KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

HOTİÇ AYAKKABI SANAYİ VE TİCARET A.Ş.

KİŞİSEL VERİLERİN

İŞLENMESİ VE KORUNMASI

GENEL POLİTİKASI

1. POLİTİKA’NIN AMACI VE KAPSAMI

İşbu Kişisel Verilerin İşlenmesi ve Korunması Genel Politikasının (“Politika”) amacı, Hotiç Sanayi ve Ticaret A.Ş. (“Şirket”) tarafından, iş süreç ve faaliyetleri kapsamında ve onlara bağlı olarak işlenen kişisel veriler için 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca uyguladığı genel ilke ve esasları belirlemektir.

2. TANIMLAR

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
İlgili Kişi	Kişisel verisi işlenen gerçek kişidir, veri konusu kişidir.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin kavramsal olarak adıdır.
Kanun	6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgilerdir (kimlik, iletişim, finans verileri gibi) - Tüzel kişilere ilişkin bilgiler (örneğin; Şirketin unvanı, ticaret sicili numarası, vergi numarası gibi) Kanun kapsamında değildir.
Kişisel Verilerin İşlenmesi Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemin genel adıdır. Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin Silinmesi	Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kurul	Kişisel Verileri Koruma Kurulu’dur.
Kurum	Kişisel Verileri Koruma Kurumu’dur.
Özel Nitelikli Kişisel Veri Şirket	Kanunun 6. Maddesinin 1. Fıkrasında sayılmış olan ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. İşbu Politikada Hotiç Ayakkabı Sanayi ve Ticaret A.Ş.’dir.
Veri Envanteri	Kişisel verilerin işlendiği faaliyetleri, işleme faaliyetlerinin amaçlarını, veri konusu kişi gruplarını, işlenmekte olan veri türü ve kategorilerini, kişisel verilerin saklanma sürelerini, kişisel veri aktarılan alıcı grupları (yurt içi ve yurt dışı olmak üzere) ile kişisel verilerin aktarımı dahil işlenmesine ilişkin olarak veri güvenliği için alınan teknik ve idari tedbirlerin belirtildiği, Yönetmelik’e göre oluşturulmuş, kişisel veri işleme envanteridir.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi anlamına gelmektedir.
Veri Sorumlusu	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişidir (gerçek veya tüzel kişilerdir). Hotiç Ayakkabı Sanayi ve Ticaret A.Ş. bir veri sorumlusudur.
Yönetmelik	Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’tir.

3. KİŞİSEL VERİLERİN KANUN’UN GENEL İLKELERİNE UYGUN OLARAK İŞLENMESİ

Şirketimiz, Kişisel Verileri işlerken, öncelikle Kanun’un 4. Maddesinde yazılı olan genel ilkelere uygun hareket eder. Bu doğrultuda, Kişisel Verileri sadece;

Hukuka ve dürüstlük kuralına uygun olarak,
Doğru ve gerektiğinde güncelliğini sağlamak için gereken gayret içinde,
Belirli, açık ve meşru amaçları oldukça ve
Bu amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlemektedir.

KİŞİSEL VERİLERİN KANUN’DA BELİRLENEN HUKUKA UYGUNLUK SEBEPLERİNE DAYALI OLARAK İŞLENMESİ

Şirketimiz, Kişisel Verileri, yukarıda bahsi geçen genel ilkelerle uyumlu şekilde, Politikanın aşağıda 6. Bölümünde sayılmış olan işleme faaliyetlerimiz için Kanun’un 5. ve 6. maddelerindeki işleme şartlarına (hukuka uygunluk sebepleri) istinaden işlemektedir.

Buna göre Şirketimiz Kişisel Verileri Kanun’un 5. Maddesi kapsamında;

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık sebebiyle İlgili Kişinin açık rızasının alınamaması,
Sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması kaydıyla,sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri Sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaati için veri işlemenin zorunlu olması işleme şartlarından bir veya birkaçına dayanarak ve
Gereken hallerde İlgili Kişinin Açık Rızasının temin edilmesi suretiyle toplamakta ve işlemektedir.

