TECHNICAL PRODUCT BULLETINS

VİSCOL PETROKİMYA SANAYİ VE TİCARET A.Ş

PRIVACY AND PERSONAL DATA PROTECTION AND PROCESSING POLICY

1. INTRODUCTION

1.1. General

Ensuring the privacy and security of personal data in compliance with the relevant legal regulations are among the utmost priorities of VISCOL PETROKİMYA SANAYİ VE TİCARET A.Ş. (Further – Company)

In this context, this Privacy and Personal Data Protection and Processing Policy regarding  processing and protection of personal data (‘Policy’) together with other written policies within the Company targets legal processing, storing and protecting the personal data of our employees, customers, employee candidates, visitors, guests and other third parties (“Related Persons”),  whose personal data is processed. Our Company ensures compatibility of its Policy with Turkish Personal Data Protection Law No. 6698 (‘Data Protection Law’).

While preparing this policy, our Company considered the provisions of the Constitution of the Republic of Turkey, the regulations in ‘Data Protection Law’, the relevant legal norms regarding privacy,  protection and processing of personal data, as well as the decisions taken by the Personal Data Protection Board/Committee as main guidance.

The explanations and instructions regarding the following basic principles adopted by our company are as follows:

• Processing personal data in accordance with the law and honesty rules,
• Keeping personal data accurate and up-to-date when necessary,
• Processing personal data for specific, explicit and legitimate purposes,
• The personal data are linked, limited and measured for the purpose for which they are processed,
• Keeping personal data for as long as required by the relevant legislation or for the purpose for which they are processed,
• Keeping the relevant persons informed,
• Establishing the necessary processes for the relevant persons to exercise their rights,
• Taking necessary measures in the processing and preservation of personal data,
• Due to the requirements of the processing purpose, transferring personal data to third parties,
• Showing the necessary sensitivity in the processing and protection of personal data of private nature,
• Deletion, destruction or anonymization of personal data whose purpose of processing is lost.

1.2. Purpose and Scope of the Policy

The main purpose of the Policy is to ensure full compliance with the Personal Data Protection Law (in Turkish – KVKK) in processing activities to be carried out by the Company.

In addition, the prepared Policy and other written policies aim to make our principle of compliance with Personal Data Protection Law (KVKK) and other relevant legal regulations regarding personal data security sustainable.

The scope of the Policy relates to all personal data processed automatically or non-automatically, provided that it is a part of any data recording system.

1.3. Implementation of the Policy and Related Legislation

The policy has been embodied and arranged within the framework of the principles set forth by the relevant legislation. In case of inconsistency between the current legislation and the Policy, then applicable law shall apply.

1.4. Enforcement of the Policy

The policy enters into force after being approved by the board of directors, published on the website (http://viscol.com.tr/) and distributed to all Company employees via e-mail addresses.

2. DEFINITIONS AND ABBREVIATIONS

Explicit Consent – Consent about a specific subject, based on information and expressed with free will

Anonymization/Anonymization Making personal data incapable of being associated with an identified or identifiable real person in any way, even by pairing it with other data

Employee – Company Employees

Employee Candidate – Real persons who have applied for a job at the Company by any means or have submitted their CV and related information to the Company for review.

Related/Relevant Person – Real person whose personal data is processed

Personal Data – Any information relating to an identified or identifiable person.

Processing of Personal Data – Obtaining, recording, storing, preserving, changing, rearranging, disclosing, transferring, taking over, making available, preventing its use, classifying personal data by fully or partially automatic or non-automatic means, all kinds of operations performed on the data provided that it is a part of any data recording system.

Committee –  Personal Data Protection Committee within the Company

Board  –  Personal Data Protection Board

Institution – Personal Data Protection Institution

Turkish Personal Data Protection Law No. 6698 (‘Data Protection Law’) – Data Protection Law (in Turkish – KVKK No. 6698)

Personal Data of Private Nature – Data on race, ethnicity, political opinion, philosophical belief, religion, sect or other beliefs, clothing, membership in associations, foundations or trade unions, health, sexual life, criminal convictions and security measures, and biometric and genetic data

Periodic Destruction Process – The deletion, destruction or anonymization process, which will be carried out ex officio at repetitive intervals and specified in the personal data storage and destruction policy.

Policy – Privacy and Protection of Personal Data and Processing Policy

Potential Customer – Persons, who have requested to use the Company’s services or who have been evaluated in accordance with the commercial practices and honesty rules.

Company – Viscol Petrokimya Sanayi ve Ticaret A.Ş.

Data Processor – A natural and legal person who processes personal data on behalf of the data Operator, based on the authority given by the data Operator.

