KVKK Policy
MCP CERAMIC
KİŞİSEL VERİLERİN
KORUNMASI VE İŞLENMESİ POLİTİKASI
1.
BİRİNCİ BÖLÜM: GİRİŞ
1.1.
AMAÇ
İşbu
Kişisel Verilerin Korunması ve İşlenmesi Politikasının (“Politika”) amacı;
Anayasamız, Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”), Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında
Yönetmelik, Veri Sorumluları Sicili Hakkında Yönetmelik ve ilgili yasal mevzuat
hükümleri uyarınca kişisel verilerin işlenmesi, korunması, saklanması, imhası gibi
kişisel verilere ilişkin her türlü iş ve işlemin veri sorumlusu olarak
Şirketimiz tarafından gerçekleştirilmesine dair usul ve esasların
belirlenmesidir.
1.2.
KAPSAM VE KİŞİSEL VERİ SAHİPLERİ
Şirketimiz
çalışanları, çalışan adayları, stajyerler, tedarikçi çalışanları, tedarikçi
yetkilileri, ürün veya hizmet alan kişiler veya temsilcileri,
hissedarlar/ortaklar, ziyaretçilere kişilere ait kişisel veriler işbu Politika
kapsamında olup Şirketimizce kişisel verilerin işlendiği tüm kayıt ortamları ve
kişisel veri işlenmesine yönelik tüm faaliyetlerde işbu Politika uygulanır.
Politika hiçbir şekilde tüzel kişilere ve tüzel kişi verilerine
uygulanmayacaktır. İşbu Politika kapsamındaki kişisel veri sahipleri aşağıdaki
gibidir:
|
Çalışan |
Şirketimizde
hizmet akdi ile çalışan gerçek kişiler |
|
Çalışan Adayı |
Şirketimize herhangi bir yolla iş
başvurusunda bulunan ya da özgeçmiş bilgilerini ileten gerçek kişiler |
|
Stajyer |
Şirketimizde
staj yapan gerçek kişiler |
|
Tedarikçi Çalışanı |
Şirketimizin iş ilişkisinde bulunduğu gerçek
veya tüzel kişilerin çalışanları |
|
Tedarikçi Yetkilisi |
Şirketimizin
iş ilişkisinde bulunduğu gerçek veya tüzel kişilerin yetkilileri |
|
Ürün veya Hizmet Alan
Kişi, Temsilci ve Çalışanı |
Şirketimizin ürün ve hizmetlerini kullanan ya
da kullanacak gerçek kişiler veya tüzel kişilerin temsilcileri, çalışanları |
|
Hissedar/Ortak |
Şirketimiz gerçek kişi hissedarları |
|
Ziyaretçi |
Şirketimize
bağlı işyerlerine çeşitli amaçlarla fiziken giren, şirket ziyaretlerinde
şirket ağına giren veya internet sitelerini herhangi bir amaç ile ziyaret
eden gerçek kişiler |
1.3.
TANIMLAR
İşbu
Politikada yer alan kavramlar aşağıdaki anlamları ifade eder.
|
TANIM |
AÇIKLAMA |
|
Alıcı Grubu |
Veri
sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisi. |
|
Açık Rıza |
Belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
Anonim Hale Getirme |
Kişisel verilerin, başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
|
Elektronik Ortam |
Kişisel
verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği,
değiştirilebildiği ve yazılabildiği ortamlar. |
|
Elektronik Olmayan
Ortam |
Elektronik ortamların dışında kalan tüm
yazılı, basılı, görsel vb. diğer ortamlar. |
|
İlgili Kişi |
Kişisel
verisi işlenen gerçek kişi. |
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesi. |
|
Kayıt Ortamı |
Tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu
her türlü ortam. |
|
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü bilgi. |
|
Kişisel Verilerin İşlenmesi |
Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlem. |
|
Kişisel Veri İşleme
Envanteri |
Veri sorumlularının iş süreçlerine bağlı
olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini;
kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan
alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve
kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza
edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri
güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları
envanter. |
|
Özel Nitelikteki Kişisel Veri |
Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri. |
|
Periyodik İmha |
Kanunda yer alan kişisel verilerin işlenme
şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve
imha politikasında belirtilen ve tekrar eden aralıklarla re’sen
gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
|
Sicil |
Kişisel
Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili
(VERBİS) |
|
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak
veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
|
Veri Kayıt Sistemi |
Kişisel
verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
|
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve
yönetilmesinden sorumlu gerçek veya tüzel kişi. İşbu Politika uyarınca, MCP MANİSA SERMİK
ÜRÜNLERİ SAN. VE TiC. A.Ş. veri sorumlusudur. |
1.4.
YÜRÜRLÜK
İşbu
Politika Şirketimiz tarafından düzenlenerek yürürlüğe girmiştir. Değişen
şartlara ve mevzuata uyum sağlamak amacıyla Politikada güncellemeler
yapılabilecektir.
Kişisel
verilerin işlenmesi ve korunması konusunda yürürlükte bulunan yasal mevzuat
öncelikli olarak uygulanır. Yürürlükteki yasal mevzuat ve Politika
arasında herhangi bir uyumsuzluk bulunması durumunda ise Şirketimiz
yürürlükteki yasal mevzuatın uygulanacağını kabul etmektedir.
2.
İKİNCİ BÖLÜM: KİŞİSEL
VERİLERİN İŞLENMESİ VE KORUNMASI
2.1.
KİŞİSEL VERİLERİN İŞLENMESİNE
İLİŞKİN İLKELER
Anayasamızın 20/III maddesinde kişisel verilerin ancak kanunda
öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği belirtilerek
kişisel verilerin korunması güvence altına alınmıştır. Kişisel veri sahiplerine
tanınan bu hak doğrultusunda ve KVKK madde 4 uyarınca, Şirketimizce mevcut ya
da edinilen kişisel veriler hukuka ve dürüstlük kurallarına uygun, doğru ve
gerektiğinde güncel olacak şekilde, belirli, açık ve meşru amaçlar için
işlenmekte, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak
kullanılmakta ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli
olan ve işbu Politikada belirlenen süre kadar muhafaza edilmektedir.