Bu doğrultuda, Kişisel Veri işleme faaliyetinin dayanağı yukarıda belirtilen şartlardan yalnızca biri olabildiği gibi, birden fazlası da olabilmektedir.

Şirketimiz, Özel Nitelikli Kişisel Verileri ise ancak Kanun’un 6. maddesinde belirtilen işleme şartlarından birinin mevcut olması halinde işler. Buna göre;

İlgili Kişinin Açık Rızasının mevcut olması,
Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesinin kanunlarda öngörülmesi,
Sağlık ve cinsel hayata ilişkin kişisel veriler için ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

5. ŞİRKET TARAFINDAN VERİSİ İŞLENEN KİŞİ GRUPLARI, KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

5.1. Veri Konusu Kişi Grupları ve Kişisel Verilerin Toplanma Yöntemleri

Kişisel verilerini işlemekte olduğumuz veri konusu kişi grupları genellikle; mağaza müşterileri, internet sitesi müşterileri, influencer/blogger gibi gerçek kişi iş ortakları, şahıs firması tedarikçiler, kurumsal müşterilerimizin, iş ortaklarımızın ve tedarikçilerimizin ortak, yönetici ve ilgili çalışanları, çalışanlar, çalışan adayları, internet sitesi ziyaretçileri, mağaza ziyaretçileridir.

Aşağıdaki tablo, söz konusu kişi gruplarını ve onlara ait kişisel verilerin Şirketimiz tarafından hangi yollarla toplandığını genel bir çerçevede göstermektedir.

VERİ KONUSU KİŞİ GRUBU

KİŞİSEL VERİLERİN NEREDEN VE NE ŞEKİLDE TOPLANDIĞI

Çalışan Adayları

Çalışan adaylarına ait Kişisel Veriler sözlü, yazılı veya elektronik ortamda sunulan bilgiler, özgeçmiş ve CV’ler, eğitim ve becerilere ilişkin belge ve kayıtlar, diploma, sertifika ve ruhsatlar gibi belgeler içinde ve vasıtasıyla toplanmaktadır. Bunlarla birlikte, yüz yüze veya telefon görüşmeleri yolu ile sorulan sorulara verilen cevaplardan, işe alım portalları, seçme ve yerleştirme hizmetleri sunucuları ve dahili kaynaklardan iletilen özgeçmişlerden de toplanabilmektedir.

Çalışanlar

Çalışanlarımıza ait kişisel veriler sıklıkla işe giriş esnasında talep edilen belgeler, Şirketimize özel formlar vasıtasıyla, yüz yüze yapılan görüşmelerde veya telefon, e-posta veya sair dijital iletişim kanalları ile veya kargo, kurye, posta gibi fiziki kanallardan toplanır. Bununla birlikte, özgeçmiş, eğitim ve referans bilgileri, Şirketimizin hizmet aldığı çevrimiçi kariyer siteleri ve e-posta yoluyla iletilen özgeçmişlerden toplanabilir.

Çalışanlarımızın özel nitelikli kişisel veri olan sağlık verileri ve ceza mahkumiyeti verileri, insan kaynakları, işyeri hekimliği ve iş güvenliği birimlerimiz tarafından elden veya e-posta veya sair dijital iletişim kanalları ile toplanabilmektedir.

Ayrıca, mağazalarımızda fiziksel mekan güvenliğinin temini amacıyla güvenlik kameraları ile izleme yapılmaktadır.

Internet Sitesi Müşterileri

www.hotic.com.tr adresinde bulunan internet sitemiz üzerinden üyelik kayıtları ve üyelik bilgi güncelleme sırasında doldurulan formlar ve internet sitemizden üye olarak veya üye olmaksızın yapılan alışverişler sırasında toplanmaktadır.

