İŞ GIDA A.Ş.

 

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

-7 NİSAN 2018-

 

 

İÇİNDEKİLER

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI. 3

BİRİNCİ BÖLÜM: POLİTİKA HAKKINDA GENEL BİLGİ. 3

1.     Giriş. 3

2.     Politikanın Amacı 3

3.     Politikanın Kapsamı 4

4.     Tanımlar 4

5.     Politikanın Yürürlüğü. 5

İKİNCİ BÖLÜM: KİŞİSEL VERİLERİN SINIFLANDIRILMASI. 5

1.     Kişisel Veriler 5

2.     Özel Nitelikli Kişisel Veriler 5

ÜÇÜNCÜ BÖLÜM: VERİ KONUSU KİŞİ GRUPLARI VE VERİ KATEGORİLERİ. 6

1.     Kişisel Veri Kategorizasyonu. 6

DÖRDÜNCÜ BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ. 8

1.     Kişisel Verilerin İşlenmesinde Genel İlkeler 8

2.     Kişisel Verilerin İşlenme Şartları 9

3.     Özel Nitelikli Kişisel Verilerin İşlenme Şartları 10

4.     Kişisel Verileri İşleme Amaçlarımız. 11

BEŞİNCİ BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI. 13

1.     Kişisel Verilerin Aktarılma Şartları 13

2.     Kişisel Verilerin Yurt Dışına Aktarılma Şartları 14

3.     Kişisel Verileri Aktarma Amaçlarımız ve Aktarılabileceği Üçüncü Kişiler 14

4.     Yabancı Ülkelere Aktarımı Öngörülen Kişisel Veriler 17

ALTINCI BÖLÜM: KİŞİSEL VERİLERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ 17

1.     Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi 17

YEDİNCİ BÖLÜM: KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ. 20

1.     Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi 20

2.     Kişisel Verileri Saklama ve İmha Süresi 20

SEKİZİNCİ BÖLÜM: KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEDBİRLER.. 21

1.     Kişisel Veri Güvenliğine İlişkin Alınan Teknik Tedbirler 21

2.     Kişisel Veri Güvenliğine İlişkin Alınan İdari Tedbirler 22

3.     Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler 23

4.     Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi 23

5.     Çalışanların, Kişisel Verilerin Korunması Ve İşlenmesi Konusunda Farkındalıklarının Arttırılması Ve Denetimi 23

DOKUZUNCU BÖLÜM: VERİ SAHİBİNİN HAKLARI 24

1.     Kişisel Veri Sahibinin Aydınlatılması 24

2.     Veri Sahibinin Hakları 24

3.     Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller 25

4.     Kişisel Veri Sahibinin Haklarını Kullanması 26

5.     Şirket’in Başvurulara Cevap Verme Usulü Ve Süresi 26

6.     Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı 27

ONUNCU BÖLÜM: POLİTİKAYA UYULMASINDA GÖREVLİ PERSONEL.. 27

ONBİRİNCİ BÖLÜM: GÜNCELLEME VE DEĞİŞİKLİKLER.. 28

 

 

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

 

BİRİNCİ BÖLÜM: POLİTİKA HAKKINDA GENEL BİLGİ

 

  1. Giriş

İş Gıda A.Ş. (“Şirket”) olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında “veri sorumlusu” sıfatıyla, müşterilerimiz, internet sitemizin kullanıcıları ve çalışanlarımız dahil olmak üzere Şirketimiz ile ilişkili gerçek kişilerin kişisel verilerinin, Kanun ve bağlı mevzuatına uygun olarak işlenmesi ve verisi işlenen ilgili kişilerin haklarını etkin şekilde kullanılmasının sağlanması önceliğimizdir. Faaliyetlerimiz sırasında ilişkide olduğumuz tüm veri sahiplerinin kişisel verilerinin işlenmesi, saklanması, aktarılmasına ilişkin işlemleri, işbu Kişisel Verilerin Korunması ve İşlenmesi Politikasına (“Politika”) göre gerçekleştirmekteyiz. Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi kişisel verilerin işlenmesine ilişkin işbu Politikamızın temel prensibidir.

 

  1. Politikanın Amacı

İşbu Politika’ nın temel amacı, Kanun tahtında “veri sorumlusu” sıfatını haiz Şirketimiz tarafından, ticari veya sosyal sorumluluk ve benzeri faaliyetlerimiz sırasında veri sahipleri tarafından paylaşılan kişisel verilerin, Kanunda anılan ilkeler çerçevesinde işlenmesi, saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine dair izlediğimiz yöntemleri belirlemektir. Bu şekilde Şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir.

