EleganDecorium
Kişisel Verilerin İşlenmesi ve Korunması Genel Politikası
Müşterilerimizin, çalışanlarımızın ve tedarikçilerimizin kişisel verilerinin gizliliğini ve güvenliğini
korumak için gerekli tüm önlemleri alıyoruz.
Politika'nın Amacı ve Kapsamı
Bu Kişisel Verilerin Korunması Genel Politikasında (“Politika”) EleganDecorium bir veri
sorumlusu olarak, Şirket tarafından işlenen kişisel verilerin, 6698 sayılı Kişisel
Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca işlenmesi ve korunmasına
yönelik genel ilke ve esaslarını arz etmektedir.
Politika ile Şirketimiz tarafından kişisel verilerin toplanması, saklanması ve aktarılması dahil kişisel
veri işleme amaçlarımız ile benimsediğimiz temel ilkeler hakkında, sizleri bilgilendirmeyi amaçladık.
Tanımlar
-
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
-
İlgili Kişi
Kişisel verisi işlenen gerçek kişidir, veri konusu kişidir
İmha
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin kavramsal
olarak
adıdır.
-
Kanun
6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.
-
Kayıt Ortamı
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
-
Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgilerdir (kimlik, iletişim, finans
verileri gibi) - Tüzel kişilere ilişkin bilgiler (örneğin; Şirketin unvanı, ticaret sicili
numarası,
vergi numarası gibi Kanun kapsamında değildir.
Kişisel Verilerin İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası
olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde
edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlemin genel adıdır.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin Silinmesi
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilmesi işlemidir.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar
kullanılamaz hale getirilmesi işlemidir.
Kurul
Kişisel Verileri Koruma Kurulu’dur.
Kurum
Kişisel Verileri Koruma Kurumu’dur.
Özel Nitelikli Kişisel Veri
Kanunun 6. Maddesinin 1. Fıkrasında sayılmış olan ırk, etnik köken, siyasi düşünce, felsefi
inanç,
din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık,
cinsel
hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
verilerdir.
Veri Envanteri
Kişisel verilerin işlendiği faaliyetler, işleme faaliyetlerinin amaçları, veri konusu kişi
grupları,
işlenmekte olan veri türü ve kategorileri, kişisel verilerin saklanma süreleri, kişisel veri
aktarılan alıcı grupları (yurt içi ve yurt dışı olmak üzere) ile kişisel verilerin aktarımı
dahil
işlenmesine ilişkin olarak veri güvenliği için alınan teknik ve idari tedbirlerin belirtildiği,
Yönetmelik’e göre oluşturulmuş, kişisel veri işleme envanteridir.
Veri Sorumlusu
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde
tutulduğu yeri (veri kayıt sistemi) yöneten kişidir (gerçek veya tüzel kişilerdir).
Yönetmelik
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında
Yönetmelik’tir.
Kişisel Verilerin, Kanunun Genel İlkelerine Uygun Olarak İşlenmesi
Şirketimiz, Kişisel Verileri işlerken öncelikle Kanun’un 4. Maddesinde yazılı olan genel ilkelere uygun
hareket eder. Bu doğrultuda, Kişisel Verileri sadece;
- Hukuka ve dürüstlük kuralına uygun olarak,
- Doğru ve gerektiğinde güncelliğini sağlamak için gereken gayret içinde,
- Belirli, açık ve meşru amaçları oldukça ve
- Bu amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlemektedir.
Kişisel Verileri, yukarıdaki temel ilkeler ve aşağıda sayılı olan amaçlara göre tespit ettiğimiz saklama
süreleri boyunca işleriz. Buna göre genellikle ilgili mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza ederiz. Kişisel Verileri saklama sürelerimiz ve imha yöntemlerimiz
Saklama ve İmha Politikamızda düzenlenmiştir.
Kişisel Verilerin, Kanununda Belirlenen Veri İşleme Şartlarına Dayalı Olarak
İşlenmesi
Şirketimiz, kişisel verileri, yukarıda bahsi geçen temel ilkelerle uyumlu şekilde;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık sebebiyle İlgili Kişinin açık rızasının alınamaması,
- Sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması kaydıyla, sözleşmenin taraflarına ait
kişisel verilerin işlenmesinin gerekli olması,
- Veri Sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
- İlgili Kişinin temel hal ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaati
için veri işlemenin zorunlu olması işleme şartlarından bir veya birkaçına dayanarak ve
-
Gereken hallerde İlgili Kişinin Açık Rızasının temin edilmesi suretiyle toplamakta ve işlemektedir.
