ile paylaşılmalıdır.
5.3.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
KoçZer, bünyesinde veri güvenliğinin her açıdan sağlanmasının teşkil ettiği önemin bilinciyle,işlenen kişisel verilerin hukuka aykırı olarak işlenmesini veya bunlara erişilmesini önlemek veverilerin hukuka uygun şekilde muhafazasını sağlamak için uygun ve gerekli teknik ve idaritedbirler alınmalı, bu kapsamda gerekli denetimler şirket tarafından yapılmalı ve/veya üçüncübir tarafa yaptırılmalıdır. KoçZer tarafından tedbirler kapsamında çalışanlara Mevzuata ilişkin eğitimler verilmelidir. Bukapsamda gerçekleşen eğitimlere ilişkin olarak şirket tarafından şirketin uyumdan sorumludepartmanı olan Baş Hukuk ve Uyum Müşavirliği ile Koç Holding Hukuk ve Uyum Müşavirliği’nebilgi verilmelidir.
5.3.4. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin DenetimiAlınan teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleriyapmaya ve yaptırmaya yönelik sistemler kurgulanmalıdır. Bu denetim sonuçları KoçZer Baş Hukuk ve Uyum Müşavirliği’ne raporlanmalı ve alınan tedbirlerin iyileştirilmesi için gereklifaaliyetler yürütülmelidir. Ayrıca her yıl şirket tarafından hazırlanan denetim raporu ve alınan tedbirler, Koç Holding Hukuk ve Uyum Müşavirliği ile paylaşılmalıdır.
5.3.5. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde budurum en kısa sürede ilgili kişiye ve Mevzuata uygun olarak ilgili otoritelere bildirilmelidir. Bu kapsamda, şirket içerisinde uyumdan sorumlu departman olarak Baş Hukuk ve UyumMüşavirliği’nin yer alacağı gerekli içyapı oluşturulmalıdır. Ayrıca bu gibi durumlarda derhal Koç Holding Hukuk ve Uyum Müşavirliği’ne bilgi verilmelidir.Bu kapsamda alınması gereken aksiyonlar KoçZer Veri İhlali Yönetimi ve Müdahale PlanıPolitikasında düzenlenmiştir.
5.3.6. İlgili Kişiyi Bilgilendirme Yükümlülüğü
İlgili kişilerin, gerek duydukları hallerde veri sorumlularına başvuruda bulunarak kişiselverilerine ilişkin bilgi talebinde bulunma hakları vardır.Bu kapsamda, ilgili kişilerin haklarının değerlendirilmesi ve ilgili kişilere gerekenbilgilendirmenin yapılması için Mevzuata uygun olarak gerekli başvuru kanallarınıntasarlanması, başvuruların değerlendirilmesi, Mevzuatta öngörülen sürelerde başvurularıncevaplandırılması hususlarında gerekli prosedür ve süreçler şirket içerisinde oluşturulmalı veuygulanmalıdır.İlgili kişilerin haklarına ilişkin taleplerini şirkete iletmesi durumunda, ilgili talep en kısa süredeve en geç otuz gün içinde sonuçlandırılmalıdır.İlgili başvuru sonuçlandırılırken, kişinin anlayabileceği bir dil ve formatta bilgi verilmelidir.İlgili kişinin, başvurusunun reddedilmesi, verilen cevabın yetersiz bulması veya süresindebaşvuruya cevap verilmemesi hallerinde ilgili otoriteye şikâyet hakkı bulunduğu konusundaşirket içinde gerekli uyarılar yapılmalı ve farkındalık sağlanmalıdır.KoçZer tarafından ilgili kişi başvuruları ve cevaplama süreci bir liste halinde tutulmalı ve yılda iki kez 6 aylık periyodlarla (Haziran-Aralık) KoçZer Baş Hukuk ve Uyum Müşavirliği’ne iletilmelive Koç Holding Hukuk ve Uyum Müşavirliği ile paylaşılmalıdır. Ayrıca ilgili otoritelerden şirketegelen her türlü bilgi ve belge talebi ve bu otoritelere KoçZer tarafından yapılacak her türlübaşvuru hakkında işlem yapılmadan önce KoçZer Baş Hukuk ve Uyum Müşavirliği ile KoçHolding Hukuk ve Uyum Müşavirliği’nin görüşü alınmalıdır.