Hanne Gıda Tekstil Dış Tic. Ltd Şti
GENEL KİŞİSEL VERİLERİ KORUMA POLİTİKASI
GİRİŞ
Hanne Gıda Tekstil Dış Tic. Ltd Şti (“Şirket”) kişisel verilerin korunması ve işlenmesinde başta Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaya azami önem atfetmektedir. Bu çerçevede, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” ya da “KVK Kanunu”) uyarınca kişisel verilerin hukuka uygun olarak korunması ve işlenmesine özen göstermekte, tüm planlama ve faaliyetlerinde bu özenle hareket etmektedir.
Şirketimiz, kişisel verilerin korunması ve işlenmesini sadece mevzuata uyum sağlama kapsamında değerlendirmemekte, yaklaşımının temeline insana verdiği değeri koymaktadır.
Bu politika ile kişisel verilerin işlenmesi ve korunması konusunda şirket tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır.
AMAÇ
Kişisel verilerin işlenmesi ve korunması konusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’na, Kişisel Verileri Koruma Kurulu kararlarına ve ikincil mevzuata uyum sağlanması için şirket kapsamında faaliyetlerin yasal düzenlemelere uyumlu şekilde yürütülmesi, kişisel verileri işlenen kişilerin şeffaf ve doğru şekilde bilgilendirilmesi amaçlanmaktadır.
KAPSAM
İşbu politika, şirketin işlemekte olduğu kişisel verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.
TANIMLAR
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
Alenileştirme | “Herkes tarafından bilinir kılma” anlamında olan alenileştirme kavramı, 6698 sayılı Kanun’un 5. maddesinde, kişisel verilerin işlenebilmesi için gerekli olan “kişisel verisi işlenen gerçek kişinin açık rızasının alınması gerekliliği”nin istisnalarından biri olarak sayılmıştır. |
Anonim hale getirme | Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
Aydınlatma Yükümlülüğü | Veri sorumlusunun, kişisel verilerini işlediği kişilere, bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vermesi yükümlülüğüdür. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. |
Kişisel Verilerin İşlenmesi | Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veiri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
KVK Kurulu/Kurul | Kişisel Verilerin Korunması Kurulu’dur. |
Kurum | Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumudur. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişilerdir. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Otomatik Olarak Veri İşleme | Bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir. |
Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. |
Sicil | Veri Sorumluları Sicili’dir. |
Şirket / Şirketimiz | Hanne Gıda Tekstil Dış Tic. Ltd Şti |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Veri işleyen gerçek veya tüzel kişidir. |
Veri Kayıt Sistemi | Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
Veri Sorumlusu | Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
Veri Kategorisi | Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına at kişisel veri sınıfıdır. |
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
Hukuka ve Dürüstlük Kurallarına Uygun Olma | Şirketimiz kişisel verileri ilgili mevzuata ve dürüstlük kuralının gereklerine uygun olarak işler ve bu sınırlar içerisinde kullanır. İlgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket eder. İlke uyarınca söz konusu veri işleme faaliyetinin şeffaf olmasını sağlar; bilgilendirme ve uyarı yükümlülüklerine uygun hareket eder. |
Doğru ve Gerektiğinde Güncel Olma | Şirketimiz kişisel veri sahiplerinin temel haklarını ve meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlar. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususları özenle dikkate alır. Şirketimiz aktif özen yükümlülüğü uyarınca her zaman kişisel veri sahibinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutar. |
Belirli, Açık ve Meşru Amaçlar İçin İşlenme | Şirketimiz veri işleme amacını açık ve kesin olarak belirler ve bu amacın meşru olmasını sağlar. Amacın meşru olması Şirketimizin işlediği kişisel verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir. Şirketimiz belirttiği bu amaçlar dışında başka amaçlarla veri işleme yapmaz. Bu itibarla, kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde belirlilik ve açıklık ilkesine uyumda hassasiyet gösterir. |
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma | Şirketimiz işlenen kişisel verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını sağlar ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınır. Şirketimiz mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplamaz veya işlemez. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlemek için, işlemeye ilk kez başlıyor gibi, Kanun’da düzenlenmiş olan kişisel verilerin işlenme şartlarını gerçekleştirir. Ayrıca işlenen veriyi sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Ölçülülük ilkesi kapsamında, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurar. |
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme | Şirketimiz ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda kişisel verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Şirketimiz tarafından bir kişisel verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda söz konusu veri silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin saklanması ve imhasına ilişkin prosedürler Şirketimizin Kişisel Veri Saklama ve İmha Politikası’nda ayrıntılı olarak düzenlenmektedir. |
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veriler şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.
Kişisel verileri işleme faaliyetinin hukuka uygun gerçekleştirilebilmesi için işleme faaliyeti şu üç unsuru her halde sağlar: Genel ilkelere uygun olma, veri işleme şartlarından birine dayanma, ilgili kişiyi aydınlatma.
