NUR KALAY TASARIM TEKSTİL İTHALAT İHRACAT TİCARET LİMİTED ŞİRKETİ (NUR KALAY), yaratıcısı ve halihazırda yetkilisi olan Nur KALAY tarafından 2015 yılında kurulmuştur. Nur KALAY; 2007 yılında güzel sanatlar fakültesinden mezun olmasının ardından birçok sanatçı ve iş kadınına Haute Couture ve Hazır Giyim Tasarımlar hazırladı ve sonrasında Türkiye’nin Hazır Giyim ve Perakende Mağazacılık sektöründeki öncü moda markalarında, Kadın Giyim ve Erkek Giyim Koleksiyonların da Dokuma / Örme / Triko / Denim / Deri Kategorilerinin Tasarım Sorumlusu olarak çalıştı. NUR KALAY’ın kuruluş yılı olan 2015 yılında 20 bayi ile serüvene başlayan Nur Kalay Collection; 2017 yılında yurt içi ve yurt dışında olmak üzere 50 bayideki cornerlarda yerini almıştır. 2018 yılında ilk perakende mağazasını açarak perakende mağazacılık sektörüne adım atmıştır. 2018 yılında www.nurkalay.com.tr ile online satışlara başlamıştır. 2020 yılının Haziran ayında; Türk Modacı’larını Dünyaya tanıtmak amacıyla, Türk Modasına Yön Veren 40 Tasarımcı arasına girerek Türk Modası Benim Projesi ile E-Ticaret sektöründe öncü Trendyol ile iş ortaklığına başlamıştır. Nur Kalay aynı zamanda; sektör ve eğitimin ayrılmaz bir bütün olduğu vizyonuyla, çeşitli Devlet ve Özel Üniversitelerin Moda Tasarım Bölümlerin de Moda Tasarım ve Bilgisayar Destekli Moda Tasarım Derslerin de eğitim ve seminerler vererek geleceğin tasarımcılarının yetişmesine destek olmaktadır. Türkiye Moda Tasarımcılar Derneği ve Türkiye Giyim Sanayicileri Derneği Üyesidir. Nur Kalay Türk Moda ve Tekstil Sektörünü Geleceğe taşımak misyonuyla; sanayinin önde gelen firmalarına; Trend, Koleksiyon oluşturma ve Ar-Ge Desteği vermektedir.

NUR KALAY’ın misyonu, ulusal ve uluslararası standartlarda ve gizliliği tam olan bir hizmet sunmaktır. Bu misyona ulaşmak üzere bilimsel ve ticari çalışmalarda üretilen ve tüketilen tüm bilgi varlıklarının güvenliğini sağlamak üzere NUR KALAY bünyesinde “Kişisel Veri İşleme Politikası”nın kurgulanması ve belirlenen prensipler çerçevesinde yürütülmesi amaçlanmaktadır.

Bu amaçtan hareketle, NUR KALAY nezdinde işlenen ve işlenecek tüm kişisel verilerin bu politikada belirlenen kurallar dahilinde işlemesinin gerçekleştirerek NUR KALAY’ın hem KVKK hem de GDPR nezdinde uyumlu bir şekilde faaliyetlerine devam etmesi ve bu kapsamda olabilecek risklerin minimize edilmesi hedefleyerek; kişisel verileri KVKK, GDPR ve uluslararası anlaşmalar ile bunların ikincil mevzuatlarına uyumlu bir şekilde işlenmesini ve korunmasını sağlamak için izlenecek yöntem ve ilkeleri düzenlemektir.

2. Kapsam

NUR KALAY, anayasal bir hak olarak düzenlenen kişisel verilerin korunması ve hukuksal güvence altına alınması konularında, sorumluluklarının farkındadır ve NUR KALAY nezdinde işlenen tüm kişisel verilerin güvenli bir şekilde işlenmesine önem vermektedir.

