KİŞİSEL VERİLERİN İŞLENMESİ ve KORUNMASI AYDINLATMA METNİ

1. AMAÇ ve DAYANAK

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”)  10. maddesine göre kişisel verilerin elde edildiği sırada, veri sorumlusu ya da yetkilendirdiği kişilerce, ilgili kişilere;     a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,  d) 11. maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

• VERİ SORUMLUSU

Kişisel verileriniz veri sorumlusu sıfatıyla “KİMYAPSAN KİMYA ve YAPIŞTIRICI SANAYİ A.Ş.” (“KİMYAPSAN”) tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca aşağıda açıklanan kapsamda işlenebilecektir.

Kişisel verilerinizin, “KİMYAPSAN” tarafından işlenme amaçları konusunda detaylı bilgiler, “Kimyapsan Kimya ve Yapıştırıcı Sanayi A.Ş. Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası”nda  yer almaktadır.

• KİŞİSEL VERİLERİNİZ HANGİ AMAÇLARLA İŞLENMEKTEDİR?

Kişisel verileriniz, 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları dâhilinde; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 4857 sayılı İş Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu ve yukarıda yer verilen Kanunlara bağlı çıkarılan ikincil düzenlemelerde belirtilen yükümlülüklerimizi yerine getirmek, acil durum süreçlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, denetim faaliyetlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, fiziksel mekân güvenliğinin temini, hukuk işlerinin takibi ve yürütülmesi, iletişim faaliyetlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi/denetimi, iş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi, iş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi, lojistik faaliyetlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, tedarik zinciri yönetimi süreçlerinin yürütülmesi, ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi, ürün/hizmet satın alım süreçlerinin yürütülmesi, ürün/hizmet satış süreçlerinin yürütülmesi, ürün/hizmet satış sonrası destek hizmetlerinin yürütülmesi, ürün/hizmet üretim süreçlerinin yürütülmesi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, yönetim faaliyetlerinin yürütülmesi, ziyaretçi kayıtlarının oluşturulması ve takibi amaçlarıyla işlenmektedir.

• KİŞİSEL VERİLERİNİZ KİMLERE ve HANGİ AMAÇLA AKTARILMAKTADIR?

Veri sorumlusu tarafından toplanan kişisel verileriniz, Kanun’da öngörülen temel ilkelere uygun olarak ve Kanun’un 8. maddesinde belirtilen kişisel veri işleme şartları dâhilinde, “KİMYAPSAN” tarafından “Amaçlar” kapsamında, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu,   4857 sayılı İş Kanunu,5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve yukarıda yer verilen Kanunlara bağlı çıkarılan ikincil düzenlemelerde belirtilen yükümlülüklerimizi yerine getirmek ve diğer yasal yükümlülükler gereği mevzuatın izin verdiği ve/veya söz konusu mevzuat ya da taraf olunan sözleşmeler kapsamında kişisel bilgileri talep etme ve işleme iznine, hak ve yetkisine sahip kişi ve kuruluşlarla, Sosyal Güvenlik Kurumu, Maliye Bakanlığı, Gelir İdaresi Başkanlığı, Vergi Daireleri, İcra Müdürlüğü, yetkili yargı mercilerine, yurt içinde yerleşik iş ortakları,  hizmet alımı yapılan tedarikçilere ve yasal yükümlülüklerin ve hizmet sözleşmesi gerekliliklerinin yerine getirilmesi amacıyla, sözleşmenin ifası ve sözleşme ilişkisi kapsamında tüm süreçlere ilişkin işlemlerin icra edilmesi için gerektiği hallerde hizmet alınan ya da iş birliği yapılan yurtiçi şirketlerle, anlaşmalı bankalarla paylaşılabilmektedir.

• KİŞİSEL VERİLERİNİZİN TOPLANMA YÖNTEMİ ve HUKUKİ SEBEBİ

Kişisel verileriniz, elektronik ve/veya fiziki ortamlardan form doldurulması,  web sitesi, veri entegrasyonu yoluyla, faks, kısa mesaj (SMS), kurumsal e- posta, Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak toplanabilecektir. Ayrıca kişisel verileriniz açık rıza dışında, Kanun’un 5. ve 6. maddelerinde belirtildiği şekilde; Kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi ve temel hak ve özgürlüklerinize zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması kişisel veri işleme şartları (hukuki sebepleri) kapsamında toplanacaktır.