Kişisel veriler ilgili kişiyi aydınlatma yükümlülüğü yerine getirildikten sonra ilgili kişinin açık rızası alınarak işlenebilir. Açık rıza KVK Kanunu düzenlemelerine uygun olarak alınır. KVK Kanunu kapsamında açık rıza alınmaksızın kişisel veri işlenmesinin öngörüldüğü durumlarda ilgili kişinin açık rızası alınmaksızın kişisel verileri işlenir. Açık rıza alınmaksızın kişisel veriler şu hallerde işlenebilir (m.5/2):
Kanunlarda Açıkça Öngörülmesi | Şirketimiz kanunların açıkça öngördüğü hallerde kişisel verileri ilgili kişinin açık rızasını almadan işlemektedir. |
Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin ya da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması için Zorunlu Olması | Şirketimiz rızanın açıklanamadığı ya da geçerli olmadığı hallerde kişilerin hayat veya beden bütünlüğünün korunması için kişisel verileri açık rıza almadan işlemektedir. |
Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması | Şirketimiz bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olarak sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda, hayatın olağan akışı gereği, bu amaçla sınırlı olmak üzere ilgili kişinin kişisel verilerini açık rıza almadan işlemektedir. |
Şirketimizin Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması | Şirketimiz veri sorumlusu olarak hukuki yükümlülüklerini yerine getirebilmek için zorunlu olduğu hallerde ilgili kişinin kişisel verilerini açık rıza almadan işlemektedir. |
İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması | Şirketimiz; ilgili kişilerin kendileri tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verilerini alenileştirme amacıyla sınırlı olarak işleyebilir. |
Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması | Şirketimiz hukuken meşru bir hakkın kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde ilgili kişilerin kişisel verilerini açık rıza almadan işlemektedir. |
Kişisel Veri Sahiplerinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Şirketimiz Tarafından Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması | Şirketimiz ilgili kişilerin temel hak ve özgürlerine zarar vermemek kaydıyla meşru menfaatlerinin temini için kişisel verilerin işlenmesinin zorunlu olduğu durumlarda ilgili kişilerin kişisel verilerini işleyebilir. |
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenen önlemler alınır.
ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda, varsa Şirket temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahiplerinin sahip olduğu hakları açıklığa kavuşturmaktadır.
AÇIK RIZA ALINMASI
Şirketimiz, m.5/2’de sayılan işleme şartlarından birine dayanmadığı hallerde ilgili kişinin açık rızasını alarak kişisel veri işleme faaliyetinde bulunmaktadır. M.5/2’de yer alan şartlardan biri varken ilgili kişiden asla açık rıza almamakta ve böylece ilgili kişiyi yanıltmaktan kaçınmaktadır.
Kişisel veriler açık rıza şartına dayanılarak da işlense şirket aydınlatma yükümlülüğünü her halde yerine getirir; açık rıza alınması ve aydınlatma yapılması süreçlerini birbirinden ayrı süreçler olarak yürütür.
Açık rıza yazılı/basılı veya elektronik ortamda bulunan açık rıza metinleri aracılığıyla alınır.
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz Kanun uyarınca kişisel verileri güvenli bir şekilde saklamak, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri alır. Söz konusu idari ve teknik tedbirler Şirketimizin Kişisel Veri Saklama ve İmha Politikası’nda ayrıntılı olarak düzenlenmektedir.
Şirketimiz Kanun ve sair mevzuatta yer alan düzenlemelere uygun hareket edilmesini teminen “Kişisel Verilerin Korunması Kanunu”na uyum faaliyetlerini düzenli olarak yürütmektedir.
Şirketimiz ilgili veri sorumluları ve veri işleyenlerin, sahip oldukları kişisel verileri Kanun ve Politika hükümlerine aykırı olarak başkasına açıklamamaları ve işleme amacı dışında kullanmamaları için teknolojik imkan ve uygulama maliyetlerine göre gerekli tüm idari ve teknik tedbirleri alır. Bu bağlamda Kanun ve Politika hakkında bilgilendirme ve eğitim çalışmaları yürütülür, ilgili çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik sözleşmeleri imzalatılır, diğer veri sorumlusu ve veri işleyenlere gizlilik ve taahhüt sözleşmeleri imzalatılır.
Şirketimiz tarafından işlenen kişisel verilerin kanuna uygun olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumun KVK Kurulunca belirlenen süreler dahilinde ilgili kişiye ve KVK Kuruluna bildirilmesi için gerekli işlemleri yürütür. KVK Kurulu tarafından gerek görülmesi halinde bu durum KVK Kurulunun internet sitesinde ya da KVK Kurulu tarafından uygun görülecek başka bir yöntemle ilan edilir.
Şirketimiz ilgili kişilerin Politika ve Kanun’un uygulanması ile ilgili tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Şirketimiz özel nitelikli kişisel verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikte veriler olmalarının farkında olup bu sebeple hukuka uygun olarak işlenen bu tür kişisel verilerin korunması için Kurul tarafından belirlenen yeterli önlemleri hassasiyetle alır.
İLGİLİ KİŞİNİN HAKLARININ GÖZETİLMESİ VE TALEPLERİNİN DEĞERLENDİRİLMESİ
Şirketimiz, kişisel verilerini elinde bulundurduğu ilgili kişinin aşağıda belirtilen kendisiyle ilgili taleplerine KVKK düzenlemelerine uygun şekilde cevap verir:
Şirket tarafından kişisel veri işlenip işlenmediğini öğrenme,
İşlenmişse buna ilişkin bilgi talep etme,
İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verinin eksik ya da yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme,
Şirket tarafından düzeltme ve imha işlemleri yapılmışsa kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kişisel verilerin işlenme sebepleri ortadan kalktığında şirket tarafından kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi nedeniyle ilgili kişinin zarara uğraması halinde zararın giderilmesini talep etme.