AKERTEK TEKSTİL AYAKKABI SAN. VE TİC. A.Ş.
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI
İÇİNDEKİLER
1.GİRİŞ
1.1 Giriş
1.2. Kapsam
1.3 Politika ve KVKK Mevzuatının Uygulanması
1.4 Politika’nın Yürürlüğü
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1. Kişisel Verilerin Güvenliğinin Sağlanması
2.2. Özel Nitelikli Kişisel Verilerin Korunması
2.3. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
3.2. Kişisel Verilerin İşlenme Şartları
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
3.4. Kişisel Veri Sahibinin Aydınlatılması
3.5. AKERTEK TEKSTİL AYAKKABI SAN. VE TİC. A.Ş. (“ŞİRKET”) tarafından işlenmekte olan kişisel verilerin işlenmesi,
3.6. Kişisel Verilerin Aktarılması
- ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
- KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
- KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
6.1. İlgili Kişinin Hakları
- KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
7.1. Bina, Tesis Girişleri İle Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri
7.2. ŞİRKET, Bina, Tesis Girişlerinde ve içerisinde Yürütülen Kamera ile İzleme Faaliyetleri
7.3. ŞİRKET, Bina, Tesis Girişlerinde ve içerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
- KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER
- YÜRÜTME
- YÜRÜRLÜK VE İLANI
EKLER
EK 1- Aydınlatma Yükümlüğü Uygulama Tebliği
EK 2- Tanımlar
EK 3- Kişisel Verileri İşleme Amaçları
EK 4- Kişisel Veri Kategorileri
EK 5- Kişisel Verilerin Aktarım Amaçları
EK 6- Veri Sorumlusu Kimliği
EK 7- İrtibat Kişisi
- GİRİŞ
1.1. Giriş
Kişisel Verilerin Korunması İşlenmesi ve Korunması Politikasını şirketimiz benimsemiş ve temel bir insan hakkı olması sebebiyle, AKERTEK TEKSTİL AYAKKABI SAN. VE TİC. A.Ş. nin (ŞİRKET ) en önemli öncelikleri arasına dahil etmiştir.
Şirket kişisel verilerin korunması hakkını güvence altında tutabilmek adına, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir.
ŞİRKET‘imiz Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, ilgili kişileri bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
1.2. Kapsam
Şirket Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), kişisel verilere ilişkin mevzuat çerçevesinde kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amaçlanarak hazırlanmıştır.
“Politika” hazırlanırken öncelikle Şirket organizasyon şeması dahilinde çalışma birimlerinin hangi verileri, neden topladıkları ve bu verileri neden üçüncü kişilere aktarma gereksinimi olduğunu belirlemek ve Şirketin kişisel veri işleme usulünü anlamak temel ilke olarak belirlenmiştir. İlgili mevzuatın gereksinimleri “Politika”ya aktarılırken, özelleştirilerek, Şirketin hangi verileri neden temin ettiğini, bu verileri neden işlediğini sade ve anlaşılır bir dil ile izah etmek kişisel verilerin korunması gerekliliği dahilinde duyulan hassasiyet çerçevesinde ilke edinilmiştir. Ayrıca, Şirket organizasyonu içinde ve organizasyon dışında veri gizliliğinin korunması için gerekli idari ve teknik tedbirleri almak ve verileri işlenen bireyleri bilgilendirmek ve aydınlatmak hedeflenmektedir.
“Politika” kapsamına Şirket tarafından verileri işlenen tüm gerçek kişiler girmektedir.
