I. Kişisel Verin İşlenmesi ve Korunması Politikasının Amacı
II. Kapsam
III. Tanımlar
IV. Genel İlkeler
1. Hukuka ve dürüstlük kurallarına uygun olma.
2. Doğru ve gerektiğinde güncel olma.
3. Belirli, açık ve meşru amaçlar için işlenme.
4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
V. Kişisel Verilerin İşlenmesi
1. Kişisel Verilerin Sınıflandırılması
2. Kişisel Verilerin İşlenmesi Şartları
Kişisel verilerin işlenmesi koşulları KVK Kanunu’nun 5. ve 6. Maddelerinde düzenlenmiştir:
2.1. Kişinin açık rızasını beyan etmiş olması
2.2. Açık rıza aranmaksızın işleme
3. Özel Nitelikli Kişisel Verilerin İşlenmesi
4. Kişisel Sağlık Verilerinin İşlenmesi
5. Kişisel Verilerin Toplanma Yöntemi
6. Kişisel Veri Kategorileri
7. Veri Konusu Kişi Grupları ve İşlenen Veri Kategorileri
8. Amaç
9. Hukuki sebep
10. Aydınlatma
VI. Verilerin Aktarılması
1. Aktarılma Amaçları
2. Kişisel Verilerin Aktarıldığı Kurum Ve Kuruluşlar
3. Yurt İçinde Aktarım
4. Yurt Dışında Aktarım
VII. Veri Güvenliğini Sağlamak Amacıyla Teknik Ve İdari Tedbirler
A. İdari Tedbirler
B. Teknik Tedbirler
Bulut hizmeti sağlayıcısının yeterli teknik ve idari tedbirler uyguladığı hizmet alımında tespit edilmiştir ve devamlılığı hizmet sağlayıcının periyodik denetim raporlarını kontrol ederek sağlanmaktadır. Ayrıca bulutta depolanan kişisel verilere erişim için iki kademeli kimlik doğrulama yöntemi kullanılmakta, olup bulutta yer alan kişisel veriler şifrelenerek saklanmaktadır.
C. Özel nitelikli kişisel veriler bakımından tedbirler
IX. Veri Saklama Süreleri
X. Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi
1. Kişisel Verilerin Silinmesi ve Yok Edilmesi
2. Kişisel Verilerin Anonim Hale Getirilmesi
3. Sorumlular ve Görevler Atanması
XI. Veri İhlali Prosedürü
XII. Veri İç Denetimi
VII. Veri Sahibinin Hakları
XIII. Yürürlük
I. Kişisel Verin İşlenmesi ve Korunması Politikasının Amacı
Bu Kişisel Veri İşleme Politikası Yıldırım Plastik Makine Kalıp Sanayi Ticaret Limited Şirketi, BOSB Birlik San. Sit. Açelya Caddesi, Birlik Sanayi 1/1 , No:12 Beylikdüzü / İSTANBUL - TÜRKİYE (“Yıldırım Plastik” veya “Şirket”) tarafından veri sorumlusu sıfatıyla 6698 sayılı Kişisel Verilerin Korunması Kanun (KVKK) çerçevesinde, müşteri, müşteri adayı, web sitesi ziyaretçileri, çalışanları, çalışan adayları, iş ortakları ve tedarikçilerin çalışanları ve yetkilileri, ziyaretçileri ve üçüncü kişilerin dahil gerçek kişilerin kişisel verilerinin işlenmesine ve korunmasına ilişkin usul ve esasların belirlenmesi ve kişisel veri sahiplerinin bu hususlarda bilgilendirilmesi amacı ile hazırlanmıştır.
II. Kapsam
Bu Politika, Şirket tarafından yönetilen, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek nitelikteki her türlü bilgi (kişisel veri) ve belgeyi ve bunlarla ilgili alınan önlemleri ve yapılan düzenlemeleri kapsar.
III. Tanımlar
Kişisel Veri İşlenmesi ve Korunması Politikası kapsamından kullanılan ifadeler Ek-I’de belirtilen anlamları taşımaktadır.
IV. Genel İlkeler
KVK Kanunu düzenlemeleri ile kişisel veri işlenirken uyulacak ilkeler belirlemiştir.
1. Hukuka ve dürüstlük kurallarına uygun olma.
Yıldırım Plastik, kişisel veri işlerken kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket etmektedir, mevzuatta yer alan hukuki dayanak çerçevesinde veri işleme amaçlarını ve hukuki yükümlülüklerini gerçekleştirirken ilgili kişileri veri işleme faaliyetleri hakkında bilgilendirmekte ve çıkarlarını dikkate almaktadır.
2. Doğru ve gerektiğinde güncel olma.
Yıldırım Plastik, işlediği kişisel verileri mümkün olduğu ölçüde veri sahibi ilgili kişiden doğrudan toplamakta, verilerin doğru, eksiksiz ve güncel tutulmasını, yanlış veya eksik verilerin düzeltilmesini, tamamlanmasını veya silinmesini sağlamak için özen göstermektedir.
3. Belirli, açık ve meşru amaçlar için işlenme.
Kişisel veriler, yalnızca veriler kullanılmadan önceden tanımlanan meşru amaç için hukuki işleme şartına dayalı olarak işlenmektedir.
