KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ, SAKLANMASI VE İMHASI POLİTİKASI

1. BÖLÜM

AMAÇ, KAPSAM, KISALTMALAR VE TANIMLAR

1.1.Amaç 

Kişisel Verilerin Korunması, İşlenmesi, Saklanması Ve İmhası Politikası (“Politika”), İzmir Selen Kimya San. Ve Tic. A.Ş’nce (“Şirket”) gerçekleştirilmekte olan  Kişisel verilerin işlenmesi, korunması,saklanması ve imhası faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Kişisel verilerin işlenmesi, korunması saklanması ve imhası konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir

Şirket; çalışanlar, çalışan adayları, müşteriler, hizmet sağlayıcılar, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan bu Politika’ya uygun olarak gerçekleştirilir.

1.2.Kapsam 

Şirket üyeleri, Şirket organlarında görev yapan üyeler,müşteriler, çalışanlar, çalışan adayları, ziyaretçiler, hizmet sağlayıcılar ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamındadır. Şirket’in 3. gerçek veya tüzel kişiler ile yaptığı sözleşmelerde işlenen kişisel verilerin korunması, saklanması ve imhası için ilgili 3. Kişilerle yapılan karşılıklı sözleşme esaslarına göre hareket edilir.Söz konusu kişisel verilerin ilgili olduğu kişilere ilişkin detaylı bilgilere işbu Politika’nın “İlgili Kişiler” Ek’inden ulaşılması mümkündür.

1.3.     Kısaltmalar ve Tanımlar 

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Şirket personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. 

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.  

Hizmet Sağlayıcı: Kişisel verilerin alınması, işlenmesi, saklanması, korunması ve imhası faaliyetlerinin herhangi birisini içerecek şekilde Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İrtibat kişisi: İlgili kişilerin Şirket’e ileteceği taleplerin cevaplandırılması konusunda görev yapan ve ilgili kişilerle iletişimi sağlayan personeli,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (Bu talimat kapsamında “Kişisel Veri” ifadesi uygun düştüğü ölçüde “Özel Nitelikli Kişisel Verileri de kapsar.)

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları döküm.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

 Komisyon: Şirket bünyesinde kişisel verileri koruma mevzuatı kapsamında görev yapmak üzere kurulan komisyonu

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

KVK düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı

KVKK / KVK-Kanun: 6698sayılı Kişisel Verilerin Korunması Kanunu’nu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Şirket:İzmir Selen Kimya San. Ve Tic. A.Ş

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Kişisel Verileri Saklama ve İmha Politikası

Veri ilgilisi başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri İlgilisi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Yönetim Kurulu: Şirket Yönetim Kurulu’nu

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Ziyaretçi: Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Şirket’in internet sitelerini ziyaret eden gerçek kişileri, ifade eder.

2. BÖLÜM

GÖREVLER

2.1.     Kişisel Verileri Koruma Birimi

              Kişisel verileri alma, işleme, koruma ve bu politika doğrultusunda saklama ve imha süreçlerinde Kişisel Verileri Koruma Kurumu nezdinde Şirket’i temsil etmek üzere üst yönetici sıfatıyla Yönetim Kurulu Başkanı görevlendirilmiştir. Yönetim Kurulu Başkanı’na bağlı olarak KVKK konusunda irtibat kişisi olarak da Şirket personeli içerisinden belirleme yapılmıştır. Şirket içerisinde KVKK konusunda iş ve işlemleri yürütmek üzere “İzmir Selen Kimya San. Ve Tic. A.Ş Kişisel Verileri Koruma Birimi” kurulur.

2.2.      Şirket’in Yöneticileri, ve Çalışanları

Şirket’in yöneticileri, organları, birimleri ve çalışanları Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, çalışanların eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu görevlilere aktif olarak eğitim ve destek verir.

Kişisel verilerin korunması kapsamında görev alan personelin görev tanımları ve çalışma esasları Şirket yönetimince hazırlanarak yayınlanan Şirket Kişisel Verileri Koruma Personel Talimatı ile belirlenir.