• KİŞİSEL VERİLERİNİZİN SAKLANMASI

Şirketimiz (“KİMYAPSAN”) ile paylaşılan kişisel verileriniz, yurtiçindeki güvenli sunucularda 6698 sayılı Kişisel Verileri Koruma Kanunu ve bağlı ikincil düzenlemelere uygun olarak saklanmaktadır. Bu kapsamda “KİMYAPSAN”,  kişisel verilerinizin güvenliğini sağlamak adına mevzuatta belirlenen hukuki, teknik ve idari güvenlik önlemlerini almaktadır.

• KİŞİSEL VERİLERİNİZİN MUHAFAZA SÜRESİ

KVKK madde 7/f.1. hükmü uyarınca, kişisel verilerinizin işlenmesi gerektiren amaç ortadan kalktığında ve/veya ilgili mevzuat uyarınca verilerinizi saklamakla yükümlü kılındığımız yasal süreler dolduğunda, kişisel verileriniz tarafımızca silinecek, yok edilecek veya anonim hale getirilecektir.

• KİŞİSEL VERİ SAHİBİ OLARAK KVKK 11. MADDESİNDE SAYILAN HAKLARINIZ

Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi Kişisel Verilerin Korunması, İşlenmesi ve İmha Politikası’nda düzenlenen yöntemlerle “KİMYAPSAN KİMYA ve YAPIŞTIRICI SANAYİ A.Ş.”ye iletmeniz durumunda talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, “KİMYAPSAN KİMYA ve YAPIŞTIRICI SANAYİ A.Ş.” tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır. Bu kapsamda kişisel veri sahipleri:

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda ve kişisel verilerinin eksik veya yanlış işlenmiş olması halinde yapılan işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

• KİŞİSEL VERİ SAHİPLERİ KVKK 11. MADDEDE SAYILAN HAKLARINA İLİŞKİN TALEPLERİNİ İLETME YÖNTEMLERİ

Kişisel Veri Sahipleri sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle aşağıdaki bağlantıdan ulaşılabilecek Başvuru Formu’nu doldurup imzalayarak “KİMYAPSAN KİMYA ve YAPIŞTIRICI SANAYİ A.Ş.”ye ücretsiz olarak iletebileceklerdir:

• Başvuru formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile Kimya İhtisas OSB, Recep Yazıcı Cad. No:1, 41455 Demirciler OSB, Dilovası/KOCAELİ adresine iletilmesi,
• Başvuru formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla imzalandıktan sonra güvenli elektronik imzalı formun     [email protected]   adresine kayıtlı elektronik posta ile gönderilmesi,
• Başvuru formu doldurulup mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle  [email protected]   e-posta adresine elektronik posta ile gönderilmesi(Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için kişisel veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.)

VERİ SORUMLUSU  “KİMYAPSAN KİMYA ve YAPIŞTIRICI SANAYİ A.Ş.”

KİMYAPSAN KİMYA ve YAPIŞTIRICI

SANAYİ A.Ş.

KİŞİSEL VERİLERİN İŞLENMESİ KORUNMASI

ve İMHA POLİTİKASI

 

 

DOKÜMAN İSMİ:

“Kimyapsan Kimya ve Yapıştırıcı Sanayi A.Ş. Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası”

YÜRÜRLÜK TARİHİ:

      02/09/2020

 

 

İşbu belge “Kimyapsan Kimya ve Yapıştırıcı Sanayi A.Ş.”nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.

 

1. AMAÇ ve KAPSAM

İşbu “Kimyapsan Kimya ve Yapıştırıcı Sanayi A.Ş.  Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası” (“Politika”), “KİMYAPSAN KİMYA ve YAPIŞTIRICI SANAYİ A.Ş.” (“KİMYAPSAN A.Ş.”) tarafından gerçekleştirilmekte olan kişisel veri işleme, saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

İşbu politika, çalışanlar, çalışan adayları, hissedarlar, tedarikçiler, ziyaretçiler, ürün/hizmet alanlar ve diğer ilgili üçüncü kişilere ait kişisel verilerin 6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) kapsamında işlenmesi faaliyetlerine ilişkin olarak uygulanır.

2.TANIMLAR

     Açık Rıza:  Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.

