KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
İÇİNDEKİLER
1. Amaç
2. Kapsam ve Uygulama
3. Tanımlar
4. Kişisel Verilerin İşlenmesi
a. Kişisel Verileri İşlenmesinde Uyulan İlkeler
b. Kişisel Verileri İşleme Amaçları
c. Kişisel Veri İşlenmesinde Hukuki Sebepler
d. Özel Nitelikli Kişisel Verilerin İşlenmesinde Hukuki Sebepler
5. Aydınlatma Yükümlülüğü
6. Veri Güvenliği
a. Aldığımız Teknik Tedbirler
b. Aldığımız İdari Tedbirler
7. Kişisel Verilerin Aktarılması
a. Yurt İçi Aktarım
b. Yurt Dışı Aktarım
8. Kişisel Veri Envanteri
9. Rol ve Sorumluluklar
10. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
11. İlgili Kişinin Hakları ve Hakların Kullanılması
a. İlgili Kişi Hakları
b. Hakların Kullanılması
c. Başvurunun Değerlendirilmesi
d. Başvuruyu Reddetme Hakkımız
e. Şikâyet Hakkı
12. Politikanın Yayınlanması ve Yürürlük
13. Politikanın Güncellenmesi
1. Amaç
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikasının (“Politika”) temel amacı Kimteks Poliüretan Sanayi ve Ticaret A.Ş. (“Şirket”) tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunarak Şirket ile olan ilişkisi gereği veri işleyen kişilerin uyacağı usul ve esasları belirlemek ve verisi işlenen kişilere karşı şeffaflığı sağlamaktır.
Şirket, kişisel verilerin korunması ve gizliliğiyle ilgili başta T.C. Anayasası ve tarafı olduğumuz uluslararası sözleşme hükümleri olmak üzere, Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuatla uyarınca faaliyetlerini sürdürmektedir. Şirket, kişisel verilerin ve temel hak ve özgürlüklerin korunmasına hassasiyetle yaklaşmakta; tüm faaliyetlerinde özel hayatın gizliliği ve düşünce özgürlüğü gibi temel insan haklarını odak noktasında tutmaktadır.
2. Kapsam ve Uygulama
Bu Politika, yürürlükteki düzenlemeler ve uluslararası standartlar gözetilerek hazırlanmıştır. Şirket, veri işleme, aktarma, değiştirme gibi tüm veri işleme faaliyetlerinde öncelikli olarak bu Politika’yı uygulayacaktır.
Şirket, belirli iş faaliyetleri ve süreçleri ile ilgili olarak kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasını ele alan farklı politikalara da sahiptir. Bu Politika, ek şartlar içermedikçe veya kişisel verilerin
korunması için daha yüksek standart talep etmedikçe, Şirket’in söz konusu farklı politikalarındaki veri koruma şartlarını geçersiz kılmaz. Bu Politika, uygun düştüğü ölçüde söz konusu diğer politika ve prosedürler ile birlikte uygulanmaktadır.
Kişisel verilerin korunması ve işlenmesi hakkında yürürlükteki ilgili mevzuat hükümleri ile bu Politika’nın hükümleri arasında çelişki bulunduğu takdirde, güncel mevzuat hükümleri öncelikli olarak geçerli olacaktır.
