Kişisel Verilerin Korunması ve İşlenmesi

Kemalpaşa OSB mahallesi 16.Sokak No:2 Kemalpaşa/İZMİR

info@adalyatobacco.com.tr

Aydınlatma Metni

Şirket politikası

KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA KISA AYDINLATMA BEYANI

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hükümleri gereği kişisel veri olarak kabul edilebilecek şahsınıza ait her türlü bilgi, özel nitelikli kişisel verileriniz de dahil olmak üzere, aşağıda belirtilen kapsam ve sınırlar çerçevesinde, Veri Sorumlusu sıfatıyla Şirketimiz ADALYA TOBACCO TÜTÜN MAMÜLLERİ SAN. TİC. LTD. ŞTİ. (Kısaca ADALYA TOBACCO) tarafından işlenmektedir.

“Kişisel Verilerinizin işlenmesi” kavramı yasal bir kavram olup, KVKK’da bu kavram; kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

Bu kapsamda şirketimiz ile ürün veya hizmet alan kişi, temsilcisi ve çalışanı (Müşteri veya Potansiyel Müşteri), tedarikçi, tedarikçi çalışanı veya yetkilisi, çalışan, çalışan adayı ve stajyer, hissedar/ortak, ziyaretçi (Kişisel Veri Sahiplerine ilişkin açıklamalar Şirketimizin Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın 1.2. sayılı bölümünde yer almaktadır.) sıfatları ile paylaştığınız:

Adınız, soyadınız, T.C. kimlik numaranız, pasaport numaranız, doğum yeri ve tarihiniz, medeni durumunuz, cinsiyetiniz, imza sirküleriniz, vergi kimlik numaranız ve burada sayılmamakla beraber kimliğinizi belirlemeye yarayan diğer tüm kişisel verileriniz,
Adresiniz, telefon numaranız, e- posta adresiniz ve varsa diğer iletişim bilgileriniz,
Şirketimizce özlük işlemleri ve mesleki deneyiminizin ölçülmesi faaliyetleri kapsamında kullanılan: özgeçmiş bilgisi (CV), eğitim bilgileriniz, sertifika ve yetkinlik belgeleri vb. mesleki eğitim bilgileriniz, SGK hizmet dökümleri ve diğer benzeri kişisel verileriniz,
Hakkınızdaki maaş haczi bildirimleri, haciz ihbarnameleri ve dava dosyası bilgileri,
Muayene, laboratuvar ve görüntüleme sonuçlarınız, test sonuçlarınız, reçete, rapor ve benzeri sağlık bilgileriniz,
Banka hesap-IBAN numaranız ve benzeri finansal verileriniz;
Sesli görüşme kayıtlarınız, e – posta, sosyal medya, WhatsApp ve benzeri yollarla doğrudan şirketimizle veya şirket yetkililerimiz ile iletişime geçtiğinizde elde edilen kişisel verileriniz,
Fiziksel mekân güvenliğinin sağlanması adına iş yerimizde alınan ses ve görüntü kayıtları,
İşlem güvenliği faaliyetleri kapsamında tutulan IP adresi, internet sitesi giriş ve çıkış bilgileri, bilgisayar ve maillere ait kullanıcı adı ve şifre bilgileri, çerez kayıtları,
Ürün sipariş ve onay bilgileri, sözleşme bilgileri, ürün teslimat ve fatura bilgileri vb. diğer müşteri işlem verileri,

Ve burada sayılmamakla birlikte şirketimiz tarafından elde edilen her türlü kişisel veriniz hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olacak şekilde, belirli, açık ve meşru amaçlar için işlenmekte, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılmakta, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan ve şirketimiz KVKK Politikası kapsamında belirlenen süreler kadar muhafaza edilmektedir.

Bu aydınlatma metnini yayınlamaktaki amacımız; Şirketimizce işlenmekte olan kişisel verileriniz, kişisel verilerinizin toplanma şekilleri, işlenme amaçları, aktarım amaçları ve kimlere aktarılabileceği, işlemenin hukuki nedenleri ve yasal haklarınız konularında sizleri mümkün olan en kısa ve açık şekilde bilgilendirmektir.

(Kişisel verilerinizin korunması ve işlenmesi hakkında detaylı bilgiye Şirketimizin www.adalyatobacco.com.tr adresinde yer alan Kişisel Verilerin Korunması ve İşlenmesi Politikası’ndan ulaşabilirsiniz.)

a) Kişisel Verilerinizin Hangi Amaçla İşlendiği/İşleneceği

Toplanan kişisel verileriniz 6698 sayılı Kanun’un 5. ve 6. Maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde, genel olarak:

İnsan kaynakları operasyon ve süreçlerinin yerine getirilmesi,
Tedarik zinciri operasyon ve süreçlerinin yerine getirilmesi,
Satış işlemleri ve müşteri ilişkileri yönetimi,
İletişim faaliyetlerinin yerine getirilmesi,
Şirket tesis ve bilgi güvenliğinin temini,
Mevzuata uyum ve yükümlülüklerin yerine getirilmesi, denetim faaliyetlerinin icrası,
Şirket faaliyet ve politikalarının icrası,