Alıcı Grubu: Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Aydınlatma Yükümlülüğü: Veri sorumlusunun, KVKK 10. madde çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla bilgileri ilgili kişiye sağlamakla yükümlü olduğu hususlardır.

Çalışan:  Bir iş sözleşmesine dayanarak şirkette istihdam edilen kişilerdir.

Çalışan Adayı: Şirkete iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini şirkete erişilebilir kılan gerçek kişilerdir.

Hissedar: Kamu veya özel bir şirkette yasal olarak hisse sahibi olan kişi veya kurumdur.

İlgili Kişi: Verinin ait olduğu, kimliği belirlenmiş veya belirlenebilir gerçek kişidir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu (KVKK) ifade eder.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

Kişisel Veri İşleme Envanteri: Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerinin, kişisel veri işleme amaçlarının, veri kategorisinin, aktarılan alıcı grubunun ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami sürenin, yabancı ülkelere aktarımı öngörülen kişisel verilerin ve veri güvenliğine ilişkin alınan tedbirlerin açıklanarak detaylandırıldığı envanterdir.

Kişisel Veri: İsim, adres, telefon numarası, e-posta adresi veya benzeri kimlik bilgileri gibi veri süjesiyle ilgili her türlü bilgi anlamına gelir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından, hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

KVKK: Kişisel Verileri Koruma Kanunu

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Müşteri: Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın şirket tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişileri ifade eder.

Özel Nitelikli Kişisel Veriler: Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Üçüncü Kişiler: Prosedürde tanımlanmamış olmasına rağmen işbu Prosedür çerçevesinde kişisel verileri işlenen tedarikçi, mağdur, aile bireyleri vb. dâhil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişilerdir.

Tedarikçi Yetkilisi: Bir ürün veya hizmetin sunulabilmesi için firmaya girdi, ham madde ürün sağlayan gerçek veya tüzel kişilere bağlı yetkililerdir.

Tedarikçi Çalışanı: Bir ürün veya hizmetin sunulabilmesi için firmaya girdi, ham madde ürün sağlayan gerçek veya tüzel kişilere bağlı çalışanlardır.

VERBİS: Veri Sorumluları Veri Sicil Bilgi Sistemi

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Ziyaretçiler: Çeşitli amaçlarla şirkete ait alanlara fiziksel olarak girmiş olan veya internet sitelerini ziyaret eden gerçek kişilerdir.

3. KİŞİSEL VERİLERİN İŞLENMESİ

KVKK’nın 3. maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış,  4. maddesinde işlenen kişisel verinin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi” gerektiği belirtilmiş, 5  ve 6.maddelerde ise “kişisel verilerin işleme şartları” sayılmıştır.

4. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

KVKK 4. madde gereğince veri sorumlusu şirketimiz (“KİMYAPSAN A.Ş.”) tarafından kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

Veri sorumlusu tarafından kişisel verilerin işlenmesinde;

a. Hukuka ve dürüstlük kurallarına uygun olma,

b. Doğru ve gerektiğinde güncel olma,

c. Belirli, açık ve meşru amaçlar için işlenme,

ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde belirlenen genel ilkelere uyumlu olması gerekmektedir.

5. KİŞİSEL VERİLERİ İŞLEME KOŞULLARI

Kişisel veriler veri sorumlusu şirket (“KİMYAPSAN A.Ş.”) tarafından ilgili kişinin açık rızası olmaksızın işlenemez. Kişisel verilerin, işbu politika, Kişisel Verileri Koruma Kanunu’na ve ikincil mevzuata uygun olarak işlenebilmesi ve kullanılabilmesi için, ilgili kişi işleme faaliyetlerine dair aydınlatma yapılması, kişisel verilerin işlenmesi konusunda izin istenmesi ve ilgili kişinin açık rızasının alınması gerekir. Bu kapsamda aydınlatma ve açık rıza beyanına yönelik (“KİMYAPSAN A.Ş.”) tarafından oluşturulan belgeler esas alınarak işlem yapılacaktır.