Internet Sitesi Ziyaretçileri

Alışveriş yapılmaksızın internet sitemizde yapılan gezintiler sırasında zorunlu çerezler ve ziyaretçi tarafından kabul edilmesi halinde sair çerezler vasıtasıyla kişisel veriler toplanmaktadır.

Mağaza Müşterileri

Hotiç mağazalarımızdan alışveriş yapılması esnasında kasa önünde alışveriş işleminin gerçekleştirilmesi, fatura/fiş ibraz edilmeksizin satış sonrası operasyonel işlemlerden (tadilat, değişim, iade, ürün incelemesi vs.) faydalanılmasını sağlamak ve bu operasyonel işlemlerin yerine getirilebilmesi, alışverişe ilişkin e-fatura/e-arşiv faturanın düzenlenerek gönderilebilmesi, ticari ileti gönderimi amaçlarıyla kişisel veriler toplanmaktadır.

Mağaza Ziyaretçileri

Mağazalarımızda gerçekleşmesi muhtemel mevzuata aykırı her türlü fiil, suç veya davranışa karşı mağazada alışveriş veya sair amaçla bulunan ilgili kişilerin güvenliğini sağlamak ve adli makamlara karşı olan bilgi, belge verme ve ilgili sair yükümlülüklerimizi yerine getirmek amacıyla güvenlik kamerası vasıtasıyla kişisel veriler toplanmaktadır.

Mağazalarda Kısa Süreli Ürün/Hizmet Sunan Tedarikçi/İş Ortağı Çalışanları

Alışveriş merkezlerinde (AVM) bulunan mağazalarımızda ihtiyaç duyulan sayım, bakım, onarım vb. kısa süreli işlerde AVM yönetimi tarafından talep edilen adli sicil kaydı gibi özel nitelikli kişisel veriler de içerebilen bilgiler genellikle e-posta yazışmaları vediğer dijital iletişim kanalları üzerinden toplanmaktadır.

Mevcut ve Potansiyel Kurumsal Müşterilerin Ortak, Yetkili ve İlgili Çalışanları

Genellikle yüz yüze görüşmeler, kartvizitler, e-posta yazışmaları, telefon görüşmeleri ve diğer dijital iletişim kanalları üzerinden ve ilgili firmaların kurumsal internet siteleri aracılığıyla, sözleşme içinde veya eklerinde yer alan belgeler, imza sirküleri gibi belgeler aracılığıyla toplanabilmektedir.

Mevcut ve Potansiyel İş Ortakları ve Tedarikçilerin Ortak, Yetkili ve İlgili Çalışanları ile Şahıs Tedarikçiler

Genellikle yüz yüze görüşmeler, kartvizitler, e-posta yazışmaları, telefon görüşmeleri ve diğer dijital iletişim kanalları üzerinden ve ilgili firmaların kurumsal internet siteleri aracılığıyla, sözleşme içinde veya eklerinde yer alan belgeler, imza sirküleri, imza beyannamesi, vekâletname gibi belgeler aracılığıyla toplanabilmektedir.

Sosyal Medya Influencer/Bloggerları; Modeller

Internet, sosyal medya, yazılı ve görsel basın gibi aleni bilgi kaynaklarından, reklam, tanıtım ve marka iletişim faaliyetlerinin yürütülmesi amacıyla işbirliği yaptığımız iş ortaklarımızdan e-posta ve diğer dijital iletişim kanallarıyla ve çekimlerde kişisel veriler toplanmaktadır.

Sponsor Olunan Kişiler

Bu kişi grubuna ait kişisel veriler genellikle kişinin çalıştığı/hizmet verdiği medya yapım şirketi, casting ajansı gibi iş ortaklarımızdan e-posta veya sair dijital iletişim kanalları üzerinden toplanmaktadır.

5.2. İşlenen Kişisel Veri Kategorileri

Yukarıda yer verilen kişi gruplarına ait işlediğimiz veri kategorileri aşağıda sayılmaktadır.

