Kişisel Veri İşleme Politikası

GÖZALAN ŞİRKETLER TOPLULUĞU 
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

2026

 

A.    AMAÇ VE KAPSAM

Gözalan Topluluk Şirketleri (“Şirket”) Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Kişisel Veriler’e ilişkin mevzuat çerçevesinde şeffaflığın ve hesap verilebilirliğin sağlanması temel amacıyla hazırlanmıştır. İşu Politika ile Şirket tarafından Kişisel Veriler’i işlenmekte olan kişilerin bilgilendirilmesi ve aydınlatılması hedeflenmektedir. Politika, katmanlı aydınlatma metodunun detay seviyesi en yüksek katmanını ifade etmektedir.

Politika kapsamına, Şirket tarafından Kişisel Veriler’i işlenmekte olan tüm gerçek kişiler girmektedir. Öte yandan Şirket çalışanlarına özgü ayrı bir Kişisel Verilerin İşlenmesi ve Korunması politikası bulunmaktadır. Bahsi geçen politikada değinilmemiş konular hakkında bu Politika uygulama alanı bulacaktır. 

B.    POLİTİKADA YER ALAN TANIMLAR

Açık Rıza

:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı

:

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

Kişisel Verilerin Anonim Hâle Getirilmesi

:

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Veri(ler)

:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi

:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 

Kişisel Verilerin İmhası

:

Kişisel Verilerin Silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel Verilerin Silinmesi

:

Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi

:

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi.

Kanun

:

6698 sayılı Kişisel Verilerin Korunması Kanunu.

Kurul

:

Kişisel Verileri Koruma Kurulu.

Özel Nitelikli Kişisel Veri

:

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veriler.

Veri İşleyen

:

Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. 

Veri Kayıt Sistemi

:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistem.

Veri Sahibi ya da İlgili Kişi

:

Kişisel verisi işlenen gerçek kişi. 

Veri Sorumlusu

:

Kişisel Verilerin İşleme amaçlarını ve vasıtalarını belirleyen, Veri Kayıt Sistemi’nin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

C.    VERİ SORUMLUSUNUN KİMLİĞİ 

Bu Politika’nın kapsamına giren her türlü Kişisel Veri işleme faaliyeti için Veri Sorumlusu’nun kimliği ve iletişime dair bilgileri, veri işleme faaliyetine ilişkin ilgili aydınlatma metni içerisinde belirtilmiştir. Veri Sorumlusu ile ilgili bilgilere, kayıtlı olanlar için VERBİS üzerinden de erişim mümkündür.

D.    KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

Kanun’un 4. maddesi uyarınca, Kişisel Veriler’in işlenmesinde uyulması gereken temel ilkeler belirlenmiştir. Söz konusu ilkeler, Şirket tarafından gerçekleştirilen tüm Kişisel Veri işleme faaliyetleri kapsamında dikkate alınmakta ve titizlikle uygulanmaktadır. Bahsi geçen ilkeler ve bunlara ilişkin açıklamalar aşağıda yer almaktadır:

  • Hukuka ve Dürüstlük Kuralına Uygun Olmak: Şirket, Kişisel Veriler’in işlenmesi ve korunması yükümlülüğünü yerine getirirken, hukukun genel ilkelerine ve 4721 sayılı Türk Medeni Kanunu’nda düzenlenmiş olan dürüstlük kuralına uygun olarak hareket etmektedir.
  • Kişisel Verilerin Doğru ve Güncel Olmasını Sağlamak: Kişisel Veriler’in bireyler hakkında doğru ve güncel bilgileri sağlaması, bireylerin haklarının korunması için büyük bir önem taşımaktadır. Şirket, işlenmekte olan Kişisel Veriler’in doğru ve güncel olmasını sağlamak adına kendisinden beklenecek makul düzeyde özeni göstermektedir.
  • Belirli, Açık ve Meşru Amaçlarla Kişisel Veri İşlemek: Kişisel Veriler’in işlenmesi ile ulaşılmak istenilen amaçlar, Kişisel Veri işleme faaliyetinin hukuka uygun olup olmadığının belirlenmesinde en önemli kriteri oluşturmaktadır. Bu kapsamda Kanun, veri işleme faaliyetlerinin belirli, açık ve meşru amaçlarla işlenmesini gerektirmektedir. Şirket, bu ilke çerçevesinde ticari faaliyetlerinin gerektirdiği belirli, açık ve meşru amaçlarla Kişisel Veri işleme faaliyetleri yürütmektedir.
  • İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olmak: Şirket, Kişisel Veriler’i ticari faaliyetleri kapsamında belirlenen amaçları gerçekleştirmesine yetecek kadar işlemektedir. Şirket, ihtiyaç olmayan Kişisel Veriler’i işlemekten kaçınarak sınırlı ve ölçülü olmak prensibine uygun hareket etmektedir.
  • İlgili Mevzuatta Öngörülen veya İşlendiği Amaç için Gerekli Olan Süre Kadar Muhafaza Etmek: Şirket tarafından işlenmekte olan Kişisel Veriler, Kişisel Veri işleme şartları kapsamında değerlendirilebilecek Kişisel Veri işleme amaçlarının ortadan kalkmasına kadar geçecek süre boyunca muhafaza etmektedir. Söz konusu amaçlar ortadan kalktığında, Şirket tarafından ilgili Kişisel Veriler’in muhafaza edilmesi faaliyetleri sonlandırılacaktır.

