KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

1. Giriş

zunzhade olarak kişisel verilerin güvenliği hususuna hassasiyet göstermekte olup Şirketimiz ile ilişkili tüm şahıslara ait her türlü kişisel verinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK” ve “Kanun”) uygun olarak işlenmesi, saklanması ve korunması önceliklerimizdendir.

İşbu “Kişisel Verilerin Korunması ve İşlenmesi Politikası” (“Politika”) ile zunzhade tarafından kişisel verilerin korunması ve işlenmesi sırasında benimsenen temel ilke ve prensipler düzenlenmekte ve Şirket politikası olarak uygulamaya alınarak sürdürülebilir hale getirilmektedir.

1.2 Amaç

İşbu Politika’nın amacı, zunzhade tarafından işbu Politika’nın dayanağı olan yasal mevzuata uygun bir biçimde yürütülen kişisel verilerin işlenmesi, korunması, saklanmasına ilişkin usul ve esasları belirlemek ve verileri zunzhade tarafından işlenen gerçek kişileri bu hususta bilgilendirmektir.

1.3 Kapsam

İşbu Politika; müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, tedarikçi çalışanlarımızın, şirket yetkililerimizin, ziyaretçilerimizin, iş bağlantılarımızın (tedarikçi, tasarımcı, üretici ve benzeri iş ilişkisinde bulunduğumuz kurumların yetkili, hissedar ve çalışanlarının) ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Bu kapsamda yukarıda belirtilen ilgili kişi gruplarına, işbu Politika’nın tamamı uygulanabileceği gibi, sadece birtakım hükümleri de uygulanabilecektir.

1.4 Tanımlar

İşbu Politika’nın uygulanmasında kullanılan tanımlar aşağıda yer almaktadır:

Kavram	Tanım
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan(lar)	zunzhade bünyesinde iş ilişkisinde bulunan işçiler ile staj zorunlu/isteğe bağlı eğitim gören öğrenciler/kursiyerler.
Elektronik Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı	zunzhade ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
İmha	Kişisel verilerin geri getirilemeyecek şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun / KVKK	6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin Korunması Komitesi	zunzhade tarafından kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası, sürdürülmesi, yönetilmesi ve geliştirilmesi amacıyla karar alma ve üst yönetime sunma yetkilerine sahip ve bu amaçla zunzhade bünyesinde gerekli koordinasyonu sağlayan ve farklı birimlerin yetkililerinin katılımıyla oluşan komite.
Kurul	Kişisel Verileri Koruma Kurulu.
Kurum	Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Politika	zunzhade tarafından kişisel verilerin işlenmesi ve korunmasında benimsenen ilkelerin düzenlendiği işbu “Kişisel Verilerin Korunması ve İşlenmesi Politikası”.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumluları Sicil Bilgi Sistemi	Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan ve kamuya açık olan veri sorumluları sicili.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi.

İşbu Politikada yer almayan tanımlar için Kanunda yer alan tanımlar geçerlidir.

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL HUSUSLAR

zunzhade, kişisel veri işleme faaliyetlerini yürütürken;

Genel ilkelere,
Kişisel veri işleme şartlarına,
Özel nitelikli kişisel veri işleme şartlarına uygun hareket etmektedir.

2.1 Kişisel Verilerin Genel İlkelere Uygun Olarak İşlenmesi

2.1.1 Hukuka ve Dürüstlük Kurallarına Uygun Kişisel Veri İşleme

zunzhade; kişisel verilerin işlenmesinde yasal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verileri işleme faaliyetlerinin hukuka, dürüstlük kurallarına uygun, şeffaf ve ölçülü olarak yürütmektedir.

2.1.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

zunzhade; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel tutulmasının sağlanması için gerekli azami çabayı göstermektedir. Bu doğrultuda gerekli idari ve teknik tedbirleri almakta ve kişisel veri sahiplerinin verilerini düzeltme ve doğruluğunu teyit etmelerine yönelik imkanlar sağlamaktadır.

2.1.3 Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi

zunzhade, kişisel veri işleme amacını açık ve kesin olarak belirlemekte ve veri işleme faaliyetlerini açık, meşru ve hukuka uygun amaçlar dahilinde yürütmektedir.

2.1.4 Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

zunzhade; kişisel verileri yeni işleme amaçları ile bağlantılı ve bu amaçların gerektirdiği ölçüde işlemektedir. Veri işleme amacı ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.