Veri sahibi ilgili kişi hangi verilerinin hangi amaç ve hukuki dayanağa göre işlendiği konularında bilgilendirilmektedir.
4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
Yıldırım Plastik, kişisel veri işlemesini belirlenen amaçların gerçekleştirilebilmesi ve yasal yükümlülüklerini yerine getirebilmesi için yeterli ve elverişli verilerle sınırlı tutulmaktadır ve sadece bu amaçlar için kullanmaktadır.
5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Ticari ilişkinin sona ermesi ile veriler işlemden ve erişimden kaldırılır, yasal muhafaza sürelerinin de dolması ile kişisel veriler silinir, yok edilir veya anonim hale getirilir.
V. Kişisel Verilerin İşlenmesi
1. Kişisel Verilerin Sınıflandırılması
1.1. Kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir. Tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler kişisel veri koruması kapsamına dahil olmamaktadır ve KVKK mevzuatı tarafından korunmamaktadır.
1.2. Özel nitelikli kişisel veriler; Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
2. Kişisel Verilerin İşlenmesi Şartları
Kişisel verilerin işlenmesi koşulları KVK Kanunu’nun 5. ve 6. Maddelerinde düzenlenmiştir:
2.1. Kişinin açık rızasını beyan etmiş olması
Kişisel veri sahibinin belirli bir konuyla ilgili bilgilendirilmiş olarak ve bu bilgilendirmeye dayalı olarak özgür iradesi ile tereddüde yer vermeyecek açıklıkta kişisel verilerinin işlenmesine rızasını beyan etmesi halidir. Aşağıdaki maddede yer alan durumların varlığı halinde kişisin açık rızası aranmamaktadır, zira bu durumlarda veri sorumlusunun kişisel verileri işlemesi gerekmekte olup, kişinin rızasının alınmasında bir fayda yoktur. Şirket, aşağıda belirtilen durumlar dışında herhangi bir kişisel veri işleme faaliyetinde bulunması söz konusu olması halinde, kişiyi geniş şekilde bilgilendirerek açık rızasına başvurmaktadır.
2.2. Açık rıza aranmaksızın işleme
Aşağıda belirtilen durumlardan birisinin mevcut bulunması halinde veri sorumlusunun kişisel veri işleme faaliyetinde bulunması gerekmekte olup, kişinin açık rızasına başvurulmadan veriler işlenebilmektedir.
1. Kanunlarda açıkça öngörülmesi.
İş Kanunu ve mevzuatı çerçevesinde çalışanlara ait özlük dosyası tutulurken veya vergi mevzuatı çerçevesinde fatura işlemleri bağlamında kişisel veriler işlenmesi gibi durumlar kanunda açıkça öngörülmesi halleri olup Şirket tarafından kişisel veriler hukuka uygun olarak işlenmektedir.
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Kaza hali gibi durumlarda ilgili kişiden açık rıza alma olanağı olmaması halinde kişisel veri işleme söz konusu olmaktadır.
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
4. Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
Özellikle SGK, vergi kurumu, emniyet müdürlükleri tarafından talep edilen kişisel veriler olmakta olup bu verilerin işlenmesi veri sorumlusunun bir yükümlülüğüdür.
5. Kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması.
Kişisel verilerin kişinin kendisi tarafından, herhangi bir şekilde kamuya açık, herkesçe bilinebilir hale getirilmesi durumudur. Bu tür veriler kişinin açık rızası aranmaksızın, hukuka uygun şekilde işlenmesine izin verilmiştir.
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
Bu tür veri işleme faaliyetleri özellikle hukuki süreçlerde delil vasfına sahip belgelerde bulunan bilgileri kapsamaktadır.
7. Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
3. Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirketimiz, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli olarak belirtilen kişisel verilerin işlenmesinde KVK Kanunu’nun 6. maddesinde ortaya konulan veri işleme şartlarına uygun olarak hareket etmektedir. Ayrıca, özel nitelikli kişisel verilerin işlenmesinde KVK Kurulu tarafından belirlenen yeterli önlemleri de almaktadır. Özel nitelikli kişisel verilerin kişisel veri sahibinin açık rızası olmaksızın işlenmesi yasaktır. Ancak, aşağıdaki hallerde (madde 3.) kişisel veri sahibinin açık rızası olmamasına rağmen özel nitelikli kişisel veriler işlenebilecektir:
4. Kişisel Sağlık Verilerinin İşlenmesi
Kişisel sağlık verileri; (i) Sağlık Bakanlığı tarafından öngörülecek yeterli önlemleri almak, (ii) genel ilkelere uygun davranmak, (iii) sır saklama yükümlülüğü altında bulunmak kaydıyla aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilecektir:
- Kişisel veri sahibinin yazılı açık rızası
- Kamu sağlığının korunması
- Koruyucu hekimlik
- Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
Şirket belirtilen hususların tamamına uyum sağlayarak özel nitelikli kişisel verilerin, bilhassa sağlık verilerinin korunması için azami özeni göstermektedir. Şirket çalışanlarına ait bu tür veriler kanunlarda öngörülen kişilerce işlenebilmektedir.
