Gizlilik Politikası

ÖNSÖZ
6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel veri güvenliği konusunu daha görünür bir yasal alt yapıya kavuşturmuştur. Başlayan bu yeni dönemle birlikte suadiye GIDA VE TİCARİ YATIRIMLAR SAN. VE TİC. A.Ş. olarak, kişisel verilerin güvenliği ve korunması konusunda süregelen hassasiyetimizi en üst seviyede devam ettirmek arzusundayız. Gerek ticari gerekse sosyal yaşamın dinamiklerinden kaynaklı olarak suadiyeMARMARİS ile kişisel verisini paylaşmış olan gerçek kişilerin bilgilerini, yasal çerçeve ve elde ediliş amacına sadık kalarak işlemeye devam edeceğiz. Bu amaçla, bilgilerin güvenli bir şekilde işlenmesi ve saklanmasını sağlamak için Şirket bünyemizde gerekli bütün idari ve teknik tedbirleri aldık. İşte bu nedenle siz değerli muhataplarımıza, anayasal ve ilgili diğer mevzuat güvencesi ile koruma altına alınan kişisel verilerinizle ilgili işlemlerinizi suadiyeMARMARİS ile yapmaya devam edebileceğinizi bir kez daha hatırlatmak isteriz.
Dolayısıyla, kişisel veri güvenliği konusundaki evrensel boyutlu şeffaflık ve hesap verilebilirlik ilkelerine sadık kalarak hazırladığımız kurumsal Gizlilik Politikamızı sizlerin ilgisine sunuyoruz. Konuyla ilgili sizlerden gelecek öneri, başvuru ve şikâyetlere karşı bütün duyarlılığı göstereceğimizden emin olabilirsiniz. Kişisel verilerinizle ilgili soru ya da tereddütleriniz olduğunda bu konuyla görevli ve yetkili çalışanlarımızla temas kurabilirsiniz.

Saygılarımızla,
suadiyeGIDA VE TİCARİ YATIRIMLAR SAN. VE TİC. A.Ş.

1. Amacı
Kişisel verilerin korunması hususu, suadiyeGIDA VE TİCARİ YATIRIMLAR SAN. VE TİC. A.Ş. ’nin (bundan sonra suadiyeMARMARİS ya da “Şirket”) kurumsal nitelikli temel politika konularındandır. suadiyeMARMARİS olarak yürüttüğümüz tüm ticari ve sosyal nitelikli faaliyetlerde, gerçek kişilerden işin mahiyeti gereği toplanan kişisel verilerin mahremiyeti konusunda azami özen ve çaba gösterilmiş, yetkisi ya da ilgisi olmayan üçüncü taraflarla mevzuatın emrettiği çerçeve ya da amacı dışında paylaşılmamıştır.
Kişisel veri güvenliği konusunda 2016 yılında ülkemizde yeni bir dönemi başlatan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK”) yürürlüğe girmesinden önce de Şirketimiz, bireylere ait kişisel verilerin gizliliği ve güvenliği konusunu adeta bir “kurumsal kültür” olarak yerleştirmiştir. Bunda sonra da suadiyeMARMARİS olarak, bu alanla ilgili evrensel nitelikli temel prensiplerle birlikte Kanunu’nun öngördüğü ilke, esas ve usullere riayet edeceğimizin taahhüdünü veriyoruz.
2. Kapsamı ve Değiştirilmesi
Öncelikle, kamuoyu ve muhataplarımızın ilgisine arz ettiğimiz işbu Politika belgemizi, 6698 sayılı Kanunda öngörülen temel ilkeler ve esaslara uygun olarak hazırlamaya gayret gösterdik.
Gizlilik Politikamız; başta çalışanlarımız olmak üzere, müşterilerimizin, müşteri adaylarımızın, frienchise yatırımcı ve adaylarımızın, mal ve hizmet tedarikçilerimizin, ziyaretçilerimizin, çalışan adaylarımızın, çözüm ortaklarımızın müşteri ve çalışanlarının ya da diğer bireysel muhataplarımızın otomatik yollarla elde edilen verilerinin güvenliği ve korunmasını amaçlarken, bunlara ilişkin kurumsal düzenlemeleri kapsamaktadır.