KVKK 5.  madde gereğince aşağıda sayılan istisnalardan birinin söz konusu olması halinde ilgili kişiden açık rıza alma şartı uygulanmamalıdır.

a. Kanunlarda açıkça öngörülmesi,

b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki   geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

     c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

     ç. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

     d. İlgili kişinin kendisi tarafından alenileştirilmiş olması,

     e. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

     f. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6.ÖZEL NİTELİKLİ KİŞİSEL VERİLER

KVKK 6. madde gereğince hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “özel nitelikli” olarak belirlenmiştir.Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

7. ÖZEL NİTELİKTE KİŞİSEL VERİLERİN İŞLENMESİNDE UYULACAK KURALLAR

Veri sorumlusu tarafından özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

  Kişisel veri sahibinin açık rızası yok ise:

– Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,

– Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.  

Veri sorumlusu tarafından, özel nitelikte kişisel verilerin işlenmesine yönelik iş ve işlemler konusunda usul ve esasları belirlemek amacıyla ayrıca “Özel Nitelikte Kişisel Verilerin İşlenmesi ve Korunması Politikası” düzenlenmiştir.

8. AYDINLATMA YÜKÜMLÜLÜĞÜ

KVKK 10. madde gereğince, kişisel verilerin elde edilmesi sırasında veri sorumlusu olarak şirket (“KİMYAPSAN A.Ş.”) veya yetkilendirdiği kişi, ilgili kişilere;

            a. Veri sorumlusunun ve varsa temsilcisinin kimliği,

b. Kişisel verilerin hangi amaçla işleneceği,

c. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

            ç. Kişisel veri toplamanın yöntemi ve hukuki sebebi,

            d. KVKK 11. maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.

Veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesinde “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ”de yer verilen hususlara riayet edilmesi gerekmektedir.

9. KİŞİSEL VERİ KATEGORİLERİ

Ceza Mahkûmiyeti ve Güvenlik Tedbirleri:  Adli sicil kaydı, mahkeme ilamı vb. bilgiler

Diğer Bilgiler: Aile yakını bilgisi, araç bilgisi, denetim ve teftiş bilgisi, talep şikâyet bilgisi, satın alma işlem bilgisi vb. bilgiler

Finansal Bilgi: Kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, gelir bilgisi, borç/alacak bilgisi gibi veriler

Fiziksel Mekan Güvenliği Bilgisi: Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, araç bilgisi kayıtları ve güvenlik noktasında alınan kayıtlar vb. bilgiler

Görsel ve İşitsel Kayıtlar: Fotoğraf, video, ses kayıt vb. bilgiler

Hukuki İşlem Bilgisi:  Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler

İletişim Bilgisi: Telefon numarası, adres, e-posta adresi vb. bilgiler

İşlem Güvenliği Bilgisi: Log kayıtları, IP bilgisi, kimlik doğrulama bilgileri, şifre, parola vb. bilgiler

İşlem Bilgisi: Şirketin yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen anket bilgisi, beyan bilgisi, alışveriş bilgisi, çağrı merkezi kayıtları, üyelik bilgisi vb. veriler

Kimlik Bilgisi: Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, sicil no., vergi numarası, unvan, biyografi vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı ve pasaport vb. belgeler

Lokasyon Bilgisi: Cep telefonundan gerçek zamanlı konum bilgi takibi, bilgisayar/tablet üzerinden gerçek zamanlı konum bilgi takibi, araç takip sistemi vb. bilgiler

Mesleki Deneyim Bilgisi: İlgili kişinin çalıştığı şirket, çalışma süresi, sigortalılık türü, çalıştığı sektör, unvanı, eğitim düzeyi, toplam çalışma süresi vb. bilgiler

Müşteri İşlem: Sipariş bilgisi, talep bilgisi vb. bilgiler

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile genetik veriler,ceza mahkûmiyeti ve güvenlik tedbirleri bilgisi, biyometrik veri, genetik veri bilgisi

Özlük Bilgisi: Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları vb. bilgiler

Pazarlama Bilgisi: Alışveriş geçmişi bilgileri vb. bilgiler

Sağlık Bilgileri: Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri, sağlık raporu, işe giriş periyodik muayene formu, psikoteknik belgesi/raporu vb. bilgiler

Talep/Şikayet Bilgisi: Veri sorumlusuna yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler

10.KİŞİSEL VERİLERİ İŞLEME ve SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