3. Tanımlar
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu
GDPR: Avrupa Birliği Genel Veri Koruma Tüzüğü
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi
Veri Sahibi/İlgili Kişi: Şirket ve Şirket’in bağlı iştiraklerinin ticari ilişki içinde bulunduğu çalışanları, müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, iş birliği içinde çalıştığı kurumların çalışanları, üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere kişisel verisi işlenen gerçek kişiler
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikli Kişisel Veri: kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
KVK Kurulu/Kurul: Kişisel Verileri Koruma Kurulu
KVK Kurumu/Kurum: Kişisel Verileri Koruma Kurumu
4. Kişisel Verilerin İşlenmesi
a. Kişisel Verileri İşlenmesinde Uyulan İlkeler
Şirket’in politika ve prosedürleri, KVKK ve ilgili mevzuatta yer alan işleme ilkelerine paralel olarak uygulanmaktadır. Bu ilkelerin ilgili kişilerin haklarını kullanmasında ve veri üzerindeki kontrollerinde hayati öneme sahip olduğunu biliyor ve tüm işleme faaliyetlerimizde bu ilkeleri odak noktamız yapmaya son derece hassasiyet gösteriyoruz. Kişisel verileri işleme faaliyetlerimizde ilkelerimiz şunlardır;
· Kişisel veriler, hukuka ve dürüstlük kuralına uygun ve şeffaf şekilde işlenir.
Şirket veri işleme faaliyetlerinde KVKK’da yer alan hukuki işleme sebeplerine dayanır. Ayrıca dürüstlük kuralı gereği ilgili kişilerin makul beklentilerini gözetir. Şirket ilgili kişi ile iletişiminde açık ve anlaşılır bir dil kullanır ve her zaman kolay ulaşılabilir bir pozisyonda olur.
· Kişisel veriler sadece belirli, açık ve meşru amaçlarla işlenir.
Şirket, veri işleme faaliyetlerinin öncesinde işleme faaliyetinin amacını belirler. Veriler, yalnızca ilk işleme amacıyla uyumlu olan ilave amaçlarla işlenir. Her bir ilave amaç için ilk amaçla uyum uluslararası düzende kabul gören kriterlere göre belirlenir. Şirketimiz veri işleme amaçları hakkında ilgili kişileri şeffaflık ilkesini gözeterek bilgilendirir.
· Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.
Şirketimiz, veri işleme amacı için zorunlu olan miktarda veri işler. Veriler, veri gizliliği ve güvenliği konusunda en uygun olan yöntemle elde edilir. İşleme faaliyetlerimizde ilgili kişilerin hakları, menfaatleri ve özgürlüklerine orantısız müdahaleden kaçınılır.
· Kişisel veriler doğru ve gerektiğinde günceldir.
Şirket tüm işleme faaliyetlerinde verilerin güncel olmasını sağlar. Eksik, hatalı veya yanlış veriler en kısa sürede imha edilir veya düzeltilir. Şirket düzenli aralıklarla verilerin güncelliğini kontrol eder.
· Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir.
Veri işleme amaçlarının ortadan kalkmasıyla birlikte en kısa sürede veriler silinir, yok edilir veya anonim hale getirilir.
· Kişisel veriler uygun güvenliğin sağlanmasına yönelik şekilde işlenir.
Şirketimiz veri güvenliğini ana ilke olarak uygular. Bu yönde en iyi uygulamaları takip ederek gerekli idari ve teknik tedbirleri alır.
· Şirket KVKK ve/veya GDPR’ın diğer ilkeleri ile uyumluluk sağladığını gösterir.
Şirketimiz tüm işleme faaliyetlerinde hesap verilebilirlik ilkesini gözetir.