İş bu “Politika” kapsamında Şirket organizasyonunda yer alan işlem ve faaliyetler çerçevesinde işlenen veriler, verilerin kategorizasyonu, veri alıcı grupları, veri toplama hukuki sebebi ve yöntemi, verilerin aktarıldığı üçüncü kişi grupları, verilerin işleme süreleri, verilerin silinme süreleri hakkında özelleştirilmiş bilgilere yer verilmeye çalışılmıştır. Ancak hali hazırdaki işleme faaliyetlerinin dışında Şirket tarafından veri işleme yapılması/yapılacak olması halinde harici bir aydınlatma metni dahilinde, işbu politikada belirtilen temel ilke ve prensiplere uyulmak kaydıyla işleme faaliyeti yürütülmesi ve aydınlatma yapılması mümkündür. Bu durumda yapılan aydınlatma işbu “Politika”nın ayrılmaz bir parçasını teşkil edecek olup, İşbu “Politika” da yer almadığı iddia edilemeyecektir. Nitekim Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. maddesi kapsamında aydınlatmanın sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yapılması mümkündür.
1.3. Politika ve KVKK Mevzuatının Uygulanması
Kişisel verilerin işlenmesi ve korunması konusunda öncelikle yürürlükte bulunan ilgili kanuni düzenlemeler uygulanacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.
1.4. Politika’nın Yürürlüğü
İşbu Politika 28.07.2022 tarihinde hazırlanmış ve yürürlüğe girmiş ve www.nar724.com/kvkk-politikalari internet sitemizde yayınlanmıştır.
Versiyon No : 2022.01
Versiyon Tarihi : 28.07.2022
2.KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1.Kişisel Verilerin Güvenliğinin Sağlanması
Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
2.2.Özel Nitelikli Kişisel Verilerin Korunması
Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.”
Şirket tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır.
2.3. Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:”
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
- a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
- b) Gizlilik sözleşmelerinin yapılması,
- c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
- d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
- a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
- b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
- c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
- a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
- b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılacaksa
- a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
- b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
- c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6- Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
2.4.İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
Şirket kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için düzenli aralıklarla eğitimler düzenlemektedir.
Şirket çalışanlarının kişisel verilerin korunması konusunda konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Şirketimiz, başta Kişisel Verileri Koruma Kurumunun hazırlamış oldukları gelmek üzere ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına çalışanları vasıtasıyla katılım sağlamakta olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini yenilemektedir.
- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirket kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirket kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
3.2. Kişisel Verilerin İşlenme Şartları
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 3.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.
- Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
- Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
iii. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
- Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
vii. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
viii. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
(i)Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
(ii)Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.”
3.4. İlgili Kişilerin Aydınlatılması
“ŞİRKET”” Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda “”ŞİRKET”” kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.
3.5. Kişisel Verilerin Aktarılması
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Bu konu ile ilgili ayrıntılı bilgiye işbu Politika’nın; EK-3 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları dokümanından ulaşılması mümkündür.
3.5.1. Kişisel Verilerin Aktarılması
Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
- Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
- Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilecek yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.
3.5.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.”
- ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
“Şirketimiz nezdinde, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir. İşbu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politika’nın EK 4 (“EK 4- Kişisel Veri Kategorileri”) dokümanından ulaşılabilecektir.
Söz konusu kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler Politika’nın EK 3’inde (“EK 3- Kişisel Veri İşleme Amaçları”) yer almaktadır.”
- KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
- İLGİLİ KİŞİNİN HAKLARI
6.1. İlgili Kişinin Hakları
KVKK kapsamında;
- Kişisel Verilerinizin işlenip işlenmediğini öğrenme,
- Kişisel Verileriniz işlenmişse buna ilişkin bilgi talep etme,
iii. Kişisel Verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurtiçinde veya yurtdışında Kişisel Verilerinizin aktarıldığı üçüncü kişileri bilme,
- Kişisel Verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- KVKK mevzuatında öngörülen şartlar çerçevesinde Kişisel Verilerinizin silinmesini veya yok edilmesini isteme,
vii. v. ve vi. maddeleri kapsamında yapılan işlemlerin Kişisel Verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
viii. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel Verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde bu zararın giderilmesini talep etme haklarına sahipsiniz.