İlgili kişiler, kişisel veri işleme süreçlerine ilişkin olarak,
Şirketimiz tarafından KVKK’nın 10. maddesine uygun olarak aydınlatılmaktadır. Şirketimiz,
kişisel verilerin işlenmesi ve aktarılması konusunda KVKK’da öngörülen ve Kurul
tarafından ortaya konulan düzenlemeleri takip etmekte, bu düzenlemelere uygun
davranmakta ve gerekli teknik ve idari tedbirleri almaktadır.
2.2.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel
verilerin işlenmesinde genel kural, kişisel verinin ancak ilgili kişinin açık
rızası ile işlenmesidir. KVKK madde 5’te belirtilen ve aşağıda sayılan hallerde
ise ilgili kişinin açık rızası olmaksızın kişisel verinin işlenmesi mümkündür:
·
Kanunlarda
açıkça öngörülmesi
·
Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu olması
·
Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
·
Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
·
İlgili
kişinin kendisi tarafından alenileştirilmiş olması
·
Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
·
İlgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması hali
2.3.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI ve KORUNMASI
İşbu Özel
Nitelikli Kişisel Verilerin Korunması Politikası’nın amacı, Kişisel Verileri
Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel
Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
kararından doğan hukuki yükümlülüklerin yerine getirilmesi ile özel nitelikli
kişisel verilerin işlenmesinde alınan teknik ve idari tedbirlerin ortaya
konulmasıdır.
2.3.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
Şirket,
özel nitelikli kişisel verilerin işlenmesinde Kanun’a ve diğer mevzuat
hükümlerine riayet eder. Bu doğrultuda özel nitelikli kişisel veriler aşağıdaki
ilkelere uygun olarak işlenir:
a.
Hukuka
ve dürüstlük kurallarına uygun olma
b.
Doğru
ve gerektiğinde güncel olma
c.
İşlendikleri
amaçla bağlantılı, sınırlı ve ölçülü olma
d.
Belirli,
açık ve meşru amaçlar için işlenme
e.
Mevzuatta
öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Sağlık ve
cinsel hayat dışındaki özel nitelikli kişisel veriler, Şirket tarafından veri
sahibinin açık rızasının alındığı durumlarda ya da kanunlarda öngörülen
hallerde işlenmektedir.
Sağlık ve
cinsel hayata ilişkin veriler ise veri sahibinin açık rızasının alındığı
durumlarda ya da kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, koruyucu hekimlik, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla işlenmektedir.
Sağlık
verilerinin işlenmesinde 20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de
yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi Ve
Mahremiyetinin Sağlanması Hakkında Yönetmelik hükümlerine de riayet
edilmektedir.
2.3.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN
TEKNİK VE İDARİ TEDBİRLER
Şirket,
özel nitelikli kişisel verilerin Kanun’a ve ilgili mevzuata uygun olarak
işlenmesi ile özel nitelikli kişisel verilerin güvenliğinin sağlanması için her
türlü tedbiri almaktadır. Bu kapsamda alınan tedbirler aşağıda sıralanmıştır:
İDARİ TEDBİRLER
§ Şirket, özel nitelikli
kişisel verilerin işlenme süreçlerinde yer alan çalışanlara yönelik özel
nitelikli kişisel verilerin korunması ve işlenmesi konusunda düzenli eğitimler
vermektedir.
§ Şirket, çalışanları ile
veri güvenliğinin sağlanması için gizlilik sözleşmeleri akdetmektedir.
§ Verilere erişim
yetkisine sahip kullanıcılar, yetki kapsamları ve süreleri net olarak
tanımlanmakta ve periyodik yetki kontrolleri gerçekleştirilmektedir.
§ Görev değişikliği olan
ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri derhal
kaldırılmaktadır. Şirket, bu kapsamda çalışanlara tahsis etmiş olduğu
envanterleri derhal iade almaktadır.
TEKNİK TEDBİRLER
Elektronik Ortamda
Muhafaza Edilen Ve/Veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından
Alınan Teknik Tedbirler
§ Özel nitelikli kişisel
veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
§ Kriptografik anahtarlar
güvenli ve farklı ortamlarda tutulmaktadır.
§ Özel nitelikli kişisel
veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak
loglanmaktadır.
§ Özel nitelikli kişisel
verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip
edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve
test sonuçları kayıt altına alınmaktadır.
§ Özel nitelikli kişisel
verilerin erişildiği yazılımlara ait kullanıcı yetkilendirmeleri yapılmakta, bu
yazımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test
sonuçları kayıt altına alınmaktadır.
§ Özel nitelikli kişisel
verilere uzaktan erişim sağlanması teknik olarak engellenmiştir.
Fiziksel Ortamda
Muhafaza Edilen Ve/Veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından
Alınan Teknik Tedbirler
§
Özel
nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik
önlemleri alınmaktadır.
§
Bu
ortamların fiziksel güvenliği sağlanmakta ve yetkisiz giriş çıkışlar
engellenmektedir.
2.3.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Şirket,
özel nitelikli kişisel verileri Kanun’un 8. ve 9. KVK maddelerinde yer alan
veri işleme şartları çerçevesinde aktarmaktadır. Veri güvenliğini sağlama
amacıyla Şirket tarafından veri aktarımında aşağıdaki kurallar uygulanmakta ve
bu kapsamda periyodik denetimler gerçekleştirilmektedir.
§
E-posta Yoluyla Aktarım
Özel
nitelikli kişisel verilerin e-posta yoluyla aktarıldığı hallerde şifreli olarak
kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı
kullanılarak aktarım yapılmaktadır.
§ Taşınabilir Bellek, CD, DVD Gibi Ortamlar Yoluyla Aktarım
Özel
nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla
aktarıldığı hallerde kriptografik yöntemlerle şifrelenme işlemi yapılmakta ve
kriptografık anahtar farklı bir ortamda tutulmaktadır.
§ Farklı Fiziksel Ortamlardaki Sunucular Arasında Aktarım
Farklı
fiziksel ortamlardaki sunucular arasında özel nitelikli kişisel veri
aktarımında, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri
aktarımı gerçekleştirilmektedir.