Bu doğrultuda, Kişisel Veri işleme faaliyetinin dayanağı yukarıda belirtilen şartlardan yalnızca
biri olabildiği gibi bu şartlardan birden fazlası da aynı Kişisel Veri işleme faaliyetinin dayanağı
olabilmektedir.
Şirketimiz, Özel Nitelikli Kişisel Verileri ise ancak Kanun’un 6. maddesinde belirtilen işleme
şartlarından birinin mevcut olması halinde işler. Buna göre;
- İlgili Kişi’nin Açık Rızasının mevcut olması,
-
Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesinin kanunlarda
öngörülmesi,
-
Sağlık ve cinsel hayata ilişkin kişisel veriler için ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya
yetkili kurum ve kuruluşlar tarafından işlenmesi.
Şirketimiz Tarafından Verisi İşlenen Kişi Grupları, Kişisel Verilerin Toplanma
Yöntemleri ve İşlenen Kişisel Veri Kategorileri
Bayiler / Organize Kanal Müşterileri / Bayi ve Organize Kanal Müşterisi Adayları / Bayi ve
Organize Kanal Müşterilerinin Ortak, Yönetici ve İlgili Çalışanları / Satış Noktaları
Genellikle yüz yüze görüşmeler, kartvizitler veya elektronik ortamda e-posta yazışmaları,
çevrimiçi olarak doldurulan formlar, iletişim formları veya sosyal medya kanallarından iletilen
mesajlar, yapılan telefon görüşmeleri ve mobil uygulamalar aracılığıyla toplanmaktadır.
Şahıs firması bayi ve müşterilerimiz ile tüzel kişi bayi ve müşterilerimizin ortak, yönetici
ve ilgili çalışanlarına ait kimlik ve iletişim verisi gibi kişisel verileri, sözleşme içinde
veya eklerinde sunulan belgeler, imza sirküleri, imza beyannamesi, vekâletname gibi belgeler
aracılığıyla da toplanmaktadır.
-
Çalışan / Çalışan Adayları / Alt İşveren Çalışanları / Tedarikçi Çalışanları
Çalışanlarımızın kişisel verileri işe giriş esnasında kendilerinden talep edilen belgeler
vasıtasıyla, henüz Çalışan Adayı iken sunulan özgeçmiş, CV, eğitim ve becerilere ilişkin belge
ve kayıtlar ile yüz yüze veya telefon görüşmeleri yolu ile sorulan sorulara verilen cevaplardan
toplanmaktadır. Bununla birlikte, kişisel verileri, işe alım portalları, seçme ve yerleştirme
hizmetleri sunucuları, özel istihdam büroları ve dahili kaynaklardan iletilen özgeçmişler,
web-sitemizde bulunan iletişim formları ile gönderilen
başvurular ve sosyal medya platformlarından da toplayabilmekteyiz.
Alt işveren çalışanlarına ait kişisel veriler genellikle ilgili alt işveren firmasından talep
ettiğimiz, çoğu gerekli olan bilgi ve belgeler vasıtası ile toplanmaktadır.
Tedarikçi çalışanları ile hizmetlerini işyerlerimizde bulunmak suretiyle sunan tedarikçi
çalışanlarına ait kişisel veriler ise yasal gereklilikler ve/veya hizmetin amaç ve kapsamı ile
sınırlı olarak, ilgili tedarikçi firmadan ve bazı hallerde çalışanın kendisinden talep edilmek
suretiyle toplanmaktadır.
-
Hammadde, Mal ve Hizmet Tedarikçileri /Tedarikçi Adayları /
Genellikle yüz yüze görüşmeler, kartvizitler veya elektronik ortamda e-posta yazışmaları,
iletişim formları, yapılan telefon görüşmeleri aracılığıyla toplanmaktadır.
Şahıs firması tedarikçilerimiz ile tüzel kişi tedarikçilerimizin
-
Tedarikçilerin Ortak, Yönetici ve İlgili Çalışanları / Çiftçiler
Ortak, yönetici ve ilgili çalışanlarına ait kimlik ve iletişim verisi gibi kişisel verileri,
sözleşme içinde veya eklerinde sunulan belgeler, imza sirküleri, imza beyannamesi, vekâletname
gibi belgeler aracılığıyla da toplanmaktadır.
Çiftçilerimize ait kişisel veriler, doldurdukları formlar ve paylaştıkları kimlik ve iletişim
verisi taşıyan belgeler vasıtasıyla genellikle doğrudan kendilerinden toplanmaktadır
-
Tüketiciler
Tüketiciler, adresine ilettikleri e-postaları ile bize talep,
şikâyet ve
önerilerini iletebilirler. Bu esnada kendilerinin kimlik, iletişim ve talep-şikâyet türünden
kişisel verileri toplanmaktadır. Ayrıca, sikayetvar.com, ekşi sözlük veya sosyal medya
kanallarından iletilen mesajlar aracılığı ile de toplanabilmektedir.