 

 

 

 

  1. Politikanın Kapsamı

Sayılanlarla sınırlı olmamak üzere, çalışanlarımızın, ziyaretçilerimizin, iş bağlantılarımızın, iş ortaklarımızın, müşterilerimizin, potansiyel müşterilerimizin, tedarikçilerimizin, internet sitemizi ziyaret eden kullanıcılarımızın, kısacası faaliyetlerimiz sırasında ilişkide olduğumuz tüm veri sahiplerinin kişisel verileri bu Politika’ nın kapsamındadır.

 

Kişisel verilerin korunması sadece gerçek kişilerin verilerini kapsamakta olup, tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler, Kanun tahtında kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika tüzel kişilere ait verilere uygulanmaz.

 

  1. Tanımlar

İşbu Politika’ da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder: 

  1. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
  2. Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
  3. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
  4. KEP: Kayıtlı Elektronik Posta adresi (her türlü ticari, hukuki yazışma ve belge paylaşımlarını gönderilen biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistem),
  5. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  6. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  7. Kurul: Kişisel Verileri Koruma Kurulunu,
  8. Kurum: Kişisel Verileri Koruma Kurumunu,
  9. Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri,
  10. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
  11. Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  12. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

 

  1. Politikanın Yürürlüğü

İşbu Politika, Şirketin Yönetim Kurulu kararı ile onaylanarak, 7 Nisan 2018 tarihinde yürürlüğe girmiştir. Politika’da değişiklik gerekmesi durumunda, ilgili maddeler bu doğrultuda güncellenecektir. İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar işbu Politikanın Onbirinci bölümünde belirtilir.

 

 

İKİNCİ BÖLÜM: KİŞİSEL VERİLERİN SINIFLANDIRILMASI

 

  1. Kişisel Veriler

Kişisel veriler, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir. Mevzuat ile aynı doğrultuda, işbu Politikada, kişisel veri kavramı, özel nitelikli kişisel verileri de kapsayacaktır.

 

  1. Özel Nitelikli Kişisel Veriler

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

 

 

 

 

 

 ÜÇÜNCÜ BÖLÜM: VERİ KONUSU KİŞİ GRUPLARI VE VERİ KATEGORİLERİ

 

  1. Kişisel Veri Kategorizasyonu

Şirket nezdinde, aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bu kategorilerde işlenen kişisel verilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili olduğu da bu bölümde belirtilmiştir.

 

KİŞİSEL VERİ KATEGORİZASYONU

AÇIKLAMA

Kimlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen ad-soyad, T.C. kimlik numarası, milliyeti, medeni durumu, doğum tarihi, kimlik fotokopisi, SGK sicil numarası, imza, ehliyet bilgileri gibi bilgiler

İletişim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail, sosyal medya hesabı gibi bilgiler

Aile ve Yakın Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; sunduğumuz ürün ve hizmetlerle ilgili veya Şirketin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler

Finansal Bilgi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren finansal ve maaş detayları, kredi risk raporları, prim listesi, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka bilgileri, aylık maaş dekontları, sigorta primi ödeme bilgileri gibi belgeler

Performans ve Kariyer Gelişim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin şirketimizin insan kaynakları Politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen eğitim katılım formaları, eğitim saatleri ve süreleri, sınav sonuçları, iç terfi değerlendirme süreçleri, performans ve puantaj raporları,  toplantı kayıtları, haftalık çalışma saatleri, işten çıkış tarihi, disiplin soruşturması kayıtları, yıllık izin kullanım kayıtları, mülakat formları, istifa dilekçesi, başvuru formaları, özgeçmiş belgesi gibi belgeler

Özel Nitelikli Kişisel Veri

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Kanunun 6. maddesinde belirtilen verilerdir. Sağlık poliçeleri, sağlık raporları, sağlık beyan belgesi, hamilelik durumu, meslek hastalığı kayıtları, işe giriş muayene formu, günlük hasta şikayetleri, kullanmakta olduğu ilaçlar, kimlik geçmişi, akciğer grafisi, işitme testi, parmak izi, göz muayenesi, kan grubu bilgisi, sabıka kaydı, din bilgisi, oruç tutanlar listesi, psikoteknik belgesi vb. gibi belgeler

Eğitim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; öğrenim durumu, sertifika ve diploma fotokopileri gibi belgeler

Görsel ve İşitsel veri

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fotoğraf, ses kayıtları, kamera kayıtları gibi belgeler

Diğer

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; araç bilgileri, iş bilgisayarı IP bilgileri, web gezinti hareketleri, hobiler, terhis belgesi, askerlik bilgisi, iş sözleşmesi, zimmet formları, kartlı geçiş sistemi giriş çıkış bilgileri, mesai süreleri, ruhsat fotokopisi, SRC belgesi, SGK tedarikçi firmada işe giriş formu, disiplin soruşturması kayıtları

 

Aşağıdaki tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve bu kategoriler içerisindeki kişilerin hangi tip kişisel verilerinin işlendiği detaylandırılmaktadır.