b. Şirketin Kişisel Verileri İşleme Amaçları
Şirket tarafından işlenen kişisel verileri işleme amaçları şu şekildedir:
· Acil Durum Yönetimi Süreçlerinin Yürütülmesi
· Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
· Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
· Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
· Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
· Denetim / Etik Faaliyetlerinin Yürütülmesi
· Eğitim Faaliyetlerinin Yürütülmesi
· Erişim Yetkilerinin Yürütülmesi
· Faaliyetlerin Mevzuata Uygun Yürütülmesi
· Finans ve Muhasebe İşlerinin Yürütülmesi
· Fiziksel Mekân Güvenliğinin Temini
· Görevlendirme Süreçlerinin Yürütülmesi
· İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
· İletişim Faaliyetlerinin Yürütülmesi
· İnsan Kaynakları Süreçlerinin Planlanması
· İş Faaliyetlerinin Yürütülmesi / Denetimi
· İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
· İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
· Lojistik Faaliyetlerinin Yürütülmesi
· Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
· Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
· Mal / Hizmet Satış Süreçlerinin Yürütülmesi
· Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
· Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
· Organizasyon ve Etkinlik Yönetimi
· Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
· Sözleşme Süreçlerinin Yürütülmesi
· Talep / Şikayetlerin Takibi
· Taşınır Mal ve Kaynakların Güvenliğinin Temini
· Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
· Ücret Politikasının Yürütülmesi
· Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
· Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
· Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
· Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
· Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
c. Şirketin Kişisel Veri İşlemekteki Hukuki Sebepleri:
Şirket, kişisel verileri işlerken KVKK’nın 5. Maddesi’ndeki hukuki işleme şartlarından birine dayanır. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup bu şartlar genişletilemez. Şirket, kişisel verileri işlerken şu hukuki sebeplere dayanır:
· İlgili kişinin açık rızasının varlığı,
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Şirketimiz, başka bir hukuki sebebin varlığı halinde açık rıza hukuki sebebine dayanmaz.
d. Özel Nitelikli Kişisel Verilerin İşlenmesinde Hukuki Sebepler
Özel nitelikli kişisel verilerin kişinin dini, ırkı, inancı, sağlık ve cinsel hayatı gibi ifşa edilmesi halinde kişiyi ayrımcılığa maruz bırakacak verilerdir. Özel nitelikli kişisel veriler KVKK’nın 6. Maddesi’nde sayılan sınırlı hukuki sebeplerin varlığı olmaksızın işlenemez.
Bu kapsamda Şirket sağlık veya cinsel hayat dışındaki özel nitelikli kişisel verileri;
· İlgili kişinin açık rızası,
hukuki sebeplerine dayanarak işlemektedir. Sağlık verileri ise;
· İlgili kişinin açık rızası,
· Sır saklama yükümlülüğü altındaki kişilerce kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarının bulunması
hukuki sebeplerine dayanarak işlemektedir.
5. Aydınlatma Yükümlülüğü
Şirket, KVKK ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca ilgili kişileri aydınlatmakla yükümlüdür. Şirket, kişisel veriler ilgili kişiden elde ediliyorsa, verilerin elde edilmesi anında bizzat veya yetkilendirdiği kişilerce ilgili kişileri bilgilendirir. Kişisel veriler ilgili kişiden elde edilmediği takdirde aydınlatma yükümlülüğü makul bir süre içerisinde, veriler ilgili kişi ile iletişim amacıyla kullanılacak ise ilk iletişim anında, veriler aktarılacak ise en geç ilk aktarımın yapılacağı esnada aydınlatma yükümlülüğü yerine getirilir.
Şirket ilgili kişileri asgari olarak, Şirketin tüzel kişilik ve adres bilgileri, kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi işe KVKK’nın 11. Maddesi’nde sayılan hakları hakkında bilgilendirir.
Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için ayrıca aydınlatma yükümlülüğü yerine getirilir.
Şirket, aşağıda yer alan ilgili kişilerin verisini işlemekte ve aydınlatma metinlerini belirtilen yerde yayınlamaktadır:
· Çalışanlar
Şirket’in istihdam ettiği çalışanları ifade eder. Çalışan Aydınlatma Metni kişilere elden/e-posta üzerinden teslim edilmiştir.
· Çalışan Adayları
Şirket’e fiziki olarak veya çeşitli portallardan başvuru yapan çalışan adaylarını ifade eder. Çalışan Adayı Aydınlatma Metni ilgili kişilere elden teslim edilmekte/ e-posta üzerinden gönderilmektedir.
