NEZİH TİCARET KİMYA VE ENDÜSTRİYEL HAMMADDELER PAZARLAMA SANAYİ VE TİCARET ANONİM ŞİRKETİ
Kişisel Verilerin Korunması ve İşlenmesi Politikası

1- POLİTİKANIN AMAÇ VE KAPSAMI:

Şirketimiz temel prensipleri gereği kişisel verilerin işlenmesi ve korunmasına büyük önem vermektedir. Şirket politikamızla, şirketimiz tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’yla uyumlu hale getirilmesi amaçlanmaktadır.

Şirket politikamız temel amacımız gereği; kişisel verilerin korunmasına yönelik mevzuata uygun olarak gerekli yöntem ve süreçlere ilişkin esasları belirlemek üzerine kurulmuştur. Bu kapsamda; çalışanlarımız, çalışan adaylarımız, şirket yetkililerimiz, ziyaretçilerimiz, iş birliği içinde olduğumuz kurum çalışanları/yetkilileri ve üçüncü kişilerin - şirketimizce kişisel verileri; otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişilerin - bilgilendirilmesi amaçlanmaktadır.

2- TANIMLAR:

İşbu şirket politikamızda geçen tanımlar aşağıda belirttiğimiz anlamları ihtiva etmektedirler:

Açık Rıza Belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
İlgili Kişi Kişisel verisi işlenen gerçek kişiyi ifade eder.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Sağlık Verisi 20.10.2016 tarih ve 29863 sayılı Resmî Gazete’de yayımlanan ‘Kişisel Sağlık Verilerin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’ kapsamında belirtildiği şekilde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisini ifade eder.
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen/kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kurul Kişisel Verileri Koruma Kurulunu
Kurum Kişisel Verileri Koruma Kurumunu
Komite Politikaya bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden sorumlu komiteyi ifade eder.
KVKK 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
Veri Sorumlusu Temsilcisi Komite içerisinden seçilen ve şirketin Kurum ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan kişiyi ifade eder.
Veri Envanteri Şirketin kişisel veri işleme faaliyetlerine yönelik olarak; kişisel veri işleme süreç ve yöntemleri, amaçları, veri kategorisi, kişisel verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifade eder.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

 

3- KİŞİSEL VERİLERİN KVKK’DA YER ALAN İLKELERE UYGUN OLARAK İŞLENMESİ:

Kişisel verilerin işlenmesinde aşağıda belirtilen ilkelere uyulması KVKK’da zorunlu kılınmıştır.

- Hukuka ve Dürüstlük Kurallarına Uygun İşleme:
Kişisel veriler, şirketimiz tarafından hukuka ve dürüstlük kurallarına ve ölçülülük esasına dayalı, amacın gerektirdiği hallere uygun olarak işlenir.

- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması:
Şirketimiz, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini gözeterek; kişisel verilerin eksiksiz, doğru ve güncel olmasını sağlamaya yönelik her türlü çalışmayı yapmakta ve bu konuya ilişkin sistemler geliştirmektedir. İlgili kişinin, kişisel verilerine yönelik değişiklik talep etmesi durumunda belirtilen kişisel veriler tarafımızca güncellenmektedir.

- Belirli, Açık ve Meşru Amaçlar Doğrultusunda İşlenmesi:
Kişisel verileri işleme faaliyeti başlamadan, kişisel verilerin hukuka uygun olarak işlenme amaçları şirketimizce açık olarak belirlenmektedir. Bu kapsamda, ilgili kişi KVK düzenlemeleri kapsamında aydınlatılır ve kanunun gerektirdiği hallerde açık rızaları alınır.

- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması:
Şirketimiz kişisel verileri belirlenen amaçla bağlantılı ve sınırlı olarak, amacın kapsamını aşmayacak şekilde işlemektedir. Gerçekleşmesi muhtemel durumlar üzerinden veri işleme faaliyeti yürütülmemektedir.

- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi:
Şirket, kişisel verileri amaca uygun olarak gerektiği kadar muhafaza etmektedir. İlgili mevzuatta öngörülen veya kişisel veri işleme amacının gerektirdiği süreden daha uzun bir süreyle kişisel verilerin muhafaza edilmesi gereken hallerde şirketimiz, ilgili mevzuatlarda belirtilen yükümlülüklere uygun davranarak muhafaza etmektedir.

Kişisel veri işleme amacının gerektirdiği süre sona erdikten sonra; kişisel veriler şirketimizce silinmekte veya anonim hale getirilmektedir. Şirketimizin kişisel verileri aktardığı üçüncü kişilerin de kişisel verileri silmesi yahut anonim hale getirmesi sağlanmaktadır.

Silme ve anonim hale getirme süreçlerinin yürütülmesinden Komite sorumludur. Bu kapsamda gerekli prosedür Komite tarafından oluşturulur.

4- KİŞİSEL VERİ İŞLENME ŞARTLARINA UYGUNLUK:

Şirketimiz kişisel veri işleme faaliyetlerini KVKK madde 5’te belirtilen veri işleme şartlarına uygun olarak yürütmektedir. Kişisel veriler ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir:

- Kişisel Veri Sahibinin Açık Rızasının Varlığı:
Kişisel veriler, ilgili kişilere aydınlatma yükümlülüğünün yerine getirilmesi kapsamında yapılacak bilgilendirme sonrası ve ilgili kişilerin açık rıza vermesi halinde işlenebilmektedir. Aydınlatma yükümlülüğü çerçevesinde açık rıza alınmadan önce ilgili kişilere hakları bildirilir ve açık rızası ilgili mevzuat düzenlemelerine uygun yöntemlerle alınır ve gerekli süre kadar muhafaza edilir.
Kişisel veri işleyen tüm departmanların çalışanları Komite’nin talimatlarına ve işbu politikaya uymakla yükümlüdür.

Açık Rıza Şartı Aranmaksızın Aşağıda Belirtilen Şekillerde Kişisel Verilerin İşlenmesi Mümkündür:

- Kişisel Veri İşleme Faaliyetlerinin Kanunlarda Açıkça Öngörülmüş Olması Halinde:

Kişisel verilerin işlenmesine yönelik olarak kanunlarda açıkça bir düzenlemenin bulunduğu hallerde, şirketimizce ilgili kanun düzenlemeleriyle bağlı olarak kişisel veri işleme faaliyeti yürütülecektir.

- Fiili İmkansızlık Sebebiyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin İçinde Bulunulan Durum Dikkate Alındığında Zorunlu olması:

Kişisel veri sahibi, rızasını açıklayamayacak durumda bulunuyorsa veya rızasına hukuki geçerlilik tanınmayan durumlarda kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise, şirketimiz kişisel verileri işleyebilecektir.

Bir Sözleşmenin Kurulması veya İfasıyla İlgili Olarak Kişisel Verileri İşleme:

Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin taraflarına ait kişisel veriler ilgili kişilerin açık rızaları olmadan şirketimizce işlenebilecektir.

Veri Sorumlusu olarak Şirketimizin Hukuk Yükümlülüklerini Yerine Getirebilmesi İçin Gerekli Olması:

Şirketimizin hukuki yükümlülüğü bulunan hallerde bu yükümlülüğün yerine getirilmesi açısından gerekli olan hallerde ilgili kişinin açık rızası gerekmeden kişisel verileri işlenebilir.

İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması:

İlgili kişinin herhangi bir şekilde kamuya açıklanan kişisel verileri alenileştirmenin amacına uygun olarak şirketimizce işlenebilecektir.

Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması:

Şirketimiz bir hakkın tesisi kullanılması veya korunması için zorunlu olan hallerde, bu zorunluluğa uygun ve ölçülü olarak kişisel verileri işleme faaliyetini yürütecektir. Bu kapsamda işlenen kişisel veriler açık rıza alınmaksızın Veri Sorumlusu Temsilcisinin bilgisi dâhilinde Şirket tarafından işlenebilir.

İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması:

Şirketimiz meşru menfaatlerinin gerektirdiği hallerde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, açık rıza aranmaksızın veri işleyebilecektir.

5- ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME ŞARTLARINA UYGUNLUK:

Şirketimiz KVKK’da sınırlı sayıda sayılmış olan özel nitelikli kişisel verileri kanunda yer alan düzenlemelere uygun olarak işlemektedir. Hukuka aykırı olarak işlenmesi halinde ayrımcılığa veya mağduriyetlere sebep olabilecek bir takım kişisel veriler mevzuatta; “özel nitelikli kişisel veri” olarak tanımlanmıştır.

Bu veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile genetik verileri şeklinde kanunda sayılmıştır. Özel nitelikli kişisel veriler şirketimizce iki halde işlenebilmektedirler:

- Kişisel veri sahibinin açık rızası varsa veya
- Kişisel veri sahibinin açık rızası yoksa;

  • Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası olmaksızın işlenebilir.
  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili sağlık kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenen önlemler şirketimizce alınacaktır. Özel nitelikli kişisel verilerin işlenmesini gerektiren her durumda ilgili çalışan tarafından Veri Sorumlusu Temsilcisi bilgilendirilir. Bir verinin özel nitelikli kişisel veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından Komite’den görüş alınır.

6- KİŞİSEL VERİLERİN İŞLENMESİ KAPSAMINDA BİNA, TESİS GİRİŞLERİ VE İÇERİSİNDE YÜRÜTÜLEN;

Kamera İle İzleme Faaliyeti:

Bina ve tesislerde kamera ile izleme faaliyetleri yürütülmektedir. Bu kapsamda kişisel verilerin ve temel hakların nasıl koruma altına alınacağına dair bilgilendirme şirketimiz tarafından yapılacaktır.

Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak yürütülen kamera ile izleme faaliyeti; şirketin ve diğer kişilerin korunması amacı taşımaktadır.

Misafir Giriş Çıkışlarının Takibi:

Bina ve tesislerimize giriş yapılırken güvenlik görevlilerince alınan isim-soyisim bilgilerini içeren kişisel veriler yalnızca giriş-çıkış takibi yapılması amacıyla işlenmektedir.

Fiziki ortamda veri kayıt sistemine kaydedilen bu veriler hakkında gelen misafirlerimiz aydınlatma yükümlülüğü kapsamında erişimlerine sunduğumuz metinler aracılığıyla aydınlatılmaktadır.

7- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ:

Kişisel veriler işlenmelerine yönelik meşru amaç ortadan kalktığında silinir yahut anonim hale getirilir. Şirket kişisel verileri gelecekte kullanma ihtimalini göz önünde bulundurarak kişisel verileri saklamaz.

Kişisel verilerin silinmesi yahut anonim hale getirilmesi gereken durumlar, kanun kapsamında “veri sorumlusu” olarak tanımlanan şirketimiz tarafından belirlenen, Komite tarafından takip edilmektedir. Bu kapsamda gerekli prosedür şirketimiz tarafından oluşturulmaktadır.

8- KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN 3. KİŞİLER TARAFINDAN İŞLENMESİ:

Şirketimiz kişisel veriler aktarılırken KVKK madde 8 ve madde 9’da belirtilen esaslara uygun olarak hareket etmektedir.

Şirketimiz üçüncü bir gerçek ya da tüzel kişiye ilgili mevzuata uygun şekilde kişisel veri aktarabilir. Şirket, bu durumda kişisel veri aktardığı üçüncü kişilerin de işbu politikaya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere, şirketimizce temin edilecek gerekli koruyucu düzenlemeler eklenir. Kişisel verileri aktarılan ilgili kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Temsilcisi’ne bildirilir. Komite tarafından söz konusu değişiklik talebi değerlendirilir ve veriler güncellenir.

Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı:

- Kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz.
- Kişisel veriler; KVKK madde 5/2 ve madde 6/3’de düzenlenen açık rızanın aranmadığı haller söz konusu olduğunda açık rıza aranmaksızın yurtiçinde bulunan üçüncü kişilere aktarılabilmektedir.

Kişisel verilerin yurtiçinde bulunan üçüncü kişilere aktarımının mevzuata uygun olarak yapılmasından Komite ve aktarımı gerçekleştiren şirket çalışanları sorumludur.