Ø Kimlik verileri (ad soyad, T.C. kimlik numarası, cinsiyet, vesikalık fotoğraf vb. dokümanlarda yer alan tüm bilgiler,)

İletişim verileri (E-posta adresi, telefon numarası, cep telefonu numarası, adres vb. iletişime dair veriler),
Özlük verileri (Çalışanlarımızın ve eski çalışanlarımızın özlük haklarının ve dosyalarının oluşturulmasına temel olacak bilgiler),
Mesleki deneyim verileri (ilgili kişinin önceden veya halihazırda çalıştığı kurum, çalışma süresi, sigortalılık türü, çalıştığı sektör, unvanı, eğitim düzeyi, toplam çalışma süresi vb. verileri),
Eğitim verileri,
Finansal veriler (Bordrolar, banka hesap bilgileri, kredi kartı bilgileri vb. her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler),
Çalışan aile bireylerine ait veriler (çalışanlarımızın çocukları, eşleri ile ilgili kimlik bilgisi, iletişim bilgisi vb.),
Çalışan işlem verileri (çalışanlarımızın ve eski çalışanlarımızın Şirketimiz iş ve işlemlerine yönelik her türlü işleme ilişkin işlenen kişisel verileri),
Çalışan yan hakları ve menfaatlerine ilişkin veriler,
Fiziksel mekân güvenliği verileri (fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan güvenlik kamerası kayıtları vb. veriler),
Görsel ve işitsel kayıtlar (fotoğraf, video, müşteri hizmetleri arama kayıtları vb. görsel ve işitsel niteliğe haiz veriler)
Hukuki işlem ve uyum verileri (hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler),
Kişisel Alışkanlıklar, Beden, Profil ve Davranışlar Bilgisi (Boy, Kilo, Beden Ölçüsü, Ayakkabı Numarası vb kişinin fiziksel ölçülerine ilişkin veriler)
Müşteri ve Müşteri İşlem verileri (ticari faaliyetlerimizin gerçekleştirilmesi esnasında müşteriye ilişkin elde edilen veriler ile ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ve müşterimizin ürün ve hizmetlerimize ilişkin kullanımına yönelik talimatları ve talepleri gibi veriler),
Pazarlama verileri (ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler),
İşlem güvenliği verileri (Şirketimiz ticari faaliyetleri yürütülürken, Şirketimizin teknik, idari, hukuki ve ticari güvenliğini sağlamak için işlenen kişisel veriler),
Çalışan Adayı bilgisi (Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da çalışan ve/veya stajyer adaylarımıza ilişkin bilgiler),
Özel nitelikli veriler olan sağlık verileri, ceza mahkûmiyeti verileri,
Özgeçmişlerde yer alması ve çalışan adayı / çalışan tarafından paylaşılması halinde dernek üyelikleri.

6. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirketimizin topladığı Kişisel Veriler, faaliyet ve operasyonlarımızın gerektirdiği meşru amaçlar doğrultusunda, öncelikle Kanun’un 5/2. ve 6/3. Maddelerinde belirtilen hukuka uygunluk sebeplerinden birine veya birkaçına dayalı olarak işlenmektedir. Dolayısıyla Kişisel Verileri işleme amaçlarımız öncelikle bu maddelerde düzenlenen hukuka uygunluk sebeplerine göre değerlendirilmekte ve sadece gereken hallerde Kanun’un 5/1. ve 6/2. Maddeleri doğrultusunda İlgili Kişinin açık rızasına müracaat edilmektedir.

Şirketimizin faaliyet ve operasyonları dikkate alındığında, Kişisel Verileri işleme amaçları şu şekilde listelenebilir.