İş faaliyetleri çerçevesinde işlenen kişisel veriler ilgili mevzuatta öngörülen sürelere uygun olarak işlenir ve muhafaza edilir. Bu kapsamda kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 4857 sayılı İş Kanunu, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6098 sayılı Türk Borçlar Kanunu, 6102 Sayılı Türk Ticaret Kanunu, 6502 Sayılı Tüketicinin Korunması Hakkında Kanun, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, diğer kanunlarda açıkça öngörülmesi, KVKK 5. ve 6. maddelerinde belirtilen veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, temel hak ve özgürlüklere zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, kişisel veri işleme şartları (hukuki sebepleri) kapsamında yürürlükte olan ikincil düzenlemeler ve bunlarla sınırlı olmak üzere; veri sorumlusunun uyması gereken mevzuat ve idari düzenlemeler uyarınca öngörülen saklama süreleri boyunca kişisel veriler saklanmakta ve işlenmektedir.

11.KİŞİSEL VERİLERİ İŞLEME AMAÇLARI

Kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 4857 sayılı İş Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği kanunu, 6102 sayılı Türk Ticaret Kanunu,  6098 sayılı Türk Borçlar Kanunu ve yukarıda yer verilen kanunlara bağlı çıkarılan ikincil düzenlemelerde belirtilen yükümlülüklerimizi yerine getirmek, acil durum yönetimi süreçlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, çalışan adaylarının başvuru süreçlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi, denetim/etik faaliyetlerinin yürütülmesi, eğitim faaliyetlerinin yürütülmesi, erişim yetkilerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, fiziksel mekân güvenliğinin temini, görevlendirme süreçlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, iç denetim/soruşturma/istihbarat faaliyetlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, iş faaliyetlerinin yürütülmesi/denetimi, iş sağlığı/güvenliği faaliyetlerinin yürütülmesi, iş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi, iş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi, lojistik faaliyetlerinin yürütülmesi, performans değerlendirme süreçlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, talep/şikâyetlerin takibi, taşınır mal ve kaynakların güvenliğinin temini, tedarik zinciri yönetimi süreçlerinin yürütülmesi, ücret politikasının yürütülmesi, ürün/hizmet satın alım süreçlerinin yürütülmesi, ürün/hizmet satış süreçlerinin yürütülmesi, ürün/hizmet satış sonrası destek hizmetlerinin yürütülmesi, ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi, ürün/hizmetlerin üretim faaliyetlerinin yürütülmesi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, yönetim faaliyetlerinin yürütülmesi, ziyaretçi kayıtlarının oluşturulması ve takibi amaçlarıyla işlenmektedir.

12. KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİ

Kişisel verileriniz, elektronik ve/veya fiziki ortamlardan form doldurulması, web sitesi, veri entegrasyonu yoluyla, faks, kısa mesaj (SMS), şifreli kurumsal e- posta, kayıtlı elektronik posta (KEP) hesabı kullanılarak toplanabilecektir. Ayrıca kişisel verileriniz açık rıza dışında, Kanun’un 5. ve 6. maddelerinde belirtildiği şekilde kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi ve temel hak ve özgürlüklerinize zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması kişisel veri işleme şartları (hukuki sebepleri) kapsamında toplanacaktır.

 

13. KİŞİSEL VERİLERİ SAKLAMA YÖNTEMLERİ

Kişisel veriler, veri sorumlusu şirket tarafından (“KİMYAPSAN A.Ş.”) belirlenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

 

Elektronik ortamlar;  sunucular, yazılımlar,  bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.) kişisel bilgisayarlar (masaüstü, dizüstü), mobil cihazlar (telefon, tablet vb.), optik diskler  (CD, DVD vb.), çıkarılabilir bellekler (USB, hafıza kartı vb.) yazıcı, tarayıcı, fotokopi makinesi, yazılımlar, güvenlik duvarı, saldırı tespit ve engelleme sistemi, antivirüs, loglama, bulut depolama sistemleri, kişisel bilgisayarlar, cep telefonları, tabletler, optik diskler, kamera kayıt sistemleri, ses kayıt sistemleri, yazıcılar, fotokopi makineleri, tarayıcılar

Elektronik olmayan ortamlar; formlar, belgeler, ziyaretçi kayıt defter ve diğer belgeler

 

14. KİŞİSEL VERİLERİ KORUMAYA YÖNELİK VERİ SORUMLUSU TARAFINDAN ALINAN İDARİ ve TEKNİK TEDBİRLER

KVKK 12. madde kapsamında kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verilerin Korunması Kanunu uyarınca ve Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde olmak üzere veri sorumlusu tarafından teknik ve idari tedbirler alınmaktadır.