Yurtdışında Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı:

- Kişisel veriler ilgili kişinin açık rızası olmaksızın yurtdışında bulunan 3.kişilere aktarılamaz.
- Kişisel veriler; KVKK madde 5/2 ve madde 6/3’de düzenlenen açık rızanın aranmadığı haller söz konusu olduğunda açık rıza aranmaksızın yurtdışında bulunan üçüncü kişilere aktarılabilmektedir.

Kişisel verilerin açık rıza aranmaksızın yurtdışında bulunan 3. Kişilere aktarılabilmesi için aktarılacağı ülke bakımından aşağıdaki şartların varlığı aranmaktadır:

1- Yabancı ülkede yeterli koruma bulunmalıdır. Yeterli korumanın bulunduğu ülkeler Kurulca ilan edilir.
2- Yabancı ülkede yeterli korumanın bulunmaması durumunda, (Kurulca belirlenecek güvenli ülkeler listesinde yer almaması hali kastedilmektedir.) şirketimiz ve ilgili yabancı ülkedeki veri sorumlusu yeterli korumayı yazılı olarak taahhüt eder ve aynı zamanda Kurulun izninin bulunması gerekir.
Kişisel verilerin yurtdışında bulunan üçüncü kişilere aktarımının mevzuata uygunluğun olarak yapılmasından Komite ve aktarımı gerçekleştiren şirket çalışanları sorumludur.

9- KİŞİSEL SAĞLIK VERİLERİNİN AKTARIMI:

Kişisel sağlık verileri anonim hale getirilmeden şirket tarafından aktarılmaz. Ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları çerçevesinde ve kanunlarda açıkça öngörülmüş olması durumunda kamu kurum ve kuruluşlarına aktarabilir.

Kişisel sağlık verilerinin anonim hale getirilmeden aktarılması söz konusu olduğunda; şirket, Komite’ye bildirimde bulunulur ve bu durumda Komite kişisel sağlık verilerinin aktarımına yönelik mevzuattaki düzenlemeler kapsamında yükümlülüklerin yerine getirilmesi için gerekli tedbirleri alır.

Kişisel sağlık verilerinin üçüncü kişilere aktarımının mevzuata uygunluğundan Komite sorumludur.

10- KİŞİSEL VERİLERİN AKTARIMINA YÖNELİK SORUMLULUĞUN KAPSAMI:

Şirket KVKK maddeleri gereği veri sorumlusu olarak, kişisel verilerin işlenmesinden ve 3. kişilere aktarılmasından sorumludur. Veri sorumlusunun düzenlemelere uygun olarak aldığı önlemlere rağmen, kanuna yönelik bir ihlal meydana geldiğinde Komite tarafından ihlalin kaynağı tespit edilecektir. Söz konusu ihlal neticesinde, şirket herhangi bir yaptırımla karşılaşırsa; ihlale sebebiyet veren şirket çalışanına rücu hakkımız saklıdır. Bu açıdan kişisel veri işleme ve veri aktarımı faaliyetlerinin kanuna uygun yürütülmesinden bütün şirket çalışanları sorumludur.

11- KİŞİSEL VERİLERİN ŞİRKETİMİZCE AKTARILDIĞI KİŞİ GRUPLARI:

KVKK’da belirtilen 3. kişilere veri aktarım şartlarına uygun olarak, ticari faaliyetlerin teminini yürütmek için; iş ortaklarına, tedarikçilere, yetkili kamu kurum ve kuruluşları ile yetkili özel hukuk kişilerine, ilgili kişilerin hukuki yetkisi dahilinde talep ettikleri amaçlarla sınırlı olarak veri aktarımı yapılabilecektir.

12- KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI:

Veri sahiplerine sunduğumuz aydınlatma metninde; veri sorumlusu olarak şirketimizin kimliği, kişisel veriler hangi amaçlarla işlediğimiz, işlediğimiz kişisel verileri kimlere ve hangi amaçlarla aktarabileceğimiz, kişisel veri toplamanın yöntemi ve hukuki sebepleri belirtilmiştir. Veri sahiplerinin talepleri için düzenlediğimiz başvuru formunda ise herhangi bir talep halinde şirketimize ulaşılacak kanallara yer verilmiştir.

