Kişisel Verilerin Korunması Kanunu
Kişisel Verileri Saklama ve İmha Politikası
Bu politika KARATAŞ TEKSTİL VE ÖRME SANAYİ TİCARET LİMİTED ŞİRKETİ tarafından gerçekleştirilen faaliyetlerde elde edilecek kişisel verilerin, Şirketin 6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) tanımlanan veri sorumlusu ve veri işleyici sorumluluklarına göre, ham ve işlenmiş verinin saklanması ile saklama süresi sonunda kişisel verilerin imha edilmesi süreçlerini tanımlamak amacıyla oluşturulmuştur.
2. KAPSAM
Bu politika; Şirket sahiplerinden, çalışanlarından, çalışan adaylarından, ziyaretçilerinden, Şirketin iş ortaklarından, tedarikçilerinden, çözüm ortaklarından, müşterilerinden, potansiyel müşterilerinden, ilişkide bulunulan üçüncü kişilerden elde edilen veya bu kişi ya da kurumlarla paylaşılan kişisel verilerin saklanması ve imha edilmesi ilkelerini tanımlar.
3. TANIMLAR
Şirket : KARATAŞ TEKSTİL VE ÖRME SANAYİ TİCARET LİMİTED ŞİRKETİ
Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Veri : Belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Veri İşleme : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan ve devamındaki bütün işlemlerden oluşan süreçtir.
İlgili Kişi : Kişisel verisi işlenen “Gerçek” kişiyi ifade eder.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır
KVK Kurulu : Kişisel Verileri Koruma Kurulu.
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişilerdir.
Doğrudan Tanımlayıcılar : Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılardır.
Dolaylı Tanımlayıcılar : Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılardır.
İlgili kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişilerdir.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Karartma : Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Matbu Ortamlar : Verilerin kâğıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır.
Yerel Dijital Ortamlar : Şirket bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.
Bulut Ortamlar : Şirket bünyesinde yer almamakla birlikte, Şirket’in kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
Maskeleme : Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemlerdir.
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Kişisel Verilerin İşlenmesi ve Korunması Politikası : KARATAŞ tarafından oluşturulan ve web sitesinde paylaşılan, kişisel verilerin işlenme ve korunma esaslarını tanımlayan politika dokümanıdır.
4. SORUMLULUK
Bu politikanın denetlenmesinden ve güncellenmesinden Şirket yönetimi, uygulanmasından tüm çalışanlar ve veri işleme sürecine katılan diğer paydaşlar sorumludur.
5. UYGULAMA
5.1. Ortamlar ve Güvenlik Tedbirleri
Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle matbu ortamlar, yerel dijital ortamlar ve bulut ortamlardır.
Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle tanımlanmış ortamlardan farklı bir ortamda tutulabilir. Şirket her koşulda veri sorumlusu sıfatıyla hareket etmekte ve
Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.
Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir. Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi kapsamında ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
5.1.1.Teknik Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:
• Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
• Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
• Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
• Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
• Şirket bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.
5.1.2 İdari Tedbirler
Şirket, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:
• Kişisel verilere erişimi olan tüm Şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
• Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
• Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
5.1.3. Şirket İçi Denetim
Şirket, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
5.2. Kişisel Verilerin Saklanması
Şirket bünyesinde tutulan kişisel veriler Kanun uyarınca, aşağıda belirtilen amaç ve sürelerde saklanmaktadır.
KİŞİSEL VERİ SÜRE / AMAÇ
Özlük Bilgisi 1. Hizmet akdi süresince iş kazası/meslek hastalığına maruz kalmamış çalışanlar açısından hizmet ilişkisinin sona erdiği tarihten itibaren 5 yıl süreyle muhafaza edilir. Süre, fasılalı çalışmalarda son çalışma döneminin sona erdiği tarihten itibaren işlemeye başlar.
2. Hizmet akdi süresince iş kazası/meslek hastalığına maruz kalmış yahut bu riski taşıyan çalışanlar açısından özlük kayıtları, iş kazası tarihi/meslek hastalığı tespit tarihini müteakip 10 yıl süreyle saklanabilir. Bu durumda saklama süresi olarak uzun olan süre(hizmet ilişkisinin hitamından itibaren 5 yıl / kaza-tespit tarihinden itibaren 10 yıl) uygulanır.