 

14.1.İDARİ TEDBİRLER

• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Gizlilik taahhütnameleri yapılmıştır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• İmzalanan sözleşmeler Kişisel Verileri Koruma Kanunu ile uyumlu hale getirilmiştir.
• Fiziksel aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
• Kişisel verilere erişimi sadece görevlerinin ifası esnasında bu bilgilere erişmesi zorunlu olan çalışanlarla sınırlı tutulmaktadır.
• Kişisel verileri içeren dosyalara fiziksel erişimi gerektiği gibi ve uygun şekilde kısıtlanmaktadır.
• Kişisel verilere yetkisiz erişim veya kişisel verilerin usulsüz kullanımı gibi olay ve durumlardan haberdar olduğunda bunlar derhal veri sorumlusuna bildirilmektedir.
• Kişisel verileri ilk belirtilen amacı dışında bir amaçla kullanmadan önce ilgili kişiden Veri Koruma Mevzuatı uyarınca açık rıza almak ve işleme konusuyla ilgili aydınlatma yükümlülüğünü yerine getirilmektedir.
• Şirket içi periyodik ve/veya rastgele denetimler yapılmakta  veya yaptırılmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması hakkında eğitimler verilmektedir.
• “Kişisel Veri İşleme Envanteri” hazırlanmıştır.
• Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
• Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
• Veri sorumlusu tarafından çalışanlara “Aydınlanma Metni”, “Açık Rıza Metni”, “Gizlilik ve Kişisel Verilerin Korunması Sözleşmesi” imzalatılmıştır.

14.2. TEKNİK TEDBİRLER

–        Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Bilgi sistemleri güncel halde tutulmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• Erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmakta, yetki matrisi uygulanmaktadır.
• Erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmakta, saklama saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır.
• Kişisel verilerin kullanımı, saklanması ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
• Güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
• Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmaktadır.
• Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır.
• Özel nitelikte kişisel verilere yönelik verilerin işlendiği elektronik ortamda kriptografik yöntemler kullanılmakta, kriptografik anahtarlar güvenli ortamlarda tutulmakta, işlem kayıtları loglanmakta, güvenlik testleri düzenli yapılmakta, e-posta yoluyla aktarım gerekiyorsa şifreli olarak kurumsal e-posta veya kep kullanılarak, sunucular arasında aktarım ise SFTP yöntemiyle gerçekleştirilmektedir.
• Kişisel veriler için alınan teknik tedbirlerin yanı sıra özel nitelikli kişisel verilerin güvenliğine yönelik politika ve prosedürler belirlenmektedir. Erişim yetki ve rol dağılımı net olarak tanımlanmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Saklama ve imha politikasına uygun imha süreçleri tanımlanmaktadır.

 

 

15.VERİ GÜVENLİĞİNE YÖNELİK ESASLAR

Şirketimiz (“KİMYAPSAN A.Ş.”), kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik, hukuki ve idari tedbirleri almıştır. Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla tedbirlerin alınması hususunda sorumludur.

Şirketimiz (“KİMYAPSAN A.Ş.”), tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz (“KİMYAPSAN A.Ş.”), bu durumu en kısa sürede (72 saati aşmayacak biçimde) ihlal bildirim formu düzenleyerek “Kişisel Verileri Koruma Kurulu”na bildirir.

16.KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

Kişisel veriler;

a. Kanunlarda açıkça öngörülmesi,

b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

d. İlgili kişinin kendisi tarafından alenileştirilmiş olması,

e. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Sağlık ve cinsel hayat dışındaki özel nitelikteki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın üçüncü kişilere aktarılabilir.Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, yeterli önlemler alınmak kaydıyla, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

17.KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER ve AKTARILMA AMAÇLARI

KVK Kanunu’nun 8. maddesine uygun olarak işbu “Politika” ile yönetilen veri sahiplerinin kişisel verilerini gerçek kişiler veya özel hukuk tüzel kişileri, hissedarlar, iş ortakları, tedarikçilere kanunen yetkili kamu kurum ve kuruluşlarına, ilgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak kanunen yetkili özel hukuk kişilerine ilgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak aktarılabilir.