§ Kâğıt Ortamı Yoluyla Aktarım
Özel
nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın
çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere
karşı gerekli önlemlerin alınmakta ve evrak "gizlilik dereceli belgeler”
formatında gönderilmektedir.
2.3.4 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Özel nitelikli
kişisel veriler, Şirket tarafından Kanun ile diğer mevzuata ve Kurul tarafından
yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca
Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki hallerde
saklanmaktadır:
a.
Veri
sahibinin açık rızasının elde edilmiş olması
b.
Sağlık
ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının
kanunlarda öngörülmüş olması
c.
Sağlık
ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla saklanması
Şirket
tarafından Kanun ile diğer mevzuata uygun olarak saklanan özel nitelikli
kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri
sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
a.
Özel
nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına
dayandığı hallerde açık rızanın geri alınmış olması
b.
Özel
nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya
da diğer herhangi bir yolla ortadan kalkmış olması
c.
Özel
nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat
hükümlerinin değişmesi ya da yürürlükten kalkması
d.
Kanun’un
6. KVK maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
e.
Veri
sahibinin Şirket’e usulüne uygun olarak ilettiği özel nitelikli kişisel
verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve
olumlu sonuçlandırılması
f.
Şirket’in,
veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile
kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya
Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette
bulunulması ve bu talebin Kurul tarafından uygun bulunması.
Özel
nitelikli kişisel verilerin saklanmasına ve imhasına ilişkin diğer hususlar
Şirket Kişisel Veri Saklama ve İmha Politikasında düzenlenmiştir.
2.4.
KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Kişisel veriler,
aşağıda yazılı amaçlar ile Şirketimizce işlenmektedir:
|
İnsan
Kaynakları Operasyon ve Süreçlerinin Yerine Getirilmesi |
İş Başvuru ve İşe Alım Sürecinin
Yürütülmesi Çalışan Adaylarının Değerlendirilmesi Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin
Yürütülmesi Staj Alımı ve Staj Sürecinin Yönetimi Çalışanlar İçin İş Akdi ve Mevzuattan
Kaynaklı Yükümlülüklerin Yerine Getirilmesi Çalışanlar İçin Yan Haklar ve
Menfaatleri Süreçlerinin Yürütülmesi Ücret Politikasının Belirlenmesi Eğitim Faaliyetlerinin Yürütülmesi Performans Değerlendirme Süreçlerinin
Yürütülmesi Görevlendirme Süreçlerinin Yürütülmesi Teşviklerden Faydalanma Talep ve/veya Şikayetlerin Takibi Motivasyon Faaliyetleri |
|
Tedarik Zinciri Operasyon ve
Süreçlerinin Yerine Getirilmesi |
Mal ve Hizmet Satın Alma Lojistik Faaliyetlerinin Planlanması Taşeron Yönetimi ve Kontrolü Mal ve Hizmet Satın Alma
Sözleşmelerinin Yürütülmesi |
|
Satış ve Müşteri İlişkileri Yönetimi |
Müşteri İlişkileri Yönetimi Mal ve Hizmet Satış Süreçlerinin
Yönetimi Mal ve Hizmet Satış Sonrası Hizmet
Süreçlerinin Yönetimi Müşteri Memnuniyeti Süreçlerinin
Planlanması Talep ve/veya Şikayetlerin Takibi Müşteri Sözleşmeleri Süreçlerinin
Yürütülmesi |
|
İletişim Faaliyetlerinin Yerine
Getirilmesi |
İletişim Faaliyetlerinin Yürütülmesi Acil Durum Yönetim Süreçlerinin Yerine
Getirilmesi Şirket İçi İletişim ve İşbirliğinin
Sağlanması Etkinlik ve Organizasyon Yönetimi |
|
Şirket Tesis ve Bilgi Güvenliğinin
Temini |
Fiziksel Mekân Güvenliğinin Sağlanması Bilgi Güvenliği Süreçlerinin Sağlanması Veri Sorumlusu Operasyonlarının
Güvenliğinin Temini Erişim Yetkilerinin Düzenlenmesi Şirkete Taşınır Mal ve Kaynakların
Takip ve Güvenliği Ziyaretçi Kayıtlarının Takibi |
|
Mevzuata
Uyum ve Yükümlülüklerin Yerine Getirilmesi & Denetim Faaliyetlerinin
İcrası |
İş
Sağlığı ve Güvenliği Gereklerinin Yerine Getirilmesi Hukuk
İşlerinin Takibi Şirket
Yönetimi ve Temsili Süreçlerinin Yürütülmesi, Genel Kurul Ve Yönetim Kurulu
Kararlarının Alınması Faaliyetlerin
Mevzuata Uygun Yürütülmesi İç
Denetim Faaliyetleri Risk
Yönetimi Faaliyetleri Şirket
Tarafından Yapılan Üretim ve Sunulan Hizmetin Gerekli Kalite Standartlarını
Sağladığına İlişkin Gereken Denetim Faaliyetlerinin Sağlanması Şirketin
Üretim ve/veya Operasyonel Risk Süreçlerinin Planlanması Ve/Veya İcrası Yetkili
Kurum ve Kuruluşlara Bilgi Verilmesi Acil
Durum Yönetimi Süreçlerinin Yürütülmesi |
|
Şirket Faaliyet ve Politikalarının
İcrası |
Üretim, Satış, Arge ve Pazarlama
Faaliyetleri Finans ve/veya Muhasebe İşlerinin
Yürütülmesi İş Faaliyetlerinin Etkinlik/Verimlilik
ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Sözleşme Süreçlerinin Yürütülmesi Şirketin Üretim ve/veya Operasyonel
Risk Süreçlerinin Planlanması ve/veya İcrası Kurumsal Yönetim Faaliyetlerinin
İcrası, Risk Yönetimi, Finansal Raporlama İşlemlerinin İcrası ve Takibi Yatırım Süreçlerinin Yürütülmesi Yönetim Faaliyetlerinin Yürütülmesi |
3.
ÜÇÜNCÜ BÖLÜM: KİŞİSEL
VERİLER VE VERİ KAYIT ORTAMLARI
3.1.
