Ana Sayfa  /  Kişisel Verilerin Korunması ve İşlenmesi Politikası

1. AMAÇ

Hukuki ve sosyal sorumluluğunun bir parçası olarak; MİGROS TİCARET A.Ş. (“MİGROS”) Türkiye Cumhuriyeti Anayasası (“Anayasa”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) başta olmak üzere kişisel verilerin korunmasına ilişkin yürürlükte bulunan yasal mevzuata uygun hareket etmekle mükellef olup, MİGROS, söz konusu yasal mevzuata uyumu bir yaşam döngüsü haline getirerek kişisel verileri koruma konusunda gerekli çalışmaları yürütmektedir.

Bu çalışmalar kapsamında MİGROS tarafından Kişisel Veri Koruma, İşleme, Saklama ve İmha  Politikası hazırlanmıştır.

Migros T. A.Ş. hukuki ve sosyal sorumluluğunun bir parçası olarak, ulusal kişisel veri koruma düzenlemelerine uymayı taahhüt etmektedir. Kurum işbu Politika ile müşterilerin, potansiyel müşterilerin, çalışan adaylarının, Şirket hissedarlarının, Kurum yetkililerinin, ziyaretçilerin, iş birliği içinde olunan kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi, silinmesi, yok edilmesi ve anonim hale getirilmesi süreçleriyle ilgili kişilerin bilgilendirmesini amaçlamaktadır.

MİGROS; kişisel verileri, yasal sorumlulukların yanında, başta sadakat programı olan Money Club Kart, Sanal Market Üyeliği, Aile Kulübü üyeliği için olmak üzere daha iyi hizmet(ler) sunmak amacıyla toplamaktadır. Toplanan kişisel veriler MİGROS’ un, en son ürünler, avantajlı alışveriş fırsatları, kişiye özel avantajlı önerileri ve gelecekteki etkinlikleri hakkında bilgilendirme yapılmasına olanak vermektedir. Ek olarak, toplanan veriler, kişisel veri sahipleri ile bilgi alışverişi içerisinde olarak, hizmet ve servislerimizle ilgili en doğru şekilde geri bildirim almamızı sağlamaktadır.

KVK Kanunu ve ilgili yasal mevzuat uyarınca veri sorumlusu olan MİGROS, kişisel verilerin işlenmesi ve korunmasında benimsenen temel ilkeleri, kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirler ile işlendikleri amaç için gerekli olan azami süreyi belirlemeye ilişkin usul ve esaslar işbu Politika ile belirlemektedir. Bu Politikada MİGROS tarafından, hangi verilerin kişisel veri olduğu, hangi kişisel verilerin saklandığı, kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirler ile kişisel verilerin işlenmesinde, muhafaza edilmesinde, kişisel veri sahiplerinin aydınlatılması ve bilgilendirilmesinde, üçüncü kişilere aktarılması ve korunmasına ilişkin detaylı açıklamalara yer verilmektedir.

2. KAPSAM

Bu Politika; müşterilerin, potansiyel müşterilerin, çalışan adaylarının, Kurum hissedarlarının, Kurum yetkililerinin, ziyaretçilerin, iş birliği içinde olunan kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

KVK Kanunu ve ilgili yasal mevzuat uyarınca veri sorumlusu olan MİGROS, kişisel verilerin işlenmesi ve korunmasında benimsenen temel ilkeleri, kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirler ile işlendikleri amaç için gerekli olan azami süreyi belirleme, silme, yok etme ve anonim hale getirme işlemlerine ilişkin usul ve esasları işbu Politika ile belirlemektedir.

MİGROS bünyesinde kişisel veri işleyen ve saklayan aşağıdaki varlıklar ve bu varlıklara ilişkin tüm süreçler bu Politika kapsamındadır;

  • Kişisel veri içeren bütün basılı veya yazılı belgeler, dokümanlar, dosyalar
  • Kişisel veri içeren bütün uygulamalar
  • Kişisel veri içeren bütün veri tabanları

Bu kapsamda; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, MİGROS’ un müşterilerinin, potansiyel müşterilerinin, çalışanlarının, çalışan adaylarının, MİGROS hissedarlarının, yetkililerinin, Migros web sitelerimiz, Migros e-ticaret siteleri ve Migros tarafından işletilmekte olan mağaza ziyaretçilerinin, iş ortaklığı olan kurum çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin rızası ile toplanan kişisel verilerine ilişkindir.

İstatistiki değerlendirmeler veya çalışmalar için elde edilen kişisel veri içermeyen veriler gibi anonim hale gelmiş ve tanımlanamayan veriler ile tüzel kişilere ilişkin veriler kişisel veri olarak kabul edilmemekte olup, işbu Politika’ya tabi değildir.

İşbu Politika, MİGROS’ un ve kontrolü altındaki iştiraklerinin gerçek kişi müşterileri ile MİGROS ve kontrolü altındaki iştirakleri ile belirli bir çerçeve sözleşmesi olmayan diğer gerçek kişilere de uygulanmaktadır. Bu Politikada yer alan MİGROS ifadeleri kurum ve kontrolü altındaki iştiraklerini de kapsayacaktır.

3. YÜRÜRLÜK VE GÜNCELLEMELER

Politika, Şirketimiz tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta 6698 sayılı Kanun olmak üzere yürürlükteki mevzuat ile bu Politika' da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Şirket, yasal düzenlemelere paralel olarak işbu Politika' da değişiklik yapma hakkını saklı tutar. Politika' nın güncel versiyonuna MİGROS web sitesinden (www.migros.com.tr) erişilebilir.

4. TANIMLAR

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Örneğin; isim- soy isim, T.C. Kimlik Numarası, e-posta adresi, telefon bilgileri, adres, doğum tarihi, kredi kartı numarası vb.

Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler

Kişisel Veri Sahibi

Kişisel verisi işlenen gerçek kişi

Anonim Hale Getirme

Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir.

Çalışan

MİGROS çalışanları

Çalışan Adayı

Kuruma herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Kurumun incelemesine açmış olan gerçek kişiler

Anayasa

Türkiye Cumhuriyeti Anayasası

KVK Kanunu

6698 sayılı Kişisel Verilerin Korunması Kanunu

KVK Kurulu

Kişisel Verileri Koruma Kurulu

KVK Kurumu

Kişisel Verileri Koruma Kurumu

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Müşteri

Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, Şirketimizin verilerini tutan bulut bilişim firması, müşterilere formları imzalattığı anketörleri, talimatlar çerçevesinde arama yapan çağrı merkezi vb.

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sahibi

Kişisel verisi işlenen gerçek kişi

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) kuran ve yöneten gerçek veya tüzel kişi veri sorumlusudur.

Veri Sorumluları Sicili

KVK KANUNU Kurulu gözetiminde, KVK KANUNU Kurumu Başkanlığı tarafından tutulan ve kamuya açık olan Veri Sorumluları Sicili

Ziyaretçi

Kurumun sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler

İş birliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri

MİGROS ile iş ilişkisi içerisinde bulunan kurumların (ifa yardımcısı, iş ortağı, tedarikçi, program ortağı vb. başta olmak ve fakat bunlarla sınırlı olmamak üzere) çalışanları, hissedarları ve yetkilileri olan gerçek kişiler

Migros Tedarikçileri

Sözleşme temelli MİGROS’un ürün ve/veya hizmet aldığı üçüncü kişiler

Potansiyel Müşteri

Ürün ve hizmetlerimizi satın alma ve/veya kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler

Politika

Migros Ticaret A.Ş. Kişisel Verileri koruma, İşleme, Saklama ve İmha Politikası

Şirket/MİGROS

Migros Ticaret A.Ş.