6.2. İlgili Kişinin Haklarını Kullanma Şekilleri
- Şirketimiz www.nar724.com internet sayfasınız kullanarak haklarını detaylı şekilde öğrenme,
1.1. Yine bu internet bağlantısını kullarak indirebileceğiniz “başvuru formu”nu talebiniz/şikâyetiniz doğrultusunda doldurarak,
söz konusu formu [email protected] e-posta adresi üzerinde veya [email protected] adresimiz üzerinden Şirketimize iletebilir,
1.2. Veya aynı formu doldurarak Mahmutbey mah. Hacı Bostan Cad. NO: 4B Bağcılar / İstanbul Şirket adresimize, fiziki olarak, posta veya kargo ile iletebilirsiniz.
Talebinizi üstte gösterilen yöntemlerden birisini kullanarak tarafımıza iletmeniz durumunda KVKK md. 13/2 gereğince, talebiniz en geç 30 gün içinde değerlendirilecek ve tarafınıza konuyla ilgili bilgi verilecektir. Eğer talebiniz kabul edilirse, gerekli işlemler derhal veri sorumlusu Şirket tarafından yerine getirilecektir.
Talepler kural olarak ücretsiz karşılanır ancak, talebin gereğini yerine getirmek masraf gerektiriyorsa “Veri Sorumlusuna Başvuru Usul ve Esasları Hk. Tebliğ” madde 7’de öngörülen; “İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, 10 sayfaya kadar ücret alınmaz. 10 sayfanın üzerindeki her sayfa için 1 TL işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.” Hükmü gereğince Şirket tarafından ücret istenebilecektir.
7.KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
7.1.Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri
Şirket tarafından güvenliğin sağlanması amacıyla binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti bulunmaktadır.
İnternet sitesi ziyaretlerinde ise Çerez politikamızda belirtilen ( www.nar724.com/kvkk-politikalari ) veriler kaydedilmektedir.
7.2.”ŞİRKET” Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışların Takibi
Misafirlere ait giriş ve çıkışlarda hiçbir kişiler veri işlenmemektedir.
- KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER
Şirket, işlemekte olduğu kişisel verilerin gizliliğinin ve güvenliğinin sağlanması konusunda, köklü bir Şirket olmanın da verdiği sorumluluk bilinciyle, gereken her türlü makul dikkat ve özeni sağlamaktadır. Şirket, ilgili mevzuatının gereklilikleri yanında KVKK’nın 12. maddesi çerçevesinde veri gizliliğinin ve güvenliğinin sağlanması için de gereken teknik ve idari tedbirlerini makul düzeyde almaktadır. Söz konusu idari ve teknik güvenlik tedbirleriyle birlikte kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ile kişisel verilerin uygun güvenlik düzeyinde muhafaza edilmesi hedeflenmektedir.
Şirket, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin ilgili veri işleyenler tarafından da alınması için gerekli tedbirleri alacaktır.
Kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi halinde, ilgili mevzuat hükümleri uyarınca veri sahiplerine, Kurul’a ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunacaktır.
Kişisel verilerin güvenliğine ilişkin tedbirler alınırken Kurul tarafından yayınlanmış olan Kişisel Veri Güvenliği Rehberi ( İdari ve Teknik Tedbirler) göz önünde bulundurulmaktadır.
Veri Güvenliği Tedbirleri (İdari ve Teknik Tedbirler)
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- YÜRÜTME
9.1. Kişisel verilerin İşlenmesi ve Korunma Politikası kapsamında tüm çalışmalar Veri Sorumlusu başkanlığında yürütülür.
- YÜRÜRLÜK VE İLANI
10.1. Kişisel Verileri Korunması Politikası 28.07.2022 tarihinde yürürlüğe girmiştir.
10.2. Politikada şuan veya herhangi bir değişiklik olduğunda www.nar724.com/kvkk-politikalari adresinde yayımdadır.
Versiyon No : 2022.01
Versiyon Tarihi : 28.07.2022
Ek-1 Aydınlatma Yükümlülüğü Uygulama Tebliği
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirlemektir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) ve (g) bentlerine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 3 – (1) Bu Tebliğde geçen;
- a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
- b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
- c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
ç) Kurul: Kişisel Verileri Koruma Kurulunu,
- d) Kurum: Kişisel Verileri Koruma Kurumunu,
- e) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,
- f) Veri kayıt sistemi: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
- g) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ğ) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete’de yayınlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade eder.