2.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

zunzhade; kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya veri işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Tarafımızdan yok edilmekte veya anonim hale getirilmektedir. Konuya dair ayrıntılı bilgiye, Müşteri ve İlgili Üçüncü Kişilerin Teknoloji Hizmetleri ve Ticaret Anonim Şirketi Kişisel Veri Saklama ve İmha Politikası kapsamında yer verilmiştir.

2.2 Kişisel Verilerin İşlenme Şartlarına Uygun Olarak İşlenmesi

zunzhade, kişisel veri işleme faaliyetlerini kişisel verilerin korunması mevzuatında ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu bağlamda, kişisel veri işleme faaliyetleri ancak aşağıda yer alan veri işleme şartlarının varlığı halinde gerçekleştirilmektedir.

2.2.1 Açık Rızanın Alınması

Kanun gereği kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. zunzhade tarafından kişisel veri işleme faaliyetinin yürütülmesi için ilgili kişinin kendisiyle ilgili veri işlenmesine "özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer vermeyecek açıklıkta ve veri işleme amacı ile sınırlı olarak" açık rıza vermesi şartı aranmaktadır.

2.2.2 Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı İstisnai Haller

Kanun'da yer alan aşağıdaki şartlardan birinin varlığı halinde kişisel verilerin açık rıza olmaksızın işlenmesi mümkündür:

i. Kanunlarda Açıkça Öngörülmesi: İlgili kişinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde, ilgili kanuni düzenleme ile sınırlı olarak hukuka uygun olarak işlenebilecektir.
ii. Fiili İmkansızlık Sebebiyle İlgili Kişinin Açık Rızasının Alınamaması ve Kişisel Veri İşlemenin Zorunlu Olması: Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda kişisel veriler işlenebilecektir.
iii. Kişisel Veri İşleme Faaliyetinin Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
iv. zunzhade’nin Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Kişisel Veri İşleme Faaliyetinin Zorunlu Olması: Şirketimizin, hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması halinde, ilgili kişinin kişisel verileri işlenebilecektir.
v. Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmesi: İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel veriler açık rıza olmaksızın işlenebilecektir.
vi. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması durumunda kişisel veriler açık rıza aranmaksızın işlenebilecektir.
vii. zunzhade’nin Meşru Menfaatleri İçin Kişisel Veri İşlemenin Zorunlu Olması: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, açık rıza şartı aranmaksızın kişisel veriler işlenebilecektir.

2.3 Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına Uygun Olarak İşlenmesi

Özel nitelikli kişisel veriler, yalnızca ilgili kişinin açık rızasının bulunması şartıyla işlenebilmektedir. Ancak cinsel hayat ve kişisel sağlık verileri dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla açık rıza aranmaksızın işlenebilir. Dolayısıyla Kanun uyarınca aksi öngörülmedikçe özel nitelikli sağlık verileri yalnızca açık rıza kapsamında veya sır saklama yükümlülüğü altında olan Şirket hekimi tarafından işlenebilmektedir. zunzhade, özel nitelikli kişisel verilerin korunması ve güvenliği hususuna azami hassasiyet göstermekte olup özel nitelikli kişisel verilerin korunmasına ilişkin alınan teknik ve idari önlemleri özenle uygulamakta ve Şirket bünyesinde gerekli denetimleri yapmaktadır.

2.4 Kişisel Verilerin Aktarım Şartlarına Uygun Olarak İşlenmesi

zunzhade, kişisel veri işleme amaçları doğrultusunda ve varsa açık rıza, yoksa hukuki sebeplerle sınırlı olarak gerekli güvenlik önlemlerini almak suretiyle ilgili kişinin kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirketimiz bu kapsamda Kanun'un 8. ve 9. maddelerinde öngörülen kişisel veri aktarım şartlarına uygun hareket etmektedir.

2.4.1 Kişisel Verilerin Yurt İçinde Aktarılması

zunzhade, Kanun'un 8. maddesi gereğince yurt içinde veri aktarımı faaliyetlerini veri işleme şartlarına uygun olarak yürütmektedir.

2.4.2 Kişisel Verilerin Yurt Dışına Aktarılması

zunzhade, Kanun'un 9. maddesi gereğince yurt dışına veri aktarımı faaliyetlerini veri işleme şartlarına uygun olarak (Bkz. İşbu Politikadaki maddeler dahilinde) yürütmektedir. Kişisel verilerin Kanun uyarınca açık rıza aranmaksızın aktarıldığı durumlarda, ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekmektedir:

Kişisel verinin aktarılacağı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması,
Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul'dan izin alınması gerekir.