Şirket Hissedarları

MİGROS hissedarı gerçek kişiler

Şirket Yetkilisi

MİGROS yönetim kurulu üyesi ve diğer yetkili gerçek kişiler

MİGROS Veri Sahibi Başvuru Formu

Veri sahiplerinin, KVK Kanunu’nun 11. Maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu

Üçüncü Kişi

Yukarıda tanımlanan taraflarla MİGROS arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen tarafların haklarını korumak ve menfaat temin etmek üzere bu taraflarla ilişki içerisinde olan üçüncü gerçek kişiler

Politika

Migros Ticaret A.Ş. Kişisel Verileri Koruma, İşleme, Saklama ve İmha Politikası

 

 

5. KİŞİSEL VERİLERİN KATEGORİZASYONU

MİGROS tarafından yürütülen veri işleme faaliyetleri kapsamında kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ait olduğu gerçek kişi belirlenen ve/veya belirlenebilir olan kişisel veri kategorileri ve açıklamaları aşağıda yer almaktadır:

KİŞİSEL VERİ KATEGORİZASYONU

KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA

Kimlik Bilgisi

Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan T.C. kimlik numarası, uyruk bilgisi, anne adı baba adı, doğum yeri ve tarihi, cinsiyet, SGK numarası, imza bilgisi, taşıt plakası vb. tüm bilgiler

İletişim Bilgisi

Gerçek kişiye ait olduğu açık olan; telefon numarası, adres, e-mail, faks numarası gibi bilgiler

Özel Nitelikli Bilgiler

KVK Kanunu’nun 6. maddesinde “özel nitelikli kişisel veri” olarak belirtilen “Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inanç, kılık ve kıyafet, dernek, vakıf ya da sendika üyelik bilgisi, sağlık ve cinsel hayat ile ilgili veriler, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik” verilerdir.

Lokasyon Bilgisi

Şirket araçlarının kullanımı sırasında edinilen lokasyon verileri

Fiziksel Mekân Güvenlik Bilgisi

Veri kayıt sistemi içerisinde tutulmak üzere, ticari faaliyetlerimizi yürütürken her açıdan güvenliğimizi sağlamak için işlenen kamera kayıtları, parmak izi kayıtları, güvenlik noktasında alınan kayıtlar, fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar vb. kişisel veriler

Müşteri Bilgisi

Ticari faaliyetlerimiz ve bu faaliyetler kapsamında ilgili birimlerin operasyonları sonucunda, gerçek kişi müşterilerden elde edilen ve üretilen bilgiler

Müşteri İşlem Bilgileri

Veri kayıt sistemi içerisinde yer alan müşterimize ait, ürün ve hizmetlerimizin satın alınmasına yönelik kayıtlar ile satın alma için gereken talimatlar kapsamında elde edilen bilgiler ile ürün ve hizmetlerimizi satın alan ve/veya kullanan kişisel veri sahibinin beğenisi ve ihtiyaçları doğrultusunda kullanım ve satın alma alışkanlıklarının kişiselleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme neticesinde meydana getirilen rapor ve değerlendirmeler

Talep/Şikâyet Yönetimi Bilgileri

MİGROS müşterisi olan ya da olmayan gerçek kişiler tarafından MİGROS’ a ait iletişim kanallarına yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler

İtibar ve Olay Yönetim Bilgisi

MİGROS’ un ticari itibarını korumak ve kamuoyunun doğru bilgilendirilmesini sağlamak maksadı ile MİGROS çalışanlarını, hissedarlarını etkileme potansiyeli olan olaylarla ilgili sosyal medya vb. mecralardan toplanan kişisel veriler, değerlendirmeler (MİGROS ile ilgili yapılan paylaşımlar vb.)

Finansal Bilgi

MİGROS’ un kişisel veri sahibi ile kurmuş olduğu hukuki ilişki çerçevesinde her türlü finansal sonucu gösteren kayıtlar kapsamında işlenen IBAN numarası, kredi kartı bilgisi, finansal profil, gelir bilgisi vb. kişisel veriler

Pazarlama Bilgisi

Ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler

Risk Yönetimi Bilgisi

 

 

Ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler

 

6. KİŞİSEL VERİLERİN İŞLENMESİ


Kurum, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

MİGROS’ un kişisel veri işleme faaliyeti, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar.

MİGROS, hizmetlerinin kullanıldığı süre boyunca ve ilişkinin sona ermesinin ardından da aşağıda yer verilen ilkelere uymak suretiyle, bir veri sahibinin bilgilerini işleme hakkına sahiptir.

MİGROS, aşağıda belirtilenler dahil olmak ancak bununla sınırlı olmamak üzere, veri sahibinin veya veri sahibi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir:

  • MİGROS kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar nezdinde farkındalıklarını arttırmaktadır.
  • MİGROS’ un veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu kurumun tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri işleyen kurumlara, veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde yükletilmektedir.
  • MİGROS, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
  • MİGROS, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
  • MİGROS, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.

6.1. Kişisel Verilerin İşlenmesinin Kapsamı

Kurumun hizmetlerinin kullanıldığı süre boyunca ve ilişkinin sona ermesinin ardından kurum, işbu Politikanın  6.3. maddesinde belirtilen ilkelere uymak suretiyle, bir veri sahibinin bilgilerini işleme hakkına sahip olacaktır.

Kurum tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar. Diğer bir ifadeyle kişisel veri işleme; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla veri sahibi veya üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, ses kaydı alınması, video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanması, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi  anlamına gelir.

6.2. Kişisel Verilerin İşlenme Amaçları


MİGROS, aşağıdakiler dahil olmak ancak bununla sınırlı olmamak üzere, veri sahibinin veya veri sahibi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir.

MİGROS, hizmetlerinin kullanıldığı süre boyunca ve ilişkinin sona ermesinin ardından da aşağıda yer verilen ilkelere uymak suretiyle, bir veri sahibinin bilgilerini işleme hakkına sahiptir.

MİGROS, aşağıda belirtilenler dahil olmak ancak bununla sınırlı olmamak üzere, veri sahibinin veya veri sahibi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir:

  • MİGROS’ un hizmetlerinin usulüne uygun ve düzgün bir biçimde gerçekleştirilmesi;
  • Yasal mevzuat kapsamında bulunan yükümlülüklerin yerine getirilmesi,
  • Web sitemizi ve uygulamalarımızı daha kolay kullanılır hale getirmek,
  • Bilginin denetim şirketlerine, ilgili vekile veya vekil edene, düzenleyici ve denetleyici otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme ve bilgi sağlanması
  • Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası,
  • Çeşitli raporların, araştırmaların ve/veya sunumların hazırlanması ve sunulması;
  • Veri Sahibinin şikâyet, soru, talep ve önerilerinin toplanması, değerlendirilmesi ve karşılanması;
  • Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası
  • Müşteri memnuniyeti aktivitelerinin planlanması ve/veya icrası
  • Hizmetlere ve ürünlere yönelik tanıtım, pazarlama, promosyon ve kampanya faaliyetlerinin yapılması,
  • Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası
  • Müşteri ile akdedilen sözleşmelerin gereğinin yerine getirilmesi,
  • Hukuk İşlerinin takibi
  • Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
  • Üyelerimizi tanımak ve iletişimimizi geliştirmek,
  • Müşteriye daha iyi ve güvenilir hizmet verilebilmesi, daha uygun hizmetler ve ürünler geliştirilebilmesi ve bunların kesintisiz olarak sürdürülebilmesi
  • MİGROS tarafından sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
  • MİGROS hizmetlerini kullanmak amacıyla çağrı merkezleri veya internet sayfası kullanıldığında, Kurum veya internet sitesi ziyaret edilmesi, Kurum’un düzenlediği eğitim, seminer veya organizasyonlara katılınması.
  • İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi,
  • Şirket Genel Müdürlük, depolar, mağazalar ve Miget vb. tesislerinin güvenliğinin temini
  • Acil durum yönetimi süreçlerinin planlanması ve icrası
  • Taşeron çalışanlarına ilişkin özlük süreçlerinin planlanması ve icrası
  • Finans ve/veya muhasebe işlerinin takibi
  • Yapı ve/veya inşaat işlerinin planlanması ve takibi
  • Şirket işe alım ve çalışan süreçlerinin planlanması Ürün ve hizmetlerin satış ve pazarlaması için Pazar araştırması faaliyetlerinin planlanması ve icrası
  • Kurumsal iletişim faaliyetlerinin planlanması ve icrası
  • Lojistik faaliyetlerinin planlanması ve icrası

