Kişisel Verilerin Korunması, İşlenmesi ve Gizlilik Politikası

I. GİRİŞ

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun ile kişisel verinin tanımı yapılarak, bunların korunmasına ilişkin ilkeler ve bu verilerin işlenmesinde veri sorumlusu sıfatı taşıyanların uyacakları şartlara yer verilmiştir. Kanun’a göre kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişi”lere ilişkin her türlü bilgidir. Kişisel verilerin işlenmesi ise “kişisel verilerin otomatik olan ya da herhangi bir veri kayıt sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, üçüncü kişilerle paylaşılması ve yurtdışına transfer edilmesi dahil kişisel veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Restaon®, Kanun’a uygunluğun sağlanması amacıyla, ilgili mevzuatta yer alan kişisel verilerin korunması ve işlenmesine ilişkin ilkeleri benimseyerek gerekli idari ve teknik tedbirleri almaktadır. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) kapsamı için bkz. VI. VERİ SAHİBİ VE KİŞİSEL VERİ KATEGORİZASYONU. Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli olarak uygulanacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Restaon® yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika 26/07/2017 tarihinde yürürlüğe girmiştir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Politika Restaon®’nin internet sitesinde (www.restaon.com) yayımlanarak kişisel veri sahiplerinin erişimine sunulmaktadır. Değişen şartlara ve mevzuata uyum sağlamak amacıyla Politika’da değişiklik ve güncellemeler yapılabilecek olup ilgili internet sitesi üzerinden kişisel veri sahiplerine sunulabilecektir.

II. KİŞİSEL VERİLERİN İŞLENMESİ

II.I. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Anayasa’nın m. 20/III kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği belirtilerek kişisel verilerin korunması güvence altına alınmıştır. Kişisel veri sahiplerine tanınan bu hak doğrultusunda Restaon® kişisel verileri ilgili mevzuatta belirtilen ilkeler doğrultusunda veya kişinin açık rızasının bulunduğu durumlarda aşağıdaki ilkelere uygun işlemektedir:

• Hukuka ve Dürüstlük Kuralına Uygun İşleme
• Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
• Belirli, Açık ve Meşru Amaçlarla İşleme
• İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
• İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

II.II. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI VE AMAÇLARI

Kişisel veriler, prensip olarak ancak kişisel veri sahibinin açık rızası bulunan hallerde işlenebilmektedir. Kanun’un 5. maddesinde kişisel veriler ile 6. maddesinde özel nitelikli kişisel verilerin işlenmesine ilişkin şartlara yer verilmiştir. Kanun, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel verileri “özel nitelikli kişisel veri” olarak belirlemiştir. Kanun’un 6. maddesinde özel nitelikli kişisel veriler sınırlı bir şekilde sayılmıştır ve bunlar kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini içermektedir. Yukarıda politika kapsamında belirtilen şekilde müşteri/kullanıcı vb. özel nitelikli kişisel verilerini işlememekteyiz. Veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Aşağıda anılan şartlardan biri veya birden fazlasının varlığı halinde kişisel veriler, sahibinin açık rızası alınmaksızın işlenebilecektir. Restaon®, kişisel verileri her halde Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak aşağıda belirtilen amaç ve koşullar doğrultusunda işlemektedir.

III. KİŞİSEL VERİLERİN AKTARILMASI

III.I. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN GENEL İLKELER

Kanun’un 8. ve 9. maddesinde kişisel verilerin yurt içinde ve yurt dışına aktarılmasına ilişkin hususlara yer verilmiştir. Restaon®, hukuka uygun olarak elde etmiş olduğu kişisel verileri veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak veri sahibinin kişisel verilerini/özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Bu doğrultuda Restaon®, kişisel verileri Bölüm II’de belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir:

• Kişisel veri sahibinin açık rızası var ise,
• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
• Restaon®’nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Restaon®’nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

III.II. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Restaon®, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin kişisel verilerini aşağıdaki hallerde yurtdışına aktarabilecektir:

• Veri sahibinin açık rızasının bulunması halinde veya
• Veri sahibinin açık rızası bulunmadığı ancak yukarıda belirtilen diğer şartlardan bir veya birkaçının bulunması halinde; (i) Verilerin aktarıldığı ülkede yeterli koruma bulunması ve (ii) Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda Restaon®’nin ilgili yabancı ülkedeki veri sorumlusuyla birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve KVK Kurulu’nun izninin alınması kaydı ile.