(2) Bu Tebliğde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.
Aydınlatma yükümlülüğünün kapsamı
MADDE 4 – (1) Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:
- a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
- b) Kişisel verilerin hangi amaçla işleneceği,
- c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.
Usul ve esaslar
MADDE 5 – (1) Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:
- a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
- b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
- c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
- d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
- e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı, veri sorumlusuna aittir. “f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
- g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
- h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
- i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
- j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü
MADDE 6 – (1) Kişisel verilerin ilgili kişiden elde edilmemesi halinde;
- a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
- b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
- c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada
ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.
Yürürlük
MADDE 7 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 8 – (1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.
- UYGULAMA
2.1. Uygulama Tebliği
AKERTEK TEKSTİL AYAKKABI SAN. VE TİC. A.Ş.. “ŞİRKET” tarafından gizliliğinize saygı duyulmakta ve veri güvenliğinize önem verilmektedir. Bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”, “KVKK”) ve ilgili diğer mevzuatlar dâhilinde sizleri bilgilendirmek ve aydınlatmak amacıyla işbu aydınlatma metni hazırlanmıştır
2.2. Bilgilendirme
6698 Sayılı Kişisel Verilerin Korunması Kanunu 24 Mart 2016 tarihinde kabul edilmiş olup, 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Bununla birlikte, Kanun’un Yürürlük başlıklı 32.maddesine göre, bu Kanunun; 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri 7 Ekim 2016 tarihi itibari ile yürürlük kazanmıştır.
Kanun; Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla kabul edilmiştir.
İşbu metin ile “ŞİRKET” tarafından ziyaretçiler bilgilendirilmekte ve aydınlatılmaktadır
ŞİRKET” ziyaretçiler tarafından bu sitedeki formlar aracılığıyla sunulan isminiz, elektronik posta adresiniz, iş ve ev adresiniz, telefon numaranız ve sair kişisel verilerinizi yalnızca işleme amacı ile sınırlı olarak ve aydınlatma metninde, onay verilmiş ise açık rıza metninde, belirtilen sınırlar çerçevesinde işleyecektir.
2.2.1.Verilerinizi İşleme Nedenlerimiz
Kişisel verileriniz, şirketimiz tarafından sağlanan ürün ve hizmetlerin tarafınıza sunulabilmesini temin için şirket içerisinde gerekli faaliyetlerin yürütülmesi, siz müşterilerimize tüketim ve alım motivasyonunuza uygun ürün ve hizmetlerin önerilebilmesi için gerekli çalışmaların ilgili iş birimi ve iş ortakları ile yapılması, insan kaynağı yönetiminin Şirketimiz tarafından sağlanarak gerçek kişilerin haklarının temini, Şirketimiz tarafından ticari kararların verilmesi, uygulanması ve gerçekleştirilmesi konusunda gerekli adımların atılması, iş ilişkisi kurduğumuz gerçek kişilerin ve Şirketimizin bu ilişkilerden kaynaklı hukuki emniyetinin sağlanması ve bunlarla sınırlı olmamak kaydıyla benzer amaçlarla Kanun’un 5 ve 6. maddeleri uyarınca işlenmektedir.
EK 2 – Temel Tanımlar
Şirket : AKERTEK TEKSTİL AYAKKABI SAN. VE TİC. A.Ş.
Adres : Mahmutbey mah. Hacı Bostan Cad. NO: 4B Bağcılar / İstanbul
KVK Kanunu : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Yönetmelik :Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği
Kurul : Kişisel Verileri Koruma Kurulu
Politika :Kişisel Verileri İşlenmesi ve Korunması Politikası
Veri Sorumlusu :Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdikleri faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır.