3. BÖLÜM

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

Şirketimiz nezdinde kişisel veriler, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde Veri İşleme Şartlarından en az birine dayalı ve sınırlı olarak, Şirketimiz iş faaliyetlerinin yürütülmesi çerçevesinde ortaya çıkan kişisel veri işleme amaçları doğrultusunda işlenmektedir. Söz konusu kişisel veri işleme amaçlarına ilişkin detaylı bilgiler Politika’nın Kişisel Veri İşleme Amaçları Ekinde yer almaktadır. Şirketimiz tarafından iş faaliyetlerinin yürütülmesi çerçevesinde işlenen kişisel veri kategorileri ve kategoriler hakkında detaylı bilgiler Kişisel Veri Kategorileri EK’inde yer almaktadır.

Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından Kurul’un 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda öngörülen yeterli önlemler çerçevesinde Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası içerisinde açıklanan kapsamda alınmakta ve bu doğrultuda yürütülen çalışmalar Şirketimiz bünyesinde gerçekleştirilen denetimler çerçevesinde takip edilmekte ve denetlenmektedir.

Hassasiyet arz eden kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle Kanun kapsamında özel önem atfedilmiştir. Kanun’un 6. maddesi uyarınca “özel nitelikli” kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler (“Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler”) sağlık, cinsel hayata ilişkin veriler (“Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler”) olarak belirlenmiştir.

3.1.     Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesine İlişkin Hususlar:

Hukuka ve Dürüstlük Kuralına Uygun İşleme: Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir

Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Şirketimiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.

Belirli, Açık ve Meşru Amaçlarla İşleme: Şirketimiz, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.

İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.

İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme: Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişinin başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

3.2.     Kişisel Verilerin İşlenme Şartları:  

İlgili Kişinin Aydınlatılması: Şirketimiz, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak ilgili kişileri kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.

İlgili Kişinin Açık Rızasının Bulunması: Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. İlgili kişinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, aşağıda yer alan “Özel Nitelikli Kişisel Verilerin İşlenmesi” bölümü içerisinde yer alan şartlar uygulanacaktır.

Kanunlarda Açıkça Öngörülmesi: İlgili kişinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.

Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması: İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.

Hukuki Yükümlülüğün Yerine Getirilmesi:

 Şirketimizin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

İlgili Kişinin Kişisel Verisinin Kendisi Tarafından Alenileştirmesi:  İlgili kişinin, kişisel verisini kendisi tarafından alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacı ile sınırlı olarak Şirketimiz tarafından işlenebilecektir

Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası’nda açıklanan yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Veriler: Kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rıza aranmaksızın işlenebilecektir. Aksi halde ilgili kişinin açık rızası alınacaktır.

Sağlık ve Cinsel Hayata İlişkin Özel Nitelikli Kişisel Veriler: Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde ilgili kişinin açık rızası alınacaktır.

3.4. İlgili Kişinin Aydınlatılması

Şirketimiz, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak ilgili kişileri kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.

4. BÖLÜM

KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak ilgili kişinin kişisel verileri ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir. Şirketimiz, bu doğrultuda Kanun’un 8’inci maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgi işbu Politika’nın “Şirketimiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları” ekinde yer almaktadır.

4.1.   Kişisel Verilerin Yurtiçinde Mukim Üçüncü Taraflara Aktarılması

         İlgili kişinin rızası olmasa dahi; Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi, kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması, Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması, Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.

4.2.   Kişisel Verilerin Yurt Dışında Mukim Üçüncü Taraflara Aktarılması: Şirketimiz tarafından kişisel verilerin yurt dışına aktarılması, aktarımın yapılacağı ülkenin Kurul tarafından belirlenecek olan güvenli ülkelerden biri olması veya olmaması haline göre aşağıda açıklanan doğrultuda gerçekleştirilecektir.

            Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip güvenli ülkelerden olmaması durumunda; kişisel veriler Veri İşleme Şartlarından en az birinin varlığı halinde ve Kanun’un 4’üncü maddesinde belirtilen temel ilkelere uygun olarak, İlgili kişinin açık rızasının varlığı halinde, Şirket ve ilgili ülkedeki veri alıcısının yeterli korumayı yazılı olarak taahhüt etmesi ve Kurul’un ilgili aktarıma yönelik izninin alınması durumunda yurt dışındaki üçüncü taraflara aktarılabilmektedir.