VERİ KAYIT ORTAMLARI
İşbu
Politika uyarınca işlenen kişisel veriler hukuka uygun olarak güvenli bir
şekilde elektronik ortam olarak; sunucularda (etki alanı, yedekleme, e-posta,
veri tabanı, web, dosya paylaşımı gibi), Şirketimizin operasyonlarını
gerçekleştirmek üzere kullandığı yazılımlarda, bilgi güvenliği cihazlarında,
bilgisayarlarda, mobil cihazlarda, optik disklerde, çıkartılabilir belleklerde,
yazıcıda, tarayıcıda; elektronik olmayan ortam olarak; kağıtta, manuel veri
kayıt sistemlerinde (ziyaretçi defteri gibi), yazılı, görsel ve basılı
ortamlarda saklanmaktadır.
3.2.
KİŞİSEL VERİLER VE VERİ SAHİBİ KATEGORİZASYONU
Kişisel veriler,
aşağıda tanımlı kategoriler altında Şirketimizce işlenmektedir.
|
KİŞİSEL VERİ KATEGORİSİ |
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMASI |
VERİ SAHİBİ (İLGİLİ KİŞİ) |
|
KİMLİK |
Ad Soyad, T.C. Kimlik Numarası, Doğum Tarihi, Doğum
Yeri, Nüfus Cüzdanı Seri ve Sıra Numaraları, Anne ve Baba Adı, Medeni Hali,
Uyruğu, Yabancı Kimlik Numarası, Pasaport Numarası, Pasaport Fotokopisi,
Çalışma İzin Belgesi Fotokopisi, Kimlik Fotokopisi, Nüfus Cüzdanının Kayıtlı
Olduğu İl İlçe Mahalle Köy Bilgileri, SGK Numarası, Fotoğraf, Eş ve
Çocukların Kimlik Bilgileri, Aile Durumu Bildirimi, Sürücü Belgesi
Fotokopisi, İmza Sirküleri Fotokopisi, İmza Beyannamesi Fotokopisi, Vukuatlı
Nüfus Kayıt Örneği |
Çalışan, Çalışan Adayı, Stajyer,
Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Temsilci
ve Çalışanı, Hissedar/Ortak, Ziyaretçi |
|
İLETİŞİM |
İkamet Bilgisi ve Belgesi, Ev ve Cep Telefonu
Numarası, Elektronik Posta, Kayıtlı Elektronik Posta Adresi, Tebligat Adresi |
Çalışan, Çalışan Adayı, Stajyer,
Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Temsilci
ve Çalışanı, Hissedar/Ortak |
|
ÖZLÜK |
Özlük dosyasında yer alan bilgiler: Diploma
Bilgileri, Diploma Fotokopisi, Özgeçmiş Bilgisi (CV), Erkek Çalışanlar İçin
Askerlik Belgesi, İş Sözleşmesi, SGK İşe Giriş Bildirgesi, Ücret Bordroları,
Performans Formları, İzin Formları, Onay Formları, Kişisel Yetenek Testleri,
İş Sağlığı Güvenliği Eğitim Belgeleri, Mesleki Eğitim Belgeleri, Özel Sağlık
Sigortası Poliçe Bilgileri ve Belgeleri, SGK İşten Ayrılış Bildirgesi, Kıdem
ve İhbar Tazminatı Formları, Fesih Bildirimi, İstifa Mektubu, İhtarname,
Tutanaklar, Savunma Talepleri, Bireysel Emeklilik Sistemi İçin Gerekli
Bilgiler, Gizlilik Sözleşmesi, Gizlilik Taahhütnamesi, Disiplin Yönetmeliği
Belgeleri, İş Kazası Raporları, İş Başvuru Formu |
Çalışan, Çalışan Adayı, Stajyer,
Tedarikçi Çalışanı |
|
HUKUKİ İŞLEM |
Maaş Haciz Bildirimleri, Haciz İhbarnameleri, Dava
Dosyası Bilgileri |
Çalışan, Stajyer, Tedarikçi Çalışanı,
Tedarikçi Yetkilisi, Hissedar/Ortak |
|
ÖZEL NİTELİKTEKİ KİŞİSEL VERİLER |
Kişilerin uyruğu, dini, sendika üyeliği, sağlığı,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik
veriler |
Çalışan, Çalışan Adayı, Stajyer,
Tedarikçi Çalışanı |
|
MESLEKİ DENEYİM BİLGİLERİ |
Diploma Bilgileri, Diploma Fotokopisi, Eğitim Sertifika
Bilgileri, Belgeleri, Özgeçmiş Bilgisi (CV), Mesleki Eğitim Bilgileri,
Yabancı Dil Bilgisi |
Çalışan, Çalışan Adayı, Stajyer, Tedarikçi Çalışanı |
|
LOKASYON |
Bulunduğu yerin konum bilgileri |
Çalışan |
|
FİZİKSEL MEKAN GÜVENLİĞİ |
Kamera Kayıtları; Şifreli ve Kartlı Geçiş Bilgileri |
Çalışan, Çalışan Adayı, Stajyer,
Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Temsilci
ve Çalışanı, Hissedar/Ortak, Ziyaretçi |
|
GÖRSEL VE İŞİTSEL KAYITLAR |
Fotoğraf, Kamera, Ses Kayıtları |
Çalışan, Çalışan Adayı, Stajyer,
Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Temsilci
ve Çalışanı, Hissedar/Ortak, Ziyaretçi |
|
İŞLEM GÜVENLİĞİ |
IP adres bilgileri, İnternet sitesi giriş ve çıkış
bilgileri, Bilgisayar, Mail kullanıcı adı ve şifre bilgileri |
Çalışan, Stajyer, Tedarikçi Çalışanı, Ürün
veya Hizmet Alan Kişi, Temsilci ve Çalışanı,
Hissedar/Ortak |
|
MÜŞTERİ İŞLEM |
Ürün Sipariş Bilgileri, Onayları, Sözleşme
Bilgileri, Ürün Teslimat Bilgileri, Fatura Bilgileri, Çek ve Senet Bilgileri,
Proje Bilgileri |
Tedarikçi Yetkilisi, Ürün veya Hizmet
Alan Kişi, Temsilci ve Çalışanı |
|
RİSK YÖNETİMİ |
Ticari, Teknik, İdari Risklerin Yönetilmesi İçin
İşlenen Bilgiler, Risk Analizi, Şirketimiz Tarafından Yapılan Operasyonel ve
Uyum Denetimleri Sırasında İşlenen Bilgiler |
Çalışan, Tedarikçi Yetkilisi, Tedarikçi
Yetkilisi ve Çalışanı, Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı,
Hissedar/Ortak |
|
FİNANS |
Ücret Bilgisi, Banka Hesap Bilgileri, Bilanço
Bilgileri, Finansal Performans Bilgileri, Kredi Ve Risk Bilgileri, Malvarlığı
Bilgileri, Kâr Payı |
Çalışan, Stajyer, Tedarikçi Çalışanı,
Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı,
Hissedar/Ortak |
|
PAZARLAMA |
Çerez Kayıtları |
Ziyaretçi |
|
AİLE VE YAKIN BİLGİSİ |
Şirketimiz operasyonlarının yerine getirilmesi
kapsamında Şirketin meşru menfaatlerinin ya da ilgili kişi menfaatlerinin
yerine getirilmesi amacıyla kişisel veri sahibinin aile bireyleri ve
yakınları hakkındaki edindiğimiz bilgiler |
Çalışan, Çalışan Adayı, Stajyer |
|
ÇALIŞAN ADAYI BİLGİSİ |
Şirketimize iş başvurusu yapmış çalışan adayı
özgeçmiş bilgileri |
Çalışan Adayı, Stajyer |
|
REFERANS BİLGİSİ |
Çalışan adayları tarafından iş başvurusu sırasında
referans olarak bildirilen kişi ad soyad, unvan, telefon ve eposta bilgisi |
Çalışan Adayı |
|
AYAKKABI VE BEDEN BİLGİSİ |
İş
kıyafeti, iş güvenliği ekipmanı sağlanması için edinilen beden ve ayakkabı
bilgileri |
Çalışan,
Tedarikçi Çalışanı |
|
TALEP VE ŞİKAYET BİLGİSİ |
Şirketimize
çeşitli kanallardan iletilen talep ve şikayet bilgileri ile ileti içerikleri |
Çalışan,
Ziyaretçi |
4.
DÖRDÜNCÜ BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI
4.1. KİŞİSEL VERİLERİN
AKTARILMASINA İLİŞKİN GENEL İLKELER
Şirketimiz
tarafından, hukuka uygun olarak elde edilen kişisel veriler, veri işleme
amaçları doğrultusunda ve gerekli güvenlik önlemleri alınarak “Kişisel
Verilerin Aktarılabileceği Üçüncü Kişiler” başlıklı maddede belirtilen üçüncü
kişilere aktarılabilir. Kişisel verilerin aktarılmasında ilgili kişinin açık
rızasının alınması esastır. Aşağıda sayılan hallerde ilgili kişinin açık rızası
olmaksızın kişisel verinin aktarılması mümkündür:
·
Kanunlarda
açıkça öngörülmesi,
·
Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu olması,
·
Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
·
Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
·
İlgili
kişinin kendisi tarafından alenileştirilmiş olması,
·
Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
·
İlgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması hali.
4.2. KİŞİSEL VERİLERİN
AKTARILABİLECEĞİ ÜÇÜNCÜ KİŞİLER
Kişisel
veriler, yukarıda yazılı ilkeler ve KVKK madde 8 uyarınca aşağıdaki alıcı
gruplarına aktarılabilir:
·
Grup
şirketlerimiz
·
Yetkili
Kurum ve Kuruluşlar
·
İş
Ortaklarımız (Tedarikçiler)
·
Ürün
ve Hizmet Alan Kişiler
·
Hissedar/Ortak
|
Pay Sahiplerimiz
& Grup Şirketlerimiz |
Hamat Group |
|
Yetkili Kurum ve
Kuruluşlar |
Mevzuat gereği
şirketimizden bilgi ve belge talep etmeye yetkili özel ve kamu kurum ve
kuruluşları. Gümrük Müdürlüğü, Serbest Bölge Müdürlüğü, Mahkemeler, Bağımsız
Denetçiler gibi. |
|
İş Ortaklarımız (Tedarikçiler) |
Şirket faaliyet, operasyonlarımızın
gerçekleştirilmesi ve yükümlülüklerimizin yerine getirilmesi kapsamında mal,
hizmet ya da danışmanlık satın aldığımız, işbirliği yaptığımız kişi ve
kuruluşlar. |
|
Ürün ve Hizmet
Alan Kişi, Temsilcisi veya Çalışanı |
Mal ve hizmet
satın alan gerçek kişiler veya tüzel kişilerin gerçek kişi temsilci ve çalışanları |
|
Hissedar/Ortak |
Türk Ticaret Kanunu uyarınca şirketlerimizde pay
sahibi olan gerçek kişiler |
4.3. KİŞİSEL VERİLERİN
YURT DIŞINA AKTARILMASI
Kişisel
verilerin yurt dışına aktarılması halinde ilgili kişinin açık rızasının
alınması esastır. Kişisel veri sahibinin açık rızasının bulunmadığı ancak KVKK
madde 5’te ve yukarıda belirtilen şartlardan bir veya birkaçının bulunduğu
hallerde, kişisel verilerin aktarılacağı ülkede yeterli koruma bulunması veya
Şirketimizin ilgili ülkedeki veri sorumlusu ile birlikte yeterli korumayı
yazılı olarak taahhüt etmesi (ya da Bağlayıcı Şirket Kurallarının
oluşturularak) Kurul izninin bulunması halinde kişisel verilerin aktarımı
mümkündür.
4.4.
