Gizlilik Sözleşmesi

1.GİRİŞ

Kişisel verilerin korunması Türkiye Cumhuriyeti kanunlarına uygun şekilde Davul Gıda ve Eğlence Yatırımları A.Ş. olarak kurulmuş ve fasılasız bir şekilde varlığını sürdüren, İzmir Ticaret Sicil Memurluğu nezdinde 206141 sicil numarası ile kayıtlı ve merkezi Mavişehir Mahallesi Aziz Nesin Blv. C Blok No:24 İç Kapı No:z04 Karşıyaka İzmir adresinde yer alan Davul Gıda ve Eğlence Yatırımları A.Ş. ("Veri Sorumlusu") bakımından büyük önem arz etmektedir. Bu sebepledir ki Veri Sorumlusu olarak müşterilerimizin Kişisel Verilerinin korunmasına önem vermekte ve Kişisel Verilerinizin korunmasını bir şirket politikası haline getirmiş ve işbu Kişisel Verilerin Korunması, İşlenmesi ve İmha Politikası'nı ("Politika") hazırlamış bulunmaktayız.

İşbu Politika ile kişisel verilerin korunması hususundaki ilke ve esaslar ortaya konulmakta ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") ve ilgili sair mevzuat gereğince yerine getirilecek esaslar ile alınan tedbirlerin izahı yapılmaktadır.

İşbu Politika’da, http://nappopizza.com adresli internet sitesi, mobil uygulamalar ve çağrı merkezi ile restoran telefonları üzerinden kullanıcı/üyeler/ziyaretçiler tarafından paylaşılan veya üretilen Kişisel Verilerin işlenmesi, aktarılması ve korunmasına ilişkin şartlar, koşullar ve alınan teknik ve idari tedbirler düzenlenmiştir.

Bu doğrultuda, söz konusu Politikamız ile Kişisel Verilerin işlenme yöntemi, verilerin güvenliğinin sağlanması, bu konuda uygulanan yöntemler, Kişisel Verilerin kategorizasyonu, imha zamanı ve şekli, Müşterilerin erişim ve dikkatine saygıyla sunulmaktadır.

2.POLİTİKANIN HAZIRLANMA AMACI

İşbu Politika, Veri Sorumlusu tarafından, Kanun'da öngörülen ilke ve esaslara uyum sağlanması adına Kişisel Verilerin işlenmesi, korunması, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgililerin aydınlatılması ve veri güvenliğinin sağlanması ile ilgili yükümlülüklerin ne şekilde gerçekleştirileceğinin, bu konularda ne türden idari ve teknik tedbirler alındığının açıklanması ve belirlenmesi amacıyla hazırlanmıştır.

3.POLİTİKANIN KAPSAMI

İşbu Politika, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Kişisel Verileri işlenen Müşteriler için hazırlanmıştır. İşbu Politika'nın yalnızca Veri Sorumlusu'nun müşterileri tarafından sağlanan veriler için hazırlanmış olması nedeniyle Veri Sahibi kategorizasyonu yapılmasına gerek duyulmamıştır.

4.TANIMLAR

İşbu Politika'da yer alan kavram ve terimler aşağıdaki anlamları ifade etmektedir.

Açık Rıza

Belirli bir konuya ilişkin olmak şartıyla bilgilendirilmeye dayalı olan ve rızayı verenin özgür iradesi sonucunda açıklanan kabulü ifade eder.

Antivirüs

Kişisel Verilerin güvenliğini sağlamak ve zararlı yazılımlar ile siber saldırıları önleme adına kullanılan yazılım güvenliği programını ifade eder.

Anonim Hale Getirme

Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

BS 10012 Standardı (Kişisel Verilerin Yönetimi Standardı) 

Veri güvenliği ve saklanması için oluşturulmuş olan uluslararası standardı ifade eder.

Güvenlik Duvarı

Kişisel Veri ve güvenliğini tehdit edebilecek saldırılardan korunmak amacıyla kullanılan yazılım sistemini ifade eder.

İnternet Sitesi

Veri Sorumlusu'na ait http://nappopizza.com adresini ifade eder.

IP (İnternet Protokolü) Adresi

İnternete erişimin sağlandığı cihazın hangi servis sağlayıcısı veya ağı kullandığını ve internete hangi konumdan bağlandığını belirleyen özgün belirleyici nitelikte numaradır.

Kasa Yazılımı (POS)

Müşterinin, üye olduktan sonra verdiği siparişlerinin ödemesinde kullanılan yazılımı ifade eder.

Kaba Kuvvet Algoritması (BFA)

Kişisel Verilerin tutulduğu sisteme yasadışı girişlerin önlenmesi amacıyla kullanılan ve veri güvenliğini sağlayan yazılım sistemini ifade eder.

Kişisel Veri 

Kimliği belirli veya belirlenebilir Müşterilere ilişkin isim-soy isim, kimlik bilgileri, e-posta adresi ve telefon numarası gibi her türlü bilgiyi ifade etmektedir. Tüzel kişilere ilişkin bilgilerin işlenmesi KVK Kanunu kapsamında değildir.

Kişisel Verilerin İmha Edilmesi

Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.

Kişisel Verilerin İşlenmesi

Müşterinin Kişisel Verilerinin tamamen ya da kısmen otomatik ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Veri Sahibi

Kişisel Verileri işlenen müşterileri ifade etmektedir.

Kişisel Verilerin Silinmesi

Kişisel Verilerin silinmesi, Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Login Credential Bilgisi

Müşterilerin üyelikleri kapsamında sipariş verirken erişim sağladıkları sipariş sayfasına girişte kullanılan ve giriş için gerekli olan bilgileri ifade eder.

Log Kayıtları

Veri Sorumlusu veya yetkilendirdiği kişi veya kurumların, Kişisel Verilerin kayıtlı olduğu sunuculara erişim ve bilgi elde edilmesine ilişkin, tüm kullanıcıların işlem hareket kayıtlarını ifade eder.

Müşteri

Veri Sorumlusu ile Üyelik Sözleşmesi akdeden ve/veya Veri Sorumlusunun internet sayfasından, mobil uygulamalarından ve/veya restoranlarından sipariş veren gerçek kişileri ifade eder.

Periyodik İmha

Kanunda yer alan Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda 6 (altı) aylık dönemler içerisinde Veri Sorumlusu tarafından resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

Politika

İşbu Kişisel Verilerin Korunması, İşlenmesi ve İmha Politikası’nı ifade eder.

SSL

Sunucu ile istemci arasında akan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikayı ifade eder.

Üyelik Sözleşmesi

Müşterinin sipariş verebilmek adına internet sitesi veya mobil uygulamalar üzerinden onayladığı sözleşmeyi ifade eder.

Veri İşleyen

Veri Sorumlusunun yaptığı Veri İşleme Sözleşmesi ve buna istinaden verdiği yetkiye dayanarak Kişisel Verileri işleme faaliyetini gerçekleştiren kişiyi ifade eder.

Veri Kaybı/Sızıntısı Önleme 

Kişisel Verilerin, yanlışlıkla ya da kötü niyetli kişilerce kurum dışına çıkarılmasına engel olan ya da engel olmadan işlemi raporlamaya yarayan güvenlik yazılımını ifade eder.

Veri Sorumlusu

Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Davul Gıda ve Eğlence Yatırımları A.Ş. ifade eder.

Yetki ve Kontrol Matrisi

Kişisel Verilerin kayıtlı olarak tutulduğu sunuculara erişim sağlayacak kişilerin belirlenerek sınırlandırılmasını ifade eder.

Yönetmelik 

28.10.2017 tarih ve 30224 sayılı Resmi Gazetede yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade eder.

5. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ

5.1. Kişisel Verilerin Toplanmasının Hukuki Sebebi

Kişisel Veriler, Veri Sorumlusu tarafından Veri İşleyen vasıtasıyla, Veri Sorumlusunun faaliyetlerini sürdürebilmesi için Kanun'un 5/2 hükmünün alt bentlerine uygun düştüğü şekilde, üyelik ve verilen sipariş uyarınca sözleşmenin kurulması ve ifasıyla doğrudan ilgili olması, Veri Sorumlusunun Müşteriye karşı sözleşmesel ve hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, Üyelik Sözleşmesi gereği hakkın tesisi, kullanılması veya korunması için gerekli olması hallerine dayanılarak toplanmaktadır.

Bu kapsamda Kişisel Veriler, Üyelik Sözleşmesinin gereği olarak verilen siparişlerin teslim edilebilmesi, herhangi bir aksaklık veya siparişlere ilişkin sair bir sorun yaşanması halinde iletişim kurulabilmesi, sipariş içerikleri ile Müşterilere özel kampanya ve fırsatlar oluşturulabilmesi hukuki sebeplerine dayalı olarak toplanmaktadır.

5.2. Kişisel Verilerin Toplanma ve İşlenme Yöntemi

Kişisel Veriler, Müşterinin yemek siparişinin teslim edilebilmesi, sunulan avantajlardan faydalanabilmesi, kampanyalardan haberdar olabilmesi adına Veri Sorumlusuna ait İnternet Sitesi üzerinden, Veri Sorumlusunun akıllı telefon uygulamaları, çağrı merkezi ya da restoran telefonları üzerinden yapılacak üyelik kaydı, üyelik bilgileri değişikliği ve bu işlemleri gerçekleştirilirken paylaşılan bilgiler ve üyelik adına oluşturulan kullanıcı adı, şifre ile verilen siparişlerin içeriği ve kapsamı dahilinde toplanmaktadır.

Kişisel Veriler, aşağıdaki izah edilen amaçlar doğrultusunda, Kanun’un 5 ve 6. maddelerinde belirtilen şartlar ve amaçlarla sınırlı olmak üzere Veri Sorumlusunun yaptığı Kişisel Veri İşleme Sözleşmesi kapsamında verilen yetki ile hizmet aldığı Veri İşleyen tarafından elektronik ortamda işlenecek ve muhafaza edilecektir. [BKA1] Veri İşleyen ise, Veri Sorumlusundan aldığı yetkiyle işlediği verileri, Türkiye'de kiraladığı sunucular üzerinde kayıt altına almaktadır. Bu kapsamda, Kişisel Verilerin işlenmesi tamamen ya da kısmen otomatik veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilmektedir.

İşlenecek ve muhafaza edilecek Kişisel Veriler ise üyelik kaydı ve/veya mevcut üyelik bilgilerinde yapılan değişiklikler esnasında Müşteri tarafından paylaşılan bilgiler ile üyelik boyunca verilen sipariş içerikleri, tarihleri, ücretleri şeklindeki bilgiler ile sınırlıdır. 

Bu kapsamda Kişisel Veriler, elektronik veya çağrı ortamında sağlanan bu bilgelerle sınırlı olarak işlenmekte ve yalnızca özel şifre ve kullanıcı adıyla erişilebilen güvenli bir ortamda ve Veri Sorumlusunun kendi bünyesinde erişim izni tanıdığı ve önceden belirlenen yöneticilerin, çalışanların, şubelerin, çalışanların, Kişisel Veri işlemek için profesyonel hizmet alınan üçüncü kişilerin ve bulut hizmet sağlayıcılarının erişimine açılmaktadır. Önemle belirtilmelidir ki, aşağıda yer alan Kişisel Veri türlerinden üye olurken tanımlanan parola bilgisine hiçbir kişi erişim sağlayamamakta, bahsi geçen parola kullanılan sistem üzerinden oluşturulmakla tanımlanmaktadır.

Bu kapsamda Müşterinin işlenecek veya işlenmekte olan Kişisel Verileri şu şekilde sıralanabilir:

a. İsim ve soyisim,

b. Cep telefonu ve sabit telefon numarası,

c. Cinsiyet,

d. Ev ve/veya işyeri adresi

e. Elektronik posta adresi

f. Veri Sorumlusu'na iletilen her türlü talep, görüş, şikayet ve öneriler

g. Parola bilgisi,

h. Sipariş verilen ürünlerin tipi, kodu, adedi, tarihi ve fiyat bilgisi,

i. Ödeme bilgileri,

j. IP adresi,

k. Çerez (cookie) kayıtları.

Müşterinin İnternet Sitesi ya da mobil uygulama üzerinden siparişleri vermesinden sonra bu siparişlerin doğru ve kaliteli bir şekilde teslimatlarının yapılabilmesi için üyelik esnasında bildirilen adresle irtibatlı olan şubeye veriler aktarılmaktadır. Şubedeki yetkili kişiler, Kişisel Verilere erişim sağlamaktadır.

5.3. Kişisel Verilerin İşlenme Amacı

Kişisel Veriler, Veri Sorumlusu ile yapılan Üyelik Sözleşmesi kapsamında, siparişlerin verilebilmesi, teslim edilebilmesi ve Müşterinin çeşitli fırsat ve kampanyalardan haberdar edilerek bu fırsatların kullanımını sağlayabilmesi amacıyla işlenmektedir. Bu kapsamda başta Müşterinin adresi olmak üzere e-posta adresi, cep telefonu ve sabit telefon numaraları da siparişlerin teslim edilebilmesi ve siparişlere veya teslimata ilişkin çıkabilecek soru veya sorunlarda iletişim kurulabilmesi amacıyla işlenmektedir. Müşteri tarafından üyelik esnasında girilen adres bilgisi, Veri Sorumlusunun ilgili şubesine veya Franchise Sahiplerine yönlendirilmek ve siparişlerin teslimat adresini belirleyebilmek ve nihai olarak teslimatın yapılabilmesi adına kullanılmaktadır. Ayrıca Kişisel Veriler, Müşteriye özel olarak kampanyalar, indirimler ve promosyonlar oluşturulabilmesi ve Veri Sorumlusunun işini, planlamasını, operasyonlarını geliştirebilmesi amacıyla işlenmektedir.