6.3. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

KVK Kanunu’nun 5. Maddesi uyarınca kişisel veriler ancak KVK Kanunu ve diğer ilgili yasal mevzuatta öngörülen usul ve esaslara uygun olarak işlenebilir. MİGROS olarak gerek KVK Kanunu gerekse ilgili diğer yasal mevzuat kapsamında belirtilen usul ve ilkelere uygun olarak kişisel veriler işlenmekte olup; KVK Kanunu kapsamında, kişisel verilerin işlenmesinde aşağıda yer alan ilkelere uyulması gerektiği açıkça düzenlenmiştir.

  • Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi

MİGROS; kişisel verilerin işlenmesi faaliyetini Türkiye Cumhuriyeti Anayasası ile KVK Kanunu ve ilgili diğer yasal mevzuat başta olmak üzere hukuksal düzenlemelere ve güven ilişkisi esas olmak üzere dürüstlük kuralına uygun olarak yürütmektedir.

  • İşlenen Kişisel Verilerin Doğruluğunu ve Güncel Olmasını Sağlama

MİGROS; kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve süreçleri kurgulamış bulunmaktadır. Bu kapsamda MİGROS, kişisel veri sahiplerinin kişisel verilerini düzeltme ve doğruluğunu teyit etmeleri amacı ile gerekli önlemleri almaktadır.

  • Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi

MİGROS, KVK Kanunu’nun 10. Maddesinde yer alan aydınlatma yükümlülüğü kapsamında, kişisel verilerin işlenmesi faaliyetine başlamadan önce kişisel veri işleme amacını açık ve kesin olarak belirleyerek ortaya koymakta, açık ve hukuka uygun amaçlar dahilinde işlemektedir (Aydınlatma yükümlülüğü ile ilgili ayrıntılı bilgi için bkz. Politika bölüm 9.1)

  • Kişisel Verilerin Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi

MİGROS, kişisel verileri, işleme faaliyetine başlamadan önce belirlediği ve sunduğu hizmetin gerçekleştirilebilmesi amacı ile bağlantılı olarak ve gerektiği ölçüde işlemektedir. MİGROS, amacın gerçekleştirilmesiyle ilgili olmayan veya ileride ihtiyaç duyulması varsayımı ile kişisel veri işleme faaliyeti yürütmemektedir. Kişisel verilerin işlenmesi MİGROS’ un faaliyetleri ve yasal yükümlülükler ile sınırlıdır.

  • Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi

MİGROS, kişisel verileri, KVK Kanunu ve ilgili yasal mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda, MİGROS kişisel verileri, ilgili mevzuatta bir süre öngörülmüş ise bu süre ile sınırlı olarak, bir süre öngörülmemişse işlendikleri amaç için gerekli olan süre kadar saklamaktadır.  MİGROS, ileride kullanma ihtimali ile kişisel veri saklamamaktadır.

MİGROS, sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.

6.4. Kişisel Verilerin İşlenme Şartları


MİGROS kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde aşağıda yer alan şartlar uygulanır.

KVK Kanunu’nun 5. Maddesinde yer alan düzenlemeye uygun olarak, MİGROS, kural olarak, kişisel verileri, kişinin açık rızası olması halinde işlemektedir. Ancak KVK Kanunu’nun 5. Maddesinin 2. Fıkrası uyarınca; Kanun Koyucu, açık rızanın olmadığı hallerde de kişisel verilerin işlenmesine olanak vermiş bulunmaktadır. Buna göre; aşağıdaki ‘’Kanunda Açıkça görülmesi’’ ve “ İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydı ile MİGROS’ un Meşru Menfaati için Veri İşlemenin Zorunlu Olması’’ bentlerinde yazan diğer şartlardan birinin ve/veya birkaçının varlığı halinde de kişisel veriler MİGROS tarafından işlenebilmektedir. Aşağıda belirtilen şartlardan yalnızca birinin varlığı kişisel veri işleme faaliyeti için yeterli olmakla birlikte; bahse konu şartlardan birden fazla olması da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

İşlenen verilerin özel nitelikli kişisel veri olması halinde uygulanacak şartlara Politika’nın 7.1. Bölümünde ayrıca değinilmektedir.

  • Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri kişisel veri sahibinin açık rızasıdır. Kişisel veri sahibi, belirli bir konuyla ilgili yeterince bilgilendirilmiş, bu bilgilendirmeye dayalı olarak özgür iradesi ile tereddüde yer vermeyecek açıklıkta kişisel verilerinin işlenmesine onayı olduğunu açıklamalıdır.

  • Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde MİGROS tarafından hukuka uygun olarak veri sahibinin açık rızası alınmaksızın işlenebilecektir. Örneğin; İş Kanunu ve ilgili mevzuat çerçevesinde çalışanlara ait işyeri sicil dosyası tutulurken kişisel veriler işlenmektedir.

  • Fiili İmkânsızlık Sebebiyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin Ya Da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu Olması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınamadığı hallerde, kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesi zorunlu ise veri sahibinin kişisel verileri işlenebilecektir. Örneğin; Migros tarafından işletilmekte olan satış mağazasında kaza geçiren müşterimizin sağlık bilgilerinin ailesi tarafından mağaza yetkililerine verilmesi halinde işbu kişisel veriler işlenmektedir.

  • Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde MİGROS tarafından kişisel veriler işlenebilecektir. Örneğin MİGROS Sanal Marketten alışveriş yapan müşterinin, sipariş ettiği ürünlerin teslimi için ad, soyad, adres ve telefon bilgisinin ürünleri taşıyan firma çalışanlarına bildirilmesi.

  • MİGROS’ un Hukuki Yükümlülüğünü Yerine Getirmesi için Veri İşleme Faaliyetinin Zorunlu Olması

MİGROS’ un hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin kredi kartı sahiplerinin bilgisi dışında kredi kartlarından yapılan harcamalara ilişkin olarak Savcılığa yapılan şikayetler uyarınca Savcılık kararıyla MİGROS’ tan kişisel verilerin talep edilmesi halinde verilerin sunulması.

  • Kişisel Veri Sahibinin Kendisi Tarafından Kişisel Verisini Alenileştirmiş Olması

Veri sahibinin, kişisel verisini bizzat alenileştirilmiş (sosyal medya vb. herhangi bir yol ve şekilde kamuya açıklamış) olması halinde ilgili kişisel veriler MİGROS tarafından açık rıza aranmaksızın işlenebilecektir. Örneğin, MİGROS sosyal medya hesabının ana sayfasına telefon numarasını bırakıp iş aradığını yazan kişinin bu verileri artık onun açık rızası olmaksızın ve fakat bu kapsamla sınırlı kalmak kaydıyla işlenebilir.

  • Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin delil vasfını haiz satış sözleşmesinin saklanması ve gerekli olduğunda kullanılması.

  • İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydı İle MİGROS’ un Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel verilerin korunması Anayasal bir hak olmakla birlikte; kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla MİGROS’un meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin mali işler departmanı tarafından yapılacak hesaplamalardaki kişisel veri işleme faaliyetleri.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ


7.1. Özel Nitelikli Kişisel Verilerin İşlenme Şartları


Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVK Kanunu kapsamında “özel nitelikli” olarak belirlenen kişisel veriler, işbu hassasiyet nedeniyle bu Politika’ da ayrıca belirtilmiştir.

KVK Kanunu’nun 6. Maddesi 1. Fıkrasında tanımı yapılan özel nitelikli kişisel verilerin yine KVK Kanunu’nun 6. Maddesi’nin 2. Fıkrasında belirtildiği üzere veri sahibinin açık rızası olmaksızın işlenmesi yasaktır. KVK Kanunu’nun 6. Maddesinin 3. Fıkrası bu kuralın istisnalarını düzenlemektedir.

MİGROS tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla yukarıda belirtilen kanun maddesine uygun olarak işlenmektedir.

7.2. Özel Nitelikli Kişisel Verilerin Korunması


Kişisel Verileri Koruma Kanunu ile bir takım kişisel veriler, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle iş bu Politikada ayrıca belirtilmiştir. Özel Nitelikli Kişisel Verilerin işlenmesi, Politika’ nın 7.1. maddesinde açıkça belirtilmiştir.

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik; Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi, gizlilik sözleşmelerinin yapılması, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, periyodik olarak yetki kontrollerinin gerçekleştirilmesi, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması yönünde gerekli önlemler alınmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise; verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografîk anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması yönünde gerekli önlemler alınmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi yönünde gerekli önlemler alınmaktadır.

8.  KİŞİSEL VERİLERİN AKTARILMASI


MİGROS’ un veri sahibine gerektiği gibi hizmet edebilmesi amaçlarına uygun olarak veri işleme kapsamında, veri sahibiyle ve/veya veri sahibinin işaret ettiği üçüncü taraflarla ilgili verilerin aktarımı/paylaşımı gereklidir.

Kişisel veriler MİGROS tarafından sunulan ürün ve hizmetlerden faydalanılması için gerekli çalışmaların iş birimleri tarafından yapılması, kurum tarafından sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,

MİGROS ve MİGROS’ la iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini (Kurum tarafından yürütülen iletişime yönelik idari operasyonlar, kuruma ait lokasyonların fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/müşteri/tedarikçi (yetkili veya çalışanları) değerlendirme süreçleri, itibar araştırma süreçleri, hukuki uyum süreci, denetim, mali işler vb.),

MİGROS’ un ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile kurumun insan kaynakları politikalarının yürütülmesinin temini amaçlarıyla iş ortaklarına, tedarikçilere, Kurum yetkililerine, hissedarlara, iştiraklere, bağlı ortaklıklara, kanunen yetkili kamu kurumları ve özel kişilere, KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.

MİGROS hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir. Kurum bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

MİGROS, bu Politika maddesinde belirtilen aktarma işlemi için istisnaları, KVK Kanunu’nun 8. Maddesi 2. Fıkrasında belirtildiği üzere uygulamaktadır.

Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

8.1.
Kişisel Verilerin Yurtiçinde Aktarılması

MİGROS’ un, kişisel veri sahibine, daha iyi hizmet verebilmesi, taleplerini daha doğru karşılayabilmesi, hizmet ve iletişimini geliştirebilmesi, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmesi ve teknik problemleri ortadan kaldırabilmesi vb. amaçlarına uygun olarak, veri işleme faaliyeti kapsamında, veri sahibiyle ve/veya veri sahibinin işaret ettiği üçüncü taraflarla ilgili verilerin üçüncü kişilere aktarımı/paylaşımı gerekli olabilmektedir. MİGROS, bu doğrultuda KVK Kanunu’nun 8. Maddesinde öngörülen düzenlemelere ve bahse konu madde kapsamında işbu Politika’ da yer alan düzenlemelere uygun hareket etmektedir. Şöyle ki;

  • Kişisel veriler MİGROS tarafından sunulan ürün ve hizmetlerden faydalanılması için gerekli çalışmaların iş birimleri tarafından yapılması, MİGROS tarafından sunulan ürün ve hizmetlerin müşterilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
  • MİGROS ve MİGROS ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini (MİGROS tarafından yürütülen iletişime yönelik idari operasyonlar, MİGROS’ a ait lokasyonların fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/müşteri/tedarikçi (yetkili veya çalışanları) değerlendirme süreçleri, itibar araştırma süreçleri, hukuki uyum süreci, denetim, mali işler vb.),
  • MİGROS’ un ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile kurumun insan kaynakları politikalarının yürütülmesinin temini amaçlarıyla iş ortaklarına, tedarikçilere, MİGROS yetkililerine, hissedarlara, iştiraklere, bağlı ortaklıklara, kanunen yetkili kamu kurumları ve özel kişilere, KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.

8.1.1. Özel Nitelikli Kişisel Verilerin Yurtiçinde Aktarılması

MİGROS gerekli özeni göstermek ve gerekli güvenlik tedbirlerini almak sureti ile KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini, bu Politika’ nın 7. bölümünde düzenlenen şartları dikkate alarak üçüncü kişilere aktarabilmektedir.

8.2. Kişisel Verilerin Yurtdışına Aktarılması

MİGROS, hukuka uygun amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. MİGROS tarafından işlenen kişisel veriler; KVK Kanunu’nun 9. Maddesi uyarınca KVK Kanunu’nun 5. Maddesinin 2. Fıkrası ile yeterli önlemler alınmak kaydıyla KVK Kanunu’nun 6. Maddesinin 3. Fıkrasında belirtilen şartlardan birinin bulunması halinde ve de kişisel verinin aktarılacağı yabancı ülkenin KVK Kurulu tarafından yeterli korumanın bulunduğu ülkelerden biri olarak ilan edilmiş olması ya da yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve KVK Kurulu’nun izninin bulunması kaydı ile aktarılabilir.

8.2.1. Özel Nitelikli Kişisel Verilerin Yurtdışında Aktarılması


MİGROS gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini bu  Politika’ nın 7. bölümünde düzenlenen şartları dikkate alarak yeterli korumaya sahip ilan edilen veya yabancı ülkede bulunan veri sorumlusu tarafından yeterli koruma taahhüt edilen ülkelere aktarabilmektedir.

Özel nitelikli kişisel veriler, e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımının gerçekleştirilmesi,  verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi yönünde gerekli önlem ve tedbirler alınmaktadır.

8.3. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları


MİGROS, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak müşterilerin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:

(i)      MİGROS iş ortaklarına,

(ii)     MİGROS tedarikçilerine,

(iii)    MİGROS iştiraklerine,

(iv)   Anadolu Holding A.Ş.’ye,

(v)    MİGROS Hissedarlarına,

(vi)   Hukuken Yetkili kamu kurum ve kuruluşlarına,

(vii)  Hukuken yetkili özel hukuk kişilerine,

(viii) Veri aktarım şartlarına uygun olarak diğer üçüncü kişilere.

Yukarıda aktarımda bulunduğu belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmekte olup; MİGROS tarafından gerçekleştirilen aktarımlarda Politika’ nın 10. Bölümünde düzenlenmiş hususlara uygun olarak hareket edilmektedir.