Amaçlarıyla işlenebilmektedir.
Kişisel verilerinizin işlenme amaçlarına ilişkin detaylı bilgiyi Şirketimizin Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın 2.4. sayılı bölümünden ulaşabilirsiniz.

b) İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği

Şirketimiz tarafından, hukuka uygun olarak elde edilen kişisel veriler, veri işleme amaçları doğrultusunda ve gerekli güvenlik önlemleri alınarak; Hakim şirketimize, Grup şirketlerimize, yetkili kurum ve kuruluşlara, iş ortaklarımıza, tedarikçilerimize, ürün ve hizmet alan gerçek ve tüzel kişilere, şirketimizin hissedar/ortaklarına aktarılabilir. Kişisel verilerin aktarılmasında ilgili kişinin açık rızasının alınması esastır. Ancak kişisel verilerin KVKK’nın 5. Maddesinin ikinci fıkrasında ve yeterli önlemlerin alınması kaydıyla 6. Maddesinin üçüncü fıkrasında belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilmesi mümkündür.
Kişisel verilerinizin aktarılmasına ilişkin detaylı bilgiye Şirketimizin Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın 4. bölümünden ulaşabilirsiniz.

c) Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel verileriniz KVKK’nın 5. ve 6. Maddelerinde belirtilen kişisel veri işleme şartları kapsamında Şirketimizin internet sitesi; e-posta, WhatsApp ve benzeri sosyal medya uygulamaları; SMS’ler ve sesli aramalar; müşteri görüşmeleri; şirketimize yapılan yazılı/dijital başvurular; Şirketimizin insan kaynakları, iş sağlığı ve güvenliği, muhasebe, fiziksel mekan güvenliği, satın alma, satış ve benzer faaliyetleri kapsamında tarafınızdan, hukuken zorunlu olması durumunda açık rızanız da alınarak, talep edilen kişisel verilerinizin şirketimizle yazılı olarak veya çeşitli iletişim kanalları kullanılarak paylaşılması durumunda, destek hizmeti kuruluşları gibi şirketimiz veya şirketimizi temsil yetkisi bulunan kurum, kuruluş ve kişilerin sizlerle iletişime geçtiği veya ileride iletişime geçebileceği kanallar aracılığıyla toplanmaktadır.

d) Kişisel Veri Sahibi Olarak Haklarınız

6698 sayılı Kanun’un 11. Maddesi gereğince Kişisel Veri Sahibi olarak haklarınız sırasıyla:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinizin silinmesini veya yok edilmesini isteme, bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıktığını düşünüyorsanız buna itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararınızın giderilmesini talep etme

Haklarınıza ilişkin taleplerinizi aşağıda belirtilen yöntemlerle Şirketimize iletmeniz durumunda Şirketimiz, niteliğine göre talebi en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracaktır.

İşlemin ayrıca bir maliyet gerektirmesi halinde, Şirketimiz tarafından Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret tarafınızdan talep edilecek ve ancak söz konusu ücretin ödenmesi durumunda başvurunuz değerlendirmeye alınacaktır.
KVKK’nın 11. maddesi gereğince yapacağınız yazılı başvurunuzu Şirketimize iletebileceğiniz yöntemler şu şekildedir:

www.adalyatobacco.com.tr adresinde bir örneği bulunan İlgili Kişi/Veri Sahibi Başvuru/Talep Formu’nu doldurup imzaladıktan sonra işbu başvuru formunu ya da haklarınızı kullanmak üzere kendinizce düzenlenen ıslak imzalı dilekçenizi;

Şirketimize ait: Kemalpaşa OSB Mahallesi, 16. sokak No:2, 35730 Kemalpaşa/İzmir adresi sekretaryasına kimliğinizi tespit edici belgeler ile elden teslim ederek veya aynı adrese Noter aracılığıyla göndererek,
info@adalyatobacco.com.tr adresine kişisel mail adresiniz üzerinden göndererek, (Kişisel mail adresi aracılığıyla Şirketimize ulaştırılan başvurular için kimliğinizin belirlenmesi adına 7 gün içerisinde tarafınızla iletişime geçilecektir.)
adalyatobacco@hs06.kep.tr adresine Güvenli Elektronik İmza ile imzalayarak Kayıtlı Elektronik Posta (KEP) adresiniz üzerinden göndererek,

tarafımıza ulaştırabilirsiniz.

Kişisel veri sahibinin hakları, hakların kullanılması ve değerlendirilmesine ilişkin detaylı bilgiye Şirketimizin Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın 7. bölümünden ulaşabilirsiniz.

Bilgilerinize sunar, Teşekkür Ederiz.

ADALYA TOBACCO TÜTÜN MAMÜLLERİ SAN. TİC. LTD
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI

1. BİRİNCİ BÖLÜM: GİRİŞ

1.1. AMAÇ

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikasının (“Politika”) amacı; Anayasamız, Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumluları Sicili Hakkında Yönetmelik ve ilgili yasal mevzuat hükümleri uyarınca kişisel verilerin işlenmesi, korunması, saklanması, imhası gibi kişisel verilere ilişkin her türlü iş ve işlemin veri sorumlusu olarak Şirketimiz tarafından gerçekleştirilmesine dair usul ve esasların belirlenmesidir.