KVKK madde 10’da düzenlenen veri sorumlusu olarak aydınlatma yükümlülüğümüz kapsamında veri sahibinin haklarına politikamızda da yer veriyoruz. Veri sahipleri şirketimize başvurarak;

- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda aleyhinize bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi ve bu sebeple zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Şirketimize ulaştırılan başvuru talepleri KVKK madde 13/2 gereği; talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde ücretsiz olarak sonuçlandırılacaktır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir.

Şirketimiz yöneltilen başvurular üzerine, kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla başvuruda bulunan kişiden bilgi talep edebilir, kişiye soru yöneltebilir.

KVKK Mevzuatı Gereği Kişisel Veri Sahiplerinin Hakları Dışında Kalan Haller:

KVKK madde 28’de kanun hükümlerinin uygulanmayacağı haller düzenlenmiştir. Kişisel veri sahiplerinin haklarını öne süremeyeceği haller aşağıdaki şekilde düzenlenmiştir:

- Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi şeklindedir.

KVKK madde 28/2 de ise zararın giderilmesini talep etme hali hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmelerinin mümkün olmadığı haller aşağıdaki şekilde düzenlenmiştir:

- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi, mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olmasıdır.

13- ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU:

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen veri kategorileri aşağıda belirtildiği şekildedir;

Kimlik Bilgisi Kişinin kimliğine dair bilgilerin bulunduğu verilerdir. TC kimlik numarası, uyruk bilgisi, anne-baba adı, doğum yeri/tarihi, cinsiyet bilgileri içeren ehliyet, nüfus cüzdanıi pasaport gibi belgelerle vergi numarası, SGK numarası, imza bilgisi, taşıt plakası vb. bilgiler
İletişim Bilgileri Telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler
Lokasyon Verisi Ticari faaliyetlerimizi yürütürken kullanılan araçların ve cihazların konumunu tespit eden; GPS lokasyonu, seyahat verileri
Aile Bireyleri ve Yakın Bilgisi Şirketimiz ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahiplerinin aile bireyleri, yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkında bilgiler
Fiziksel Mekan Güvenlik Bilgisi Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar
İşlem Güvenliği Bilgisi Şirketimiz ticari faaliyetleri yürütürken veri sahibinin ve şirketin teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler
Risk Yönetimi Bilgisi Ticari, teknik ve idari risklerin yönetilmesi için gerekli yöntemler kullanılırken işlenen kişisel veriler
Görsel İşitsel Bilgi Fotoğraf ve kamera kayıtları (Fiziksel mekan güvenlik bilgisi kayıtları hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler
Özlük Bilgisi Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşması için gerekli bilgilerin elde edilmesine yönelik her türlü kişisel veri
Çalışan Adayı Bilgisi Şirketimiz insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler
Özel Nitelikli Kişisel Veri KVKK madde 6’da belirtilen kişisel verilerdir. (kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi)
Talep/Şikayet Yönetimi Bilgisi Şirketimize yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler

 

Verilerin Paylaşıldığı Taraf Kategorizasyonu:

Şirket Müşterileri Şirketimizle bir sözleşme ilişkisi kurmasına bakılmaksızın, iş birimlerimizce yürütülen operasyonlar kapsamında, kişisel verileri işlenen gerçek kişiler
Şirket Ziyaretçileri Sahip olduğumuz fiziksel yerleşkeyi veya internet sitelerimizi çeşitli amaçlarla ziyaret eden gerçek kişiler
Şirket Çalışan Adayları Herhangi bir yolla şirketimize iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimize sunmuş olan gerçek kişiler
Şirket Tedarikçileri Ticari faaliyetlerin yürütülmesi kapsamında şirketin emir ve talimatlarına uygun ve sözleşme temelli olarak şirkete hizmet sunan taraflar
İş Ortaklarımız Şirketin ticari faaliyetlerini yürütebilmesi amacıyla iş ortaklığı kurduğu taraflar
Hukuken Yetkili Kamu Kurum ve Kuruluşları İlgili mevzuat hükümlerine göre şirketin bilgi ve belgelerini almaya yetkili kamu kurum ve kuruluşları
Hukuken Yetkili Özel Hukuk Tüzel Kişileri İlgili mevzuat hükümlerine göre şirketin bilgi ve belgelerini almaya yetkili özel hukuk kişileri