· Tedarikçi Çalışanı
Şirket’in mal, ürün ve hizmetlerinin üretimi ve operasyonlarının yürütülmesi için mal, ürün veya hizmet aldığı tarafların çalışanlarını ifade eder. Aramızdaki sözleşme gereği tedarikçi çalışanlarına karşı aydınlatma söz konusu çalışanların bağlı olduğu tedarikçi firma tarafından yapılmaktadır.
· Tedarikçi Yetkilisi
Şirket’in mal, ürün ve hizmetlerinin üretimi ve operasyonlarının yürütülmesi için mal, ürün veya hizmet aldığı tarafların yetkililerini ifade eder. Aramızdaki sözleşme gereği tedarikçi yetkililerine karşı aydınlatma söz konusu çalışanların bağlı olduğu tedarikçi firma tarafından yapılmaktadır.
· Potansiyel ürün veya hizmet alıcısı
Şirketin ürün veya hizmet satışı gerçekleştirmek istediği kişileri ifade eder. Potansiyel Müşteri Aydınlatma Metni kişilere mail üzerinden iletilmektedir.
· Ürün veya hizmet alan kişi
Şirketin ürün veya hizmet sattığı kişileri ifade eder. Aramızdaki sözleşme gereği ürün veya hizmet alan kişilere karşı aydınlatma söz konusu çalışanların bağlı olduğu firma tarafından yapılmaktadır. Sözleşmenin ifasına yönelik olmayan gerekli durumlarda aydınlatma Veri Sorumlusu tarafından yapılmaktadır.
· Stajyer
Şirket’in istihdam ettiği stajyerleri ifade eder. Stajyer Aydınlatma Metni kişilere elden/e-posta üzerinden teslim edilmektedir.
· Stajyer adayı
Şirket’e fiziki olarak, internet sitesi üzerinden veya çeşitli portallardan başvuru yapan stajyer adaylarını ifade eder. Stajyer Adayı Aydınlatma Metni kişilere elden/ e-posta üzerinden gönderilmektedir.
· Çevrimiçi ziyaretçiler
Şirketin web sitelerine erişim sağlayan çevrimiçi ziyaretçileri ifade eder. Çevrimiçi Ziyaretçi Aydınlatma Metni www.kimpur.com adresinde yayınlanmaktadır.
· Ziyaretçi
Şirketin ofislerine, tesislerine ziyarette bulunan ziyaretçileri ifade eder. Ziyaretçi Aydınlatma Metni iş yeri girişlerinde ilgili kişilere sunulmaktadır. Kişilere elden teslim edilmektedir.
· Referans kişisi
Şirket’e fiziki olarak, internet sitesi üzerinden veya çeşitli portallardan başvuru yapan çalışan adaylarının ve stajyer adaylarının bilgilerini paylaştığı referans kişilerini ifade eder. Referans Aydınlatma Metni kişilere e-posta üzerinden gönderilmektedir.
6. Veri Güvenliği
Kişisel verilerin işlenmesinde veri sorumlusu olarak Şirket, kişisel verilerin hukuka aykırı olarak işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamakla yükümlüyüz. Bu nedenle Şirket, özel nitelikli kişisel verilerin korunması için gereken ek tedbirler de dahil olmak üzere, veri güvenliği ile ilgili tüm teknik ve idari tedbirleri almıştır. Bu kapsamda şirketimizce alınan tedbirler aşağıda listelenmiştir.
· Aldığımız Teknik Tedbirler
– Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
– Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
– Anahtar yönetimi uygulanmaktadır.
– Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
– Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
– Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
– Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
– Güncel anti-virüs sistemleri kullanılmaktadır.
– Güvenlik duvarları kullanılmaktadır.
– Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
– Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
– Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır
– Mevcut risk ve tehditler belirlenmiştir.
– Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
– Saldırı tespit ve önleme sistemleri kullanılmaktadır.
– Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
– Şifreleme yapılmaktadır.
– Veri kaybı önleme yazılımları kullanılmaktadır.
