OCZ Dış Ticaret A.Ş. KVKK Politikası
1-GİRİŞ
Kişisel Verilerin korunmasında temel mevzuat olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KANUN”) ilgili maddeleri ve Türkiye Cumhuriyeti Anayasası’nın 20. maddesinin 3. Fıkrası uyarınca koruma altına alınan Kişisel Verilerin Korunması hakkı temel bir insan hakkı olarak OCZ Dış Ticaret A.Ş. (“ŞİRKET”) tarafından titizlikle korunmakta ve veri işleme faaliyeti ile ilgili kanunda ve tüm mevzuatta yer alan sınırlamalar çerçevesinde hassasiyetle gerçekleştirilmektedir.
Kanun’un 4. Madde hükmünde yer alan temel ilkeler Şirket tarafından veri işleme faaliyetleri kapsamında titizlikle takip edilmektedir.
2-POLİTİKANIN AMACI
İşbu Kişisel Verileri Koruma Politikası’nın (“POLİTİKA”) amacı, Şirket tarafından tüm veri işleme faaliyetlerinin şeffaf ve hukuka uygun bir şekilde gerçekleştirilmesi ve kişisel veri sahiplerinin Şirket tarafından gerçekleştirilen işbu veri işleme sürecinin tamamından ve sonrasında mevzuatta yazılı hakları kapsamında talep ettikleri tüm bilgilere erişebilmesinin sağlanmasıdır.
Bu politikanın hazırlanış amacı doğrultusunda Şirket içinde yer alan organizasyonel birimlerin hangi verileri, ne amaçla topladıkları, bu verilerin yurtiçinde ve yurtdışına aktarılıp aktarılmadığı ayrıca veri işleme sırasında kullanılan yöntemin tespit edilmesi sağlanmaktadır.
3-POLİTİKANIN KAPSAMI
İşbu Politika, Şirket faaliyetleri sebebiyle doğrudan veya dolaylı olarak verileri işlenen çalışanlar, kurum yöneticileri, iş yeri ziyaretçileri, internet sitesi ziyaretçileri, müşteriler ve üçüncü kişilere ait her türlü kişisel verilerin, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerini kapsamaktadır.
4-TANIMLAR
Aşağıda açıklamalarına yer verilen tanımlar, 6698 Sayılı Kanun ile yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelikten alınmıştır.
5-ŞİRKET İÇİ KVKK KOMİSYONU
İşbu Politika doğrultusunda Şirketin veri güvenliğinin sağlanması, Kanun ve ikincil mevzuata uyumun sürekliliğini garanti edebilmesi, verilerin hukuka aykırı şekilde işlenmesinin önüne geçilmesi adına kendi bünyesinde mevcut olan her departmandan (İK, Satış Pazarlama, Dış Ticaret, Muhasebe ve Finans) görevlendirdiği en az bir kişiden oluşan “Kişisel Verileri Koruma Komisyonu” (“Komisyon”) kurulmuş ve İrtibat Kişisi görevlendirilmiştir. Şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetleri kapsamında İlayda ARIK irtibat kişisi olarak belirlenmiştir.
KVKK Komisyonu, kişisel veri işleme envanteri hazırlanması, sözleşmelerin hazırlanması, şirket içi periyodik ve/veya rastgele denetimlerin yapılması, ilgili kişilerin bilgilendirilmesi, şirket çalışanlarının veri güvenliğinin sağlanması konusunda eğitilmesi, gerektiği takdirde Politika’nın güncellenmesi, yeni düzenlemelerin takip edilmesi, çalışanlara gerekli KVKK farkındalık eğitimlerinin sağlanması, Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) gerekli bildirimlerin yapılmasının sağlanması ile Bilgi İşlem Müdürlüğü tarafından alınması gerekli olduğu yazılı olarak bildirilen idari ve teknik tedbirlerin alınması ve uygulanması konularından sorumludur. Komisyon anılan yükümlülüklerin yerine getirilmesi için yapılması gereken iş ve işlemleri Yönetim Kurulu’nun yetkili olması halinde Yönetim Kurulu’na, Genel Müdürün yetkili olması halinde durum Genel Müdür’e yazılı olarak bildirir. Bu durumlarda, Şirket’in mali ve teknik imkânları dâhilinde Komisyonun talepleri uyarınca işlem yapılır.
6-İRTİBAT KİŞİSİ GÖREV, YETKİ VE SORUMLULUKLARI
İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. İrtibat Kişisi Şirket adına VERBİS kayıt işlemlerini gerçekleştirmekle ve Kurul ile ilişkileri yürütmekle sorumludur.