5. Kişisel Verilerin Toplanma Yöntemi
5.1. Kişisel veriler ilgili kişiler tarafından şahsen, hizmet sağlayıcı ve iş ortağı yetkilisi ve/veya çalışanı, web sitesi, e-posta, telefon gibi iletişim kanalları, imza sirküleri ve sözleşme gibi belgelerden, Çağrı Merkezi ve sair dijital kanallar, ofis ve sair hizmet kanalları aracılığıyla iletilen veriler, fiziksel formlar, sözleşme ilişkisi süreci içerisinde tarafımıza ilettiğiniz bilgiler, işbirliği yapılan kurum ve kuruluşlar, sigorta şirketleri, resmi kurumlar, bankalar ve diğer üçüncü kişiler aracılığıyla, Şirket web sitesi üzerinden iletilen veya ziyaret sırasında bilgisayarca otomatik olarak iletilen teknik iletişim dosyaları yoluyla; sözlü, yazılı veya elektronik ortamda; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla toplanabilmektedir.
5.2. Çerezler üzerinden toplanan kişisel veriler; Çerezler ile web sitemiz işleyişini ve kullanımını geliştirmeye ve bu ortamlarda yaptığınız tercihleri hatırlamaya yönelik olarak kişisel verilerinizi toplayabilir, işleyebilir, aktarabilir ve saklayabiliriz.
Kullandığımız çerezlere ilişkin ayrıntılı bilgiye “
Çerez Politikası” linkinden ulaşabilirsiniz.
6. Kişisel Veri Kategorileri
Aşağıdaki sayılan kişisel veri kategorileri, faaliyetlerimiz ile bağlantılı olarak tarafımızca işlenebilmektedir:
Kimlik Bilgileri: ad soyad, T.C. kimlik belgesinde bulunan anne -baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi bilgiler,
İletişim Bilgileri: adres, telefon numarası, adres (şahsi ve / veya ticari), e-posta adresi (şahsi ve / veya ticari), faks numarası, iletişim içeriği (örneğin e-posta, faks, çağrı merkezi sesli görüşme kayıtları, video kayıtları vs),
Hukuki İşlem: adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler,
İşlem Güvenliği Bilgileri: IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi veriler,
Finans Bilgileri: bilanço bilgileri, finansal performans bilgileri, Kredi kartı bilgileri, IBAN, ödeme verileri, vergi numarası, faturalama bilgileri, kredi değerlendirme kuruluşlarının hazırladığı kredibilite notu gibi veriler,
Lokasyon Verileri: aracın bulunduğu yerin konumu,
Mesleki Deneyim: diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar,
Özlük Bilgileri: bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi bilgiler,
Özel Nitelikli Kişisel Veri-Sağlık Bilgileri: ehliyette bulunan kan grubu ve cihaz verileri: engellilik durumuna ait bilgiler, kimlikte bulunan kan grubu bilgisi, çalışan sağlık raporlarında bulunan kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri,
Özel Nitelikli Kişisel Veri-Biyometrik Veri: belirli alanların korunması amacıyla parmak okutma bilgileri,
Özel Nitelikli Kişisel Veri -Ceza Mahkûmiyeti ve Güvenlik Tedbirleri: Sabıka Kaydında bulunan bilgiler,
Pazarlama Bilgisi: alışveriş geçmişi bilgileri, çerez kayıtları, kampanya çalışması ile ilgili kayıt edilmiş bilgiler,
Risk Yönetimi: ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler,
Sözleşme verileri: imza sirküleri ve imza veriler vs.
7. Veri Konusu Kişi Grupları ve İşlenen Veri Kategorileri
Şirket, kanunda tanımlanan veri sorumlusu sıfatıyla faaliyetleri kapsamında mümkün olduğu kadar az kişisel veri işlemeye özen göstermekle beraber, kanunların, sözleşmelerin ve faaliyetlerinin gereği bazı kişisel verileri işlemek durumunda kalmaktadır. Şirket’in kişisel verilerini işlediği kişi grupları ve ilgili grubun işlenmeye tabi kişisel veri kategorileri aşağıda gösterilmiştir.
Kişi Grubu | Veri Kategorisi | Kişi Grubu | Veri Kategorisi |
Çalışan | Ceza Mahkûmiyeti Güvenlik Tedbirleri Sağlık Bilgileri Görsel ve İşitsel Kayıtlar Mesleki Deneyim Finans Risk Yönetimi İşlem Güvenliği Özlük Hukuki İşlem İletişim Kimlik | Ürün veya Hizmet Alan Kişi | Görsel ve İşitsel Kayıtlar Finans Risk Yönetimi İşlem Güvenliği Müşteri İşlem Hukuki İşlem İletişim Kimlik |
Çalışan Adayı | Ceza Mahkûmiyeti Güvenlik Tedbirleri Mesleki Deneyim Özlük İletişim Kimlik | Potansiyel Ürün veya Hizmet Alıcısı | Risk Yönetimi İşlem Güvenliği Müşteri İşlem İletişim Kimlik |
Tedarikçi Yetkilisi Tedarikçi Çalışanı | Görsel ve İşitsel Kayıtlar Risk Yönetimi İletişim Kimlik | Diğer-Çalışan Ailesi | Kimlik |
Ziyaretçi | Kimlik | İnternet Sitesi Ziyaretçileri | Çerez yoluyla işlenen veriler |
8. Amaç
Yıldırım Plastik, kişisel verileri genel anlamda aşağıda belirtilen amaçlarla işleyebilmektedir:
• Acil Durum Yönetimi Süreçlerinin Yürütülmesi
• Bilgi Güvenliği Süreçlerinin Yürütülmesi
• Erişim Yetkilerinin Yürütülmesi
• Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
• İnsan Kaynakları Süreçlerinin Planlanması
• Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• Görevlendirme Süreçlerinin Yürütülmesi
• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• Finans ve Muhasebe İşlerinin Yürütülmesi
• Hukuk İşlerinin Takibi ve Yürütülmesi
• İletişim Faaliyetlerinin Yürütülmesi
• İş Faaliyetlerinin Yürütülmesi / Denetimi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• Lojistik Faaliyetlerinin Yürütülmesi
• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Süreçlerinin Yürütülmesi
• Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
• Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
• Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
• Risk Yönetimi Süreçlerinin Yürütülmesi
• Sözleşme Süreçlerinin Yürütülmesi
• Talep / Şikayetlerin Takibi
• Taşınır Mal ve Kaynakların Güvenliğinin Temini
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Ücret Politikasının Yürütülmesi
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
• Yönetim Faaliyetlerinin Yürütülmesi
Şirket özel anlamda aşağıda belirtilen amaçlarla kişisel verileri işlemektedir:
• Kişisel veriler Şirket tarafından faaliyetleri kapsamında ve ilgili mevzuattan kaynaklanan yasal yükümlülükler çerçevesinde, söz konusu amaç ve yasal yükümlülüklerini yerine getirebilmesi amacıyla işlenmektedir.
• Ürünlerimize ait fatura tanzimi, hizmetlerimize ilişkin soru ve şikâyetinizin ürün satışı ve sonrası hizmetlerinin yürütülmesi ve geliştirilmesi, üyelik işlemleri ve bunlarla sınırlı olmaksızın benzeri amaçlarla işlenebilecektir.
• Ayrıca ürün ve hizmetlerin analizi, pazarlama aktiviteleri, rapor alma ve analiz, web sitemizi geliştirme, kanuni takip, doğabilecek uyuşmazlıklarda delil olarak kullanılmak ve benzeri amaçlarla işlenebilecektir.
• Kanunun emredici hükümler gereği 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 1774 sayılı Kimlik Bildirme Kanunu, 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve sair ilgili mevzuat ile ilgili kanunlara ilişkin ikincil mevzuat hükümleri gereği, kamu kurumlarıyla ilgili bilgilerinin paylaşılması, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini, yasal yükümlülüklerin yerine getirilmesi gibi nedenlerin zorunlu kıldığı haller ve sair mevzuat hükümleri çerçevesinde işlenmektedir.
• Şirketi ziyaret eden misafirlerin giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyeti gerçekleştirilmektedir. Şirketimize gelen kişilerin ad-soyad bilgisi elde edilirken söz konusu veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda kayıt sistemine kaydedilmektedir.
• Şirket ziyaretçilerinin Şirket WIFI ağını kullanması durumunda, bu hizmeti sunmak için ve 5651 sayılı Kanun ve ilgili ikincil mevzuatı uyarınca bilgiler işlenmektedir.
• Web sitesi ziyaretçilerinin Kişisel Verilerinin İşlenmesi, Web Sitesi’ni ziyaret eden kullanıcılara ait trafik bilgileri, yani taraflara ilişkin IP adresi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı bilgileri 5651 Sayılı Kanun uyarınca işlenmektedir.
9. Hukuki sebep
Kişisel verileriler yukarıda da belirtildiği üzere Yıldırım Plastik tarafından verilen hizmetin sunulabilmesi, Yıldırım Plastik’in sözleşme ve ilgili mevzuattan kaynaklanan yasal yükümlülüklerini yerine getirebilmesi amacıyla KVKK Madde 5 ve 6’da düzenlendiği üzere, özellikle; veri sahibi kişinin açık rızası, açık rızası aranmaksızın (i) Kanunlarda açıkça öngörülmesi, (ii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (iii) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, (iv) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve (v) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebeplerine dayanılarak işlenmektedir.
10. Aydınlatma
Şirket, KVKK 10. madde gereğince kişisel verilerin elde edilmesi sırasında kişisel veri sahibi ilgili kişileri veri işleme faaliyetleri bakımından, veri sorumlusunun kimliğini, kişisel verilerin toplamanın yöntemi, işleme amaçları, hukuki sebebi, kimlere ve hangi amaçla aktarılabileceği ve ilgili kişilerin sahip olduğu hakları konularında aydınlatmaktadır ve hukuken gerekmesi durumunda açık rıza beyanlarını almaktadır.