Kişisel Veri İşleme Politikası, NUR KALAY’ın veri sorumlusu ve/veya veri işleyen olarak dahil olduğu tüm süreçlerde uygulanacaktır. NUR KALAY çalışanları ve yetkilileri ile birlikte ortak bilgi paylaşımı olan hizmet alınan firmalar ve çalışanları, sözleşmesel ilişki içerisinde olan kişiler, tedarikçiler de aynı kapsamda değerlendirilecektir.

Bu politika, NUR KALAY tarafından, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde, ilgili detaylı politika ve prosedürler ve ekli belgeler ile birlikte uygulanmaktadır.

3. Tanımlar

Açık Rıza : Kişisel verilerin işlenmesine ilişkin, bilgilendirilmeye dayanan, özgür iradeyle açıklanan ve ilgili kişi tarafından verilen rıza

Anayasa : 9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazete’de yayımlanan 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası

GDPR : General Data Protection Regulation (EU) 2016/679

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü̈ bilgi

Kişisel Verilerin Anonim Hale Getirilmesi, Silinmesi ve Yok Edilmesi :

Anonimleştirme; kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi işlemi

Silinme; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Yok edilme; kişisel verilerin hiç̧ kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

KVK Kurulu : Kişisel Verilerin Korunması Kurulu

KVK Kurumu : Kişisel Verilerin Korunması Kurumu

KVKK : 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

NUR KALAY : Veri sorumlusu ve/veya veri işleyen olarak hareket eden Nur Kalay Tasarım Tekstil İthalat İhracat Ticaret Limited Şirketi

Veri İşleyen : Veri sorumlusunun organizasyonu dışında, veri sorumlusundan aldığı yetki ve talimat doğrultusunda gerçek kişilere ait kişisel verileri işleyen gerçek ve/veya tüzel kişiler

Veri Sahibi/İlgili Kişi: NUR KALAY tarafından kişisel verisi işlenen tüm gerçek kişiler

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu yukarıda belirtilen Veri sorumluları

Periyodik İmha : Kanunda yer alan kişisel verilerin islenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

4. Politikanın Uygulanması

Bu politika, içerdiği şartlara ek olarak belirlenen veya en azından bu politika ile aynı standartlarda kişisel verilerin korunmasını sağlayan NUR KALAY’ın farklı politika, prosedür ve metinlerindeki veri koruma şartlarını geçersiz kılmaz.

Bu politika, ek şartlar içermesi veya kişisel verilerin korunması için daha yüksek standart talep etmesi durumunda NUR KALAY’ın farklı politikalarındaki ilgili veri koruma şartlarını geçersiz kılar.

NUR KALAY’ın, veri işleme ve veri güvenliği ile bağlantılı diğer metinleri aşağıdaki gibidir. İşbu Politika’daki tanım ve kısaltmalar uygun oldukları ölçüde bu belge ve metinler için de geçerlidir.

A. Diğer Bağlantılı Belgeler

1. Kişisel Veri İşleme Envanteri

2. Aydınlatma Metinleri

a. Kişisel Verilerin Korunması Aydınlatma Metni (Cari Müşteri)

b. Kişisel Verilerin Korunması Aydınlatma Metni (Çalışan Adayı)

c. Kişisel Verilerin Korunması Aydınlatma Metni (E-Ticaret Müşterisi)

d. Kişisel Verilerin Korunması Aydınlatma Metni (Çalışan)

e. Kişisel Verilerin Korunması Aydınlatma Metni (Mağaza Müşteri)

f. Kişisel Verilerin Korunması Aydınlatma Metni (Tüzel Kişi Çalışan, Yetkilisi )

g. Kişisel Verilerin Korunması Aydınlatma Metni (Websitesi E-Bülten)

h. Kişisel Verilerin Korunması Aydınlatma Metni ( Websitesi Üyesi)

3. Çerez Politikası

4. Kişisel Verilere Erişim Yetki Matrisi

5. Açık Rıza Metni

6. Gizlilik Metinleri

a. Personel Gizlilik Metinleri

b. Veri İşleyenler Gizlilik Metinleri

7. Veri Sahibi Başvuru Formu

8. Kişisel Veri İmha Tutanakları

Kişisel verilerin işlenmesi ve korunması sürecinde yürürlükte bulunan ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacaktır. Mevzuat hükümleri ile politika hükümleri arasında çelişki bulunması halinde NUR KALAY, güncel mevzuat hükümlerinin geçerli olacağını kabul etmektedir.