KİŞİSEL VERİLERİN AKTARIM AMAÇLARI
Toplanan
kişisel veriler, KVKK’da öngörülen temel ilkelere uygun olarak ve Kanun’un 8.
ve 9. maddelerinde belirtilen kişisel veri işleme şartları dahilinde,
Şirketimiz tarafından aşağıda yer alan amaçlarla sınırlı olarak 4.2’de sayılan
kişilere aktarılabilecektir:
•
Şirket
operasyon ve faaliyetlerinin yerine getirilmesi kapsamında mal ve hizmet
sunulması veya mal ve hizmet temini,
•
Şirketin
mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi,
•
Yetkili
kurum ve kuruluşlarının taleplerinin karşılanması,
•
Hukuki
süreçlerin planlanması, savunma hakkının kullanılması
•
Kurumsal
iletişim, yönetim, denetim ve planlama faaliyetlerinin icra edilmesi
Şirket, veri paylaşım
faaliyetlerinde hukuka uygun davranmayı ilke edinir. Kişisel verilerin
aktarıldığı üçüncü kişiler ile ancak hizmetin gerektirdiği ölçüde veri
paylaşılmaktadır. Bu taraflar mutlaka veri güvenliğine ilişkin tedbirleri
almaya zorlanmaktadır.
Yukarıda belirtilen
yurt içi ve yurt dışı aktarıma konu kişisel veriler, veri güvenliğini
sağlayacak teknik tedbirlerin yanı sıra; veri aktarım sözleşmelerde yer verilen
hükümler sayesinde hukuki açıdan da korunmaktadır.
Şirket, işlediği
kişisel verileri; yasalar karşısındaki yükümlülüğünü ifa etmek amacıyla (suçla
mücadele, devlet ve kamu güvenliğinin tehdidi ve benzeri ancak bununla sınırlı
olmamak üzere Şirket’in yasal veya idari olarak bildirim veya bilgi verme
yükümlülüğünün mevcut olduğu durumlarda) yasal olarak bu bilgileri talep etmeye
yetkili olan kamu kurum ve kuruluşları ile paylaşabilecektir.
5.
BEŞİNCİ BÖLÜM: KİŞİSEL
VERİLERİN SAKLANMASI VE İMHASI
5.1.
KİŞİSEL VERİLERİN
SAKLANMASI
Kişisel
verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan
süre kadar saklanması esastır. Bu doğrultuda Şirketimiz, asgari olarak yasal
yükümlülüklerinin ve ticari teamüllerin gerektirdiği süre ile ve her durumda
ilgili zamanaşımı süreleri dolana kadar kişisel verileri saklamaktadır. Şirketimizce
işlenmekte olan kişisel verilerin saklama ve imha süreleri aşağıdaki tabloda
belirtilmiştir:
|
KİŞİSEL VERİ |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
|
KİMLİK |
Hukuki İlişki + 10
Yıl |
Saklama
Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
|
İLETİŞİM |
Hukuki İlişki + 10 Yıl |
Saklama Süresinin Sona Ermesini Takip Eden İlk
Periyodik İmha Süresinde |
|
ÖZLÜK |
Hukuki İlişki + 10
Yıl |
Saklama
Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
|
HUKUKİ İŞLEM |
Hukuki İlişki + 10 Yıl |
Saklama Süresinin Sona Ermesini Takip
Eden İlk Periyodik İmha Süresinde |
|
CEZA
MAHKUMİYETİ VE GÜVENLİK TEDBİRLERİ |
Hukuki İlişki + 10
Yıl |
Saklama
Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
|
SAĞLIK BİLGİLERİ |
Hukuki İlişki veya İş Sözleşmesinin Sona Ermesi + 15 Yıl |
Saklama Süresinin Sona Ermesini Takip Eden İlk
Periyodik İmha Süresinde |
|
DİĞER ÖZEL NİTELİKTEKİ KİŞİSEL VERİLER (Sendika, Uyruk, Din Bilgisi) |
Hukuki İlişki veya İş Sözleşmesinin Sona Ermesi + 15 Yıl |
Saklama Süresinin Sona Ermesini Takip Eden İlk
Periyodik İmha Süresinde |
|
MESLEKİ DENEYİM BİLGİLERİ |
Hukuki İlişki veya İş Sözleşmesinin Sona Ermesi + 10 Yıl |
Saklama Süresinin Sona Ermesini Takip Eden İlk
Periyodik İmha Süresinde |
|
LOKASYON |
Aracın Teslimi + 360 Gün |
Saklama Süresinin Sona Ermesini Takip
Eden İlk Periyodik İmha Süresinde |
|
FİZİKSEL MEKAN GÜVENLİĞİ |
45 Gün |
Saklama Süresinin Sona Ermesini Takip
Eden İlk Periyodik İmha Süresinde |
|
GÖRSEL VE İŞİTSEL KAYITLAR |
45 Gün |
Saklama Süresinin Sona Ermesini Takip
Eden İlk Periyodik İmha Süresinde |
|
İŞLEM GÜVENLİĞİ |
2 Yıl |
Saklama Süresinin Sona Ermesini Takip
Eden İlk Periyodik İmha Süresinde |
|
MÜŞTERİ İŞLEM |
Hukuki İlişki + 10 Yıl |
Saklama Süresinin Sona Ermesini Takip
Eden İlk Periyodik İmha Süresinde |
|
RİSK YÖNETİMİ |
Hukuki İlişki + 10 Yıl |
Saklama Süresinin Sona Ermesini Takip
Eden İlk Periyodik İmha Süresinde |
|
FİNANS |
Hukuki İlişki + 10 Yıl |
Saklama Süresinin Sona Ermesini Takip
Eden İlk Periyodik İmha Süresinde |
|
PAZARLAMA |
2 Yıl |
Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik
İmha Süresinde |
|
AİLE VE YAKIN BİLGİSİ |
Hukuki İlişki + 10 Yıl |
Saklama Süresinin Sona Ermesini Takip Eden İlk
Periyodik İmha Süresinde |
|
ÇALIŞAN ADAYI BİLGİSİ |
2 Yıl |
Saklama Süresinin Sona Ermesini Takip Eden İlk
Periyodik İmha Süresinde |
|
REFERANS BİLGİSİ |
Hukuki İlişki + 10 Yıl |
Saklama Süresinin Sona Ermesini Takip Eden İlk
Periyodik İmha Süresinde |
|
AYAKKABI VE BEDEN BİLGİSİ |
İş Sözleşmesinin Ermesi + 6 Ay |
Saklama Süresinin Sona Ermesini Takip Eden İlk
Periyodik İmha Süresinde |
|
TALEP VE ŞİKAYET BİLGİSİ |
2 Yıl |
Saklama
Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
5.2.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Şirketimiz,
yukarıda açıklanan sürelerin sona ermesi durumu da dahil olmak üzere herhangi
bir süreç kapsamında kişisel verilerin işlenme amacının ortadan kalkması
halinde resen veya ilgili kişinin talebi üzerine kişisel verileri Kanun’a uygun
bir şekilde anonim hale getirmekte, silmekte veya yok etmektedir.