1.2. KAPSAM VE KİŞİSEL VERİ SAHİPLERİ

Şirketimiz çalışanları, çalışan adayları, stajyerler, tedarikçi çalışanları, tedarikçi yetkilileri, ürün veya hizmet alan kişiler veya temsilcileri, hissedarlar/ortaklar, ziyaretçi kişi gruplarına ait kişisel veriler işbu Politika kapsamına girmekte olup, Şirketimizce kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik tüm faaliyetlerde işbu Politika uygulanır. Politika hiçbir şekilde tüzel kişilere ve tüzel kişi verilerine uygulanmayacaktır. İşbu Politika kapsamındaki kişisel veri sahipleri aşağıdaki gibidir:

Çalışan: Şirketimizde hizmet/iş akdi ile çalışan gerçek kişiler

Çalışan Adayı: Şirketimize herhangi bir yolla iş başvurusunda bulunan ya da özgeçmiş bilgilerini ileten gerçek kişiler
Stajyer: Şirketimizde staj ya da çıraklık yapan gerçek kişiler ve bu kişilerin veli/vasi/temsilcileri
Tedarikçi Çalışanı: Şirketimizin iş ilişkisinde bulunduğu gerçek veya tüzel kişilerin çalışanları, tedarikçi altyüklenici çalışanları
Tedarikçi Yetkilisi: Şirketimizin iş ilişkisinde bulunduğu gerçek veya tüzel kişilerin yetkilileri, tedarikçi altyüklenici yetkilileri
Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı: Şirketimizin ürün ve hizmetlerini kullanan ya da kullanacak gerçek kişiler veya tüzel kişilerin temsilcileri, çalışanları

Hissedar/Ortak: Şirketimiz gerçek kişi hissedarları ve temsilcileri
Ziyaretçi: Şirketimize bağlı işyerlerine çeşitli amaçlarla fiziken giren, şirket ziyaretlerinde şirket ağına giren veya internet sitelerini herhangi bir amaç ile ziyaret eden gerçek kişiler

1.3. TANIMLAR

İşbu politikada yer alan kavramlar aşağıdaki anlamları ifade eder.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Özel Nitelikteki Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili (VERBİS)
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. İşbu Politika uyarınca ADALYA TOBACCO TÜTÜN MAMÜLLERİ SAN. TİC. LTD. veri sorumlusudur.

1.4. YÜRÜRLÜK

İşbu Politika Şirketimiz tarafından düzenlenerek yürürlüğe girmiştir. Değişen şartlara ve mevzuata uyum sağlamak amacıyla Politikada güncellemeler yapılabilecektir. Yapılan değişiklikler yayınladıkları anda yürürlüğe girmiş sayılacaktır.

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan yasal mevzuat öncelikli olarak uygulanır. Yürürlükteki yasal mevzuat ve Politika arasında herhangi bir uyumsuzluk bulunması durumunda ise Şirketimiz yürürlükteki yasal mevzuatın uygulanacağını kabul etmektedir.

2. İKİNCİ BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI

2.1. KİŞİSELVERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Anayasamızın 20/III maddesinde kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği belirtilerek kişisel verilerin korunması güvence altına alınmıştır. Kişisel veri sahiplerine tanınan bu hak doğrultusunda ve KVKK’nın 4. Maddesi uyarınca, Şirketimizce mevcut ya da edinilen kişisel veriler hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olacak şekilde, belirli, açık ve meşru amaçlar için işlenmekte, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılmakta ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan ve işbu Politikada belirlenen süre kadar muhafaza edilmektedir.

İlgili kişiler, kişisel veri işleme süreçlerine ilişkin olarak, Şirketimiz tarafından KVKK’nın 10. maddesine uygun olarak aydınlatılmaktadır. Şirketimiz, kişisel verilerin işlenmesi ve aktarılması konusunda KVKK’da öngörülen ve Kurul tarafından ortaya konulan düzenlemeleri takip etmekte, bu düzenlemelere uygun davranmakta ve gerekli teknik ve idari tedbirleri almaktadır.

2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel verilerin işlenmesinde genel kural, kişisel verinin ancak ilgili kişinin açık rızası ile işlenmesidir. KVKK’nın 5. maddesinde belirtilen ve aşağıda sayılan hallerde ise ilgili kişinin açık rızası olmaksızın kişisel verinin işlenmesi mümkündür:

Kanunlarda açıkça öngörülmesi
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

İlgili kişinin kendisi tarafından alenileştirilmiş olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali

2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Özel nitelikteki kişisel verinin ilgilinin açık rıza olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel verilerin işlenmesinde aşağıdaki kural ve uygulamalar esas alınır:

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışan, ortak sağlık birimi ve sır saklama yükümlülüğü altında bulunan sağlık yetkililerine yönelik, KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, bu kişilerle gizlilik sözleşmeleri yapılmaktadır.
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmaktadır.
Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise verilerin şifreleme kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta, veriler üzerinde gerçekleştirilen tüm hareketler işlem kayıtları güvenli olarak loglanmakta, verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılmakta, erişime ilişkin kullanıcı yetkilendirmelerinin yapılmaktadır.