VI. Verilerin Aktarılması
Kişisel veri aktarımlarında uygulanacak usul ve esaslar KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olup kişisel veri sahibinin kişisel verileri ve özel nitelikli kişisel verileri yurtiçi ve yurtdışındaki üçüncü kişilere aktarılabilmektedir. Kişisel veriler KVKK Madde 8 dahilinde, Kanun ve ilgili mevzuat kapsamında ve yukarıda belirtilen amaçlarla ilgili resmi merciler başta olmak üzere, yetkili kurum ve kuruluşlar ile banka ve ilgili hizmetler ve hizmetlerin geliştirilmesi ve yürütülmesi amaçları bakımından iş birliği yaptığımız kişiler ve diğer üçüncü kişiler ile paylaşılabilmektedir.
1. Aktarılma Amaçları
Aktarım amaçları başlıca:
- Ticari ortaklıklarının ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
- Kurumsal işleyişinin sağlanması, yönetim ve iletişim faaliyetlerinin planlanması ve icrası,
- Ürün ve hizmetlerinden Kişisel Veri Sahipleri ’nin en iyi şekilde faydalandırılması ve onların talep, ihtiyaç ve isteklerine göre özel hale getirilerek önerilmesi,
- Veri güvenliğinin sağlanması,
- Veri tabanlarının oluşturulması,
- İnternet sitesinde sunulan hizmetlerin geliştirilmesi ve sitede oluşan hataların giderilmesi,
- İş ortakları veya hizmet sağlayıcılarla olan ilişkilerin yönetimi,
- Personel süreçlerinin yürütülmesi,
- Şirket hukuk işlerinin icrası/takibi,
- Yetkili kuruluşlara mevzuattan kaynaklı taleplerinde bilgi verilmesi,
dir.
Ayrıca Kanunun emredici hükümler gereği 2918 sayılı Karayolları Trafik Kanunu, 5237 sayılı Türk Ceza Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 6502 sayılı Tüketicinin Korunması Hakkında Kanunu ve sair ilgili mevzuat ile ilgili kanunlara ilişkin ikincil mevzuat hükümleri gereği, emniyet birimleri gibi kamu kurumlarıyla bilgilerin paylaşılması, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini, yasal yükümlülüklerin yerine getirilmesi gibi nedenlerin zorunlu kıldığı haller ve sair mevzuat hükümleri çerçevesinde paylaşılabilmektedir.
2. Kişisel Verilerin Aktarıldığı Kurum ve Kuruluşlar
Alıcı Grubu | Açıklama |
Yetkili Kamu Kurum ve Kuruluşları | Hukuken bilgi ve belge talep yetkisi bulunan kamu kurum ve kuruluşlarına talep amacı ile sınırlı kişisel veri paylaşımı yapılmaktadır. |
Gerçek Kişiler ve Özel Hukuk Tüzel Kişileri | Hukuken bilgi ve talep yetkisi özel hukuk kişilerine hukuki yetkisi ve talep amacı ile sınırlı kişisel veri paylaşımı yapılmaktadır. |
Tedarikçiler | Şirket ile arasında sözleşmeye dayanarak Şirket’in ticari faaliyetleri kapsamında temin edilen ürün ve hizmetlerin alınması ile sınırlı kişisel veri paylaşımı yapılmaktadır. |
Hissedarlar | Ticari faaliyetlerin yürütülmesi amacıyla gereken kişisel verilerin paylaşılması. |
3. Yurt İçinde Aktarım
KVK Kanunu’nun 8. maddesine uygun olarak, kişisel verilerin yurt içinde aktarımı bu Kişisel Veri Politikasında belirtilen “Kişisel Verilerin İşlenmesi” başlıklı V. bölümde belirtilen koşullardan birinin sağlanmış olması kaydıyla mümkün olacaktır.
4. Yurt Dışında Aktarım
KVK Kanunu’nun 9. maddesine uygun olarak, kişisel verilerin yurt dışına aktarılması halinde, yurt içi aktarımlarına ilişkin koşulların sağlanmış olmasının yanı şıra aşağıdaki hususlardan birinin varlığı aranmaktadır:
- Aktarım yapılacak ülkenin KVK Kurulu tarafından ilan edilen yeterli korumaya sahip ülkeler arasında sayılması veya
- Aktarım yapılacak ülkede yeterli korumamanın bulunmaması halinde, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması.
Belirtilen koşulların sağlanmış olması kaydıyla yurt dışına aktarılma mümkün olacaktır.
VII. Veri Güvenliğini Sağlamak Amacıyla Teknik ve İdari Tedbirler
KVKK madde 12 gereğince Veri Sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kişisel veriler hem elektronik ortama hem de fiziksel ortama, yetkisiz erişimlerden, yasa dışı işlemlerden ve ifşadan, kazara kaybedilmesi, değiştirilmesi veya imha ilmesinden korunmalıdır. Yıldırım Plastik, bu güvenliği sağlamak için prosedür ve kuralları belirler, alınacak tedbirler bilim ve teknolojinin güncel seviyesinde olmasını sağlar, periyodik olarak gözden geçirip durum raporu hazırlar ve gerekmesi durumunda günceller.