· Aldığımız İdari Tedbirler
– Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
– Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
– Gizlilik taahhütnameleri yapılmaktadır.
– İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
– Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
– Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
– Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
– Kişisel veriler mümkün olduğunca azaltılmaktadır.
– Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
– Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
– Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
–
7. Kişisel Verilerin Aktarılması
a. Yurt İçi Aktarım
Şirketimiz, KVKK’nın 5. Ve 6. Maddesi’ndeki veri işleme şartlarına dayanarak kişisel verileri 3. kişilere aktarmaktadır. Şirket veri aktarım faaliyetlerinde gerekli tüm güvenlik önlemlerini almaktadır. Bu kapsamda Şirketimizin veri aktardığı alıcı grupları aşağıdaki gibidir:
· Eğitim Faaliyetlerinin Yürütülmesi, Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi, Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi, Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, Finans ve Muhasebe İşlerinin Yürütülmesi, İş Faaliyetlerinin Yürütülmesi / Denetimi, Organizasyon ve Etkinlik Yönetimi, amaçlarıyla Tedarikçiler,
· Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Faaliyetlerinin Yürütülmesi / Denetimi, Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi, amaçlarıyla Yetkili Kurum ve Kuruluşlar,
· İş Faaliyetlerinin Yürütülmesi / Denetimi, Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi, Lojistik Faaliyetlerinin Yürütülmesi, Taşınır Mal ve Kaynakların Güvenliğinin Temini, amacıyla Derneklere.
b. Yurt Dışı Aktarım
Şirket KVKK’nın 9. Maddesi uyarınca aşağıdaki şartlardan birini sağlayarak yurt dışına veri aktarmaktadır.
· İlgili kişinin açık rızasının olması,
· Kişisel verinin aktarılacağı ülkenin “güvenli ülke” statüsünde olması ve yeterli korumayı sağlaması,
· Veri aktarımına ilişkin Şirket’in ve alıcı tarafın hak ve yükümlülüklerinin düzenlenerek yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması.
Bu kapsamda Şirketimizin veri aktardığı alıcı grupları aşağıdaki gibidir:
· Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi, İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi, Talep / Şikayetlerin Takibi, Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi, Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi amaçlarıyla Tedarikçiler
8. Kişisel Veri Envanteri
Şirket KVKK kapsamında işlenen kişisel verilere ilişkin Kanunun öngördüğü detaylarla bir veri envanteri oluşturmuştur. Şirketin veri envanteri aşağıdaki detayları içermektedir:
· Kişisel verinin kullanıldığı iş süreçleri,
· Kişisel verinin kategorisi,
· İşlenen kişisel veriler,
· İşlenen özel nitelikli kişisel veriler,
· İşleme faaliyetinin amacı ve hukuki sebebi,
· Kişisel verilerin yurt içindeki alıcıları,
· Kişisel verilerin yurt dışına aktarılıp aktarılmadığı,
· Kişisel verileri saklama süreleri
Şirket’in işleme faaliyetlerinde bir değişiklik olması halinde Kişisel Veri Envanteri güncellenir. Şirket, Kişisel Veri Envanteri’nde yer alan bilgileri ve varsa güncellemeleri Veri Sorumluları Kayıt Sicil’ine bildirir. Şirket’in, bu Politika’nın 5. Maddesi’nde anılan aydınlatma yükümlülüğü çerçevesinde ilgili kişiye vereceği bilgiler, Sicile açıklanan bilgilerle uyumludur.
9. Rol ve Sorumluluklar
Şirketimiz kişisel verilerin işlenmesine ilişkin rol ve sorumluluklar şu şekildedir:
· İlgili departman, bu Politika’nın verisi işlenen müşteri, taşeron, tedarikçi gibi ilgili kişilere bildirilmesinden sorumludur.
· İlgili departman, bu Politika’nın çalışan, tedarikçi gibi Şirket adına veri işleyen tarafların Politika hakkında bilgilendirilmesinden, düzenli kontroller ile bahse konu veri işleyenlerin Politika’yı uygulanmasından sorumludur.