 

Veri Aktarımı Yapılabilecek Kişiler

Tanımı

Veri Aktarım Amacı

İş Ortağı

MİGROS’ un ticari faaliyetlerini yürütürken MİGROS ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır.

İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak

Tedarikçi

MİGROS’ un ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirketimize hizmet sunan tarafları tanımlamaktadır.

MİGROS’ un tedarikçiden dış kaynaklı olarak temin ettiği ve MİGROS’ un ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin MİGROS tarafından sunulmasını sağlamak amacıyla sınırlı olarak.

İştiraklerimiz

MİGROS’ un hissedarı olduğu şirketler

MİGROS’ un iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak

Anadolu Holding A.Ş.

Fatih Sultan Mehmet Mahallesi, Balkan Caddesi No. 58 Buyaka E Blok Tepeüstü, Ümraniye 34771 İstanbul, TÜRKİYE adresinde mukim Anadolu Holding A.Ş.

MİGROS’ un ticari faaliyetlerine ilişkin stratejilerinin planlanması ve denetim amaçlarıyla kullanılmakla sınırlı olarak

Hissedarlarımız

İlgili mevzuat hükümlerine göre MİGROS’ un ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan hissedarlarımız

İlgili mevzuat hükümlerine göre MİGROS’ un ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak

Hukuken Yetkili Kamu Kurum ve Kuruluşları

İlgili mevzuat hükümlerine göre MİGROS’ tan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları

İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

Hukuken Yetkili Özel Hukuk Kişileri

İlgili mevzuat hükümlerine göre MİGROS’ tan bilgi ve belge almaya yetkili özel hukuk kişileri

İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

 

9. KİŞİSEL VERİLERE İLİŞKİN HAKLAR VE YÜKÜMLÜLÜKLER


9.1.Kişisel Veri Sahiplerinin Migros Tarafından Aydınlatılması Yükümlülüğü


KVK Kanunu’nun 10. Maddesi uyarınca; MİGROS, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmakla yükümlüdür.

Bu kapsamda MİGROS, kişisel verilerin toplanması esnasında veri sahiplerine kişisel verilerin Migros Ticaret A.Ş. tarafından işleneceğini, kişisel verilerinin hangi amaçlarla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplama yöntemi ve hukuki sebepleri ile KVK Kanunu’nun 11. Maddesi uyarınca veri sahibinin haklarının neler olduğunu bildirmekte ve açık rıza almaktadır.

9.2. Kişisel Veri Sahibinin Hakları ve Başvuru Yöntemi


Kişisel veri sahibi, KVK Kanunu’nun 11. maddesi uyarınca MİGROS’ a başvurarak aşağıdaki taleplerde bulunabilir:

  1. Kişisel verilerini işlenip işlenmediğini öğrenme,
  2. Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
  6. KVK Kanunu 7. maddesi kapsamında, KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  7. Kişisel verilerin aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
  8. İşlenen kişisel verilerin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme

Kişisel veri sahiplerinin KVK Kanunu’ nun 13’üncü maddesinin 1’inci fıkrası gereğince yukarıda belirtilen haklarını kullanmakla ilgili taleplerini “yazılı”, Migros Ticaret A.Ş. Veri Sahibi Başvuru Formu’nu doldurarak veya KVK Kurulunun belirlediği diğer yöntemlerle Kuruma iletmeleri gerekmektedir. İletişim adresleri aşağıdaki şekildedir;

Adres: Migros Ticaret A.Ş. Genel Müdürlük Atatürk Mahallesi Turgut Özal Caddesi No: 12 Ataşehir / İSTANBUL

9.3. Kişisel Veri Sahibinin Hakları Dışında Kalan Haller


KVK Kanunu’nun 28. Madde’ sinin 1. Fıkrası’ nda belirtilen hallerin varlığı halinde, KVK Kanunu hükümlerinin uygulanmayacağı düzenlenmiş olup; bu kapsamda MİGROS tarafından işlenen kişisel verilere ilişkin olarak kişisel veri sahiplerinin KVK Kanunu’nda sayılan haklarını ileri sürmeleri mümkün değildir.

KVK Kanunu’nun 28. Maddesi 2. Fıkrası’ nda belirtilen hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç olmak üzere; KVK Kanunu’nda sayılan diğer haklarını ileri süremezler.

9.4. Kişisel Veri Sahibinin Migros’a Başvuru Hakkı


Kişisel veri sahipleri, kendilerine kanunen tanınan hakların kullanımına ilişkin taleplerini MİGROS’un www.migroskurumsal.com adresinde bulunan Başvuru Formu'nu doldurulup “Atatürk Mahallesi, Turgut Özal Bulvarı No:12 Ataşehir/İstanbul” adresine ıslak imzalı veya güvenli elektronik imzalı olarak iletebileceklerdir.

Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün olmayıp, üçüncü bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak üçüncü kişi adına düzenlenen özel vekâletname ile yetki verilmiş olması gerekmektedir.

9.5. MİGROS Tarafından Kişisel Veri Sahiplerinin Başvurularına Cevap Verilmesi


KVK Kanunu’nun 13. maddesi uyarınca; kişisel veri sahibinin yukarıda yer alan usule uygun olarak ilettiği başvurusunda yer alan talepler, MİGROS tarafından, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.

Yapılacak işlemin ayrıca bir maliyeti gerektirmesi hâlinde, MİGROS tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınabilecektir. Başvurunun MİGROS’ un hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.

MİGROS, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek, başvuruda yer verilen talepleri netleştirmek adına ilgili kişiden bilgi talep edebilir.

Politika’ nın 9.4 bölümünde belirtilen usule uygun olarak ve/veya kanunen geçerli tebligat ile iletilmeyen taleplerin MİGROS’ a ulaşmaması halinde MİGROS’ un sorumluluğundan bahsedilemez.

MİGROS, KVK Kanunu’nun 28. Maddesinde bahsedilen haller ve aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

(1)    Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması

(2)     Orantısız çaba gerektiren taleplerde bulunulmuş olması.

(3)     Talep edilen bilginin kamuya açık bir bilgi olması.

9.6. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı


Kişisel veri sahibi, KVK Kanunu’nun 14. Maddesi’nde belirtildiği şekilde kurula şikâyette bulunabilir.

Kişisel veri sahibi, KVK Kanunu’nun 13. Maddesi ve de bu Politika’ nın 9.4. bölümünde düzenlenen başvuru hakkını kullanmadan, KVK Kurulu’na şikâyet yoluna başvuramaz.

10. Kişisel Verilerin Güvenli Bir Şekilde Saklanması İle Hukuka Aykırı Olarak İşlenmesi Ve Erişilmesinin Önlenmesi İçin Alınan Teknik Ve İdari Tedbirler


MİGROS, KVK Kanunu’nun 12. Maddesi’ne uygun olarak, güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya üçüncü kişi firmalar ile yapılan sözleşmeler çerçevesinde yaptırmaktadır.

10.1. Kişisel Verilerin İşlenmesinde Gizlilik


MİGROS tarafından hukuka uygun olarak işlenen kişisel veriler, veri güvenliğine tabidir. MİGROS, özel nitelikli kişisel veriler ve web sitelerimiz ve/veya diğer uygulamalarımız üzerinden toplanan kişisel verilerinizin gizliliğini ve güvenliğini sağlamak üzere tüm gerekli teknik ve organizasyonel önlemleri almaktadır.