İşenen kişisel veriler sınıflandırılmış ve uygun koruma mekanizması belirlenmiştir. Yıldırım Plastik tarafından alınan başlıca teknik tedbirler:
A. İdari Tedbirler
1. Kişisel Verilerin Korunması Kanunu, ilgili ikincil mevzuat ve Kurul kararları dahil kişisel veri koruma uyum sürecinde Şirketin organizasyon şeması çıkartılmış, ardından her birim kendi işlediği kişisel verileri kontrol ederek Kişisel Veri Envanteri hazırlanmıştır.
2. Envanter sürekli güncellenmekte olup Şirketin en güncel veri işleme faaliyetlerini yansıtmaktadır.
3. Her bir veri işleme faaliyeti, hukuki ve fiili gereksinimleri dikkate alınarak işlenen kişisel veriler değerlendirilmiştir. Yasal zorunluluk, sözleşme gereksinimi ve diğer KVKK madde 5’te düzenlenen hukuki sebepler temelinde işlenmesi zorunlu olmadığı kanaatine varılan kişisel verilerin
a) Varsa, geçmişe dönük halihazırda toplamış veriler bakımından yok edilmesi,
b) İleriye dönük, veri işleme faaliyetini uygun şekilde revize ederek işlenmesi zorunlu olmayan kişisel verilerin işlenmemesi sağlanmıştır.
Veri işleme politikasında ve eğitimlerde, veri işleme faaliyetlerinin KVKK’nın temel İlkerlerine uygun, ilgili amaç için asgari oranda kişisel veri işlenecek şekilde şekillendirilmesi hususları belirtilmiştir.
Bu şekilde işlenen kişisel veriler mümkün olduğunca azaltılmaktadır.
4. Şirketin kişisel verileri koruma kapsamında uyguladığı Teknik ve İdari Tedbirler incelenmiştir. Mevcut risk ve tehditler tespit edilmiş, alınması gereken önlemler ilgili departman yöneticileri ile görüşülerek uygulamaya alınmıştır.
5. Kişisel veri güvenliği politika ve prosedürleri hazırlanmıştır ve uygulamaya alınmıştır. Bu bağlamda:
o Genel Kişisel Veri Koruma Politikası
o Kişisel Veri Saklama Ve İmha Politikası
o Özel Nitelikli Kişisel Veri Politikası
o Veri Güvenliği (Teknik ve İdari Tedbirler) Politikası
o Çalışan/Çalışan Adayı Kişisel Veri Politikası
o Çerez Politikası
o İç Denetim Politikası
o Veri İhlali Prosedürü
o Veri Aktarma Prosedürü
o İlgili Kişi Başvuru Prosedürü
o Anahtar Yönetimi Prosedürü
o Erişim, Mobil Cihaz, Şifre Güvenliği, Uzaktan Erişim ve diğer İdari ve Teknik Tedbirler v.s. için Prosedürler ve hukuki metinler hazırlanmıştır ve uygulamaya konmuştur.
6. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
7. Kişisel veri içeren fiziksel ortamlar, yangın ve suya maruz kalmayacak şekilde ofis dolaplarına yerleştirilmiştir ve yangın/gaz detektörü, yangın söndürme tüpü ile ortamların dış risklere karşı güvenliği sağlanmaktadır.
8. Kişisel Veri Koruma Komitesi kurulmuştur. Komitenin görev ve yetkilerini belirler İç Yönerge ve diğer metinler hazırlanmıştır. Komite ve çalışanlar gerek kendi görevleri gerek öngörülen periyodik ve rastgele denetimler, gerekse tüm Şirket çalışanlarını kapsayan eğitimlerle kişisel veri güvenliğinin takibi yönünde aktif rol almaları sağlanmaktadır.
9. Şirket çalışanları gerek Şirket içi prosedürler yoluyla gerekse eğitimlerde tespit ettikleri kişisel veri güvenliği sorunlarının Komiteye raporlanması konusunda bilgilendirilmektedir. Komite ise gerek bu tür bildirimler gerekse kendi görevleri ve iç denetim neticesinde veri güvenliği sorunlarını tespit etmeleri halinde çözüm önerileri ile birlikte Şirket yönetimine raporlamaktadır.
10. İç denetim politikası ve prosedürü hazırlanmış, iç denetimin yapılmasından sorumlu kişiler belirlenmiştir. Şirket nezdinde işlenen sınırlı sayıda kişisel veri ve Şirketin yüksek güvenlik standartları göz önünde bulundurularak iç denetim için yıllık periyot öngörülmüştür. Periyodik iç denetimlerin yanı sıra rastgele denetimler Şirket Yönetimi veya Komite kararıyla yapılacaktır.
11. Çalışanlar bakımından;
a) İş sözleşmeleri veri güvenliği hükümleri ile revize edilmiştir ve taahhütname alınmaktadır,
b) Veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
c) Kişisel verilerin korunması eğitimleri Eylül 2020 tarihinde verilmiştir; güncelleme ve belirli aralıklarla periyodik eğitim ve farkındalık çalışmaları yapılmaktadır,
d) Görev ve yetki matrisi oluşturulmuştur
e) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır,
12. Özel Nitelikli Kişisel Veriler bakımından:
a) Veri güvenliğine yönelik politika ve prosedür belirlenmiş ve uygulanmaktadır,
b) Elektronik posta yoluyla gönderilecekse şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir,
13. Veri İşleyen/Tedarikçi/Alt-İşveren bakımından:
a) Sözleşmelere veri güvenliği hükümleri eklenmiştir veya hazır yürürlükte olan sözleşmelere veri güvenliği ek protokol imza altına alınarak eklenmiştir,
b) Gizlilik sözleşmeleri veya gizlilik taahhütnameleri yapılmaktadır.
