DERİPABUÇ DERİ MAMÜLLERİ VE AYAKKABI TİCARET SANAYİ LİMİTED ŞİRKETİ KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI VE İMHA POLİTİKASI
Adres: Egemenlik Mahallesi 6106/20 Sokak No:3 Bornova / İZMİR Tel: 0 232 478 00 88 Fax: 0 232 478 00 88 e-mail : [email protected] 2 İçindekiler Tablosu
1.GİRİŞ......................................................................................................................................................4
1.1 Amaç...............................................................................................................................................4
1.2 Kapsam ...........................................................................................................................................4
1.3. Kısaltmalar ve Tanımlar.................................................................................................................4
2. SORUMLULUK VE GÖREV DAĞILIMLARI Tablo
1: Saklama ve İmha Süreçleri Görev Dağılımı........................................................................ 7
3.KİŞİSEL VERİLERİN İŞLENMESİ İLKELERİ................................................................................................8
3.1. Hukuka ve Dürüstlük Kuralına Uygunluk ......................................................................................8
3.2. Doğru ve Güncel Olma...................................................................................................................8
3.3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme...................................................................................8
3.4. İşleme Amacıyla Bağlantılı, Sınırlı ve Ölçülü Olma.........................................................................8
3.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edinme..................................................................................................................................................9
4.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI.................................................................................................9
4.1. Kişisel Verilerin İşlenmesi Şartları .................................................................................................9
4.2. Özel Nitelikli Kişisel Verilen İşlenmesi Şartları...............................................................................9
5.KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ ........................................................ 10
5.1. Kişisel Veri Konusu Kişi Grupları ................................................................................................. 10
Tablo 2: Kişisel Veri Konusu Kişi Grupları.................................................................................. 10
5.2. Veri Kategorizasyonu.................................................................................................................. 12
Tablo 3: Veri Kategorizasyonu.................................................................................................. 12
Tablo 4: Kişisel Veri İşleme Amaçları ................................................................................................. 13
5.3. Verileri Aktarım Yaptığı Alıcı Gruplar.......................................................................................... 15
Tablo 5: Alıcı Grubu...............................................................................................................................15
6.KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ........................................................................................ 15
7.KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI................................................................................. 16
7.1. Kişisel Verilerin Yurtdışına Aktarılması ...................................................................................... 16
7.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması.................................................................. 16
8.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ................................................................... 17
9.VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI ............................................................. 17
9.1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller .......................................................... 17
9.2. Kişisel Veri Sahibinin Haklarını Kullanması ................................................................................. 18
9.3. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı ................................................. 18
3 9.4. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin Başvurulara Cevap Vermesi ............................................................................................................................................. 19
9.5. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin Başvurulara Cevap Verme Usulü ve Süreleri.................................................................................................................... 19
9.6. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler.............................................................................. 19
9.7. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı........................................................................................................... 19
10. KAYIT ORTAMLARI.......................................................................................................................... 19
Tablo 6: Kişisel veri saklama ortamları..................................................................................... 20
11. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR............................................................................... 20
11.1. Saklamaya İlişkin Açıklamalar................................................................................................... 20
11.2. Saklamayı Gerektiren Hukuki Sebepler ................................................................................... 20
11.3. Saklamayı Gerektiren İşleme Amaçları..................................................................................... 21
11.4. İmhayı Gerektiren Sebepler...................................................................................................... 21
12. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASININ TEKNİK VE İDARİ TEDBİRLER ................... 21
12.1. Teknik Tebirler.......................................................................................................................... 22
Tablo 7: Veri Güvenliği Tedbiri.................................................................................................. 22
12.2. İdari Tedbirler........................................................................................................................... 23
12.2.1. Kişisel Verilerin Güvenli Ortamlarda Saklanması.......................................................... 23
12.2.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi .......................... 23
12.2.3. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler ................... 23
12.2.4. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan İdari Tedbirler........ 23
12.2.5. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek İçin Alınan Teknik ve İdari Tedbirler................................................................................................................................................ 23
12.3. Kişisel Verileri İmha Teknikleri ................................................................................................. 24
12.3.1. Kişisel Verilerin Silinmesi ve Kişisel Verilerin Yok Edilmesi .......................................... 24
12.3.2. Kişisel Verilerin Anonim Hale Getirilmesi .................................................................... 24
13. SAKLAMA VE İMHA SÜRELERİ ....................................................................................................... 25
Tablo 8: Saklama ve İmha Süreleri Tablosu.............................................................................. 25
14. PERİYODİK İMHA SÜRESİ ............................................................................................................... 26
15. POLİTİKANIN YAYINLANMASI VE SAKLANMASI ............................................................................ 26
16. POLİTİKANIN GÜNCELLENME PERİYODU ...................................................................................... 26
17. POLİTİKANIN YÜRÜRLÜĞÜ ............................................................................................................. 26
18. YÜRÜTME ....................................................................................................................................... 27
19. POLİTİKA ONAY SAYFASI ................................................................................................................ 27