İrtibat Kişisi ilgili kişinin yasal taleplerini ilgili departmanlarda yer alan KVKK Komisyonu ile değerlendirmek ve Şirket adına gerekli işlemleri yürütmekle yükümlüdür. İrtibat Kişisi Şirket’in Kişisel Veri İşleme, İmha ve Yok Etme politikalarının hazırlanması ile kişisel veri envanterinin oluşturulması süreçlerini takip eder.
İrtibat Kişisi kişisel verilerin korunması ile ilgili idari ve teknik tedbirlerinin alınması konusunda KVKK Komisyonu üyeleri ve ilgili diğer birimler ile işbirliği yapar.
7-KİŞİSEL VERİLERİN İŞLENMESİ HUSUSUNDA GENEL İLKELER
Şirket tarafından kişisel veriler, Kanunda öngörülen usul ve esaslara uygun şekilde işlenmekte olup, aşağıda yer alan ve Kanunun 4. Madde hükmünde belirtilen ilkelere uyulmaktadır.
8-KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel Verileri Şirket tarafından ilgili kişinin açık rızası olmadıkça işlenemez. Kanunun 5. ve 6. Madde hükümlerinde açık rızanın aranmayacağı haller düzenlenmiş olup, bu hallerde faaliyet konusu amaçla sınırlı olmak üzere kişisel veriler açık rıza aranmaksızın işlenebilir. Bu haller şu şekildedir:
9-ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Özel nitelikli kişisel veriler, kanunda örnekleme yoluyla; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler” olarak sayılmış olup, özel nitelikli kişisel veriler ancak ilgilinin açık rızası ile işlenebilir.
Özel nitelikli kişisel verilerin ilgili kişinin açık rızası aranmaksızın işlenebileceği haller ise Kanun’un 6. Maddesinde düzenlenmiştir. Bu madde uyarınca; sağlık ve cinsel hayat dışındaki kişisel veriler ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Sağlık ile ilgili kişisel veriler ancak amacına uygun olarak iş yeri hekimi, iş yeri hekiminin bulunmaması halinde bu konu ile ilgili olarak görevlendirilmiş İK yetkilisi ve ilgili komisyon yetkilisi ya da şefi tarafından işlenebilir.
10-KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
Kişisel veriler, Şirketin faaliyet alanı ile bağlantılı olarak, işbu protokolde yer verilen amaçların gerçekleşmesi için, Şirket’e gerek fiziksel yollarla gerekse Şirket’e ait web sitesi üzerinden Şirket’e iletilen özgeçmiş, başvuru formları, iş sözleşmeleri, ticari sözleşmeler ile internet üzerinden doldurulan kayıt/başvuru formları, alındı ve harcama belgeleri, bilgi sistemleri ve elektronik cihazlar, görüntü ve ses kayıt cihazları, güvenlik kamera kayıtları vb. vasıtasıyla her türlü sözlü, yazılı ve görsel kanallar aracılığı ile toplanmaktadır. Yazılı şekilde Şirket tarafından toplanan kişisel veriler, verinin elde edilme şekli veya içeriğine göre fiziksel ve/veya dijital ortamda saklanmaktadır.
11-KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ
Şirket, Kanun ve ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, verinin işlenmesini gerektiren hukuki sebeplerin ortadan kalkması hâlinde kişisel verileri re’sen veya ilgili kişinin talebi üzerine silme, yok etme ve anonim hale getirmeye ilişkin olarak hazırlanan imha politikasına uygun şekilde siler, yok eder veya anonim hâle getirir. Bu noktada belirtmek isteriz ki, KVKK dahil olmak üzere ilgili hiçbir kanunda belli bir kişisel verinin silinmesi için koyulmuş bulunan belli bir süre kuralı bulunmamakta olup; sürenin tespiti dava/ceza zaman aşımı, hak düşürücü süre, sözleşme ve sözleşmeden doğan hakların sona ermesi, Yargıtay içtihatları ve tıbbi mütalaalarla belirlenen meslek hastalığı ortaya çıkabilme süreleri gibi durumlar dikkate alınarak her bir somut olay bakımından tek tek tespit edilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve imhasına ilişkin süreçlerden ilgili departman yetkilisi sorumludur.
12-KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI
Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılmaz. Kişisel veriler KVKK’ nın 5. maddenin ikinci fıkrasında sayılan koşullar altında, özel nitelikli kişisel veriler ise KVKK’nın 6. maddesinin üçüncü fıkrasında yer alan hallerde ve ancak yeterli önlemler alınmak kaydıyla, ilgili kişinin açık rızası aranmaksızın aktarılabilir. Buna göre kişisel veriler aşağıdaki tabloda belirtilen kişi ve kurumlara, belirtilen amaçlarla sınırlı olarak aktarılmaktadır.