             Aktarımın yapılacağı ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip olan güvenli ülkelerden biri olması durumunda; kişisel veriler Veri İşleme Şartlarından herhangi birinin varlığı halinde aktarılabilecektir.

4.3.   Özel Nitelikli Kişisel Verilerin Aktarılması

 Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası’nda açıklanan yöntemler ile idari ve teknik tedbirler alınarak;

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rıza aranmaksızın aktarılabilecek, aksi halde ilgili kişinin açık rızası alınacaktır.

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir. Aksi halde ilgili kişinin açık rızası alınacaktır.

5.  BÖLÜM

SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket tarafından; Şirket yöneticileri, çalışanlar, çalışan adayları, müşteriler, ziyaretçiler, hizmet sağlayıcı olarak ilişkide bulunulan kurum veya kuruluşların çalışanları ile diğer 3. kişilere ait kişisel veriler Kanun’a ve ikincil mevzuata uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

5.1. Saklamaya İlişkin Açıklamalar 

Kişisel veriler, Şirket tarafından hukuka uygun olarak güvenli bir şekilde saklanır. Saklama işlemi sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.), Yazılımlar (Ofis yazılımları,VERBİS vb.), Bilgi güvenliği cihazları (günlük kayıt (log) dosyası), Kişisel bilgisayarlar (Masaüstü, dizüstü), Mobil cihazlar (telefon, tablet vb.), Optik diskler (CD, DVD vb.) ve çıkartılabilir bellekler (USB Bellek, Hafıza Kart vb.), Yazıcı, tarayıcı, fotokopi makinesi, Kâğıt, Manuel veri kayıt sistemleri (formlar, ziyaretçi giriş defteri) ve sair yazılı, basılı ve görsel ortamlar cinsinden olabilir. Hangi kişisel verinin hangi yöntemle toplanacağı ve hangi ortamda saklanacağına dair ayrıntılı bilgiler Kişisel Veri Envanterinde güncel olarak bulundurulacaktır.

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Şirketimiz faaliyetleri çerçevesinde özel nitelikli kişisel veri alınmamakta ve işlenmemektedir. Kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanmaktadır. İşleme sürelerinin neler olduğu toplanan her bir verinin toplanması konusunda hukuki sebebini teşkil eden mevzuat hükümlerinin öngördüğü süreler kadar olacaktır. Bu nedenle, standart bir imha süresi belirlemek mümkün değildir.

Kişisel verilerin ne kadar süre ile saklanacağı ve hangi durum ve şartlarda imha edileceği Veri Envanteri ile aydınlatma metinlerinde teferruatlı olarak belirtilecektir. Belirlenen bu süre, durum ve şartlar aydınlatma metinleri vasıtasıyla ilgili kişilere veri toplama sırasında ayrıntılı olarak bildirilecektir. Ancak, genel olarak kişisel verisi işlenen ilgili kişinin kişisel verisinin kendisi tarafından değiştirilmesini veya imha edilmesini talep etmesi kişisel verisinin işleme sebebinin halen daha bulunup bulunmadığı veri sorumlusu tarafından tekrar değerlendirilecektir.

Yurtiçinde üçüncü kişilere aktarılan kişisel verilerin saklanması ile ilgili koşullar bu kişilerle yapılan sözleşmelerde belirlenecektir. Aktarılan bu verilerin saklanması ile ilgili olarak, veri alıcılarının da birer veri sorumlusu veya veri işleyen sıfatını haiz gerçek veya tüzel kişi olduğu, bu nedenle KVK ile ilgili tüm mevzuatın uygulanmasından sorumlu oldukları gerçeğinden hareketle, veri ihlali durumunda Şirket’e herhangi bir hukuki sorumluluk yüklenmeyecektir. Şirket’in sorumluluğu sadece verilerin transferi sırasında bu verilerin sözleşmenin karşı tarafının hâkimiyet alanına intikaline kadar olan sürede meydana gelen ihlaller sebebiyle olacaktır.