4 1. GİRİŞ Kişisel verilerin korunması, Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin (Şirket olarak ifade edilecektir.) önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, Kişisel Verilerin Korunması ve İşlenmesi Politikası (Politika) çerçevesinde şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz iş bu Politika kapsamında işlenmekte ve korunmaktadır. 1.1. Amaç 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’ de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete’ de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliği (Yönetmelik) kapsamında, Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi tarafından uygulanacak olan usul ve esaslar, veri sorumlusunun aydınlatma yükümlülüğü, teknik ve idari tedbirleri bildirmek amacıyla, Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası (Politika) hazırlanmıştır. 1.2. Kapsam Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerini otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri bu politika kapsamındadır. Şirketin sahip olduğu ya da şirket olarak yönetilen kişisel verilerin işlendiği tüm kayıt ortamları, kişisel veri işlenmesine yönelik işlemler, çalışanlarının kişisel verilerinin korunması ve işlenmesine ilişkin hususlar bu politika kapsamına girer. Tüm süreçler, bu politikaya uygun olarak gerçekleştirilir. 1.3. Kısaltmalar ve Tanımlar Açık Sağlık Verisi: Açık veri haline getirilen sağlık verisini, Açık Veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi, Alıcı Grubu: Veri sorumlusu tarafından Kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, Bakanlık: Sağlık Bakanlığını, 5 Çalışan Aday: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler. Çalışan: Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi personeli. Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. e-Nabız: İlgili kişilerin sağlık verilerine kendilerinin, hekimlerin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-Devlet uygulamalarına uygun olarak Bakanlıkça kurulan sistemi, Şirket Yetkilisi: Şirketimizin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler. Hizmet Sağlayıcı: Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişiyi ifade eder. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda Kişisel verileri işleyen kişileri, İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler Kanun: 24.3.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu, Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini, Kişisel Sağlık Verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin İşlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, 6 Kişisel Verilerin İmha Edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi, Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini, Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini, Kişisel Veri İşleme: Veri sorumlularının iş süreçlerine bağlı olarak Envanteri gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. Kurul: Kişisel Verileri Koruma Kurulunu, Kurum: Kişisel Verileri Koruma Kurumunu, Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek Şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri, Müşteri: Şirketimizle herhangi bir sözleşme ilişkisi olup olmadığına bakılmaksızın şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. Politika: Kişisel Verileri Saklama ve İmha Politikası Potansiyel Müşteri: Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler. Sağlık Hizmeti Sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini, Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili (VERBİS) 7 Üçüncü Kişi: Kurumumuzun yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örneğin hizmet alınan firma çalışan veya yetkilileri, refakatçi vb) VERBİS: Veri Sorumluları Sicil Bilgi Sistemi Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve 21 Haziran 2019 tarihli Resmi Gazetede yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik. Ziyaretçi: Şirketimizin sahip olduğu fiziksel alanlara çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler. 2. SORUMLULUK VE GÖREV DAĞILIMLARI 2.1. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi “Veri Sorumlusu” sıfatıyla, bu politikanın uygulatılmasından sorumludur. 2.2. Politikanın hazırlanması, uygulanması ve güncellenmesinden, Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketinin Veri Sorumlusu yetkili ve sorumlu olacaktır. 2.3. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketinin tüm Bölüm/Birimleri ile ilgili kişiler (çalışan, stajyer adayı, çalışan adayı, ziyaretçi, iş ortakları/tedarikçi/alt işveren yetkilileri ve çalışanları) Politika hükümlerine uygun hareket etmek, bu hükümlere uyulmasını sağlamak ve aykırı hareketin tespiti halinde durumu Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketin Veri Sorumlusuna bildirmekle yükümlüdür. 2.4. Politika, https://www.deripabuc.com/ internet sitesinde yayınlanmış olup, ayrıca tüm çalışanların erişimine açıktır. 2.5. Politikada yapılan güncellemeler “Veri Sorumlusu” tarafından kurum web adresine yüklenmek suretiyle erişime açık hale getirilecektir. 2.6. Politika ile mevcut kanun hükümleri arasında çelişki olması halinde, kanun hükümleri geçerli olacak ve Veri Sorumlusu politikanın kanun hükümlerine uygun hale getirilmesi için gerekli güncellemeyi yaparak erişime açık hale getirecektir. Politikanın yürürlükten kaldırılmasına karar verme yetkisi şirket müdürüne aittir. 2.7. Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka 8 uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. 2.8. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir. Tablo 1: Saklama ve İmha Süreçleri Görev Dağılımı UNVAN GÖREV Şirket Müdürü Çalışanların politikaya uygun hareket etmesinden sorumludur. Yönetim Birimi Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. Bilgi İşlem Birimi Politika’ nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. İnsan Kaynakları, İdari İşler Müdürü Görevlerine uygun Politika’ nın yürütülmesinden sorumludurlar. 3. KİŞİSEL VERİLERİN İŞLENMESİ İLKELERİ Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi kişisel verilerin işlenmesine ilişkin usul ve esasları düzenleyen, KVKK’ nın 4. Maddesi uyarınca aşağıda sayılan ilke ve esaslar çerçevesinde kişisel veri işleme faaliyetlerini gerçekleştirmektedir. 3.1. Hukuka ve Dürüstlük Kuralına Uygunluk: Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi kişisel verilerinizi, KVKK ve yapılan iş gereği uyulması zorunlu olan diğer kanun ve düzenlemelere uygun olarak işlemektedir. 3.2. Doğru ve Güncel Olma: Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketinin, veri sahibi tarafından sağlanan kişisel verilerin izinsiz ve gerçeğe aykırı olarak değiştirilmemesi ve işlenen veriler ile ilgili bir değişiklik olduğunda veri sahibi tarafından talep edilmesi halinde, kişisel verinin güncellenmesi için gerekli işlemleri yerine getirmekte, teknik ve idari tedbirleri almaktadır. 3.3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme: Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi tarafından işlenen kişisel verileriniz, size bildirilen işleme amacına uygun olarak ve bildirilen çerçevede işlenmektedir. 3.4. İşleme Amacıyla Bağlantılı, Sınırlı ve Ölçülü Olma: Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketinin faaliyetleriyle örtüşmeyen, Şirket faaliyetleri çerçevesinde gerek duyulmayan ve işleme amacını aşacak nitelikteki kişisel verileri işlememektedir. 9 3.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilme: KVKK, ilgili diğer kanunlar ve düzenlemeler çerçevesinde işlenen verileriniz, ilgili mevzuatta öngörülen veya işlenen kişisel verinin niteliği gereği saklanması gereken süreler kadar muhafaza edilmektedir. 4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI KVK Kanunu ile kişisel verilerin işlenme koşulları düzenlenmiş olup, kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir. 4.1. Kişisel Verilerin İşlenmesi Şartları: KVK Kanununda sayılan istisnalar dışında, şirket ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir: 4.1.1. Kanunlarda açıkça öngörülmesi, 4.1.2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, 4.1.3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait Kişisel verilerin işlenmesinin gerekli olması. 4.1.4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, 4.1.5. Veri sahibinin kendisi tarafından alenileştirilmiş olması, 4.1.6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, 4.1.7. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 4.2. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları: Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise şirket tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli Kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir: • Kamu sağlığının korunması, • Koruyucu hekimlik, • Tıbbî teşhis, • Tedavi ve bakım hizmetlerinin yürütülmesi, • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi. 10 5. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi olarak; KVK Kanununun 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, şirketimizin meşru ve hukuka uygun Kişisel veri işleme amaçları doğrultusunda KVK Kanununun 5. maddesinde belirtilen Kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak KVK Kanununda başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanununda belirtilen genel ilkelere ve KVK Kanununda düzenlenen bütün yükümlülüklere uyarak, politika kapsamındaki sürelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler işlenmektedir. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, KVK Kanununa uygun olarak ve Yönetmeliğin 5 inci,7 inci, 9 uncu ve 10 uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanterine dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir. Ayrıca; Kişisel Veri İşleme Envanteri başlığına yer verilmemiş olsa da işbu başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır. • Kişisel veri işleme amaçları, • Veri kategorisi • Verilerin aktarıldığı alıcı grubu veya alıcı grupları • Veri konusu kişi grupları • Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi • Yabancı ülkelere aktarımı öngörülen kişisel veriler • Veri güvenliğine ilişkin alınan tedbirler • Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre 5.1. Kişisel Veri Konusu Grupları Tablo 2: Kişisel Veri Konusu Kişi Grupları Veri Kategorisi Veri Konusu Kişi Grubu 1- Kimlik Çalışan Adayı Çalışan Tedarikçi Yetkilisi Tedarikçi Çalışanı Ürün veya Hizmet Alan Kişi Ziyaretçi İş Ortakları İş Ortakları Çalışanı Çalışan Adayları Yakını Çalışan Yakını 2- İletişim Çalışan Adayı Çalışan Tedarikçi Yetkilisi Ürün veya Hizmet Alan Kişi Çalışan Adayları Yakını Ziyaretçi 11 3- Özlük Çalışan Adayı Çalışan 4- Hukuki İşlem Çalışan Tedarikçi Yetkilisi Ürün veya Hizmet Alan Kişi 5- Müşteri İşlem Ürün veya Hizmet Alan Kişi Tedarikçi Yetkilisi İş Ortakları 6- Fiziksel Mekân Güvenliği Çalışan Adayı Çalışan Hissedar/Ortak Tedarikçi Çalışanı Tedarikçi Yetkilisi Ürün veya Hizmet Alan Kişi Veli/ Vasi/ Temsilci Ziyaretçi 7- Finans Çalışan Ürün veya Hizmet Alan Kişi İş Ortakları Tedarikçi Yetkilisi 8- Mesleki Deneyim Çalışan Adayı Çalışan 9- Pazarlama Ürün veya Hizmet Alan Kişi 10- Görsel ve İşitsel Kayıtlar Çalışan Adayı Çalışan 11- Felsefi İnanç, Din, Mezhep ve Diğer İnançlar Çalışan Adayı Çalışan 12- Sağlık Bilgileri Çalışan Adayı Çalışan 13- Ceza Mahkumiyeti ve Güvenlik Tedbirleri Çalışan Adayı Çalışan 12 5.2. Veri Kategorizasyonu: Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, KVK Kanununun 10. Maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine talep ettiği takdirde bildirmektedir. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketinde işlenen kişisel veri kategorileri; Tablo 3: Veri Kategorizasyonu Veri Kategorisi Veri Kategorizasyonu 1. Kimlik Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b 2. İletişim Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b 3. Özlük Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b. 4. Hukuki İşlem Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b. 5. Müşteri İşlem Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b. 6. Fiziksel Mekân Güvenliği Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b. 7. Finans Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b 8. Mesleki Deneyim Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b. 9. Pazarlama Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b. 10. Görsel ve İşitsel Kayıtlar Görsel ve İşitsel kayıtlar v.b. 11. Felsefi İnanç, Din, Mezhep ve Diğer İnançlar Diğer inançlarına ilişkin bilgiler, Dini aidiyetine ilişkin bilgiler, Felsefi inancına ilişkin bilgiler, Mezhep aidiyetine ilişkin bilgiler v.b. 12. Sağlık Bilgileri Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b 13. Ceza Mahkumiyeti ve Güvenlik Tedbirleri Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b. 13 Tablo 4: Kişisel Veri İşleme Amaçları Veri Kategorisi Kişisel Veri İşleme Amaçları 1. Kimlik • Acil Durum Yönetimi Süreçlerinin Yürütülmesi • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi • Eğitim Faaliyetlerinin Yürütülmesi • Finans Ve Muhasebe İşlerinin Yürütülmesi • İletişim Faaliyetlerinin Yürütülmesi • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi • Performans Değerlendirme Süreçlerinin Yürütülmesi • Talep / Şikayetlerin Takibi • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi • Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi 2. İletişim • Acil Durum Yönetimi Süreçlerinin Yürütülmesi • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi • Eğitim Faaliyetlerinin Yürütülmesi • Finans Ve Muhasebe İşlerinin Yürütülmesi • İletişim Faaliyetlerinin Yürütülmesi • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi • Talep / Şikayetlerin Takibi • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi 3. Özlük • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi • İnsan Kaynakları Süreçlerinin Planlanması 4. Hukuki İşlem • Faaliyetlerin Mevzuata Uygun Yürütülmesi 5. Müşteri İşlem • Finans Ve Muhasebe İşlerinin Yürütülmesi • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi • Mal / Hizmet Satış Süreçlerinin Yürütülmesi 6. Fiziksel Mekân Güvenliği • Fiziksel Mekan Güvenliğinin Temini 14 7. Finans • Finans Ve Muhasebe İşlerinin Yürütülmesi 8. Mesleki Deneyim • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi • Performans Değerlendirme Süreçlerinin Yürütülmesi 9. Pazarlama • Mal / Hizmet Satış Süreçlerinin Yürütülmesi • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi 10.Görsel ve İşitsel Kayıtlar • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi 11.Felsefi İnanç, Din, Mezhep ve Diğer İnançlar • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi 12.Sağlık Bilgileri • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi 13.Ceza Mahkumiyeti ve Güvenlik Tedbirleri • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi 15 5.3. Verileri Aktarım Yaptığı Alıcı Gruplar: Tablo 5: Alıcı Grubu ALICI GRUBU • Gerçek kişiler veya özel hukuk tüzel kişileri • Diğer -Banka • Diğer -Danışmanlık Firmaları 6. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi veri sahiplerinin Kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5.ve 6. maddelerinde belirtilen Kişisel veri işleme Şartları kapsamında ve politikada belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir. Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik Madde 8’e göre; (1) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kurul tarafından belirlenen önlemlerin de alınması ve üçüncü fıkrada öngörülen Şartların sağlanması suretiyle, kanunlarında açıkça öngörülmüş olması hâlinde ilgili kamu kurum ve kuruluşlarına aktarılabilir. (2) Kişisel sağlık verileri; birinci fıkrada öngörülen haller dışında ancak anonim hale getirilmek suretiyle aktarılabilir. (3) Kanun ile belirlenmiş olan görev ve sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılır. (4) Kişisel sağlık verilerinin uluslararası aktarımına ilişkin her türlü talep ile bu maddede sayılanlar dışındaki veri aktarımı talepleri, Kanunda öngörülen hükümler çerçevesinde, genetik verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından değerlendirilir. 16 7. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, Kişisel verileri Koruma Kanunun 5 inci maddenin ikinci fıkrasında, kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılmaz. Ancak kanunda görülen yeterli önlemler alınmak kaydıyla ve 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (Yeterli Korumaya Sahip Yabancı Ülke) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu‟nun izninin bulunduğu yabancı ülkelere “Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke” Kişisel verileri aktarabilmektedir. Aktarım süreçleri Kişisel Verileri Koruma Kanunun 9 uncu madde de öngörülen düzenlemeler göre hareket eder. 7.1. Kişisel Verilerin Yurtdışına Aktarılması Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla kanunu 9 uncu maddesinde öngörülen hükümlere göre hareket eder. kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise; kanunun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; • Yeterli korumanın bulunması, • Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilmektedir. Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilmektedir. Bu bağlamda; • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, • Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa; • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, • Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’ nin hukuki yükümlülüğünü yerine getirmesi için Kişisel veri aktarımı zorunlu ise, • Kişisel veriler, Kişisel veri sahibi tarafından alenileştirilmiş ise, • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla yurt dışına aktarımı yapılmaktadır. Bunun dışındaki hallerde yurtdışına veri aktarımı yapılmamaktadır. 7.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, KVK Kanunu’nun 8. ve 9. Maddelerin hükümlerine uygun olmak suretiyle ve KVK Kurulu tarafından öngörülen yeterli önlemleri alınmasına bağlı olarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir. Kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise; a. Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde, 17 b. Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında, c. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin elde etmiş olduğu kişisel veriler kural olarak yurtdışı ile paylaşılmamaktadır. Yabancı uyruklu kişilerin, Türk uyruklu olup da yurt dışında yaşayanların veya yabancı ülkede kurulu şirketler aracılığıyla Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi ‟ne gelen kişilerin kişisel verileri ilgili kamu kurumu, sigorta şirketi veya aracı kurum ve kuruluşlar ile paylaşılabilmektedir. 8. VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye web sayfamızda bulunan “Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Metni” de yer verilmiştir. Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi bu kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun 11. maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. Bu kapsamda, KVK Kanunun 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a. Veri sorumlusunun ve varsa temsilcisinin kimliği, b. Kişisel verilerin hangi amaçla işleneceği, c. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, d. Kişisel veri toplamanın yöntemi ve hukuki sebebi, e. 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür. Konusunda bilgilendirme yapılmaktadır. 9. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI 9.1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, Kişisel veri sahiplerinin bu konularda 9.2’ de sayılan haklarını ileri süremezler: a. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. b. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. 18 c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. d. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde Kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 9.2’de sayılan diğer haklarını ileri süremezler: a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. b. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş Kişisel verilerin işlenmesi. c. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. 9.2. Kişisel Veri Sahibinin Haklarını Kullanması Kişisel Verileri Koruma Kanunun Madde 11’ e göre; (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a. Kişisel veri işlenip işlenmediğini öğrenme, b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, d. Yurt içinde veya yurt dışında Kişisel verilerin aktarıldığı üçüncü kişileri bilme, e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, f. 7 nci maddede öngörülen şartlar çerçevesinde Kişisel verilerin silinmesini veya yok edilmesini isteme, g. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, h. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. 9.3. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı Kişisel Verileri Koruma Kanunu Madde-14’ e göre; Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri 19 sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. 9.4. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin Başvurulara Cevap Vermesi Kişisel veri sahibi, ilgili taleplerini yazılı olarak veya KVK Kurulun belirleyeceği diğer yöntemlerle veri kurumumuza iletmesi durumda şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınacaktır. Şirketimiz, Kişisel veri sahibinin talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde şirketimiz gereğini en kısa sürede yerine getirir. Şirketimiz kaynaklı oluşacak hata durumlarında veri sahibinde alınan ücret ilgiliye iade edilir. 9.5. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin Başvurulara Cevap Verme Usulü ve Süresi Kişisel veri sahibi, kanun ve yönetmeliklerin usule uygun olarak talebini şirketimize iletmesi durumunda, şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandırır. İlave süre gerektiği durumlarda ise başvuru yapan ilgili kişiye konu hakkında bilgi verir. 9.6. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. 9.7. Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı Kişisel Veri Sahibi tarafından yapılan başvuru, şirketimiz (Veri Sorumlusu) tarafında değerlendirilir. Yapılan talebi kabul eder veya gerekçesini açıklayarak reddedebilir. 10. KAYIT ORTAMLARI Kişisel veriler, Kurum tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır. Tablo 6: Kişisel veri saklama ortamları ELEKTRONİK ORTAMLAR ELEKTRONİK OLMAYAN ORTAMLAR • Sunucular (Etki Alanı, Yedekleme, E�Posta, Veritabanı, Web, Dosya Paylaşım vb.) • Yazılımlar (ofis yazılımları, Web portal, HBYS, MedData, e-Nabız, K3DS, Sağlık Bakanlığı Diğer Yazılımları, SGK, Yazılım ve Diğer Yazılımlar) • Bilgi Güvenliği Cihazları (Güvenlik Duvarı, Saldırı Tespit Ve Engelleme, Günlük Kayıt Dosyası, Antivirüs vb.) • Kişisel Bilgisayarlar (Masaüstü, Dizüstü) • Kağıt • Manuel Veri Kayıt Sistemleri (Anket Defterleri-Ziyaretçi Defterleri) • Yazılı, Basılı, Görsel Ortamlar 20 • Mobil Cihazlar (Telefon, Tablet vb.) • Güvenlik Kameraları • Optik Diskler (CD, DVD vb.) • Çıkartılabilir Bellekleri (USB, Hafıza Kart vb.) • Yazıcı, Tarayıcı, Fotokopi Makinası 11. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi tarafından; çalışanlar, çalışan adayları, hastalar, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir. 11.1. Saklamaya İlişkin Açıklamalar Kanunun 3 üncü maddesinde Kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirketimizin faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır. 11.2. Saklamayı Gerektiren Hukuki Sebepler Şirketimiz, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; • Kişisel Verilerin Korunması Kanunu, • Umumi Hıfzıssıhha Kanunu • Sağlık Hizmetleri Temel Kanunu • Türk Borçlar Kanunu, • Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, • İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, • İş Sağlığı ve Güvenliği Kanunu, • Bilgi Edinme Kanunu, • Dilekçe Hakkının Kullanılmasına Dair Kanun, • İş Kanunu, • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine ilişkin Yönetmelik, • Arşiv Hizmetleri Hakkında Yönetmelik Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır. 21 11.3. Saklamayı Gerektiren İşleme Amaçları Kurum, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar. • İnsan kaynakları süreçlerini yürütmek. • Kurumsal iletişimi sağlamak. • Kurum güvenliğini sağlamak, • İstatistiksel çalışmalar yapabilmek. • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek. • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak. • Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak. • İmhayı Gerektiren Sebepler. • Çağrı merkezi süreçlerini yönetmek. • Yasal raporlamalar yapmak. • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü. 11.4. İmhayı Gerektiren Sebepler Kişisel veriler; • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi, • Kurumun, ilgili kişi tarafından Kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve Kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir. 12. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASININ TEKNİK VE İDARİ TEDBİRLER Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, Kanunun 12. Maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda şirketimiz, Kişisel Verileri Koruma Kurulu (Kurul) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır. 22 12.1. Teknik Tedbirler Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik tedbirler almaktadır. Şirketimiz kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir. Teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır. Teknik konularda bilgili personel istihdam edilmektedir. Diğer teknik tedbirler; Tablo 7: Veri Güvenliği Tedbiri Veri Güvenliği Tedbiri Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. Erişim logları düzenli olarak tutulmaktadır. Gizlilik taahhütnameleri yapılmaktadır. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. Güncel anti-virüs sistemleri kullanılmaktadır. Güvenlik duvarları kullanılmaktadır. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. Kişisel veri güvenliğinin takibi yapılmaktadır. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. Kişisel veri içeren ortamların güvenliği sağlanmaktadır. Kişisel veriler mümkün olduğunca azaltılmaktadır. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. Mevcut risk ve tehditler belirlenmiştir. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. Saldırı tespit ve önleme sistemleri kullanılmaktadır. Sızma testi uygulanmaktadır. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. Şifreleme yapılmaktadır. Veri kaybı önleme yazılımları kullanılmaktadır. 23 12.2. İdari Tedbirler Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik tedbirler almaktadır. 12.2.1. Kişisel Verilerin Güvenli Ortamlarda Saklanması Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. 12.2.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, KVK Kanununun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir. 12.2.3. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir. 12.2.4. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır: a. Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda tüm personel ve çalışanlar bilgilendirilmekte ve eğitilmektedir. b. Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanunun aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detaylar prosedür ve talimatlarda belirlenmektedir. c. İş birimlerimiz bazlı belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Hizmet içi eğitimler yapılmaktadır. d. Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, şirket talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanlarına farkındalığı için farkındalık eğitimleri yapılmaktadır. 12.2.5. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm 24 hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. 