Fiziksel ortamda tutulan özel nitelikli kişisel verilere ilişkin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemeleri alınmakta ve düzenli olarak kontrol edilmekte, bu ortamların fiziksel güvenliğinin sağlanarak giriş çıkışlarda yetki sorgulaması yapılmaktadır.
Özel nitelikli kişisel verilerin aktarımında ise, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi hususlarına dikkat edilmektedir.

2.4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kişisel veriler, aşağıda yazılı amaçlar kapsamında şirketimizce işlenmektedir:

İnsan Kaynakları Operasyon ve Süreçlerinin Yerine Getirilmesi:

İş Başvuru ve İşe Alım Sürecinin Yürütülmesi
Çalışan Adaylarının Değerlendirilmesi
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi

Staj Alımı ve Staj Sürecinin Yönetimi
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Ücret Politikasının Belirlenmesi
Eğitim Faaliyetlerinin Yürütülmesi

Performans Değerlendirme Süreçlerinin Yürütülmesi
Görevlendirme Süreçlerinin Yürütülmesi
Teşviklerden Faydalanma
Talep ve/veya Şikayetlerin Takibi
Motivasyon Faaliyetleri

Tedarik Zinciri ve Operasyon Süreçlerinin Yerine Getirilmesi:

Mal ve Hizmet Satın Alma
Lojistik Faaliyetlerinin Planlanması
Taşeron Yönetimi ve Kontrolü

Mal ve Hizmet Satın Alma Sözleşmelerinin Yürütülmesi

Satış ve Müşteri İlişkileri Müşteri İlişkileri Yönetimi:

Mal ve Hizmet Satış Süreçlerinin Yönetimi
Mal ve Hizmet Satış Sonrası Hizmet Süreçlerinin Yönetimi

Müşteri Memnuniyeti Süreçlerinin Planlanması
Talep ve/veya Şikayetlerin Takibi
Müşteri Sözleşmeleri Süreçlerinin Yürütülmesi

İletişim Faaliyetlerinin Yerine Getirilmesi:

İletişim Faaliyetlerinin Yürütülmesi
Acil Durum Yönetim Süreçlerinin Yerine Getirilmesi
Şirket İçi İletişim ve İşbirliğinin Sağlanması
Etkinlik ve Organizasyon Yönetimi

Şirket Tesis ve Güvenliğinin Temini:

Fiziksel Mekân Güvenliğinin Sağlanması
Bilgi Güvenliği Süreçlerinin Sağlanması
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Erişim Yetkilerinin Düzenlenmesi

Şirket Taşınır Mal ve Kaynaklarının Takip ve Güvenliği
Ziyaretçi Kayıtlarının Takibi

Mevzuata Uyum ve Yükümlülüklerin Yerine Getirilmesi & Denetim Faaliyetlerinin İcrası:

İş Sağlığı ve Güvenliği Gereklerinin Yerine Getirilmesi

Hukuk İşlerinin Takibi
Şirket Yönetimi ve Temsili Süreçlerinin Yürütülmesi
Kurul ve Yönetim Kurulu Kararlarının Alınması
Faaliyetlerin Mevzuata Uygun Yürütülmesi
İç Denetim Faaliyetleri

Risk Yönetimi Faaliyetleri
Şirket Tarafından Yapılan Üretim ve Sunulan Hizmetin Gerekli
Kalite Standartlarını Sağladığına İlişkin Gereken Denetim Faaliyetlerinin Sağlanması
Şirketin Üretim ve/veya Operasyonel Risk Süreçlerinin Planlanması ve/veya İcrası
Yetkili Kurum ve Kuruluşlara Bilgi Verilmesi

Acil Durum Yönetimi Süreçlerinin Yürütülmesi.

3. ÜÇÜNCÜ BÖLÜM: KİŞİSEL VERİLER VE VERİ KAYIT ORTAMLARI

3.1. VERİ KAYIT ORTAMLARI

İşbu Politika uyarınca işlenen kişisel veriler hukuka uygun olarak güvenli bir şekilde elektronik ortam olarak; sunucularda (etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşımı gibi), Şirketimizin operasyonlarını gerçekleştirmek üzere kullandığı yazılımlarda, bilgi güvenliği cihazlarında, bilgisayarlarda, mobil cihazlarda, optik disklerde, çıkartılabilir belleklerde, yazıcıda, tarayıcıda; elektronik olmayan ortam olarak; kağıtta, manuel veri kayıt sistemlerinde (ziyaretçi defteri gibi), yazılı, görsel ve basılı ortamlarda saklanmaktadır.

