ESKİDJİ ÇARŞI İŞLETMELERİ A.Ş. (ŞİRKET)
KİŞİSEL VERİ İŞLEME ENVANTERİ VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
1.GİRİŞ
Veri sorumlusu olarak ESKİDJİ ÇARŞI İŞLETMELERİ A.Ş.(“Şirket”) için çalışanları, müşterileri ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması, büyük önem arz etmektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Politika ve ŞİRKET bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen gaye; çalışanlarımızın, aktif ve potansiyel müşterilerimizin ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.
Bu kapsamda, 6698 sayılı Kanun ve ilgili mevzuat gereğince kişisel verilerin işlenmesi ve korunması için ŞİRKET tarafından gereken idari ve teknik tedbirler alınmaktadır.
Bu Politika’da kişisel verilerin işlenmesi süreçleri için ŞİRKET’in benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:

• Kişisel verilerin rıza kapsamında işlenmesi,
• Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
• Kişisel verileri doğru ve gerektiğinde güncel tutma,
• Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
• Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
• Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
• Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
• Kişisel veri sahiplerinin haklarını kullanması için gerekli altyapıyı oluşturma,
• Kişisel verilerin korunması için gerekli tedbirleri alma,
• Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,

Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi.
2.POLİTİKA'NIN AMAÇ VE KAPSAM
ŞİRKET’in KVKK Politikası; Sanal pos kullanarak ödeme alma işlemi kapsamında temin edilen “ad-soyad, firma adı, cep telefonu numarası, kısmen anonimleştirilmiş olarak kart numarası, orderldno, ip no, sistemin verdiği kimlik no, customerld, sistemdeki müşteri kodu, kredi kartı numarası, kart cvv, kart son kullanım tarihi,” gibi kişisel verileriniz uygulama kapsamında, ödemelerin kart hamillerinden güvenli şekilde alınması için sisteme kayıt aşamasında onayladığınız sözleşme kapsamında doldurduğunuz formlar aracılığıyla 6698 sayılı kanunun 5/2-c maddesi uyarınca işlenmesi, kullanılması, paylaşması, puanlanması, sınıflandırılması ve saklanması süreçleri ve prensipleri hakkında çalışanları vemüşterileri bilgilendirmek amacıyla hazırlanmıştır.
İşbu Politika’da, Şirket tarafından veri sahiplerine ait kişisel verilerin işlenmesine ilişkin esaslara KVKK’da yer alan düzenleme sırasına uygun olarak yer verilmiş olup, bu açıklamalar Şİrket. bünyesindeki çalışanları ve müşterileri kapsamaktadır.
3.POLİTİKA’NIN YÜRÜRLÜĞÜ
ŞİRKET tarafından düzenlenen bu Politika 31.03.2021 tarihinde yürürlüğe konulmuştur. Bu Politika, ŞİRKET'in internet sitesinde (www eskidjibazaar.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
4.TANIMLAR
ŞİRKET KVK Politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:

KISATMA	TANIM
Açık Rıza :	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ :	10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.
İlgili Kullanıcı :	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha :	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Periyodik İmha :	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Kanun/KVKK :	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı :	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri :	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi :	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel VerilerinAnonim HaleGetirilmesi :	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel VerilerinSilinmesi :	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel VerilerinYok Edilmesi:	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul :	Kişisel Verileri Koruma Kurulu.
Özel NitelikliKişiselVeri :	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.
Veri Sahibi/İlgiliKişi :	Kişisel verisi işlenen gerçekkişi.
Veri Sorumlusu :	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri İşleyen :	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Yönetmelik :	Veri Sorumluları Sicili Hakkında Yönetmelik.