12.3. Kişisel Verileri İmha Teknikleri Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun belirtilen tekniklerle imha edilir. 12.3.1. Kişisel Verilerin Silinmesi ve Kişisel Verilerin Yok Edilmesi Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır: a. Fiziksel Olarak Yok Etme (Physical Destruction): Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. b. Yazılımdan Güvenli Olarak Silme (Secure Deletion Software): Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır. c. Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion): Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir. 12.3.2. Kişisel Verilerin Anonim Hale Getirilmesi Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVK Kanununun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından kanunda düzenlenen haklar bu veriler için geçerli olmayacaktır. Anonimleştirme teknikleri; a. Maskeleme (Masking):Veri maskeleme ile Kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi. b. Toplulaştırma (Aggregation):Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle iilişkilendirilemeyecek hale getirilmektedir. Örnek: Müşterilerin yaşlarının tek tek göstermeksizin A yaşında B kadar müşteri bulunduğunun ortaya konulması. 25 c. Veri Türetme (Data Derivation): Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi. d. Veri Karma (Data Shuffling, Permutation): Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi. 13. SAKLAMA VE İMHA SÜRELER Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Tablo 8: Saklama ve İmha Süreleri Tablosu SAKLAMA VE İMHA SÜRELERİ TABLOSU Veri Kategorisi Veri Saklama Süresi 1. Kimlik Sözleşmenin sona erdiği tarihten itibaren 10 yıl 2. İletişim Sözleşmenin Sona Erdiği Tarihten İtibaren 10 Yıl 3. Özlük Sözleşmenin Sona Erdiği Tarihten İtibaren 10 Yıl 4. Hukuki İşlem Yargılama ve Diğer Hukuk Süreçlerinin Tamamlanmasından Sonra 10 Yıl 5. Müşteri İşlem 10 Yıl 6. Fiziksel Mekân Güvenliği 5 Gün 7. Finans Sözleşmenin Sona Erdiği Tarihten İtibaren 10 Yıl 8. Mesleki Deneyim İşten Ayrılmadan İtibaren 10 Yıl 9. Pazarlama Sözleşmenin Sona Erdiği Tarihten İtibaren 10 Yıl 10. Görsel ve İşitsel Kayıtlar İşten Sözleşmesinin Bitim Tarihinden İtibaren 10 Yıl 11. Felsefi İnanç, Din, Mezhep Ve Diğer İnançlar Sözleşmenin Sona Erdiği Tarihten İtibaren 10 Yıl 12. Sağlık Bilgileri Veri saklama amacı sona erene kadar + İşten Ayrılmadan İtibaren 10 Yıl 13. Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri İşten Ayrılmadan İtibaren 10 Yıl 26 14. PERİYODİK İMHA SÜRESİ Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, Kişisel verileri mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Şirketimiz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Şirketimiz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden altı ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir. Şirketimiz, ilgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde; a. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. b. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu kanun ve yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. c. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. 15. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI Politika, Şirket Müdürü tarafından onaylandıktan sonra kurumun web sayfasından yayınlanır. Eşzamanlı olarak internet ortamında tüm Bölüm/Birimlerle paylaşılır. Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın ıslak imzalı eski nüshaları Şirket Müdürü tarafından iptal edilerek (iptal kaşesi vurularak) imzalanır ve kurum arşivinde saklanır. 16. POLİTİKA’NIN GÜNCELLENME PERİYODU Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. 17. POLİTİKANIN YÜRÜRLÜĞÜ İşbu Politika onaylandığı tarih itibari ile yürürlüğe girer. Yürürlüğe giren politika; başta kanun olmak üzere ve yürürlükteki mevzuat ile bu politikada yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. 27 Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi, yasal düzenlemelere paralel olarak Politikada değişiklik yapma hakkını saklı tutar. Politikanın güncel haline (https://www.deripabuc.com) web sitesinden erişebilirsiniz. 18. YÜRÜTME İşbu Politika‟nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketinin yönetimi KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm Bölüm/Birimler Sorumluları sorumludur. 19. POLİTİKA ONAY SAYFASI Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi 6698 Sayılı Kişisel Verilerin Korunması Kanunu gereğince hazırlanan “Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası” tarafımızca incelenerek şirketin web sayfası ortamında yayınlanması uygun görülmüştür.
BAŞVURU FORMU (6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU GEREĞİNCE KİŞİSEL VERİ SAHİBİ TARAFINDAN VERİ SORUMLUSUNA YAPILACAK BAŞVURULARA İLİŞKİN)
GENEL AÇIKLAMALAR: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (Kanun) ilgili kişi olarak tanımlanan kişisel veri sahiplerine (Bundan sonra “veri sahibi” olarak anılacaktır), Kanun’un 11 inci maddesinde kişisel verilerinin işlenmesine ilişkin belirli haklar tanınmıştır. Kanunun 13 üncü maddesinin 1 inci fıkrası uyarınca; veri sorumlusu olan Şirketimiz Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi’ye bu haklara ilişkin olarak yapılacak başvuruların yazılı olarak veya Kişisel Verilerin Korunması Kurulu (Kurul) tarafından belirlenen diğer yöntemlerle tarafımıza iletilmesi gerekmektedir. Bu çerçevede “yazılı” olarak Şirketimize yapılacak başvuruların, işbu form ile, ☐ Başvuru Sahibi’nin şahsen başvurusu ile ☐ Noter vasıtası ile, ☐ Başvuru Sahibi’nce 5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik imza” ile imzalanarak Şirket kayıtlı elektronik posta adresine gönderilmek suretiyle tarafımıza iletilmesi gerekmektedir. Aşağıda, yazılı başvuruların ne şekilde tarafımıza ulaştırılacağına ilişkin yazılı başvuru kanalları özelinde bilgiler verilmektedir. Başvuru Yöntemi Başvurunun Yapılacağı Adres Başvuru Gönderiminde Belirtilecek Bilgi Şahsen Başvuru (Başvuru sahibinin bizzat gelerek kimliğini tevsik edici belge ile başvurması) Egemenlik Mahallesi 6106/20 Sokak No:3 Bornova / İZMİR Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” Sayfa 2 / 4 Noter Vasıtasıyla Tebligat Egemenlik Mahallesi 6106/20 Sokak No:3 Bornova / İZMİR Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. Güvenli Elektronik İmza Kullanılarak [email protected] E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır. Ayrıca, Kurul’un belirleyeceği diğer yöntemler duyurulduktan sonra bu yöntemler üzerinden de başvuruların ne şekilde alınacağı Şirketimizce duyurulacaktır. Tarafımıza iletilmiş olan başvurular KVK Kanunu’nun 13 üncü maddesinin 2 inci fıkrası gereğince, talebin niteliğine göre talebin bizlere yukarıda tariflenen yöntemlerden birisi ile tarafımıza ulaştığı tarihten itibaren otuz (30) gün içinde yanıtlandırılacaktır. Yanıtlarımız ilgili KVK Kanunu’nun 13 üncü maddesi hükmü gereğince yazılı veya elektronik ortamdan başvuru sahibine ulaştırılacaktır. A. Başvuru sahibinin tanınmasına ve başvurusu ile ilgili kendisiyle iletişim kurulmasına ilişkin bilgiler: Ad Soyad TC Kimlik Numarası: Telefon Numarası: E-posta: Adres: Lütfen Şirketimiz ile olan ilişkinizi belirtiniz: (Müşteri, İş Ortağı, Çalışan Adayı, Eski Çalışan, Üçüncü Taraf Firma Çalışanı, Hissedar gibi) ☐ Müşteri ☐ İş Ortağı ☐ Ziyaretçi ☐ Diğer : ...................................................................... Şirketimiz içerisinde iletişimde olduğunuz birim: ................................................................................ Konu: Sayfa 3 / 4 ☐ Eski çalışanım. ☐ İş Başvurusu / Özgeçmiş paylaşımı yaptım. Çalıştığım Yıllar :........................................ Tarih : .................................................................................... ☐ Üçüncü firma çalışanıyım. ☐ Diğer : ................................................... Lütfen çalıştığınız firma ve pozisyon bilgisini belirtiniz ................................................................... ....................................................................................... Lütfen KVK Kanunu kapsamındaki talebinizi aşağıdaki boşluğa detaylı olarak belirtiniz: C. Lütfen başvurunuza vereceğimiz yanıtın tarafınıza bildirilme yönetimini seçiniz: ☐ Adresime gönderilmesini istiyorum. ☐ E-posta adresime gönderilmesini istiyorum. (E-posta yönetmini seçmeniz halinde size daha hızlı yanıt verebileceğiz) ☐ Elden teslim almak istiyorum. (Vekâleten teslim alınması durumunda noter tasdikli vekâletname veya yetki belgesi olması gerekmektedir.) İşbu başvuru formu, Şirketimiz ile olan ilişkinizi tespit ederek, varsa, Şirketimiz tarafından işlenen kişisel verilerinizi eksiksiz olarak belirleyerek, ilgili başvurunuza doğru ve kanuni süresinde cevap verilebilmesi için tanzim edilmiştir. Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için Şirketimiz ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar. Form kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel Sayfa 4 / 4 olmaması ya da yetkisiz bir başvuru yapılması halinde Şirketimiz, söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı mesuliyet kabul etmemektedir.
