1. Amaç
Zeren Group Yatırım Holding A.Ş. (“Zeren Group / Şirketimiz”) Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Zeren Group tarafından kişisel verilerin korunması, saklanması ve imhasına ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır. Bu politika, Şirketimizin çalışanları, tedarikçileri, iştirakleri, iş ortakları, ziyaretçileri ve çeşitli üçüncü kişiler de dahil olmak üzere Şirketimizle ilişkili tüm kişisel veri sahiplerinin verilerini kapsamaktadır.
Şirketimiz, kişisel verilerin hukuka uygun olarak işlenmesi, saklanması, yasal hükümlülüklerin yerine getirilmesi, veri güvenliğinin sağlanması ve ilgili kişilerin haklarının korunması için gerekli tüm tedbirleri almaktadır. Bu politika, Şirketimizin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuat kapsamında yükümlülüklerini yerine getirmeyi amaçlamaktadır.

2. Kapsam
Politika, Şirketimiz çalışanları haricindeki kişilerin, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Şirketimiz çalışanlarına ilişkin veri işleme faaliyetleri ise, bu politikayla paralel olarak hazırlanan “Zeren Group Çalışan Kişisel Verilerin Korunması ve İşlenmesi Politikası” kapsamında yürütülmektedir.

3. Tanımlar ve Kısaltmalar
Politika metninde geçen terim ve kısaltmalar aşağıdaki şekilde tanımlanmıştır:
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
• Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
• Kişisel Veri Sahipleri: Şirketimize iş başvurusu yapan adaylar, eski çalışanlar, müşteriler ve potansiyel müşteriler, etkinlik katılımcıları, görüş/şikâyet/öneri ve bilgi talebi sahipleri, ziyaretçiler, kampanya veya yarışma katılımcıları, çalışanlarımızın veya hizmet alan kişilerin yakınları, tedarikçiler ile iş ortaklarının hissedarları, yetkilileri ve çalışanları gibi iş ilişkisi kurulan tüm taraflar ve diğer üçüncü kişilerdir.

4. Kişisel Verilerin İşlenmesine İlişkin Hususlar
Şirketimiz tarafından kişisel veriler, Kanun’un 4. maddesinde düzenlenen ilkeler doğrultusunda işlenmektedir. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve güncel olma, belirli, açık ve meşru amaçlarla işlenme, amaçla bağlantılı, sınırlı ve ölçülü olma ile mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleridir.
Kişisel veriler, veri sahibinin açık rızasına dayalı olarak veya Kanun’un 5. ve 6. maddelerinde belirtilen diğer şartlardan bir veya birkaçına dayanarak işlenmektedir. Bu kapsamda, kişisel veriler açık rıza olmaksızın da Kanun’da belirtilen hukuki sebepler çerçevesinde işlenebilir.

a) Kişisel Verilerin İşlenme Amaçları
Şirketimiz, kişisel verileri aşağıdaki amaçlarla işlemektedir;
• Şirketimizin insan kaynakları politikalarının ve süreçlerinin planlanması ve/veya icra edilmesi,
• Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası,
• Şirketimiz tarafından ve/veya Şirketimiz nam ve hesabına sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve/veya icrası,
• Şirketimiz tarafından ve/veya Şirketimiz nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların yapılması ve ilgili iş süreçlerinin yürütülmesi,
• Şirketimiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi
• Şirketimizin ticari ve/veya iş stratejilerinin planlanması ve/veya icrası.

5. Kayıt Ortamları
Kişisel veriler, Şirketimiz tarafından hem elektronik hem de fiziksel ortamda güvenli bir şekilde saklanmaktadır. Bu kapsamda kullanılan kayıt ortamları şunlardır:
• Elektronik Ortamlar:
Sunucular, yazılım sistemleri, bulut hizmetleri, taşınabilir diskler, e-posta sistemleri, güvenlik kameraları (CCTV), veri tabanları.
• Fiziksel Ortamlar:
Dosya dolapları, kağıt belgeler, arşiv odaları, muhafaza kutuları, kilitli dolaplar.
Kayıt ortamlarının güvenliği, teknik ve idari tedbirlerle sağlanmakta olup, bu tedbirler düzenli olarak gözden geçirilmekte ve güncellenmektedir.

6. Kişisel Veri Sahibinin Aydınlatılması
Şirketimiz, Kanun’un 10. maddesi ve ilgili düzenlemeler çerçevesinde, kişisel veri sahiplerini verilerinin hangi amaçlarla işlendiği, kimler tarafından işlendiği, kimlerle paylaşıldığı, hangi yöntemlerle toplandığı, işleme faaliyetinin hukuki dayanağı ve veri sahiplerinin işlenen verilerle ilgili sahip oldukları haklar konusunda bilgilendirmektedir.