KVK Kanunu kapsamında ŞİRKET veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kayıt olacaktır. Yönetmelik’in 11inci maddesinin 1inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır. 
ŞİRKET, Türk Ticaret Kanunu’nun(TTK) 367,371 ve 553üncü maddesi ve diğer ilgili maddeleri uyarınca ŞİRKET’in yönetim ve temsiline ilişkin şirket yönetimi oluşturulmuştur. Şirket Yönetimi, yetki devredilen kişilerin görev ve sorumluluklarının detayları ve sınırlarını belirlemekte özellikle kimin kime bağlı olduğunu ve şirketin yönetim ve organizasyon şeklini ve Yönetim Kurulu’nun çalışma prensiplerini belirlemektedir. Yönetim kurulu tarafından TTK’nın ilgili maddeleri uyarınca sınırları belirlenmiş olarak şirketin yönetim ve temsili verilen bu kişiler TTK, TBK ve TCK kapsamında kendi yetki sınırları dahilinde gerçekleşen işlem ve eylemlerden sorumludur. ŞİRKETtarafından, KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere asıl yetkili şirket müdürü olmak üzere kurulan tüm departman müdürlerini yetkili kılınmıştır. Her bir departman müdürü, departmanlardaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ve İmha Politikası’na uygun davranıp davranmadığını denetlemekle yükümlü olacaktır. Tüm departman müdürleri belirtilen periyodik imha sürelerinde İmha Politikası doğrultusunda gerçekleştirdiği işlemleri Asıl Yetkili’ye raporlayacaktır. Asıl Yetkili, tüm departman müdürlerinin denetim ve işlem raporlarını yapılan toplantılarda Yönetim Kurulu’na sunacaktır. Karar alınmasını gerektiren durumlarda Bilgi İşlem Müdürü’nün de görüşü alındıktan Yönetim Kurulu’nun karar almasını müteakip alınan karar uygulamaya konulacaktır.
ŞİRKET’in yönetim ve temsil yetkisinin devredildiği kişilerin görev ve sorumluluklarına ilişkin detaylara EK-1’de bulunan “Şirket İç Yönergesi”nde yer verilmektedir.
5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN USUL VE ESASLAR
5.1. İŞLENMESİNE İLİŞKİN GENEL İLKELER
ŞİRKET kişisel verileri KVKK ve ilgili diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede, ŞİRKET tarafından kişisel veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır.

• Hukuka ve dürüstlük kurallarına uygun olma: Bu ilke uyarınca, ŞİRKET’in veri işleme süreçleri başta Anayasa ve KVKK olmak üzere ilgili tüm mevzuat ile dürüstlük kurallarının gerektirdiği sınırlar içinde kalınarak yürütülmektedir.
• Doğru ve gerektiğinde güncel olma: ŞİRKET tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmeler de bulunularak veri sahiplerine gerekli imkânlar tanınmaktadır.
• Belirli, açık ve meşru amaçlar için işlenme: ŞİRKET yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, ŞİRKET yalnızca veri sahipleriyle kurulan iş ilişkisi ile bağlantılı olarak ve bunlar açısından gerekli olması halinde kişisel veri işlemektedir.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: ŞİRKET tarafından veriler, KVKK ve ilgili diğer mevzuata uygun olarak, veri kategorilerine göre belirlenen amaçların gerçekleştirilebilmesine elverişli, amacın gerçekleştirilmesiyle ilgili ve ölçülü olarak işlenmekte olup, ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: ŞİRKET tarafından işlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, ŞİRKET, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. ŞİRKET gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.

5.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, ŞİRKET tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir. Kanun'da sayılan istisnalar dışında, ŞİRKET ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir.

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise ŞİRKET tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:

• Kamu sağlığının korunması,
• Koruyucu hekimlik,
• Tıbbî teşhis,
• Tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

5.3.KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ
ŞİRKET, KVK Kanunu 4, 5 ve 6. maddeye uygun olarak ve Yönetmelik’in 5inci,7inci,9uncu ve 10uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanteri’ne dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir. 
İşbu Politika ve İmha Politikası’nda ayrıca kişisel veri işleme envanteri başlığına yer verilmemiş olsa da işbu başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır.
1. Kişisel veri işleme amaçları, 
2. Veri kategorisi,
3. Verilerin aktarıldığı alıcı grubu veya alıcı grupları,
4. Veri konusu kişi grupları,
5. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
6. Veri güvenliğine ilişkin alınan tedbirler,
7. Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre,

5.3.1.Kişisel Veri Konusu Kişi Grupları

KİŞİSEL VERİ KONUSU KİŞİ GRUPLARI	AÇIKLAMASI
ŞİRKET Çalışanları/Müşterileri	ŞİRKET’in çalışanları, şube çalışanları ve müşterilerinin yetkili gerçek kişileri; ŞİRKET’in koymuş olduğu kurallar ve yasal yükümlülükler çerçevesinde üretim, ihracat ve pazarlama güvenliğinin ve düzeninin sağlanmasında, çalışanların bu yükümlülüklerini yerine getirmesine yardımcı olan taşeronlarının yetkili gerçek kişileri ve bu taşeronlar tarafından görevlendirilen gerçek kişi çalışanlar