Politika, NUR KALAY uygulamalarının ilgili mevzuat tarafından ortaya konulan kurallara göre düzenlenmesinden oluşturulmuştur.

Veri sorumlusu olarak NUR KALAY,

· Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

· Kişisel verilerin hukuka aykırı olarak aktarılmasını önlemek,

· Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

· Kişisel verilerin güvenliği sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Verilerin korunması ile ilgili olarak NUR KALAY’ın yükümlülüklerinin ana kaynağı KVKK, GDPR ve bağlantılı ikincil mevzuatlardır.

5. Kişisel Verilerin Korunmasına Yönelik Hususlar

5.1. NUR KALAY Bünyesinde İşlenen Kişisel Veriler ve Envanter

NUR KALAY bünyesinde işlenen kişisel verilerin tespiti amacıyla NUR KALAY tarafından Kişisel Veri İşleme Envanteri hazırlanmıştır.

NUR KALAY bünyesinde envanterde belirtilenler dışında başkaca verilerin işlenmesi esasen yasaktır. Ancak NUR KALAY’ın faaliyetleri için yeni veri grubunun işlenmesinin zorunlu ve/veya gerekli olması durumunda yeni veri grubu önceden envanterde gerekli ekleme yapılarak işlenebilir.

Envanterde NUR KALAY tarafından işlenen veriler faaliyet bazında kategorilere ayırılmıştır. Bu kapsamda NUR KALAY bünyesinde veri işleme yapılan faaliyetler;

iş sözleşmesinin kurulması ve ifası, işe alım, taşınır ve taşınmaz yönetimi, muhasebe faaliyetleri, reklam ve tanıtım faaliyetleri, işlem güvenliğinin sağlanması, satış faaliyetleri, e-ticaret satış faaliyetleri, websitesi yönetim faaliyetleri, mağaza giriş çıkışlarının ve ürün satışlarının takibidir.

5.1.1 İş Sözleşmesinin Kurulması ve İfası

İş sözleşmesinin kurulması ve ifası faaliyeti kapsamında NUR KALAY veri sorumlusu olarak çalışanların; kimlik, iletişim, işitsel ve görsel kayıtlar, özlük, finansal ve sağlık verilerini ile çalışan ve çalışan yakınlarının kimlik ve iletişim bilgilerini işlemektedir.

5.1.2. İşe Alım

NUR KALAY bünyesinde işe alım esas olarak aracı insan kaynakları şirketleri (Kariyer.net,, eleman.net, Linkedin ) üzerinden veya NUR KALAY’a gönderilen bilgi ve talepler (mail) doğrultusunda gerçekleştirilmektedir. Buna ek olarak referans bazlı işe alım süreçleri de uygulanmaktadır. Bu sayılanlar dışında işe alım yapılmamakta ve çalışan adaylarının verileri NUR KALAY bünyesinde başka yerde işlenmemektedir.

Bu kapsamda NUR KALAY nezdinde çalışan adaylarının kimlik, iletişim ve özlük bilgileri işlenmektedir.

5.1.3. İş Sağlığı Ve Güvenliği Faaliyetlerinin Yürütülmesi

İş sağlığı ve güvenliği faaliyetlerinin yürütülebilmesi adına çalışanların sağlık verileri ile kimlik verileri işlenmektedir.

5.1.4. Sözleşme Süreçlerinin Yürütülmesi

Hizmet alınan üçüncü kişiler ile akdedilmiş olan sözleşmelerin ifa edilebilmesi adına hizmet alınan üçüncü kişilere ait olan kimlik verileri ile finansal veriler işlenmektedir.

5.1.5. Taşınır ve Taşınmaz Yönetimi

Taşınır ve taşınmaz yönetimi faaliyeti kapsamında NUR KALAY nezdinde NUR KALAY ile kira sözleşmesi imzalamış olan karşı tarafa ait kimlik, finansal ve iletişim bilgisi işlenmektedir.