Yurtdışına kişisel veri aktarılmayacak ve yurtdışında veri saklanmayacaktır. Ancak, Şirket web sitesinin yönetimi, elektronik sistemler üzerinden yapılan eğitim ve satış faaliyetleri gibi teknik işler sırasında verilerin yurtdışında kurulu veritabanı, sunucu vb. ortamlarda muhafazası gündeme gelebilmektedir. Bu konuda hizmet sağlayan alt yükleniciler ile yapılan sözleşmelere hüküm konulacaktır.

Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 193   sayılı Gelir Vergisi Kanunu, 5520 sayılı Kurumlar Vergisi Kanunu, 213 sayılı Vergi Usul Kanunu, 3065 sayılı Katma Değer Vergisi Kanunu, 488   sayılı Damga Vergisi Kanunu, 492   sayılı Harçlar Kanunu, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 5651sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 4982 Sayılı Bilgi Edinme Kanunu, 4857 sayılı İş Kanunu, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 7194 sayılı Dijital Hizmet Vergisi İle Bazı Kanunlarda Ve 375 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılması Hakkında Kanun, ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler ile sair mevzuat gereği olarak mevzuatta öngörülen saklama süreleri kadar saklanmaktadır.

Mevzuatta saklanma süresi belirlenmemiş durumlarda kişisel verilerin hangi sürelerde saklanacağı gereklilik ve ölçülülük ilkelerine uygun olarak, Kişisel Veri Envanterinde yazılı esaslar dâhilinde veri sorumlusu tarafından belirlenmektedir.

Şirket faaliyetleri çerçevesinde işlenmekte olan kişisel veriler, Kişisel Veri Envanterinde belirtilen amaçlar doğrultusunda saklanacaktır. 

5.2.  Teknik Tedbirler 

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

5.2.1.    Sızma (Penetrasyon) testleri ile Şirketimiz bilişim sistemlerine yönelik risk, tehdit,  zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.

5.2.2.    Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.

5.2.3.    Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.

5.2.4.    Şirket’in bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

5.2.5.    Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.

5.2.6.    Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.

5.2.7.    Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.

5.2.8.    Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.

5.2.9.    Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.

5.2.10.Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.

5.2.11.Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

5.2.12.Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

5.2.13.Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.

5.2.14.Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

5.2.15.Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.

5.2.16.Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

5.3.  İdari Tedbirler 

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

5.3.1.    Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, bilgi güvenliği, 4857 sayılı İş Kanunu ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.

5.3.2.    Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.

5.3.3.    Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü mevcuttur.

5.3.4.    Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

5.3.5.    Kişisel veri işleme envanteri hazırlanmıştır.

5.3.6.    Şirket içi periyodik ve rastgele denetimler yapılmaktadır. Denetimde standardizasyonu sağlamak için denetleme kontrol formları geliştirilmiştir.

5.3.7.    Çalışanlara verilmektedir.

5.3.8.    Kişisel veri içeren belgelere erişim ile ilgili yetki ve sorumluluklar belirlenmiştir.

5.3.9.    Kişisel verilerin korunmasına ilişkin fiziki güvenlik tedbirleri alınmıştır.

5.4.  İmhaya İlişkin Açıklamalar

Kişisel veriler, Kişisel Veri Envanterinde belirtilen süre sonunda ve yine Envanter’de belirlenen işleme sebeplerinin ortadan kalkması durumunda imha edilecektir. Kişisel Veri Envanterinde bulunan özel şartlara ilave olarak; İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması, işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi, Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi veya İlgili kişinin, Şirket’in verdiği cevabı yetersiz bulması veya Şirket’in Kanunda öngörülen süre içinde cevap vermemesi hallerinde; İlgili kişinin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında imha işlemi yapılacaktır. İmha işlemi verilerin yok edilmesi veya anonim hale getirilmesi yönetmiyle gerçekleştirilir.

Kişisel verilerin güvenli bir şekilde saklanmasının sağlanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle, Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

5.5.  Kişisel Verileri İmha Teknikleri 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

5.5.1. Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

5.5.2.Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

5.5.3.Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

5.5.4.Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

5.6.  Kişisel Verilerin Yok Edilmesi 

Kişisel veriler, Şirket tarafından aşağıda açıklanan yöntemlerle yok edilir.

5.6.1.    Fiziksel Ortamda Yer Alan Kişisel: Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

5.6.2.    Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin kırılması, eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.