İrtibat Kişisi : Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi. (İrtibat kişisi Veri Sorumlusunu temsile yetkili değildir. Adından anlaşılacağı üzere yalnızca veri sorumlusu ile ilgili kişilerin ve Kurumun iletişimini “irtibatı” sağlamak üzere görevlendirilen kişidir.)
Veri İşleyen / İlgili Kullanıcı : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişilerin adı, soyadı, doğum tarihi ve doğum yeri, kişinin fiziki, ailevi, ekonomik ve sair özelliklerine ilişkin bilgiler, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası gibi veriler kişisel veridir. Bu anlamda, kişisel verinin, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir nitelik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayacak nitelikte olması gerekir.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Kanun’da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiş olup, kıyas yoluyla genişletilmesi mümkün değildir.
Kişisel Verinin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınırlandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Otomotik Veri İşleme : Bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir.
Aydınlatma Yükümlülüğü : Veri sorumlusunun, kişisel verilerini işlediği kişilere, bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vermesi yükümlülüğüdür. Aydınlatma yükümlülüğü kapsamında kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebepleri hakkında verisi işlenen kişilere bilgi verilmesi gerekir.
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
İlgili Kişi / Veri Sahibi : Kişisel verisi işlenen gerçek kişidir. Tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde bu veriler Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır.
Departman : Bir işyerinde ya da kuruluşta belli bir işi yapmak üzere ayrılmış olan bölümlerden her biri
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Veri kayıt sisteminde kişisel veriler; ad-soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir.
Veri Güvenliği : Kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemeye ve bunların hukuka uygun olarak muhafazasını sağlamaya yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasıdır. Veri Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Doğrudan Tanımlayıcılar : Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
Dolaylı Tanımlayıcılar : Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
Veri Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları çalışmalardır.
Veri Sorumluları Sicili : 6698 sayılı Kanuna göre veri sorumlusu olanların kaydolmak zorunda oldukları Kişisel Verilerin Korunması Kurumu Başkanlığı tarafından kamuya açık olarak tutulması öngörülen bir kayıt sistemidir.
Kişisel Verilerin Aktarılması : Veri sorumlularının uhdesinde bulunan kişisel verilerin aktarılmasıdır. Kural olarak, kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz.
Çerez ( Cookie) : Kullanıcıların bilgisayarlarına yahut mobil cihazlarına kaydedilen ve ziyaret ettikleri web sayfalarındaki tercihleri ve diğer bilgileri depolamaya yardımcı olan küçük dosyalardır
Anonim Hale Getirme (Anonimleştirme) : Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Bununla birlikte anonim hale getirme ile anonim veri birbiri ile karıştırılmamalıdır. Anonim veri baştan itibaren belirli bir kişi ile ilişkilendirilmeden elde edilen ve daha sonra da belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veridir. Anonim hale getirilmiş verinin anonim veriden farkı başlangıçta kime ait olduğunun bilinmesi ve ilgili kişi ile arasındaki bağın daha sonra ortadan kaldırılmasıdır.
Alenileştirme : “Herkes tarafından bilinir kılma” anlamında olan alenileştirme kavramı, 6698 sayılı Kanunun 5. maddesinde, kişisel verilerin açık rıza aranmaksızın işlenebileceği hallerden biri olarak sayılmıştır. Buna göre, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle ilgili kişinin alenileştirme iradesi ile herhangi bir şekilde kamuoyuna açıklamış olduğu kişisel veriler, ayrıca ilgili kişinin açık rızası olmaksızın alenileştirme amacı ve Kanunun 4. maddesinde düzenlenen genel ilkeler kapsamında işlenebilecektir.
Silme : Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok Etme : Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemidir.
Karartma : Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
Maskeleme : Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemlerdir.