Bunun yanında, Müşterinin doğum tarihi ve cinsiyeti ise onlar için önem arz edebilecek (doğum günü, dünya kadınlar günü vb.) günlerde özel kampanyalar oluşturabilmek, üyelik boyunca verilen sipariş içerikleri ise Veri Sorumlusunun ürünlerine Müşterinin yatkınlık ve alışkanlıklarının belirlenebilmesi ve bu yönüyle onlar için hem kişiselleştirilmiş hem de avantajlı fırsatlar sunabilmek, tanıtım ve önerilerde bulunabilmek adına işlenmektedir.

Öte yandan, yukarıda ifade edilen Kişisel Veriler, Veri Sorumlusu tarafından pazar araştırması faaliyetlerinin planlanması ve yürütülmesi, Müşterilerin memnuniyetinin ölçümlenebilmesi, kişiye veya belirli gruplara özel kampanyaların ve tüketici lehine fırsatların oluşturulabilmesi, satış sonrası destek hizmetlerinin sağlanabilmesi, Müşterilerin şikayetlerinin toplanması ve çözüm yolları üretilmesi ve devamında mevzubahis şikayetler hakkında geri dönüş sağlanabilmesi, verilerin doğru ve güncel olarak tutulabilmesi ve bu sayede daha iyi hizmet sağlanabilmesi, finans, muhasebe ve hukuki süreçlerin organize edilebilmesi, üretim, operasyon ve lojistik hizmetlerin gereği gibi ifa edilip edilmediğinin ve hizmetlerin ne şekilde geliştirilebileceğinin analiz edilebilmesi amacıyla işlenmekte ve muhafaza edilmektedir.

6. KİŞİSEL VERİLERİN KATEGORİZE EDİLMESİ

İşlediğimiz Kişisel Verileriniz aşağıda belirtilen şekilde Kanuna uygun olarak kategorize edilmiştir. Kanunun 3. ve 7. maddeleri çerçevesinde anonim hale getirilen veriler, anılan kanun hükümleri uyarınca kişisel veri olarak kabul edilmeyecek ve bu verilere ilişkin işleme faaliyetleri işbu Politika hükümleri ile bağlı olmaksızın gerçekleştirecektir.

Kişisel Veri Kategorizasyonu

Kategorizasyon Açıklaması

İlgili Kişisel Verinin İlgili Olduğu Veri Sahipleri

Kimlik ve İletişim Bilgisi

İsim, soy isim, cinsiyet, doğum tarihi, cep telefonu ve sabit telefon numarası, ev ve/veya işyeri adresi, elektronik posta adresi, IP adresi

Müşteriler

Kullanıcı Bilgisi

Sipariş verebilmek adına üyelik kaydı yaparken oluşturduğu kullanıcı adı, şifre ve Login Credentials kayıtları ve Müşterinin işlemlerine ilişkin log kayıtları

Müşteriler

Müşteri İşlem Bilgisi

Ürün ve hizmetlerin kullanımı ile alakalı kayıtlar, yorumlar, talepler ve talimatlar

Müşteriler

Pazarlama Bilgisi

Alışkanlıklar ve beğenileri gösteren raporlar ve değerlendirmeler, hedefleme bilgileri, çerez (cookie) kayıtları vb. bilgiler

Müşteriler

Sipariş Bilgisi

Sipariş verilen tarih ve saate ilişkin bilgiler, sipariş verilen ürünlerin tipi, kodu, adedi, tarihi, fiyat ve ödeme bilgisi