3.2. KİŞİSEL VERİLER VE VERİ SAHİBİ KATEGORİZASYONU

Kişisel veriler, aşağıda tanımlı kategoriler altında Şirketimizce işlenmektedir:

Kişisel Veri Kategorisi

Kişisel Veri

Veri Sahibi (İlgili Kişi)

KİMLİK

Ad Soyad, T.C. Kimlik Numarası, Doğum Tarihi, Doğum Yeri, Nüfus Cüzdanı Seri ve Sıra Numaraları, Anne ve Baba Adı, Medeni Hali, Yabancı Kimlik Numarası, Pasaport Numarası, Pasaport Fotokopisi, Çalışma İzin Belgesi Fotokopisi, Kimlik Fotokopisi, Nüfus Cüzdanının Kayıtlı Olduğu İl İlçe Mahalle Köy Bilgileri, SGK Numarası, Fotoğraf, Eş ve Çocukların Kimlik Bilgileri, Aile Durumu Bildirimi, Sürücü Belgesi Fotokopisi, İmza Sirküleri Fotokopisi, İmza Beyannamesi Fotokopisi, Vukuatlı Nüfus Kayıt Örneği, Veli Vasi Bilgisi

Çalışan, Çalışan Adayı, Stajyer,

Tedarikçi Çalışanı, Tedarikçi Yetkilisi,

Ürün veya Hizmet Alan

Kişi, Temsilci ve Çalışanı,

Hissedar/Ortak,

Ziyaretçi

İLETİŞİM

İkamet Bilgisi ve Belgesi,

Ev ve Cep Telefonu Numarası,

Elektronik Posta,

Kayıtlı Elektronik Posta Adresi,

Tebligat Adresi

Çalışan, Çalışan Adayı, Stajyer,

Tedarikçi Çalışanı, Tedarikçi Yetkilisi,

Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı,

Hissedar/Ortak

ÖZLÜK

Özlük dosyasında yer alan bilgiler: Diploma Bilgileri, Diploma Fotokopisi, Özgeçmiş Bilgisi (CV), Erkek Çalışanlar İçin Askerlik Belgesi, İş Sözleşmesi, SGK İşe Giriş Bildirgesi, Ücret Bordroları, Performans Formları, İzin Formları, Onay Formları, Kişisel Yetkinlik Matrixi, İş Sağlığı Güvenliği Eğitim Belgeleri, Mesleki Eğitim Belgeleri, Sertifikalar, Özel Sağlık Sigortası Poliçe Bilgileri ve Belgeleri, SGK İşten Ayrılış Bildirgesi, Kıdem ve İhbar Tazminatı Formları, Fesih Bildirimi, İstifa Mektubu, İhtarname, Tutanaklar, Savunma Talepleri, Bireysel Emeklilik Sistemi İçin Gerekli Bilgiler, Gizlilik Sözleşmesi, Gizlilik Taahhütnamesi, Disiplin Yönetmeliği Belgeleri, İş Kazası Raporları, İş Başvuru Formu

Çalışan, Çalışan Adayı, Stajyer,

Tedarikçi Çalışanı

HUKUKİ İŞLEM

Maaş Haciz Bildirimleri, Haciz İhbarnameleri, Dava Dosyası Bilgileri

Çalışan, Stajyer,

Hissedar/Ortak

ÖZEL NİTELİKTEKİ KİŞİSEL VERİLER

Uyruk,

Dini İnanç Bilgisi,

Sağlık Bilgisi

Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler,

Çalışan, Çalışan Adayı, Stajyer,

Tedarikçi Çalışanı

MESLEKİ DENEYİM

EĞİTİM

BİLGİLERİ

Diploma Bilgileri, Diploma Fotokopisi,

Eğitim Sertifika Bilgi ve Belgeleri,

Özgeçmiş Bilgisi (CV),

Mesleki Eğitim Bilgileri,

SGK Hizmet Dökümü,

Yabancı Dil Bilgisi

Referans Bilgileri

Çalışan, Çalışan Adayı, Stajyer,

Tedarikçi Çalışanı

FİZİKSEL MEKAN GÜVENLİĞİ

Kamera Kayıtları,

Ses Kayıtları,

Araç Plakaları

Çalışan, Çalışan Adayı, Stajyer,

Tedarikçi Çalışanı, Tedarikçi Yetkilisi,

Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı,

Hissedar/Ortak, Ziyaretçi

GÖRSEL VE İŞİTSEL

KAYITLAR

Fotoğraf,

Ses Kayıtları

Çalışan, Çalışan Adayı, Stajyer,

Tedarikçi Çalışanı, Tedarikçi Yetkilisi,

Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı,

Hissedar/Ortak,

Ziyaretçi

İŞLEM GÜVENLİĞİ

IP adres bilgileri,

İnternet sitesi giriş ve çıkış bilgileri,

Bilgisayar, Mail kullanıcı adı ve şifre bilgileri

Çalışan, Stajyer,

Tedarikçi Çalışanı,

Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı,

Hissedar/Ortak

MÜŞTERİ İŞLEM

Ürün Sipariş Bilgileri, Onayları, Sözleşme Bilgileri,

Ürün Teslimat Bilgileri,

Fatura Bilgileri,

Proje Bilgileri

Tedarikçi Yetkilisi,

Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı

RİSK YÖNETİMİ

Ticari, Teknik, İdari Risklerin Yönetilmesi İçin İşlenen Bilgiler, Risk Analizi, Şirketimiz Tarafından Yapılan Operasyonel ve Uyum Denetimleri Sırasında İşlenen Bilgiler

