AKC MOBİLYA ORMAN ÜRÜNLERİ TURİZM İNŞAAT İTHALAT İHRACAT SANAYİ TİCARET LİMİTED ŞİRKETİ

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

 

1. AMAÇ VE KAPSAM

Hukuk düzenine uyum konusunda azami özen göstermeyi geçmişinden bugüne benimsemiş olan Akc Mobilya Orman Ürünleri Turizm İnşaat İthalat İhracat Sanayi Ticaret Limited Şirketi (“Şirket”), kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri kurmakta ve kişisel verilerin gizliliğine büyük önem vermektedir.

Kişisel Verilerin İşlenmesi ve Korunması Politikası (“KVK Politikası”) ile, Şirketimiz tarafından kişisel verilerin işlenmesinde ve korunmasında benimsenen ilkeler düzenlenmektedir. Bu kapsamda, Şirket faaliyetlerinde kişisel verilerin korunması mevzuatına uyumun sağlanması için gereken sistemin ve düzenin kurulması, Şirket bünyesinde kişisel verilerin korunması konusunda farkındalığın artması, hukuka aykırı kişisel veri işlenmesinin ve kişisel verilere hukuka aykırı erişilmesinin önlenmesi amaçlanmaktadır.

Şirketimizin, kişisel verilerin korunmasına verdiği önem doğrultusunda, KVK Politikası ile Şirketimiz tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmekte ve bu kapsamda Şirketimizin yerine getirmesi gerekenler ortaya konulmaktadır. KVK Politikası düzenlemelerinin uygulanması ile Şirketimizin benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.

Bu Politika; çalışan adaylarımızın, çalışanlarımızın, hissedar/ortaklarımızın, stajyerlerimizin, müşterilerimizin, potansiyel müşterilerimizin, tedarikçilerimizin, işbirliği içinde olduğumuz şirket yetkilisi ve çalışanlarının, ziyaretçilerimizin (aynı zamanda internet sitesi çevrimiçi ziyaretçilerimizin) tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ve kişisel verisi işlenen kişi gruplarına ilişkindir.

2. ROLLER VE SORUMLULUKLAR

KVK Politikası’na uygun hazırlanan yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin Şirketimiz bünyesinde uygulanmasında, Muhasebe Birimi tavsiye kaynağı ve rehber; Şirket Genel Müdürü de KVK Sorumlusu olacaktır. Şirket genelindeki tüm çalışanlarımız, paydaşlarımız, KVK Politikası’na uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, Muhasebe Birimi ekipleriyle iş birliği yapmakla yükümlüdürler.

KVK Sorumlusu’nun görevleri aşağıda belirtilmiştir:

  • Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu onayına sunmak,

 

  • Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak, (veya bu hususları Yönetim Kurulunun onayına sunmak)

 

  • KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri Yönetim Kurulunun onayına sunmak,

 

  • Kişisel verilerin işlenmesi ve korunması konusunda Şirket içinde ve Şirketin iş ortakları nezdinde farkındalığın artması için gerekli çalışmaları yapmak,

 

  • Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini Yönetim Kurulunun onayına sunmak,

 

  • Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak,

 

  • Kişisel veri sahiplerinin başvurularını karara bağlamak, sonuçlandırmak,

 

  • Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek, bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda Yönetim Kuruluna tavsiyelerde bulunmak,

 

  • KVK Kurumu ve KVK Kurulu ile ilişkileri koordine etmek,

 

  • Yönetim Kurulunun kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.

 

3. POLİTİKA ESASLARI

 

3.1. TEMEL İLKELER

 Şirketimiz tarafından, kişisel verilerin korunması mevzuatına uyumun sağlanması ve sürdürülebilmesi için aşağıda sıralanan ve KVK Kanunu’nda da belirtilen temel ilkeler benimsenmektedir:

3.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme

Şirketimiz, kişisel veri işleme faaliyetlerini, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına, hukuka ve dürüstlük kurallarına uygun olarak yürütmektedir.