Müşteriler

Talep/Şikayet Yönetim Bilgisi

Veri Sorumlusuna iletilen her türlü talep, şikayet, görüş ve öneriler

Müşteriler

7. KİŞİSEL VERİLERİN AKTARIMI

7.1. Kişisel Verilerin Aktarım Amacı

Kişisel Veriler, Veri Sorumlusunun ticari stratejilerini belirlemek, geliştirmek, süreçlerin yönetimini sağlayabilmek, ticari faaliyetini sürdürebilmek ya da daha efektif ve Müşteri odaklı hizmet sunabilmesini sağlayabilmek, Müşterilerine yönelik kampanyalar ve çeşitli sadakat programları oluşturabilmek, gerektiğinde hukuki, mali, finansal hizmetlerden faydalanabilmek, Kişisel Verilerin profesyonel şekilde işlenmesini sağlayabilmek, üyeliğe ve siparişlere ilişkin çıkacak herhangi bir soru veya sorunda efektif şekilde çözüm yolları üretebilmek, yönetim ve iletişim faaliyetlerini planlayabilmek ve icrasını sağlayabilmek, İnternet Sitesinde sunulan hizmetleri geliştirebilmek ya da oluşan hatalara çözüm üretebilmek, her türlü talep, şikayet ve önerilere ilişkin aksiyon alabilmek amaçlarıyla aktarılabilecektir

7.2. Kişisel Verilerin Aktarılabileceği Kişiler

Kişisel Veriler yukarıda ifade edilen amaçlar doğrultusunda, otoriteler, bakanlıklar, yargı mercileri gibi yetkili kamu kurum ve kuruluşları ile Veri Sorumlusunun hukuki yükümlülüğünü yerine getirmesinin zorunlu olması, kanunların emredici hükümleri gereği ve kanunen yetkili kamu kurumları ve özel kişiler tarafından talep edilmesi halinde paylaşılmasının gerektiği durumlarda yukarıda belirtilen amaçlar doğrultusunda ve Kişisel Verilerin işlenme amacı ile ölçülü ve ancak mevzuatın izin verdiği sınırlar dahilinde (Kanunun 8. ve 9. maddelerine uygun olacak şekilde) veri güvenliği konusundaki hassasiyetimizi paylaşan yurtiçi ya da yurtdışındaki iş ortakları, tedarikçiler ile yetkili kamu kurumları ve özel kişilere aktarılabilecektir.

Bu kapsamda, Kişisel Veriler öncelikli olarak Veri İşleyen sıfatıyla işlemler gerçekleştirmesinden ötürü zorunlu olarak Veri İşleyen ile paylaşılacaktır. Bununla birlikte online siparişlerin Kasa Yazılımı (POS) ile entegre olmasından ötürü siparişin hazırlanabilmesi ve gönderiminin sağlanabilmesi adına isim, soyadı, telefon, adres ve sipariş detayları zorunlu olarak Kasa Yazılımına da aktarılmaktadır.

Ayrıca, Kişisel Veriler, tamamen özel şifre ve kullanıcı adıyla erişilebilen güvenli bir ortamda Veri Sorumlusunun bünyesinde erişim izni tanıdığı ve önceden belirlediği yöneticilerinin, çalışanlarının, Franchise Sahiplerinin ve bu Franchise Sahiplerinde görevli yöneticilerin, çalışanların, Kişisel Verileri işlemek için profesyonel hizmet alınan yurtiçi ve yurtdışındaki 3. kişilerin ve bulut hizmet sağlayıcılarının erişimine açılmaktadır.

Bununla birlikte önemle belirtmek gerekir ki, Veri Sorumlusu, Franchise Sahiplerine yalnızca bu Franchise Sahiplerinin kendi gönderim bölgelerinde yer alan Müşterilere ilişkin Kişisel Verileri aktarmaktadır. Bu yönüyle Veri Sorumlusunun Franchise Sahiplerine, Veri Sorumlusunun tüm Müşterilerinin Kişisel Verilerinin aktarılması söz konusu değildir.

Öte yandan, siparişe ilişkin ödemenin kredi kartı üzerinden yapılacak olması durumunda, kart bilgileri sanal pos yazılımı üzerinden ilgili bankalara da aktarılabilmektedir. Ödeme için Müşteriler tarafından girilen bilgiler hiçbir şekilde Veri Sorumlusu, Veri İşleyen ya da bilişim hizmeti alınan 3. kişiler tarafından kaydedilmemekte ve yalnızca ilgili banka tarafından ödeme yapılması sırasında kullanılmaktadır.