Çalışanların Kişisel Sağlık Dosyaları Çalışanın işten ayrılma tarihinden itibaren 15 yıl süreyle çalışanların kişisel sağlık dosyaları saklanır.
Çalışan Adayı Bilgileri En fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır.
Müşteri Bilgileri Müşteri Bilgilerinden, Türk Ticaret Kanunu md.82 uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine esas bilgiler anılan kanun maddesi gereği 10 yıl süre ile, bunun dışındaki Müşteri Bilgileri ise işlendikleri amaç için gerekli olan süre kadar saklanır.
Ziyaretçi Bilgileri 2 yıl süre ile saklanır.
İş Ortağı/Çözüm Ortağı/Danışman Bilgileri İş Ortağı/Çözüm Ortağı/Danışmanın, Şirket ile olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 uyarınca 10 yıl süre ile saklanır.
Şirket’in İşbirliği İçinde Olduğu Kurum/Firmalar
Tarafından Şirket ile Paylaşılan Kişisel Veriler Şirketin İşbirliği İçinde Olduğu Kurum/Firmaların Şirketin ile olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 uyarınca 10 yıl süre ile saklanır.
Potansiyel Müşteri Bilgileri 2 yıl süre ile saklanır.
* Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak
düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat
hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
5.3. Kişisel Verilerin İmhası
5.3.1. İmha Nedenleri
Şirket bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir/yok edilir.
Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
e) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
5.3.2. İmha Yöntemleri
Şirket, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler yok eder. Şirket tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır:
5.3.2.1. Silme Yöntemleri
Matbu ortamda tutulan Kişisel Veriler için kullanılan silme yöntemi karartmadır. Bulut ve yerel dijital ortamda tutulan Kişisel Veriler için verilerin bir daha geri getirilemeyecek şekilde komutlarla veya yardımcı yazılımlarla silinmesidir.
5.3.2. 2. Yok Etme Yöntemleri
Matbu ortamlarda tutulan Kişisel Veriler evrak imha makinaları ile bir daha bir araya getirilemeyecek şekilde yok edilirler. Yerel dijital ortamda tutulan Kişisel Veriler yok edilmek istenildiğinde, Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Bulut ortamında saklanan Kişisel Veriler için dijital yok etme yöntemleri kullanılır.
5.3.3 İmha Süreleri
Şirket, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler / yok eder.
İlgili kişi, Kanunun 13’ncü maddesine istinaden Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde:
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder Şirket’in talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Şirket, her durumda yapılan işlemle ilgili ilgili kişiye bilgi verir.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
5.3.4. Periyodik İmha
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirket işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder. Periyodik imha süreçleri ilk kez 17.11.2020 tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.
5.3.4.1. İmha İşleminin Hukuka Uygunluğu
Şirket, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.
Şirket, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.
5.3.4.1.1. Teknik Tedbirler
• Şirket, işbu politikada yer alan imha yöntemine uygun teknik araç ve ekipman bulundurur.
• Şirket, imha işlemlerinin yapıldığı yerin güvenliğini sağlar.
• Şirket, imha işlemini yapan kişilerin erişim kayıtlarını tutar.
• Şirket, imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.
5.3.4.1.1. İdari Tedbirler
• Şirket, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
• Şirket, bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
• Şirket, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
• Şirket, imha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
• Şirket, kişisel verilerin silinmesi, yok edilmesi ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.
6. KİŞİSEL VERİ KOMİTESİ
Şirket bünyesinde Kişisel Veri Komitesi “Bilgi Güvenliği Komitesi” üyelerinden oluşmaktadır. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.
Kişisel Veri Komitesi bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere üç kişiden oluşur.
Kişisel Veri Komitesinde görevli Şirket çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:
Unvan Görev Tanımı Kişisel Veri Komitesi Yöneticisi : Kanuna uyumluluk sürecinde
yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.