-
Blogger / Influencer
Sosyal medya tanıtım faaliyetlerinin kapsamında kaldıkça blogger ve influencer olan kişilerin
kimlik, iletişim ve görsel / işitsel kayıtlarını toplayabilmekteyiz.
-
Internet Sitesi Ziyaretçileri / Üyeleri
Web sitemizi ziyaret eden, üye olarak veya üye olmadan alışveriş yapan
kullanıcıların IP (internet protokol) adresleri ve web logları tutulmakta, çerezler (cookies) ve
piksel etiketleri aracılığı ile web sitemizi kullanımları kolaylaştırılmaktadır.
Ziyaretçilerin web sitesine erişimlerini kolaylaştırmak ve çevrimiçi deneyimlerini
kişiselleştirmek için bir ya da daha fazla çerez (tanımlama bilgileri) gönderilebilmektedir.
Çerezler, web sitesi kullanıcılarının isim, cinsiyet veya adres gibi kişisel verilerini
kaydetmemektedir. Web sitelerimizi ziyaret eden İlgili Kişilerin, kullanmakta oldukları
tarayıcının imkân tanıması halinde, tarayıcı ayarlarını değiştirerek çerezlerin kullanılmasını
engelleme, çerezler kullanılmadan önce uyarı almayı tercih etme veya sadece bazı çerezleri devre
dışı bırakma ya da silme imkanları bulunmaktadır.
Websitemiz üzerinden yapılan üyelik işlemlerinde ve alışverişlerde doldurulan formlar
aracılığıyla Şirketimize çevrimiçi olarak aktarılan kaynaklardan Kişisel Veri
toplanabilmektedir.
İşlenen Veri Kategorileri
Yukarıda yer verilen kişi gruplarına ait işlediğimiz veri kategorileri aşağıda sayılmaktadır. Bünyemizde
kişisel verisi en yoğun olarak işlenen kişi grubu ise çalışanlarımızdır.
- Kimlik verileri,
- İletişim verileri,
- Özlük verileri,
- Mesleki deneyim ve eğitim verileri,
- Finans ve işlem verileri,
- Tedarikçilerimizin çalışanlarına ait lokasyon verileri (uğranılan istasyon bilgisi),
- Hukuki İşlem verileri,
- Risk yönetimi verileri,
- Görsel ve işitsel veriler,
- Fiziksel mekân güvenliği verileri,
- İşlem güvenliği verileri,
- Müşteri İşlem verileri,
- Pazarlama verileri,
- Tüketici Talep ve Şikâyet
- Özel nitelikli veriler olan sağlık verileri, ceza mahkumiyeti, adli sicil kaydı ve parmak izi
taraması kayıtları (biyometrik veri).
Kişisel Verilerin Kullanılma Amaçları
Şirketimizin topladığı kişisel veriler, Kanun’un 5/2. ve 6/3. Maddelerinde belirtilen kişisel veri
işleme şartlarından birine veya birkaçına dayalı olarak işlenebilmektedir. Dolayısıyla öncelikle kişisel
veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediği Şirketimiz tarafından
incelenmekte, bu şartlardan herhangi birinin mevcut olmaması, ancak veri işlemenin gerekli olması
halinde ise Kanun’un 5/1. ve 6/2. Maddeleri doğrultusunda İlgili Kişi’nin açık rızasına dayanılarak
kişisel veriler işlenmektedir.