5.7.      Kişisel Verilerin Anonim Hale Getirilmesi 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. İstatistik, tarihçe vb. sebeplerle yok edilmeyerek anonim hale getirilmesine karar verilen Kişisel veriler, veri ilgilisi ile ilişkilendirilemeyecek ve geri döndürülemeyecek derecede üzeri çizilmek, boyanmak, silinmek suretiyle tahrif edilir. Elektronik ortamdaki veriler için geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

5.8.      İmha Sonrası İşlemler

Fiziksel ve elektronik ortamda işlenen kişisel verilerin imhası için görevlendirilen personel, evrakı imha işlemine tabi tutmadan önce imha edilen evrakın konusu, tarihi, nereye gönderildiği veya nereden geldiği, kaç nüsha/sayfa olduğu gibi hususları içeren evrakı tanıtıcı bilgileri bir tutanak haline getirecek ve veri sorumlusuna verecektir.

6.BÖLÜM

SAKLAMA VE İMHA SÜRELERİ

6.1. Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili, kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde, Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta, Süreç bazında saklama süreleri ise Bu Politikada yer alır. Söz konusu saklama süreleri üzerinde, gerekmesi halinde Kişisel Verileri Koruma Komisyonu’nca güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi veri sorumlusu tarafından yerine getirilir.

 6.2. Süreç bazında saklama ve imha süreleri

6.2.1 Şirket  İşlemleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

6.2.2 Sözleşmeler: Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

6.3.3 Şirket İletişim Faaliyetlerini Kayıtları: Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

6.3.4 İnsan Kaynakları Süreçlerine ilişkin kayıtlar:  Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde ,

6.3.5 Log Kayıtları: 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

6.3.6 Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

6.3.7 Ziyaretçi ve Toplantı Katılımcılarının Kaydı: Etkinliğin sona ermesini takiben 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde,

6.3.8 Kamera Kayıtları: 3 ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

6.3.9 Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket’de her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

7.BÖLÜM

DİĞER HUSUSLAR

7.1. Politika’nın Yayınlanması Ve Saklanması

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, https://kimyanizionemsiyoruz.cominternet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da veri sorumlusu dosyasında saklanır.

7.2. Politika’nın Güncellenme Periyodu

Politika, mevzuatta değişiklik olduğu her durumda ve ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

7.3. Politikanın Yürürlüğü Ve Yürürlükten Kaldırılması

Politika, Yönetim Kurulu Kararı ile Şirket’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.  Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları veri sorumlusu tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile veri sorumlusu tarafından saklanır.