Periyodik İmha : Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Kaynak : 6698 sayılı Kişisel Verilerin Korunması Kanunu- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik – Veri Sorumluları Sicili Hakkında Yönetmelik – Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ – Veri Sorumlusuna Başvuru ve Usul Esasları Hakkında Tebliğ Veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
EK 3 – Kişisel Veri İşleme Amaçları
İşbu Politikada ile belirtilen Şirkete ait kişisel veri işleme amaçları aşağıda listelenmiştir.
1-Kimlik
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Lojistik Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
Organizasyon Ve Etkinlik Yönetimi
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Stratejik Planlama Faaliyetlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Ücret Politikasının Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
2-İletişim
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Lojistik Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Pazarlama Analiz Çalışmalarının Yürütülmesi
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Stratejik Planlama Faaliyetlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Taşınır Mal Ve Kaynakların Güvenliğinin Temini
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
Ücret Politikasının Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
3-Lokasyon
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
Lojistik Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Yönetim Faaliyetlerinin Yürütülmesi
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
4-Özlük
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Ücret Politikasının Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
5-Hukuki İşlem
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Ücret Politikasının Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
6-Müşteri İşlem
Finans Ve Muhasebe İşlerinin Yürütülmesi
Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
Lojistik Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
7-Fiziksel Mekan Güvenliği
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
8-İşlem Güvenliği
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
9-Risk Yönetimi
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
10-Finans
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
Risk Yönetimi Süreçlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
11-Mesleki Deneyim
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
Risk Yönetimi Süreçlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
12-Pazarlama
Erişim Yetkilerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
Pazarlama Analiz Çalışmalarının Yürütülmesi
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
13-Görsel Ve İşitsel Kayıtlar
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Eğitim Faaliyetlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
21-Sağlık Bilgileri
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Eğitim Faaliyetlerinin Yürütülmesi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
EK 4 – Kişisel Veri Kategorileri ve Veri Konusu Kişi Grupları
Kişisel Veri kategorisi – Veri Konusu Kişi Grupları
1-Kimlik
Çalışan Adayı
Çalışan
Hissedar/Ortak
Potansiyel Ürün veya Hizmet Alıcısı
Stajyer
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
2-İletişim
Çalışan Adayı
Çalışan
Hissedar/Ortak
Potansiyel Ürün veya Hizmet Alıcısı
Stajyer
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
3-Lokasyon
Çalışan
Hissedar/Ortak
Stajyer
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
4-Özlük
Çalışan
Hissedar/Ortak
Stajyer
5-Hukuki İşlem
Çalışan
Hissedar/Ortak
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
6-Müşteri İşlem
Çalışan
Hissedar/Ortak
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
7-Fiziksel Mekan Güvenliği
Çalışan Adayı
Çalışan
Hissedar/Ortak
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
Ziyaretçi
8-İşlem Güvenliği
Çalışan
Hissedar/Ortak
Ürün veya Hizmet Alan Kişi
Potansiyel Ürün veya Hizmet Alıcısı
9-Risk Yönetimi
Çalışan
Hissedar/Ortak
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
10-Finans
Çalışan
Hissedar/Ortak
Stajyer
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
11-Mesleki Deneyim
Stajyer
Çalışan
Hissedar/Ortak
12-Pazarlama
Çalışan
Hissedar/Ortak
Stajyer
Potansiyel Ürün veya Hizmet Alıcısı
Ürün veya Hizmet Alan Kişi
13-Görsel Ve İşitsel Kayıtlar
Çalışan
Hissedar/Ortak
Stajyer
21-Sağlık Bilgileri
Çalışan
Hissedar/Ortak
Stajyer
23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri
Çalışan
Hissedar/Ortak
Stajyer
EK 5- Kişisel Verilerin Aktarım Amaçları
- AMAÇ :
1.1. Kişisel Verilerin Yurt içine veya Yurtdışına Aktarılmasında uyulması gereken kuralların belirlenmesi amaçlanmıştır.
2.KİŞİSEL VERİLERİN AKTARILMASI
2.1. Yurtiçi Aktarım
2.1.1. Genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel veriler ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabilir.
Kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartlar aranmaktadır.
İlgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir.
Diğer taraftan, kişisel verilerin yurtiçinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir.
2.1.2. Aktarma için aşağıdaki hallerden birinin bulunması gerekmektedir:
İlgili kişinin açık rızasının alınması,
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
2.1.3. Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir:
İlgili kişinin açık rızasının alınması halinde,
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
2.1.3.1. Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen”
hem gerçek hem de tüzel kişi olabilmektedir. Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel
kişi veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir.
Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de 6698 sayılı
Kanunun 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.
2.1.4. Aşağıda veri aktarım yapılabilecek alıcı grupları şunlardır:
- Gerçek kişiler veya özel hukuk tüzel kişileri
- Hissedarlar
- İştirakler ve bağlı ortaklıklar
- Tedarikçiler
- Yetkili Kamu Kurum ve Kuruluşları
2.2. Yurtdışına Aktarım
2.2.1. Kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartlar aranmaktadır.
2.2.2. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
2.2.3. İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür.
2.2.4. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli
korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
2.3. Yeterli korumaya sahip olan ülkelere veri aktarımı
2.3.1. Kişisel veriler;
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri
işlenmesinin zorunlu olması halinde yurtdışına aktarılabilmektedir.
2.3.2. Özel nitelikli kişisel veriler ise, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve
cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir.
2.3.3. Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum
ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.
2.3.4. Şirket veya kurumlar kategorik seviyede yabancı ülkelere kişisel verileri aktarım yapılıp yapılmadı tespit edilmelidir.
2.4. Yeterli korumanın bulunmaması halinde
Kişisel verinin aktarılacağı ülke, yeterli korumanın bulunmadığı bir ülke ise bu durumda kişisel veri işleme şartlarının mevcut olması ile Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekir. Buna göre yeterli korumanın bulunmadığı bir ülkeye kişisel veri aktarımında;
Kişisel veri özel nitelikli kişisel veri değilse 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında , özel nitelikli kişisel veri ise 6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması halinde yeterli korumaya sahip olmayan ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri aşağıdaki yöntemlerle gerçekleştirilebilecektir:
2.4. 1. Taahhütnameler
“İlgili kişinin açık rızasının bulunmadığı ve kişisel verinin aktarılacağı ülkenin yeterli korumaya sahip olmadığı durumda; kişisel verinin yurt dışına aktarılabilmesi için Kanunun 5 inci maddesinin 2 nci fıkrası ile 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekmektedir.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmelerinde kullanılabilecek ilk yöntem Kurul tarafından kabul edilerek ilan edilen “Taahhütnameler”dir.
Taahhütnameler, veri sorumlusundan veri sorumlusuna aktarım ve veri sorumlusundan veri işleyene aktarım olmak üzere iki şekilde düzenlenecek ve veri güvenliği sağlanacaktır.
2.5. Yabancı Ülkelere Aktarılan Veriler
Yukarıda adı geçen veri sorumlusunun işlediği kişisel verilerin yabancı ülkelere aktarılma durumları aşağıda gösterilmiştir.
Herhangi bir veri kategorisinin yabancı ülkelere aktarılmadığı taahhüt edildi.
EK – 6 Veri Sorumlusu Kimliği
Veri Sorumlusu : AKERTEK TEKSTİL AYAKKABI SAN. VE TİC. A.Ş.
Adres : Mahmutbey mah. Hacı Bostan Cad. NO: 4B Bağcılar / İstanbul
Telefon : 0212 444 9 172
Kep Adresi : [email protected]
E-Posta Adresi : [email protected]
İnternet Adresi : www.nar724.com
EK – 7 İrtibat Kişisi Kimliği
Adı Soyadı : Erman TOSUNER
Ünvanı : Muhasebe Sorumlusu
E-Posta Adresi : erman@ akertek.com
Telefon : 0212 444 9 172