Bu kapsamda Şirketimiz, kişisel verileri genellikle aşağıdaki amaçlarla işlemektedir:
- Taraf olduğu sözleşmeler ve yürürlükteki mevzuat gereği üstlendiği tüm edim ve taahhütlerin yerine
getirilebilmesi, sahip olduğu haklarının talep edilebilmesi, kanuni ve idari yükümlülüklerinin ifa
edilebilmesi,
- Genel anlamda Şirket’in tüm amaç ve iş faaliyetlerinin yürütülebilmesi,
- Ürün veya hizmetlerimize dair şikâyet, öneri ve taleplerin yanıtlanabilmesi,
- Bu suretle etkin bir müşteri memnuniyeti hizmetinin sunulabilmesi,
- Müşteri ve tüketiciler ile gerekli iletişimin kurulabilmesi,taleplerin yanıtlanabilmesi,
- Ürün ve hizmet kalitemizin artırılabilmesi,
- Bayilik ilişkilerinin kurulması,
- Bayilik ilişkilerinin yönetilmesi,
- Bayilerin değerlendirme süreçlerinin yönetilmesi,
- Bayilere yönelik çeşitli organizasyon ve seyahatlerin planlanması,
- Pazarlama, tanıtım, reklam, müşteri hizmetleri, iletişim faaliyetlerinin planlanması, yürütülmesi,
- Bu doğrultuda proje ve sponsorluk taleplerinin değerlendirilebilmesi ve sponsorluk ilişkilerinin
kurulması, yönetilmesi,
- Satış noktası talep, şikâyet ve önerilerinin değerlendirilmesi, cevaplandırılması,
- Organize Kanal Müşterileri ilişkilerinin kurulması ve yönetilmesi,
- Talep ve siparişlerin alınması, ürün tedariki ve dağıtımının yapılması,
- Tedarik ilişkilerinin kurulması,
- Tedarik ilişkilerinin yönetilmesi,
- Tedarikçilere ödeme ve değerlendirme süreçlerinin yönetilmesi,
- Tedarikçilere yönelik etkinlik, organizasyon ve seyahatlerin planlanması,
- Bayi, Müşteri ve Tedarikçi portföyünde olmayan, Şirketle ilk defa temasa geçen kişilerin potansiyel
müşteri ve tedarikçi olarak kaydı ile ticari portföyün geliştirilebilmesi
- Hammadde tedarikinin planlanması, yapılması,
- Çiftçilerimizin kayıtlarının yapılması, çiftçilerimizle olan ticari ilişkinin etkin ve faydalı bir
şekilde yürütülebilmesi,
- Şirketimizin eğitim, saha faaliyetleri, etkinlik ve organizasyonlarının planlanması ve
yönetilmesi,
- Reklam, tanıtım ve kampanyaların planlanması, yapılması, video ve reklam filmi çekilmesi, her türlü
medyadan yayınlanmaları (sosyal medya dahil),
- Yarışma ve etkinliklerin düzenlenmesi (sosyal medya üzerinden dahil),
- İnternet sitemizin yönetilmesi, kullanıcılara sunulan hizmetlerin iyileştirilmesi, kullanıcı
deneyimlerinin geliştirilmesi,
- Websitemizdeki üyeliklerinin tesisi, üye bilgilerinin kaydedilmesi, güncellenmesi ve buna
bağlı üyelik işlemlerinin takibi,
- Alışveriş işleminin gerçekleştirilmesi, sipariş hazırlama, paketleme, sevk irsaliyesi hazırlama,
kargolama, teslimat gibi sözleşmesel yükümlülüklerimizin ifa edilmesi,
- Satış sonrası operasyonel işlemlerin (iade, ürün incelemesi ) yerine getirilebilmesi,
- Anket ve analiz çalışmalarının planlanması, yürütülmesi,
- Şirketimiz tarafından yürütülen kampanya ve avantajların duyurulması, reklam iletişimi ve ürün
tanıtımı yapılması,
- İş/Ticari faaliyetlerimizin geliştirilebilmesi,
- Ürün kalitesi ve çeşitliliğinin artırılabilmesi,
- Pazarlama, satış ve dağıtım faaliyetlerinin etkin bir şekilde planlanması ve yürütülmesi,
- Her türlü muhasebe işlemlerinin yürütülmesi, elektronik veya fiziki ortamda tüm mali kayıt ve
belgelerin düzenlenmesi, tutulması,
- Bu doğrultuda yasal defterlerin tutulması, fatura, e-fatura, makbuz düzenlenmesi, Şirketimize
ulaştırılanların değerlendirilmesi, kabul edilmesi,
- Cari hesap, borç-alacak kayıtlarının tutulması,
- Mali mevzuattan kaynaklı bilcümle taahhüt ve yükümlülüklerimizin yerine getirilmesi,
- Bütçe, planlama, raporlama ile birlikte her türlü mali işler süreçlerinin yürütülmesi,
- Bilcümle borç, alacak ve bakiye ödemelerinin takip edilmesi, ödeme yapılması, ödeme kabul edilmesi,
teminatların kabul edilmesi, verilmesi,
- Şirketimizin denetim, hukuk ve mali raporlama işlemlerinin icra ve takip edilmesi,