 

KİŞİSEL VERİ KATEGORİZASYONU

İLGİLİ KİŞİSEL VERİNİN İLİŞKİLİ OLDUĞU VERİ SAHİBİ KATEGORİSİ 

Kimlik Bilgisi

Müşteri, tedarikçi, çalışan adayı, çalışan, şirket yetkilisi, ziyaretçi, iş birliği içinde olduğumuz kurumların çalışanları, üçüncü kişi

İletişim Bilgisi

Müşteri, tedarikçi, çalışan adayı, çalışan, şirket yetkilisi, ziyaretçi, iş birliği içinde olduğumuz kurumların çalışanları, yetkilileri, üçüncü kişi

Aile Bireyleri ve Yakın Bilgisi

Çalışan adayı, çalışan

Finansal Bilgi

Müşteri, çalışan, tedarikçi, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri

Performans ve Kariyer Gelişim Bilgisi

Çalışan adayı, Çalışan, İş birliği içinde olduğumuz kurumların çalışanları,

Eğitim Bilgisi

Çalışan adayı, Çalışan

Özel Nitelikli Kişisel Veri

Çalışan adayı, çalışan, şirket yetkilisi,

Görsel ve İşitsel Veri

Müşteri, Çalışan, Tedarikçi, Ziyaretçi

Diğer

Müşteri, çalışan adayı, çalışan, şirket yetkilisi, ziyaretçi, tedarikçi, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, üçüncü kişi

 

 

DÖRDÜNCÜ BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ

 

  1. Kişisel Verilerin İşlenmesinde Genel İlkeler

Kişisel veriler, Şirketimiz tarafından Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirket, kişisel verileri işlerken aşağıdaki ilkelerle hareket eder:

  1. Hukuka ve dürüstlük kurallarına uygun olma: Kişisel veriler, ilgili hukuk kurallarına ve dürüstlük kuralının gereklerine uygun olarak işlenir.
  2. Doğru ve gerektiğinde güncel olma: Kişisel verilerin doğru olması ve güncel tutulması sağlanır. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır.
  3. Belirli, açık ve meşru amaçlar için işlenme: Kişisel veriler, belirli, açık ve meşru amaçlarla işlenir. Amacın meşru olması, Şirketin işlediği kişisel verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir.
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Kişisel veriler, Şirket tarafından belirlenen amaçların gerçekleştirilebilmesi için amaçla bağlantılı olup, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılır. İşlenen veriyi, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Bu kapsamda işlenen kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Kişisel veriler, ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyumlu olarak, aksi durumda işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Kişisel verinin daha fazla muhafaza edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu veri silinir, yok edilir veya anonim hale getirilir.

 

  1. Kişisel Verilerin İşlenme Şartları

Şirket, kişisel verileri veri sahibinin açık rızası olmaksızın işlemez. Ancak, aşağıdaki şartlardan birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın kişisel veriler işlenebilecektir:

  1. Kanunlarda açıkça öngörülmesi: Şirket, kişisel veri sahiplerinin kişisel verilerini, açık rıza olmasa dahi kanunlarda açıkça öngörülen hallerde işleyebilir. Örneğin; Vergi Usul Kanunu’nun 230. maddesi uyarınca fatura üzerinde ilgili kişinin adına yer verilmesi için ilgili kişinin açık rızası aranmayacaktır.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması: Fiili imkânsızlık nedeni ile rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişilerin kendisinin ya da başka bir kişinin hayat veya beden bütünlüğünün korunması için kişisel veriler açık rıza olmadan işlenebilir. Örneğin, kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel veri sahibinin kişisel verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilir.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması: Şirket tarafından bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel veriler işlenebilecektir. Örneğin, yapılan bir sözleşme gereği sözleşme bedelinin ödenmesi için alacaklı tarafın hesap numarası bilgisi alınabilecektir.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması: Şirket, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirebilmek için zorunlu ise, kişisel veri sahiplerinin kişisel verilerini işleyebilir.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması: Kişisel veri sahiplerinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri, korunması gereken hukuki yarar ortadan kalktığından, açık rıza almadan işlenebilir.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Şirket, hukuken meşru bir hakkın kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde kişisel veri sahiplerinin kişisel verilerini açık rıza aramaksızın işleyebilir.
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması: Şirket, kişisel veri sahiplerinin Kanun ve işbu Politika kapsamında korunan temel hak ve özgürlerine zarar vermemek kaydıyla meşru menfaatlerinin temini için kişisel verilerin işlenmesinin zorunlu olduğu durumlarda Kişisel Veri Sahiplerinin Kişisel Verilerini işleyebilir. Şirket, Kişisel Verilerin korunmasına ilişkin temel ilkelere uyulması ve Kişisel Veri Sahiplerinin menfaat dengesinin gözetilmesi konusunda gerekli hassasiyeti göstermektedir.