5.1.6. Fiziksel Mekan Güvenliğinin Temini ve Takibi

Mağaza ve iş yeri giriş çıkışlarında fiziksel mekan güvenliğinin temini ve takibi için müşterilere ve çalışanlara ait görsel ve işitsel veriler işlenmektedir.

5.1.7. Muhasebe Faaliyetleri

Muhasebe faaliyetleri kapsamında NUR KALAY nezdinde; çalışanların kimlik ve finansal bilgilerini, hizmet alınan üçüncü kişilerin (avukat, danışman, muhasebeci vb) kimlik ve finansal verilerini, hissedarların kimlik ve finansal bilgileri işlenmektedir.

5.1.8. Websitesi Yönetim Faaliyetleri

NUR KALAY’a ait resmi websitesinin yönetim faaliyetlerinin yerine getirilebilmesi adına; Websitesi E--Bülten abonelik Talebinde bulunanlara ait iletişim verileri ve Websitesi Üyelerine ait kimlik verileri, iletişim verileri işlenmektedir.

5.1.9. İşlem Güvenliğinin Sağlanması

İşlem güvenliğinin sağlanması faaliyeti kapsamında NUR KALAY nezdinde, çalışanların güvenlik verisi, E Ticaret Müşterilerinin, E Ticaret Üyelerinin ve E Ticaret Ziyaretçilerinin internet gezinme verisi işlenmektedir.

5.1.10. Satış Faaliyeti

Satış faaliyeti kapsamında NUR KALAY nezdinde; tüzel kişi müşterilerinin ve yetkililerinin kimlik, iletişim bilgileri, cari müşterilerin kimlik ve iletişim bilgileri, mağaza müşterilerine ait kimlik ve iletişim verileri işlenmektedir.

5.1.11. E-Ticaret Satış Faaliyeti

E-ticaret satış faaliyeti kapsamında NUR KALAY nezdinde; e ticaret müşterisinin / e ticaret üyesinin/ e ticaret ziyaretçisinin çerez bilgileri, e ticaret müşterisinin kimlik ve iletişim bilgisi işlenmektedir.

5.1.12. Reklam ve Tanıtım Faaliyetleri

Reklam ve tanıtım faaliyetleri kapsamında NURR KALAY nezdinde; Ajansın anlaşmalı olduğu influencerlara ait görsel ve işitsel kayıtlar işlenmektedir.

5.2. Aydınlatmaya Dayalı Veri İşleme

NUR KALAY, yürürlükteki kanunlar doğrultusunda veri sahiplerini, kişisel verilerinin işlenmesi ve aktarılması ile ilgili olarak aydınlatmaktadır.

Bu kapsamda NUR KALAY tarafından verisi işlenen tüm kişi gruplarına yönelik olarak aydınlatma metinleri hazırlanmıştır. Bu aydınlatma metinleri KVKK’nın 10. maddesine, GDPR’ın 13. maddesine ve KVK Kurumu’nun yayınlamış olduğu “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”ne uygun olarak hazırlanmıştır.

Hazırlanan bu Aydınlatma Metinleri veri sahiplerinin görebilecekleri yerlerde uygun bir şekilde ilan edilmeli veya veri sahiplerine tebliğ edilmelidir.

Yeni bir kişi grubunun oluşması ihtimalinde veri işlemeye başlamadan önce ilk olarak yeni kişi grubuna yönelik olarak bir aydınlatma metni hazırlanmalı ve bu kişiler de mevzuata uygun bir şekilde aydınlatılmalıdır.

5.3. Veri Minimizasyonu ve Açık Rıza

NUR KALAY veri minimizasyonu ilkesi kapsamında faaliyetleri için zorunlu, gerekli ve/veya önemli olan verileri işlemekte bunlar dışında kalan verileri işlemeyerek, derhal imha etmektedir.

Bu kapsamda NUR KALAY çalışanların açık rızasını almaktadır.

5.4. Özel Nitelikli Kişisel Verilerin Korunması

NUR KALAY, ana faaliyetleri kapsamında kişilerin özel nitelikli kişisel verilerini işlememeye azami özen göstermektedir.