Bunun yanında Kişisel Veriler, Veri Sahibi ve Veri İşleyenin çalışanları, hissedarları, yöneticileri, dış hizmet sağlayıcıları, yurtiçi ve yurtdışındaki iş ortakları, Veri Sahibi ve Veri İşleyen tarafından araştırma, tanıtım, insan kaynakları, hukuk, mali ve vergi danışmanları, denetçiler, gibi danışmanlık alınan üçüncü kişiler ile gerektiğinde otoriteler, bakanlıklar, yargı mercileri gibi yetkili kamu kurum ve kuruluşları ile Veri Sorumlusunun ve Veri İşleyenin hukuki yükümlülüğünü yerine getirmesinin zorunlu olması, kanunların emredici hükümleri gereği ve kanunen yetkili kamu kurumları ve özel kişiler tarafından talep edilmesi halinde ise işlenme amacı ile ölçülü ve ancak mevzuatın izin verdiği sınırlar dahilinde (Kanun'un 8. ve 9. maddelerine uygun olacak şekilde) bu kişilerle de paylaşılabilecektir.

8. KİŞİSEL VERİLERİN İMHASI

8.1. Kişisel Verilerin İmha Edilmesinin Sebepleri

Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şartları ve sebepleri şu şekilde sıralanabilir:

Üye olunan İnternet Sitesinden üyeliğin sonlandırılması,

Veri Sahibi tarafından Veri Sorumlusuna Kişisel Verilerin silinmesi, yok   edilmesi veya anonim hale getirilmesine ilişkin iletilecek yazılı talep,

Kişisel Verilerin saklanması için belirlenen sürenin geçmesi,

Her ihtimalde Kişisel Verilerin işlenme amacının ortadan kalkması.

8.2. İmhanın Kapsamı

Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi bu verilerin tekrar kullanılamayacak ve geri getirilemeyecek şekilde imha edilmesi ya da söz konusu verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade etmektedir.

Öte yandan, imha edilmesi gereken Kişisel Verilerin üçüncü kişilere aktarılmış olması halinde, Veri Sorumlusu tarafından üçüncü kişilere imhası gereken Kişisel Verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi gerekliliği bildirilecektir.

Anonimleştirilmiş olan kişisel verilerin Kanun çerçevesinde araştırma, planlanma ve istatistiksel amaçlarla işlenmesi mümkündür. Bu tür işlemler için kişisel veri sahibinin rızası aranmamaktadır. Yine benzer şekilde anonimleştirilerek işlenen kişisel veriler Kanun kapsamı dışında bulunduğundan işbu Politikada yer alan haklar anonimleştirilen veriler açısından geçerli olmamaktadır.

Ayrıca, Kişisel Verilerin işlenmesi sonrasında yukarıda bahsedilen nedenlerden birinin gerçekleşmesinden ötürü silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerine ilişkin bütün kayıtlar, Yönetmeliğin 7.maddesi gereğince 3 (üç) yıl süreyle saklanacaktır. Herhangi bir şekilde yetkili resmi kurum veya kuruluşlardan talep edilmesi halinde silme, yok etme ve anonim hale getirme aşamasındaki yapılan işlemler paylaşılabilecektir.

8.3. Periyodik İmha Süreleri

Veri Sorumlusu, her 6 (altı) aylık dönemde yapacağı periyodik kontroller neticesinde Müşterilere ait Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda resen silme, yok etme veya anonim hale getirme işlemini gerçekleştirecektir. Bu halde, Müşteri tarafından yapılacak silinme veya yok edilme talepleri hariç olmak üzere, Kişisel Veriler, işlenme amacının ortadan kalkması durumunda periyodik imha süreci içerisinde gerekli ve makul bilgi güvenliği tedbirleri de alınmak suretiyle anonimleştirilerek kullanılmaya devam edilebilecek veya tekrar ulaşılamaz ve geri döndürülemez şekilde silinerek ortadan kaldırılabilecektir. Ayrıca, mevzuatta bazı Kişisel Veri türlerine ilişkin olarak özel saklama sürelerinin öngörülmesi durumunda, Kişisel Verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesinde bu sürelere de riayet edilecektir.