EK-1 KİŞİSEL VERİ İŞLEME AMAÇLARI

1.    Şirketimizin insan kaynakları politikalarının ve süreçlerinin planlanması ve/veya icra edilmesi:
2.     İş sağlığı ve/veya güvenliği çerçevesinde gerçekleştirilmesi gereken faaliyetlerin planlanması ve/veya icrası,
3.    Çalışan adaylarının başvuru, seçme ve değerlendirme süreçlerinin planlaması ve/veya yürütülmesi,
4.    Çalışanlarla ilgili idari ve adli süreçlerin planlanması ve/veya yürütülmesi,
5.    Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası,
6.       Şirket faaliyetlerinin Şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve/veya icrası
7.       Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası
8.        Hukuk işlerinin takibi Resmi kurum ve/veya kuruluşlardan talep edilen bilgi veya belge ile taleplerin sağlanması ve kayıt altına alınması faaliyetlerinin planlanması ve/veya icrası
9.       Şirket operasyonlarının güvenliğinin temini Şirketimizin yasal uyumluluk faaliyetlerinin planlanması ve/veya icrası
10.         Kimlik doğrulama faaliyetlerinin planlanması ve/veya icrası
11.         Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi
12.        Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini
13.        Acil durum ve/veya olay yönetimi süreçlerinin planlanması ve/veya icrası
14.         Bilgi teknolojileri alt yapısının oluşturulması ve/veya yönetilmesi
15.        Şirketimizin iç/dış denetim, teftiş ve/veya kontrol faaliyetlerinin planlanması ve/veya icrası
16.       Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini Bilgi güvenliği süreçlerinin planlanması, denetimi ve/veya icrası
17.         Re’sen veya şikayet üzerine iç denetim/iç kontrol/soruşturma/istihbarat faaliyetlerinin planlanması ve/veya icrası
18.     Ziyaretçi kayıtlarının oluşturulması ve/veya takibi
19.       Ana hissedarlarla olan ilişkilerin planlanması ve/veya icrası
20.    Şirket tarafından ve/veya Şirketimiz nam ve hesabına sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve/veya icrası
21.       Müşteri memnuniyeti ve/veya tecrübesine yönelik aktivitelerin planlanması ve/veya icrası
22.       Kampanya ve/veya promosyon ve/veya tanıtım süreçlerinin planlanması ve/veya icrası
23.        Pazarlama faaliyetlerine konu yapılacak kişilerin tüketici davranışı kriterleri doğrultusunda tespiti ve/veya değerlendirilmesi
24.       Kişiye özel pazarlama ve/veya tanıtım aktivitelerinin (veri zenginleştirme, profilleme, segmentasyon ve benzeri) tasarlanması ve/veya icrası
25.        Çekiliş/yarışma aktivitelerinin planlanması ve/veya icrası
26.        Dijital ve/veya diğer mecralarda reklam ve/veya tanıtım ve/veya pazarlama aktivitelerinin tasarlanması ve/veya icrası
27.       Dijital ve/veya diğer mecralarda müşteri kazanım ve/veya mevcut müşterilerde değer yaratımı üzerine geliştirilecek aktivitelerin tasarlanması ve/veya icrası
28.       Pazarlama amacıyla veri analitiği çalışmalarının planlanması ve/veya icrası
29.         Ürün ve hizmetlerin satış ve/veya pazarlaması için pazar araştırması faaliyetlerinin planlanması ve/veya icrası
30.        Şirketimiz tarafından gerçekleştirilen anket çalışmalarına ilişkin faaliyetlerin planlanması ve/veya icrası
31.       Şirketimizce sunulan diğer ürünlerle ilgili çapraz satış aktivitelerinin planlanması ve/veya icrası
32.         Şirketimizin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası
33.     Kampanya performanslarının ölçümü ve raporlanması faaliyetlerinin planlanması ve/veya icrası
34.       Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve/veya icrası
35.    Şirketimiz tarafından ve/veya Şirketimiz nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların yapılması ve ilgili iş süreçlerinin yürütülmesi
36.       Ürün ve/veya hizmetlere başvuru ve/veya satış süreçlerinin oluşturulması ve/veya takibi
37.        Ürün ve/veya hizmetlere erişim ve/veya kullanımda müşterinin kullanacağı kanallara uygun araçların ve/veya bilgilerin müşteriye sağlanması süreçlerinin planlanması ve/veya icrası
38.        Satın alınan ürünlerin teslimatına/montajına ilişkin faaliyetlerin planlanması ve/veya icrası
39.       Dijital ve/veya diğer mecralarda toplanan müşteri talep ve/veya şikayetlerinin değerlendirilmesi, takibi ve/veya yönetimi
40.        Ürünlerin/hizmetlerin ödeme işlemlerinin gerçekleştirilmesi ve/veya takibi
41.        Fatura tanzimi, doğrulama ve/veya iptali işlemlerine ilişkin faaliyetlerin planlanması ve/veya icrası
42.       Ürünlerin iadesine/yenilenmesine/tamirine ilişkin faaliyetlerin planlanması ve/veya icrası
43.       Müşteri ilişkileri yönetimi süreçlerinin planlanması ve/veya icrası
44.         Üyelik oluşturulması Üyelik bilgisi değişikliği ve/veya iptali işlemlerinin planlanması ve/veya icrası
45.        Ürün/hizmet garanti süreçlerinin oluşturulması ve/veya takibi
46.       Siparişlerin alınması, sisteme girişlerinin yapılması ve/veya takibi
47.         Sanal pos/nakit tahsilat işlemlerinin planlanması ve/veya icrası
48.    Şirketimiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi
49.       Finans ve/veya muhasebe işlerinin takibi
50.       Satın alma süreçlerinin planlanması ve/veya icrası
51.        Gümrük faaliyetlerinin planlanması ve/veya icrası
52.       İş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası
53.        İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası
54.        Lojistik/nakliye faaliyetlerinin planlanması ve/veya icrası
55.       Tedarik zinciri yönetimi süreçlerinin planlanması ve/veya icrası
56.       Operasyon ve/veya verimlilik süreçlerinin planlanması ve/veya icrası
57.         Çalışanlarımızın ve Şirket dışındaki kişilerin bilgiye erişim yetkisinin tanımlanması ve/veya denetimi
58.        Şirketimizle iş ilişkisi içerisindeki 3. kişi şahıs çalışanlarının iş takibinin sağlanması faaliyetlerinin planlanması ve/veya icrası
59.       Alt işveren çalışanlarına/yetkililerine/hissedarlarına yönelik memnuniyet ve bağlılık faaliyetlerinin planlanması ve/veya icrası
60.    Şirketimizin ticari ve/veya iş stratejilerinin planlanması ve/veya icrası
61.       Potansiyel iş ortağı/tedarikçi/alt yüklenici seçimi için risk değerlendirme faaliyetlerinin ve/veya fizibilite çalışmalarının planlanması ve/veya icrası
62.        İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi Yatırım süreçlerinin planlanması ve/veya icrası
63.        Bütçe çalışmalarının yapılması ve/veya icrası