Bu kapsamda iş sözleşmesinin kurulması ve ifası sürecinde çalışanlardan sadece alması zorunlu olan özel nitelikteki kişisel verilerini çalışanların açık rızası doğrultusunda almaktadır.

Yukarıda belirtildiği üzere iş sözleşmesinin kurulması ve ifası sürecinde NUR KALAY, çalışanların sadece adli sicil kaydı, kan grubu bilgisi, sağlık bilgileri/sağlık raporu ile çalışan/ çalışan yakınlarına ait olmak üzere acil durumda aranacak kişinin ad-soyad, yakınlık derecesi, adres, telefon bilgilerini işlemektedir.

Öte yandan, çalışanların herhangi bir acil durum ile karşılaşması halinde iletişim kurulabilmesi amacıyla çalışana/çalışan yakınına ait birtakım veriler işlenmektedir. Bahse konu veriler: acil durumda aranacak kişinin ad-soyad, yakınlık derecesi, adres, telefon bilgilerinden meydana gelmektedir.

İşyeri barışının sağlanması, hastalık izin ve sair haklardan çalışanların yararlandırılması amaçlarıyla çalışanların özel nitelikli kişisel verileri olan adli sicil kayıtları, kan grubu bilgileri ve sağlık raporları işe girişte alınmaktadır. Bu kapsamda çalışanlardan aydınlatmaya dayalı açık rızalar talep edilmektedir.

5.5. Veri Güvenliğine İlişkin Tedbirler

NUR KALAY, kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin neler olduğunu tespit eden bir analiz yapmış ve işlenmekte olan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.

5.5.1. Veri Güvenliğine İlişkin İdari Tedbirler

· NUR KALAY, kişisel veriye erişimi olan personeli ile veri güvenliğine ilişkin olarak taahhütnameler imzalatmaktadır ve bu çalışanlardan bu hükümlere uymasını istemektedir. Ayrıca çalışanlara yönelik olarak gerekli eğitim ve bilgilendirmeler de verilmektedir.

· Çalışanların ve diğer hizmet veren kişilerin online veya fiziksel olarak hangi verilere erişebilme yetkisinin bulunduğu bir yetki matrisi hazırlanmıştır.

· Veri işleme, bilgi güvenliği konularını da içeren bir disiplin yönetmeliği hazırlanmış ve yürürlüğe konulmuştur.

· Erişim yetkisi olmayan verilere erişmeye çalışan, verileri bozan, ifşa eden çalışanlara ilişkin disiplin yönetmeliği hükümleri uygulama alanı bulmaktadır.

· NUR KALAY’ın tüm faaliyetleri detaylı olarak tüm iş birimleri özelinde analiz edilmiş ve bu analiz neticesinde süreç bazlı bir kişisel veri işleme envanteri hazırlanmıştır. Envanter uyarınca VERBİS kaydı gerçekleştirilmiş ve envanter dışındaki verilerin işlenmesi yasaklanmıştır.

· NUR KALAY ile aralında akdedilmiş olan hizmet sözleşmesi uyarınca, “Veri İşleyen” olarak nitelendirilen kişiler verilerin korunması hukuku ve bu hukuka uygun olarak gerekli önlemlerin alınması konusunda bilgilendirilmektedir. Bu kişiler ile gizlilik taahhütnameleri imzalanmıştır ve ileride imzalanacak sözleşmelerde de veri gizliliğine ilişkin hükümler eklenecek veya sözleşmenin diğer tarafı ile gizlilik taahhütnamesi imzalanacaktır.

· NUR KALAY’ın akdetmiş olduğu sözleşmeler KVKK açısından incelenmiş ve işbu sözleşmelerde gerekli görülen değişiklikler yapılmıştır.

5.5.2 Veri Güvenliğine İlişkin Teknik Tedbirler

· NUR KALAY tarafından gerçekleştirilen kişisel veri işleme faaliyetleri bilgi güvenliği sistemleri, teknik sistemlerle ve hukuki yöntemlerle denetlenmektedir.