E.    KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUKUKİ SEBEPLER

Kişisel Verilerin İşlenmesi’ne ilişkin hukuki sebepler, Kanun’un 5. maddesinde düzenlenmiştir. Eğer bir Veri Sorumlusu tarafından gerçekleştirilen Kişisel Verilerin İşlenmesi faaliyetlerinin amaçları, Kanun’da düzenlenen hukuki sebepler çerçevesinde değerlendirilebiliyorsa, söz konusu Kişisel Verilerin İşlenmesi faaliyetleri hukuka uygun olarak kabul edilir. Bu kapsamda Şirket tarafından güdülen Kişisel Verilerin İşlenmesi amaçlarının, Kanun’da düzenlenen hukuki sebepler kapsamında değerlendirilebildiği durumlarda Kişisel Veri işleme faaliyetleri gerçekleştirilmektedir.

Kanun’da yer alan Kişisel Veri işleme hukuki sebepleri aşağıdaki gibidir:

  • İlgili kişinin Açık Rızası’nın bulunması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait Kişisel Veriler’in işlenmesinin gerekli olması,
  • Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Veri Sahibi’nin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.

F.    ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUKUKİ SEBEPLER

Kanun’un 6. maddesinde yer alan hukuki sebeplerin varlığı halinde Özel Nitelikli Kişisel Veriler işlenebilmektedir. Özel Nitelikli Kişisel Veriler, bireyler arasında ayrımcılık yapılmasını sağlayacak herhangi bir amaçla ya da bir bireyin hukuka aykırı muamelelere maruz kalmasına sebep olacak şekilde işlenmemektedir. Ayrıca, Kanun’da öngörüldüğü şekilde ek güvenlik önlemleri, Özel Nitelikli Kişisel Veriler’in güvenliğinin sağlanması amacıyla Şirket tarafından alınmaktadır. Kanun’un 6. maddesinde yer alan Özel Nitelikli Kişisel Verilerin İşlenmesi’ne ilişkin hukuki sebepler şunlardır:

  • İlgili Kişinin Açık Rızası’nın bulunması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak veya rızasına hukuki geçerlilik tanınmayan kişilerin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Alenileştirilen Kişisel Veriler’e ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili otoritelerce, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan kâr amacı gütmeyen oluşumlar tarafından; mevcut veya eski üyeleri ve mensupları ile bu kuruluş ve oluşumlarla düzenli temasta olan kişilerin verilerinin işlenmesi.

G.    KİŞİSEL VERİLERİN KATEGORİZASYONUNA İLİŞKİN AÇIKLAMALAR

Kişisel Veriler’e ilişkin İlgili Kişiler’e sunulan aydınlatma metinlerinde, veri kategorileri kullanılmaktadır. Bu kategoriler VERBİS sistemi çerçevesinde hazırlanmış olup her bir kategori içerisinde yer alabilecek veri tipi örnekleri aşağıda gösterilmiştir:

 

Kişisel Veri Kategorisi

Kategori İçerisinde Yer Alan Veri Örnekleri

Kimlik

Adı, soyadı, anne-baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, edeni hali, nüfus cüzdanı seri sıra no, T.C. kimlik no gibi.

İletişim

Adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi.

Lokasyon

Bulunduğu yerin konum bilgileri.

Özlük

Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi.

Hukuki İşlem

Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi.

Müşteri İşlem

Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi.

Fiziksel Mekân Güvenliği

Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi.

İşlem Güvenliği

IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi.

Risk Yönetimi

Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi.

Finans

Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi.

Mesleki Deneyim

Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi

Pazarlama

Alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler.

Görsel ve İşitsel Kayıtlar

Fotoğraf, video ve ses kayıtları gibi.

Irk ve Etnik Köken

Irk ve etnik kökeni bilgileri gibi.

Siyasi Düşünce Bilgileri

Siyasi düşüncesini belirten bilgiler, siyasi parti üyeliği bilgisi gibi.

Felsefi İnanç, Din, Mezhep ve Diğer İnançlar

Dini aidiyetine ilişkin bilgiler, felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer inançlarına ilişkin bilgiler gibi.

Kılık ve Kıyafet

Kılık ve kıyafete ilişkin bilgiler.

Dernek Üyeliği

Dernek üyeliği bilgileri gibi.

Vakıf Üyeliği

Vakıf üyeliği bilgileri gibi.

Sendika Üyeliği

Sendika üyeliği bilgileri gibi.

Sağlık Bilgileri

Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi.

Ceza Mahkûmiyeti ve Güvenlik Tedbirleri

Ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi.

Biyometrik Veri

Avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi.

Genetik Veriler

Genetik veriler gibi.