Kişisel veri sahiplerinden açık rıza/onaylarıyla ya da mezkûr Kanunda sayılan diğer hukuka uygunluk halleri gereğince elde edilmiş olan kişisel veriler; başta ürün ve hizmet kalitemizi artırmak olmak üzere, insan kaynakları yönetimi, idari ve teknik faaliyetlerin ifası ve finansal işlemlerin yürütülmesi, müşterilerimizin ürün ve hizmetlerimiz hakkında talep ve önerilerinin en iyi şekilde karşılanabilmesi, sektörel iş planlarımız ve stratejilerimizin geliştirilmesi, Operasyonel ve Frienchise Şube ile Merkez koordinasyonumuzun sağlanması, online satış faaliyetlerinin yürütülmesi ve geliştirilmesi, kalite yönetimi ve politikalarımızın iyileştirilmesi gibi yasal zorunluluklar ve meşru ticari çıkarlarımız doğrultusunda değerlendirilecektir. Bunun dışında, istatistiksel veri tabanı oluşturmak amacıyla ihtiyaç duyulan bazı veriler ise, sahibini tanımlayamayacak şekilde anonimleştirilmektedir. Bu nedenle 6698 sayılı Kanun ve dolayısıyla da işbu Politikanın kapsamına girmemektedir.
suadiyeMARMARİS olarak, Politika Belgemizi ve buna dayanarak hazırladığımız yönerge, talimat vb. kişisel veri güvenliğine dair tüm kurumsal nitelikli iç düzenlemelerimizi, Kanuna uygun olmak ve veri güvenliği konusunda daha etkin önlemler almaya yönelik olmak kaydı ile değiştirme hakkına sahip olduğumuzun bilinmesini isteriz.
3. Kişisel Verilerin İşlenmesi İle İlgili Temel Kurallar
a) Hukuka ve dürüstlük kurallarına uygun olma: suadiyeMARMARİS, topladığı ya da kendisine diğer şirketlerden gelen verilerin kaynağını sorgular ve bunların hukuka uygun ve dürüstlük kuralları çerçevesinde elde edilmesine önem verir.
b) Doğru ve gerektiğinde güncel olma: Şirket, kurum bünyesinde bulunan bütün verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve nihayet kişisel verilerde değişiklik olduğu takdirde bunları kendisine iletildiği takdirde güncellemeye önem verir.
c) Belirli, açık ve meşru amaçlar için işlenme: Şirket, ancak sunduğu ve hizmet sırasında kişilerden onayını aldığı amaçlarla sınırlı şekilde verileri işler. İş amacı dışında verileri işlemez, kullanmaz ve kullandırtmaz.
d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: suadiyeMARMARİS, sadece verileri işlendikleri amaçla sınırlı ve hizmetin gerektirdiği ölçüde kullanır.
e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Şirket, sözleşmeler kaynaklı verileri Kanunun ihtilaf çıkma süreleri, ticaret ve vergi hukukunun gereklilikleri kadar bünyesinde muhafaza eder. Buna karşın bu amaçlar ortadan kalktığında veriyi siler ya da anonimleştirir. Bunları Kişisel Verileri Silme Yönergesi ’ne göre siler veya yok eder.
Önemle belirtelim ki, Şirket, verileri ister rızaya dayanarak isterse kanuna uygun bir şekilde toplamış ya da işlemiş olsun yine de yukarıda sıraladığımız bu ilkeler geçerlidir.
4. Veri Minimizasyonu İlkesi
Veri minimizasyonu ilkesi adı verilen bu ilkemize göre Şirkete ulaşan veriler, ancak gerekli olduğu kadar sisteme işlenir. Bu nedenle hangi verileri toplayacağımız amaca göre belirlenir. Gerekli olmayan veriler toplanmaz. Şirketimize intikal eden diğer veriler de aynı şekilde şirket bilişim sistemlerine aktarılır. Fazlalık bilgiler, sisteme kaydedilmez, silinir ya da anonim hale getirilir. Bu veriler, istatistiki amaçlarla kullanılabilir.
5. Kişisel Verilerin Silinmesi, İmha Edilmesi, Anonimleştirilmesi
Kanunen saklanması gereken sürelerin dolması, yargı süreçlerinin tamamlanması ya da diğer gereklilikler ortadan kalktığında şirketimiz tarafından bu veriler kendiliğinden ya da ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir ya da anonim hale getirilir. Konuyla ilgili işlemler kurumsal Kişisel Verileri Saklama, Silme ve İmha Politikamıza göre yürütülür.