Çalışan,

Tedarikçi Yetkilisi, Tedarikçi

Yetkilisi ve Çalışanı,

Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı,

Hissedar/Ortak

FİNANS

Ücret Bilgisi,

Banka Hesap -IBAN Bilgileri,

Huzur Hakkı ve Kar Payı

Çalışan, Stajyer,

Tedarikçi Çalışanı, Tedarikçi Yetkilisi,

Ürün veya Hizmet Alan Kişi, Temsilci ve Çalışanı,

Hissedar/Ortak

PAZARLAMA

Çerez Kayıtları

Ziyaretçi

AİLE VE YAKIN

BİLGİSİ

Şirketimiz operasyonlarının yerine getirilmesi kapsamında Şirketin meşru menfaatlerinin ya da ilgili kişi menfaatlerinin yerine getirilmesi amacıyla kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki edindiğimiz bilgiler

Çalışan, Çalışan Adayı, Stajyer

REFERANS BİLGİSİ

Çalışan adayları tarafından iş başvurusu sırasında referans olarak bildirilen kişi ad soyad, unvan, telefon ve e posta bilgisi

Çalışan Adayı

4. DÖRDÜNCÜ BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI

4.1. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN GENEL İLKELER

Şirketimiz tarafından, hukuka uygun olarak elde edilen kişisel veriler, veri işleme amaçları doğrultusunda ve gerekli güvenlik önlemleri alınarak “Kişisel Verilerin Aktarılabileceği Üçüncü Kişiler” başlıklı maddede belirtilen üçüncü kişilere aktarılabilir. Kişisel verilerin aktarılmasında ilgili kişinin açık rızasının alınması esastır. Aşağıda sayılan hallerde ilgili kişinin açık rızası olmaksızın kişisel verinin aktarılması mümkündür:

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali.

4.2. KİŞİSEL VERİLERİN AKTARILABİLECEĞİ ÜÇÜNCÜ KİŞİLER

Kişisel veriler, yukarıda yazılı ilkeler ve KVKK madde 8 uyarınca aşağıdaki alıcı gruplarına aktarılabilir:

Hâkim Şirket: EGE EFE YATIRIM A.Ş.

Yetkili Kurum ve Kuruluşlar: Mevzuat gereği şirketimizden bilgi ve belge talep etmeye yetkili özel ve kamu kurum ve kuruluşları. Gümrük Müdürlüğü, Mahkemeler, Bağımsız Denetçiler gibi.
İş Ortaklarımız ve Tedarikçiler: Şirket faaliyet ve operasyonlarımızın gerçekleştirilmesi, yükümlülüklerimizin yerine getirilmesi kapsamında mal, hizmet ya da danışmanlık satın aldığımız, iş birliği yaptığımız kişi ve kuruluşlar. (Avukatlar, Finans Kuruluşları, Denetim Kuruluşları ve benzer hizmet alınan gerçek ve tüzel kişiler dahil olmak üzere)
Ürün ve Hizmet Alan Kişi, Temsilci veya Çalışanı: Mal ve hizmet satın alan (gerçek kişiler veya) tüzel kişilerin gerçek kişi temsilci ve çalışanları
Hissedar/Ortak: Türk Ticaret Kanunu uyarınca şirketlerimizde pay sahibi olan gerçek kişiler ve temsilcileri

4.3. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Kişisel verilerin yurt dışına aktarılması halinde ilgili kişinin açık rızasının alınması esastır. Kişisel veri sahibinin açık rızasının bulunmadığı ancak KVKK madde 5’te ve yukarıda belirtilen şartlardan bir veya birkaçının bulunduğu hallerde, kişisel verilerin aktarılacağı ülkede yeterli koruma bulunması veya Şirketimizin ilgili ülkedeki veri sorumlusu ile yeterli korumayı yazılı olarak taahhüt etmesi (ya da Bağlayıcı Şirket Kurallarının oluşturularak) Kurul izninin bulunması halinde kişisel verilerin aktarımı mümkündür.

4.4. KİŞİSEL VERİLERİN AKTARIM AMAÇLARI

Toplanan kişisel veriler, KVKK’da öngörülen temel ilkelere uygun olarak ve Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları dahilinde, Şirketimiz tarafından aşağıda yer alan amaçlarla sınırlı olarak 4.2’de sayılan kişilere aktarılabilecektir:

Şirket operasyon ve faaliyetlerinin yerine getirilmesi kapsamında mal ve hizmet sunulması veya mal ve hizmet temini,
Şirketin mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi,

Yetkili kurum ve kuruluşlarının taleplerinin karşılanması,
Hukuki süreçlerin planlanması, savunma hakkının kullanılması
Kurumsal iletişim, yönetim, denetim ve planlama faaliyetlerinin icra edilmesi

5. BEŞİNCİ BÖLÜM: KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

5.1. KİŞİSEL VERİLERİN SAKLANMASI

Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanması esastır. Bu doğrultuda Şirketimiz, asgari olarak yasal yükümlülüklerinin ve ticari teamüllerin gerektirdiği süre ile ve her durumda ilgili zamanaşımı süreleri dolana kadar kişisel verileri saklamaktadır. Şirketimizce işlenmekte olan kişisel verilerin saklama ve imha süreleri aşağıdaki tabloda belirtilmiştir:

KİŞİSEL VERİ	SAKLAMA SÜRESİ	İMHA SÜRESİ
KİMLİK	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
İLETİŞİM	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
ÖZLÜK	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
HUKUKİ İŞLEM	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
CEZA MAHKUMİYETİ VE GÜVENLİK TEDBİRLERİ	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
SAĞLIK BİLGİLERİ	HUKUKİ İLİŞKİ VEYA İŞ İLİŞKİSİNİN SONA ERMESİ +15 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
DİĞER ÖZEL NİTELİKTEKİ KİŞİSEL VERİLER (Sağlık Bilgileri, Uyruk, Din Bilgisi, Ceza Mahkumiyeti ve Güvenlik Tedbiri)	HUKUKİ İLİŞKİ VEYA İŞ İLİŞKİSİNİN SONA ERMESİ +15 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
MESLEKİ DENEYİM BİLGİLERİ	HUKUKİ İLİŞKİ VEYA İŞ İLİŞKİSİNİN SONA ERMESİ +10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
FİZİKSEL MEKAN GÜVENLİĞİ	45 GÜN	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
GÖRSEL VE İŞİTSEL KAYITLAR	45 GÜN	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
İŞLEM GÜVENLİĞİ	2 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
MÜŞTERİ İŞLEM	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
RİSK YÖNETİMİ	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
FİNANS	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
PAZARLAMA	2 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
AİLE VE YAKIN BİLGİSİ	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde
REFERANS BİLGİSİ	HUKUKİ İLİŞKİ + 10 YIL	Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

5.2. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Şirketimiz, yukarıda açıklanan sürelerin sona ermesi durumu da dahil olmak üzere herhangi bir süreç kapsamında kişisel verilerin işlenme amacının ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine kişisel verileri Kanun’a uygun bir şekilde anonim hale getirmekte, silmekte veya yok etmektedir.

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Buna göre kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemeyecek, geri getirilemeyecek ve tekrar kullanılamayacak şekilde verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade eder. Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok edilir veya anonim hale getirilir. Periyodik imha yılda iki kez, 6 ayda bir yapılır.

5.3. SAKLAMA VE İMHA SÜREÇLERİNDE GÖREVLİ KİŞİLER

Şirketimiz, işbu Politika kapsamında kişisel verilerin işlenmesi, saklanması, imhası ve kişisel verilerin korunması mevzuatına uyum süreçlerini yönetmek üzere “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler atamıştır. Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler aşağıdaki şekildedir:

Kişisel verilerin korunması ve işlenmesine ilişkin gerekli dokümantasyonun hazırlanması, takibi ve bunların ilgili kişilerin onayına sunulması
Mevzuatın takibi ile gerekli güncelleme ve değişikliklerin yapılması

VERBİS kaydı ile gerekli güncelleme ve değişikliklerin yapılması
KVK Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi.

6. ALTINCI BÖLÜM: KİŞİSEL VERİLERİN KORUNMASI, TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, veri sorumlusu olarak işlediği kişisel verilerin güvenliğini sağlamak için ilgili mevzuat uyarınca öngörülen ve KVK Kurulu tarafından bildirilecek olan diğer idari ve teknik önlemleri alarak kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını temin etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin hukuka uygun olarak işlenmesi, güvenli ortamlarda saklanması, yetkisiz erişim riskleri ile diğer her türlü hukuka aykırı erişimlerin önlenmesi, arızi olarak gerçekleşen veri kayıplarının önlenmesi, verilere kasıtlı olarak zarar verilmesi ile silinmesinin önlenmesi için gerekli ve makul teknik ve idari tedbirleri almakta, buna ilişkin gereken denetimleri yapmakta veya yaptırmaktadır.

6.1. TEKNİK TEDBİRLER

Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmakta, hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmakta, erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmakta, yetki matrisi uygulanmakta, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmakta, saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmakta, güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte, bilgi sistemleri güncel halde tutulmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta ve güvenli kayıt tutma (loglama) sistemleri kullanılmakta, gerektiğinde veri maskeleme önlemi uygulanmakta ve kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.

Teknik konularda bilgili personel istihdam edilmektedir.
Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve denetlenmektedir.
Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmakta, düzenli olarak güvenlik taramaları yapılmaktadır.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.

Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Departman bazlı olarak belirlenen kişisel verilerin korunmasına ilişkin hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır. Kişisel veri içeren sistemlere sınırlı erişimler tanımlanarak, bu sistemlere kullanıcı adı ve şifre ile giriş sağlanmaktadır.
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Güncel anti-virüs sistemleri ve güvenlik duvarları kullanılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

Kâğıt ortamında tutulan evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların muhafaza ve koruması için ek güvenlik önlemleri alınmakta, ayrı bir yerde muhafaza sağlanmakta, bu alanların fiziksel güvenliği için gerekli önlemler alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Alınan ve alınması gereken teknik önlemler periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

6.2. İDARİ TEDBİRLER

Çalışanların niteliği ve teknik bilgi/becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında eğitimler verilmekte; çalışanlara gizlilik sözleşmeleri imzalatılmakta; güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik disiplin prosedürü uygulanmakta, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmekte, şirket içi periyodik ve rastgele denetimler yapılmakta ve çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Şirket ve şirkete ait tesis güvenliğinin sağlanması amaçlarıyla alınmakta olan ses ve kamera kayıtları, Şirkete giriş çıkışların kayıtları ile internet sitesi ziyaretlerinde site içi hareketlerin kayıtları KVKK 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenmektedir.
Kişisel verilerin işlenme süreçlerine ilişkin olarak, mevcut durum tespiti ve risk analizi yapılması amacıyla kişisel veri işleme envanteri oluşturulmuş; Şirketimiz tarafından işlenen kişisel veriler, ilgili kişi ve veri kategorileri, veri işleme amaçları, hukuki sebebi, saklama süresi, veri aktarımı ve alınan tedbirler tespit edilmiştir.