Kişisel
verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Buna göre kişisel
veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan
geri dönüştürülemeyecek şekilde silinir. Kişisel verilerin yok edilmesi,
kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemeyecek, geri
getirilemeyecek ve tekrar kullanılamayacak şekilde verilerin kaydedildiği
evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli
materyallerin yok edilmesini ifade eder. Kişisel verilerin anonim hale
getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hale getirilmesidir.
Kişisel
verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı
tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok
edilir veya anonim hale getirilir. Periyodik imha yılda iki kez, 6 ayda bir
yapılır.
5.3.
SAKLAMA VE İMHA SÜREÇLERİNDE GÖREVLİ KİŞİLER
Şirketimiz,
işbu Politika kapsamında kişisel verilerin işlenmesi, saklanması, imhası ve
kişisel verilerin korunması mevzuatına uyum süreçlerini yönetmek üzere “Kişisel
Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler
atamıştır. Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler
aşağıdaki şekildedir:
·
Kişisel
verilerin korunması ve işlenmesine ilişkin gerekli dokümantasyonun hazırlanması,
takibi ve bunların ilgili kişilerin onayına sunulması
·
Mevzuatın
takibi ile gerekli güncelleme ve değişikliklerin yapılması
·
VERBİS
kaydı ile gerekli güncelleme ve değişikliklerin yapılması
·
KVK
Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi.
6.
ALTINCI BÖLÜM: KİŞİSEL VERİLERİN KORUNMASI, TEKNİK VE İDARİ
TEDBİRLER
Şirketimiz, veri sorumlusu olarak işlediği
kişisel verilerin güvenliğini sağlamak için ilgili mevzuat uyarınca öngörülen
ve KVK Kurulu tarafından bildirilecek olan diğer idari ve teknik önlemleri
alarak kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını temin
etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin hukuka uygun olarak
işlenmesi, güvenli ortamlarda saklanması, yetkisiz erişim riskleri ile diğer
her türlü hukuka aykırı erişimlerin önlenmesi, arızi olarak gerçekleşen veri
kayıplarının önlenmesi, verilere kasıtlı olarak zarar verilmesi ile
silinmesinin önlenmesi için gerekli ve makul teknik ve idari tedbirleri
almakta, buna ilişkin gereken denetimleri yapmakta veya yaptırmaktadır.
6.1.
TEKNİK TEDBİRLER
·
Bilişim sistemleri teçhizatı, yazılım ve
verilerin fiziksel güvenliği için gerekli önlemler alınmakta, hukuka aykırı
işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik
tedbirler alınmakta, erişim yetki ve rol dağılımları için prosedürler
oluşturulmakta ve uygulanmakta, yetki matrisi uygulanmakta, erişimler kayıt
altına alınarak uygunsuz erişimler kontrol altında tutulmakta, saklama ve imha
politikasına uygun imha süreçleri tanımlanmakta ve uygulanmakta, hukuka aykırı
işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve
altyapı oluşturulmakta, güvenlik açıkları takip edilerek uygun güvenlik
yamaları yüklenmekte, bilgi sistemleri güncel halde tutulmakta, kişisel
verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta ve
güvenli kayıt tutma (loglama) sistemleri kullanılmakta, kişisel verilerin
güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.
·
Teknik konularda bilgili personel
istihdam edilmektedir.
·
Teknolojideki gelişmelere uygun teknik
önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve
denetlenmektedir.
·
Virüs koruma sistemleri ve güvenlik
duvarlarını içeren yazılımlar ve donanımlar kurulmakta, düzenli olarak güvenlik
taramaları yapılmaktadır.
·
Saldırı tespit ve önleme sistemleri
kullanılmaktadır.
·
Sızma testi uygulanmaktadır.
·
Veri kaybı önleme yazılımları
kullanılmaktadır.
·
Siber güvenlik önlemleri alınmış olup
uygulanması sürekli takip edilmektedir.
·
Departman
bazlı olarak belirlenen kişisel verilerin korunmasına ilişkin hukuksal uyum
gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye
alınmaktadır. Kişisel veri içeren sistemlere sınırlı erişimler tanımlanarak, bu
sistemlere kullanıcı adı ve şifre ile giriş sağlanmaktadır.
·
Ağ
güvenliği ve uygulama güvenliği sağlanmaktadır.
·
Ağ
yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
·
Bilgi
teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik
önlemleri alınmaktadır.
·
Bulutta
depolanan kişisel verilerin güvenliği sağlanmaktadır.
·
Güvenlik
duvarları kullanılmaktadır.
·
Log
kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
·
Kişisel
veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
·
Kullanıcı
hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de
yapılmaktadır.
·
Kağıt
ortamında tutulan evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi
cihazların muhafaza ve koruması için ek güvenlik önlemleri alınmakta, ayrı bir
yerde muhafaza sağlanmakta, bu alanların fiziksel güvenliği için gerekli
önlemler alınmaktadır.
·
Kişisel
veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği
sağlanmaktadır.
·
Alınan
ve alınması gereken teknik önlemler periyodik olarak Şirketimizce belirlenen
denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden
değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
6.2.
İDARİ TEDBİRLER
·
Çalışanların
niteliği ve teknik bilgi/becerisinin geliştirilmesi, kişisel verilerin hukuka
aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin
önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve
ilgili mevzuatlar hakkında eğitimler verilmekte; çalışanlara gizlilik
sözleşmeleri imzalatılmakta; güvenlik politika ve prosedürlerine uymayan
çalışanlara yönelik disiplin prosedürü uygulanmakta, ilgili kişileri aydınlatma
yükümlülüğü yerine getirilmekte, şirket içi periyodik ve rastgele denetimler
yapılmakta ve çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
·
Görev
değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri
kaldırılmaktadır.