6. Doğruluk ve Veri Güncelliği
Şirket bünyesinde bulunan veriler, kural olarak ilgili kişilerin beyanı üzerine beyan ettiği şekilde işlenir. Şirket, müşteriler ya da Şirketle ile temas kuran kişilerin beyan ettiği verilerin doğruluğunu araştırmak zorunda olmadığı gibi bu hukuken ve çalışma ilkelerimiz nedeniyle de yapılmaz. Beyan edilen veriler, doğru kabul edilir. Kişisel verilerin doğruluğu ve güncelliği ilkesi Şirket tarafından da benimsenmiştir. Şirketimizin kendisine ulaşan resmî belgelerden veya ilgilisinin talebi üzerine işlemiş olduğu kişisel verileri günceller. Bunun için gerekli önlemleri alır.
7. Gizlilik ve Veri Güvenliği
Kişisel veriler gizlidir ve suadiyeMARMARİS bu gizliliğe riayet etmektedir. Kişisel verilere şirket içinde ancak yetki verilmiş kişiler ulaşabilir. Şirket tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve veri sahibinin mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve şirket içinde de Gizlilik Politikasına riayet edilmesi sağlanmaktadır. Hukuka uygun olarak kişisel verileri paylaştığımız şirketlerden de verileri koruması talep edilir.
8. Veri İşleme Amaçları
Kanunda Kişisel verilerin işlenmesi olarak tanımlanan tüm işlemler, kişisel verilerin işlenmesine dair oluşturulan Aydınlatma Metninde belirtilen amaçlar doğrultusunda yerine getirilecektir.
9. Yatırımcı, Yatırımcı Adayı, Müşteriler, İş ve Çözüm Ortakları Verisi
a. Sözleşme İlişkisi İçin Verinin Toplanması ve İşlenmesi
Yatırımcı adayı başvurularının alınması ve başvurusu kabul edilen yatırımcıların sözleşme süreçlerinde ve müşteriler ile muhtemel müşterilerimizle bir sözleşme ilişkisi kurulmuş ise, toplanmış olan kişisel veriler, müşterinin onayı alınmaksızın kullanılabilir (KVK md. 5). Bu kullanım, sözleşme amacı doğrultusunda gerçekleşir. Sözleşmenin daha iyi icrası ve hizmetin gereklilikleri ölçüsünde veriler kullanılır ve gerektiğinde müşterilerle irtibata geçilerek güncellenir.
b. İş ve Çözüm Ortakları Verileri
Şirketimiz, gerek iş gerekse çözüm ortakları ile veri paylaşımı yaparken hukuka uygun davranmayı ilke edinir. İş ve çözüm ortakları ile veri gizliliği taahhüdü ile ve ancak hizmetin gerektirdiği kadar veri paylaşılmakta ve bu taraflardan mutlaka veri güvenliğinin sağlanmasına ilişkin tedbirleri alması talep edilir.
10. Tanıtım, Farkındalık ve Reklam Amaçlı Veri İşleme
suadiye MARMARİS ’in kamuoyu ve muhataplarında farkındalık oluşturmak, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kampanya, kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla internet sayfası, sosyal medya gibi elektronik, görsel ve işitsel mecraları ya da basılı materyalleri kullanır. Hangi kategoride olursa olsun kişisel verisi işlenen veri ilgilisini onayının açık bir şekilde mevcudiyeti şarttır.
Kişilerin mobil cihazlarına reklam amaçlı elektronik ileti ya da SMS gönderilmesi gerektiğinde de, E-Ticaretin Düzenlenmesi Hakkındaki Kanun ile Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmelik uyarınca, önceden onay alma şartının yerine getirilmesi gerektiği konusunda bilgi ve farkındalığa sahiptir.
11. Şirketin Hukuki Yükümlülüğü veya Kanunda Açıkça Öngörülmesi Sebebiyle Yapılan Veri İşlemleri
Kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
12. Veri İşleme
Şirket, sunduğu ürün ve hizmetlere yönelik olarak meşru amaçları/menfaatleri doğrultusunda kişisel verileri işleyebilir. Ancak veriler hiçbir şekilde hukuka aykırı işlem ya da faaliyetler için kullanılamaz.