MİGROS’ un herhangi bir çalışanının bu verilere yetkisiz şekilde erişmesi, bu verileri işlemesi veya özel veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle paylaşması veya başka bir yöntemle bu verileri erişilebilir hale getirmeleri yasaktır. MİGROS’ un çalışanları kişisel verilere ancak söz konusu görevlerinin türü ve kapsamı çerçevesinde uygun şekilde erişebilir. Bunun için rol ve sorumluluklar detaylandırılmakta ve ayrıştırılmaktadır. MİGROS’ un meşru görevi çerçevesinde yetkilendirilmemiş olan herhangi bir çalışanının bu verileri işlemesi yetkisiz işlem anlamına gelmektedir.

Yöneticiler, istihdam ilişkisinin başlangıç aşamasında çalışanlarını veri gizliliğini koruma yükümlülüğü hususunda bilgilendirmelidir. Söz konusu yükümlülük istihdamın sona ermesinden sonra da devam edecektir.

10.2. Kişisel Verilerin İşlenmesinde Güvenlik


Kişisel veriler, yetkisiz erişime, yasa dışı veri işleme veya ifşaya ve verilerin kazara kaybına, değiştirilmesine veya imhasına karşı MİGROS tarafından korunmaktadır. Kişisel verilerinizin halka açık olmayan ve sadece yetkili Migros çalışanları (çalışanlarımızla yapılan Gizlilik Sözleşmesi kapsamında), aracılarımız ve yüklenicilerimiz tarafından erişilebilen güvenli çalışma ortamlarında saklanmaktadır.

Kişisel verilere erişmeden önce kişisel verileri saklanan veri sahibinin, web sitesi veya uygulama üzerinden kimlik bilgilerinin doğrulanması yapılmaktadır.

İşbu hüküm, veriler ister elektronik ortamda ister kâğıt üzerinde işlensin, geçerli olacaktır. Yeni veri işleme yöntemleri, bilhassa da yeni bilgi teknolojisi sistemleri ortaya çıkıncaya kadar, kişisel verileri korumaya yönelik olarak aşağıda teknik ve idari tedbirler tanımlanıp hayata geçirilmektedir. Söz konusu tedbirler mevcut olan en ileri teknolojiyi, veri işleme risklerini ve verileri koruma gereksinimini dikkate alarak tasarlanmıştır.

10.3. Teknik Tedbirler


MİGROS bünyesinde kişisel veri işleme faaliyetleri ile güvenli ortamda saklanması teknik sistemlerle yürütülmekte, teknik çözüm uygulamaları yapılmaktadır. Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.

Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta ve risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

Teknik konularda bilgili personel istihdam edilmektedir.

Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır. Örneğin Migros E-Ticaret siteleri gibi online servisler ile kişisel verilerin toplandığı tüm web sayfalarında Secure Sockets Layer (SSL) şifrelemesi kullanılmaktadır. Bu servislerden faydalanmak için, Safari, Firefox, Chrome veya Internet Explorer gibi SSL-destekli bir tarayıcı kullanılması gerekmektedir. Bu sayede, internet üzerinden iletilen kişisel verilerinizin gizliliği korunabilmektedir.

MİGROS, kartlı ödeme sistemlerinde veri güvenliğini sağlamak amacıyla oluşturulmuş PCI DSS (Payment Card Industry Data Security Standard) regülasyonlarına uyar ve kartlı ödeme sistemlerinde veri iletimini ve işleyişini güvenli olarak sağlar. Kredi kartı numarası MİGROS’ un online kredi kartı uygulaması tarafından şifrelenerek bankaya iletilmekte ve üçüncü taraflarla asla paylaşılmamaktadır. Kredi kartı bilgileri MİGROS tarafından saklanmamaktadır.

Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.

Ayrıca, kurum bünyesinde kullanılan veri sınıflandırma sistemi, veri sızıntısı önleme (DLP) sistemi ile entegre edilmiştir. Böylece Migros bünyesinde kişisel veri içeren tüm elektronik dokümanlar sınıflandırılmak zorunda olup, kurum dışına çıkartılması ise DLP sistemi ile kontrol altında tutulmaktadır.

10.4. İdari Tedbirler


Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi, mevzuata aykırı olarak başkasına açıklanamayacağı ve işleme amacı dışında kullanamayacağı konusunda bilgilendirilmekte ve eğitilmektedir.

MİGROS ile çalışanları arasındaki sözleşme ve belgelere, MİGROS talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar ile taahhütler eklenmektedir.

Çalışanların kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğüne uyumlarının denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler alınmaktadır.

MİGROS tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ve  kişisel verilerin saklanması konusunda üçüncü kişilerden teknik hizmet alınması halinde bu kişiler ile akdedilen sözleşmelere; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda gerekli tedbirlerin alınması ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

MİGROS, iş ortaklarına yönelik kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya ilişkin eğitimler ve seminerler düzenlenmesini sağlamaktadır.

10.5. Denetim Faaliyetlerinin Yürütülmesi


MİGROS, KVK Kanunu’nun 12. maddesine uygun olarak, kendi ve iş ortakları bünyesinde gerekli denetimleri yapmakta veya 3. Kişi firmalar ile yapılan sözleşmeler çerçevesinde yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tüm tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

10.6. Kişisel Verilerin Kanuni Olmayan Şekilde İfşası Durumunda Alınacak Tedbirler


MİGROS, KVK Kanunu ve ilgili mevzuata uygun olarak işlenen kişisel verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, KVK Kanunu 12. Maddesi 5. Fıkrası uyarınca, belirtilenleri yapmakla yükümlü olup; gerekli tespit ve bildirimin yapılmasını sağlamak amacı ile gerekli sistem oluşturulmaktadır.

KVK Kurulu’na yapılan bildirim akabinde, KVK Kurulu, KVK Kanunu’nun 12. Maddesi 5. Fıkrası’ nda belirtildiği şekilde bu durumu ilan edebilir.

11. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ


11.1.
Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesine İlişkin Esaslar

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

MİGROS kişisel verilerin saklanmasında ve imhasında aşağıdaki ilkelere uymaktadır.

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

MİGROS kişisel verileri aşağıdaki sebeplerle imha eder;

  • Kişisel verilerin saklanmasına ilişkin yasalarla belirlenmiş sürelerin sona ermesi
  • MİGROS tarafından belirlenen imha süresinin sona ermesi
  • MİGROS tarafından belirlenen periyodik imha süresinin sona ermesi
  • Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
  • İlgili sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması
  • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması
  • İlgili kişinin, hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun MİGROS tarafından kabul edilmesi,
  • MİGROS’ un, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kuruluna şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

Kişisel Verileri Koruma Kanunu’ nun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

11.2. Kişisel Verilerin Silinmesi, Yok Edilmesi Teknikleri


Kişisel verilerin silinmesi ya da yok edilmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

MİGROS, aşağıda yer verilen teknikleri kullanmak sureti ile kişisel verileri silmekte veya yok etmektedir.

  • MİGROS, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.
  • Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise MİGROS aşağıdaki kuralları uygular;

- Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,

- Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması

- Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması

- Gerçek kişiler tarafından direkt olarak silme talebinin iletilmesi durumunda ise ilgili kişiye ait kişisel verilerin Migros sistemlerinden silinmesi

  • Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi;

- Gerekli olmayan kişisel verilerin karartılması,

- Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin maskelenmesi yoluyla gerçekleştirilir.