Teknik ve İdari Uzmanlar : İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.
7. GÜNCELLEME VE UYUM
Şirket, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da
bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında
yada işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve
değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
7.1. Değişiklik Notları
17.11.2020 : Kişisel Veri Saklama ve İmha Politikası yayınlanmıştır.
*Daha eski tarihli bir değişiklik bulunmamaktadır
Kişisel Verilerin İşlenmesi ve Korunması Politikası
Bu politika KARATAŞ TEKSTİL VE ÖRME SANAYİ TİCARET LİMİTED ŞİRKETİ (Şirket) tarafından gerçekleştirilen faaliyetlerde elde edilecek kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) tanımlanan usul ve esaslara uygun işlenmesinin ve korunmasının sağlanması amacıyla oluşturulmuştur.
2. KAPSAM
Bu politika; Şirket sahiplerinden, çalışanlarından, çalışan adaylarından, ziyaretçilerinden, Şirketin iş ortaklarından, tedarikçilerinden, çözüm ortaklarından, müşterilerinden, potansiyel müşterilerinden, ilişkide bulunulan üçüncü kişilerden elde edilen veya bu kişi ya da kurumlarla paylaşılan kişisel verilerin işlenmesi ile ham ve işlenmiş verilerin korunması ilkelerini tanımlar.
3. TANIMLAR
Şirket : KARATAŞ TEKSTİL VE ÖRME SANAYİ TİCARET LİMİTED ŞİRKETİ
Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Veri : Belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Veri İşleme : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan ve devamındaki bütün işlemlerden oluşan süreçtir.
İlgili Kişi : Kişisel verisi işlenen “Gerçek” kişiyi ifade eder.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır KVK Kurulu : Kişisel Verileri Koruma Kurulu.
4. SORUMLULUK
Bu politikanın denetlenmesinden ve güncellenmesinden Şirket yönetimi, uygulanmasından tüm çalışanlar ve veri işleme sürecine katılan diğer paydaşlar sorumludur.
5. UYGULAMA
5.1. Kişisel Verilerin İşlenmesi
Şirket tarafından Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirket, Kişisel Verileri işlerken aşağıdaki ilkelerle hareket eder:
• Kişisel Veriler, ilgili hukuk kurallarına ve dürüstlük kuralının gereklerine uygun olarak işlenir.
• Kişisel Verilerin doğru ve güncel olması sağlanır. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır.
• Kişisel Veriler; belirli, açık ve meşru amaçlarla işlenir. Amacın meşru olması, Şirketin işlediği Kişisel Verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir.
• Kişisel Veriler, Şirket tarafından belirlenen amaçların gerçekleştirilebilmesi için amaçla bağlantılı olup, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verilerin işlenmesinden kaçınılır. İşlenen veriyi, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Bu kapsamda işlenen Kişisel Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.
• İlgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda Kişisel Veriler’i, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel Veri’nin daha fazla muhafaza edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu veri silinir, yok edilir.
Kişisel Veriler; hukuka ve Kanun’un amacına uygun olarak Şirket’in:
• İnsan kaynakları prosedürlerinin politikalarının en iyi şekilde planlanması ve uygulanması,
• Ticari ortaklıklarının ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
• Kendisinin ve iş ortaklarının hukuki, ticari ve fiziki güvenliğinin temini,
• Ürün ve hizmetlerinden Kişisel Veri Sahipleri’nin en iyi şekilde faydalandırılması ve onların talep, ihtiyaç ve isteklerine göre özel hale getirilerek önerilmesi,
• Bilgi Teknolojileri Süreçleri,
• Kendisine talep ve şikâyetlerini ileten Kişisel Veri Sahipleri ile iletişime geçmesi ve talep ve şikâyet yönetiminin sağlanması,
• Veri Sorumlusunun talimatları doğrultusunda işlenmek kaydıyla kampanya, indirim, fayda, koşul, ücretlendirme gibi hususlardan hizmet verilen üçüncü kişilerin müşterilerinin haberdar edilmesi, gerekli durumlarda kimlik bilgisinin teyit edilmesi,
• Bilgi kayıplarının önlenebilmesi için kopyalanması, yedeklenmesi, bilgilerin güvenliği için gerekli tüm teknik ve idari tedbirlerin alınması ve hizmet kalitesinin artırılması, çağrı / tahsilat merkezi hizmetlerinin sunumu, finansal raporlamalar, yasal ve idari takip faaliyetleri,
• İştirakçinin personel temin süreçlerine ve ilgili mevzuta uyum konusunda destek olunması,
• Şirket içi ve belgelendirme denetim faaliyetlerinin yürütülmesi,
• Ziyaretçi kayıtlarının oluşturulması ve takibi,
• İş Sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi,
• İş faaliyetlerinin ve iş sürekliliğinin sağlanması,
• Mevzuat kaynaklı kurumlara bilgi verilmesi kapsamında, işlenmektedir.