 

  1. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirket, Özel Nitelikli Kişisel Verileri, ilgilinin açık rızası olmaksızın işlemez. Ancak, sağlık ve cinsel hayat dışındaki Kişisel Veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir.  Sağlık ve cinsel hayata ilişkin Kişisel Veriler, Şirket tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis ve tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunduğumuz koşullarda ilgili kişinin açık rızası aranmaksızın işlenir. Şirket Özel Nitelikli Kişisel Veriler’in işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütür. 

 

 

 

  1. Kişisel Verileri İşleme Amaçlarımız

Şirket tarafından, toplanan Kişisel Veriler, aşağıda sayılan amaçlarla Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak veri sahibinin açık rızası Şirket tarafından temin edilmektedir.

  1. Ticari ve idari faaliyetlerimizin yürütülmesi,
  2. Sözleşme kapsamında ve hizmet standartları çerçevesinde müşterilere destek hizmeti sağlamak,
  3. Müşterilerimizin tercih ve ihtiyaçlarının tespit edilerek müşterilerimize verilecek hizmetlerin bu kapsamda şekillendirilmesi, güncellenmesi,
  4. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerimizi yerine getirilmesini sağlamak,
  5. Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlamak,
  6. Reklam ve pazarlama,
  7. Uyum yönetimi,
  8. Satıcı / tedarikçi yönetimi,
  9. Yasal raporlama,
  10. Faturalandırma,
  11. İnsan kaynakları politikalarının en iyi şekilde planlanması ve uygulanması, 
  12. Ticari ortaklıklarının ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
  13. Kendisinin ve iş ortaklarının hukuki, ticari ve fiziki güvenliğinin temini,
  14. Kurumsal işleyişinin sağlanması, yönetim ve iletişim faaliyetlerinin planlanması ve icrası,
  15. Ürün ve hizmetlerinden Kişisel Veri Sahipleri’ nin en iyi şekilde faydalandırılması ve onların talep, ihtiyaç ve isteklerine göre özel hale getirilerek önerilmesi,  
  16. Veri güvenliğinin en üst düzeyde sağlanması, 
  17. Veri tabanlarının oluşturulması,
  18. İnternet sitesinde sunulan hizmetlerin geliştirilmesi ve sitede oluşan hataların giderilmesi,
  19. Kendisine talep ve şikâyetlerini ileten Kişisel Veri Sahipleri ile iletişime geçmesi ve talep ve şikâyet yönetiminin sağlanması,
  20. Etkinlik yönetimi,
  21. Personel temin süreçlerinin yürütülmesi,
  22. Grup Şirketleri’nin personel temin süreçlerine ve ilgili mevzuata uyum konusunda destek olunması,
  23. Grup Şirketleri’nin faaliyetlerinin ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,
  24. Kendisi ve Grup Şirketleri üst düzey yöneticilerine sağlanacak yan haklar ve menfaatlerin planlanması ve icrası süreçlerine destek olunması,
  25. Grup Şirketleri’nin şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,
  26. Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
  27. Şirket hukuk işlerinin icrası/takibi,
  28. İtibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,
  29. Yatırımcı ilişkilerinin yönetilmesi,
  30. Ziyaretçi kayıtlarının oluşturulması ve takibi.
  31. İş faaliyetlerinin ve iş sürekliliğinin sağlanması faaliyetlerinin planlanması ve icrası,
  32. Finans ve/veya muhasebe işlerinin takibi,
  33. Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
  34. İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkililerinin planlanması ve icrası
  35. Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,
  36. Müşteri talep ve/veya şikayetlerinin takibi,
  37. Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
  38. Hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası,
  39. Satın alma operasyonları,
  40. Şirketin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası,
  41. Şirketimizin insan kaynakları politikalarının yürütülmesinin temini amacı doğrultusunda;
    • İş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması
    • Şirketimizin insan kaynakları politikalarına uygun şekilde işe başvuruların değerlendirilmesi,
    • Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
    • Personel işe giriş-çıkış işlemlerinin yapılması,
    • Ücret-performans sürecinin değerlendirilmesi,
    • Ücret ve bordroların yönetilmesi,
    • Şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası ve
  42. Şirketimizin ve şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda;
    • Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası,
    • Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini,
    • Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini,
    • Şirket operasyonlarının güvenliğinin temini,
    • Acil durum yönetimi süreçlerinin planlanması ve icrası,
  43. Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda;

 

 

BEŞİNCİ BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI

 

  1. Kişisel Verilerin Aktarılma Şartları

Şirket olarak, Kişisel Verilerin aktarılması konusunda Kanunda öngörülen ve Kurul tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket etmekteyiz. Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli veriler İlgili Kişi’nin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere tarafımızdan aktarılmaz. Ancak, kişisel veriler,

  1. İşbu Politika’nın Dördüncü Bölümünün 2. maddesinde açıklanan hallerde,
  2. Özel nitelikli kişisel veriler hususunda işbu Politika’nın Dördüncü Bölümünün 2. maddesinde sayılan hallerde,
  3. Kurulun ve ilgili mevzuatın öngördüğü tedbirlerin alınması ile birlikte İlgili Kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara,

açık rıza aranmadan aktarılabilir. 