5.3.2.Veri Kategorizasyonu

VERİKATEGORİZASYONU	VERİ KATEGORİZASYONU AÇIKLAMASI
Kimlik Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, nüfusa kayıtlı olduğu yer ve diğer nüfus bilgileri, doğum yeri, doğum tarihi, cinsiyet, medeni durum gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi v.b. bilgiler
İletişim Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler
Güvenlik Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, taşıt plaka bilgileri, güvenlik noktasında alınan kayıtlar, telefon aramalarında alınan ses kayıtları v.b.
Özel Nitelikli Kişisel Veri	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dâhil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi)
Talep/Şikâyet Yönetimi Bilgisi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ŞİRKET’eyöneltilmiş olan her türlü müşterilerin talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler

5.3.3.Kişisel Verilerin İşlenme Amaçları
ŞİRKET tarafından elde edilen kişisel verileriniz, aşağıda açıklanan kapsamlar dahilinde işlenebilecektir:

• Otomotiv sektöründeki üretim, ihracat ve pazarlama faaliyeti çerçevesinde; müşterilere yönelik kampanyaların oluşturulması, ŞİRKET iş ortakları tarafından ŞİRKET müşterilerine kullanabilecekleri özel fırsatların sunulması, doğrudan ve doğrudan olmayan pazarlama, kişiye özel pazarlama ve yeniden pazarlama faaliyetlerinin yürütülmesi, kişiye özel segmentasyon, hedefleme, analiz ve şirket içi raporlama faaliyetlerinin yürütülmesi, pazar araştırmaları, müşteri memnuniyeti aktivitelerinin planlanması ve icrası, müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası amaçları da dahil olmak üzere genel anlamda ŞİRKET’in ürün ve/veya hizmetlerinin üretim, ihracat ve pazarlama süreçlerinin planlanması ve icrası, ŞİRKET’in sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve icrası kapsamında veri sorumlusunun üzerine düşen yükümlülük nedeniyle, ihtarnameler çekilebilmesi, icra ve dava yollarına başvurulabilmesi ve diğer tedbirlerin alınabilmesi amacıyla çalışanları ve hizmet alan müşterilerden yetkili gerçek kişilerin bilgilerini kaydeder.
• Firmamızın bünyesindeki çalışanlar tarafından sunulan üretim, ihracat ve pazarlama hizmetlerimizden müşterilerimizin sorunsuz olarak yararlanabilmesi, ürün ve hizmet çeşitliliğimizin geliştirilebilmesi ve zaman zaman “en iyi hizmet en iyi ürün” prensibi ile müşterilerimize hizmet sağlanabilmesi amaçlı kişisel verileriniz rızanız alınmak suretiyle işlenebilecektir.

Yukarıda belirtilen kategoriler bilgilendirme amaçlı olup, ŞİRKET’in gelecekteki ticari ve işletmesel faaliyetlerini yürütebilmesi için tarafımızca başka kategoriler de eklenebilecektir. Bu gibi durumlarda ŞİRKET, sizi en hızlı şekilde bilgilendirmeye devam edebilmek için, belirtilen kategorileri sizler için ilgili metinlerde güncellemeye devam edecektir.
5.4. KİŞİSEL VERİLERİN YURTİÇİNDEKİ KİŞİLERE AKTARILMASI
ŞİRKET, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, ŞİRKET tarafından veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler ŞİRKET tarafından, veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,

• Kamu sağlığının korunması,
• Koruyucu hekimlik,
• Tıbbî teşhis,
• Tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.

Özel nitelikli kişisel verilerin aktarılmasında da, bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.
5.5. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, KVKK’nın 9. Maddesi doğrultusunda veri sahibinin açık rızası aranmaktadır. Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da ŞİRKET tarafından kişisel veriler yurtdışına aktarılabilecektir. Eğer aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVKK Kurulunun izninin bulunması ile yurtdışına aktarılabilmektedir.
5.6. KİŞİSEL VERİLERİN SAKLANMASI
Elde ettiğimiz kişisel veriler, ŞİRKET’in ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, ŞİRKET tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, ŞİRKET tarafından re’sen yahut ekte bulunan veri sahibi başvuru formu aracılığıyla ve kullanılabilecek farklı teknikler ile veri sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonimleştirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, yukarıda belirtilen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.
5.7. VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER
ŞİRKET, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’nın 12(1).maddesinde öngörülen tedbirler şunlardır:

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak.

ŞİRKET’in bu kapsamda aldığı önlemler aşağıda sayılmıştır:
5.7.1. İdari Tedbirler

• ŞİRKET, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır.
• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, ŞİRKET bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
• Kişisel verilerin aktarıma konu olduğu durumlarda, ŞİRKET tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi sağlanır.
• ŞİRKET tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenir, bu kapsamda, KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğun sağlanması için atılması gereken adımlar tespit edilir.
• ŞİRKET, KVK Kanunu’na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit eder, bu uygulamaları iç politikalar ile düzenler
• ŞİRKET, kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline gerekli KVKK eğitimlerini verir.

5.7.2. Teknik Tedbirler

• ŞİRKET tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınır ve alınan önlemler gelişmelere paralel olarak güncellenir ve iyileştirilir.
• Teknik konularda, bilgili kurumlardan hizmet alınır.
• Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.
• Güvenliği temin edecek yazılım ve sistemler kurulur.
• ŞİRKET bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır.
• Kişisel verilerin kurum dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.

5.8. ŞİRKET’İN AYDINLATMA YÜKÜMLÜLÜĞÜ
ŞİRKET KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir veŞİRKET, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir. 
KVKK’nın 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• KVKK’nın 11. Maddesinde sayılan diğer haklar.

ŞİRKET, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVKK hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır. Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, ŞİRKET’in ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK’ya dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin ŞİRKET tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.
Öte yandan, KVKK’nın 28(1).maddesi çerçevesinde, aşağıda sayılan durumlarda ŞİRKET’in aydınlatma yükümlülüğü bulunmamaktadır:

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bununla beraber, KVKK’nın 28(2).maddesi çerçevesince, ŞİRKET’in aydınlatma yükümlülüğü aşağıdaki hallerde uygulama alanı bulmayacaktır:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

5.9. VERİ SAHİBİNİN HAKLARI
ŞİRKET tarafından işbu Politika’da yer alan esaslara uygun olarak işlenen kişisel verilere ilişkin olarak, KVKK’nın 11. maddesinde veri sahipleri için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıştır. Bahse konu haklar şunlardır:
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g) Yukarıdaki (e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
5.9.1.Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda 11inci bölümde sayılan haklarını ileri süremezler: 

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. 
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. 
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. 
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. 

KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 11. bölümde sayılan diğer haklarını ileri süremezler: 

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. 
• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. 
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. 
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

5.9.2.Kişisel Veri Sahibinin Haklarını Kullanması
Veri sahipleri bu bölümün 5.9’uncu başlığı altında sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle EK-2’de yer alan Başvuru Formu’nu doldurup imzalayarak ŞİRKET’e ücretsiz olarak iletebileceklerdir: 
(a) www.eskidjibazaar.com adresine gönderecekleri bir e-posta 
(b)Sanayi Caddesi Vadi1 Sokak No:2 Yenibosna/Bahçelievler/İSTANBUL adresine iadeli taahhütlü posta, noter vasıtasıyla veya elden teslim yöntemi ile gönderecekleri Başvuru Formu ile öğrenme hakkına sahiptirler.  
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
5.9.3.Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ŞİRKET’in cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
5.10.ŞİRKET’İN BAŞVURULARA CEVAP VERMESİ 
5.10.1.ŞİRKET’in Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün 5.9başlıklı kısmında yer alan usule uygun olarak talebini ŞİRKET’e iletmesi durumunda ŞİRKET talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, ŞİRKET tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. 
5.10.2.ŞİRKET’in Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler 
ŞİRKET, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. ŞİRKET, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir. 
5.10.3.ŞİRKET’in Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı 
ŞİRKET aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir: 

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. 
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. 
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. 
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. 
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. 
• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. 
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. 
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. 
• Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması 
• Orantısız çaba gerektiren taleplerde bulunulmuş olması 
• Talep edilen bilginin kamuya açık bir bilgi olması.

6. DİĞER HUSUSLAR
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.
7. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA
İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ilan edilecektir.
8. YÜRÜRLÜK
ŞİRKET tarafından hazırlanan işbu Politika 01.04.2021 tarihinde yürürlüğe girmiştir.
9. YÜRÜTME
İşbu Politika’nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan ŞİRKET’in yönetim kurulunun KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere Şirket İç Yönergesi’ne göre asıl yetkili olmak üzere kurulan tüm departman müdürleri sorumludur.
10. DAĞITIM
Politika, ŞİRKET internet sitesinde ve intranetinde yayınlanarak, üçüncü taraflara, çalışanlarına ve müşterilerine duyurulur.
12. REFERANS DÖKÜMANLAR

• 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
• Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

EK-1 Şirket İç Yönergesi
EK-2 Şirket Veri Sahibi Başvuru Formu