8.4. Saklama ve İmha Süreleri

Kişisel Veri Kategorizasyonu

Saklama Süresi

İmha Süresi

Periyodik Kontrol Süresi

Kimlik ve İletişim Bilgisi

Amaç devam ettiği sürece,

En son sipariş verilmesinden itibaren geçen 10 yıl süresince

·  İmha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde

·     Talep üzerine imha yükümlülüğünün doğması halinde 30 (otuz) gün içerisinde

6 ay

Kimlik ve İletişim Bilgisi

Amaç devam ettiği sürece,

En son sipariş verilmesinden itibaren geçen 10 yıl süresince

·  İmha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde

·     Talep üzerine imha yükümlülüğünün doğması halinde 30 (otuz) gün içerisinde

6 ay

Müşteri İşlem Bilgisi

Amaç devam ettiği sürece,

En son sipariş verilmesinden itibaren geçen 10 yıl süresince

·  İmha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde

·     Talep üzerine imha yükümlülüğünün doğması halinde 30 (otuz) gün içerisinde

6 ay

Pazarlama Bilgisi

Amaç devam ettiği sürece,

En son sipariş verilmesinden itibaren geçen 10 yıl süresince

·  İmha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde

·     Talep üzerine imha yükümlülüğünün doğması halinde 30 (otuz) gün içerisinde

6 ay

Sipariş Bilgisi

Amaç devam ettiği sürece,

En son sipariş verilmesinden itibaren geçen 10 yıl süresince

·  İmha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde

·     Talep üzerine imha yükümlülüğünün doğması halinde 30 (otuz) gün içerisinde

6 ay

Talep/Şikayet Yönetim Bilgisi

Amaç devam ettiği sürece,

En son sipariş verilmesinden itibaren geçen 10 yıl süresince

·  İmha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde

·     Talep üzerine imha yükümlülüğünün doğması halinde 30 (otuz) gün içerisinde

6 ay

9. VERİ GÜVENLİĞİNE İLİŞKİN TEDBİRLER

9.1. Genel Açıklamalar

Veri güvenliğinin sağlanması amacıyla, Kanun’un 12. maddesi uyarınca teknik ve idari tedbirler alınarak gerekli sistemler oluşturulmaktadır. Bu kapsamda Kişisel Verilerin hukuka aykırı olarak işlenmesi, Kişisel Verilere hukuka aykırı olarak erişimin önlenmesi ve verilerin güvenli bir ortamda muhafazasının sağlaması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler alınmaktadır.

Öte yandan, aşağıda belirtilen tedbirlerin alınması ve işleyişine ilişkin gerekli denetimlerin yapılması ve/veya yaptırılması amacıyla gerekli sistemler oluşturulmaktadır. Bu denetimler sonucunda elde edilen veriler konu ile ilgili birimlere raporlanmakta ve alınan/alınması gereken tedbirler güncellenmektedir. Alt yüklenicilerin, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesine ilişkin bilinçlenmelerinin ve denetimlerinin sağlanması için gerekli süreç ve sistemler oluşturulmaktadır.

Bunun yanı sıra, Kanun’un 12. maddesi uyarınca işlenen Kişisel Verilerin yasal olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili Kişisel Veri Sahibine ve Kişisel Verilerin Korunması Kurulu’na bildirimini gerçekleştirecek ve buna ilişkin bir sistem yürütülecektir.

9.2. Teknik Tedbirler

Kişisel Verilerin, Kanun ve mevzuata uygun olarak işlenmesi, korunması, muhafazası ve yetkisiz erişimlerin engellenmesi için mevcut teknik imkanlar dahilinde gerekli önlemler alınmaktadır. Bu kapsamda alınan teknik tedbirler aşağıdakileri içermektedir:

a) Kişisel Verilere yönelik olarak internet üzerinden gelecek her türlü saldırıyı bertaraf etmek adına güvenlik duvarı ve güvenlik zafiyeti yaratabilecek internet sitelerine erişimin engellenmesi adına ağ geçidinin oluşturulması,

b) Yazılım ve programların lisanslı olarak kullanılması, sürekli bir şekilde güncel tutulması ve kullanılmayanların silinmesi,

c) Yazılımlarda oluşabilecek güvenlik sorunlarının düzenli olarak kontrol edilerek önlenmesi ve yama yönteminin uygulanması,

d) Kişisel Verilere erişim yapacak çalışanların ve yetkililerin kendileri için oluşturulmuş şifrelerle sadece erişime izin verilmesi ve Kaba Kuvvet Algoritması (BFA) oluşturulması,

e) Kişisel Verilere erişim için yetki matrisi ve yetki kontrolü oluşturulması,

f) Kişisel Verilerin işlendiği tüm sistem üzerinde gerekli Antivirüs ve güvenlik yazılımlarının kullanılması ve bunların düzenli olarak güncellenmesi,

g) Tüm toplanan Kişisel Verilerin SSL tipi güvenli yollardan temin edilmesi,

h) Kişisel Verilerin toplanmasından silinmesine kadar tüm aşamaların hukuka uygunluk denetiminin yapılması,

i) Kişisel Verilere erişim sağlayan tüm yetkili ve görevli kişilerin işlem hareketlerini gösterir log kayıtlarının tutulması,

j) Kişisel Verilerin istem dışı olarak silinmesi veya erişilemez hale gelmemesi için düzenli olarak yedeklemenin ayrı bir server üzerinden ve ağ dışından yapılması,

k) Kişisel Veri kayıtlarının uluslararası kabul görmüş şifreleme programı ile şifrelenerek korunması,

l) Bulut ağı üzerinde kayıtlı bulunan Kişisel Verilere erişimin iki kademeli şifreleme yöntemi kullanılarak yapılabilmesi ve bu kayıtların kriptografik yöntemlerle şifrelenerek işlenmesi