 

  1. Kişisel Verilerin Yurt Dışına Aktarılma Şartları

Kişisel veriler kural olarak İlgili Kişi’nin açık rızası olmadan yurt dışına aktarılmaz. Ancak, işbu Politika’nın Dördüncü Bölümünün 2. maddesinde yer alan istisnai hallerinin birinin var olduğu durumlarda yurt dışında bulunan üçüncü kişilerin ancak:

  1. Kurul’un ilan ettiği yeterli korumanın olduğu ülkelerde bulunması,
  2. Yeterli korumanın olmadığı ülkelerde yer alması halinde Türkiye’de ve söz konusu yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması;

hallerinde açık rıza olmadan kişisel veriler yurt dışında aktarılabilir. 

 

  1. Kişisel Verileri Aktarma Amaçlarımız ve Aktarılabileceği Üçüncü Kişiler

Kişisel veriler,

  1. Ticari ve idari faaliyetlerimizin yürütülmesi,
  2. Sözleşme kapsamında ve hizmet standartları çerçevesinde müşterilere destek hizmeti sağlamak,
  3. Müşterilerimizin tercih ve ihtiyaçlarının tespit edilerek müşterilerimize verilecek hizmetlerin bu kapsamda şekillendirilmesi, güncellenmesi,
  4. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerimizi yerine getirilmesini sağlamak,
  5. Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlamak,
  6. Reklam ve pazarlama,
  7. Uyum yönetimi,
  8. Satıcı / tedarikçi yönetimi,
  9. Yasal raporlama,
  10. Faturalandırma,
  11. İnsan kaynakları politikalarının en iyi şekilde planlanması ve uygulanması, 
  12. Ticari ortaklıklarının ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
  13. Kendisinin ve iş ortaklarının hukuki, ticari ve fiziki güvenliğinin temini,
  14. Kurumsal işleyişinin sağlanması, yönetim ve iletişim faaliyetlerinin planlanması ve icrası,
  15. Hizmetlerinden Kişisel Veri Sahipleri’nin en iyi şekilde faydalandırılması ve onların talep, ihtiyaç ve isteklerine göre özel hale getirilerek önerilmesi,  
  16. Veri güvenliğinin en üst düzeyde sağlanması, 
  17. Veri tabanlarının oluşturulması,
  18. İnternet sitesinde sunulan hizmetlerin geliştirilmesi ve sitede oluşan hataların giderilmesi,
  19. Kendisine talep ve şikâyetlerini ileten Kişisel Veri Sahipleri ile iletişime geçmesi ve talep ve şikâyet yönetiminin sağlanması,
  20. Etkinlik yönetimi,
  21. Personel temin süreçlerinin yürütülmesi,
  22. Grup Şirketleri’nin personel temin süreçlerine ve ilgili mevzuata uyum konusunda destek olunması,
  23. Grup Şirketleri’nin faaliyetlerinin ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,
  24. Kendisi ve Grup Şirketleri üst düzey yöneticilerine sağlanacak yan haklar ve menfaatlerin planlanması ve icrası süreçlerine destek olunması,
  25. Grup Şirketleri’nin şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,
  26. Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
  27. Şirket hukuk işlerinin icrası/takibi,
  28. İtibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,
  29. Yatırımcı ilişkilerinin yönetilmesi,
  30. Ziyaretçi kayıtlarının oluşturulması ve takibi.
  31. İş faaliyetlerinin ve iş sürekliliğinin sağlanması faaliyetlerinin planlanması ve icrası,
  32. Bayi/yetkili satıcı operasyonları, gümrük operasyonları, üretim ve/veya operasyonları süreçlerinin planlanması ve icrası,
  33. Finans ve/veya muhasebe işlerinin takibi,
  34. Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
  35. Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
  36. Tedarik zinciri yönetiminin ve lojistik faaliyetlerinin planlanması ve icrası,
  37. Operasyon süreçlerinin planlaması ve icrası
  38. İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkililerinin planlanması ve icrası
  39. Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,
  40. Müşteri talep ve/veya şikayetlerinin takibi,
  41. Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
  42. Hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası,
  43. Satış ve satış sonrası operasyonlar ile satın alma operasyonları,
  44. Şirketin sunduğu hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası,
  45. Şirketimizin insan kaynakları politikalarının yürütülmesinin temini amacı doğrultusunda;
  46. İş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması
  47. Şirketimizin insan kaynakları politikalarına uygun şekilde işe başvuruların değerlendirilmesi,
  48. Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
  49. Personel işe giriş-çıkış işlemlerinin yapılması,
  50. Ücret-performans sürecinin değerlendirilmesi,
  51. Ücret ve bordroların yönetilmesi,
  52. Şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası,
  53. Şirketimizin ve şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda;
  54. Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası,
  55. Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini,
  56. Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini,
  57. Şirket operasyonlarının güvenliğinin temini,
  58. Acil durum yönetimi süreçlerinin planlanması ve icrası,
  59. Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda;
  60. Şirket içi sistem ve uygulama yönetimi operasyonları