2.4.3 Kişisel Verilerin Aktarıldığı Alıcı Grupları

zunzhade, Kanun'un 8. ve 9. maddelerine uygun olarak veri sahiplerinin kişisel verilerini, Şirketimizin hizmet sunan iş ortaklarına, tedarikçilerine, banka ve finans kuruluşlarına, hukuk, vergi vb. benzeri alanlarda destek aldığı danışmanlık ve denetim firmalarına, Şirket yetkililerine, hissedarlarına, kanunen yetkili kamu kurumlarına ve özel kişilere, Şirket adına kişisel veri işleyen yurt içi ve/veya yurt dışında depolama, arşivleme, bilişim teknolojileri desteği (sunucu, hosting, yazılım, bulut bilişimi vb.) alanlarında destek alınan hizmet sağlayıcılarına, ticari faaliyetlerini ve iş süreçlerini devam ettirmek amacıyla aktarabilmektedir. Kişisel verilerin aktarıldığı alıcı gruplarının sınıflandırılmasına bu Politika’nın 3. Bölümünde yer verilmiştir. Kişisel veri aktarımı halihazırdakilerden, kişisel veri aktarıldığı üçüncü kişilerin de işbu Politika’ya uymasını sağlamaktadır. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenmekte ve teknik tedbirler alınmaktadır.

3. ZUNZHADE TARAFINDAN İŞLENEN KİŞİSEL VERİ KATEGORİLERİ, İŞLENME VE AKTARIM AMAÇLARI, AKTARIM YAPILAN ALICI GRUPLARI

3.1 Kişisel Veri Kategorileri

zunzhade tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri kategorileri ve açıklamaları aşağıda düzenlenmiştir:

Kişisel Veri Kategorileri	Açıklama
Kimlik Verisi	Kişinin kimliğine dair bilgilerin bulunduğu verilerdir: ad-soyad, T.C. kimlik numarası, medeni durumu, ehliyet, uyruğu, anne-baba adı-soyadı, doğum yeri-tarihi ve veri kimlik bilgileri ve bu bilgileri içeren ehliyet, nüfus cüzdanı, pasaport, doğum sertifikası gibi belgeler ile vergi numarası, SGK numarası ve sair bilgilerdir.
İletişim Verileri	Telefon numarası, adres, e-posta adresi, gibi iletişim amaçlı kullanılan bilgiler ve bu bilgileri içeren ikamet belgesi gibi belgelerdir.
Özlük Verileri	Şirketimiz ile çalışma ilişkisi içerisinde olma kapsamında, gerçek kişilerin özlük haklarının oluşmasına temel olan bilgilerin elde edilmesine yönelik işlenen kişisel verilerdir.
Hukuki İşlem Verisi	Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi veriler olmak üzere Şirketimiz ile hukuki ilişki içerisinde olanların sebebiyle işlenen kişisel verilerdir.
Müşteri İşlem Verileri	Mağazalarımızdan veya her türlü çağrı merkezi kaydı, işlem geçmişi, sipariş bilgisi ve her türlü talep veya şikayet alınması ve değerlendirilmesi süreçlerinde elde edilen kişisel verilerdir.
Fiziksel Mekan Güvenliği Verileri	İşyeri ve showroomlarda yapılan ziyaretlere ilişkin giriş çıkış kayıt bilgisi, kamera kayıtlarının alınması süreçlerinde elde edilen kişisel verilerdir.
Mesleki Deneyim Verileri	Çalışanlarımızın ve tedarikçi çalışanlarının diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar gibi bilgilerine ilişkin işlenen verilerdir.
Pazarlama Verileri	Şirketimizin sunmuş olduğu faaliyetlerin iyileştirilmesi için alışveriş geçmişi bilgileri, anket, çerez kayıtları gibi işlenen kişisel verilerdir.
Görsel ve İşitsel Kayıtlar	Mağazalarımız, tedarikçilerimiz ve diğer üçüncü kişiler ile yapılan telefon görüşmelerinin kayıt edilmesi, Şirketimiz içerisindeki çalışanların katılım gösterdiği faaliyetler sırasında görsel kayıtlarının alınması gibi işlenen kişisel verilerdir.
Finansal Veriler	Şirketimizin veri sahibi ilgili kişi ile kurmuş olduğu hukuki ilişkiye göre ortaya çıkan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin kişisel verilerdir. Örn: Kredi kartı bilgisi, gelir bilgisi, IBAN numarası, vb.
Özel Nitelikli Kişisel Veriler	Kanunda sınırlı sayma yoluyla belirlenmiş, işlenmesi halinde veri sahipleri hakkında ayrımcılık yapılması riski taşıyan kişisel verilerdir. Örnek: Kan grubu da dahil olmak üzere sağlık verileri, biyometrik veriler, ceza mahkumiyeti ve güvenlik tedbirleri vb.
İşlem Güvenliği Verileri	Gerek veri sahiplerinin gerekse Şirketimizin teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel verilerdir.

3.2 İlgili Kişi Kategorileri

Aşağıda, işbu Politika kapsamında yer alan çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, iş bağlantılarımızın (tedarikçi ve benzeri iş ilişkisinde bulunduğumuz kurumların yetkili, hissedar ve çalışanlarının) ve üçüncü kişilerin tanımlama ve açıklamalarına yer verilmektedir.

3.2.1 İlgili Kişi Kategorileri Açıklama:
Çalışanlar: Şirketimiz ile çalışma ilişkisinde olan gerçek kişilerdir. Çalışan Adayları: Şirketimize herhangi bir yolla iş başvurusunda bulunup özgeçmiş ve iş başvuru formu ile ilgili bilgilerini Şirketimizin incelemesine sunmuş olan kişilerdir. Stajyer: Şirketimiz bünyesinde zorunlu veya isteğe bağlı staj yapan gerçek kişilerdir. Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir. Şirket Yetkilileri: Şirketimizin üst düzey yönetiminde yer alan veya Şirketimizin temsile yetkili gerçek kişiler ile tüzel kişilerin gerçek kişi temsilcileridir. Yönetim kurulu üyeleri de bu kapsamda değerlendirilir. Tedarikçi Yetkilisi ve Çalışanları: Şirketimizin faaliyetlerini yürütürken hizmet ilişkisi içerisinde bulunduğu gerçek kişiler ile tüzel kişi tedarikçilerin gerçek kişi temsilcileri ve işbu tedarikçi bünyesinde çalışan tüm gerçek kişilerdir. Diğer üçüncü kişiler herhangi bir ilgili kişi kategorisine girmeyen diğer gerçek kişilerdir.

3.3 Kişisel Veri Kategorileri ile İlişkili İlgili Kişi Gruplarının Eşleştirilmesi

Aşağıdaki tabloda yukarıda belirtilen kişisel veri kategorileri ve işlenme faaliyeti kapsamındaki kişisel veri kategorileri eşleştirilerek detaylandırılmaktadır:

Kişisel Veri Kategorileri	Açıklama / İlgili Kişi Grupları
Kimlik Verileri	Çalışan, Çalışan Adayları, Potansiyel Ürün veya Hizmet Alıcısı, Stajyer, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Müşterilerimiz
İletişim Verileri	Çalışan, Çalışan Adayları, Potansiyel Ürün veya Hizmet Alıcısı, Stajyer, Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Müşterilerimiz
Özlük Verileri	Çalışanlar, Çalışan Adayları, Stajyer, Tedarikçi Çalışanı
Hukuki İşlem Verileri	Çalışanlar, Müşteriler
Müşteri İşlem Bilgileri	Müşteriler, Potansiyel Müşteriler
Fiziksel Mekan Güvenliği Verileri	Çalışanlar, Müşteriler, Potansiyel Müşteriler, Ziyaretçiler
Mesleki Deneyim Verileri	Çalışanlar, Stajyerler, Tedarikçi Çalışanları, Tedarikçi Yetkilisi
Pazarlama Verileri	Müşteriler, Potansiyel Müşteriler
Financial Veriler	Çalışanlar, Stajyerler, Tedarikçi Yetkilisi
Görsel ve İşitsel Kayıtlar	Çalışan, Potansiyel Ürün veya Hizmet Alıcısı, Tedarikçi Çalışanı, Müşteriler
Özel Nitelikli Kişisel Veriler / Sağlık Bilgisi	Çalısan, Stajyer, Tedarikçi Çalışanı
Özel Nitelikli Kişisel Veriler / Ceza Mahkumiyeti ve Güvenlik Tedbirleri	Çalışan, Tedarikçi Çalışanı
Biyometrik Veri	Çalışanlar
İşlem Güvenliği Verileri	Müşteriler, Çalışanlar, Tedarikçi Çalışanları