Acil durum yönetimi süreçlerinin yürütülmesi,
Bilgi güvenliği süreçlerinin yürütülmesi,
Çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,
Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
Denetim / etik faaliyetlerinin yürütülmesi,
Eğitim faaliyetlerinin yürütülmesi,
Erişim yetkilerinin yürütülmesi,
Faaliyetlerin mevzuata uygun yürütülmesi,
Finans ve muhasebe işlerinin yürütülmesi,
Firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi,
Fiziksel mekan güvenliğinin temini,
Hukuk işlerinin takibi ve yürütülmesi,
İç denetim / soruşturma / istihbarat faaliyetlerinin yürütülmesi,
İletişim faaliyetlerinin yürütülmesi,
İnsan kaynakları faaliyet ve süreçlerinin planlanması ve yürütülmesi
İş faaliyetlerinin yürütülmesi ve denetimi,
İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
Sözleşme süreçlerinin yürütülmesi,
Mal / hizmet satın alım süreçlerinin yürütülmesi,
Mal / hizmet satış süreçlerinin yürütülmesi,
Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi,
Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi,
Hukuk işlerinin takibi ve yürütülmesi,
Talep / şikayetlerin takibi,
Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
Lojistik faaliyetlerinin yürütülmesi,
Organizasyon ve etkinlik yönetimi,
Pazarlama analiz çalışmalarının yürütülmesi,
Performans değerlendirme süreçlerinin yürütülmesi,
Saklama ve arşiv faaliyetlerinin yürütülmesi,
Veri sorumlusu operasyonlarının güvenliğinin temini,
Reklam / kampanya / promosyon süreçlerinin yürütülmesi,
Ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi,
Taşınır mal ve kaynakların güvenliğinin temini,
Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
Yönetim faaliyetlerinin yürütülmesi.

7. KİŞİSEL VERİ GÜVENLİĞİ

Bir Veri Sorumlusu olarak Şirketimiz, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli teknik ve idari tedbirleri almaktadır.

Bu kapsamda aldığımız tedbirler hemen aşağıda iki ayrı başlık halinde belirtilmektedir:

7.1. Kişisel Verilerin Güvenliğini Sağlamak için Alınan Teknik Tedbirler

· Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar yönetimi uygulanmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Sızma testi uygulanmaktadır.
Şifreleme yapılmaktadır.

7.2.Kişisel Verilerin Güvenliğini Sağlamak için Alınan İdari Tedbirler

Şirketimizde işlenen Kişisel Veriler iş süreçlerimiz ve ilgili alt birimlerimiz bazında tespit ve tahlil edilmiş, “Hotiç Kişisel Veri İşleme Envanteri” çıkartılmıştır.
Kişisel Verilerini işlemekte olduğumuz İlgili Kişiler ve Kişisel Veri işleme amaçlarımıza göre mevzuatın öngördüğü içerikte hazırlanmış Aydınlatma Bildirimlerimiz mevcuttur. Şayet işleme şartı Açık Rıza ise, İlgili Kişiden aydınlatmaya dayalı olarak Açık Rıza alınmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Şirketimiz, Kişisel Verilerin korunması ve güvenliği hakkında alt birim yöneticileri ve ilgili çalışanlar için farkındalık eğitimleri düzenlemektedir.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Kişisel Verilerin üçüncü kişilere aktarımına ilişkin olarak Şirketimiz, sözleşmelerinde veya bu amaçla hazırlanmış belgelerle karşı taraflardan kişisel verilerin korunması, veri güvenliği ve gizlilikle ilgili taahhütleri almaktadır.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel Veri içeren dosya ve klasörler, ilgili birim dolaplarında, çekmecelerinde ve/veya arşivlerinde yetkisiz kişilerce erişilemeyecek şekilde saklanmakta; söz konusu dolap ve arşiv odaları kilitli olarak tutulmaktadır. Kişisel Verilerin muhafaza edildiği dolap ve odaların anahtarları/şifreleri yalnızca ilgili verilere erişim yetkisi olan çalışanlarda bulunmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Şirketimizin yürürlükte olan Veri İhlali Müdahale Planı vardır. Çalışanlarımız herhangi bir gizlilik veya güvenlik ihlaline ilişkin riskli bir durum tespit eder veya şüphe duyarlarsa, derhal Şirket’in İrtibat Kişisine ve Bilgi Teknolojileri Birimine bildireceklerdir.

