Kişisel Verilerin Korunması Politikası

1. Giriş

Kişisel verilerin korunması, Global Yemek Hiz. A.Ş. (ticari markası ile "Chef Gelsin" veya "Şirket") için büyük önem arz eden bir husustur. Şirket, kurulduğu günden bu yana yürüttüğü faaliyetler kapsamında gerçek kişilerden elde ettiği kişisel verileri gizli tutmuş ve kişisel verilerin korunması ile veri güvenliğinin sağlanması için her türlü teknik ve idari tedbiri almıştır.

Şirket, bütün faaliyetlerini gerek T.C. Anayasası gerekse 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVK Kanunu") ve konuya ilişkin ikincil mevzuat ile uyumlu bir şekilde yürütmek amacıyla KVK Kanunu'nun öngördüğü bütün ilkeleri benimsemiş, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili üzerine düşen yükümlülükleri yerine getirmektedir. Bu kapsamda düzenlenen işbu Kişisel Verilerin Korunması Politikası ("KVK Politikası"), kişisel verisi işlenen gerçek kişilerin erişimine sunulmuştur.

1.1. Tanımlar

1.2. Politikanın Amaç ve Kapsamı

Bu KVK Politikası, kişisel verilerin Chef Gelsin tarafından elde edilmesi, kullanılması, aktarılması, imha edilmesi ve diğer şekillerde işlenmesine ilişkin konular ile kişisel verilerin korunması için Şirket tarafından alınan teknik ve idari tedbirleri ve ilgili kişilerin haklarını açıklamaktadır.

Bu KVK Politikası; KVK Kanunu kapsamında işlenen kişisel verileri bakımından aşağıdaki kişiler için uygulanmaktadır:

• Müşteriler ve potansiyel müşteriler
• Web sitesi ve mobil uygulama kullanıcıları
• Çalışanlar ve çalışan adayları
• Şirket yetkilileri ve hissedarları
• İş birliği içinde olunan kurumların çalışanları
• Tedarikçiler ve iş ortakları
• Üçüncü kişiler

İlgili kişilerden açık rızaları alınarak ya da KVK Kanunu'nda sayılan diğer hukuka uygunluk halleri kapsamında elde edilen kişisel veriler; Şirket'in hukuki yükümlülüklerinin yerine getirilmesi, hizmetlerinin gereği gibi sunulması, hizmet kalitesinin artırılması ve işbu KVK Politikası'nda belirtilen diğer amaçlarla işlenmektedir.

2. Kişisel Verilerin İşlenmesi

2.1. Genel İlkeler

Chef Gelsin, kişisel veri işleme faaliyetlerini gerçekleştirirken KVK Kanunu'nun 4. maddesinde sıralanan aşağıdaki ilkelere riayet etmektedir:

• Hukuka ve dürüstlük kurallarına uygun olma: Şirket, kişisel verilerin kaynağını sorgular ve bunların hukuka uygun ve dürüstlük kuralları çerçevesinde elde edilmesi ile işlenmesine önem verir. Kişisel veri aktarılan üçüncü taraflara verilerin korunması amacıyla gerekli uyarı ve bildirimleri yapar.
• Doğru ve gerektiğinde güncel olma: Şirket, bünyesinde bulunan bütün verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve kişisel verilerde değişiklik olduğu takdirde bunların güncellenmesine önem verir.
• Belirli, açık ve meşru amaçlar için işlenme: Şirket, meşru ve hukuka uygun olan veri işleme amaçlarını, kişisel veri işleme faaliyetine başlamadan önce belirli ve açık bir biçimde ortaya koymaktadır. Bu şekilde belirlenmiş amaçlar dışında kişisel veriler işlenmemektedir.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirket, kişisel veri işleme faaliyetlerini yalnızca işlenme amacı ile sınırlı olarak gerçekleştirmektedir. Belirlenen amaçla ilgili olmayan kişisel veriler işlenmez.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Şirket, kişisel verileri mevzuatın öngördüğü veya işlenme amacının gerektirdiği süre kadar muhafaza eder. Süre sona erdiğinde veya işlenme amaçlarının tamamı ortadan kalktığında kişisel verileri siler, yok eder ya da anonimleştirir.

2.2. Kişisel Verilerin İşlenme Şartları

Chef Gelsin, kişisel verileri açık rıza ile ya da aşağıdaki hallerde işlemektedir:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

KVK Kanunu'na göre özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri), KVK Kanunu'nun 6. maddesinde sıralanan veri işleme şartlarına ve Kişisel Verileri Koruma Kurulu tarafından ilan edilen ilave tedbirlere riayet edilerek işlenmektedir.