Başvuruda Bulunan İlgili Kişi (Kişisel Veri Sahibi) Adı ve Soyadı : Başvuru Tarihi : İmza :
DERİPABUÇ DERİ MAMÜLLERİ VE AYAKKABI TİCARET SANAYİ LİMİTED ŞİRKETİ (GENEL) KİŞİSEL VERİLERİNİN KORUNMASI VE İŞLENMESİ AYDINLATMA METNİ (Aydınlatma Metni)
1. Genel Tanım Kanun kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veriyi kapsamaktadır. Kişisel verinin özel bir türü olan Özel Nitelikli Kişisel Veri, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirlerini ifade eder. Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. 2. Veri Sorumlusu Kişisel verileriniz veri sorumlusu sıfatıyla Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi(Şirket) tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca aşağıda açıklanan kapsamda işlenebilecektir. 3. Kişisel Verilerin Toplanması ve İşlenmesi Şirket; kişisel verileri, doğrudan veri sahiplerinin kendisinden temin edebildiği gibi dolaylı olarak 3.kişilerden ve veri sahibinin kendisinin alenileştirmiş olduğu veriler içerisinden de temin edebilmektedir. Bu kapsamda sözlü, fiziksel veya elektronik ortamdan veri toplanmaktadır ve bu kişisel veriler işlenmektedir. Kişisel verilerinizin neler olduğunu, nasıl toplandıklarını ve tarafımızca işlemeye konu olabilecek kişisel verilerin neler olduğuna aşağıdaki tabloya bakarak inceleyebilirsiniz. Sayfa 2 / 8 ÇALIŞAN ADAYLARININ Veri Kategorisi Verinin Nereden Elde Edildiği Kimlik Bilgisi Adı, soyadı, tüm kimlik bilgileri, T.C. Kimlik Numarası, milliyeti, medeni durumu, doğum yeri, doğum tarihi, kimlik fotokopisi, 1.Çalışan tarafından verilmektedir. 2.Mail aracılığıyla İletişim Bilgisi Telefon numarası, açık adresi, e-posta adresi, 1.Çalışan tarafından verilmektedir. 2.Mail aracılığıyla Finans Bilgisi Finansal ve maaş detayları 1.Şirket tarafından oluşturulmakta veya edinilmektedir. Özel Nitelikli Kişisel Veri Fiziksel ya da psikolojik hastalık-bozukluk, engellilik, bulaşıcı hastalık durumu, kimlik fotokopisi içerisinde yer alan din bilgisi-kan grubu hanesi 1.Çalışan tarafından verilmektedir. 2.Mail aracılığıyla Eğitim Bilgisi Öğrenim durumu, sertifika ve diplomalara ait detaylar, son mezun olduğu okul ve mezuniyet yılı, eğitim ve beceriler, özgeçmiş (CV) 1.Çalışan tarafından verilmektedir. 2.Mail aracılığıyla Görsel ve İşitsel Veri Vesikalık fotoğraf, kimlik fotokopisi içerisinde yer alan fotoğraf, kapalı devre güvenlik kamerası görüntüleri 1.Fotoğraf ve kimlik çalışan tarafından verilmektedir. 2.Güvenlik kamerası görüntüleri kapalı devre güvenlik kameraları aracılığıyla elde edilmektedir. Mevcut ve Önceki İş Bilgisi İş unvanı, CV, aday başvuru formları, son çalıştığı şirket 1.Çalışan tarafından verilmektedir. 2.Mail aracılığıyla Diğer Askerlik durumu, tecil belgesi, imza, sabıka kaydı, alkol/uyuşturucu problemi 1.Çalışan tarafından verilmektedir. 2.Mail aracılığıyla ÇALIŞANLARIN Veri Kategorisi Verinin Nereden Elde Edildiği Kimlik Bilgisi Adı, soyadı, tüm kimlik bilgileri, T.C. Kimlik Numarası, milliyeti, medeni durumu, doğum tarihi, kimlik fotokopisi 1.Çalışan tarafından verilmektedir. İletişim Bilgisi Telefon numarası, açık adresi, e-posta adresi, 1.Çalışan tarafından verilmektedir. Finans Bilgisi Finansal ve maaş detayları, prim listesi, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka bilgileri 1.Banka bilgileri çalışan tarafından verilmektedir. Özel Nitelikli Kişisel Veri Sağlık poliçeleri, engeli ile ilgili sağlık raporları, sağlık beyan belgesi, sağlık raporları, meslek hastalığı kayıtları, işe giriş muayene formu, günlük hasta şikayetleri, kullanmakta olduğu ilaçlar, klinik geçmişi, akciğer grafisi, işitme 1.Sağlık raporu, hamilelik durumu, meslek hastalığı kayıtları, günlük hasta şikâyetleri, kullanmakta olduğu ilaçlar, klinik geçmişi, sağlık testleri, kan grubu, sabıka kaydı, din bilgisi, çalışan tarafından verilmektedir. Sayfa 3 / 8 testi, göz muayenesi, kan grubu bilgisi, sabıka kaydı, nüfus cüzdanı içerisinde yer alan din bilgisi hanesi, 2.Sağlık poliçeleri sigorta şirketleri tarafından, işe giriş muayene formu iş yeri hekimi tarafından sağlanmaktadır. Eğitim Bilgisi Öğrenim durumu, sertifika ve diploma fotokopileri, eğitim ve beceriler, özgeçmiş (CV) 1.Çalışan tarafından verilmektedir. Görsel ve İşitsel Veri Fotoğraf ve kapalı devre güvenlik kamerası görüntüleri, 1.Fotoğraf çalışan tarafından verilmektedir. 2.Güvenlik kamerası görüntüler ilgili cihazlardan elde edilmektedir. Çalışan Performans ve Kariyer Gelişim Bilgisi Eğitim katılım formları, eğitim saatleri ve süreleri, (varsa) sınav sonuçları, iç terfi değerlendirme süreçleri (İngilizce, genel yetenek sınavları), etik uygunsuzluk raporları, personel terfi transfer hareketleri dosyası, puantaj ve performans raporları, toplantı kayıtları, işe giriş tarihi, haftalık çalışma saaatleri (login-logout kayıtları), profil ekranına çalışanlar tarafından özel olarak girilen diğer tüm bilgiler 1.Eğitime ilişkin veriler eğitim sağlayan kişilerden temin edilmektedir. Diğer bilgiler performans yönetimine ilişkin olup Şirket tarafından oluşturulmaktadır. Aile, Yakın Bilgisi Aile bildirim formları, vukuatlı nüfus kayıt örneği 1.