ÇAVUŞOĞLU ÇANTA SANAYİ VE TİCARET LTD.ŞTİ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1.GİRİŞ

Kişisel Verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere, temel hak ve özgürlüklerin korunması ve kişisel verileri işleyen gerçek/tüzel kişilerin uymakla yükümlü oldukları usul ve esasların düzenlemesi amacıyla tanzim olunan 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun 07.04.2016 tarihli Resmi Gazetede yayınlanarak yürürlüğe girmiştir.

ÇAVUŞOĞLU ÇANTA SANAYİ VE TİCARET LTD.ŞTİ.’nin Kişisel Verilerinizin işlenmesi ve korunması çerçevesinde yürüttüğü faaliyetler ‘ÇAVUŞOĞLU ÇANTA SANAYİ VE TİCARET LTD.ŞTİ. Kişisel Verilerin Korunması ve İşlenmesi Politikası’ altında yönetilmekte olup, Politika Şirketimizin ‘www.ccscanta.com.tr’ adresinde yayınlanarak sizlerin de erişimine sunulmuştur.

2.AMAÇ

Politikanın amacı; kişisel verilerin işlenmesinde şirketimizin tabi olduğu usul ve esasların belirlenmesi, verilerin korunması noktasında yürütülen teknik ve idari faaliyetlerin bir politika altında yönetilmesi suretiyle etkin ve düzenli bir şekilde icrasının sağlanması ve ilgili kişilerin (çalışan adayı, çalışan, tedarikçi/müşteri ve alt işveren yetkilileri, şirketin iş ortaklığı içerisinde olduğu üçüncü şahıs tüzel kişilik çalışan ve yetkilileri, üçüncü kişiler (web sitesi üzerinden üye olarak veya üye olmaksızın mal veya hizmet satın alan kişiler) ve ziyaretçilerin bilgilendirilmesidir.

3.KAPSAM

Politika; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verilere ilişkindir. Politikada ‘Kişisel Veriler’ için yapılan açıklamalar, ‘Özel Nitelikli Verileri ‘de kapsamaktadır.

4.TANIMLAR

Şirket
ÇAVUŞOĞLU ÇANTA SANAYİ VE TİCARET LTD.ŞTİ

Açık rıza:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Özel Nitelikli Kişisel Veri

Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, sağlık verileri, kan grubu vb veriler

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

İlgili kişi

Kişisel verisi işlenen gerçek kişi

Çalışan

Şirket ile yapılmış iş sözleşmesi çerçevesinde çalışanlar

Çalışan Adayı

Şirkete iş başvurusunda bulunmuş veya özgeçmiş/ bilgilerini ilgili şirkete sunmuş gerçek kişiler

Ziyaretçi

Şirketin faaliyette bulunduğu fiziksel yerleşkeleri veya internet sitesini ziyaret eden gerçek kişiler

Tedarikçi

Şirkete ürün/hizmet sunan üçüncü şahıs/tüzel kişilikler

Potansiyel Müşteri

Şirketten mal/hizmet satın almak isteyen potansiyel müşteri adayları

Müşteri

Şirketin ürün veya hizmet sunduğu üçüncü şahıs/tüzel kişilikler

Üçüncü kişi

(Web Sitesi Üyesi)

Şirketin www.ccscanta.com.tr’ web sitesinde üye olarak veya üye olmaksızın mal veya hizmet satın alan üçüncü kişiler

İş Ortağı

Şirketin herhangi bir alanda işbirliği yaptığı üçüncü şahıs tüzel kişilikler

Veri Sorumlusu Temsilcisi

30.12.2017 tarih, 30286 sayılı Resmi Gazete’ de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik” m.11/3 uyarınca, Şirket için atanmış Veri Sorumlusu Temsilcisi

İrtibat Temsilcisi

30.12.2017 tarih, 30286 sayılı Resmi Gazete’ de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik m.11/4 uyarınca, Şirket için atanmış İrtibat Temsilcisi

KVKK

07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’ de yayınlanan 24.03.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun

KVK Kurulu

Kişisel Verileri Koruma Kurulu

KVK Kurumu

Kişisel Verileri Koruma Kurumu

Politika

Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası

Başvuru Formu

6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun uyarınca İlgili Kişi (Veri Sahibi) tarafından Veri Sorumlusu Şirkete yapılacak başvurularda kullanılacak Başvuru Formu

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli ya da belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

5.POLİTİKANIN YÜRÜTÜLMESİ VE SORUMLULAR

5.1 ÇAVUŞOĞLU ÇANTA SANAYİ VE TİCARET LTD.ŞTİ ‘Veri Sorumlusu’ sıfatıyla, bu politikanın uygulatılmasından sorumludur.

5.2 Politikanın hazırlanması, uygulanması ve güncellenmesinden, ÇAVUŞOĞLU ÇANTA SANAYİ VE TİCARET LTD.ŞTİ Yönetim Kurulu yetkili ve sorumlu olacaktır.

5.3 İlgili kişiler(çalışan, çalışan adayı, ziyaretçi, potansiyel müşteri, müşteri//tedarikçi/alt işveren yetkilileri ve çalışanları, üçüncü kişiler (web sitesi üzerinden üye olarak veya üye olmaksızın mal veya hizmet satın alan kişiler), iş ortaklığı ilişkisi içerisinde olunan üçüncü şahıs tüzel kişilik yetkilileri ve çalışanları)Politika hükümlerine uygun hareket etmek, bu hükümlere uyulmasını sağlamak ve aykırı hareketin tespiti halinde durumu Şirket Veri Sorumlusu Temsilcisine bildirmekle yükümlüdür.

5.4 Politika, www.ccscanta.com.tr’ internet sitesinde yayınlanmış olup, ayrıca ortak bilgi işlem sistemlerine de yüklenmek suretiyle erişime açıktır.

5.5 Politikada yapılan güncellemeler, Yönetim Kurulu tarafından gerek şirket web adresinde, gerekse de ortak bilgi işlem sistemine yüklenmek suretiyle erişime açık hale getirilecektir.

5.6 Politika ile mevcut kanun hükümleri arasında çelişki olması halinde, kanun hükümleri geçerli olacak ve Şirket Yönetim Kurulu politikanın kanun hükümlerine uygun hale getirilmesi için gerekli güncellemeyi yaparak erişime açık hale getirecektir.

5.7 Politikanın yürürlükten kaldırılmasına karar verme yetkisi; yönetim kuruluna aittir.

6.KİŞİSEL VERİ İŞLEME İLKELERİ

6.1 Kişisel Verilerin İşlenmesinde Genel İlkeler

Kişisel veriler, 6698 sayılı KVKK Kanunu ve ikincil düzenlemeler ile, bu Politikada öngörülen usul ve esaslara uygun olarak işlenmektedir.

Şirket, kişisel verilerin işlenmesinde aşağıdaki ilkelerle hareket eder:

6.1.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel Veriler, yürürlükteki hukuki düzenlemelere ve dürüstlük kuralına uygun olarak işlenmektedir. Şirket, kişisel verilerin işlenmesinde orantılılık gereklerini dikkate almakta ve kişisel verileri işleme amaçları dışında kullanmamaktadır.

6.1.2 Doğru ve Gerektiğinde Güncel Olma

Kişisel verilerin toplanması ve işlenmesinde gerekli tedbirler alınarak, verilerin doğruluğu sağlanmakta ve ilgili kişilere kişisel verilerini güncelleme imkânı tanınmaktadır.

6.1.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi

Şirket tarafından, kişisel veri işleme amaçları kesin ve açık olarak belirlenmekte ve söz konusu veriler grubun sunduğu hizmetlerle bağlantılı ve bunlar için gerekli olan kadar işlenmektedir.

6.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler ve işleme amaçları Şirket ‘Veri Envanteri’ ile kategorize edilmekte ve amaçların gerçekleştirilmesi ile ilgili olmayan verilerin işlenmesinden kaçınılmaktadır.

6.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirket, kişisel verileri ancak ilgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Saklama sürelerinin tespitinde öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği belirlenmekte, bir süre belirlenmişse bu süreye riayet edilmekte, bir süre belirlenmemişse hukuk ve ceza zamanaşımı süreleri de dikkate alınarak, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Sürenin bitimi veya kişisel verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmekte veya yok edilmektedir. Mevzuatta veri işleme sürelerinde değişiklik yapılması halinde, belirlenen yeni süreler esas alınmaktadır.

7.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirket tarafından, kişisel verilerin işlenmesinde, 6698 sayılı KVKK’nun 5. maddesinde belirtilen kişisel veri işleme şartlarına uygun hareket edilmektedir.

7.1.İlgili Kişinin Açık Rızasının Bulunması

6698 sayılı KVKK’na göre kişisel verilerin işlenmesi bakımından temel hukuka uygunluk sebebi ‘Açık Rıza’dır. Açık Rıza; kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradesiyle açıklanan rızasını ifade eder.

Şirket tarafından kişisel veri işlenmesinde, öncelikle 6698 sayılı KVKK’ nun 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında sınırlı olarak belirtili ‘veri işleme şartlarının’ mevcut olup olmadığı değerlendirilmekte ve bu şartlardan herhangi biri yoksa, kişisel veri işleme faaliyeti ilgili kişiden veri işleme faaliyetine yönelik alınan ‘açık rıza’ ya dayalı olarak gerçekleştirilmektedir.

7.2.İşlemenin Kanunlarda Açıkça Öngörülmesi

Mevzuatta açıkça öngörülmesi halinde, ilgili kişinin kişisel verileri ‘açık rıza’ aranmaksızın hukuka uygun olarak işlenebilecektir.

7.3.Fiili İmkânsızlık Sebebiyle İlgili Kişinin Açık Rızasının Alınamaması

Fiili imkansızlık sebebiyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin hayat ve beden bütünlüğünün korunması için kişisel verilerin işlenmesinin zorunlu olduğu durumlarda, kişisel veriler açık rıza olmaksızın işlenebilmektedir.

7.4.Bir Sözleşmenin Kurulması ve İfası İle Doğrudan İlgili Olmak Kaydıyla Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması

Sözleşmenin kurulması veya sözleşme konusu borcun ifasının gerçekleştirilmesiyle doğrudan ilgili olan işlemlerde, kişisel veriler açık rıza olmaksızın işlenebilmektedir.

7.5.Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesinin Kişisel Veri İşlemeyi Zorunlu Kılması

Mevzuatta veri işlemenin zorunlu olarak öngörüldüğü hallerde, Şirkete hukuki yükümlülüğün yerine getirilmesi için kişisel veriler işlenebilmektedir.

7.6.Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi

İlgili kişinin(Veri sahibi) kişisel verisini alenileştirmiş olması halinde, bu veriler Şirket tarafından işlenebilecektir.

7.7 Bir Hakkın Tesisi, Kullanımı veya Korunması İçin Veri İşlemenin Zorunlu Olması

Kişisel veri işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu hallerde, ilgili kişinin açık rızası aranmaksızın veriler işlenebilmektedir.

7.8 Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemenin Zorunlu Olması

İlgili kişilerin temel hak ve özgürlüklerine zarar verilmemesi kaydıyla, kişisel veri işlenmesinin zorunlu olduğu hallerde, Veri Sorumlusu Şirketin meşru menfaatleri için kişisel veriler işlenebilmektedir.

8.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirket tarafından, 6698 sayılı KVKK ve ilgili yasal mevzuat kapsamında, aşağıda belirtili amaçlarla sınırlı ve KVKK’nun 4. maddesinde belirtilen “Genel İlkeler” ile 5. maddesinde belirtilen “Kişisel Verilerin İşlenme Şartları” ve 6. maddesinde belirtilen “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” na uygun olarak kişisel veriler işlenebilmektedir.

Şirket tarafından kişisel veriler;

•İnsan Kaynakları Süreç ve Politikalarının Yürütülmesi
•Çalışanlar İçin İş Kanunu, Sosyal Güvenlik Kanunu, İş Sağlığı ve Güvenliği Kanunu ile Sair Mevzuattan Doğan Yükümlülüklerin Yerine Getirilmesi
•Çalışan Görevlendirme Süreçleri ile Çalışan Giriş ve Çıkışlarının Takibi, Çalışan Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
•İç Denetim/Soruşturma/İstihbarat Faaliyetlerinin Yürütülmesi
•Acil Durum Yönetimi Süreçlerinin Planlanması ve İcrası
•Şirket Ana Sözleşmelerinde Belirtilen Ticari Faaliyetlerin Mevzuata ve Şirket Politikalarına Uygun Olarak Yerine Getirilmesi İçin İlgili Birimler Tarafından Gerekli Çalışmaların Yapılması
•Şirketin Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası
•Müşteri/Potansiyel Müşteri/Tedarikçi/İş Ortakları İle İlişkilerin Yönetimi, Sözleşme Süreçlerinin Takibi ve Finansal Mutabakat Sağlanması, Yapılan Sözleşmelerden Kaynaklanan Hukuki, Ticari ve İdari Yükümlülüklerin İfası
•Ürün ve/veya Hizmetlerin Pazarlama, Satış, Ödeme ve Teslim Süreçlerinin Planlanması ve İcrası
•Satış Sonrası Operasyonel Süreçlerin (tadilat, değişim, iade, ürün incelemesi vs.) Planlanması ve İcrası
•6502 sayılı Tüketicinin Korunması Hakkında Kanun ve Mesafeli Sözleşmeler Yönetmeliği, 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve sair yasal mevzuattan doğan yükümlülüklerimizin ifası
•Talebiniz Halinde Web Sitesi Üyelik Sözleşmesinin Akdedilerek Online Satış İle İlgili Üyeliğinizin Yönetilmesi, Siparişlerinizin Alınması ve Ödeme İşlemlerinizin Gerçekleştirilmesi, Her Alışveriş İşleminde Tekrar Tüm Üyelik Bilgilerinin Girilmesine Gerek Kalmaksızın Üye Bilgilerinizi Kullanarak Alışveriş Yapabilmenizin ve Sipariş Geçmişinizi Görüntüleyebilmenizin Sağlanması
•Web Sitesi Üzerinden Sipariş Edilen veya Satın Alınan Ürünlerin Tarafınıza Gönderiminin Sağlanması, Bu Kapsamda Gerekli Durumlarda Şahsınızla İletişime Geçilmesi, İade İşlemlerinizin Gerçekleştirilmesi, Ürün Tedariki, Teslimi, Soru ve Şikayetleriniz Hakkında Sizlere Bilgilendirme Yapılabilmesi
•Şirketimiz ile İlişkisi Bulunan Gerçek ve/veya Tüzel Üçüncü Kişi Kurum ve Kuruluşların (çalışanlar, ziyaretçiler, tedarikçiler, müşteriler, iş ortakları vb.) Can ve Mal Güvenlikleri ile Hukuki, Ticari ve İş Sağlığı Güvenliklerinin Temini, Şirketimizin Kullanımında Olan Lokasyonların Fiziksel Güvenliği ve Denetimi
•Açık Rızanızın varlığı halinde şirketimiz tarafından sunulan ürün ve hizmetlere ilişkin olarak sizlere özel veya genel tanıtım ve bilgilendirme yapılması, reklam, satış, pazarlama, kampanya, promosyon, indirim, üyelik koşulları gibi avantajlar/faydaların sunulabilmesi ve bu amaçlarla tarafınızla iletişime geçilerek şahsınıza ticari elektronik ileti gönderilebilmesi
•Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası
•Lojistik Faaliyetlerinin Planlanması ve İcrası
•Finans ve/veya Muhasebe İşlerinin Takibi
•Hukuk İşlerinin Takibi ve İcrası
•Müşteri Hizmetlerinin Planlanması ve İcrası, Talep/Şikayet Yönetimi ve Takibi
•Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası
•Şirket İçi İnternet Erişim Loglarının 5651 Sayılı Yasa Gereği Kayıt Altına Alınması
•Yargı Organlarının Ve/Veya İdari Makamların İstediği Bilgi Ve Belge Taleplerinin Yerine Getirilmesi
•Yetkili Kurum ve Kuruluşlara Hukuki Yükümlülük Nedeniyle Bilgi Verilmesi ve/veya Denetime İlişkin Faaliyet ve Yükümlülüklerin İfası
•Veri Güvenliği Kapsamında Gerekli Teknik, Hukuki Ve İdari Tedbirlerin Alınması
amaçlarıyla ve ayıca 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenebilecektir.

9.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE KORUNMASI YÖNTEMLERİ

9.1. Özel Nitelikli Verilerin İşlenme Amaçları

6698 sayılı KVK Kanunun 6/1. maddesi uyarınca; ‘kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri’ özel nitelikli kişisel veridir.

Özel nitelikli veriler; bu verilerin korunması konusunda Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin alınması suretiyle,6698 sayılı KVK Kanununun 6. maddesinde belirtilen ‘Özel Nitelikli Kişisel Verilerin İşlenme şartları’ çerçevesinde aşağıdaki şartların varlığı halinde işlenmektedir:

•Kişisel Veri Sahibinin Açık Rızası var ise,

•Kişisel Veri Sahibinin Açık Rızası yok ise; Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde, Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi ve ayrıca sır saklama yükümlülüğü altında bulunulan durumlarda, mevzuatın öngördüğü ölçüde işlenmektedir.

9.2. Özel Nitelikli Verilerin Korunması Yöntemleri

Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca;

Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürü belirlenmiştir.

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

•Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte,

•Gizlilik sözleşmeleri yapılmakta,

•Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmakta,

•Periyodik olarak yetki kontrolleri gerçekleştirilmekte,

•Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta ve kendilerine tahsis edilen envanter iade alınmakta,

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

•Verilerin kriptografik yöntemler kullanılarak muhafaza edilmekte,

•Kriptografik anahtarların güvenli ve farklı ortamlarda tutulmakta,

•Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,

•Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,

•Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,

•Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanmakta,

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmakta,

•Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmekte,

Özel nitelikli kişisel veriler aktarılacaksa;

•Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanmakta,

•Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulmakta,

•Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmekte,

•Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmektedir.

Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.

10.Kişisel Verilerin Aktarılması

10.1. Kişisel Verilerin Yurt İçinde Aktarılması

Şirket, kişisel verileri politikanın ‘8’ numaralı bendinde belirtili meşru ve hukuka uygun olan kişisel veri işleme amaçları doğrultusunda ve ayrıca KVKK’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak, KVKK’nun 8. maddesinde öngörülen düzenleme çerçevesinde üçüncü kişilere aktarabilmektedir:

•Kişisel Veri Sahibinin açık rızası var ise,

•Kanunlarda kişisel verinin aktarılacağına dair özel bir düzenleme var ise,

•Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda ise,

•Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,

•Şirketin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,

•Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,

•Kişisel veri aktarımı bir hakkın tesisi, kullanılması ve korunması için zorunlu ise,

•Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri aktarımı zorunlu ise kişisel veriler aktarılabilmektedir.

10.2. Kişisel Verilerin Yurt Dışına Aktarılması

10.2.1 İlgili Kişinin Kişisel Verilerinin Yurt Dışına Aktarılmasına İlişkin Açık Rızasının Bulunması

6698 sayılı KVKK’ nunun 9. maddesi gereğince, ‘Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.’ Şirket tarafından kişisel verilerin yurt dışına aktarılması gerektiğinde; öncelikli olarak kanunun 5. maddesinin ikinci fıkrasında sayılı şartlardan herhangi birinin mevcut olup olmadığı değerlendirilmekte, bu şartlardan herhangi birinin mevcut olmaması halinde açık rızanın alınması suretiyle kişisel veriler yurt dışına aktarılabilmektedir.

10.2.2 İlgili Kişinin Açık Rızası Bulunmasa Dahi Kişisel Verilerin İşlenmesine İlişkin Şartların Sağlanması Kaydıyla Kişisel Verilerin Aktarılması

6698 sayılı KVK Kanunun 5. Maddesinin ikinci fıkrasında yazılı ve aşağıda belirtili;

•Kanunlarda açıkça öngörülmesi,

•Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

•Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması,

•Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

•Özel nitelikli verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,

•Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

•İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması

şartlarından herhangi birinin varlığı halinde açık rıza aranmaksızın ve ,

Kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b)Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması,

kaydıyla Şirket tarafından yurt dışına aktarılabilecektir.

10.3. Özel Nitelikli Verilerin Aktarılması

10.3.1. Özel Nitelikli Verilerin Yurt İçine Aktarılması

Özel Nitelikli Veriler, KVK Kanununun 8.maddesinde öngörülen düzenlemeye uygun olarak,

A) Açık rıza gerektiren hallerde 8. maddenin 1. fıkrası gereğince açık rıza alınmak suretiyle,

B) 5 inci maddenin ikinci fıkrasında yazılı şartlardan birinin varlığı halinde açık rıza aranmaksızın,

C) Yeterli önlemler alınmak kaydıyla 6. maddenin 3. fıkrasında yazılı;

•Sağlık ve cinsel hayat dışındaki kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler)kanunlarda öngörülen hâllerde,

•Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi ve ayrıca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında,

açık rıza aranmaksızın Şirket tarafından yurtiçinde aktarılabilecektir.

10.3.2.Özel Nitelikli Verilerin Yurt Dışına Aktarılması

6698 sayılı KVK Kanunun 9. maddesi uyarınca;

•Açık rıza gerektiren hallerde açık rızaların alınması suretiyle,

•Kanunun 5 inci maddesinin ikinci fıkrasında yazılı şartlardan herhangi birinin varlığı halinde açık rıza aranmaksızın,

•Yeterli önlemler alınmak kaydıyla 6. maddenin 3. fıkrasında yazılı şartlardan herhangi birinin varlığı halinde açık rıza aranmaksızın ve,

Kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b)Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması,

kaydıyla Şirket tarafından yurt dışına aktarılabilecektir.

10.4 Kişisel Verilerin Kategorizasyonu

Şirket, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının hangi kişisel verilerini işlediğini kişisel veri sahibine bildirmek amacıyla aşağıda açıklamıştır:

KİŞİSEL VERİ KATEGORİZASYONU

Veri Kategorisi
İçerik

Kimlik Bilgisi

Kişinin kimliğine dair veriler; Ad-Soyad, TC Kimlik Numarası, Anne adı, Baba adı, Doğum Yeri, Doğum Tarihi, Medeni Hali, Cinsiyet, Nüfusa Kayıtlı Olduğu Yer, Cilt No, Aile Sıra No, Sıra No, SGK Sicil Numarası, Vergi Numarası, Üyelik Numarası, Ehliyet Bilgisi vb gibi verilerdir.

İletişim Bilgisi

Kişi ile iletişim kurulmasını sağlayan; Telefon numarası, ikametgah adresi, işyeri adresi, ünvan, e-mail adresi gibi verilerdir.

Aile Bireyleri ve Acil Durumda Aranacak Kişi Bilgileri

İlgili kişinin aile bireylerine ait olan; aile bireyleri (eş ve çocuk) ad-soyad, meslek, çocuk sayısı ve yaşları, eğitim durumları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki (Ad-Soyad, Cep telefonu) verileridir.

Mali Veriler

Kişinin ödeme bilgileri ile mali durumunu gösteren; Banka hesap numarası, IBAN numarası, fatura, çek, senet verileri, Kredi kartı numarası,CVV2 kodu, son kullanma tarihi, ödeme geçmişi vb verilerdir.

Müşteri İşlem Verileri

Müşteri Merkezi kayıtları, sipariş bilgisi, talep bilgisi vb. verilerdir.

Pazarlama Verileri

Alışveriş Geçmişi, anket, kampanya çalışmasıyla vb. yoluyla elde edilen verilerdir.

Özlük Bilgisi

Şirket ile hizmet ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak; pozisyon/unvan bilgisi, eğitim ve diploma bilgisi, askerlik durumu vb. verilerdir.

Özel Nitelikli Kişisel Veri

KVKK’nun 6. maddesinde belirtili veriler; Sağlık verileri, Ceza Mahkumiyeti ve Güvenlik Tedbirleriyle ilgili veriler vb…. verilerdir.

Görsel/İşitsel Veri

Fotoğraf ve kamera kayıtları vb. verilerdir.

Kimlik Doğrulama, Güvenlik ve Takip Verileri

Verileri işlenen ilgili kişilerin kimliğinin doğrulanması için işlenen veriler ile güvenliğin sağlanması doğrultusunda şirket içerisinde kurulan sistemler üzerinden toplanan; IP Adres Bilgileri, internet sitesi giriş ve çıkış Bilgileri, şifre ve parola bilgileri, log kayıtları vb verilerdir.

Lokasyon

İlgili kişinin bulunduğu yerin konum bilgisi verileridir.

Hukuki İşlem Verisi

Hukuk işlerinin takibi için işlenen; Adli makamlarla yazışmalar, dava dosyasındaki bilgiler vb verilerdir.

Talep/Şikayet Yönetimi Bilgisi

Şirkete yöneltilmiş olan her türlü şikayet/talebin alınması ve değerlendirilmesine ilişkin verilerdir.

Fiziksel Mekan Güvenliği Verisi

Şirketimiz ile ilişkisi bulunan gerçek ve/veya tüzel üçüncü kişi kurum ve kuruluşların (çalışanlar, ziyaretçiler, tedarikçiler, müşteriler, iş ortakları, üçüncü kişiler vb.) can ve mal Güvenlikleri ile hukuki, ticari ve iş sağlığı güvenliklerinin temini, şirketimizin kullanımında olan lokasyonların fiziksel güvenliği ve denetimi, çalışan giriş ve çıkışlarının takibi amacıyla alınan kamera kayıtlarıdır.

KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON

Kişisel Veri Sahibi Kategorisi Açıklaması

İlgili Kişi
Tanımı

Çalışan

Şirket bünyesinde çalışanlar

Çalışan adayı

Şirkete iş başvurusunda bulunmuş veya özgeçmiş/ bilgilerini şirkete sunmuş gerçek kişiler

Potansiyel Müşteri

Şirketten hizmet almak isteyen potansiyel müşteri adayları

Müşteri Şirket Yetkilisi/Çalışanları

Şirketin sözleşme ilişkisi içerisinde ürün veya hizmet sunduğu üçüncü şahıs tüzel kişiliklerin yetkilileri ve çalışanları/altişveren yetkilileri ve çalışanları

Tedarikçi Şirket Yetkilisi/Çalışanları

Şirkete mal veya hizmet sunan tedarikçi şirket ve alt işverenlerinin yetkilileri/çalışanları olmak üzere gerçek kişiler

3. kişi

Kişisel verileri işlenen ilgili kişiler(www.ccscanta.com.tr’ web sitesi üzerinden üyelik kapsamında veya üye olmaksın mal/hizmet satın alan üçüncü kişiler)

İşbirliği içerisinde olunan İş Ortağı Yetkilisi ve Çalışanları

Şirketin herhangi bir alanda işbirliği yaptığı üçüncü şahıs tüzel kişilik çalışan ve yetkilileri

Ziyaretçi

Şirketin faaliyette bulunduğu fiziksel yerleşkeleri veya internet sitesini ziyaret eden gerçek kişiler

10.6 ŞİRKET TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER

Şirket, KVKK’nun 8. ve 9. maddelerine uygun olarak politika ile yönetilen veri sahiplerinin kişisel verilerini , veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, aşağıda sıralanan kişi kategorilerine aktarabilir:

•Şirket müşterileri/alt işverenleri

•Şirket tedarikçileri/alt işverenleri

•Şirketin herhangi bir alanda iş ortaklığı yaptığı üçüncü şahıs tüzel kişilikler

•Gerçek kişiler ve özel hukuk tüzel kişileri (Kargo, kurye ve nakliye firmaları)

•Şirket yönetim kurulu üyeleri

•Hukuken Yetkili kamu kurum ve kuruluşları

•Hukuken Yetkili Özel Hukuk Tüzel Kişileri (Banka, Ödeme Kuruluşları vb)

Şirketten mal ve hizmet satın alan kişilerin ödemelerini kredi kartı ile yapmaları halinde, kredi kartı bilgilerinin şirketimiz tarafından kaydedilmeksizin ilgili banka, elektronik ödeme kuruluşu vb. hizmeti sağlayan üçüncü kişilere aktarıldığını ayrıca belirtiriz.

Kişisel Veri Aktarımı Yapılabilecek Kişiler ve Veri Aktarım Amacı

Veri Aktarımı Yapılabilecek Kişiler

Veri Aktarım Amacı

Şirket Tedarikçileri/Alt İş Verenleri

Şirketin ticari faaliyetlerinin icrası için dış kaynaklı olarak mal/hizmet alımlarının sağlanması, sözleşmesel yükümlülüklerin ifası ve veri sorumlusunun meşru menfaati ile sınırlı olarak

Şirket Müşterileri/Alt İşverenleri

Şirketin sözleşme ilişkisi içerisinde mal veya hizmet ifa ettiği müşterilerle akdedilmiş sözleşmelerden kaynaklanan hukuki, ticari ve idari yükümlülüklerin ifası ve veri sorumlusunun meşru menfaati ile sınırlı olarak

Şirket İş Ortakları

İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek, sözleşmeden kaynaklanan yükümlülüklerin yerine getirilmesi ve veri sorumlusunun meşru menfaati ile sınırlı olarak

Hukuken Yetkili Özel Hukuk Tüzel Kişileri (Banka ve ilgili ödeme kuruluşları)

Şirketin mal veya hizmet ifa ettiği müşteriler/üçüncü kişilerle mevcut sözleşmelerden kaynaklanan ödeme işlemlerinin gerçekleştirilmesi ile sınırlı olarak

Şirket Yönetim Kurulu Üyeleri

İlgili mevzuat hükümlerine göre şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak

Hukuken Yetkili Kamu Kurum ve Kuruluşları

Kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla ve ayrıca ilgili kanunlar gereği bir hakkın tesisi, veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi ve veri sorumlusunun meşru menfaati ile sınırlı olarak

Gerçek Kişiler ve Özel Hukuk Tüzel Kişileri (Kargo, kurye, nakliye firmaları)

Şirketin mal veya hizmet ifa ettiği müşterilere mal teslim süreçlerinin planlanması ve icrası, veri sorumlusunun hukuki yükümlülüklerinin yerine getirilmesi amaçlarıyla sınırlı olarak

11.KİŞİSEL VERİLERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

Kişisel verileriniz, şirketimiz ile aranızdaki ilişkiye bağlı olarak değişkenlik gösterebilmekle birlikte; otomatik ya da otomatik olmayan yollarla, şirket merkezi, şubeler, şirkete ait satış ve pazarlama kanalı, mağazalar, web sitesi, müşteri hizmetleri ve benzeri vasıtalarla sesli, sözlü, yazılı ya da elektronik olarak toplanabilecektir. Kişisel verileriniz, şirketimiz ile ilişkiniz devam ettiği müddetçe oluşturularak ve güncellenerek işlenebilecek, gerek dijital gerekse de fiziki ortamda muhafaza altında tutulabilecektir.

12. VERİ SORUMLUSU SIFATI İLE ŞİRKETİN YÜKÜMLÜLÜKLERİ

Şirket, kişisel verilerin elde edilmesi sırasında yetkilendirdiği kişilerle, ilgili kişilere;

•Veri sorumlusunun ve varsa temsilcisinin kimliği,

•Kişisel verilerin hangi amaçla işleneceği,

•İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

•Kişisel veri toplamanın yöntemi ve hukuki sebebi,

•11 inci maddede sayılan diğer hakları

konularında bilgi vermektedir.

13. İLGİLİ KİŞİNİN HAKLARI

13.1 Kişisel Veri Sahibinin Aydınlatılması

Şirket tarafından, ilgili kişilere ‘Aydınlatma Metni’ ile; kişisel verilerin toplanma yöntemi ve hukuki sebebi, kişisel verilerin işlenme amaçları, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ve kişisel veri sahibinin KVKK m. 11’de sayılan hakları konularında bilgilendirme yapılmaktadır.

13.2 Kişisel Veri Sahibinin KVKK çerçevesindeki Hakları

KVKK’ nın “İstisnalar” başlıklı 28. maddesinde öngörülen haller saklı kalmak kaydıyla, Kanun’un 11. maddesi çerçevesinde ilgili kişiler Şirkete başvurarak, kişisel verilerin;

•İşlenip işlenmediğini öğrenme,

•İşlenmişse buna ilişkin bilgi verilmesini talep etme,

•İşlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme,

•Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,

•Eksik veya yanlış işlenmiş ise düzeltilmesini isteme,

•Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,

•(e) ve (f) bentleri uyarınca yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesin isteme,

•Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

•Kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahiptir.

13.3 Kişisel Veri Sahibinin Haklarını Kullanması

Şirket, ilgili kişilerin haklarını nasıl kullanacağına ilişkin olarak yol göstermekte olup, başvurular şirketin www. www.ccscanta.com.tr adresinde yer alan ‘Veri Sahibi Başvuru Formu’ doldurulduktan sonra, aşağıda yer alan yöntemlerle yazılı veya elektronik ortamda yapılabilmektedir.

Yazılı olarak talepte bulunulması halinde;

Veri Sahibi Başvuru Formu’ nun ıslak imzalı bir nüshasını, ‘adresine kimliğinizi tespit edici bir belge ile şahsen veya 11. madde kapsamında sayılan haklara ilişkin başvuru yapmaya yetkili olduğunuzu gösterir ve noter tasdikli bir vekâletname ile vekaleten teslim edebilir ya da noter veya iadeli taahhütlü posta aracılığıyla şirketin adresi olan; ‘Osmangazi Mah. 2627 Sk. No:2 Kıraç/Esenyurt/İSTANBUL ’ adresine gönderilebilmektedir.

Elektronik olarak talepte bulunulması halinde;

Veri Sahibi Başvuru Formu’ nu, 5070 sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” sertifikasına sahip bir elektronik ya da mobil imza ile imzalayarak, başvuru yapmak istediğiniz şirketin ekteki listede yer alan şirketin Kayıtlı Elektronik Posta (KEP) cavusoglu.canta@hs01.kep.tr adresine veya Şirketin info@ccscanta.com.tr com mail adresine gönderilebilmektedir.

13.4 Şirketin Başvurulara Cevap Verme Süresi

Şirkete ilettiğiniz talepleriniz, talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde, Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’ in 7. maddesinde belirlenen işlem ücreti karşılığında, yazılı olarak veya elektronik ortamda cevaplandırılmaktadır.

14. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANILMASI

14.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler

•Şirket, KVK Kanunu uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik tedbirleri almakta, gerekli denetimleri yapmakta veya yaptırmaktadır.

•30.12.2017 tarih, 30286 sayılı Resmi Gazete’ de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren ‘Veri Sorumluları Sicili Hakkındaki Yönetmelik” m.11/3 uyarınca; Kişisel Veri işleme amaç ve yollarının belirlenmesi, Veri İşleme Süreçlerinin takibi ve denetimi, KVK Kanunu ve ikincil düzenlemeler kapsamında yükümlülüklerin etkin olarak yerine getirilmesi, Kişisel Verilerin KVKK prosedürlerine uygun şekilde korunmasına yönelik güvenlik düzeyini temin için gelişmelerin ve idari faaliyetlerin takip edilerek gerekli KVKK prosedürlerinin hazırlanması, teknik ve idari önlemlerin alınması, Politikanın yürürlük ve denetiminin sağlanması amacıyla, şirket bünyesinde ‘Veri Sorumlusu Temsilcisi’ atanmıştır.

•Teknik konularda mevcut personelimize ek olarak teknik personel istihdam edilmektedir.

•Kişisel veri işleme faaliyetleri teknik sistemlerle denetlenmekte, ilgili denetim raporu Veri Sorumlusu Temsilcisi ve Yönetim Kurulu tarafından da incelenmek suretiyle alınması gereken ek teknik tedbirler belirlenerek ivedilikle uygulamaya koyulmaktadır.

•KVK Kanunu kapsamında alınması gereken teknik önlemler çerçevesinde, ilgili mevcut altyapının veri güvenliği açısından analizi ve varsa eksiklik /iyileştirme noktalarının belirlenmesi, mevcut veri güvenliği durum tespiti sırasında ortaya çıkan uyumlu olmayan alanların geliştirilmesi amacıyla oluşturulan yol haritası doğrultusunda ilgili eksikliklerin giderilmesi, verilere dışarıdan yapılabilecek yetkisiz erişimlerin engellenmesi için gerekli yazılım ve donanımların kurulması ve ilgili testlerin yapılması amacıyla üçüncü kişi/kuruluşlarla teknik destek konusunda sözleşmeler akdedilecektir.

•Kişisel Veriler Koruma Kurulu Kararları ve ikincil düzenlemeler kapsamında doğacak yükümlülüklerle ilgili olarak gerekli iç prosedürler ivedi olarak oluşturulmakta ve ilgili teknik tedbirler düzenlenerek çalışanlara bildirilmektedir

14.2 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler

Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

•Şirket çalışanlarına 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili yönetmelikler çerçevesinde bilgilendirme çalışmaları yapılmakta ve bu konuda periyodik olarak eğitimler verilmektedir.

•Çalışanlardan hizmet akitlerinin devamı süresince öğrenmiş oldukları kişisel ve özel nitelikli verilerin işlenmesinde KVK Kanununda öngörülen hükümlere uygun davranacakları, bu verileri kanunda belirtili ölçü, kapsam, süre, Şirketin tabi olduğu mevzuat ve ikincil düzenlemeler kapsamı haricinde başka herhangi bir amaçla ve açık rıza gerektiren konularda veri sahibinin açık rızasını vermiş olduğu amaç dışında işlemeyecekleri, kişisel veri sahibinin Şirkete verilmiş ‘açık rızası’ olmadıkça kanunen paylaşmakla yükümlü olunan kuruluşlar dışında verilerin yurtiçi ve yurtdışındaki üçüncü kişilere aktarılmayacağı, bu yükümlülüklerin hizmet akdinin sona ermesinden sonra da devam edeceği, kişisel verilerin herhangi bir çalışan tarafından hukuka aykırı olarak işlendiğinin öğrenilmesi halinde durumun derhal Veri Sorumlusu Temsilcisi’ne iletme yükümlülüğünün bulunduğu hususlarında taahhütleri alınmakta ve sözleşmelerde ihlaller halinde uygulanacak yaptırımlar belirlenmektedir.

•Şirket ile sözleşme ilişkisi içerisinde olan veri işleyen kişi/kuruluşlarla devam eden sözleşmelerde ve yapılmakta olan sözleşmelerde, veri işleyenin kendisine aktarılan kişisel verileri veri işleme amaç ve kapsamı dışında işlemeyeceği, bu verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik olarak her türlü teknik ve idari tedbiri alacakları, kişisel verileri sözleşmeye aykırı olarak üçüncü şahıslara ifşa etmeyecekleri konularında taahhütleri alınmaktadır.

•Şirket departmanları tarafından yürütülen kişisel veri işleme faaliyetleri incelenerek oluşturulmuş ‘Veri Envanteri’ doğrultusunda, çalışanların kişisel ve özel nitelikli verilere erişimi departman bazında yetki sınırlandırılma kararları ile düzenlenmektedir. İlgili denetimler Veri Sorumlusu Temsilcisi tarafından yapılmaktadır.

•Kişisel Verilerin güvenli olarak saklanılması, bu verilerin hukuka aykırı olarak işlenmesi, yok edilmesi, değiştirilmesi veya silinmesini önlemek için uygulama maliyetlerine göre gerekli idari tedbirler alınmaktadır.

14.3 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler

•Kişisel verilere hukuka aykırı olarak yetkisiz erişimi engellemek, bu verilerin tedbirsizlik veya yetkisiz olarak ifşa edilmesini engellemek amacıyla, uygulama maliyetlerine göre teknik tedbirler alınmakta, periyodik olarak güncellenmekte ve yenilenmektedir.

•Kişisel Veriler Koruma Kurulu Kararları ve ikincil düzenlemeler kapsamında doğacak yükümlülüklerle ilgili olarak gerekli iç prosedürler ivedi olarak oluşturulmakta ve teknik tedbirler düzenlenerek çalışanlara bildirilmektedir.

•Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

•Yetki sınırlaması yönünde alınan idari ve teknik kararlarla, çalışanların kendilerine tahsis edilen yetki çerçevesinde bilgilere erişmesi ve bu bilgileri kullanması sağlanmaktadır.

14.4. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler

Şirket tarafından kişisel verilere hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

•Kişisel verilere erişim ve yetkilendirme süreçlerine ilişkin idari kararlar alınarak uygulanmakta, ilgili kararlar konusunda çalışanlara bilgilendirme yapılmakta ve kararların uygulanması gruba dahil her bir şirketin Veri Sorumlusu Temsilcisi tarafından da denetlenmektedir.

•Çalışanlar, öğrendikleri kişisel verileri mevzuata aykırı olarak başkasına açıklayamayacakları, işleme amacı dışında kullanamayacakları ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda hizmet sözleşmelerinde gerekli düzenlemeler yapılmaktadır.

•Şirkette staj yapan stajyerler, staj süresince herhangi bir şekilde öğrenilen kişisel verilerin, KVK Kanununa aykırı olarak başkasına açıklanmayacağı, bu verilere hukuka aykırı olarak erişilemeyeceği, verilerin işleme amacı dışında kullanılamayacağı konusunda bilgilendirilmekte ve stajyerlerden ilgili taahhütler alınmaktadır.

•Gizli dokümanların tüm sayfalarına “GİZLİDİR” ifadesi basılmaktadır.

•Hizmet sözleşmelerinde ‘gizli bilgi’’nin tanımı yapılmakta olup, çalışanların gizli bilgileri kanuna uygun olarak gizli tutmak ve korumak için gerekli her türlü özeni göstereceği, bu bilgileri Şirketin yazılı izni olmadan kopyalayıp saklamayacakları, mevzuat hükümleri çerçevesinde paylaşmakla yükümlü olduğu kuruluşlar dışında hiçbir üçüncü kişi ile yazılı, sözlü ve/veya elektronik ortamda paylaşmayacakları, gizli bilgilerin, bir başka çalışan tarafından ek protokol hükümlerine aykırı olarak ifşa edildiğini öğrenmesi halinde durumu derhal sorumlu olduğu birim yetkilisine yazılı olarak bildirecekleri, hizmet sözleşmesinin sona ermesi halinde gizli bilgileri içeren materyal, araç ve dokümanları teslim tutanağı mukabilinde Şirkete teslim edecekleri taahhütleri alınmaktadır.

14.5. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler

Kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

•Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.

•Teknik konularda uzman ek personel istihdam edilmektedir.

•Sunucular, fiziksel olarak güvenli ortamlarda tutulmaktadır. Bu ortamlara girebilecek teknik personel belirlenerek, yetkisiz girişler engellenmiştir.

•Çalışanların şirket sistemlerine girişleri kullanıcı adı ve parolası ile yapılmakta olup, çalışanlar kullanıcı adı ve şifresini üçüncü kişilerle paylaşmamaları gerektiği konusunda eğitilmektedir.

•Sunucu üzerinde çalışan işletim sistemlerinin, sistem yazılımlarının ve güvenlik amaçlı yazılımların sürekli güncellenmesi sağlanmaktadır.

•Sunucu günlükleri (loglar) düzenli aralıklarla denetim ve izlemeye tabi tutulmaktadır.

•Veri tabanı sunucuları, modemler, santral, anti-virüs programı, toplu eposta gönderim yazılımı erişim şifreleri sadece Bilgi İşlem Sorumlusu nezdinde tutulmaktadır.

14.6. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

•Şirket, KVK Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumun ivedilikle ‘Veri Sorumlusu Temsilcisi’ne, ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmek üzere gerekli idari tedbirleri almaktadır.

15. ŞİRKET BİNA GİRİŞİ VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ

Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak, şirketimiz merkezinde, şirketimiz ile İlişkisi Bulunan Gerçek ve/veya Tüzel Üçüncü Kişi Kurum ve Kuruluşların (çalışanlar, çalışan adayları, ziyaretçiler, tedarikçi şirket çalışanları ve yetkilileri, müşteri yetkilileri ve çalışanları, işbirliği içerisinde olunan üçüncü şahıs yetkilileri ve çalışanları, üçüncü kişiler vb.) Can ve Mal Güvenlikleri ile Hukuki, Ticari ve İş Sağlığı Güvenliklerinin Temini, Giriş ve Çıkışların Takibi, şirketimizin kullanımında olan binanın fiziksel güvenliği ve denetimi amaçlarıyla sınırlı olarak güvenlik kamerasıyla izleme faaliyeti sürdürülmektedir. KVKK’nun 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi aydınlatılmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

16. KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ

Kişisel veriler, kanunlar ile ikincil düzenlemeler kapsamında ilgili yükümlülüklerin yerine getirilebilmesi için, veri işleme ve zamanaşımı sürelerine riayet edilerek işlenmekte ve kanunlarda veri işleme sürelerine ilişkin değişiklik yapılması halinde, belirlenen yeni süreler esas alınmaktadır.

17. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Şirket tarafından, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi için gerekli idari tedbirler alınmakta ve ayrıca bu konuda teknik alt yapıyı kurma çalışmalarına devam edilmektedir.

18. GÜNCELLEME Bu Politikayı güncelleme; Şirket Yönetim Kurulu tarafından alınacak karar çerçevesinde yapılacak ve yürürlüğe girecektir. Şirket, mevzuattaki değişmeler kapsamında Politikayı gözden geçirme ve güncelleştirme hakkını saklı tutar.