· İlgili departman, bu Politika’nın güncellenmesinden sorumludur. Birim Şirketin bilgi işlem sistemlerinin ihtiyaçlarını gözeterek gerekli iyileştirmeleri yapar ve gerektiğinde Politikanın güncellenmesi sürecini yürütür.
· İlgili departman, bu Politika’ya ilişkin güncellemelerin onaylanması için yetkili onay merciidir.
· İlgili departman, Politika’nın uygulanmasına yönelik ihlallerde yaptırımların belirlenmesi ve uygulanmasından sorumludur.
10. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
· KVKK’nın 7. Maddesi ve ilgili diğer mevzuat hükümleri gereğince, kişisel verilerin işleme sebeplerinin ortadan kalkması halinde Şirket’in kararı, periyodik kontrolü ve/veya ilgili kişinin talebi üzerine kişisel veriler silinir, imha edilir veya anonim hale getirilir.
· Şirket, kişisel verinin elde edilme sebebi ile bağlantılı olarak kişisel veriyi gerekli olandan uzun süre saklamayacaktır. Şirket, işleme sebeplerinin ortadan kalkmasıyla birlikte kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir.
· Şirket, bu doğrultuda usul ve esasları belirlemek üzere Saklama ve İmha Politikası hazırlamıştır. Kişisel verinin her bir kategorisi için saklama süresi, Şirket’in veriyi saklamak zorunda olduğu yasal yükümlülükler de dahil olmak üzere saklama ve imha sürelerinde kullanılan kriterler bu Saklama ve İmha Politikasında belirtilmiştir.Bu Saklama ve İmha Politikası, bu Politika’nın 8. Maddesinde belirtilen Kişisel Veri Envanteri’ne uygun olarak düzenlenmiştir.
· Şirket, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde bu Politika’nın 4/a kısmında yer alan ilkelere, 6. Maddesi’nde yer alan teknik ve idari tedbirlere, Saklama ve İmha Politikası’na, ilgili mevzuat hükümlerine ve Kurul kararlarına uygun hareket eder.
· Kişisel veriler KVKK hükümleri, ilgili mevzuat ve Şirketin Saklama İmha Politikası doğrultusunda, güvenli bir şekilde, en uygun yöntemle imha edilecektir. Şirket, ilgili kişinin talebi halinde uygun yöntemi gerekçesi ile açıklayarak seçer.
11. İlgili Kişinin Hakları ve Haklarını Kullanması
a. İlgili Kişi Hakları
İlgili kişiler, KVKK 11. Maddesi uyarınca işlenen kişisel verileriyle ilgili şu haklara sahiptir:
· Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse bu bilginin yapısına ilişkin bilgi talep etme ve kime ifşa edildiğini öğrenme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme ve bu yönde yapılan işlemin üçüncü kişilere bildirilmesini isteme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bunun üçüncü kişilere bildirilmesini isteme,
· İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler kişisel verilerin silinmesini veya yok edilmesini isteme,
· Kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
b. Hakların Kullanılması
Kişisel veriler ile ilgili başvuru ve talepler İlgili Kişi Başvuru Formu vasıtasıyla,
1. Islak imzanız ve kimlik fotokopiniz ile birlikte DOSB Mah. DES. SAN. SİT. Tic. Merkezi No:3/30-32, Ümraniye/İstanbul adresine göndererek veya,
2. Güvenli elektronik imza veya mobil imza ile imzalayarak Şirket’in KVKK Mail Adresi ik@kimpur.com e-posta adresine göndererek veya,
3. Güvenli elektronik imza veya mobil imza ile imzalayarak, kayıtlı elektronik posta (KEP) vasıtasıyla Şirket KEP Adresi kimtekspu@hs01.kep.tr adresine göndererek veya,
4. Geçerli bir kimlik belgesi ile Kimteks Poliüretan San. Ve Tic. A.Ş’ye bizzat başvurarak Kimteks Poliüretan San. Ve Tic. A.Ş’ye iletebilir.