Yukarıda belirtilen silme koşulları aşağıdaki yöntemlerle sağlanır;

11.2.1.
Fiziksel Olarak Yok Etme

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

11.2.2.
Yazılımdan Güvenli Olarak Silme

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

11.2.3.
Uzman Tarafından Güvenli Olarak Silme

MİGROS, bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

11.3.
Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. MİGROS, hukuka uygun olarak işlenen kişisel verilerin işlenmesi şartlarının ortadan kalkması halinde kişisel verileri anonimleştirebilmektedir. Böylece anonimleştirilen kişisel veriler KVK Kanunu’nun 28. maddesine uygun olarak araştırma, planlama ve istatistik gibi amaçlarla işlenebilmektedir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından bu Politika’ nın 9. Bölümünde düzenlenen haklar bu veriler için geçerli olmayacaktır.

MİGROS, kişisel verilerin anonimleştirmesi için aşağıda yer verilen teknikleri kullanmaktadır.

11.3.1. Maskeleme

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örneğin, kişisel veri sahibinin tanımlanmasını sağlayan adı, soyadı, T.C. Kimlik No vb. bilginin çıkartılması.

11.3.2.  Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, yaşları belirtilmeksizin X yaşında Y kadar müşteri olduğunun belirtilmesi

11.3.3.  Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin doğum tarihi yerine yaşın belirtilmesi

11.3.4.  Veri Karma

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

11.4.
Kişisel Verilerin Saklanma ve İmha Süreleri İle Periyodik İmha Süreleri

MİGROS, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı altı aydır. Kişisel verilere ilişkin olarak saklama süreleri ise KVK Kanunu’na ve iş süreçlerine uygun olarak belirlenmiştir.

KVK Kurulu, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilmektedir.

Veri sahibi gerçek kişi, KVK Kanunu’ nun 13. maddesine istinaden MİGROS’ a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

a)
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; MİGROS talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. MİGROS, Veri sahibi gerçek kişinin talebini en geç otuz gün içinde sonuçlandırır ve veri sahibi gerçek kişiye bilgi verir.

b)
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa MİGROS bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.

c)
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep MİGROS tarafından KVK Kanunu’nun 13. Maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

11.4.1.
Kişisel Verilerin Resen Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Süreleri

MİGROS, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreleri dikkate alır:

  • Yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde
  • Periyodik imha süresi her halde 180 günden uzun olamaz.


11.4.2.
İlgili Kişinin Talep Etmesi Durumunda Kişisel Verileri Silme ve Yok Etme Süreleri

İlgili kişi, MİGROS’ a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; MİGROS talebe konu kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir. İlgili kişilerin silme veya yok etme talepleri MİGROS tarafından en geç otuz gün içerisinde sonuçlandırılır.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep MİGROS tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.


11.5.
Kişisel Verileri İşleme, Saklama ve İmha Süreçlerinin Şirket İçi Yönetimi

MİGROS, KVK Kanunu ve ilgili yasal mevzuat hükümlerine uyum süreci ve uyum sürecinin tamamlanması akabinde gerçekleştirilecek kişisel veriler ile ilgili her türlü işlemde, işbu Politika ve bu Politika’ ya bağlı süreçlerin yönetimi aşağıdaki şekilde yürütülür:

MİGROS sistemlerinden kişisel verilerinin silinmesini isteyen bir müşteri; Kurumsal İnternet Sayfası, Mobil Uygulama, Çağrı Merkezi üzerinden veya Mağazalara bizzat başvurarak kişisel verilerinin silinmesini talep edebilir. Tüm kanallardan alınan talep, çağrı sistemine kaydedilir ve doğrulama işlemi için çağrı merkezi tarafından müşteri geri aranır. Müşterinin Migros ve E-Ticaret sistemlerinden hangisindeki verilerini sildireceği netleştirildikten sonra ilgili sistemlerdeki silme süreçleri çalıştırılarak müşteri verisi silinir.

12.
KAYIT ORTAMLARI

MİGROS, KVK Kanunu’nda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediği kişisel verileri MİGROS veri ambarına kaydetmekte ve depolamaktadır.

12.1.
Mağaza, Genel Müdürlük Binası vb. Girişinde ve/veya İçerisinde Yapılan Kayıt ve Takibi

MİGROS tarafından sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlarla, mağazalarda, binalarda ve tesislerde güvenlik kamerasıyla izleme suretiyle kişisel veri işleme faaliyetinde bulunulmaktadır. Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.

MİGROS tarafından kişisel veri sahibi KVK Kanunu’nun 10. maddesine uygun olarak, gerek internet sitesinde Gizlilik ve Veri Güvenliği Politikası’ nın yayınlanması gerekse izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmak suretiyle aydınlatılmakta ve elde edilen kişisel veriler bu Politika da belirtilen idari ve teknik tedbirlerle korunmaktadır.

12.2.
Mağaza, Genel Müdürlük Binası vb. Yapılan Misafir Giriş/Çıkış Takibi

MİGROS, güvenliğin sağlanması ve bu Politikada belirtilen amaçlarla, MİGROS bina ve tesislerinde ziyaretçi giriş çıkışlarının takibine yönelik ziyaretçilere ait kimlik bilgilerini alarak ve Ziyaretçi Programına giriş yaparak kişisel veri işleme faaliyetinde bulunmaktadır.

12.3.
Kurum Tesis Güvenliğinin Sağlanması ve İnternet Sitesi Ziyaretçileri

Kurum tarafından güvenliğin sağlanması amacıyla, kurum binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Kurum’un bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla ziyaretçilerin görüntü kayıtları alınmaktadır. Ayrıca ziyaretçilere ait kimlik bilgileri alınarak, Ziyaretçi Programına girişi yapılmakta ve saklanmaktadır.

Kurum, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, Kurum’un, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

Kurum tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

İnternet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Kurum içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğün yerine getirilmesi amacıyla işlenmektedir.

MİGROS sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Ör. Kurabiyeler-cookie gibi) site içerisindeki internet hareketleri kaydedilmektedir.

Bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin “MİGROS Ticaret A.Ş. İnternet Sitesi Gizlilik ve Veri Güvenliği Politikası” metinleri içerisinde yer almaktadır.

  1. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KAPSAMINDA ŞİRKET İÇİ YÖNETİŞİM

    MİGROS bünyesinde, 6698 sayılı Kanun'a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla Kişisel Verilerin Korunması Komitesi ("Komite") kurulmuştur. Komite'nin başlıca görevleri aşağıda belirtilmektedir:

Komitenin görevleri:

  1. Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
  2. Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içinde gerekli görev dağılımını yapmak ve koordinasyonu sağlamak
  3. 6698 sayılı ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
  4. Kişisel verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirket iş ortakları nezdinde farkındalığı arttırmak,
  5. Migros’un kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayına sunmak,
  6. Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip etmek, hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,
  7. Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
  8. Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak,
  9. Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
  10. Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
  11. KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
  12. Üst yönetimin kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
  13. Şirket'in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini sunmak,

 

Kapat
Money Club Kart Kullanım Koşulları ve İletişim İzni

Money Club Üyelik ve Rıza Beyanı*

Migros Ticaret A.Ş'ne ait Müşteri İletişimi ve Memnuniyet Programı ve/veya Money Club Programı; Migros tarafından işletilen elektronik ortamdakiler dahil tüm işyerlerinde, Program üyelerine; www.moneyclubkart.com linkinde yer alan ve güncellenen Program Ortakları (bundan böyle "Program Ortakları" olarak anılacaktır) ile birlikte de gerçekleştirebileceği genel ve özel kampanya, promosyon, indirim, tanıtım, kulüplere özel avantajlardan yararlanma ve benzeri olanaklar sunan müşteri odaklı bir pazarlama programıdır(Bundan böyle "Program" olarak anılacaktır). Üye, Program'a dahil olmak için aşağıdaki koşulları kabul eder.