Kişisel veri işleme ve imha süreçlerine ilişkin usul ve esasların belirlendiği işbu Politika hazırlanmış, ilgili kişilere, çalışanlarımıza, işbirlikçilerimize ve tüm ilgililere duyurulmuştur.
Şirket faaliyetleri detaylı olarak tek tek departmanlar özelinde incelenerek, departmanların görev ve gerçekleştirdiği ticari faaliyetler çerçevesinde kişisel veri işleme faaliyetleri belirlenmiştir. Ayrıca, KVKK mevzuatı kapsamında Şirket içinde ilgili departman bazında kişisel verilere erişim ve yetkilendirme süreci tanımlanmıştır.
Şirket departmanlarının yürütmüş olduğu kişisel veri işleme faaliyetleri, bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir departman ve yürütmüş olduğu faaliyet özelinde belirlenmektedir.
Şirket genelinde uyumun sağlanması için her departmanda farkındalık yaratılmakta ve uygulama kuralları belirlenmekte, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve bilgilendirmeler yoluyla duyurulmakta ve uygulanmaktadır.
Şirket faaliyetleri kapsamında ve KVVK’ya uygun şekilde kişisel verilen aktarıldığı iş ortaklarımızla mevcut sözleşmelere, aktarılan kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmakta, iş ortakları bakımından getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda bilgilendirilmektedir.

Kişisel verilen saklanmasına ilişkin olarak teknik gereklilikler sebebi ile şirket dışından hizmet alınması halinde kişisel verilerin bu firmalara yine KVKK’ya uygun şekilde aktarılması kaydıyla bu firmanın ve firma personelinin kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin mevcut sözleşmelere hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmaktadır.

7. YEDİNCİ BÖLÜM: KİŞİSEL VERİ SAHİBİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ

7.1. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI

KVKK!nın 10. maddesi uyarınca veri sorumlusu olarak Şirketimiz ilgili kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, hangi kişisel veri sahibi grupları ve hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini aydınlatma yükümlülüğü kapsamında kişisel veri sahibine bildirmektedir.

7.2. KİŞİSEL VERİ SAHİBİNİN HAKLARI

KVKK madde 11. uyarınca kişisel veri sahibi olan “ilgili kişinin” hakları aşağıda belirtilmiştir:

Kişisel verilerinin işlenip işlenmediğini öğrenme
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
Kişisel verilerin silinmesini veya yok edilmesini isteme
Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

7.3. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI

Kişisel veri sahipleri işbu Politikanın 7.2. maddesinde sayılı haklarına ilişkin taleplerini aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Şirketimize iletmeleri durumunda Şirketimiz, niteliğine göre talebi en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracaktır. İşlemin ayrıca bir maliyet gerektirmesi halinde, Şirketimiz tarafından Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret tarafınızdan talep edilecek ve ancak söz konusu ücretin ödenmesi durumunda başvurunuz değerlendirmeye alınacaktır.

www.adalyatobacco.com.tr adresinde bir örneği bulunan İlgili Kişisel Verilerin Korunması Hakkında/Veri Sahibi Başvuru/Talep Formu’nu doldurup imzaladıktan sonra işbu başvuru formunu ya da haklarınızı kullanmak üzere kendinizce düzenlenen ıslak imzalı dilekçenizi;

• Şirketimize ait: Kemalpaşa OSB Mahallesi, 16. sokak No:2, 35730 Kemalpaşa/İzmir adresi sekretaryasına kimliğinizi tespit edici belgeler ile elden teslim ederek veya aynı adrese Noter aracılığıyla göndererek,

• info@adalyatobacco.com.tr adresine kişisel mail adresiniz üzerinden göndererek, (Kişisel mail adresi aracılığıyla Şirketimize ulaştırılan başvurular için kimliğinizin belirlenmesi adına 7 gün içerisinde tarafınızla iletişime geçilecektir.)

• adalyatobacco@hs06.kep.tr adresine Güvenli Elektronik İmza ile imzalayarak Kayıtlı Elektronik Posta (KEP) adresiniz üzerinden göndererek,

tarafımıza ulaştırabilirsiniz.

7.4. KİŞİSEL VERİ SAHİBİNİN BAŞVURUSUNUN DEĞERLENDİRİLMESİ

Şirketimiz, kişisel veri sahibinin başvurusunu 30 gün içinde neticelendirerek talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

Kişisel veri sahibi, KVKK madde 14. uyarınca başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde, Şirketimizin cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.

;