·
Şirket ve şirkete ait tesis güvenliğinin
sağlanması amaçlarıyla ve “kamera ile izlenmektedir” açıklama ya da işaretinin
yer aldığı alanlarla sınırlı olmak üzere kamera kaydı, Şirkete giriş çıkışların
kayıtları ile internet sitesi ziyaretlerinde site içi hareketlerin kayıtları
KVKK 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında
işlenmektedir.
·
Kişisel
verilerin işlenme süreçlerine ilişkin olarak, mevcut durum tespiti ve risk
analizi yapılması amacıyla kişisel veri işleme envanteri oluşturulmuş;
Şirketimiz tarafından işlenen kişisel veriler, ilgili kişi ve veri
kategorileri, veri işleme amaçları, hukuki sebebi, saklama süresi, veri aktarımı
ve alınan tedbirler tespit edilmiştir.
·
Kişisel
veri işleme ve imha süreçlerine ilişkin usul ve esasların belirlendiği işbu
Politika hazırlanmış, ilgili kişilere, çalışanlarımıza, işbirlikçilerimize ve tüm
ilgililere duyurulmuştur.
·
Şirket
faaliyetleri detaylı olarak tek tek departmanlar özelinde incelenerek,
departmanların görev ve gerçekleştirdiği ticari faaliyetler çerçevesinde
kişisel veri işleme faaliyetleri belirlenmiştir. Ayrıca, KVKK mevzuatı
kapsamında Şirket içinde ilgili departman bazında kişisel verilere erişim ve
yetkilendirme süreci tanımlanmıştır.
·
Şirket
departmanlarının yürütmüş olduğu kişisel veri işleme faaliyetleri, bu
faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğun
sağlanması için yerine getirilecek olan gereklilikler her bir departman ve
yürütmüş olduğu faaliyet özelinde belirlenmektedir.
·
Şirket
genelinde uyumun sağlanması için her departmanda farkındalık yaratılmakta ve
uygulama kuralları belirlenmekte, bu hususların denetimini ve uygulamanın
sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve
bilgilendirmeler yoluyla duyurulmakta ve uygulanmaktadır.
·
Şirket
faaliyetleri kapsamında ve KVVK’ya uygun şekilde kişisel verilen aktarıldığı iş
ortaklarımızla mevcut sözleşmelere, aktarılan kişisel verilerin korunması
amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu
tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte ya da bu
kapsamda ayrı sözleşmeler yapılmakta, iş ortakları bakımından getirilen
istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama
yükümlülüğü getiren kayıtlar konulmakta ve bu konuda bilgilendirilmektedir.
·
Kişisel
verilen saklanmasına ilişkin olarak teknik gereklilikler sebebi ile şirket
dışından hizmet alınması halinde kişisel verilerin bu firmalara yine KVKK’ya
uygun şekilde aktarılması kaydıyla bu firmanın ve firma personelinin kişisel
verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin mevcut
sözleşmelere hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler
yapılmaktadır.
7.
YEDİNCİ BÖLÜM: KİŞİSEL VERİ SAHİBİNİN HAKLARI, HAKLARIN
KULLANILMASI VE DEĞERLENDİRİLMESİ
7.1.
KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI
KVKK madde 10 uyarınca veri sorumlusu olarak Şirketimiz ilgili
kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin
hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği, hangi kişisel veri sahibi grupları ve hangi kişisel
verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme
amaçlarını ve saklama sürelerini aydınlatma yükümlülüğü kapsamında kişisel veri
sahibine bildirmektedir.
7.2.
KİŞİSEL VERİ SAHİBİNİN HAKLARI
KVKK madde 11. uyarınca kişisel veri sahibi olan “ilgili kişinin”
hakları aşağıda belirtilmiştir:
·
Kişisel
verilerinin işlenip işlenmediğini öğrenme
·
Kişisel
verileri işlenmişse buna ilişkin bilgi talep etme
·
Kişisel
verilerinin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme
·
Yurt
içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
·
Kişisel
verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme
·
Kişisel
verilerin silinmesini veya yok edilmesini isteme
·
Kişisel
verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin
kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
·
İşlenen
verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
·
Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme
7.3.
KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI
Kişisel veri sahipleri işbu Politikanın 7.2. maddesinde sayılı
haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve
aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun
belirlediği diğer yöntemlerle www.mcpceramic.com bağlantısından
ulaşabileceğiniz Başvuru Formu’nu doldurup imzalayarak Şirketimize ücretsiz
olarak iletebileceklerdir.
İşlemin ayrıca bir maliyet gerektirmesi
halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.
·
Başvuru formu doldurulduktan sonra ıslak
imzalı bir nüshası bizzat elden veya noter aracılığıyla “Halil Beyli OSB
Mah.Nif Cad. No:6, 35730 Kemalpaşa / İZMİR” adresine iletilebilir.
·
Başvuru formu doldurulup 5070 Sayılı
Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan
sonra güvenli elektronik imzalı form info@mcpceramic.com adresine elektronik posta ile
gönderilebilir.
7.4.
KİŞİSEL VERİ SAHİBİNİN BAŞVURUSUNUN DEĞERLENDİRİLMESİ
Şirketimiz, kişisel veri sahibinin başvurusunu 30 gün içinde
neticelendirerek talebi kabul eder veya gerekçesini açıklayarak reddeder ve
cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
Kişisel veri sahibi, KVKK madde 14. uyarınca başvurunun
reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap
verilmemesi hâllerinde, Şirketimizin cevabını öğrendiği tarihten itibaren otuz
ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na
şikâyette bulunabilir.
7.5.
POLİTİKANIN YÜRÜRLÜĞÜ
KVK Politikası’nda kısmen ya da tamamen her zaman değişiklik
yapabilir. Bu değişiklikler, değiştirilmiş yeni KVK Politikası’nın yayınlandığı
gün geçerlilik kazanır.
Veri Sorumlusu :
MCP MANİSA SERAMİK ÜRÜNLERİ SANAYİ VE TİCARET A.Ş
Halil Beyli OSB Mahallesi, Nif Cad. No:6 35730 Kemalpaşa /
İZMİR–TURKEY