EK-2 - İLGİLİ KİŞİ KATEGORİLERİ

1.    Çalışan Adayı: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan çalışan veya stajyer adayları anlamına gelmektedir.
2.    Şirket Yetkilisi: Şirketimizi temsil ve idare ile yetkili yönetim kurulu üyesi gerçek kişiler anlamına gelmektedir.
3.    İnternet Sitesi / Mobil Uygulama Üyesi Gerçek Kişi Müşteriler: Şirketimizin ürün ve hizmetlerinden faydalanmak ve alışveriş kolaylığı sağlamak amacıyla Şirketimizin internet sitelerine ve/veya mobil uygulamalarına üye olan gerçek kişiler anlamına gelmektedir.
4.    İnternet Sitesi / Mobil Uygulama Üyesi Olmayan Gerçek Kişi Müşteriler: Şirketimizin internet sitesi ve/veya mobil uygulamalarına üye olmadan Şirketimizin sunmuş olduğu ürün ve/veya hizmetlerden faydalanan gerçek kişiler anlamına gelmektedir.
5.    Mağaza Müşterisi: Şirketimizin sunmuş olduğu ürün ve hizmetlerden mağazalarımızı ziyaret etmek suretiyle faydalanan gerçek kişiler anlamına gelmektedir.
6.    Talep / Şikayet Tarafı: Şirketimiz ürün ve hizmetlerinden yararlanmış olsun veya olmasın görüşlerini, şikayetlerini, önerilerini veya diğer taleplerini Şirketimize ileten gerçek kişiler anlamına gelmektedir.
7.    Referans Tarafı: Şirketimize iş başvurusunda bulunan çalışan ve/veya stajyer adaylarımızın değerlendirilmesi süreçlerinde referans olarak göstermiş oldukları gerçek kişiler anlamına gelmektedir.
8.    Kiralayan / Kiraya Veren: Şirketimiz lokasyonları için kiralanan gayrimenkulleri kiraya veren gerçek kişiler anlamına gelmektedir.
9.    Kampanya / Yarışma Katılımcısı: Şirketimizin düzenlediği kampanya ve yarışmalara katılan gerçek kişiler anlamına gelmektedir. .
10.  İnternet Sitesi / Mobil Uygulama Ziyaretçisi: Şirketimiz internet sitelerini veya mobil uygulamalarını ziyaret eden gerçek kişiler anlamına gelmektedir.
11.  Ziyaretçi: Şirketimizin merkezini, mağazalarını, depolarını ve/veya Şirketimizin düzenlemiş olduğu etkinlikleri ziyaret eden veya Şirketimizin misafir internet ağına katılan gerçek kişiler anlamına gelmektedir.
12.  Tedarikçi Çalışanı / Yetkilisi / Hissedarı: Şirketimiz ile arasındaki mevcut veya ilerde kurulması muhtemel sözleşmeye istinaden Şirketimize mal ve/veya hizmet sağlayan şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişiler anlamına gelmektedir
13.  İş / Çözüm Ortağı Çalışanı / Yetkilisi / Hissedarı: Şirketimizin iş birliği, iş ortaklığı veya program ortaklığı kurduğu veya ileride kurma niyetinde olduğu tüzel kişi şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişiler anlamına gelmektedir.
14.  Aile Üyeleri ve Yakınlar: Şirketimiz çalışanlarının aile üyeleri ve/veya yakınları olan gerçek kişiler anlamına gelmektedir
15. Diğer 3. Kişiler: İş bu Politika kapsamı dışında kalan ancak, işbu Politika doğrultusunda kişisel verileri işlenen gerçek kişiler anlamına gelmektedir