5.1.1. Kişisel Verilerin İşlenme Şartları
5.1.1.1. Genel Şartlar
Şirket Kişisel Veriler’i veri sahibinin açık rızası olmaksızın işlemez. Aşağıdaki şartlardan birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın Kişisel Veriler işlenebilecektir:
• Şirket, Kişisel Veri Sahipleri’nin Kişisel Veriler’ini açık rıza olmasa dahi kanunlarda açıkça öngörülen hallerde işleyebilir. Fiili imkânsızlık nedeni ile rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişilerin kendisinin ya da başka bir kişinin hayat veya beden bütünlüğünün korunması için Kişisel Veriler açık rıza olmadan işlenebilir.
• Şirket tarafından bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler işlenebilecektir.
• Şirket, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirebilmek için zorunlu ise, Kişisel Veri Sahipleri’nin Kişisel Veriler’ini işleyebilir.
• Şirket tarafından Kişisel Veri Sahipleri’nin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan Kişisel Veriler’i, korunması gereken hukuki yarar ortadan kalktığından işlenebilir.
• Şirket, hukuken meşru bir hakkın kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde Kişisel Veri Sahipleri’nin Kişisel Veriler’ini açık rıza aramaksızın işleyebilir.
• Şirket, Kişisel Veri Sahipleri’nin Kanun ve Politika kapsamında korunan temel hak ve özgürlerine zarar vermemek kaydıyla meşru menfaatlerinin temini için Kişisel Veriler’in işlenmesinin zorunlu olduğu durumlarda Kişisel Veri Sahipleri’nin Kişisel Veriler’ini işleyebilir. Şirket, Kişisel Veriler’in korunmasına ilişkin temel ilkelere uyulması ve Kişisel Veri Sahipleri’nin menfaat dengesinin gözetilmesi konusunda gerekli hassasiyeti göstermektedir.
5.1.1.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Şirket, Özel Nitelikli Kişisel Veriler’i, ilgilinin açık rızası olmaksızın işlemez. Ancak sağlık ve cinsel hayat dışındaki Kişisel Veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rıza aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler, Şirket tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis ve tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunduğumuz koşullarda ilgili kişinin açık rızası aranmaksızın işlenir.
5.2. Kişisel Verilerin Aktarılması
Kişisel veriler, Kanun ile diğer hukuki kaideler kapsamında kalmak ve faaliyet amaçları ile sınırlı olmak koşulu ile paylaşılabilir. Bu paylaşımlar:
• İş faaliyetlerinin ve iş sürekliliğinin sağlanması,
• Mevzuat kaynaklı kurumlara bilgi verilmesi,
• Şirket, çalışanlara ait kişisel verileri iş akdinin ifası, çalışanların güvenliğinin sağlanması, hizmetlerin geliştirilmesi, operasyonel değerlendirme araştırılması, çalışan kimliklerinin doğrulanması, mevzuat gereği ve hukuki yükümlülüğün yerine getirilmesi amaçları doğrultusunda:
▪ Yazılım hizmetleri ve diğer dış kaynak hizmet sağlayıcıları,
▪ Hizmet verilen kurumsal firmalar (Müşteriler),
▪ Barındırma hizmet sağlayıcıları (hosting servisleri),
▪ Kargo şirketleri, hukuk büroları,
▪ Araştırma şirketleri,
▪ Şikayet yöneticileri,
▪ Maaş ve bunun gibi ödemeler için anlaşmalı Banka(lar),
▪ Mali ve çalışma konuları ile ilgili kurumlar,
▪ Seyahat acenteleri,
▪ Sağlık hizmetleri görevlileri ve özel sağlık şirketleri gibi hizmet ya da ürün sağlayan diğer kişiler,
▪ Güvenliğin sağlanmasına ilişkin yazılım şirketleri,
▪ Ajanslar,
▪ Eğitim şirketleri,
▪ Danışmanlık şirketleri, vb. üçüncü kişilerle yapılabilir.