III.III. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ TARAFLAR

Restaon®, yukarıda belirtilen şartlar doğrultusunda ve Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda belirtilen taraflara aktarabilir:

• İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etme amacıyla anonim olarak iş ortaklarına,
• Restoranlar ile sözleşme kapsamındaki amaçların yerine getirilmesi için sınırlı olarak restoranlara,
• Restaon®’nin tedarikçiden dış kaynaklı olarak temin ettiği ve Restaon®’nin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Restaon®’ye sunulmasını sağlamak amacıyla sınırlı olarak tedarikçilere,
• Restaon®’nin iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak iştiraklere,
• Restaon®’nin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, şirket prosedürlerine uygun bilgilendirmelerin yapılması ile ilgili mevzuat hükümlerine uygun şekilde denetim amaçlarıyla sınırlı olarak hissedarlara,
• Bağlı bulunduğumuz Delivery Hero Grubunun katılımını gerektiren ticari ve operasyonel faaliyetlerin yürütülmesinin sağlanması amacıyla Delivery Hero Grubu ile,
• Hukuki yetkileri dahilinde talep ettikleri amaçla sınırlı olarak ilgili kamu kurum ve kuruluşları ile özel hukuk kişilerine.

IV. KİŞİSEL VERİLERİN KORUNMASI

Restaon®, işlediği kişisel verilerin güvenliğini sağlamak için ilgili mevzuat uyarınca öngörülen ve KVK Kurulu tarafından bildirilecek olan diğer idari ve teknik önlemleri alarak kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını temin etmektedir. Bu kapsamda Restaon®, kişisel verilerin hukuka uygun olarak işlenmesi, güvenli ortamlarda saklanması, yetkisiz erişim riskleri ile diğer her türlü hukuka aykırı erişimlerin önlenmesi, arızi olarak gerçekleşen veri kayıplarının önlenmesi, verilere kasıtlı olarak zarar verilmesi ile silinmesinin önlenmesi için teknolojik imkânlar ve uygulama maliyetinin de ele alındığı makul derecedeki teknik ve idari önlemleri almaktadır.

V. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI, HAKLARI VE BİLGİLENDİRİLMESİ

V.I. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI

Kanun’un 10. maddesinde kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerinin aydınlatılması gerektiği belirtilmiştir. Restaon®, bu doğrultuda ilgili mevzuatta belirtilen diğer kişisel veri işleme faaliyeti genel ilkelerine uygun olarak kişisel veri sahiplerini kişisel verilerinin elde edilmesi sırasında bilgilendirmektedir.

V.II. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

Kanun’un 11. maddesinde ise kişisel veri sahibinin sahip olduğu haklar sayılmıştır. Şöyle ki veri sahibi:

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

VI. VERİ SAHİBİ VE KİŞİSEL VERİ KATEGORİZASYONU

VI.I. VERİ SAHİBİ KATEGORİZASYONU

Restaon®, kendi bünyesinde işlediği kişisel verilerin sahiplerini aşağıdaki şekilde kategorize etmiştir.

VI.II. KİŞİSEL VERİ KATEGORİZASYONU

İşbu Politika kapsamında, Restaon® tarafından işlenen kişisel veriler kategorize edilmiştir. Yukarıda belirtilen veri sahibi kategorilerinde yer alan kişisel veri sahiplerinin kişisel verileri aşağıda belirtilen kişisel veri kategorileri ile ilişkilendirilmiştir.