Çalışan tarafından verilmektedir. Diğer Araç bilgileri, çalışanların kullandığı iş bilgisayarlarının IP adresleri ve web gezinti hareketleri, imza, hobileri, çıkış mülakat raporları, terhis belgesi, yıllık izin kullanım defteri, işten çıkış mülakat formları, SGK sicil numarası, vergi sicil numarası, vergi indirim yazısı, 1.Araç bilgileri, imza, hobileri, terhis belgesi sizin tarafınızdan sağlanmaktadır. 2.IP adresleri, web gezinti hareketleri bilgisayar ve yazılımlar üzerinden elde edilmektedir. Çıkış mülakat raporları ve formları, yıllık izin kullanım defteri Şirket tarafından oluşturulmaktadır. SGK sicil numarası ve vergi indirim yazısı ilgili kurumlardan elde edilmektedir. ZİYARETÇİLERİN Veri Kategorisi Verinin Nereden Elde Edildiği Görsel Veri Kapalı devre güvenlik kamerası görüntüleri 1.Kapalı devre güvenlik kameraları aracılığıyla elde edilmektedir. DIŞ HİZMET SAĞLAYICI/İŞ ORTAĞI ÇALIŞANLARIN Veri Kategorisi Verinin Nereden Elde Edildiği Kimlik Bilgisi Adı, soyadı, imza 1.Dış Hizmet Sağlayıcı/İş Ortağı Çalışanların kendisi tarafından verilmektedir. İletişim Bilgisi Adres bilgisi, telefon, adres, e-posta 1.Dış Hizmet Sağlayıcı/İş Ortağı Çalışanların kendisi tarafından verilmektedir. Görsel ve İşitsel Veri Kapılı devre güvenlik kamerası görüntüleri 1.Kapalı devre güvenlik kameraları aracılığıyla elde edilmektedir. Sayfa 4 / 8 MÜŞTERİ GERÇEK KİŞİ/TEMSİLCİLERİNİN Veri Kategorisi Verinin Nereden Elde Edildiği Kimlik Bilgisi Adı, soyadı, T.C. Kimlik Numarası 1.Müşterinin kendisi tarafından verilmektedir. İletişim Bilgisi Telefon, e-posta adresleri, adres bilgisi, iletişim adresi 1.Müşterinin kendisi tarafından verilmektedir. Müşteri İşlem Fatura, Sipariş bilgisi, Talep bilgisi vb. 1.Müşterinin kendisi tarafından verilmektedir. 2.Şirket tarafından tanzim edilebilmekte ve işlenebilmektedir. Finans Bilgisi Banka hesap bilgileri, IBAN vb. 1.Müşterinin kendisi tarafından verilmektedir. Görsel ve İşitsel Veri Kapalı devre güvenlik kamerası görüntüleri. 1.Kapalı devre güvenlik kameraları aracılığıyla elde edilmektedir. 2.Şirket tarafından tanzim edilebilmekte ve işlenebilmektedir. TEDARİKÇİ ÇALIŞANLARININ Veri Kategorisi Verinin Nereden Elde Edildiği Kimlik Bilgisi Adı, soyadı, nüfus cüzdanı veya T.C Kimlik Kartı fotokopisi, ehliyet fotokopisi 1.Tedarikçinin kendisi ya da temsilcisi tarafından verilmektedir. İletişim Bilgisi Açık adres, cep telefonu numarası 1.Tedarikçinin kendisi ya da temsilcisi tarafından verilmektedir. Özel Nitelikli Kişisel Veri Sabıka kaydı, nüfus cüzdanı içerisinde yer alan din bilgisi hanesi, ehliyet belgesi içerisinde yer alan kan grubu hanesi 1.Sabıka kaydı, nüfus cüzdanı veya T.C. Kimlik Kartı fotokopisi, ehliyet fotokopisi tedarikçinin kendisi ya da temsilcisi tarafından verilmektedir. Görsel Veri Kapalı devre güvenlik kamerası görüntüleri, nüfus cüzdanı veya T.C. Kimlik Kartı ve ehliyet içerisinde yer alan fotoğraf 1.Nüfus cüzdanı veya T.C. Kimlik Kartı fotokopisi, ehliyet fotokopisi, tedarikçinin kendisi veya temsilcisi tarafından verilmektedir. 2.Güvenlik kamerası görüntüleri kapalı devre güvenlik kameraları aracılığıyla elde edilmektedir. GERÇEK KİŞİ TEDARİKÇİ/ İŞ ORTAĞI/ DIŞ HİZMET SAĞLAYICI VE TÜZEL KİŞİ TEDARİKÇİ/ İŞ ORTAĞI/ DIŞ HİZMET SAĞLAYICININ GERÇEK KİŞİ TEMSİLCİSİ VERİLERİNİN Veri Kategorisi Verinin Nereden Elde Edildiği Kimlik Bilgisi Adı, soyadı, T.C. Kimlik Numarası, imza 1.Kendisi veya temsilcileri tarafından verilmektedir. İletişim Bilgisi Adres bilgisi, e-posta adresleri, telefon 1.Kendisi veya temsilcileri tarafından verilmektedir. Görsel Veri Kapalı devre güvenlik kamerası görüntüleri 1.Kapalı devre güvenlik kameraları aracılığıyla elde edilmektedir. Sayfa 5 / 8 Gerçek Kişi Tedarikçi- İş Ortağı- Dış Hizmet Sağlayıcı Finansal Bilgisi Vergi numaraları, banka hesap bilgileri 1.Siz veya temsilciniz tarafından verilmektedir. 2.Kendisi veya temsilcileri tarafından verilmektedir. 4. Kişisel Verilerinizin İşlenme Amaçları Toplanan kişisel verileriniz, Kanun’da öngörülen temel ilkelere uygun olarak ve Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları dahilinde; Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi tarafından veri sahiplerinin kişisel verilerinin yönetim süreçlerinde şirket'in ve şirketle iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik, ticari ve iş güvenliğinin temini ve faaliyetlerin ifası amacıyla, şirket faaliyetleri çerçevesinde işlenebilecektir. 5. Kişisel Verilerinizin Aktarıldığı Taraflar ve Aktarım Amaçları Toplanan kişisel verileriniz, ilgili tüm mevzuatlardaki hükümler ve 6698 sayılı Kanun’da öngörülen temel ilkelere uygun olarak, Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri aktarma şartları dahilinde Şirketimiz tarafından yukarıda sayılan amaçlar kapsamında hissedarlarımıza, iş ortaklarımıza, tedarikçilerimize, kanunen yetkili kamu ve özel kurum ve kuruluşlarına aktarılabilecektir. 