H.    KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Şirket’in Kişisel Veriler’i saklama süresi, ilgili mevzuatta belirlenen süreler dikkate alınarak hesaplanmaktadır. Bu süreler dolmasına rağmen, Kanun’da yer alan Kişisel Veri işleme şartlarından herhangi birisinin bulunmasını sağlayacak veri işleme amaçlarının varlığı halinde Kişisel Veriler işlenmeye ve saklanmaya devam edilir.

Kanun’da yer alan Kişisel Veri işleme şartlarının varlığını ortadan kaldıracak Kişisel Veri işleme amaçlarının sona ermesi halinde, Şirket tarafından Kişisel Veriler imha edilecektir. Söz konusu imha işlemleri ilgili mevzuatın hükümlerine uygun olarak altı aylık periyotlarla re’sen gerçekleştirilir ya da Veri Sahipleri’nden gelen taleplerin gerektirmesi halinde neticeye bağlanır.

Şirket tarafından Kişisel Verilerin İmhası, Kişisel Veriler’in yer aldığı ortamlara göre silme, anonimleştirme ya da yok etme teknikleri kullanılarak yerine getirilmektedir.  Söz konusu teknikler hakkında detaylı bilgiler Kurul tarafından yayınlanmış olan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi” içerisinde yer almaktadır. 

İ.      KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI

Şirket tarafından Kişisel Veriler’in yurt içinde ya da yurt dışında bulunan kişilerle/kurumlarla paylaşılması söz konusu olabilmektedir. Şirket tarafından Kişisel Veri paylaşımlarının takip edilmesi amacıyla paylaşım yapılabilecek taraflar aşağıda yer alan kategorilere ayrılmıştır:

Veri Alıcısı Grubu

Örnekler

Gerçek veya Özel Hukuk Tüzel Kişileri

Bankalar gibi.

Tedarikçiler

Bilgi teknolojileri sağlayıcıları, kargo şirketleri, ham madde satıcıları gibi.

Yetkili Kamu Kurum ve Kuruluşları

Mahkemeler, tüketici hakem heyetleri, SGK, bakanlıklar gibi.

İş Ortakları

Mağaza ya da bayiler gibi.

İştirakler ve Bağlı Ortaklıklar

Hissedar olunan diğer şirketler.

Topluluk Şirketleri

Aynı ana hissedarın iştiraki olan diğer şirketler.

J.     VERİ SAHİBİNİN HAKLARI 

Kanun’un 11. maddesi kapsamında Veri Sahipleri’ne tanınan haklar aşağıda sıralanmaktadır:

  • Kişisel Veri işlenip işlenmediğini öğrenme,
  • Kişisel Veriler’i işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel Veriler’in işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında Kişisel Veriler’in aktarıldığı üçüncü kişileri bilme,
  • Kişisel Veriler’in eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Veriler’in silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin Kişisel Veriler’in aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel Veriler’in Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

Kanun’un Veri Sahibi’nin haklarını düzenleyen 11. maddesi kapsamındaki taleplerinizi, Veri Sorumlusu’na Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca Veri Sorumlusu’na iletebilirsiniz. Bu kapsamda gerekli iletişim bilgileri, ilgili aydınlatma metinleri içerisinde paylaşılmaktadır.

Şirket, yukarıda sıralanan haklarınıza ilişkin ileteceğiniz talepleri, iletim tarihinden sonra en kısa sürede ve en geç 30 (otuz) gün içerisinde ücretsiz olarak sonuçlandıracaktır. Veri Sahipleri tarafından yapılan başvuruların yanıtlanması amacıyla Şirket tarafından başvurucunun kimliğinin doğrulanması ile başvurucu talebinin netleştirilmesi amacıyla ek bilgi ve belge talep edilebilecektir. Söz konusu bilgi ve belgelerin paylaşılmaması halinde Veri Sahibi’nin başvurusu cevaplanamayabilecektir. 

K.    KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER

Şirket, işlemekte olduğu Kişisel Veriler’in gizliliğinin ve güvenliğinin sağlanması konusunda gereken her türlü makul dikkat ve özeni sağlamaktadır. Şirket, Kanun’nun 12. maddesi çerçevesinde veri gizliliğinin ve güvenliğinin sağlanması için gereken her türlü teknik ve idari tedbirleri makul düzeyde almaktadır. Söz konuş teknik ve idari tedbirlerle Kişisel Veriler’in hukuka aykırı işlenmesinin önlenmesi, Kişisel Veriler’e hukuka aykırı olarak erişilmesinin önlenmesi ile Kişisel Veriler’in uygun güvenlik düzeyinde muhafaza edilmesi hedeflenmektedir. 

Şirket, Kişisel Veriler’in kendi adına başka bir gerçek veya tüzel kişi (Veri İşleyen) tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin ilgili Veri İşleyenler tarafından da alınmasını sağlayacaktır.

Kişisel Veriler’in üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi halinde Şirket, ilgili mevzuat hükümleri uyarınca Veri Sahipleri’ne, Kurul’a ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunacaktır.  

Kişisel verilerin güvenliğine ilişkin tedbirler alınırken Kurul tarafından yayınlanmış olan “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)” göz önünde bulundurulmaktadır.