7. Kişisel Verilerin Saklanma Süresi
Şirketimiz, kişisel verileri işlendikleri amaç doğrultusunda gerekli olan süre boyunca ve ilgili yasal mevzuatta öngörülen süreler çerçevesinde muhafaza eder. Mevzuatta belirli bir süre öngörülmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmakta ve bu sürenin sonunda periyodik imha süreçleri veya veri sahibinin talebi doğrultusunda silme, yok etme veya anonim hale getirme yöntemleriyle imha edilmektedir.

Kişisel verilerin saklanması ve imhasına ilişkin süreçler aşağıdaki şekilde yürütülmektedir:
• Saklama Süreleri: Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanır. Saklama süreleri sona eren kişisel veriler, periyodik imha süreçleri kapsamında silinir, yok edilir veya anonim hâle getirilir.

8. Kişisel Verilerin İmhası
Kişisel veriler, saklama sürelerinin sona ermesi, işlenme amaçlarının ortadan kalkması veya ilgili kişinin talebi doğrultusunda silme, yok etme ya da anonim hale getirme yöntemleri ile imha edilir. Şirketimiz, kişisel verilerin imhasında Kanun’un 7. maddesi ve ilgili mevzuata uygun hareket eder.
• Silme: Kişisel verilerin, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
• Yok Etme: Kişisel verilerin, fiziksel veya elektronik ortamda geri döndürülemez şekilde ortadan kaldırılması.
• Anonimleştirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi kimliği belirli veya belirlenebilir bir kişiyle ilişkili olmayacak hale getirilmesi.

9. Periyodik İmha Süreçleri
Şirketimiz, periyodik imha işlemlerini her yıl Haziran ve Aralık aylarında gerçekleştirmektedir. Bu kapsamda, saklama süresi sona eren kişisel veriler, belirlenen periyodik imha tarihlerinde silinir, yok edilir veya anonim hale getirilir.

10. Veri İhlali Yönetimi
Şirketimiz, kişisel veri ihlali durumunda, ihlalin tespit edilmesini müteakip derhal Kişisel Verileri Koruma Kurulu’na ("Kurul”) bildirimde bulunur. Ayrıca, ihlalden etkilenen kişiler tespit edilerek ilgili kişilere uygun yöntemlerle bilgi verilir ve ihlalin tekrarını önlemek amacıyla gerekli tedbirler alınır.

11. Kişisel Verilerin Aktarılması
Şirketimiz, hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verileri üçüncü kişilere aktarabilmektedir. Kişisel verilerin aktarılmasında, Kanun’un 8. ve 9. maddelerinde belirtilen kurallar uygulanmaktadır. Yurt içinde ve yurt dışında kişisel veri aktarımlarında, Kurul tarafından belirlenen yeterli korumaya sahip ülkelere veya yeterli korumanın bulunmaması durumunda veri sorumlularının yazılı olarak taahhütte bulunduğu ülkelere aktarım yapılmaktadır.

12. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri, Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahiptir:
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktardığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktardığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktardığı üçüncü kişilere bildirilmesini isteme,
• İşlenmiş verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğramışsa, zararın giderilmesini talep etme.
Kişisel veri sahipleri, bu haklarına ilişkin taleplerini Şirketimize yazılı olarak iletebilir. Bu kapsamda Şirketimize yapılan başvurular, en kısa sürede sonuçlandırılacak olup, ek bir maliyet gerektirmesi durumunda Kurul tarafından belirlenen tarifeye uygun olarak ücret talep edilebilecektir.

13. Teknik ve İdari Tedbirler
Şirketimiz Kanun’un 12. maddesine uygun şekilde, kişisel verilerin güvenliğini sağlamak amacıyla gerekli idari ve teknik tedbirleri almakta ve düzenli denetimler gerçekleştirmektedir. Alınan teknik ve idari tedbirler şunlardır:
o Teknik Tedbirler:
• Ağ güvenliği ve uygulama güvenliğinin sağlanması
• Şifreleme ve sızma testi uygulamaları
• Erişim loglarının düzenli olarak tutulması
• Güncel antivirüs ve güvenlik duvarı kullanımı
o İdari Tedbirler:
• Çalışanlara yönelik düzenli eğitim ve farkındalık çalışmaları
• Veri işleme envanterinin oluşturulması
• Gizlilik taahhütnamelerinin imzalatılması
• Veri işleyenlerle yapılan sözleşmelerde veri güvenliğine ilişkin hükümlerin bulundurulması