3.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme

Şirketimiz, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamakta, bu çerçevede gereken idari ve teknik tedbirleri almakta, gerekli süreçleri yürütmektedir. Bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmaları işletmektedir.

3.1.3. Kişisel verileri belirli, açık ve meşru amaçlar için işleme

Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verinin hangi amaçla işleneceği daha veri işleme faaliyetine başlamadan önce ortaya konulmaktadır.

3.1.4. Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme

Şirketimiz, kişisel verileri, veri işleme amaçları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlemektedir. Şirketimiz, kişisel verileri belirlediği meşru amaçlarının gerçekleştirilebilmesine elverişli bir biçimde işlemekte, amaçlarının gerçekleştirilmesine elverişli olmayan veya ihtiyacı olmayan kişisel verileri işlememektedir. Yine şu an ihtiyacı olmayan ancak ileride ortaya çıkması muhtemel ihtiyaçları için de kişisel veri işlememektedir.

3.1.5. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme

Şirketimiz, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda Sözleşme Mevzuatı, İş Mevzuatı, Ticaret Mevzuatı, Vergi Mevzuatı, İş Sağlığı ve Güvenliği Mevzuatı gibi mevzuattan kaynaklanan süre sınırına riayet edilmektedir. Şirketimiz, mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.

3.2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ

Şirketimiz bünyesinde, kişisel verilerin işlenmesi faaliyetleri yürütülürken, yukarıda sayılan temel ilkelere uymak kaydıyla, KVK Kanunu’nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik’te belirlenen veri işleme şartlarına uygun hareket edilmektedir.

Bu doğrultuda, gerçekleştirilen kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme şartlarının mevcut olup olmadığı tespit edilmekte; şartların bulunmaması durumunda kişisel veri işlenmemektedir. Buna göre Anayasa’nın 20. maddesinde ve KVK Kanunu’nun 5 ve 6. Maddelerinde kişisel veriler ilgili kişinin açık rızası ile işlenebilmektedir. Ancak kişisel veri sahibinin açık rızasının bulunması, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında aşağıda sayılan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilecektir. Bu şartlardan yalnızca birisi olabileceği gibi birden fazlası da aynı kişisel verinin işlenmesinin dayanağı olabilmektedir.

Şirketimiz tarafından kişisel verilerin işlenmesine dair hukuki sebepler farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde yukarıda sayılan temel ilkelere uyulmaktadır.

Şirketimizce; KVK Kanunu’nun 5. Maddesindeki hukuki sebeplerden aşağıda sayılan şartlara dayanılarak kişisel veriler işlenmektedir.

  • Kişisel verisi işlenen kişinin açık rızasının bulunması,
  • Kanunlarda açıkça öngörülmesi,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
  • Şirketin hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
  • İlgili kişi tarafından alenileştirilmiş olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için zorunlu olması.

KVK Kanunu’nun 6. Maddesinde sayılan hukuki sebeplerden ise;

  • Kişisel verisi işlenen kişinin açık rızasının bulunması,
  • Kanunlarda açıkça öngörülmesi,
  • Tıbbî teşhis ve tedavi amacıyla iş yeri hekimince işlenmesi şartlarına dayanılarak kişisel veriler işlenmektedir.

 

Şirketimiz bünyesinde, kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili diğer mevzuat ile KVK Politikası’nda ortaya konulan kurallara uyulmaktadır.

3.3. KİŞİSEL VERİ AKTARIMININ AKTARIM ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ

Kişisel verilerin aktarılma şartı da, kişisel verilerin işlenme şartı gibi, ilgili kişinin açık rızasının bulunması şartına bağlıdır. Ancak KVK Kanunu, açık rıza aranmaksızın kişisel verilerin işlenebileceği durumlarda, aynı şekilde ilgili kişinin açık rızası aranmaksızın aktarılabilmesine de imkan tanımaktadır. Bu bağlamda Şirketimizce işlenen bir kısım kişisel veriler SGK ve Diğer Yetkili Kurum ve Kuruluşlara, Bireysel Emeklilik Sözleşmesi Yapılan Bankaya, Maaş Alınan Bankaya, Şirketin Anlaşmalı Avukatına, Anlaşmalı Mali Müşavire, Anlaşmalı Danışmanlık Firmasına, Grup Şirketine, Anlaşmalı Seyahat Acentasına, Anlaşmalı Araç Kiralama Firmasına, Anlaşmalı Tedarikçi Firmaya aktarılabilmektedir. Şirketimiz tarafından gerçekleştirilen kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişimine açılması) KVK Kanunu’nun 8. maddesinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmektedir.