5.2.1. Kişisel Verileri Aktarma Şartları
5.2.1.1. Genel Aktarma Şartları
Şirketimiz Kişisel Verileri işleme amaçları doğrultusunda gerekli gizlilik koşullarını oluşturarak ve güvenlik önlemlerini alarak Kişisel Veri Sahiplerinin Kişisel Verilerini ve Özel Nitelikli Kişisel Verileri üçüncü kişilere Kanuna uygun olarak aktarabilir.
Şirketimiz Kişisel Verilerin aktarılması sırasında Kanunda öngörülen düzenlemelere uygun hareket etmektedir. Bu kapsamda Şirketimiz meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda aşağıda sayılan, Kişisel Veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak Kişisel Verileri üçüncü kişilere:
• Kişisel Veri sahibinin açık rızası var ise,
• Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel Veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise,
• Kişisel Veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel Verinin aktarılması gerekli ise,
• Şirketimizin hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunlu ise,
• Kişisel Veriler, Kişisel Veri sahibi tarafından alenileştirilmiş ise,
• Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için Kişisel Veri aktarımı zorunlu ise, aktarabilir. Şirketimiz Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak Kişisel Veri Sahiplerinin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini yurt dışındaki üçüncü kişilere aktarabilir. Şirketimiz tarafından Kişisel Veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği yabancı ülkelere aktarılabilir.
5.2.1.2. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda Kişisel Veri Sahibi’nin Özel Nitelikli Kişisel Veriler’ini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir. Kişisel Veri Sahibi’nin açık rızası olması halinde veya aşağıdaki şartların varlığı halinde Kişisel Veri Sahibi’nin açık rızası aranmaksızın:
• Kişisel Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler’i, kanunlarda öngörülen hallerde,
• Kişisel Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, aktarılabilir.
5.3. Kişisel Verilerin Toplama Yöntemi, Silinmesi, Yok Edilmesi ve Saklama Süresi Kişisel Veriler
her türlü sözlü, yazılı, elektronik ortamda; teknik ve sair yöntemlerle, çağrı merkezi, Şirket internet sitesi,ofis ve hizmet verilen lokasyonlar, mobil uygulama gibi muhtelif yollardan, Politika’da yer verilen amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde yasadan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirket veya Şirket tarafından görevlendirilen veri işleyenler tarafından işlenir. Kişisel Veriler’in saklanması, silinmesi, yok edilmesi ile ilgili Şirket tekniklerine dair detaylı düzenlemeler Şirket’in internet sitesinde yayımlanan Kişisel Veri Saklama Ve İmha Politikası’nda yer almaktadır.
5.4. Kişisel Verilerin Korunmasına Dair Hususlar
Şirket, Kişisel Veriler’in hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
5.4.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
Şirket, Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
A. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
• Şirket bünyesinde gerçekleştirilen Kişisel Veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
• Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
• Teknik konularda bilgili personel istihdam edilmektedir.
B. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
• Çalışanlar, Kişisel Veriler’in korunması hukuku ve Kişisel Veriler’in hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
• Şirket’in yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde Kişisel Veri işleme faaliyetleri ortaya konulmaktadır.