 

18.KİŞİSEL VERİLERİ  İMHA TEKNİKLERİ

Kişisel veriler; işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun şirket tarafından kabul edilmesi, şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, şirket tarafından re‘sen (periyodik imha süreleri) veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

 

18.1.Kişisel  Verilerin Silinmesi

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Verilerin üzeri okunamayacak şekilde çizilerek/ boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Taşınabilir medyada bulunan kişisel veriler, saklanmasını gerektiren süre sona erenler, hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

 

18.2. Kişisel Verilerin Yok Edilmesi 

Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren sure sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik /Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

18.3. Kişisel Verilerin Anonim Hale Getirilmesi

Verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

 

KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir.  Kişisel verilerin anonimleştirme teknikleri aşağıda sıralanmaktadır.

 

Veri Maskeleme: Veri maskeleme ile kişisel verinin temel belirleyici bilgisinin veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

 

Veri Toplulaştırma: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. 

 

Veri Türetme: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

 

Veri Karma: Veri karma yöntemi ile kişisel veri seti içindeki değerlerin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

 

19.KİŞİSEL VERİLERi  SAKLAMA  ve İMHA SÜRELERİ

Şirketimiz (“KİMYAPSAN A.Ş.”), kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

 

 

VERİ KATEGORİSİ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Kimlik Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Lokasyon Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Özlük Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki İşlem Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri İşlem Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Fiziksel Mekan Güvenliği	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşlem Güvenliği Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finans Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mesleki Deneyim Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Pazarlama Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Görsel ve İşitsel Kayıtlar	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sağlık Bilgileri	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ceza Mahkumiyeti ve Güvenlik Tedbirleri	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Araç Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Talep Şikayet Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Performans ve Kariyer Gelişim Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Eğiim Planlama Bilgisi	5 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi ve Kamera Kayıtları	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Adaylarına İlişkin Kayıtlar	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Denetim ve Teftiş Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Aile Bireyleri Yakın Bilgisi	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Kişisel verilerin işlenmesinde uyulması gereken genel ilkelerden biri verilerin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması”dır. Kişisel verilerin periyodik imha süresi 6 ay olarak belirlenmiştir.

 

20.KiŞiSEL VERiLERiN İMHASINI GEREKTiREN SEBEPLER

Kişisel veriler; işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun şirket tarafından kabul edilmesi, şirketin ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurulu’na şikâyette bulunması ve bu talebin Kişisel Verileri Koruma Kurulu tarafından uygun bulunması, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, şirket (“KİMYAPSAN A.Ş.”), tarafından ilgili kişinin talebi üzerine ya da re ’sen silinir, yok edilir veya anonim hale getirilir.

21.KİŞİSEL VERİLERİ  SAKLAMA  ve İMHA SÜRECİNDE  SORUMLULAR

“KİMYAPSAN A.Ş.”nin tüm birimleri ve çalışanlar işbu Kişisel Verilerin Korunması Kanunu, ikincil mevzuat ve Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası kapsamında belirtilmiş olan teknik, hukuki ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının artması, kişisel verilerin hukuka uygun şekilde işlenmesini teminen tüm veri işleme ortamlarında veri güvenliğini sağlamaya dönük olarak teknik ve idari tedbirlerin uygulanmasına destek verir ve sorumlu birimlerle işbirliği içinde çalışır.

a.“Kişisel Verileri İşlenmesi, Korunması ve İmha Politikası”nda yapılan tüm revizyon ve değişiklikleri incelemek “veri koruma yöneticisinin” sorumluluğundadır. Veri koruma yöneticisi aynı zamanda prosedürü geliştirmek ve gerekli eğitimleri vermek ile prosedürün yorumlanması konusunda çalışanlara kılavuzluk etmekle görevlidir. Veri koruma yöneticisi ayrıca bu prosedüre uyulup uyulmadığını denetler ve uyulması için gerekli desteği verir.

b. Veri koruma yöneticisi işbu prosedürün periyodik imha süreçlerinin kontrolünden, belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, bu sürelerin takibinden ve muhafaza süresi dolan verilerin imha edilmesinden sorumludur. 

Kişisel silme, yok etme, veya anonim hale getirme esasları “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” çerçevesinde gerçekleştirilir.