3.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

 

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişilmesini veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri almaktadır.

Bu kapsamda aşağıda sayılan idari ve teknik tedbirler uygulanmaktadır.

3.4.1. İdari Tedbirler

 

  • Çalışanlar İçin Veri Güvenliği Hükümleri İçeren Disiplin Düzenlemeleri Mevcuttur,
  • Çalışanlar İçin Veri Güvenliği Konusunda Belli Aralıklarla Eğitim ve Farkındalık Çalışmaları Yapılmaktadır,
  • Çalışanlar İçin Yetki Matrisi Oluşturulmuştur,
  • Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha Konularında Kurumsal Politikalar Hazırlanmış ve Uygulamaya Başlanmıştır,
  • Gizlilik Taahhütnameleri Yapılmaktadır,
  • İmzalanan Sözleşmeler Veri Güvenliği Hükümleri İçermektedir,
  • Kişisel Veri Güvenliği Politika ve Prosedürleri Belirlenmiştir,
  • Kişisel Veri Güvenliği Sorunları Hızlı Bir Şekilde Raporlanmaktadır,
  • Kişisel Veri Güvenliğinin Takibi Yapılmaktadır,
  • Kişisel Veri İçeren Fiziksel Ortamlara Giriş Çıkışlarla İlgili Gerekli Güvenlik Önlemleri Alınmaktadır,
  • Kişisel Veri İçeren Fiziksel Ortamların Dış Risklere (Yangın, Sel vb) Karşı Güvenliği Sağlanmaktadır,
  • Kişisel Veri İçeren Ortamların Güvenliği Sağlanmaktadır,
  • Kişisel Veriler Mümkün Olduğunca Azaltılmaktadır,
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler yapılmakta ve Yaptırılmaktadır.
  • Mevcut Risk ve Tehditler Belirlenmiştir,
  • Özel Nitelikli Kişisel veri Güvenliğine Yönelik Protokol ve Prosedürler Belirlenmiş ve Uygulanmaktadır.

 

3.4.2. Teknik Tedbirler

 

  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.
3.4.3. Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri

Şirketimiz tarafından kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği Muhasebe birimi tarafından denetlenir. Muhasebe birimi söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi dış kaynaklı denetim firmalarına da yaptırabilecektir.

Gerçekleştirilen denetim faaliyetlerinin sonuçları, Muhasebe, Pazarlama, Müşteri İlişkileri, Bilgi İşlem Birimlerinin yöneticilerine ve Yönetim Kuruluna raporlanmalıdır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin asli sorumluluğundadır. Muhasebe birimi de bu rapor kapsamındaki aksiyonların takibini, doğrulama testlerini ve denetimlerini yapar.

Denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler Şirketimizin ilgili icra birimlerince yürütülür.

3.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler

Şirketimizce işlenen kişisel verilerin hukuka aykırı olarak yetkisiz kişiler tarafından elde edilmesi durumunda, vakit kaybetmeksizin (en geç 72 saat içerisinde) durum KVK Kurulu’na ve ilgili veri sahiplerine bildirilir. Veri Sahiplerine doğrudan ulaşılamaması halinde veri ihlali bildirimi Şirketimizin internet sitesinde yayımlanır.

Şirketimizin KVK Sorumlusu tarafından veri ihlaline ilişkin KVK Kurulu’nun 24.01.2019 tarihli 2019/10 sayılı duyurusunda belirlenen usul ve esaslar çerçevesinde gerekli işlem ve bildirimler yapılır.