Veri sorumlusuna başvuru usul ve esaslarına ilişkin yasal zorunluluklar kapsamında ilgili kişiler, başvurusunda ismine, soy ismine, başvuru yazılı ise imzasına, Türkiye Cumhuriyeti vatandaşı ise T.C. Kimlik numarasına, yabancı ise uyruğuna, pasaport (veya varsa kimlik) numarasına, tebligata esas yerleşim yeri veya iş adresine, varsa bildirime esas almamız için e-posta adresine ve faks numarasına son olarak talep konusuna yer vermelidir. Ayrıca başvuruya kimliği doğrulayıcı belgeler ile talep konusuna ilişkin bilgi ve belgeleri başvuruya eklenmelidir.
Sürecin en etkin şekilde işletilmesi adına talep konusunda hangi hakkın kullanmak istenildiği, talep edilen işleme ilişkin detaylar açık ve anlaşılır şekilde belirtilmelidir.
Talep konusu, ilgili kişinin kendisiyle ilgili olmalıdır. Başkası adına başvuru yapılıyor ise, talebi yapan kişinin talep edilen işleme yönelik özel olarak belgelendirilmiş bir yetkiye dayanması (vekaletname) gerekmektedir. Yetkisiz yapılan başvurular ise değerlendirilmeye alınmayacaktır.
c. Başvurunun Değerlendirilmesi
Başvurular değerlendirilerek en kısa sürede ve en geç başvurunun tarafımıza ulaştığı tarihten itibaren 30 gün içerisinde dönüş yapılmaktadır.
Değerlendirme sürecinde gerekmesi halinde ek bilgi ve belge talep edilebilir, ilgili mevzuata uygun düşen hallerde talebin yerine getirilmesi için ücret talep edilebilir.
Şirket, ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alır.
d. Başvurunun Reddedilmesi
Başvuru;
· Başvuru yukarıda belirtilen usule uygun yapılmadığında,
· Başvuru yürürlükteki mevzuatlara aykırı bir talep içerdiğinde,
· Başvuru haklı bir nedene dayanmadığında veya hakkın kötüye kullanımı niteliğinde olduğunda,
· Başvuru konusu kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
· İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
· KVKK 28. Maddesi kapsamına giren diğer hallerden birinin varlığı
halinde reddedilir. Başvurunun reddedilmesi halinde Şirket, gerekçesini açıklayarak ilgili kişiye ret cevabını bildirir.
e. Şikâyet Hakkı
Şirket’e yaptığı başvurularda ilgili kişinin, başvurusu reddedildiğinde veya Şirket tarafından verilen cevabı yetersiz bulduğunda veya Şirket tarafından 30 gün içerisinde cevap verilmediğinde Kurul’a şikâyet hakkı bulunmaktadır.
İlgili kişi, Şirket’in cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren
60 gün içinde şikâyet hakkını kullanabilir.
12. Politikanın Yayınlanması ve Yürürlük
İşbu Politika 30.07.2021 tarihinde yürürlüğe girer.
İşbu Politika’nın güncel versiyonu şirket dökümantasyon sisteminde yayınlanır.
13. Politikanın Güncellenmesi
Bu Politika mevzuatta yer alan yasa süre gereğince kalite doküman prosedürü uyarınca güncellenir.
Bu Politika’nın yürürlükten kaldırılan eski nüshaları veri sorumlusu onayı ile iptal edilerek arşiv sorumlusu
tarafından mevzuatta yer alan yasal süreç boyunca saklanır. Saklama süresi dolan politikalar ilgili birim sorumlumuz tarafından tutanak düzenlenerek imha edilir.