2.3. Kişisel Verilerin İşlenme Amaçları

Chef Gelsin, kişisel verileri KVK Kanunu'nun 5. ve 6. maddesinde yer alan hukuki sebepler çerçevesinde aşağıdaki amaçlar için işlemektedir:

• Sipariş alımı, hazırlanması ve teslimat süreçlerinin yürütülmesi
• Ödeme işlemlerinin gerçekleştirilmesi (iyzico güvenli ödeme altyapısı aracılığıyla)
• Müşteri hizmetleri ve destek taleplerinin karşılanması
• Müşteri memnuniyetinin sağlanması ve etkin hizmet sunulması
• Satış süreçlerinin yürütülmesi ve satış sonrası destek hizmetlerinin verilmesi
• Lojistik faaliyetlerinin yürütülmesi
• Yasal yükümlülüklerin yerine getirilmesi (fatura düzenleme, vergi mevzuatı vb.)
• İnsan kaynakları faaliyetlerinin planlanması ve icrası
• İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi
• Finansal raporlama ve risk yönetimi işlemlerinin icrası
• Hukuk işlerinin icrası ve takibi
• Şirket'in ticari ve iş stratejilerinin belirlenmesi ve uygulanması
• Bilgi ve işlem güvenliğinin sağlanması, kötü amaçlı kullanımın önlenmesi
• İlgili kişilerin sorun ve şikâyetlerinin çözümlenmesi
• İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması
• Kampanya, indirim ve duyuruların iletilmesi (açık rıza dahilinde)
• Web sitesi güvenliğinin sağlanması ve hizmet kalitesinin iyileştirilmesi

Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVK Kanunu kapsamında öngörülen sair veri işleme şartlarından herhangi birini karşılamıyor olması halinde, ilgili veri işleme sürecine ilişkin olarak Şirket tarafından ilgili kişiden açık rıza temin edilmektedir.

2.4. Kişisel Verilerin Toplanma Yöntemi

Chef Gelsin, kişisel verileri aşağıdaki kanallar aracılığıyla işitsel, elektronik veya yazılı olarak, fiziki ve elektronik ortamda KVK Kanunu'nda belirtilen kişisel veri işleme şartlarına uygun olarak toplamaktadır:

• chefgelsin.com web sitesi üzerinden yapılan sipariş ve üyelik işlemleri
• Mobil uygulama üzerinden gerçekleştirilen işlemler
• Elektronik posta, telefon ve diğer iletişim kanalları
• Sözleşmeler ve başvuru formları
• İdari ve adli makamlardan gelen tebligatlar
• İş ortakları ve çözüm ortakları aracılığıyla

Şirket, iş ortakları ve çözüm ortaklarından kişisel veri elde ederken hukuka uygun davranmayı ilke edinir. Veri gizliliği taahhüdü ile ve ancak hizmetin gerektirdiği kadar veri toplanmakta, veri güvenliğinin sağlanmasına ilişkin tedbirler alınmaktadır.

3. Kişisel Verilerin Aktarılması

Chef Gelsin, kişisel verileri yalnızca işbu KVK Politikası'nda belirtilen amaçlar doğrultusunda ve KVK Kanunu'nun 8. ve 9. maddelerine uygun olarak üçüncü kişilere aktarmaktadır. Bu kapsamda kişisel veriler aşağıdaki kişi ve kurumlara belirli amaçlarla aktarılabilir:

• Ödeme hizmet sağlayıcısı (iyzico): Ödeme işlemlerinin güvenli şekilde gerçekleştirilmesi amacıyla.
• Kargo ve kurye hizmet sağlayıcıları: Siparişlerin teslimatının sağlanması amacıyla.
• İş ortakları: İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak.
• Tedarikçiler: Şirket'in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak.
• Yetkili kamu kurum ve kuruluşları: Talep halinde yasal yükümlülüklerin yerine getirilmesi amacıyla.
• Hukuk, mali ve vergi danışmanları: Yasal süreçlerin yürütülmesi amacıyla.
• Teknik hizmet sağlayıcıları: Web sitesi, sunucu ve altyapı hizmetlerinin sağlanması amacıyla.

Şirket, veri paylaşım faaliyetlerinde hukuka uygun davranmayı ilke edinmiştir. Kişisel verilerin aktarıldığı üçüncü kişiler ile ancak hizmetin gerektirdiği ölçüde veri paylaşılmakta, bu tarafların veri güvenliğine ilişkin tedbirleri alması için azami özen gösterilmektedir. Aktarıma konu kişisel veriler, veri güvenliğini sağlayacak teknik tedbirlerin yanı sıra veri aktarım sözleşmeleri vasıtasıyla hukuksal olarak da korunmaktadır.

Önemli Not: Kredi kartı ve banka kartı bilgileriniz Chef Gelsin sunucularında saklanmaz. Tüm ödeme işlemleri PCI DSS uyumlu iyzico altyapısı üzerinden gerçekleştirilmektedir.

4. Kişisel Verilerin Saklanması ve İmhası

KVK Kanunu uyarınca kişisel veriler, doğru ve güncel tutulmakta, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu süre her kişisel veri kategorisi için ayrı olarak belirlenmekte olup bu sürenin geçmesinden sonra ilgili kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca belirlenen periyodik imha sürelerinin sonunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.