  • Üye; Alışveriş bilgisi, isim, soyisim, cep telefon numaraları, doğum tarihi, yaşadığı şehir, cinsiyet, gibi kişisel bilgilerinin ve elektonik programlar nedeniyle ulaşılabilen lokasyon bilgisinin, kişisel olmayan bilgilerinin, Migros Ticaret A.Ş tarafından mal ve hizmetlerini tanıtmak, üyelerini tanımak ve iletişimini arttırmak, imajını arttırmak, ürün, hizmet ve iletişimini geliştirmek, kulüplere üye kaydetmek, müşteri memnuniyeti uygulamaları ve bilgilendirmeleri yapabilmek, denetim, veri analizi, araştırma, trendleri anlama, pazarlama ve reklam hizmetlerinde de kullanılmak üzere toplanmasına, veri kayıt sisteminde muhafaza edilmesine, sayılan amaçlarla "Program Ortakları", GSM Operatörleri / Sosyal Paylaşım Siteleri / Kargo şirketleri gibi ifa yardımcıları ile yurtiçinde ve yurtdışında paylaşılmasına ve işlenmesine izin verir.
  • Üye, Migros Ticaret A.Ş. veritabanında kayıtlı bilgileri hakkında sorgulama yapmak, kişisel bilgilerini düzeltmek/güncellemek ve veri paylaşım tercihlerini değiştirmek isterse bu talebini şu kanallar vasıtasıyla yapabilir: 444 10 44 Migros Müşteri Hzimetleri Merkezi / www.moneyclubkart.com / Migros Mobil Uygulaması.
  • Üye aksini belirtmedikçe, üyeliği sonlandığında da, bu madde kapsamında sayılan benzeri amaçlar doğrultusunda, mevcut verilerinin muhafaza edilmesini, paylaşılmasını, işlenmesini kabul eder. Üye, kişisel verilerinin işlenip işlenmediğini, yut içinde ve yurt dışında 3. Kişilere aktarılıp aktarılmadığını öğrenme, kişisel veriler işlenmişse ya da 3. Kişilere aktarılmışsa buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, bu verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'da yer alan diğer haklarını talep etme hakkına sahiptir.
  • Migros Ticaret A.Ş, Migros'a hizmet veren tedarikçi veya ifa yardımcılarından alınan hizmetin/ürünün kapsamına göre kişisel bilgilerinizi paylaşmamız gerekirse, bu hizmet sağlayıcılarla kişisel bilgilerin güvenliğinin sağlanması için gizlilik anlaşması dahilinde uygun güvenlik tedbirlerine sahip olmalarını zorunlu kılıp, kendi maksatları doğrultusunda sizin kişisel bilgilerinizi kullanmalarını veya diğerlerine kişisel bilgilerinizi ifşa etmelerini yasaklamaktadır.
  • Program kapsamında üyenin internet deneyimini geliştirmek gibi çeşitli amaçlarla çerez (cookie) adı verilen teknik iletişim dosyaları (sabit sürücünüze yerleşen küçük dosyalar) kullanmaktadır. Çerezler yardımıyla toplanan kişisel veriler, işbu formda belirlenen amaçlarla Program ortakları ile paylaşılabilecektir. Üye, moneyclubkart.com.tr adresinden ve/veya tarayıcı ayarları aracılığı ile çerezlere ilişkin tercihlerini ayarlayabilir ve yönetebilir.
  • Üye, Programdan faydalanması için kendisine verilen kart ve numarasını, kullanıcı adı ve/veya şifreyi ve/veya bu programdan yararlanmak için oluşturduğu bilgiyi başkasına vermemeyi, kullandırmamayı, bunların saklanmasından sorumlu olduğunu, Üye veya başkası tarafından kötüye kullanıldığı, programların suistimal edildiği, formda beyan ettiği bilgilerin herhangi birinin doğru olmadığı/eksik olduğu tespit edilirse ya da kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun kapsamında kalmak şartı ile silinmesini talep ederse üyeliğe ilişkin her türlü hak ve kazanımların geri alınacağını, üyeliğin sonlandırılabileceğini veya diğer tedbirlerin uygulanabileceğini, bu kapsamda mevcut kişisel verilerinin Migros Ticaret A.Ş. tarafından anonim hale getirilebileceğini kabul ve taahhüt eder. Üye, bu konularda doğabilecek ihtilaflardan tüm sorumluluğun kendisinde olduğunu ve üzerindeki tüm haklarını kaybedeceğini kabul eder. Üye, program üyeliğinden yararlanmasını sağlayan iletişim aracının, pazarlama kanalının, iletişim bilgilerinin veya ileride devreye alınabilecek kart harici aracın kaybolması, çalınması halinde, bu durumu çağrı merkezine bildirecektir. Bildirim yapılıncaya kadar doğabilecek her türlü zarardan Üye sorumludur.
  • Migros ve Program Ortakları, Program şartlarını değiştirebilir, programı durdurabilir, üyeliği iptal edebilir, üyeliğe ilişkin aidat talep edebilir. Üyelik sona erdiğinde kartta biriken puanlar ve Üyeye kazandırılan haklar Migros ve/veya Program Ortakları tarafından silinecek ve geri alınacaktır.
  • Bir üyenin, bu programa ait aynı üyelik bilgileri ile kayıtlı birden fazla üyelik tespit edilirse, bu kayıtlar ilgili üye adına birleştirilir. Bir üyenin tek bir kaydı olabilir.
  • Müşteri İletişimi ve Memnuniyet Programı ve/veya Money Club Programı ve Program Ortaklarına 18 yaşın üzerindeki Türkiye'de yaşayanların üye olabileceğini kabul eder.
  • Migros, kümüle (toplu) Kullanıcı bilgilerini ad-soyad bilgilerini içermeyecek şekilde iş ortakları (yatırımcıları dahil), basın gibi üçüncü şahıslar ile paylaşabilir.
  • Migros'un devri, bir başka şirket ile birleşmesi ve/veya ünvan değişikliği hallerinde de bu koşullar geçerlidir.
  • Migros Ticaret A.Ş'nin Gizlilik ve Veri Güvenliği Politikası www.migros.com.tr web adresinde yayınlanmaktadır. Üye, daha detaylı bilgi sahibi olmak için buraya başvurabilir.
  • Migros Ticaret A.Ş. yasal mevzuat çerçevesinde zorunlu kılınan durumlarda dahil olmak üzere muhtelif zamanlarda işbu Money Club Üyelik ve Rıza Beyan formunda değişiklik yapabilecek olup, Üye, yapılan değişiklikleri moneyclubkart.com'tr adresinden takip edebilecektir.
Lütfen Money Club Üyelik ve Rıza Beyanı'nı kabul ediniz.
*

Ticari Elektronik İleti
Üye, Program'ın yürürlüğe sokabileceği uygulamalar çerçevesinde; doğrudan ve dolaylı olarak Migros ve Program ortakları tarafından, genel ve özel kampanyalar, avantajlar, ürün, hizmet tanıtımları, reklâm, pazar araştırması anketleri ve diğer müşteri memnuniyeti uygulamaları, bilgilendirmelerine ilişkin olarak her türlü elektronik iletişim aracı ile kendisine ticari elektronik ileti gönderilmesine, kulüplere üye kaydedilmesine izin verir.


Lütfen iletişim tercihinizi yapınız.
*
Neden sizden bu izni istiyoruz? Bilgi için tıklayınız. Gönder
Kapat
Cep telefonunuza gönderilen kodu aşağıdaki alana giriniz.