amaçlarıyla,

  1. Tedarikçilerimize,
  2. İş ortaklarımız ve iş bağlantılarımıza,
  3. İştiraklerimiz ve grup şirketlerimize,
  4. Hukuken yetkili kamu kurum ve kuruluşlarına,
  5. Hukuken yetkili özel hukuk kişilerine,
  6. Hissedarlarımıza,

işbu Politikada açıklanan ilke ve kurallara göre aktarılabilmektedir.

 

  1. Yabancı Ülkelere Aktarımı Öngörülen Kişisel Veriler

Şirketimiz tarafından, işleyişimiz sırasında yabancı ülkelerde mukim üçüncü kişilere aktarılabilen herhangi bir kişisel veri bulunmamaktadır. Ancak, şirket içerisinde süreç takibi için pek çok yazılım kullanılmaktadır. Teknolojinin geldiği noktada Outlook gibi yazılımları kullanmadan ticari faaliyetin yürütülmesi mümkün değildir. Bu sebeple şirketimiz yazılımsal altyapısı yurtdışında olan bu yazılımları kullanmak durumundadır. Bu sebeple kullanılan yazılımların altyapısı sebebiyle zorunlu yurtdışına aktarım söz konusudur.

 

ALTINCI BÖLÜM: KİŞİSEL VERİLERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

 

  1. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel Veriler, Şirketimiz tarafından internet sitemiz, kayıt formları ve fiziki kanallar gibi farklı kanallarda icra edilen teknik ve süreçsel yöntemlerle veya sözlü, yazılı ya da elektronik ortamda, tamamen veya kısmen otomatik olan, ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, sizlere ticari hizmetlerimizi sunmak ve bu çerçevede ticari faaliyetlerimizi yürütmek noktasında uygulama imkânı bulan ilgili mevzuat, sözleşme, talep, ticari teamül ve dürüstlük kurallarına dayalı olarak ortaya çıkan ve icra edilen hukuki sebepler çerçevesinde, Şirketimizin hukuki sorumluluklarını yerine getirebilmesi, sizlerle kurmuş olduğumuz iş ilişkisinin gereklerinin ifa edilebilmesi ve bu doğrultuda karşılıklı olarak sahip olduğumuz hakların tesisi, kullanılması ve korunması maksadı ve ilişkide olduğumuz kişisel veri sahiplerinin temel hak ve özgürlüklerini gözeterek Şirketimizin meşru menfaatlerini korumak gibi amaçlar dahilinde işlemek üzere toplanmaktadır. Bu bağlamda Kişisel Veri Toplama yöntemlerinden özellik arz edenler, toplamanın amaçları ve bu doğrultuda yürütülen faaliyetler aşağıdaki şekildedir:

 

a) Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yürütülen Kamera ile İzleme Faaliyeti

Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

  1. Kamera ile İzleme Faaliyetinin Yasal Dayanağı

Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, yürürlükte bulunan hukuki düzenlemelere ve yasal mevzuata uygun olarak sürdürülmektedir.

  1. KVK Hukukuna Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi

Şirketimiz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVKK’da yer alan düzenlemelere uygun hareket edilmektedir.

Şirketimiz, bina ve tesislerinde güvenliğin sağlanması amacıyla, kanunlarda öngörülen amaçlarla ve KVKK’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.

  1. Kamera ile İzleme Faaliyetinin Duyurulması

Şirketimiz tarafından KVKK’nın 10. maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır.

Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.

Şirketimiz tarafından kamera ile izleme faaliyetine yönelik olarak; Şirketimiz internet sitesinde işbu Politika yayımlanmakta (çevrimiçi Politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).

  1. Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık

Şirketimiz, KVKK’ nın 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.

Şirketimiz tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’ da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.

  1. Elde Edilen Verilerin Güvenliğinin Sağlanması

Şirketimiz tarafından KVKK’nın 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için işbu politikada sayılı olan teknik ve idari tedbirler uygun düştüğü ölçüde alınmaktadır.

  1. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı

Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Canlı kamera görüntülerini ise, şirket içinde güvenlik görevleri ve idari işlerden sorumlu departman çalışanları izleyebilmektedir. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

b) Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

Şirketimiz tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Misafir olarak Şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

 

c) İnternet Sitesi Ziyaretçileri

Şirketimiz sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Çerezler (cookies) gibi) site içerisindeki internet hareketlerini kaydedilmektedir. Çerez takibi yasal mevzuata uygun şekilde ziyaretçilerin onayı doğrultusunda gerçekleştirilmektedir.