13. Özel Nitelikli Verilerin İşlenmesi
suadiyeMARMARİS, özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu tarafından ayrıca belirlenen gerekli idari ve teknik önlemlerin hepsini almaktadır. Şirketimizde özel nitelikli kişisel veriler “Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası” na göre işlenir. Özel nitelikli kategoride yer alan sağlık bilgilerinin işlenmesinde ayrıca Kişisel Sağlık Verileri Hakkında Yönetmelik hükümleri dikkate alınmaktadır
14. Otomatik Sistemlerle İşlenen Veriler
Otomatik sistemler aracılığı ile işlenen veriler konusunda suadiye MARMARİS, Kanuna uygun davranır. Kişilerin açık rızası olmaksızın bu verilerden elde edilen bilgiler kişi aleyhine kullanılamaz. Ancak Şirket, kendi sistemindeki verileri kullanarak işlem yapacağı kişilerle ilgili kararlar alabilir.
15. Kullanıcı Bilgileri ve İnternet
Şirketin, kendi adına (domain) kullandığı bir internet sitesi olup, internet siteleri ve diğer sistemlerde veya uygulamalarda kişisel verilerin toplanması, işlenmesi ve kullanılması durumunda ilgili kişiler gizlilik bildirimi ile ve gerekirse çerezler hakkında bilgilendirilir.
16. Çalışanlarımıza Ait Veriler
a. İş İlişkisi İçin Verilerin İşlenmesi
Çalışanlarımızın kişisel verileri, iş hukuku ve sosyal güvenlik mevzuatının gerekleri bakımından gerekli olduğu kadarıyla onay alınmaksızın işlenebilir (KVK md. 5). Ancak Şirket, çalışanlarına ait verilerin gizliliği ve korunmasını temin eder.
b. Hukuki Yükümlülükler Gereği İşleme
Şirket, çalışanlarına ait kişisel verileri, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işleyebilir. Bu husus, kanundan kaynaklanan yükümlülüklerle sınırlıdır.
c. Çalışanların Yararına İşleme
Şirket, özel sağlık sigortaları gibi çalışanlarına sosyoekonomik nitelikte fayda sağlayıcı olan işlemler için onay almaksızın kişisel verileri işleyebilir. İş ilişkilerinden kaynaklanan ihtilaflar için de Şirket, çalışanlara ait verileri işleyebilir.
d. Özel Nitelikli Verilerin İşlenmesi
Kanun’a göre Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Şirket, özel nitelikli kişisel verilerin işlenmesinde, ilgili kişinin onayı yanında Kurul tarafından ayrıca belirlenen yeterli önlemleri alır. Özel nitelikli kişisel veriler kişinin onayı olmaksızın ancak Kanunda ve 6331 sayılı İş Sağlığı ve Güvenliği kanunu gibi özel mevzuatın izin verdiği hallerde ve sınırlı olarak işlenebilir ayrıca Kişisel Sağlık Verileri Hakkında Yönetmelik hükümleri dikkate alınmaktadır.
e. Otomatik Sistemlerle İşlenen Veriler
Çalışanların otomatik sistemlerle ilgili olarak işlenen verileri, şirket içi terfilerde ve performans değerlendirmelerinde kullanılabilir. Çalışanlarımız aleyhine çıkan sonuca itiraz etme hakkına sahiptir ve bunu şirket içi prosedürlere uyarak gerçekleştirirler. Çalışanların itirazları da yine şirket içinde değerlendirilir.
f. Telekomünikasyon ve İnternet
Şirket içinde çalışanlara tahsis edilen bilgisayar, telefon, e-posta ve diğer uygulamalar çalışana sadece iş amacı ile tahsis edilmiştir. Çalışan şirketin kendisine tahsis ettiği bu vasıtaların hiçbirini özel amaçları ve iletişimi için kullanamaz. Şirket bu araçlar üzerindeki bütün verileri kontrol edebilir ve denetleyebilir. Çalışan, işe başladığı andan itibaren kendisine tahsis edilen bilgisayarda, telefonlarda ya da diğer araçlarda iş dışında başka bir veri ya da bilgi bulundurmayacağını taahhüt etmektedir.
17. Kişisel Verilerin Yurt İçi ve Dışına Aktarılması
Şirket üst yönetimi ile ilgili idari işlem ve faaliyetlerin gerekleri doğrultusunda hissedarlar ve yönetim kurulu üyeleri ile iş ortaklığının getirdiği idari ve ticari zorunluluklar nedeniyle çözüm ortakları ile veri paylaşımı yapılabilir.