İlgili kişiler, Şirket'e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde Chef Gelsin:

• Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. İlgili kişinin talebini en geç 30 (otuz) gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talebi KVK Kanunu'nun 13. maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedebilir ve ret cevabını ilgili kişiye en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirir.

5. Teknik ve İdari Tedbirler

Chef Gelsin, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Kişisel verilerin korunması için alınan tedbirler, özel nitelikli kişisel veriler bakımından özenle ve ilave tedbirlerle uygulanmakta ve Şirket bünyesinde gerekli denetimler periyodik olarak sağlanmaktadır.

Teknik Tedbirler:

• SSL/TLS sertifikası ile şifrelenmiş bağlantı kullanılmaktadır.
• Güvenlik duvarları (firewall) kullanılmaktadır.
• Güncel anti-virüs ve anti-malware sistemleri kullanılmaktadır.
• Saldırı tespit ve önleme sistemleri uygulanmaktadır.
• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta, takibi yapılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen verilerin güvenliği de sağlanmaktadır.
• Veri tabanlarının güvenliği için güvenli teknik altyapı oluşturulmuştur.
• Şifreleme ve anahtar yönetimi uygulanmaktadır.
• Ödeme işlemleri PCI DSS uyumlu iyzico altyapısı üzerinden gerçekleştirilmektedir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

İdari Tedbirler:

• Çalışanlara yönelik kişisel verilerin korunması konusunda farkındalık çalışmaları düzenlenmektedir.
• Kişisel veri işleme envanterine dayalı olarak politikalar oluşturulmakta ve uygulanmaktadır.
• Kişisel verilerin korunması kapsamındaki riskler tespit edilmekte ve bertaraf edilmesine yönelik çalışmalar yürütülmektedir.
• Şirket içi periyodik denetimler gerçekleştirilmektedir.
• Veri işleyenler ile ilişkilerin yönetilmesi konusunda gerekli veri paylaşım sözleşmeleri uygulanmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların erişim yetkileri kaldırılmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya konulmuştur.

Gerekli güvenlik önlemlerinin alınmasına karşın, Şirket tarafından işletilen platformlara veya sisteme yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda Chef Gelsin, söz konusu ihlali gidermek için derhal harekete geçer ve ilgilinin zararını en aza indirir. Bu durum derhal ilgili kişilere ve Kurul'a bildirilir ve gerekli önlemler alınır.

6. İlgili Kişilerin Hakları

Türkiye Cumhuriyeti Anayasası'na göre herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. KVK Kanunu'nun 11. maddesi uyarınca ilgili kişiler aşağıdaki haklara sahiptir:

• Kişisel verisinin işlenip işlenmediğini öğrenme
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
• Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
• Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
• KVK Kanunu'nun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme
• Silme, yok etme veya düzeltme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerinin KVK Kanunu'na aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

İlgili kişilerin yukarıda sayılan haklarına ilişkin taleplerini, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de öngörülen başvuru usullerine uygun olarak Şirket'e iletmesi durumunda Chef Gelsin, talebi niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret alınabilecektir.

İlgili kişi, haklarını kullanmak için talebini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Şirket'in sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletebilir. Başvuruda aşağıdaki bilgilerin bulunması zorunludur:

• Ad, soyad ve başvuru yazılı ise imza
• T.C. kimlik numarası (yabancılar için pasaport numarası veya kimlik numarası)
• Tebligata esas yerleşim yeri veya iş yeri adresi
• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası
• Talep konusu

7. Çerez Politikası

chefgelsin.com.tr web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler (cookies) kullanmaktadır. Çerezler, tarayıcınız aracılığıyla cihazınıza yerleştirilen küçük metin dosyalarıdır.

Kullanılan Çerez Türleri:

• Zorunlu Çerezler: Web sitesinin düzgün çalışması için gerekli olan çerezlerdir. Oturum yönetimi ve güvenlik amacıyla kullanılır.
• İşlevsel Çerezler: Kullanıcı tercihlerini (dil, bölge vb.) hatırlayan çerezlerdir.
• Analitik Çerezler: Site kullanım istatistiklerini toplayan ve hizmet kalitesinin iyileştirilmesine yardımcı olan çerezlerdir.

Tarayıcı ayarlarınızdan çerezleri devre dışı bırakabilirsiniz. Ancak bu durumda web sitesinin bazı özellikleri düzgün çalışmayabilir.

8. Politikada Yapılacak Değişiklikler

Chef Gelsin, işbu KVK Politikası'nda her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni KVK Politikası'nın web sitesinde yayınlandığı gün geçerlilik kazanır. İşbu KVK Politikası'ndaki değişikliklerden haberdar olunması için ilgili kişilere gerekli bilgilendirmeler yapılacaktır.

9. Veri Sorumlusu İletişim Bilgileri

KVK Kanunu kapsamındaki başvurularınızı yukarıdaki iletişim bilgileri aracılığıyla veya kayıtlı elektronik posta (KEP) adresimiz üzerinden tarafımıza iletebilirsiniz.