EK 3 – KİŞİSEL VERİ KATEGORİLERİ

Kullanılmak suretiyle bu bilgilerin sahibi olan gerçek bir kişinin kimliğinin tespitine elverişli;

1.    Kimlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; ehliyet, nüfus cüzdanı, pasaport, mesleki kimlikler veya alışveriş yapmak veya üye olmak için şirketimize elden veya web sitesi üzerinden gönderilen tüm bilgiler anlamına gelmektedir.
2.    İletişim Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan telefon numarası, adres, e-posta ve benzeri iletişim bilgileri anlamına gelmektedir.
3.    Finansal Bilgi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler anlamına gelmektedir.
4.    Müşteri Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ticari faaliyetlerimizin gerçekleştirilmesi esnasında müşteriye ilişkin elde edilen veriler anlamına gelmektedir.
5.    Müşteri İşlem Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterimizin ürün ve hizmetlerimize ilişkin kullanımına yönelik talimatları ve talepleri gibi bilgiler anlamına gelmektedir.
6.    İşlem Güvenliği Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, Şirketimiz ticari faaliyetleri yürütülürken, Şirketimizin teknik, idari, hukuki ve ticari güvenliğini sağlamak için işlenen kişisel veriler anlamına gelmektedir.
7.    Risk Yönetimi Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, Şirketimiz politikaları ve mevzuatsal yükümlülükler gereği risklerini minimize edebilmek adına işlenen kişisel veriler anlamına gelmektedir.
8.    Lokasyon Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ilgili kişinin bulunduğu yerin konumunu tespit eden bilgiler anlamına gelmektedir.
9.    Hukuki İşlem ve Uyum Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler anlamına gelmektedir.
10.     Sigorta Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, alt işveren çalışanlarımızın Sosyal Güvenlik Kurumu hizmetlerine ilişkin kişisel verileri anlamına gelmektedir.
11.     Talep/Şikayet Yönetimi Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, Şirketimize yöneltilmiş olan her türlü talep ve/veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler anlamına gelmektedir.
12.     Aile Bireyleri ve Yakın Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, müşterilerimiz, çalışanlarımız, çalışan adaylarımız ve/veya iş birliği içinde olduğumuz ilgili kişinin aile bireyleri ve yakınları hakkındaki bilgiler anlamına gelmektedir.
13.     Görsel ve İşitsel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan fotoğraf, video vb. görsel veya işitsel niteliğe haiz veriler anlamına gelmektedir.
14.     Pazarlama Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ürün ve hizmetlerimizin ilgili kişinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler anlamına gelmektedir.
15.     Araç Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ilgili kişi ile ilişkilendirilen araçlar ile ilgili bilgiler anlamına gelmektedir.
16.     Çalışan Adayı Bilgisi: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da çalışan ve/veya stajyer adaylarımızın özgeçmiş bilgileri anlamına gelmektedir.
17.     Çalışan Bilgisi:  Şirketimizde çalışan her statüdeki personele ait kişisel bilgilerdir.
18.     Denetim ve Teftiş Bilgisi: Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında iç veya dış denetim faaliyetleri sırasında işlenen kişisel veriler anlamına gelmektedir.
19.     Fiziksel Mekan Güvenlik Bilgisi: Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kamera kayıtları ve/veya ziyaretçi kayıtları gibi kişisel veriler anlamına gelmektedir.
20.     Özel Nitelikli Kişisel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri anlamına gelmektedir