3.4 Kişisel Verilerin İşlenme Amaçları

zunzhade, kişisel veri işleme faaliyetlerini aşağıda yer alan amaçlar doğrultusunda yürütmektedir. Kişisel veri işleme amaçları, iş süreçleri ve kişisel veri kategorilerinin ilişkilendirilmesiyle her iş birimi ve süreci bazında açık ve detaylı olarak belirlenmiş ve Şirketimiz Kişisel Veri Envanterine işlenmiştir:

Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar ve Menfaatlerin Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans ve Muhasebe İşlerinin Yürütülmesi
Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi ve Yürütülmesi
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Müşteri Memnuniyetine Yönelik AktiviteIerin Yürütülmesi
Organizasyon ve Etkinlik Yönetimi
Pazarlama Analiz Çalışmalarının Yürütülmesi
Performans Değerlendirme Süreçlerinin Yürütülmesi
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Stratejik Planlama Faaliyetlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Taşınır Mal ve Kaynakların Güvenliğinin Temini
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
Ücret Politikasının Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yatırım Süreçlerinin Yürütülmesi
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi

3.5 Kişisel Verilerin Toplanma Yöntemi ve Sebepleri

Şirketimiz ilgili kişilere ait kişisel verileri;

Şirketimize ait internet sitesi ve platformlarımız, çeşitli sosyal medya mecralarında, Şirketimiz satış ve pazarlama faaliyetleri kapsamında kullanılan e-posta, kısa mesajlar (“SMS”) veya multimedya mesajları (“MMS”),
Yazılı ve elektronik formlar dahil sair iletişim yöntemleri kanalıyla,
Şirketimiz ile iş faaliyetleri kapsamında imzalanan sözleşmeler, teklifler, sunulan ticari teklifler, basılı ve elektronik formlar, belgeler, yazışmalar aracılığıyla,
Yapılan iş görüşmeleri kapsamında elde edilen kartvizit ve sair belgeler aracılığıyla,
Şirketimizin, iş bağlantıları veya hizmet alınan tedarikçi ortağı firmalar gibi üçüncü kişiler kanalıyla, sözlü, yazılı veya elektronik ortamda olmak suretiyle, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan çeşitli yöntemler ile toplanmaktadır.

Bu yöntemler doğrultusunda toplanan kişisel veriler, işbu Politika'nın 2. Bölümünde yer alan veri işleme şartlarına uygun olarak ve yukarıda listelenen kişisel veri işleme amaçları doğrultusunda, KVKK ve diğer mevzuatta zorunlu kılınan süreleri uygun kalmak ve gerekli tüm idari ve teknik tedbirleri almak suretiyle muhafaza edilmektedir.

4. KİŞİSEL VERİLERİN KORUNMASINA DAİR HUSUSLAR

Şirketimiz, Kanun'un 12. maddesine uygun olarak, işlemekten olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için imkanlar dahilinde korunacak verinin niteliğine uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.

4.1 Kişisel Verilerin Güvenliğinin Sağlanması

4.1.1 Teknik Tedbirler

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca teknik tedbirler aşağıda listelenmiştir:

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Erişim logları düzenli olarak tutulmaktadır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli veriler şifrelenerek aktarılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.

4.1.2 İdari Tedbirler

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca idari tedbirler aşağıda listelenmiştir:

Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, ilgili mevzuat hakkında farkındalık eğitimleri verilmektedir.
Mağazalar tarafından yürütülen faaliyetlerin detaylı veri aktarım gerekçeleri her iş kolu özelinde protokoller hazırlanmış ve uygulamaya alınmıştır.
Kişisel veri işlemeye başlamadan önce Şirketimiz tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işlemeye başlamadan önce Şirketimiz tarafından, Özel Nitelikli Kişisel Verilerin Korunmasına ilişkin şirket içi politika ve prosedürler hazırlanmış ve uygulamaya alınmıştır.
Kişisel veri işleme envanteri hazırlanmıştır.
KVKK Uyum sürecinde veri minimizasyonu ilkesine uyularak çalışmalar yapılmıştır.
Kanun'ya uyum sürecinin gerçekleştirilmesi ve sürekliliğin sağlanması amacı ile Kişisel Verileri Koruma Komitesi oluşturulmuş, bu grubun eğitilmesi sağlanmıştır.
Kişisel Verilerin Saklanması ve İmhasına ilişkin, Özel Nitelikli Kişisel Verilerin Korunmasına ilişkin şirket içi politika ve prosedürler hazırlanmış ve uygulamaya alınmıştır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Gizlilik taahhütnameleri yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

4.1.3 Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

zunzhade, Kanun uyarınca, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları, Şirketin iç işleyişi kapsamında Kişisel Verileri Koruma Komitesine, üst yönetime ve konu ile ilgili bölüme raporlanmakta, aksiyonlar planlanmakta ve alınan tedbirlerin iyileştirilmesi için planlanan aksiyonların takibi, ilgili süreç sahipleri ve Kişisel Verileri Koruma Komitesi tarafından takip edilerek yürütülmektedir.

4.1.4 Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi veya ifşa edilmesi halinde Şirketimiz, bu durumu en kısa sürede ilgili kişisel veri sahibine ve Sosyal taraftan itibaren 72 saat içerisinde Kurul’a bildirecektir.

4.2 Özel Nitelikli Kişisel Verilerin Korunması

Kanun birtakım kişisel verileri, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel olarak addetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inancı, dini, mezhebi veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun'da "özel nitelikli" olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında Şirketimiz tarafından azami hassasiyet gösterilmektedir. Mağazalar, özel nitelikli kişisel verilerin güvenliği hususuna azami özenle yaklaşmakta ve bu konuda ayrı bir Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası hazırlamış olup, Şirket bünyesinde gerekli denetimleri sağlamaktadır.

4.3 İlgili Kişilerin Haklarının Korunması

Mağazalar, kişisel veri sahiplerinin Politika ve Kanun’un uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. Kişisel veri sahiplerinin hakları ile ilgili ayrıntılı bilgiye işbu Politika’nın 5. Bölümünde yer verilmiştir.

5. İLGİLİ KİŞİLERİN HAKlARI, BU HAKLARIN KULLANILMASINA DAİR HUSUSLAR

5.1 İlgili Kişinin Hakları

İlgili Kişi, Kanun’un 11. maddesi uyarınca Şirketimize başvurarak kendisiyle ilgili;

Kişisel verilerinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

5.2 İlgili Kişinin Haklarını Kullanamayacağı Haller

İlgili Kişiler, Kanun'un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, bu konularda 5.1'de sayılan haklarını ileri süremezler:

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uymak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun'un 28. maddesinin ikinci fıkrası uyarınca ise, aşağıdaki hallerde veri sahibinin zararın giderilmesini talep etme hakkı hariç bu Politika'nın 5.1 maddesinde belirtilen haklarını kullanamazlar:

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

5.3 İlgili Kişinin Haklarını Kullanması

İlgili Kişi, işbu Politika'nın 5.1 maddesinde belirtilen haklarını, https://www.zunzhade.com adresinde yer alan başvuru formunu doldurup ıslak imzalı olarak veya kayıtlı elektronik posta adresi, güvenli elektronik imza, mobil imza veya Şirketimize daha önce bildirilen ve sistemlerde kayıtlı olan elektronik posta adresi vasıtasıyla iletmek suretiyle kullanabileceklerdir.

Yukarıda adresi sağlanan "Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru Formu"nda yapılacak başvurunun yöntemi ayrıntılı bir şekilde açıklanmaktadır. İlgili Kişinin bu hakkını vekili aracılığıyla kullanmak istemesi durumunda, yetkili makamlar tarafından düzenlenmiş veya onaylanmış kimliğini tevsik edici belgelerin, varsa talebi destekleyici belgelerin, başvuru formunun ekinde Şirketimize iletilmesi gerekmektedir.

5.4 Zunzhade'nin Başvurulara Cevap Vermesi

zunzhade, kendisine yöneltilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracaktır. Taleplerin yerine getirilmesi sebebiyle bir maliyet doğması halinde Kurulca belirlenen tarifedeki ücretleri talep edilebilecektir. Şirketimiz, talebi kabul edebileceği gibi gerekçesini açıklamak suretiyle reddedebilir; cevabını kişisel veri sahibine yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde Şirketimiz, talebin gereğini yerine getirir.

6. POLİTİKANIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası Kişisel Verileri Koruma Komitesi uhdesinde saklanır.

7. POLİTİKANIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyulduğunda Kişisel Verileri Koruma Komitesi tarafından gözden geçirilir ve gerekli olan bölümler güncellenir.

8. POLİTİKANIN YÜRÜRLÜĞÜ, YÜKÜMLÜKTEN KALDIRILMASI VE YÜRÜTME

Politika, Şirketimizin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika'nın ıslak imzalı eski nüshaları Kişisel Verileri Koruma Komitesi başkanları ve üyeleri tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Kişisel Verileri Koruma Komitesi uhdesinde saklanır.