- Kalite güvence ve kalite kontrol süreçlerinin planlanması, faaliyet ve denetimlerinin yürütülmesi,
- Seçme ve yerleştirme süreçlerinin yönetilmesi,
- İşe alım, yerleştirme, performans yönetimi, kariyer planlama gibi insan kaynakları süreçlerinin
planlanması ve yönetilmesi,
- Başta İş Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Sağlığı ve Güvenliği Kanunu,
Alt İşverenlik Yönetmeliği olmak üzere, yürürlükte tüm iş ve sosyal güvenlik mevzuatından
kaynaklanan yasal ve idari yükümlülüklerin yerine getirilebilmesi,
- İş sağlığı ve güvenliği kural ve esasları kapsamında zorunlu olan takip ve kayıtları tutulabilmesi,
işe giriş muayenelerinin yapılabilmesi,
- Çalışanlar ile iş sözleşmelerinin kurulabilmesi,
- İş sözleşmelerinin yönetilmesi, işveren olarak üstlendiğimiz tüm edim, taahhüt ve
yükümlülüklerimizin yerine getirilebilmesi,
- Çalışanların çalışma süreleri, iş ve vardiya akışları, izin dönemlerinin planlanması,
- Çalışanlara yönelik etkinlikler ile şirket içi ve şirket dışı eğitimlerin planlanması,
- İç iletişimin kurulması ve kuvvetlendirilmesi, kurumsal bağlılık, çalışan bağlılığı ve memnuniyetini
artırmak amacıyla gerek görülen faaliyetlerin planlanması, yürütülmesi,
- Çalışanlar için Ödül/Disiplin/Ceza faaliyetlerinin planlanması, yönetilmesi,
- Çalışanların özlük iş ve işlemlerinin sürekli ve düzenli olarak takip edilmesi, yerine getirilmesi
(örnek; aylık bordro düzenlemek, aylık yasal bildirgeleri sunmak, ücret ve yan hakları ödemek
ve/veya tahsis etmek, sosyal yardımları sağlamak, fazla çalışmaları ve tatilleri takip etmek, iş
göremezlik hallerini takip etmek gibi),
- İş seyahatlerinin planlanması,
- Sosyal sorumluluk faaliyetlerinin yürütülmesi,
- İşyerlerimizin güvenliğinin tesis edilmesi,
- Şirketimizin Turquality programı kapsamındaki süreçlerinin planlanması ve yürütülmesi,
- Şirketimizin yönetici ve imza yetkilerinin tescil ve ilan edilmesi, imza sirkülerinin düzenlenmesi,
vekaletnamelerin çıkartılabilmesi,
- Şirketimizin taraf olduğu her türlü hukuki ilişkinin ve sözleşmenin sona ermesine dair bilcümle
süreçlerin yürütülmesi, takibi ve tamamlanması,
- Şirketimizin taraf olduğu ya da Şirketimize tebliğ edilen hukuki işlemlerin gerekliliklerinin yerine
getirilmesi,
- Bilgi güvenliği süreçlerini yürütülmesi, bu bağlamdaki yasal yükümlülüklerin yerine getirilmesi,
sistem ve sunucularımızın güvenliğini sağlanması,
- Acil durum ve risk yönetimi gibi süreçlerin yürütülmesi,
- Bilgi güvenliği süreçlerinin yürütülmesi,
- Saklama ve arşiv faaliyetlerinin yürütülmesi,
- Veri sorumlusu operasyonlarının güvenliğinin temini,
- Mevzuattan doğan tüm yükümlülüklerimizin yerine getirilmesi,
- Kamu sağlığı, güvenliği ve düzenine ilişkin hususlarda kamu makamlarına bilgi verilmesi,
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, ilgili resmi ve idari kurumlardan ya da yargı
mercilerinden gelen taleplerin yanıtlanması, savunma hakkımızın kullanılması.
Kişisel Verilerin Güvenliği
Kişisel Verilerin korunması ve güvenli bir şekilde işlenmesinin öneminin farkındayız. Bu doğrultuda
Şirketimizde, Kişisel Verilere yetkisiz erişim veya bu bilgilerin kaybı, hatalı kullanımı, ifşa
edilmesi, değiştirilmesi veya imha edilmesine karşı İlgili Kişiyi korumak için gerekli teknik ve idari
tedbirler alınmaktadır.
Kişisel Verileri işlerken genel kabul görmüş güvenlik teknolojisi standartları kullanılmaktadır. Bu
amaçla internet gibi ortamlardan gelen saldırılara karşı güvenlik duvarı ve anti-virüs programları
kullanılmaktadır.
Kişisel veri içeren belge ve dosyaların saklandığı dolaplar, yalnızca yetkililerince açılabilen kilitli
dolaplardır. Şirket bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı
doğrultusunda ilgili çalışanlar ile sınırlandırılır. Başta birim yöneticileri olmak üzere, Şirket
çalışanlarına kişisel verilerin korunması ve Kanun hakkında farkındalık eğitimleri verilmektedir.
Gerekli teknik ve idari önlemlerini alınmasına karşın, Kişisel Verilerin zarar görmesi veya üçüncü
kişilerin eline geçmesi durumunda, Şirket bu durumu derhal İlgili Kişilere ve Kişisel Verileri Koruma
Kuruluna bildireceğini ve gerekli önlemleri alacağını taahhüt etmektedir. Ayrıca Şirketimizin mevzuat
ile paralel olarak hazırlanmış Veri İhlali Müdahale Planı da mevcuttur.
Kişisel Veri İşleme Envanterimizde ve Saklama ve İmha Politikamızda Kişisel Verileri işlerken aldığımız
idari ve teknik tedbirler sayılmıştır.
Kişisel Verilerin Güvenliğini Sağlamak İçin Alınan İdari Tedbirler
- Şirketimizde işlenen kişisel veriler; iş süreçleri, veri işleyen birimler, işlenen kişisel verilerin
türleri ve ilgili kişiler temelinde analiz etmek amacı ile “Kişisel Veri İşleme Envanteri”
oluşturmuştur. Bu envanterde, Şirketimizin iş süreçlerine bağlı olarak gerçekleştirdiği kişisel veri
işleme faaliyetleri, kişisel veri kategorileri, kişisel verileri işleyen birimler, kişisel veri
işleme amaçları ve işleme şartları ile verilerin aktarıldığı kişi/kurum gösterilmiştir.
- Şirketimiz, kişisel verilerin hukuka uygun olarak işlenmesi, güvenli bir şekilde saklanması, imha
edilmesi ve veri sorumlusu olarak yükümlülüklerin ifade edilmesi konusunda çalışanlarına gerekli
eğitimleri vermekte ve çalışanlarının Kişisel Verilerin Korunması kapsamında farkındalık kazanmasını
sağlamaktadır.
- Şirketimizin topladığı kişisel veriler, sadece iş tanımı gereği erişmesi gereken çalışanların
erişimine açıktır. Kişisel verilere erişimi olan bu çalışanların yetkileri de ayrıca sınırsız
olmayıp, işledikleri verilerin niteliğine göre süre ve kapsam bakımından sınırlanmaktadır. Ayrıca
çalışanların kişisel verilere erişim yetkilerinin belirlenmesinde verinin genel veya özel nitelikli
olup olmaması da dikkate alınmaktadır.
- Kişisel veri içeren dosya ve klasörler, ilgili birim dolaplarında, çekmecelerinde ve/veya
arşivlerinde yetkisiz kişilerce erişilemeyecek şekilde saklanmakta; söz konusu dolap ve arşiv
odaları kilitli olarak tutulmaktadır. Kişisel Verilerin muhafaza edildiği dolap ve odaların
anahtarları/şifreleri yalnızca ilgili verilere erişim yetkisi olan sorumlularda bulunmakta ve söz
konusu ortamlara yetkisiz erişim önlenmektedir. Özel nitelikli kişisel veri olan sağlık verileri,
revir kasasında muhafaza edilmektedir.
- Şirketimiz, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi
konusunda Şirket içindeki koordinasyonu sağlamak ve bu konuda Kanun’a olan uyumluluğu sağlamak
amacıyla dahili Kişisel Verilerin Korunması Çalışma Grubunu (“Komite”) oluşturmuştur. Komite,
genel olarak, Şirketimizin birimleri arasında koordinasyonun sağlanması, Şirket içinde yürütülen
faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin
yürütülmesi ve iyileştirilmesinden sorumludur.
- Şirketimiz ile çalışanlar arasında akdedilen sözleşmelere, Şirketimizin talimatları ve kanunlarla
getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü
getiren kayıtlar ile kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla
gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını
sağlanacağına ilişkin hükümler konulmakta ve protokoller
- Kişisel Verileri her zaman Kanun’un Maddesindeki genel ilkelere gözeterek, toplandıkları amaç ile
sınırlı ve bağlantılı olarak, hukuken işlenebilir haller etrafında işler ve gerekli olan süreler
kadar muhafaza ederiz. Bu süreler öncelikle Mevzuatta öngörülen zamanaşımı ve hak düşürücü süreler
ile savunma hakkımızı kullanmak için gerekebilecek süreler dikkate alınarak, bunula birlikte
aramızdaki ticari / hukuki ilişkiye göre veya Kişisel Verinin saklanma amacına göre makul ve meşru
menfaat dahilinde kabul edilebilecek sürelere göre ve gereken hallerde İlgili Kişiden alınacak Açık
Rıza ile belirlenmektedir.
- Şirketimiz aydınlatma yükümlülüğünü yerine getirmekte ve İlgili Kişiler ve işleme amaçlarına göre
hazırlanmış aydınlatma bildirimleri kullanmaktadır. Şayet işleme şartı Açık Rıza ise, İlgili Kişiden
aydınlatmaya dayalı olarak Açık Rıza alınmaktadır.
- Şirketimiz, Kanun ve ilgili mevzuat hükümleri ile kişisel verilerin güvenliğine ilişkin yürürlüğe
koyduğu politikaların uygulanmasını sağlamak amacıyla gerekli denetimler yapmaktadır/yapacaktır.
Veri İhlali Müdahale Planımız hazırdır.
- Kişisel verilerin, üçüncü kişilere iletilmesi söz konusu olduğunda, Şirketin yaptığı sözleşmelere
gerekli düzenlemelerin eklenerek, taraflardan gizlilik ve kişisel verilerin korunması taahhütleri
alınmaktadır.
- Şirketimiz, Kanun ve ilgili mevzuat hükümleri ile kişisel verilerin güvenliğine ilişkin yürürlüğe
koyduğu politikaların uygulanmasını sağlamak amacıyla gerekli denetimler yapmakta/yaptırmakta ve bu
denetimler sonucu ortaya çıkan gizlilik veya güvenliğe ilişkin riskli durumları Şirket irtibat
kişisine ve Bilgi Güvenliği Sorumlusuna bildirmekte ve müdahale
Özel Nitelikli Kişisel Verilerin Güvenliğini Sağlamak için Alınan İdari ve Teknik
Tedbirler
Şirketimiz, Özel Nitelikli Kişisel Verileri ise Kanun’un 6. Maddesinde belirtilen işleme şartlarından
birinin mevcut olması halinde işler. Buna göre;
- İlgili Kişinin Açık Rızasının mevcut olması,
- Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesinin kanunlarda
öngörülmesi,
- Sağlık ve cinsel hayata ilişkin kişisel veriler için ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya
yetkili kurum ve kuruluşlar tarafından işlenmesidir.
Özel Nitelikli Kişisel Veri kategorisinde kalan veriler, Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı
“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”
kararı uyarınca ve yeterli güvenlik önlemleri alınarak işlenir. Bu kapsamda yukarıda sayılan teknik ve
idari tedbirlere ek olarak;
Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara
yönelik;
- Eğitimler
- İş sözleşmelerine gizlilik hükmü eklenmiştir, ayrıca gizlilik taahhüdü alınmaktadır.
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri tanımlıdır.
- Periyodik olarak yetki kontrollerinin gerçekleştirilmektir.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal
kaldırılmaktadır.
Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği ve/veya Erişildiği
Elektronik Ortamlarda;
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik
testleri düzenli olarak yapılmakta, test sonuçlarının kayıt altına alınmaktadır.
- Verilere erişilen yazılımların güvenlik testleri düzenli olarak yapılmakta ve kayıt altına
alınmaktadır.
- Verilere uzaktan erişim halinde, kademeli kimlik doğrulama sisteminin sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
fiziksel ortamlarda;
- Elektrik kaçağı, yangın, su baskını, hırsızlık durumlara tedbirler alınmaktadır.
- Yetkisiz giriş yapılmamaktadır. Kilitli çekmece ve dolaplarda muhafaza edilmektedir.
Özel nitelikli kişisel verilerin aktarımında:
- Verilerin e-posta yoluyla aktarılması gerektiğinde, şifreli olarak kurumsal e-posta adresiyle
aktarılacaktır.
- Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle
şifrelenerek ve anahtar farklı ortamda tutularak, aktarılacaktır.
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN
kurularak veri aktarımı gerçekleştirilecektir.
- Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerektiğinde evrakın “yüksek
gizlilik” derecesi ile gönderilmesi sağlanacaktır.
Kişisel Verilerin Aktarılması
Şirketimiz, kişisel verilerinizi Kanun’da öngörülen temel ilkeler etrafında ve kişisel verilerinizi
işleme amaçlarımıza bağlı ve bunlarla sınırlı olarak, Kanun’un 8. Maddesine göre yurt içinde bulunan
üçüncü kişilere aktarabilecektir. Bu doğrultuda Şirketimiz, Kişisel Verileri, yurt içinde gereken
hallerde;
- Mahkemeler ve icra daireleri, vergi daireleri, noterler, Sosyal Güvenlik Kurumu Müdürlükleri, Bölge
Çalışma Müdürlükleri, İş-Kur, Emniyet Müdürlükleri, başta Ticaret Bakanlığı, Ekonomi
ve Hazine Bakanlığı, Tarım ve Orman Bakanlığı bünyesindeki ilgili müdürlükler olmak üzere
bakanlıklar ve
müdürlükleri, gümrükler, organize sanayi bölgesi yönetimleri, ürün ve ticaret borsaları, hastaneler
ve
sağlık kuruluşları, plaza ve tesis / bina yönetimleri gibi yetkili kamu veya özel kurum ve
kuruluşlara;
- Hukuk ve insan kaynakları danışmanları, muhasebe ve bordro hizmet sunucuları, e- fatura, arşiv, depo
hizmet sunucuları, personel devam kontrol kayıt sistemi (PDKS) hizmet sunucuları, seyahat
acenteleri, vize danışmanları, oteller, nakliye firmaları, bankalar, özel istihdam büroları, sigorta
ve emeklilik şirketleri, eğitim firmaları, bankalar, avukatlık büroları gibi ifa yardımcıları ve
hizmet tedarikçilerine,
- Bilgi teknolojileri, dijital ajans, pazar araştırma şirketleri, kargo ve lojistik hizmet
sağlayıcıları, dış kaynak, barındırma, arşiv, depolama, bilişim sistem ve çözümleri hizmet
sunucularına aktarabilecektir.
Kişisel Veriler, işleme amaçları ve operasyonlarımızın gerektirmesi halinde yurt dışı iştirakimize, bize
ulaşan taleple bağlantılı ülkedeki bayi ve satış ekiplerimize, kullandığımız bilişim sistem ve
çözümlerinin yurtdışında bulunan sunucularına Kanun’un 9. Maddesinde yer alan şartlar dahilinde
aktarılabilecektir. Kanun’un 9. Maddesi kapsamında “açık rıza” alınması işleme şartına dayanmamız
halinde, açık rıza temin edilerek aktarım yapılacaktır.
Kişisel Veriler, yasal yükümlülükler, kamu düzenine karşı taşıdığımız yükümlülükler ile yasal ve resmi
taleplerin ifası için gerekli oldukça, yetkili kişi, kurum ve kuruluşlar ile paylaşılabilecektir.
Aktarımların güvenliği için gereken teknik ve idari tedbirler ile aktarım yapılan taraflardan koruma ve
gizlilik taahhütleri alınacaktır.
Kişisel Veri Sahibinin Hakları ve Bu Hakların Kullanılması
İlgili Kişiler, Kanun’un 11. Maddesi uyarınca aşağıdaki haklara sahiptirler:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin yurt içinde / yurt dışında aktarıldığı üçüncü kişileri bilme,
- Kişisel verileri eksik / yanlış işlenmişse düzeltilmesini isteme,
- Kişisel verilerinin Kanun’un Maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini
isteme,
- Kişisel verilerinin aktarıldığı üçüncü kişilere yukarıda sayılan (5) ve (6) bentleri uyarınca
yapılan işlemlerin bildirilmesini isteme,
- Kişisel verilerinin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir
sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme.
İlgili Kişiler yukarıda sayılan haklara ilişkin taleplerini;
- İlgili Kişi tarafından tarafımıza daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik
posta adresinden adresimize e-posta ile göndererek, iletebilirler.
Başvurularda;
- Ad, soyadı ve başvuru yazılı ise imza,
- Başvuran Türkiye Cumhuriyeti vatandaşı ise TC. kimlik numarası, yabancı uyruklu ise uyruk bilgileri
ve pasaport numarası veya varsa yabancı kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve/veya faks numarası ve
- Başvuruya konu talepler açıkça yer almalıdır.
Konuya ilişkin bilgi ve belgeler başvuruya eklenmelidir. Şirketimiz, başvuruda bulunan kişinin İlgili
Kişi olup olmadığını tespit etmek amacıyla başvurucudan bilgi ve belge talep etme ve yapılan başvuruda
yer alan talepleri ve bilgileri açıklığa kavuşturmak amacıyla, İlgili Kişiye başvurusu ile ilgili soru
yöneltme haklarına sahiptir. Talepler en kısa sürede, her halde en geç 30 gün içerisinde
cevaplandırılacak ve sonuçlandırılacaktır.
İşbu Kişisel Verilerin İşlenmesi ve Korunması Genel Politikası, Şirketimizin internet sitesinde
yayımlanarak kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki
ilgili mevzuat ile bu Politikada yer verilen düzenlemelerin çelişmesi halinde Kanun ve ilgili mevzuatta
yer alan hükümler uygulanır. Şirketimiz, yasal düzenlemeler, mevzuattaki gelişmeler, Kurul Kararları ve
Kurum rehber ve tavsiyelerine paralel olarak Politikada tek taraflı olarak değişiklik yapma ve
Politikayı dönem dönem güncelleyerek, güncel versiyonu yayınlama hakkını saklı tutar.
Saygılarımızla...