· Teknik hususlar konusunda dışarıdan hizmet alınmaktadır.

· Teknolojik gelişmelere uygun şekilde teknik önlemler alınmakta, alınan önlemler periyodik olarak kontrol edilmekte, güncellenmekte ve yenilenmektedir.

· Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.

· Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

· Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için yedekleme programları kullanılmaktadır.

· Saklanma alanlarına yönelik güvenlik sistemleri kullanılmakta, alınan teknik önlemler periyodik olarak iç kontroller gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözümler üretilmektedir.

· Herhangi bir kişisel veri güvenliği ihlaline karşı tedbBairli olmak adına kriz ve itibar yönetimi görüşülmüş, bu kapsamda KVK Kurulu ve ilgili kişiyi bilgilendirme süreçleri işbu Politika dahilinde tasarlanmıştır.

5.6. Kişisel Verilerin İşlenmesine İlişkin Uyulacak İlkeler

NUR KALAY, KVKK’nın 4. ve GDPR’ın 5. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işlemektedir:

5.6.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

NUR KALAY; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda NUR KALAY, kişisel verilerin işlenmesinde orantılılık ilkesinin gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında işlememekte ve kullanmamaktadır.

5.6.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

NUR KALAY; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu kapsamda, işbu politika uyarınca veriler periyodik olarak ve aşağıda 9.3. numaralı başlıkta detayları belirtildiği üzere yılda iki kez olmak üzere imha edilmektedir.

5.6.3. Belirli, Açık ve Meşru Amaçlarla İşleme

NUR KALAY, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. NUR KALAY, kişisel verileri sunmakta olduğu ürün ve hizmetler ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. NUR KALAY tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmakta olup, veri konusu kişi grupları bu doğrultuda aydınlatılmaktadır.

5.6.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

NUR KALAY, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Ayrıca NUR KALAY, verileri sadece işleme amacının gerçekleştirilmesi için zorunlu olan personelin ve bazı istisnai durumlarda veri işleyenlerin kullanımına açmakta, bunun dışındaki, veri işleme amacı nedeniyle veriye erişimi zorunlu olmayan kişiler verilere erişememektedir.

5.6.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

NUR KALAY, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, NUR KALAY öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler NUR KALAY tarafından imha edilmektedir.

6. Kişisel Verilerin Aktarılması

6.1. Yurtiçinde Kişisel Verilerin Aktarımı

NUR KALAY, kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve KVK Kurulu tarafından alınan karar ve ilgili düzenlemelere uygun bir şekilde hareket etmek sorumluluğu altındadır.

NUR KALAY tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. Şu kadar ki, KVKK ve diğer Kanunların zorunlu kıldığı durumlarda ilgilinin açık rızası olmadan da veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum veya kuruluşa aktarılabilir. Bu kapsamda gerekli açık rızalar temin edilmektedir.

Ayrıca, Kanunun 5. ve 6. maddelerinde öngörülen durumlarda ilgilinin rızası olmaksızın da aktarım mümkündür. NUR KALAY, kişisel verileri Kanunda ve ilgili diğer mevzuatta öngörülen şartlara uygun olarak aktarmakta ve Veri İşleyenler ile gizlilik taahhütleri imzalayarak onların da veri güvenliği ile ilgili olarak idari ve teknik tedbirleri almasını sağlamaktadır.

6.2. Yurtdışına Kişisel Verilerin Aktarımı

NUR KALAY tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. Ayrıca, önemle belirtmek gerekir ki ilgililere ait kişisel veriler ve özel nitelikli veriler başka gerçek kişilere veya tüzel kişilere aktarılmamaktadır. Ancak, ileride NUR KALAY’ın herhangi bir verinin yurtdışına aktarılması söz konusu olur ise, bu kapsamda gerekli açık rızalar temin edilecektir.

6.3. Aktarım Yapılan Kurum ve Kuruluşlar

Kamu tüzel kişileri ile ilgili mevzuatları kapsamında talep ettikleri bilgiler KVKK 8. maddesi uyarınca paylaşılır.