8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER

Özel Nitelikli Kişisel Veri kategorisinde kalan verilerin işlenmesinde Kanun’un 6. Maddesindeki hukuka uygunluk sebeplerine dayanmaktayız. Buna göre;

İlgili Kişinin Açık Rızasının mevcut olması halinde Özel Nitelikli Kişisel Veri işlenmekte veya Madde 6/3’teki işleme şartlarına dayanılmaktadır. Bunlar;
Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesinin kanunlarda öngörülmesi,
Sağlık ve cinsel hayata ilişkin kişisel veriler için ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.

Özel Nitelikli Kişisel Veri kategorisinde kalan veriler, Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı uyarınca ve yeterli güvenlik önlemleri alınarak işlenmektedir.

9. KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz, topladığı kişisel verileri, Kanun’un 8. (yurt içi) ve 9. (yurt dışı) Maddeleri uyarınca, Kurul tarafından alınan kararlara ve ilan edilen ikincil düzenlemelere uygun olarak aktarabilir.

Şirketimiz, bu doğrultuda Kişisel Verileri, işlenme amaçlarıyla bağlantılı ve sınırlı olacak şekilde yurt içinde ödeme ve hesapların yönetimi gerektirdikçe bankalara; finans ve muhasebe işlerinin yürütülmesi için bankalara, ödeme hizmet sağlayıcılarına, e-fatura ve e-arşiv fatura hizmeti sağlayıcılarına; ürün sevkiyatı için kargo ve kurye firmalarına; Hotiç mağazalarının bulunduğu AVM yönetimlerine ve/veya güvenlik birimlerine; bordro, muhasebe, mali müşavirlik ve denetim firmalarına; anlaşmalı olduğumuz hukuk bürolarına; ilgili bayilerimize; pazarlama, reklam ve marka iletişim ajansları, dijital pazarlama ve web-sitesi tasarım ajansları, yazılı ve görsel basın kuruluşlarına; e-ticaret çözümleri, çağrı merkezi hizmetleri aldığımız firmalara, bilgi teknolojileri, bilişim ve iletişim sistemleri ve veri tabanı hizmet sunucularına; dijital ajans ve dış kaynaklı hizmet sunucularına;yasal yükümlülüklerimiz kapsamında ticari iletişime ilişkin kayıtları İleti Yönetim Sistemi A.Ş.’ye; yine yasal ve idari yükümlülüklerimiz gerektirdikçe yetkili kişi, kurum ve kuruluşlar ile yargı mercilerine aktarabilecektir.

Şirketimiz, işleme amaçları ve operasyonlarının gerektirdiği ölçüde, bilişim teknolojileri, pazarlama/reklam/analiz faaliyetleri, ürün ve hizmet desteği, bayilik ihtiyaçları kapsamında yurt dışında bulunan bayi, tedarikçi ve iş ortaklarına ve yurt içindeki ve/veya yurt dışındaki ilgili tedarikçilerin/iş ortaklarının kullandığı sistemlerinin sunucularının yurtdışında olması hallerinde Kanun’un 9. Maddesinde yer alan şartlar dahilinde yurt dışı aktarımı yapabilecektir.

Kişisel Verilerin aktarımı söz konusu olduğunda, yasal koşullar sağlanarak, aktarımlar için teknik ve idari tedbirler alınarak ve aktarım yapılan taraflardan mümkün olan her halde gizlilik taahhütleri alınarak, yapılacaktır.

10.KİŞİSEL VERİLERİ İMHA YÜKÜMLÜLÜĞÜ

Kanun’un 5. ve 6. Maddelerinde yer alan ve işbu Politikada da yer verilmiş Kişisel Verileri işlenme amaç ve şartlarının tamamının ortadan kalkması halinde Şirketimiz, Kişisel Verileri kendiliğinden veya İlgili Kişiden Şirketimize ulaşan talep üzerine imha edecektir.