14. Veri aktarım usulü ayrı bir Veri Aktarım Prosedür ile belirlenmiş olup dijital ortamda ve fiziki ortamda, kişisel veri ve özel nitelikli kişisel veri bakımından ayrı ayrı düzenlenmiştir. Dijital ortamda aktarım için şifreleme, ağ bağlantısı için VPN öngörülmüştür. Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta alınmaktadır.
B. Teknik Tedbirler
1. Ağ güvenliği sağlanmaktadır;
1.1. Ağ Erişim Kuralları belirlenmiş ve uygulamaya konulmuştur (Ağ Güvenliği ve Erişim Prosedürü)
1.2. Güvenlik Duvarı kullanılmaktadır
1.3. Saldırı Tespit ve Önleme Sistemleri kullanılmaktadır.
1.4. Sızma testi uygulanmaktadır.
1.5. Veri kaybı önleme (DLP) yazılımları kullanılmaktadır.
2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
3. Şifreleme yapılmaktadır.
4. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
5. Şifrelerin güvenliğini sağlamak amacıyla anahtar yönetimi uygulanmaktadır (Anahtar Yönetimi Prosedürü).
6. Güncel anti-virüs sistemleri kullanılmaktadır.
7. Kullanıcı Hesap Yönetimi (Kullanıcı Hesap ve Erişim Prosedürü) düzenlenmiştir ve uygulamaya konulmuştur. Takibi Bilgi İşlem Yetkilisi tarafından sağlanmaktadır.
8. Kişisel veri içeren ortamların güvenliği fiziki ortama giriş çıkış kontrolleri (parmak izi ile giriş), özel nitelikli verilerin kilitli dolaplarda tutulması gibi çeşitli fiziki tedbirlerle, dijital ortamların güvenliği erişim yetkisi yönetimi, şifreleme ve yedekleme gibi çeşitli teknik tedbirlerle sağlanmaktadır.
9. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Bulut hizmeti sağlayıcısının yeterli teknik ve idari tedbirler uyguladığı hizmet alımında tespit edilmiştir ve devamlılığı hizmet sağlayıcının periyodik denetim raporlarını kontrol ederek sağlanmaktadır. Ayrıca bulutta depolanan kişisel verilere erişim için iki kademeli kimlik doğrulama yöntemi kullanılmakta, olup bulutta yer alan kişisel veriler şifrelenerek saklanmaktadır.
10. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Farklı birimlerin aynı uygulamayı kullanması ve birim çalışanlarının kişisel verilere farklı erişim yetkileri bulunması durumunda kişisel veriler maskeleme yöntemiyle yetkisiz erişimden korunmaktadır.
11. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
C. Özel nitelikli kişisel veriler bakımından tedbirler
1. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmiştir.
2. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Özel nitelikli kişisel veri güvenliği konularında eğitim verilmektedir,
b) Gizlilik sözleşmelerinin yapılmaktadır,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmıştır,
d) Periyodik olarak yetki kontrolleri gerçekleştirilmektedir,
e) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmaktadır ve elinde bulunan veriler eksiksiz iade alınmaktadır.
3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır, test sonuçları kayıt altına alınır,
b) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır, test sonuçları kayıt altına alınır,
c) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır,
4. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenir,
5. Özel nitelikli kişisel veriler aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,
b) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarım gerçekleştirilir,
c) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” formatında gönderilir.
VIII. Veri Saklama Süreleri
Yıldırım Plastik, kişisel verilerin saklanması için ilgili mevzuatta öngörülen süre boyunca verileri muhafaza eder, mevzuatta bir sürenin öngörülmemiş olması halinde kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel verilerin işlenme amacı sona ermiş ve ilgili mevzuat öngörülen saklama sürelerinin sonuna gelinmişse yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi, kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Saklama sürelerinin ve imha yöntemlerinin ayrıntılı şekilde düzenlendiği Kişisel Veri Saklama ve İmha Politikası hazırlanıp uygulamaya konmuştur.
IX. Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi
Kişisel veriler ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde her 6 ayda bir yaptığımız periyodik taramalarımız neticesinde veya kişisel veri sahibinin talebi üzerine (ve yasal muhafaza yükümlüğü yoksa) tarafımızca silinir, yok edilir veya anonim hale getirilir.
1. Kişisel Verilerin Silinmesi ve Yok Edilmesi
Kişisel verilerin silinmesi kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Veri sorumlusu, kişisel verilerin silinmesi ve yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Şirket ilgili veri taşıyıcılarını fiziksel olarak yok etme, yazılımdan güvenli olarak silme, uzman tarafından güvenli olarak sildirtme yöntemlerini kullanmaktadır.
2. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek bir hale getirilmesidir.