 

YEDİNCİ BÖLÜM: KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

 

  1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

 Kişisel Verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirketimiz, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Verileri resen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel Verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre Kişisel Veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, Kişisel Verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

 

  1. Kişisel Verileri Saklama ve İmha Süresi 

Şirket, Kişisel Verileri mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler, Şirketimizin o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

 

SEKİZİNCİ BÖLÜM: KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEDBİRLER

Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

 

  1. Kişisel Veri Güvenliğine İlişkin Alınan Teknik Tedbirler

Kişisel verilerin güvenliğini sağlamak ve muhafaza etmek için sayılanlarla sınırlı olmamak üzere;

  1. Kişisel verilerin mevzuata uygun olarak işlenmesi ve saklanması için şirket içi teknik organizasyonu yapmakta,
  2. Kişisel verilerin saklanacağı veri tabanlarının güvenliğini sağlamak için teknik altyapıyı oluşturmakta,
  3. Oluşturulan teknik alt yapının süreçlerini takip etmekte ve denetimlerini yapmakta,
  4. Alınan teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürleri belirlemekte,
  5. Teknik tedbirleri periyodik olarak güncellemekte ve yenilemekte,
  6. Riskli durumlar yeniden incelenerek gerekli teknolojik çözümler üretilmekte,
  7. Virüs koruma sistemleri, güvenlik duvarı ve benzeri yazılımsal veya donanımsal güvenlik ürünleri kullanmakta ve teknolojik gelişmelere uygun güvenlik sistemleri kurmakta,
  8. Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirmekte ve bulunan açıkların kapatılması sağlamakta,
  9. Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanmakta,
  10. Kişisel verilerin tutulduğu ortamlara ve/veya veriye erişim kısıtlayarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin vermekte, kişisel verilerin bulunduğu veri depolama alanlarına erişimleri loglayarak uygunsuz erişimler veya erişim denemelerini ilgililere anlık olarak iletmekte,
  11. Teknik konularda uzman çalışanlar istihdam etmekteyiz.

 

  1. Kişisel Veri Güvenliğine İlişkin Alınan İdari Tedbirler

Kişisel verilerini korumak için sayılanlarla sınırlı olmamak üzere;

  1. Grup şirketlerimiz ve iştirak çalışanlarımız dahil olmak üzere kişisel verilere erişim politika ve prosedürleri oluşturmakta,
  2. Çalışanlarımızı kişisel verilerin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin bilgilendirmekte ve eğitmekte,
  3. Çalışanlarımız ile yaptığımız sözleşmelerde ve/veya oluşturduğumuz politikalarda, şirket çalışanlarımız tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında alınacak tedbirleri kayıt altına almakta,
  4. Çalışanlarımız ile imzalanan sözleşme ve talimatlara, Kanuna aykırı herhangi bir suretle kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar koymakta ve bu konuda farkındalık yaratmakta ve denetimler yürütmekte,
  5. Çalışanlarımızı, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve işleme amacı dışında kullanmama yükümlülüğünün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirmekte ve bu doğrultuda kendilerinden taahhüt almakta,
  6. Şirketimiz ile, kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklemekte,
  7. Şirket için çalışanlarımızın görev ve pozisyonlarına göre kişisel verilere erişim kapsamlarını belirlemekte ve erişim yetkilerini sınırlandırmakta, yetkileri düzenli olarak gözden geçirmekte,
  8. Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmekte ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti almakta,
  9. Birlikte çalıştığımız veri işleyenlerin ve diğer veri sorumlularının Kanun ve bağlı mevzuatına uygunluğunu sorgulamakta ve gerekli yönlendirmeleri yapmaktayız.

 

  1.  Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda İzlenecek Yol 

Şirketimiz, Kanun’un 12. maddesine uygun olarak, işlenen Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili veri sahibine ve Kurul’a bildirmektedir.

 

  1.  Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirketimiz, KVKK’nın 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

 

  1. Çalışanların, Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için mevcut çalışanlarına ve iş birimi bünyesine yeni dâhil olmuş çalışanlarına yönelik gerekli eğitimlerin düzenlenmesini sağlamaktadır.

Şirketimiz çalışanlarının kişisel verilerin korunması ve işlenmesi konusunda farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları Şirketimize raporlanmaktadır. Bu doğrultuda ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır. Şirketimiz, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.

 

 

DOKUZUNCU BÖLÜM: VERİ SAHİBİNİN HAKLARI

 

  1. Kişisel Veri Sahibinin Aydınlatılması

Şirketimiz, Kişisel Veriler’in elde edilmesi sırasında Kanun’un 10. maddesine uygun olarak veri sahiplerini bilgilendirmektedir. Bu kapsamda varsa Şirket temsilcisinin kimliği, Kişisel Veriler’in hangi amaçla işleneceği, işlenen Kişisel Veriler’in kimlere ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile Kişisel Veri Sahibi’nin sahip olduğu hakları konusunda aydınlatma yapılmaktadır.