Kişisel Verilerin işleme amacına göre belirlenen saklama süreleri ile imha yöntemlerimiz, İlgili Kişiden ulaşan imha taleplerinin yönetilmesi ile ilgili açıklama ve detaylara Şirketimizin, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırladığı Kişisel Verileri Saklama ve İmha Politikamızda ve Ekinde detaylıca yer verilmiştir.

11. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

İlgili Kişiler, Kanun’un 11. Maddesi uyarınca aşağıdaki haklara sahiptirler:

Kişisel verilerinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
Kişisel verilerinin yurt içinde / yurt dışında aktarıldığı üçüncü kişileri bilme,
Kişisel verileri eksik / yanlış işlenmişse düzeltilmesini isteme,
Kişisel verilerinin Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme,
Kişisel verilerin aktarıldığı üçüncü kişilere yukarıda sayılan (5) ve (6) numaralı bentler uyarınca yapılan işlemlerin bildirilmesini isteme,
Kişisel verilerinin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramaları hâlinde zararın giderilmesini talep etme.

İlgili talepler;

1) Islak imzalı olarak ve geçerli bir kimlik belgesinin fotokopisi ile birlikte, Merkez Mah. Sanayi Cad. Turin İş Merkezi B Blok No.3 Kağıthane / İstanbul adresine göndererek,

2) Geçerli bir kimlik belgesi ile birlikte bizzat başvurarak,

3) Kayıtlı elektronik posta (KEP) adresi ve güvenli elektronik imza kullanmak suretiyle hoticayakkabi@hs02.kep.tr KEP adresimize göndererek,

4) İlgili Kişi tarafından tarafımıza daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresinden crm@hotic.com.tr adresimize e-posta ile göndererek, iletilebilir.

Konuya ilişkin bilgi ve belgeler başvurulara eklenmelidir. Şirketimiz, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek amacıyla başvurucudan ilave bilgi ve belge talep etme ve yapılan başvuruda yer alan talepleri ve bilgileri açıklığa kavuşturmak amacıyla, İlgili Kişiye başvurusu ile ilgili soru yöneltme haklarına sahiptir. Talepler en kısa sürede, her halde en geç 30 gün içerisinde cevaplandırılır.

12. SÜRDÜRÜLEBİLİRLİK

Şirketimiz, Kanun ve ilgili mevzuatın öngördüğü düzenlemelere uyumluluğun denetlenmesinden, işbu Politika ve ilişkili diğer politikaların yönetilmesinden ve gerekli hallerde güncellenmesinden, kişisel verilerin korunması hakkında sürdürülebilirliğin sağlanmasından, Şirket yönetimi tarafından alınan kararların yerine getirilmesinden ve konu hakkındaki diğer regülasyon ve Şirket içi denetimlerin yapılmasından sorumlu olmak üzere, şirket içi Kişisel Verilerin Korunması Dahili Komitesini kurmuştur ve İrtibat Kişisini atamıştır.

İşbu Kişisel Verilerin İşlenmesi ve Korunması Genel Politikası, Şirketimizin internet sitesi www.hotic.com.tr adresinde yayımlanarak, ilan edilmiştir. Başta Kanun olmak üzere yürürlükteki ilgili mevzuat ile Politikada yer verilen düzenlemelerin çelişmesi halinde Kanun ve ilgili mevzuatta yer alan hükümler geçerlidir. Şirketimiz, yasal düzenlemelere ve kişisel verilerin korunması alanındaki gelişmelere paralel olarak Politikada tek taraflı olarak değişiklik yapabilir. Değişiklikler, Politikanın en son sürümünde yer alır ve her yeni sürüm bir öncekinin yerine geçer.

Veri Sorumlusu