• Şirket’in iş birimlerinin yürütmekte olduğu Kişisel Veri işleme faaliyetleri; bu faaliyetlerin Kanun’nun aradığı Kişisel Veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
• Şirket ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirket’in talimatları ve kanunla getirilen istisnalar dışında, Kişisel Veri’leri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülerek Kanun’dan doğan yükümlülükler yerine getirilmektedir.
5.4.2. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler
Şirket, Kişisel Veriler’in tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
A. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
• Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
• Kullanıcılara ihtiyaç duyduğu minimum yetki verilir.
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
• Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
• Teknik konularda bilgili personel istihdam edilmektedir.
• Kişisel Veriler’in toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.
B. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
• Çalışanlar, Kişisel Veri’lere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
• İş birimi bazında Kişisel Veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde Kişisel Veri’lere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
• Çalışanlar, öğrendikleri Kişisel Veri’leri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• Şirket tarafından Kişisel Veriler’in hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; Kişisel Veriler’in aktarıldığı kişilerin, Kişisel Veriler’in korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
5.4.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması
Şirket, Kişisel Veriler’in güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
A. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
Kişisel Veriler’in güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
Teknik konularda uzman personel istihdam edilmektedir.
• Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
• Kişisel Veriler’in güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
• Kişisel Veriler’in tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, Kişisel Veriler’in bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
B. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
• Çalışanlar, Kişisel Veriler’in güvenli bir biçimde saklanmasını sağlamak konusunda eğitilmektedirler.
• Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
• Şirket tarafından Kişisel Veriler’in saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, Kişisel Veriler’in hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; Kişisel Veriler’in aktarıldığı kişilerin, Kişisel Veriler’in korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
5.4.4. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirket, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
5.4.5. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Şirket, Kanun’un 12. maddesine uygun olarak işlenen Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili Kişisel Veri Sahibi’ne ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
5.4.6. Kişisel Veri Sahiplerinin Yasal Haklarının Gözetilmesi
Şirket, Kişisel Veri Sahipleri’nin Politika ve Kanun’un uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır.
5.4.7. Özel Nitelikli Kişisel Verilerin Korunması
Kanun birtakım Kişisel Veri’lere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli Kişisel Veriler’in korunmasına Şirket tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, Özel Nitelikli Kişisel Veriler bakımından da azami özenle uygulanmakta ve bu konuda Şirket bünyesinde gerekli denetimler sağlanmaktadır.
5.5. Kişisel Veri Sahibinin Aydınlatılması
Şirket, Kişisel Veriler’in elde edilmesi sırasında Kişisel Veri Sahipleri’ni aydınlatmaktadır. Bu kapsamda Şirket Aydınlatma metni yayınlamıştır. Kişisel veri sahibi tarafından Şirket’e yapılan başvurunun Şirket tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunma hakkına sahiptir.
5.6 Güncelleme, Uyum ve Değişiklikler
Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar. İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır. 17.11.2020 : Kişisel Verilerin İşlenmesi ve Korunması Politikası yayınlanmıştır. *daha eski tarihli bir değişiklik bulunmamaktadır.*
KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA BİLGİLENDİRME
Amacımız; 6698 sayılı “Kişisel Verilerin Korunması Kanunu’nun 10. maddesi gereğince ve sizlerin memnuniyeti doğrultusunda, kişisel verilerinizin alınma şekilleri, işlenme amaçları, paylaşılan kişiler, hukuki nedenleri ve haklarınız konularında sizi en şeffaf şekilde bilgilendirmektir.
a) Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak KARATAŞ TEKSTİL VE ÖREME SANAYİ TİCARET LİMİTED ŞİRKETİ (“ŞİRKET”) tarafından aşağıda açıklanan kapsamda toplanacak ve işlenebilecektir.
b) Kişisel Verilerin Hangi Amaçla İşleneceği
ŞİRKET tarafından, müşterileri, çalışanları, potansiyel müşterileri, çalışan adayları, iş ortakları, web sitesi ve mağaza ziyaretçileri ve tedarikçileri gibi taraflardan, kimlik bilgisi, iletişim bilgisi, müşteri bilgisi, müşteri işlem bilgisi, işlem güvenliği bilgisi, hukuki işlem ve uyum bilgisi ile pazarlama satış bilgisi gibi kategorilerde kişisel veri toplanabilmektedir.