 

  1. Veri Sahibinin Hakları

Şirketimiz, Kanun’un 11.maddesi uyarınca kişisel verileri alınan kişilere;

  1. Kişisel verisinin işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  6. Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
  7. Kanun’un 11.  Maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,

haklarının olduğunu açıklar.

 

  1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kanun’un 28. maddesi gereğince, kişisel veri sahipleri aşağıdaki hallerde, yukarıda sayılan haklarını ileri süremezler ve aşağıdaki hallerde kişisel verilerin işlenmesi Kanun ve işbu Politikanın kapsamı dışında olacaktır:

  1. Kişisel Veriler’in, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  2. Kişisel Veriler’in resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  3. Kişisel Veriler’in millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  4. Kişisel Veriler’in millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  5. Kişisel Veriler’in soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

 

Kanun’un 28/2 maddesi gereğince aşağıda sıralanan hallerde Kişisel Veri Sahipleri zararın giderilmesini talep etme hakkı hariç, yukarıda sayılan haklarını ileri süremezler:

  1.  Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  2. Kişisel Veri Sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  3. Kişisel Veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  4. Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. 

 

 

  1. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri işbu Politikada sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle, Şirketimiz websitesinde bulunan Başvuru Formu’nu doldurup imzalayarak Şirketimize iletebilirler:

  • Şahsen başvuru ile,
  • Noter vasıtasıyla,
  • Başvuru sahibince 5070 Sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” ile imzalanarak Şirketimiz kayıtlı elektronik posta adresine kvkk@isgida.com  gönderilmek suretiyle,

Yazılı başvuruların ne şekilde tarafımıza ulaştırılacağına ilişkin yazılı başvuru kanalları özelinde bilgilendirme: 

 

Başvuru Yöntemi 

Başvurunun Yapılacağı Adres

Başvuru Gönderiminde Belirtilecek Bilgi

Şahsen başvuru

(Başvuru sahibinin bizzat Şirket merkezimize gelerek kimliğini tevsik edici belge ile başvurması)

Rüzgarlıbahçe mah. Kavak sok. no: 1 Beykoz/İstanbul

Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılmalıdır.

Noter vasıtasıyla tebligat

Rüzgarlıbahçe mah. Kavak sok. no: 1 Beykoz/İstanbul

Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılmalıdır.

Güvenli elektronik imza ile imzalanarak kayıtlı elektronik posta (KEP) yoluyla başvuru

kvkk@isgida.com

E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılmalıdır.

 

  1. Şirket’in Başvurulara Cevap Verme Usulü ve Süresi

Şirketimiz, başvuruda yer alan talepleri, talebin niteliğine göre mümkün olan en kısa sürede ve en geç otuz gün içerisinde sonuçlandırır. Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel verilerin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için ek evrak ve malumat talep etme hakkını saklı tutar. Hukuka veya mevzuata aykırı, yanıltıcı veya hatalı başvurulardan doğan tüm sorumluluk, talebi yönelten kişisel veri sahibine ait olacaktır. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında, Şirketimizin yapılan başvuruya ilişkin cevabının 10 sayfayı geçmesi halinde, 10. sayfadan sonraki her bir sayfa için 1 Türk Lirası işlem ücreti uygulanacaktır. Şirketimiz, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirket, talebin gereğini yerine getirir. 

 

 

  1. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı

 Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.

 

 

ONUNCU BÖLÜM: POLİTİKAYA UYULMASINDA GÖREVLİ PERSONEL

Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere Şirket üst yönetiminin kararı gereğince Kişisel Veri Komitesi oluşturulmuştur.  Kişisel Veri Komitesi, Kişisel Veri Sahipleri’nin verilerinin hukuka, işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir. Bu Kişisel Veri Komitesinin başlıca görevleri şunlardır:

  1. Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak.
  2. Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak.
  3. Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılaması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak.
  4. Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak.
  5. Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak.
  6. Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak.
  7. Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak.
  8. Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
  9. Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak.
  10. Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak.
  11. Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek.
  12. Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.

 

ONBİRİNCİ BÖLÜM: GÜNCELLEME VE DEĞİŞİKLİKLER

Şirket, Kanun’da ve bağlı mevzuatında yapılan değişiklikler, Kurul kararları ve/veya sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.  İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar bu bölümde belirtilir.

 

 Kişisel Verilerin İşlenmesi ve Korunması Politikası, Şirket Yönetim Kurulu tarafından kabul edilerek yürürlüğe girmiştir.

 

Hipotenüs Hipotenüs® Yeni Nesil E-Ticaret Sistemleri ile Hazırlanmıştır.