Yukarıda belirtilen amaçlarla, kişisel veriler, ilgili sözleşmeler kapsamında hizmet alınan, iş birliği içinde olunan, gerçek ve tüzel kişilere ve yetkili kamu kurum ve kuruluşlarına aktarılmaktadır.

7. Veri Sahiplerinin Hakları

Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle NUR KALAY’a mevzuatta belirtilen istisna haricinde ücretsiz olarak iletebileceklerdir.

Konuyla ilgili; ilgili kişiler aydınlatma metinleri vasıtasıyla bilgilendirilmektedir. Bu kapsamda bir başvuru gelmesi durumunda 30 gün içerisinde ilgili danışman ve avukatlar ile de görüşülerek başvuru cevaplanmalıdır.

İlgili kişi tarafından yapılan başvuruyu gerekli şirket içi mercilere bildirmeyen, görev tanımı gereğini yerine getirmeyen kişiler Disiplin Yönetmeliği kapsamında cezalandırılabilecektir.

8. Kişisel Veri İhlali ve KVK Kurulu’na Bildirim

NUR KALAY tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, NUR KALAY bu durumu derhal danışman ve avukatlara bildirecektir.

Gerçekleşen ihlalin, NUR KALAY tarafından 3 gün içerisinde ilgilisine ve KVK Kurulu’na bildirim yapılması gerekmektedir.

Bir ihlali fark eden ancak gerekli şirket içi mercilere bildirmeyen, gizlilik taahhütnamelerinin ve NUR KALAY’a karşı veri güvenliğine ilişkin diğer yükümlülüklerinin gereğini yerine getirmeyen kişiler Disiplin Yönetmeliği kapsamında cezalandırılabilecektir.

9. Kişisel Verilerin Saklanması ve İmhası

9.1. İlkeler

NUR KALAY tarafından kişisel verilerin saklanması ve imhası süreçlerinde aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler NUR KALAY tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.

Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı NUR KALAY tarafından seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler NUR KALAY tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından NUR KALAY’a başvurulması halinde;

· İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır ve

· Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

9.2. Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

Veri sahiplerine ait kişisel veriler, NUR KALAY tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

· Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

· Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

· Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla NUR KALAY’ın meşru menfaatleri için saklanmasının zorunlu olması,

· Kişisel verilerin NUR KALAY’ın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

· Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

· Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, NUR KALAY tarafından resen yahut talep üzerine ilk periyodik imha süreci ile silinir, yok edilir veya anonim hale getirilir:

· Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,

· Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

· Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

· İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

· Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

· Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

9.3. Saklama ve İmha Süreleri

NUR KALAY tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

· Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.

· Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

§ Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının NUR KALAY nezdindeki önem derecesine göre belirlenir.

§ Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında NUR KALAY’ın meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

§ Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

NUR KALAY tarafından tespit edilen saklama sürelerine, NUR KALAY tarafından hazırlanan envanterlerden ve bu Politika’nın eki niteliğinde olan Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo’dan ulaşılabilir. Saklama süresi dolan kişisel veriler, 6 (altı) aylık periyotlarla işbu Politika’da yer verilen usullere uygun olarak silinir veya yok edilir.

Her yıl iki kere periyodik imha işlemi her yılın Şubat ve Ağustos aylarının son haftasında gerçekleştirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler tutanak ile kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

9.4. Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller

9.4.1. Dijital Ortamda Yer Alan Kişisel Veriler

NUR KALAY tarafından dijital ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için dijital imha yöntemi kullanılmaktadır.

9.4.2. Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde veya imha işi yapan şirketlere teslim edilerek geri döndürülemeyecek şekilde yok edilir.

10. Yürürlük

NUR KALAY tarafından hazırlanan işbu Politika NUR KALAY şirket müdürü tarafından alınan karar uyarınca ekleriyle birlikte yürürlüğe girmiştir. İşbu Politika tüm çalışanlara duyurulacaktır ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

Politikaya aykırı davranan çalışan hakkında, İşyeri Disiplin Yönetmeliği uyarınca işlem yapılacaktır.

KVKK, GDPR ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

Politikanın Ekleri:

1. Aydınlatma Metinleri