3.5. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER

Şirketimiz, kişisel veri işleme faaliyetlerinde KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymayı taahhüt etmektedir. Bu kapsamda uyulması gereken başlıca hususlar aşağıda sıralanmaktadır:

3.5.1. Veri Sorumlusu Siciline Kayıt ve Bildirim Yükümlülüğü

Şirketimiz, KVK Kanunu’nun 16. maddesine ve Veri Sorumluları Sicili Hakkında Yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne (“VERBİS”) kaydolmuştur. VERBİS’te aşağıda yer alan bilgiler kamuya açık olarak tutulmaktadır.

  • Veri sorumlusu olarak Şirketimizin bilgileri ve adresi,
  • Kişisel verilerin işlenme amacı,
  • Veri sahibi kişi grupları ve bu kişilere ait işlenen kişisel veri kategorileri,
  • Kişisel verilerin aktarılabileceği kişi veya kişi grupları,
  • Yurt dışına aktarımı yapılabilecek kişisel veriler,
  • İşlenen kişisel verilerin güvenliğini sağlamaya yönelik alınan tedbirler,
  • Kişisel verilerin işlenme amacının gerektirdiği azami muhafaza edilme süreleri.

 

Sicile kaydedilen bilgilerde değişiklik olması halinde meydana gelen değişiklikler, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden KVK Kurumu’na bildirilir.

3.5.2. Veri Sahibini Aydınlatma Yükümlülüğü

KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli aydınlatma metinleri bulunmaktadır. Aydınlatma yükümlülüğü kapsamında veri sahiplerine sunulması gereken bilgiler aşağıda yer almaktadır:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • İlgili kişinin KVK Kanunu’nun 11. Maddesinde sayılan diğer hakları.

 

3.5.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Şirketimizce, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanması ve veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek gerektiğinin bilinciyle;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak,

amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler alınmaktadır.

Ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimler Şirketimiz Muhasebe birimince yapılmakta veya yaptırılmaktadır.

3.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü

Şirketimiz, kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu’nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket etmeyi ve kararların tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmeyi taahhüt etmektedir. KVK Kurulu’nun, talep ettiği bilgi ve belgeler en geç onbeş̧ gün içinde gönderilecek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlanacaktır.

3.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü

Şirketimiz, veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmayı taahhüt etmektedir. Veri sahiplerinin kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda, Şirketimizin internet sitesinden veya Ön Büro’dan temin edecekleri başvuru formu ile gerçekleştirmeleri gerekmektedir. Veri sahiplerinin ıslak imzalı başvuru formlarını, Şirketimizin Süleymaniye OSB Mahallesi 1. Cadde No: 27 İnegöl/Bursaadresine bizzat elden veya noter kanalıyla veya posta ile göndermeleri veya Kayıtlı Elektronik Posta (KEP) ile veya Güvenli Elektronik İmza veya Mobil İmza ile göndermeleri veya daha önce veri sahiplerince Şirketimize bildirilen ve Şirketimiz sistemlerinde kayıtlı bulunan elektronik posta adresleri ile [email protected] mail adresimize göndermeleri gerekmektedir.

KVK Kanunu’nun 11.maddesi uyarınca, kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler:

  • Kişisel verilerinin işlenip işlenmediğini öğrenmek,

 

  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,

 

  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,

 

  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,

 

  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

 

  • KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

 

  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.

 

3.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü

Şirketimiz, KVK Kanunu’nun 4. maddesi gereğince, kişisel verileri hukuka ve dürüstlük kuralına uygun bir biçimde işlemektedir. Bu kapsamda, kişisel verilerin elde edilmesi ve aktarılması faaliyetleri de hukuka uygun olarak yürütülmektedir.

3.5.7. Kişisel Verilerin Muhafazasına İlişkin Düzenlemelere Uygun Davranma Yükümlülüğü

Şirketimiz, KVK Kanunu’nun 7. maddesi gereğince; hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik gerekli politikaları yayımlamış ve iç mekanizmalarını oluşturmuştur.

4. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN POLİTİKA, PROSEDÜR VE İLGİLİ KILAVUZLARIN HAZIRLANMASI

Kişisel verilerin korunması hukukuna uyumun sağlanmasının temini amacıyla, kamuya sunulmak veya şirket içinde kullanılmak üzere gerekli dokümanlar hazırlanmıştır. Bu kapsamda hazırlanan dokümanlar, Şirketimiz tarafından uygulanan dokümantasyon modeline uygun olarak düzenlenmiştir. Kamuya sunulacak politikalarda gerçekleştirilecek değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde sunulacaktır.

5. GÖZDEN GEÇİRME

Bu Politika, Yönetim Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Yönetim Kurulu tarafından Muhasebe birimine yetki verilmiştir. Muhasebe biriminin tavsiyesi ve önerisi, Yönetim Kurulu’nun onayıyla işbu Politika’da değişiklik yapılabilecek ve yürürlüğe konabilecektir.

İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Yönetim Kurulu’nun onayına sunularak güncellenir. Şirket KVK Politikası, internet sitemizde yayımlanarak kamuoyuna sunulmuştur. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

6. TANIMLAR

KVK Politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır.

Anonim Hale Getirme : Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ : 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.
Kişisel Sağlık Verilerinin İşlenmesine ilişkin Yönetmelik : 20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik.
Kişisel Sağlık Verisi : Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri Sahibi : Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
KVK Kanunu : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
KVK Kurulu : Kişisel Verileri Koruma Kurulu.
KVK Kurumu : Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Türkiye Cumhuriyeti Anayasası : 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete’de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.
Türk Ceza Kanunu : 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri Sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.
Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ : 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ.
Veri Sorumluları Sicili : KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı nezdinde tutulan ve kamuya açık olan Veri Sorumluları Sicili. (VERBİS)
Veri Sorumluları Sicili Hakkında Yönetmelik : 30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanan 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik.

 

7. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU

 Şirketimizce ayrıntıları “ KİŞİSEL VERİ İŞLEME ENVANTERİ” nde belirtilen şu veri kategorisindeki kişisel veriler işlenmektedir.

1-Kimlik (Ad soyad, Anne – baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b.)

2-İletişim (Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.)

3-Özlük (Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b.)

4-Hukuki İşlem (Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.)

5-Müşteri İşlem (Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.)

6-Fiziksel Mekan Güvenliği (Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b.)

7-Finans (Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.)

8-Mesleki Deneyim (Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.)

9-Pazarlama (Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b.)

10-Görsel Ve İşitsel Kayıtlar (Görsel ve İşitsel kayıtlar v.b.)

11-Felsefi İnanç, Din, Mezhep Ve Diğer İnançlar (Diğer inançlarına ilişkin bilgiler, Dini aidiyetine ilişkin bilgiler, Felsefi inancına ilişkin bilgiler, Mezhep aidiyetine ilişkin bilgiler v.b.)

12-Sağlık Bilgileri (Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.)

13-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri (Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b.)

14- Kılık Ve Kıyafet (Kılık kıyafete ilişkin bilgiler v.b.)

15-Biyometrik Veri  (Parmak İzi bilgileri v.b.)

16-Diğer Bilgiler (Ticari Faaliyet Belgesi/Ticaret Odası Sicil Kayıt Sureti (Yurt Dışı Fuar Katılımı İçin))

17-Diğer Bilgiler (Ticari Davetiye (Yurt Dışı Fuar Katılımı İçin))

18-Diğer Bilgiler (Banka Dökümü (Yurt Dışı Fuar Katılımı İçin))

19-Diğer Bilgiler (Fuar Katılım Belgesi (Yurt Dışı Fuar Katılımı İçin))

 

8. ŞİRKETİMİZCE KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirketimizce VERBİS sisteminde ve KVKK veri envanterimizde her bir veri kategorisi için ayrı ayrı olarak belirtilen amaçlarla kişisel veriler işlenmektedir.