Ayrıca, dış kaynaklı mal ve hizmet tedarikçiden temin ettiğimiz (sunucu, bulut hizmeti vb.) ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli mal ve hizmetlerin yerine getirilmesini teminen kişisel veriler, Şirketimizin tedarikçilerimize aktarabilecektir.
Dolayısıyla suadiyeMARMARİS, Kurul tarafından belirlenen şartlar dahilinde kişisel verileri Kanundaki diğer şartlara uygun olarak ve kişinin onayına bağlı olarak yurt içi ve yurt dışına aktarma yetkisine sahiptir.
18. İlgili Kişinin Hakları
Bir Veri Sahibi olarak, kişisel verilerinizin kaderine hakim olabilmenizi sağlamak amacıyla 6698 sayılı KVK Kanunu’nun 11. maddesinde açıkça sayılan haklara sahipsiniz. Bu haklarınızı kullanırken, sizlere kolaylık sağlamak ve yardımcı olmak adına oluşturduğumuz özel bir Başvuru Formu ’nu, talebiniz halinde internet sayfamızdan temin edebilirsiniz.
Şirket tarafından internet sayfamızda duyurulan ilgilimize başvurarak kişisel verilerle ilgili olarak;
a) Kişisel verinizin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
hakkına sahipsiniz.
Buna karşın, Şirket içinde anonimleştirilmiş verilerle ilgili olarak kişilerin bir hakkı bulunmamaktadır. Şirket, kişisel verileri içeren kayıtlarını, iş ve sözleşme ilişkisi gereğince, bir yargısal görevin ya da devlet otoritesinin Kanuni yetkilerini kullanması amacıyla ilgili kurum ve kuruluşlarla paylaşabilir.
Kişisel veri sahipleri olarak, yukarıda belirtilen haklarınıza ilişkin taleplerinizi suadiyeMARMARİS ’in resmi internet adresinden temin edebileceğiniz başvuru formunu eksiksiz doldurup, noter aracılığı ile veya ıslak imzanız ile iadeli-taahhütlü postayla ve kimlik fotokopileriyle (nüfus cüzdanı için sadece ön yüz fotokopisi yeterli) yazışma adresimize gönderebilirsiniz. Başvurularınız, başvurunuzun içeriğine göre en kısa sürede ya da şirketimize ulaşmasından sonra en geç 30 gün içinde cevaplanacaktır. Ayrıca başvurularınızın sadece sizlerle ilgili kısmı cevaplanacak olup, eşiniz, yakınınız ya da arkadaşınız hakkında yapılan bir başvuru kabul edilmeyecektir.
Şirket, ihtiyaç duyarsa başvuru sahiplerinden başkaca ilgili bilgi ve belge talep edebilir.

19. Gizlilik İlkesi
İster çalışanlar isterse diğer kişilerin Şirket ’teki verileri gizlidir. Hiç kimse sözleşme ya da kanuna uygunluk olmaksızın başkaca hiçbir amaç için bu verileri kullanamaz, kopyalayamaz, çoğaltamaz, başkalarına aktaramaz, iş amaçları dışında kullanamaz.

20. İşlem Güvenliği
Şirket tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve müşterilerimizin ve müşteri adaylarımızın, yatırımcı ve adaylarımızın mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve şirket içinde de Gizlilik Politikasına riayet edilmesi sağlanmaktadır. Güvenliğe ilişkin önlemler, sürekli olarak yenilenmekte ve geliştirilmektedir.

21. Denetim

Kanunun 12. maddesindeki emredici hükme uygun olacak şekilde, veri sorumlusu sıfatıyla suadiyeMARMARİS, kişisel verilerin korunması konusunda kendi içinde yönetimce denetlenmekte ve gerektiğinde dış denetimleri yapılmaktadır.
22. İhlallerin Bildirimi
Şirket, kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde, bu durumun öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde KVK Kuruluna bildirimde bulunması gerektiği bilinciyle hareket eder. İlgilinin zararını en aza indirir ve zararı telafi eder. Kişisel verilerin dışarıdan yetkisiz kimselerce ele geçirildiğinde durumu derhal Kişisel Verileri Koruma Kurulu’na bildirir.
İhlallerin bildirimi ile kurumsal internet adresimizde belirtilen usullere göre başvuruda bulunabilirsiniz.