 

22.İLGİLİ  KİŞİNİN HAKLARI

Kişisel verileri işlenmekte olan ilgili kişiler veri sorumlusu “KİMYAPSAN A.Ş”ye başvurarak kendisi ile ilgili  KVKK 11. madde gereğince;

1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmiş ise buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
6. Veri Koruma Mevzuatı’nda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
7. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

23. ŞİKÂYET ve BAŞVURU YÖNTEMLERİ

Kişisel veri sahipleri, KVKK 11. madde gereğince haklarına ilişkin taleplerini kimyapsan.com.tr adresinden ulaşılabilecek başvuru formu doldurarak;

• Islak imzalı bir nüshasının bizzat elden veya noter aracılığı ile Kimya İhtisas OSB, Recep Yazıcı Cd. No:1, 41455 Demirciler OSB, Dilovası/KOCAELİ  adresine iletmesi,
• 5070 Sayılı Elektronik İmza Kanunu kapsamındaki güvenli elektronik imzanızla imzalandıktan sonra güvenli elektronik imzalı formun [email protected] adresine kayıtlı elektronik posta (KEP) ile göndermesi,
• Mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle [email protected]  e-posta adresine elektronik posta ile göndermesi,
• Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemler kullanarak kimliklerini tespit edecek bilgi ve belgelerle göndermesi, (Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunması halinde, veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunması gerekmektedir.)

Veri sorumlusu “KİMYAPSAN A.Ş” başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 (Otuz) gün içinde ücretsiz olarak sonuçlandırmak zorundadır. Veri sorumlusu ilgili kişinin talebini kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.İlgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilememesi hallerinde; ilgili kişi, veri sorumlusu “KİMYAPSAN A.Ş”nin cevabını öğrendiği tarihten itibaren 30 (Otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir.

24.POLİTİKA’NIN YAYINLANMASI ve SAKLANMASI

Veri sorumlusu “KİMYAPSAN A.Ş”ye ait işbu “Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası” ıslak imzalı ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da dosyasında saklanır.

KİŞİSEL VERİ SAHİBİ BİLGİ TALEP FORMU

İşbu “Kişisel Veri Sahibi Bilgi Talep Formu” (“Form”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 11. madde kapsamında veri sahibi ilgili kişilerin, kişisel verilerin korunması ve işlenmesine yönelik  “Kişisel Verilerin İşlenmesi Ve Korunması Aydınlatma Metni”nde belirtilen haklarını kullanmak amacıyla yapacakları başvurularda kullanılması amacıyla “KİMYAPSAN KİMYA ve YAPIŞTIRICI SANAYİ A.Ş.” (“KİMYAPSAN A.Ş.”) tarafından oluşturulmuştur.

1. BAŞVURUCU  (KİŞİSEL VERİ SAHİBİ)  KİMLİK ve İLETİŞİM BİLGİLERİ :

Adı Soyadı
T.C. Kimlik Numarası
Adres
Telefon Numarası
E-posta Adresi

2. VERİ SORUMLUSU İLE İLİŞKİNİZ :

Müşteri		Eski Çalışan
Çalışan		Tedarikçi
Ziyaretçi		Diğer

3. TALEP KONUSU :

4. BAŞVURU YÖNTEMİ :

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 11. maddesinde sayılan haklarınız kapsamındaki taleplerinizi, Kanun’un 13. maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. maddesi gereğince, işbu form ile aşağıda açıklanan yöntemlerden biriyle başvurunuzu iletebilirsiniz.

BAŞVURU YÖNTEMİ	BAŞVURU YAPILACAK ADRES
Islak İmzalı Başvuru Veya Noter Vasıtasıyla Başvuru	Kimya İhtisas OSB, Recep Yazıcı Cad. No:1, 41455 Demirciler OSB, Dilovası/KOCAELİ
Kayıtlı Elektronik Posta     (KEP) Adresi İle Başvuru	[email protected]
Sistemde Kayıtlı Bulunan E- Posta Adresini Kullanmak Suretiyle Başvuru	[email protected]
Mobil İmza/E-İmza İçerecek Biçimde Form Düzenlenerek E-Posta Adresinizi Kullanmak Suretiyle Başvuru	[email protected]

Kişisel Veri Sahibi

                                                                                                                     (İMZA)