6. Kişisel Verilerinizin Toplanma Yöntemi ve Hukuki Sebebi Kişisel verileriniz Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi tarafından e-posta, mobil uygulama, internet sitesi, açık internet kaynakları, sosyal medya, telefon, SMS ve çağrı merkezi kanallarıyla elektronik ortamda ve elden teslim veya posta kanallarıyla fiziki ortamda toplanabilecektir. Ayrıca, kişisel verileriniz Kanun’un 5. ve 6. maddelerinde belirtilen sözleşmenin kurulması ve/veya ifası, bir hakkın tesisi, kullanılması ve/veya korunması, hukuki yükümlülüğün yerine getirilmesi ve meşru menfaat hukuki sebeplerine ve sağlamanız halinde açık rızanıza dayalı olarak toplanacaktır. Kişisel verilerinizin, KVK Kanunu m. 7/1’e göre işlenmesini gerektiren amaç ortadan kalktığında ve/veya mevzuat uyarınca verilerinizi işlememiz için zorunlu kılındığımız zamanaşımı/saklama süreleri dolduğunda, Kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir. 7. Kişisel Veri Sahibi Olarak Kanun’un 11. Maddesinde Sayılan Haklarınız Kanun’un 11. maddesi uyarınca, Açık Rıza beyanınız bulunsun ya da bulunmasın; Şirketimize başvurarak, kişisel verilerinize ilişkin aşağıda yer alan hususlarda mevcut haklarınızı (Başta KVK Kanunu 5-6. maddeleri ve ilgili düzenlemeleri yanında sair yasal mevzuat dairesinde Veri işlenmesi hususundaki düzenleme ve haklar dairesinde) kullanabilirsiniz. Sayfa 6 / 8 Bu kapsamda kişisel veri sahipleri olarak; • Kişisel veri işlenip işlenmediğini öğrenme, • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. İlgili kanun ve muhtelif mevzuat dahilinde öngörülen yasal haklarınız uyarınca, taleplerinizi dilekçe ile aşağıda yer verilen adresimize bizzat elden iletebilir, noter kanalıyla ulaştırabilirsiniz. Bunun yanında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. maddesi uyarıca kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Şirketimize daha önce bildirdiğiniz ve sistemlerimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle [email protected] adresine iletebilirsiniz. 8. KVK Kanunu uyarınca Kişisel Verilerin Açık Rıza Olmaksızın İşleyebileceği Haller 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesi uyarınca, aşağıdaki hallerde açık rızanız aranmaksızın Kişisel verileriniz işlenebilir. Şöyle ki; a) Kanunlarda açıkça öngörülen hallerde, b) Fiili imkânsızlık nedeniyle veri sahibi olarak rızanızı açıklayamayacak durumda olmanız veya rızanıza hukuki geçerlilik tanınmayan hallerde kendinizin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verinizin işlenmesinin zorunlu olması, Sayfa 7 / 8 c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerinizin işlenmesinin gerekli olması, d) Bir hukuki yükümlülüğün yerine getirilebilmesi için zorunlu olması, e) Kişisel verilerinizin tarafınızca alenileştirilmiş olması, f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, g) Sahip olduğunuz temel hak ve özgürlüklerinize zarar vermemek kaydıyla, Deripabuç Deri Mamülleri ve Ayakkabı Ticaret Sanayi Limited Şirketi tarafından meşru menfaatleri için veri işlenmesinin zorunlu olması. h) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. 9. MUHAFAZA SÜRELERİ Kişisel verilerinizin saklama süresi aşağıdaki şekildedir; Kanunda veya ilgili mevzuatta verinin saklanması için bir süre belirlenmişse, söz konusu veri en az bu süre kadar saklanmak zorundadır. Olası bir mahkeme talebinin veya kanunla yetkili kılınmış bir idari merciinin ilgili veriye ilişkin talebinin tarafımıza geç ulaşması veya tarafı olabileceğimiz bir ihtilafın meydana gelmesi gibi ihtimaller gözetilerek, verilerinizin saklanması için mevzuatta öngörülen sürelere 6 ay ila 1 yıl arası bir süre eklenerek verilerin saklama süresi belirlenmekte ve belirlenen sürenin sonunda söz konusu veriler silinmekte, yok edilmekte veya anonimleştirilmektedir. Mevzuatta, işlediğimiz verinin saklanma süresine yönelik bir süre öngörülmemiş ise aramızdaki ilişkinin gereği olarak olması gereken süre kadar saklanır. Bahsi geçen ilişkinin bitiminden sonra veya sözleşmede belirlenen süre geçtikten sonra verileriniz herhangi bir talebinize gerek olmadan silinir, yok edilir veya anonimleştirilir. Saklama süresi mevzuatta belirlenmiş verilerinizin öngörülen sürelerden önce silinmesini veya imha edilmesini talep etmeniz halinde söz konusu talebiniz gerçekleştirilemeyecektir. Kişisel verilerin saklanma süresine ilişkin mevzuatta belirli bir sürenin öngörülmediği durumlarda, kişisel verilerinizin Sayfa 8 / 8 silinmesine veya yok edilmesine dair talepte bulunmanız halinde verileriniz ilk periyodik imha tarihinde ve en geç 6 ay içerisinde silinir, yok edilir veya anonimleştirilir. Yukarıda sıralanan haklarınıza yönelik taleplerinizi, https://www.deripabuc.com url adresinden ulaşabileceğiniz KİŞİSEL VERİLERİN KORUNMASI HAKKINDA BAŞVURU FORMU’ nu kullanarak veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de yer alan asgari şartları içerir talep dilekçenizi yazılı ve ıslak imzalı olarak şirket merkezinin bulunduğu Egemenlik Mahallesi 6106/20 Sokak No:3 Bornova / İZMİR adresine bizzat elden iletebilir, noter kanalıyla gönderebilir, bunun yanında, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in 5. maddesi uyarıca kayıtlı elektronik posta (KEP) adresi ([email protected]), güvenli elektronik imza, mobil imza ya da şirketimiz sistemlerinde e-mail adresinizin kayıtlı olması durumunda [email protected] e-mail adresi üzerinden Şirketimize iletebilirsiniz. Talebinizin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.