Toplanan kişisel verileriniz;
- ŞİRKET ürün ve hizmetlerinin sizlere sunulabilmesi, sizlere karşı olan yükümlülüklerimizin yerine getirilmesi, kayıt ve belgelerin düzenlenebilmesi, yerel ve uluslararası yasal mevzuatın öngördüğü bilgi saklama, raporlama, bilgilendirme, vergi ve sair yükümlülüklere uymak,
- Hizmet ve ürünlerin kalitesinin artırılmasına yönelik yapılacak olan satış ve pazarlama faaliyetleri için yapılacak size özel reklam, kampanya, avantajlar ve diğer faydaları sunmak,
- Bilgi işlem gereksinimleri, sistemsel yapısı, alınan bilgi işlem destek hizmetlerinin gerekliliği, bu hizmet ve ürünlere ilişkin olarak sizlere gerekli bilgilerin aktarılması amacıyla iletişim kurmak,
- Satış ve pazarlama faaliyetleri için yapılacak trafik ölçümleme, istatistiki analizler, Segmentasyon/profilleme ve CRM çalışmalarını yürütmek,
- Müşteri memnuniyetinin ölçümlenmesi ve artırılması, şikâyet yönetimi, yeni hizmet ve ürünler ile ilgili görüş ve önerilerinizi almak, sorun-hata bildirimlerinizi almak, ürün ve hizmetlere, şikayet ve taleplerinize yönelik tarafınıza bilgi vermek,
- Online satış ile ilgili üyeliğinizi yönetmek, siparişlerinizi almak, ödeme işlemlerinizi gerçekleştirmek, 3. kişiler ile lojistik iş birliği sağlayıp ürün gönderimini sağlamak, ilginizi çekebilecek ürün ve hizmetleri önermek, online davranışsal reklamcılık ve pazarlama, müşteri portföy yönetimi, hizmet kalitesinin ölçülmesi ve geliştirilmesi, iletişim, optimizasyon, denetim, risk yönetimi ve kontrol, promosyon, analiz, ilgi alanları belirleme, skorlama, profilleme, pazarlama, satış, reklam, iletişim
- Karşılaştırmalı ürün ve/veya hizmet teklifi, modelleme, mevcut veya yeni ürün çalışmaları ve/veya geliştirmeleri, kişisel verilerinizi ŞİRKET’e açıklamanıza konu olan ŞİRKET ana sözleşmesinde yazılı olan işleri düzenleyen kanun ve ilgili mevzuat kapsamında sizlere sunulacak her türlü ürün ve hizmetlerde kullanılmak,
- Resmî kurumlarca öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak, sözleşmelerin gerekliliklerini yerine getirmek ve bu hizmetlerden faydalanılmasına ilişkin olarak ŞİRKET’in tabi olduğu yasal yükümlülükleri ifa etmek,
- ŞİRKET’in ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; ŞİRKET tarafından yürütülen finans operasyonları, iletişim, pazar araştırması ve sosyal sorumluluk aktiviteleri, satın alma operasyonları (talep, teklif, değerlendirme, sipariş, bütçelendirme, sözleşme), şirket içi sistem ve uygulama yönetimi operasyonları, hukuki operasyonları yönetmek
- Resmi makamlardan veya sizlerden gelen talepleri incelemek, değerlendirmek ve yanıtlamak,
amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
c) İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Toplanan kişisel verileriniz; yukarıda belirtilen amaçların gerçekleştirilmesi ile sınırlı olmak üzere;
- ŞİRKET’in iş ortaklarına, hissedarlarına, iştiraklerine,
- Türk Ticaret Kanunu, Türk Borçlar Kanunu ve diğer mevzuat hükümlerinin izin verdiği kişi veya kuruluşlara,
- Kanunen yetkili kamu kurum ve kuruluşları, idari merciler ve yasal mercilere,
- Ürün/hizmet karşılaştırma, analiz, değerlendirme, reklam ve yukarıda belirtilen amaçların gerçekleştirilmesinde hizmet aldığımız, işbirliği yaptığımız gerçek veya tüzel kişilere, program ortağı kurum ve kuruluşlara, müşterilerimize gönderdiğimiz iletilerin gönderilmesi konusunda anlaşmalı olduğumuz kurumlara, online mağazamızdan verilen siparişlerin size teslimini gerçekleştiren kargo şirketlerine 6698 sayılı Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
ç) Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz, mağazalarımız, internet sitemiz ve mobil uygulamamız, çağrı merkezlerimiz, sosyal medya hesaplarımız gibi mecralardan sözlü, yazılı veya elektronik ortamda veya ilerde kurulacak/oluşabilecek diğer kanallar başta olmak üzere;
ŞİRKET tarafından yasal mevzuat çerçevesinde yukarıda belirtilen amaçlarla ve sözleşmenin ifa edilmesi, kanundaki açıkça öngörülmüş olması, kişisel verilerinizin tarafınızca alenileştirilmiş olması, tarafınıza tanınacak olan hakkın tesisi, kullanılması veya korunması için zorunlu olması; sizin temel hak ve özgürlüklerinize zarar vermeyecek şekilde, ŞİRKET’in meşru menfaatleri ve hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şeklindeki hukuki sebeplerin varlığıyla sınırlı olarak toplanmaktadır.
d) Kişisel Veri Sahibi’nin 6698 sayılı Kanun’un 11. maddesinde Sayılan Hakları
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi aşağıda düzenlenen yöntemlerle ŞİRKET’e iletmeniz durumunda ŞİRKET talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde sonuçlandıracaktır. Verilecek cevapta on sayfaya kadar ücret alınmayacaktır. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınacaktır. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde ŞİRKETİMİZ tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçmeyecektir. Bu kapsamda kişisel veri sahipleri;
• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
Yukarıda belirtilen haklarınızı kullanma ile ilgili talebinizi, 6698 sayılı Kanunu’nun 13. maddesinin 1. fıkrası ve 30356 sayılı ve 10.03.2018 tarihli Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ gereğince Türkçe ve yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ŞİRKET’e daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletebilirsiniz. ŞİRKET’in cevap vermeden önce kimliğinizi doğrulama hakkı saklıdır.
Başvurunuzda;
a) Adınızın, soyadınızın ve başvuru yazılı ise imzanızın,
b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numaranızın, yabancı iseniz uyruğunuzun, pasaport numaranızın veya varsa kimlik numaranızın,
c) Tebligata esas yerleşim yeri veya iş yeri adresinizin,
ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numaranızın,
d) Talep konunuzun,
bulunması zorunlu olup varsa konuya ilişkin bilgi ve belgelerin de başvuruya eklenmesi gerekmektedir.
Yazılı olarak yapmak istediğiniz başvurularınızı, gerekli belgeleri ekleyerek veri sorumlusu olarak Sanayi Mah. Başaklı Sk. Fatih İşh. No:45 Bodrum, Zemin, 1., 2., 3. Kat Güngören/İSTANBUL adresine verebilirsiniz. Başvuru formuna buradan erişebilirsiniz.
E-posta yoluyla yapmak istediğiniz başvurularınızı karatastextil@gmail.com e-posta adresine yapabilirsiniz.
Talebinizin niteliğine göre bilgi ve belgelerin eksiksiz ve doğru olarak tarafımıza sağlanması gerekmektedir. İstenilen bilgi ve belgelerin gereği gibi sağlanmaması durumunda, ŞİRKET tarafından talebinize istinaden yapılacak araştırmaların tam ve nitelikli şekilde yürütülmesinde aksaklıklar yaşanabilecektir. Bu durumda, ŞİRKET kanuni haklarını saklı tuttuğunu beyan eder. Bu nedenle, başvurunuzun talebinizin niteliğine göre eksiksiz ve istenilen bilgileri ve belgeleri içerecek şekilde gönderilmesi gerekmektedir.