13-KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
Kişisel veriler, KVKK’nın 5. maddesinin ikinci fıkrasındaki koşulları sağlamak kaydıyla;
14-AYDINLATMA YÜKÜMLÜLÜĞÜ
Kişisel verilerin elde edilmesi sırasında Şirket tarafından yetkilendirilen kişi/kişiler, ilgili kişilere aşağıdaki hususlar hakkında bilgi verme yükümlülüğünü kabul eder ve bu yükümlülüğünü yerine getirir. Kişisel verilerin elde edilmesi sırasında Şirket tarafından yetkilendirilen kişi/kişiler, ilgili kişilere;
Bu bilgilendirme internet sitesi ziyaretçi aydınlatma metni, güvenlik kamerası aydınlatma metni, çalışan aydınlatma metni, çalışan açık rıza metni, çalışan adayı aydınlatma metni, çalışan adayı açık rıza metni ve şirket merkezi içinde yapılan katmanlı aydınlatma ve sair yöntemlerle yerine getirilmektedir.
15-İLGİLİ KİŞİNİN HAKLARI
İlgili kişiler Şirket’e başvuruda bulunarak kendisiyle ilgili;
İlgili kişiye, kanundan doğan ve işbu politikada sayılan hakları ile ilgili olarak Şirket internet sitesinde yer alan iletişim kanalları aracılığıyla Şirkete müracaat etme imkânı sunulur. Kanun’un 13. Madde hükmünde yer alan usule uygun başvuruya ilişkin olarak şirket tarafından en geç 30 gün içerisinde cevap verilir. İlgili kişi başvuruları ile ilgili süreçlerin takibinden ve yönetilmesinden İrtibat Kişisi sorumludur.
Şirket tarafından başvuru doğrultusunda gerekli cevap ücretsiz olarak sağlanacaktır. İşlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücretlerin ilgili kişiden istenmesi mümkündür.
16-VERİ GÜVENLİĞİNİN SAĞLANMASI
Şirket, kişisel verilerin hukuka aykırı şekilde işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri aldığını verisi işlenen tüm kişilere karşı taahhüt etmektedir.
Kişisel verilerin Şirket adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda Şirket müştereken sorumlu olacağından, bu kişilere gerekli bilgilendirmeler ve uyarılar Şirket tarafından yapılır, taraflar aralarında sorumluluğa ilişkin yazılı taahhütname imzalar ve bu husus sözleşmeye eklenir.
Veri güvenliğinin sağlanmasında KVKK Komisyonu üyeleri gerekli çalışmaları yapmakla yükümlüdür. Şirket üst düzey yöneticileri bu konuda gerekli her türlü denetimi yaptırmak ve gerekli idari ve teknik tedbirlerin alınmasını sağlamak zorundadır.
⦁ Anılan idari ve teknik tedbirlerden bazıları şunlardır:
⦁ Mevcut risk ve tehditlerin belirlenmesi,
⦁ Çalışanların eğitilmesi ve farkındalık çalışmaları,
⦁ Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, envanter oluşturulması,
⦁ Kişisel verilerin minimizasyonu çalışmaları
⦁ Veri işleyenler ile ilişkilerin yönetimi
⦁ Siber Güvenliğin Sağlanması
⦁ Sızıntı testlerinin yapılması
⦁ Kişisel Veri Güvenliğinin Takibi
⦁ Kişisel Veri İçeren Ortamların Fiziksel ve Dijital Güvenliğinin Sağlanması
⦁ Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
Kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi ve veri güvenliğinin tehlikeye düşürülmesi halinde, ilgili mevzuat hükümleri ve Politika uyarınca Şirket, veri sahiplerine, Kurul’a ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunmakla yükümlüdür.
17-GİZLİLİK
Şirket çalışanları ve yöneticileri öğrendikleri kişisel verileri KVKK ve ilgili mevzuat ile bu politika hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
18-BİLDİRİM
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin tespiti hâlinde, konudan haberdar edilen İrtibat Kişisi durumu en kısa sürede ilgilisine ve üst yönetime bildirir. Yaşanan ihlal İrtibat Kişisi tarafından aynı zamanda Kurul’a da bildirilir.
19-YÜRÜRLÜK
Şirket tarafından düzenlenen bu Politika …../../…. tarihinde yürürlüğe girmiş ve şirket internet sitesinde kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Şirket, yasal düzenlemeler ve kurul kararlarına paralel olarak Politika’da her zaman değişiklik yapma hakkını saklı tutar. Politika’nın güncel hali bu Politikaya erişim sağladığınız internet adresinde yayınlanır ve ilgili kişi ile ayrıca talebi üzerine paylaşılabilir.
Son Güncelleme Tarihi: