TALEP
FORMU
KAPAT
%100 Türk sermayesi ile 1990 yılından bu yana madeni yağ ve gres üretimi konusunda faaliyet göstermekte olan Viscol Petro Kimya Sanayi ve Ticaret A.Ş., sektörde uzun yıllar çalıșarak deneyim kazanmıș eğitimli ve uzman kadrosu ile sanayinin ihtiyaç duyabileceği her türlü madeni yağ ve gresi en son performans kriterlerine göre üretebilmektedir.
Madeni yağ sektöründe Ar-Ge, üretim, satış ve mühendislik faaliyetlerini entegre ederek sürekli gelişiyoruz.
TÜM ÜRÜNLERVİSCOL PETROKİMYA SANAYİ VE TİCARET A.Ş.
GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI İLE İŞLENMESİ POLİTİKASI
1. GİRİŞ
1.1. Genel Olarak
Kişisel verilerin gizliliğinin, güvenliğinin sağlanması ve ilgili hukuki düzenlemelere uyum, VİSCOL PETROKİMYA SANAYİ VE TİCARET A.Ş.’nin (‘‘Şirket”) en önemli öncelikleri arasında yer almakta olup, bu konuda azami özen gösterilmektedir.
Bu kapsamda kişisel verilerin işlenmesine ve korunmasına dair işbu Gizlilik ve Kişisel Verilerin Korunması ile İşlenmesi Politikası (‘‘Politika’’) ve Şirket bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen amaç; çalışanlarımızın, müşterilerimizin, çalışan adaylarımızın, ziyaretçilerimizin, misafirlerimizin ve kişisel verisi işlenen diğer üçüncü kişilerin (‘‘İlgili Kişiler’’) kişisel verilerinin hukuka uygun biçimde işlenmesi, saklanması ve korunması ile Şirketimizin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (‘‘KVKK’’) uyumluluğunun sağlanmasıdır.
Politika hazırlanırken, Türkiye Cumhuriyeti Anayasası ve KVKK’da yer alan düzenlemeler başta olmak üzere gizliliğe, kişisel verilerin korunmasına ve işlenmesine ilişkin ilgili hukuki normlarda ve Kişisel Verileri Koruma Kurulu kararlarında yer alan hükümleri Şirketimize rehber olarak görülmüştür.
Politika’da kişisel verilerin işlenmesi süreçleri için Şirketimizin benimsediği ve aşağıda yer alan temel prensiplere ilişkin açıklamalarda ve talimatlarda bulunulacaktır:
• Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
• Kişisel verilerin doğru ve gerektiğinde güncel tutulması,
• Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi,
• Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
• Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi,
• İlgili kişilerin aydınlatılması,
• İlgili kişilerin haklarını kullanması için gerekli süreçlerin oluşturulması,
• Kişisel verilerin işlenmesinde ve muhafazasında gerekli tedbirlerin alınması,
• Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılması,
• Özel nitelikli kişisel verilerin işlenmesinde ve korunmasında gerekli hassasiyetin gösterilmesi,
• İşleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
1.2. Politikanın Amacı ve Kapsamı
Politika’nın temel amacı, Şirket’in yürüteceği kişisel veri işleme faaliyetlerinde KVKK’ya tam uyumluluğun sağlanmasıdır.
Buna ilaveten, hazırlanan Politika ve diğer yazılı politikalar, KVKK ve kişisel veri güvenliğine ilişkin diğer ilgili yasal düzenlemelere uyum ilkemizi sürdürülebilir kılmayı amaç edinmektedir.
Politika’nın kapsamı otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.
1.3. Politikanın ve İlgili Mevzuatın Uygulanması
Politika, ilgili mevzuat tarafından ortaya konulan esaslar dahilinde somutlaştırılarak düzenlenmiştir. Yürürlükte bulunan mevzuat ile Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuat uygulama alanı bulacaktır.
1.4. Politikanın Yürürlüğü
Politika, yönetim kurulu tarafından onaylanarak yürürlüğe girer, internet sitesinde (http://viscol.com.tr/) yayımlanır ve tüm Şirket çalışanlarına e-posta adresleri aracılığıyla dağıtılır.
2. TANIMLAR VE KISALTMALAR
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme/Anonimleştirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
Çalışan Şirket çalışanları
Çalışan Adayı Şirkete herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine sunmuş olan gerçek kişiler
İlgili Kişi Kişisel verisi işlenen gerçek kişi
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Komite Şirket bünyesindeki Kişisel Verileri Koruma Komitesi
Kurul Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
KVKK 6698 sayılı Kişisel Verilerin Korunması Kanunu
Özel Nitelikli Kişisel Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
Periyodik İmha İşlemi Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika Gizlilik ve Kişisel Verilerin Korunması ile İşlenmesi Politikası
Potansiyel Müşteri Şirket hizmetlerini kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş kişiler
Şirket Viscol Petrokimya Sanayi ve Ticaret A.Ş.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Sorumlusuna Başvuru Formu İlgili Kişilerin, KVKK’nın 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu
Veriyi Silme Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Veriyi Yok Etme Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
Ziyaretçi Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR
3.1. Kişisel Verilerin Mezuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
3.1.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme
Kişisel veriler üzerinde gerçekleştirilecek her türlü işlemde hukuka ve dürüstlük kurallarına uygun hareket edilir. Bu kapsamda şeffaflık ilkesini benimsenerek, toplanan kişisel verilerin kullanım amacı hakkında İlgili Kişiler’e bilgilendirmede bulunulur.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel verileri işleme faaliyetleri yürütürken, işlenen kişisel verilerin doğruluğu ve güncelliğinin sağlanmasına yönelik sistem ve süreç oluşturulur.
Bu kapsamda İlgili Kişiler, Şirket’e başvuruda bulunarak kişisel verilerinin doğru ve güncel olarak tutulmasını mümkün kılabilir.
Bu başvurular Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir şekilde yapılır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veri işleme amacı meşru ve hukuka uygun sınırlar içerisinde açık bir şekilde belirlenir ve Politika ile diğer metinler aracılığıyla kişisel veri işleme faaliyeti henüz başlamadan İlgili Kişiler’in bilgisine sunulur.
3.1.4. İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler, faaliyet konusu ile bağlantılı ve orantılı bir biçimde faaliyetin yürütülmesi için gerekli amaçlar dahilinde işlenir. Bu kapsamda veri işleme faaliyeti yürütülürken amacın gerçekleştirilmesiyle ilgili olmayan ve şu an/ileride ihtiyaç duyulmayan kişisel veriler işlemekten özenle kaçınılır.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Kişisel veriler ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza edilir. Bu kapsamda öncelikle kişisel verinin saklanması için ilgili mevzuatta bir sürenin belirlenip belirlenmediği tespit edilir, ilgili mevzuatta bir süre belirlendi ise bu süreye uygun işlem yapılır, ilgili mevzuatta özel olarak bir süre belirlenmemiş ise her kişisel verinin işlendiği amaç için gerekli olan süre belirlenerek bu süre kadar muhafaza edilir.
Bu kapsamda kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine yönelik saklama ve imha politikası hazırlanır ve uygulanır.
3.2. Kişisel Verilerin KVKK’nın 5. Maddesinde Belirtilen Kişisel Veri İşleme Şartlarına Uygun ve Bu Şartlarla Sınırlı Olarak İşlenmesi
Kişisel veriler ancak İlgili Kişilerin açık rızasına dayanarak veya KVKK’da açık rızanın aranmayacağı belirtilen hallerde açık rıza olmadan bu hal ve şartlarla sınırlı olacak bir şekilde işlenir.
3.2.1. Açık Rıza
Açık rıza, İlgili Kişiler’in belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak özgür irade ile yaptığı açıklamadır.
KVKK m. 5/1 ve m. 6/2 uyarınca, kişisel veri işleme faaliyetinde gerekli olması halinde İlgili Kişiler’in açık rızası alınır.
3.2.2. Açık Rızanın Aranmadığı Haller
KVKK m. 5/2’de kişisel verilerin bazı durumlarda İlgili Kişiler’in açık rızasına tabi olmadan işlenmesini düzenlemiştir.
Belirtilen şartların birinin varlığı halinde ilgili kişiden açık rıza alınması, İlgili Kişiler’i yanıltmak olarak nitelendirileceğinden, veri işleme şartlarının mevcut olduğu durumlarda açık rızaya başvurulmaz.
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
İşlendiğinde kişilerin daha büyük mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVKK tarafından “özel nitelikli” olarak belirlenen kişisel verilerin işlenme süreçleri ve korunması süreçlerinde azami hassasiyet gösterilir.
Özel nitelikli kişisel verilere ilişkin kabul edilen ilkeler, Politika’da ayrıca ele alınmıştır.
Özel nitelikli kişisel veriler ilgili kişinin açık rızası yok ise ancak Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilmektedir.
a) İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde,
b) İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesi, bu verilere ulaşılması ile ilgili olarak ek önlemler ve süreçler belirlenir.
Bu çerçevede özel nitelikli kişisel verilerin işlenmesi süreci ile ilgili olarak ayrı bir prosedür oluşturulur.
3.4. Kişisel Verilerin Aktarılması
Kişisel veriler, Politika’da belirtilen amaçların yerine getirilmesine yönelik olarak, denetim faaliyetleri çerçevesinde denetleyici kuruluşlara, ilgili yasal düzenlemeler ve hukuki yükümlülüğün yerine getirilmesi kapsamında yetkili kamu kurum ve kuruluşlarına, iş ve işlemlerin yürütülmesi amacıyla hizmet alınan durumlarda yurt içi ve/veya yurt dışında bulunan tedarikçi ve iş ortaklarına, hizmet tedariki yapılan gerçek kişilere ve/veya hizmet verilen üçüncü kişilere KVKK madde 8 ve madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilir.
4. KİŞİSEL VERİLERİN GİZLİLİĞİNE VE GÜVENLİĞİNE İLİŞKİN ALMIŞ OLDUĞUMUZ TEDBİRLER
4.1. Kişisel Verilerin Güvenliğine İlişkin Şirketimizin Almış Olduğu Teknik ve İdari Tedbirler
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Diğer-Kişisel Veri Envanteri Hazırlanmıştır
4.3. Özel Nitelikli Kişisel Verilerin Korunması
KVKK ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen kişisel veriler hassasiyetle korunur.
Bu kapsamda kişisel verilerin korunması için, ilgili yasal düzenleme ve Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı doğrultusunda çalışmalar yapılır.
4.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda İzlenecek Süreç
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde, bu durumu 72 saat içerisinde İlgili Kişiler’e ve Kurula bildirilir.
Kurul tarafından gerekli görülmesi halinde bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilir.
4.5. Kişisel Veri Envanteri
Her birim, güncel bir kişisel veri işleme envanteri oluşturur.
Birim yöneticisi bu envanterin doğruluğundan, güncelliğinden ve gerektiğinde irtibat kişisine ibrazından sorumludur.
Envanterlerin doğru tutulması, kişisel verilerin korunmasına ilişkin güncel politikaların uygulanması ve kişisel verilerin korunması konusundaki güncel gelişmeler daima takip edilir.
5. İLGİLİ KİŞİLERİN VERİ SORUMLUSUNA BAŞVURUSU, İLETİŞİM KANALLARIMIZ VE BAŞVURUNUN DEĞERLENDİRİLMESİ SÜREÇLERİ
5.1. Başvuru Konusu
İlgili Kişiler’in haklarına büyük önem ve değer verilir ve bu haklarını kullanmalarına imkân ve olanak sağlanır.
İlgili Kişiler’in taleplerini kolayca iletebileceği bir “Veri Sorumlusuna Başvuru Formu” hazırlanıp internet sitesinde (http://viscol.com.tr/) yayımlanır.
Ancak İlgili Kişiler’in bu formun kullanması zorunlu değildir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun yapılan her başvuru değerlendirmeye alınacaktır.
Herkes, Şirketimize başvuruda bulunarak kendisiyle ilgili;
a) Kişisel verisinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
5.2. Başvuru Yöntemi ve Adresi
Başvuru Yöntemi Başvurunun Yapılacağı Adres Başvuru Konu Başlığı
Elden başvuru (Başvuru sahibinin bizzat başvurması halinde kimliğini tevsik edici belgenin, vekaleten başvuru yapılması durumunda noter tasdikli vekaletnamenin hazırda bulundurulması gerekmektedir.) …………………… Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Noter vasıtasıyla tebligat ………………………… Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
E-İmza/Mobil İmza Aracılığıyla e-posta ………………………… Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Kayıtlı Elektronik Posta (KEP) adresi aracılığıyla başvuru
……………………… Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Sistemlerimizde kayıtlı e-posta adresi (E-posta adresinin daha öncesinde sistemlerimizde kimlik ile eşleşmiş olması gerekmektedir.) ……………………… Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
5.3. Başvuru Sonrası Süreç
Tarafımıza iletilen başvurular, talebin niteliğine göre talebin Şirketimize ulaştığı tarihten itibaren en geç 30 (otuz) gün içerisinde yanıtlandırılmaktadır. Yanıtlarımız, Veri Sorumlusuna Başvuru Formunda başvurucu tarafından belirtilen bildirim şekli esas alınarak gönderilmektedir.
İlgili Kişiler; KVKK’nın 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; Şirketimizin cevabını öğrendiği tarihten itibaren otuz gün içerisinde ve her halde başvuru tarihinden itibaren altmış gün içerisinde Kurul’a şikâyette bulunabilir.
5.4. Başvuru Ücreti
Başvurular kural olarak ücretsiz yapılmaktadır. Ancak ilgili kişilerin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirketimiz tarafından Kurulca belirlenen tarifedeki ücret alınacaktır.
5.5. Başvurunun Değerlendirmesi
İlgili Kişiler tarafından yapılacak başvuruların değerlendirmesinde, hazırlanan ve yürürlüğe konulan “İlgili Kişi Başvuru Süreçleri ve Örnek Başvuru Yanıt Prosedürü”nden yararlanılır.
6. İLGİLİ KİŞİLERİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
KVKK 10. maddesindeki düzenlemesine uygun olarak, İlgili Kişiler kişisel verilerin elde edilmesi süreci ile ilgili olarak Politika ve internet sitesinde (http://viscol.com.tr/) kolayca erişilebilir bir şekilde yer alan Aydınlatma Metni ve diğer metinler aracılığıyla aydınlatılır.
Güvenli kameraları aracılığıyla kişisel veri işlenmesi durumlarında güvenlik kameralarının bulunduğu alanlarda ve temel noktalarda kişisel veri işlenmesine yönelik katmanlı aydınlatma metinleri kullanılır.
Aydınlatma metinlerinde asgari olarak veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve İlgili Kişiler’in hakları başlıklarına yer verilir.
7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
7.1. Kişisel Verilerin İşlenme Amaçları
Kişisel veriler işlenirken KVKK’nın 5. ve 6. maddesinde belirtilen kişisel veri işleme şartları içerisindeki amaçlar ve koşullar gözetilir ve sınırlı tutulur. Bu amaçlar ve koşullar;
• Kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmesi,
• Kişisel verilerin işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin İlgili Kişiler tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde işlenmesi,
• Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• İlgili Kişiler’in temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
• Kişisel veri işleme faaliyetinde bulunulmasının ilgili kişilerin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da ilgili kişilerin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.
• Özel nitelikli kişisel veriler bakımından;
o İlgili Kişiler’in sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülmesi (kanun hükmü yok ise İlgili Kişiler tarafından açık rıza gösterilmesi),
o İlgili Kişiler’in sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından (bu durum yok ise İlgili Kişiler tarafından açık rıza gösterilmesi) hallerinde işlenmektedir.
7.2. Kişisel Verilerin Saklanma Süreleri
İlgili mevzuatta öngörülmesi durumunda kişisel veriler bu mevzuatta belirtilen süre kadar saklanır. Buna ilaveten saklama sürelerinin belirlenmesinde, ilgili sözleşmelerden kaynaklı yükümlülükler, idari ve hukuki anlamdaki sorumluluklar/yükümlülükler, hukuki anlamda ortaya çıkabilecek risk ve işlemler de gözetilir.
Kişisel verilerin, saklama sürelerine ilişkin olarak Kişisel Veri Saklama ve İmha Politikası oluşturulur ve uygulanır.
İşlenen kişisel veriler ve kişisel veri envanterleri 6 aylık periyotlar halinde gözden geçirilir ve silinmesi/yok edilmesi gereken kişisel veriler işbu 6 aylık periyodik imha süreleri içerisinde silinerek/imha edilerek işlem tutanak altına alınmaktadır.
8. GÖZDEN GEÇİRME
Politika, Şirket yönetim kurulu tarafından onaylanarak yürürlüğe girer.
Politika’da yapılacak değişikliklere ilişkin olarak, yönetim kurulu tarafından yetkilendirilecek kişi/kişilerin onayı alınır. Politika’nın Şirket içinde uygulanmasına ilişkin hususlar, şirket içi politika, prosedür ve iç yönergeler ile sistematik hale getirilir.
Politika, 6 ayda bir gözden geçirilir ve gerekli olması halinde yetkilendirilen kişinin onayı ile ilgili revizeler yapılır.
9. KİŞİSEL VERİLERİ KORUMA KOMİTESİ
Kişisel verilerin korunması hukuku çerçevesinde irtibat kişisi atanır.
Şirket birimleri ve çalışanları arasından 5 kişilik bir Kişisel Verileri Koruma Komitesi (“Komite”) oluşturulur.
Komite’ye Şirket irtibat kişisi başkanlık etmektedir.
İrtibat kişisi, idari ve teknik tedbirler konusunda Komite görüş ve tavsiyeleriyle hareket eder. İdari ve teknik tedbirler konusunda Komite tarafından belirlenen ilkeler dikkate alınır.
Komite, Şirket kişisel verilerin korunması mevzuatına uyumluluğu için gereken çabayı sarf eder. İrtibat kişisi, kişisel verilerin korunması hukuku kapsamında sorumlu olduğu Şirket birimlerini denetler. Bu denetimler sonucunda gerekli durumlarda ilgili birimleri uyarır ve üst yönetimi durumdan haberdar eder.
İrtibat kişisi Şirket’e yapılan ilgili kişi başvurularının yasal süreler içerisinde ve usule uygun şekilde cevaplandırılması konusunda koordinasyonu sağlar.
İrtibat kişisi, Şirket’in, Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yönetir.
11. YÜRÜRLÜK
Politika, Şirket yönetim kurulu/yetkili organlar tarafından kabul edilip duyurulma tarihinden itibaren yürürlüğe girer.
VİSCOL PETROKİMYA SANAYİ VE TİCARET A.Ş.
GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI İLE İŞLENMESİ POLİTİKASI
1. GİRİŞ
1.1. Genel Olarak
Kişisel verilerin gizliliğinin, güvenliğinin sağlanması ve ilgili hukuki düzenlemelere uyum, VİSCOL PETROKİMYA SANAYİ VE TİCARET A.Ş.’nin (‘‘Şirket”) en önemli öncelikleri arasında yer almakta olup, bu konuda azami özen gösterilmektedir.
Bu kapsamda kişisel verilerin işlenmesine ve korunmasına dair işbu Gizlilik ve Kişisel Verilerin Korunması ile İşlenmesi Politikası (‘‘Politika’’) ve Şirket bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen amaç; çalışanlarımızın, müşterilerimizin, çalışan adaylarımızın, ziyaretçilerimizin, misafirlerimizin ve kişisel verisi işlenen diğer üçüncü kişilerin (‘‘İlgili Kişiler’’) kişisel verilerinin hukuka uygun biçimde işlenmesi, saklanması ve korunması ile Şirketimizin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (‘‘KVKK’’) uyumluluğunun sağlanmasıdır.
Politika hazırlanırken, Türkiye Cumhuriyeti Anayasası ve KVKK’da yer alan düzenlemeler başta olmak üzere gizliliğe, kişisel verilerin korunmasına ve işlenmesine ilişkin ilgili hukuki normlarda ve Kişisel Verileri Koruma Kurulu kararlarında yer alan hükümleri Şirketimize rehber olarak görülmüştür.
Politika’da kişisel verilerin işlenmesi süreçleri için Şirketimizin benimsediği ve aşağıda yer alan temel prensiplere ilişkin açıklamalarda ve talimatlarda bulunulacaktır:
• Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
• Kişisel verilerin doğru ve gerektiğinde güncel tutulması,
• Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi,
• Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
• Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi,
• İlgili kişilerin aydınlatılması,
• İlgili kişilerin haklarını kullanması için gerekli süreçlerin oluşturulması,
• Kişisel verilerin işlenmesinde ve muhafazasında gerekli tedbirlerin alınması,
• Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılması,
• Özel nitelikli kişisel verilerin işlenmesinde ve korunmasında gerekli hassasiyetin gösterilmesi,
• İşleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
1.2. Politikanın Amacı ve Kapsamı
Politika’nın temel amacı, Şirket’in yürüteceği kişisel veri işleme faaliyetlerinde KVKK’ya tam uyumluluğun sağlanmasıdır.
Buna ilaveten, hazırlanan Politika ve diğer yazılı politikalar, KVKK ve kişisel veri güvenliğine ilişkin diğer ilgili yasal düzenlemelere uyum ilkemizi sürdürülebilir kılmayı amaç edinmektedir.
Politika’nın kapsamı otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.
1.3. Politikanın ve İlgili Mevzuatın Uygulanması
Politika, ilgili mevzuat tarafından ortaya konulan esaslar dahilinde somutlaştırılarak düzenlenmiştir. Yürürlükte bulunan mevzuat ile Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuat uygulama alanı bulacaktır.
1.4. Politikanın Yürürlüğü
Politika, yönetim kurulu tarafından onaylanarak yürürlüğe girer, internet sitesinde (http://viscol.com.tr/) yayımlanır ve tüm Şirket çalışanlarına e-posta adresleri aracılığıyla dağıtılır.
2. TANIMLAR VE KISALTMALAR
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme/Anonimleştirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
Çalışan Şirket çalışanları
Çalışan Adayı Şirkete herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine sunmuş olan gerçek kişiler
İlgili Kişi Kişisel verisi işlenen gerçek kişi
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Komite Şirket bünyesindeki Kişisel Verileri Koruma Komitesi
Kurul Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
KVKK 6698 sayılı Kişisel Verilerin Korunması Kanunu
Özel Nitelikli Kişisel Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
Periyodik İmha İşlemi Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika Gizlilik ve Kişisel Verilerin Korunması ile İşlenmesi Politikası
Potansiyel Müşteri Şirket hizmetlerini kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş kişiler
Şirket Viscol Petrokimya Sanayi ve Ticaret A.Ş.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Sorumlusuna Başvuru Formu İlgili Kişilerin, KVKK’nın 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu
Veriyi Silme Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Veriyi Yok Etme Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
Ziyaretçi Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR
3.1. Kişisel Verilerin Mezuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
3.1.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme
Kişisel veriler üzerinde gerçekleştirilecek her türlü işlemde hukuka ve dürüstlük kurallarına uygun hareket edilir. Bu kapsamda şeffaflık ilkesini benimsenerek, toplanan kişisel verilerin kullanım amacı hakkında İlgili Kişiler’e bilgilendirmede bulunulur.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel verileri işleme faaliyetleri yürütürken, işlenen kişisel verilerin doğruluğu ve güncelliğinin sağlanmasına yönelik sistem ve süreç oluşturulur.
Bu kapsamda İlgili Kişiler, Şirket’e başvuruda bulunarak kişisel verilerinin doğru ve güncel olarak tutulmasını mümkün kılabilir.
Bu başvurular Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir şekilde yapılır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veri işleme amacı meşru ve hukuka uygun sınırlar içerisinde açık bir şekilde belirlenir ve Politika ile diğer metinler aracılığıyla kişisel veri işleme faaliyeti henüz başlamadan İlgili Kişiler’in bilgisine sunulur.
3.1.4. İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler, faaliyet konusu ile bağlantılı ve orantılı bir biçimde faaliyetin yürütülmesi için gerekli amaçlar dahilinde işlenir. Bu kapsamda veri işleme faaliyeti yürütülürken amacın gerçekleştirilmesiyle ilgili olmayan ve şu an/ileride ihtiyaç duyulmayan kişisel veriler işlemekten özenle kaçınılır.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Kişisel veriler ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza edilir. Bu kapsamda öncelikle kişisel verinin saklanması için ilgili mevzuatta bir sürenin belirlenip belirlenmediği tespit edilir, ilgili mevzuatta bir süre belirlendi ise bu süreye uygun işlem yapılır, ilgili mevzuatta özel olarak bir süre belirlenmemiş ise her kişisel verinin işlendiği amaç için gerekli olan süre belirlenerek bu süre kadar muhafaza edilir.
Bu kapsamda kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine yönelik saklama ve imha politikası hazırlanır ve uygulanır.
3.2. Kişisel Verilerin KVKK’nın 5. Maddesinde Belirtilen Kişisel Veri İşleme Şartlarına Uygun ve Bu Şartlarla Sınırlı Olarak İşlenmesi
Kişisel veriler ancak İlgili Kişilerin açık rızasına dayanarak veya KVKK’da açık rızanın aranmayacağı belirtilen hallerde açık rıza olmadan bu hal ve şartlarla sınırlı olacak bir şekilde işlenir.
3.2.1. Açık Rıza
Açık rıza, İlgili Kişiler’in belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak özgür irade ile yaptığı açıklamadır.
KVKK m. 5/1 ve m. 6/2 uyarınca, kişisel veri işleme faaliyetinde gerekli olması halinde İlgili Kişiler’in açık rızası alınır.
3.2.2. Açık Rızanın Aranmadığı Haller
KVKK m. 5/2’de kişisel verilerin bazı durumlarda İlgili Kişiler’in açık rızasına tabi olmadan işlenmesini düzenlemiştir.
Belirtilen şartların birinin varlığı halinde ilgili kişiden açık rıza alınması, İlgili Kişiler’i yanıltmak olarak nitelendirileceğinden, veri işleme şartlarının mevcut olduğu durumlarda açık rızaya başvurulmaz.
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
İşlendiğinde kişilerin daha büyük mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVKK tarafından “özel nitelikli” olarak belirlenen kişisel verilerin işlenme süreçleri ve korunması süreçlerinde azami hassasiyet gösterilir.
Özel nitelikli kişisel verilere ilişkin kabul edilen ilkeler, Politika’da ayrıca ele alınmıştır.
Özel nitelikli kişisel veriler ilgili kişinin açık rızası yok ise ancak Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilmektedir.
a) İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde,
b) İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesi, bu verilere ulaşılması ile ilgili olarak ek önlemler ve süreçler belirlenir.
Bu çerçevede özel nitelikli kişisel verilerin işlenmesi süreci ile ilgili olarak ayrı bir prosedür oluşturulur.
3.4. Kişisel Verilerin Aktarılması
Kişisel veriler, Politika’da belirtilen amaçların yerine getirilmesine yönelik olarak, denetim faaliyetleri çerçevesinde denetleyici kuruluşlara, ilgili yasal düzenlemeler ve hukuki yükümlülüğün yerine getirilmesi kapsamında yetkili kamu kurum ve kuruluşlarına, iş ve işlemlerin yürütülmesi amacıyla hizmet alınan durumlarda yurt içi ve/veya yurt dışında bulunan tedarikçi ve iş ortaklarına, hizmet tedariki yapılan gerçek kişilere ve/veya hizmet verilen üçüncü kişilere KVKK madde 8 ve madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilir.
4. KİŞİSEL VERİLERİN GİZLİLİĞİNE VE GÜVENLİĞİNE İLİŞKİN ALMIŞ OLDUĞUMUZ TEDBİRLER
4.1. Kişisel Verilerin Güvenliğine İlişkin Şirketimizin Almış Olduğu Teknik ve İdari Tedbirler
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Diğer-Kişisel Veri Envanteri Hazırlanmıştır
4.3. Özel Nitelikli Kişisel Verilerin Korunması
KVKK ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen kişisel veriler hassasiyetle korunur.
Bu kapsamda kişisel verilerin korunması için, ilgili yasal düzenleme ve Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı doğrultusunda çalışmalar yapılır.
4.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda İzlenecek Süreç
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde, bu durumu 72 saat içerisinde İlgili Kişiler’e ve Kurula bildirilir.
Kurul tarafından gerekli görülmesi halinde bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilir.
4.5. Kişisel Veri Envanteri
Her birim, güncel bir kişisel veri işleme envanteri oluşturur.
Birim yöneticisi bu envanterin doğruluğundan, güncelliğinden ve gerektiğinde irtibat kişisine ibrazından sorumludur.
Envanterlerin doğru tutulması, kişisel verilerin korunmasına ilişkin güncel politikaların uygulanması ve kişisel verilerin korunması konusundaki güncel gelişmeler daima takip edilir.
5. İLGİLİ KİŞİLERİN VERİ SORUMLUSUNA BAŞVURUSU, İLETİŞİM KANALLARIMIZ VE BAŞVURUNUN DEĞERLENDİRİLMESİ SÜREÇLERİ
5.1. Başvuru Konusu
İlgili Kişiler’in haklarına büyük önem ve değer verilir ve bu haklarını kullanmalarına imkân ve olanak sağlanır.
İlgili Kişiler’in taleplerini kolayca iletebileceği bir “Veri Sorumlusuna Başvuru Formu” hazırlanıp internet sitesinde (http://viscol.com.tr/) yayımlanır.
Ancak İlgili Kişiler’in bu formun kullanması zorunlu değildir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun yapılan her başvuru değerlendirmeye alınacaktır.
Herkes, Şirketimize başvuruda bulunarak kendisiyle ilgili;
a) Kişisel verisinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
5.2. Başvuru Yöntemi ve Adresi
Başvuru Yöntemi Başvurunun Yapılacağı Adres Başvuru Konu Başlığı
Elden başvuru (Başvuru sahibinin bizzat başvurması halinde kimliğini tevsik edici belgenin, vekaleten başvuru yapılması durumunda noter tasdikli vekaletnamenin hazırda bulundurulması gerekmektedir.) …………………… Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Noter vasıtasıyla tebligat ………………………… Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
E-İmza/Mobil İmza Aracılığıyla e-posta ………………………… Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Kayıtlı Elektronik Posta (KEP) adresi aracılığıyla başvuru
……………………… Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Sistemlerimizde kayıtlı e-posta adresi (E-posta adresinin daha öncesinde sistemlerimizde kimlik ile eşleşmiş olması gerekmektedir.) ……………………… Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
5.3. Başvuru Sonrası Süreç
Tarafımıza iletilen başvurular, talebin niteliğine göre talebin Şirketimize ulaştığı tarihten itibaren en geç 30 (otuz) gün içerisinde yanıtlandırılmaktadır. Yanıtlarımız, Veri Sorumlusuna Başvuru Formunda başvurucu tarafından belirtilen bildirim şekli esas alınarak gönderilmektedir.
İlgili Kişiler; KVKK’nın 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; Şirketimizin cevabını öğrendiği tarihten itibaren otuz gün içerisinde ve her halde başvuru tarihinden itibaren altmış gün içerisinde Kurul’a şikâyette bulunabilir.
5.4. Başvuru Ücreti
Başvurular kural olarak ücretsiz yapılmaktadır. Ancak ilgili kişilerin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirketimiz tarafından Kurulca belirlenen tarifedeki ücret alınacaktır.
5.5. Başvurunun Değerlendirmesi
İlgili Kişiler tarafından yapılacak başvuruların değerlendirmesinde, hazırlanan ve yürürlüğe konulan “İlgili Kişi Başvuru Süreçleri ve Örnek Başvuru Yanıt Prosedürü”nden yararlanılır.
6. İLGİLİ KİŞİLERİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
KVKK 10. maddesindeki düzenlemesine uygun olarak, İlgili Kişiler kişisel verilerin elde edilmesi süreci ile ilgili olarak Politika ve internet sitesinde (http://viscol.com.tr/) kolayca erişilebilir bir şekilde yer alan Aydınlatma Metni ve diğer metinler aracılığıyla aydınlatılır.
Güvenli kameraları aracılığıyla kişisel veri işlenmesi durumlarında güvenlik kameralarının bulunduğu alanlarda ve temel noktalarda kişisel veri işlenmesine yönelik katmanlı aydınlatma metinleri kullanılır.
Aydınlatma metinlerinde asgari olarak veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve İlgili Kişiler’in hakları başlıklarına yer verilir.
7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
7.1. Kişisel Verilerin İşlenme Amaçları
Kişisel veriler işlenirken KVKK’nın 5. ve 6. maddesinde belirtilen kişisel veri işleme şartları içerisindeki amaçlar ve koşullar gözetilir ve sınırlı tutulur. Bu amaçlar ve koşullar;
• Kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmesi,
• Kişisel verilerin işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin İlgili Kişiler tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde işlenmesi,
• Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• İlgili Kişiler’in temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
• Kişisel veri işleme faaliyetinde bulunulmasının ilgili kişilerin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da ilgili kişilerin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.
• Özel nitelikli kişisel veriler bakımından;
o İlgili Kişiler’in sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülmesi (kanun hükmü yok ise İlgili Kişiler tarafından açık rıza gösterilmesi),
o İlgili Kişiler’in sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından (bu durum yok ise İlgili Kişiler tarafından açık rıza gösterilmesi) hallerinde işlenmektedir.
7.2. Kişisel Verilerin Saklanma Süreleri
İlgili mevzuatta öngörülmesi durumunda kişisel veriler bu mevzuatta belirtilen süre kadar saklanır. Buna ilaveten saklama sürelerinin belirlenmesinde, ilgili sözleşmelerden kaynaklı yükümlülükler, idari ve hukuki anlamdaki sorumluluklar/yükümlülükler, hukuki anlamda ortaya çıkabilecek risk ve işlemler de gözetilir.
Kişisel verilerin, saklama sürelerine ilişkin olarak Kişisel Veri Saklama ve İmha Politikası oluşturulur ve uygulanır.
İşlenen kişisel veriler ve kişisel veri envanterleri 6 aylık periyotlar halinde gözden geçirilir ve silinmesi/yok edilmesi gereken kişisel veriler işbu 6 aylık periyodik imha süreleri içerisinde silinerek/imha edilerek işlem tutanak altına alınmaktadır.
8. GÖZDEN GEÇİRME
Politika, Şirket yönetim kurulu tarafından onaylanarak yürürlüğe girer.
Politika’da yapılacak değişikliklere ilişkin olarak, yönetim kurulu tarafından yetkilendirilecek kişi/kişilerin onayı alınır. Politika’nın Şirket içinde uygulanmasına ilişkin hususlar, şirket içi politika, prosedür ve iç yönergeler ile sistematik hale getirilir.
Politika, 6 ayda bir gözden geçirilir ve gerekli olması halinde yetkilendirilen kişinin onayı ile ilgili revizeler yapılır.
9. KİŞİSEL VERİLERİ KORUMA KOMİTESİ
Kişisel verilerin korunması hukuku çerçevesinde irtibat kişisi atanır.
Şirket birimleri ve çalışanları arasından 5 kişilik bir Kişisel Verileri Koruma Komitesi (“Komite”) oluşturulur.
Komite’ye Şirket irtibat kişisi başkanlık etmektedir.
İrtibat kişisi, idari ve teknik tedbirler konusunda Komite görüş ve tavsiyeleriyle hareket eder. İdari ve teknik tedbirler konusunda Komite tarafından belirlenen ilkeler dikkate alınır.
Komite, Şirket kişisel verilerin korunması mevzuatına uyumluluğu için gereken çabayı sarf eder. İrtibat kişisi, kişisel verilerin korunması hukuku kapsamında sorumlu olduğu Şirket birimlerini denetler. Bu denetimler sonucunda gerekli durumlarda ilgili birimleri uyarır ve üst yönetimi durumdan haberdar eder.
İrtibat kişisi Şirket’e yapılan ilgili kişi başvurularının yasal süreler içerisinde ve usule uygun şekilde cevaplandırılması konusunda koordinasyonu sağlar.
İrtibat kişisi, Şirket’in, Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yönetir.
11. YÜRÜRLÜK
Politika, Şirket yönetim kurulu/yetkili organlar tarafından kabul edilip duyurulma tarihinden itibaren yürürlüğe girer.