 

14- VERİ YÖNETİMİ VE VERİ GÜVENLİĞİ:

Şirket kanun kapsamındaki yükümlülüklerini yerine getirmek, politikanın uygulanması için gerekli mevzuatın uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak ve üzere Komite oluşturur ve Komite içerisindeki kişilerden birini Veri Sorumlusu Temsilcisi olarak atar.

Kişisel verilerin korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.

Kişisel veri işleme faaliyetleri teknolojik imkânlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir ve şirketimizde teknik konularda bilgili personel istihdam edilmektedir.

Şirket çalışanları, kişisel verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.

Şirkete kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli düzenlemeler yapılır. Düzenlemelerin oluşturulması ve uygulanmasından Komite sorumludur.

Şirket çalışanları, kişisel verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili kanunun hükümlerine uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.

Şirket, çalışanın kişisel verilerin güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri Sorumlusu Temsilcisi’ne bildirir.

Kendisine şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.

Mevzuat kapsamında kişisel verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.

Şirkette kişisel verilerin güvenli ortamlarda saklanması teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

Şirkette kişisel verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.

Şirkette kişisel verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunmaktadır. Bu kapsamda, kişisel veriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmaz, Veri Sorumlusu Temsilcisi’nin önceden yazılı onayı alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamaz, Şirket dışına çıkartılamaz.

Şirket içerisindeki bir departman özel nitelikli kişisel veri işliyorsa, bu departman, Komite tarafından işledikleri kişisel verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili departman Komite talimatlarına uygun hareket ederler. Özel nitelikli kişisel verilere erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Komite tarafından yapılır.

Şirket içerisinde işlenen kişisel verilerin tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.

Şirket çalışanları, Kişisel verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.

Yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi halinde durum derhal KVK Kurulu’na ve ilgili veri sahiplerine bildirilecektir.

15- KİŞİSEL VERİLERİN KORUNMASI VE İŞLEMESİNDEN SORUMLU KOMİTE:

Politikaya bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden sorumlu komite Yönetim Kurulu tarafından seçilerek oluşturulmaktadır. Oluşturulan Komite, kendi içerisindeki gerçek kişiler arasından bir Veri Sorumlusu Temsilcisi seçecektir. Komite’nin görevleri:

- Politika, prosedür ve talimatların oluşturulmasını sağlamak, bu çalışmaların şirket içerisinde uygulanmasına yönelik çalışmalar yapmak,

- Şirket içi uygulama ve denetimine karar vermek, görevlendirmelerde bulunmak ve koordinasyonu sağlamak,

- Şirket içi farkındalığı arttırmak,

- Riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek,

- Talimatlar konusunda eğitimler tasarlamak ve icrasını sağlamak,

- Kişisel veri sahipleri başvurularını karara bağlamak,

- KVK Kurulu ve Kurumu ilişkilerini koordine etmek,

- Şirket yönetiminin bu kapsamda vereceği diğer görevleri icra etmektir.

Komite kişisel verilerin işlenmesi ve korunması kapsamında gerekli tedbirleri almakla yükümlüdür. Yönetim Kurulu ile birlikte Şirket içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVK politikasını hazırlayarak Yönetim Kurulu onayına sunmak, onay akabinde Şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür.

16- YÜRÜRLÜK

İşbu Politika, Yönetim Kurulu’nca onaylandığı tarihten itibaren yürürlüğe girer.

Politikada yer alan düzenlemeler yılda 1 kez gözden geçirilir ve değişiklik yapılması gereken hallerde Yönetim Kurulu onayıyla değişiklik yapılır.

YUKARI