Yıldırım Plastik, maskeleme, veri türetme, takma ad kullanma, toplulaştırma, veri karma yöntemlerini uygulamaktadır.
Yıldırım Plastik, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
3. Sorumlular ve Görevler Atanması
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi prosedürleri için sorumlu kişiler atanmıştır ve görevler tanımlanmıştır.
X. Veri İhlali Prosedürü
Veri İhlali, kişisel verilerin kaza sonucu veya yasaya aykırı olarak veya yetkisiz kişilerce erişilmesi, ifşası, iletilmesi, kaybı, değiştirilmesi, tahrip olması gibi durumları meydana getiren güvenlik ihlalidir. Bu şekillerde işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Yıldırım Plastik çalışanları derhal veri koruma komitesi veya ilgili birim görevlilerini bilgilendirir ve Yıldırım Plastik, bu durumu vakit kaybetmeksizin Kişisel Verileri Koruma Kuruluna ve veri sahibi ilgili kişiye bildirir. Kurul, gerek görmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Veri koruma komitesi tarafından veri ihlali durumunu sonlandıracak Kişisel Veri Politikasında düzenlenen acil önlemler alınır.
XI. Veri İç Denetimi
Kişisel veri güvenliğinin sağlanması ve mevzuata uyum bakımından yıllık periyodik ve rastgele iç denetimler yapılmakta olup tespit edilen hususlar raporlanarak sürekli geliştirilmektedir.
XII. Veri Sahibinin Hakları
Kişisel veri sahipleri;
• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVK Kanunu'nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Ancak KVKK ilgili kişiler lehine bu hakların kullanılamayacağı durumlar düzenlemiştir. KVKK madde 28’de bu haller:
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi, şeklinde sayılmıştır.
Kişisel veri sahibinin yukarıda belirtilen haklarını kullanma taleplerini, ilgili hakka yönelik açıklamaları içeren başvuruyu kimlik tespit edici belgeler ile birlikte: yazılı olarak iadeli taahhütlü posta kanalıyla Yıldırım Plastik Makine Kalıp Sanayi Ticaret Limited Şirketi, BOSB Birlik San. Sit. Açelya Caddesi, Birlik Sanayi 1/1 , No:12 Beylikdüzü / İSTANBUL - TÜRKİYE adresine veya kayıtlı elektronik posta (KEP) adresi yildirimplastikltd@hs01.kep.tr güvenli elektronik imza veya “Başvuru Formu” yolu yöntemleri ile gönderilebilecektir. Şirket başvuruda bulunan kişinin kimliğini tespit etmek amacıyla ek bilgi ve belge talep edebilecektir.
Talebin ayrıca bir maliyet doğurması halinde Şirket Kişisel Verileri Koruma Kurulunca belirlenecek tarifeye göre ücret talep edebilecektir.
Şirket başvuruyu, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde neticelendirecek ortamı sağlamıştır, başvuru prosedürünü ve görevleri tanımlayıp uygulamaya koymuştur. Şirket ilgili kişinin talebini kabul edecektir veya gerekçesini açıklayarak reddedecek ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirecektir. Veri sahibinin başvurusunun diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumla da gerekçesi açıklanarak talep reddedilebilecektir.
XIII. Yürürlük
Yıldırım Plastik, Kişisel Veri İşleme Politikasını yürürlükteki mevzuatta yapılabilecek değişiklikler çerçevesinde ve gerekli gördüğü durumlarda değişen şartlara uyumlu olarak her zaman güncelleme hakkına sahiptir.
Veri Sorumlusu
Yıldırım Plastik Makine Kalıp Sanayi Ticaret Limited Şirketi, BOSB Birlik San. Sit. Açelya Caddesi, Birlik Sanayi 1/1 , No:12 Beylikdüzü / İSTANBUL - TÜRKİYE
EK I: “TANIMLAR”
İşbu Politika’da ve Eklerinde aşağıdaki sözcükler ve ifadeler karşılarındaki anlamları taşıyacaktır:
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Çalışan: Şirket personeli.
Elektronik ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik olmayan ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili Kişi/Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi.
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi.
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer İnançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Kurul: Kişisel Verileri Koruma Kurulu.
Kurum: Kişisel Verileri Koruma Kurumu.
KVK Düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunmasına yönelik her türlü ikincil düzenlemeler, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmalar ve diğer her türlü mevzuat.
KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
KVK Komitesi: Şirket Yönetimi tarafından Kişisel Verilerin Korunması süreçlerini yönetme ve denetlenme görevi ile atanan Kişisel Veri Koruma Komitesi.
Politika: Şirket içi Kişisel Veri Koruma mevzuatına dayanarak hazırlanan politikaları,
Şirket: Yıldırım Plastik Makine Kalıp Sanayi Ticaret Limited Şirketi
Verbis/Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutan gerçek veya tüzel kişi.
Ziyaretçi: Şirket merkezi veya Şirketin diğer sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya web sitelerimizi ziyaret eden gerçek kişiler.
İşbu Politika’da ayrıca tanımlanmayan terimler 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik mevzuat kapsamında kendilerine atfedilen anlamları ifade eder.