9.3. İdari Tedbirler

Kişisel Verilerin, Kanun ve mevzuata uygun olarak işlenmesi, korunması, muhafazası ve yetkisiz erişimlerin engellenmesi için alınan İdari Tedbirler aşağıdakileri içermektedir:

a) Başta Kanun ve ikincil mevzuat olmak üzere Kişisel Verilerin hukuka uygun olarak işlenmesi hususlarında merkez çalışanları, Franchise Sahipleri ile bayilerin bilgilendirilmesi ve eğitilmesi,

bÇalışanlar ile akdedilen sözleşme, belge ve politikalarda Kanun ve ikincil mevzuatta yer alan düzenlemelere aykırı bir şekilde Kişisel Verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması ve işten ayrıldığında da bu yükümlülüklerin devam ettiğini içeren hükümlere yer verilmesi,

c) Kişisel Verilere erişimin, işleme amacı doğrultusunda yalnızca ilgili şube çalışanları ve duruma göre merkezde yetkilendirilmiş belirli kişilerle sınırlandırılması,

d) Kanunda belirtilen Kişisel Verilerin işlenmesi şartlarına uygunluğun sağlanması yönündeki zorunluluklar, her bir birim ve faaliyet açısından özel olarak tespit edilmelidir.

10. KİŞİSEL VERİ SAHİBİ'NİN KANUN’UN 11 NUMARALI HÜKMÜNDEKİ HAKLARI

10.1. Kişisel Veri Sahibi'nin Hakları

İşlenen Kişisel Verilerle ilgili olarak, mevzuat uyarınca Veri Sahibi sıfatıyla Müşterilerin sahip olduğu haklar şu şekilde sıralanabilecektir:

a) Kişisel Verilerin işlenip işlenmediğini öğrenme,

b) Kişisel Veriler işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel Veri işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d) Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,

e) Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

f) Kanunun 7. maddesi kapsamında Kişisel Verilerin silinmesini veya yok edilmesini isteme,

g) Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesine ve/veya kişisel verilerin silinmesini veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

h) Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

10.2. Başvuru Yöntemi

Veri Sahibi sıfatıyla Müşteriler, Kanun kapsamındaki taleplerini, Türkçe dilinde olmak koşuluyla, kimliklerinin tespit edilebileceği belgelerle birlikte ıslak imzalı olarak Mavişehir Mahallesi Aziz Nesin Blv. C Blok No:24 İç Kapı No:z04 Karşıyaka İzmir adresine bizzat teslim edebilir, noter kanalıyla gönderebilir ya da info@nappopizza.com adresine mail yoluyla iletebilecektir.

Öte yandan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca yapılacak başvuruda aşağıdaki bilgilerin yer alması zorunludur:

• Ad, soyadı ve başvuru yazılı ise imza,

• Türkiye Cumhuriyeti vatandaşları için T.C Kimlik Numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

• Tebligata esas yerleşim yeri veya iş yeri adresi,

• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

• Talep konusu,

• Konuya ilişkin bilgi ve belgeler

Veri Sorumlusu, Kanunda öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen Veri Sahiplerine, yine Kanunda öngörülen şekilde azami 30 (otuz) gün içerisinde cevap vermektedir. Kişisel Veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için Veri Sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

Veri Sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından ücret tarifesi öngörülmesi durumunda bu tarife üzerinden ücretlendirme yapılabilecektir.

Veri Sorumlusu, başvuruda bulunan kişinin Kişisel Veri Sahibi olup olmadığını tespit etmek adına Müşteriden bilgi talep edebilir, başvuruda belirtilen hususları netleştirmek adına, Kişisel Veri Sahibine başvurusu ile ilgili soru yöneltebilir.

11. YÜRÜRLÜK VE POLİTİKADAKİ DEĞİŞİKLİKLER

İşbu Politika yayımı tarihinde yürürlüğe girer.

İşbu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Yapılan yeni değişiklikler mümkün olan en kısa sürede yayınlanacak ve derhal uygulanmaya başlanılacaktır.