Data Recording System – The registry system, directory, where personal data is processed and structured according to certain criteria

Data Operator – A natural or legal person who determines the purposes and means of processing personal data and is responsible for the establishment and management of the data recording system

Application Form to the Data Operator – The application form to be used by the Related Persons when using their applications regarding their rights in Article 11 of Data Protection Law (KVKK)

Deletion of Data – Making personal data inaccessible and non-reusable for relevant users in any way

Destruction of Data – Making personal data inaccessible, unrecoverable and unusable by anyone in any way

Visitor – Real persons who have entered the physical campuses owned by the Company for various purposes or visited the websites.

3. PRINCIPLES OF PROCESSING PERSONAL DATA

3.1. Processing of Personal Data in Compliance with the Principles Envisioned in the Legislation

3.1.1. Legal and Integrity Processing

All transactions to be carried out on personal data shall be complied with the law and the rules of honesty. In this context, by adopting the principle of transparency, Relevant Persons are informed about the purpose of using the collected personal data.

3.1.2. Ensuring Accurate and Up-to-Date Personal Data When Necessary

While carrying out personal data processing activities, a system and process is established to ensure that personal data is accurate and up-to-date.

In this context, Relevant Persons may make it possible to keep their personal data accurate and up-to-date by applying to the Company.

These applications are submitted in accordance with the Notice of Application Procedures and Principles for the Data Operator.

3.1.3. Processing for Specific, Explicit, and Legitimate Purposes

The purpose of processing personal data is clearly determined within legitimate and legal limits and is submitted to the Information of Relevant Persons through the Policy and other Formulations/Acts before the personal data processing activity begins.

3.1.4. Being Related, Limited and Moderate to the Purposes for which they are Processed.

Personal data are processed within the scope of the necessary purposes for the execution of the activity in a way that is related and proportional to the subject of the activity. In this context, while the data processing activity is being carried out, it is carefully avoided to process personal data that is not related to the realization of the purpose and is not needed at the moment or in the future.

3.1.5. Retention for as Long as Required for the Purpose of Processing or Envisioned in the Relevant Legislation

Personal data is retained only for the period specified in the relevant legislation or required for the purpose for which they are processed.

In this context, first of all, it is determined whether a period is determined in the relevant legislation for the storage of personal data, if a period is determined in the relevant legislation, action is taken in accordance with this period, if a specific period is not determined in the relevant legislation, then the required period is determined and personal data is maintained for this period. In this context, a storage and destruction policy is prepared and implemented for the deletion, destruction or anonymization of personal data.

3.2. Processing of personal data in accordance with Data Protection Law Article No. 5 and within its limits

Personal data is processed only on the basis of the explicit consent of the persons concerned or in cases where explicit consent is not requested under Data Protection Law 6698, i.e. without explicit consent.

3.2.1. Explicit Consent

Explicit consent is the free will declaration of the Related Persons on a specific subject and based on information.

According to Data Protection Law Articles No. 5/1 and 6/2, the explicit consent of Relevant Persons is obtained if necessary for personal data processing.

3.2.2. Circumstances Where Explicit Consent is Not Required

Data Protection Law Article No. 5/2 regulates the processing of personal data in some cases without the explicit consent of Relevant Persons.

In cases where data processing conditions are available, explicit consent is not applied, therefore, obtaining explicit consent from the Relevant Persons in the presence of one of the specified conditions is considered as misleading the Relevant Persons.

3.3. Processing of Private Personal Data

Due to the risk of causing greater victimization or discrimination of individuals when processed, maximum sensitivity is shown in the processing and protection of personal data determined as “special category”or “private nature” by Data Protection Law (in Turkish called ‘KVKK’).

Accepted principles regarding sensitive personal data are also discussed in the Policy.

If the person concerned does not give explicit consent, then the adequate measures will be determined by the Board and special categories of personal data can be processed in the following cases,

1. a) Private personal data other than the health and sexual life of the person concerned in cases stipulated by law,
2. b) Private personal data regarding the health and sexual life of the person concerned, but only for the purposes of protection of public health, preventive medicine, medical diagnosis, treatment and care services, planning, financing and management of health services or persons or authorized institutions under the obligation of secrecy. It can be processed by organizations without seeking the explicit consent of the person concerned.

Additional measures and processes are determined regarding the processing of private personal data and access to these data.

In this framework, a separate procedure is established regarding the processing of special categories of personal data.

3.4. Transfer of Personal Data

Personal data can be transferred to supervisory institutions within the framework of audit activities, to authorized public institutions and organizations within the scope of the relevant legal regulations and fulfillment of legal obligations within the framework of the personal data processing conditions and purposes specified in Data Protection Law Articles No. 8 and 9, in cases of carrying out business and transactions with suppliers and business partners in the country and / or abroad, real persons to whom services are supplied and / or third parties to whom services are rendered.

4. MEASURES TAKEN REGARDING THE PRIVACY AND SECURITY OF PERSONAL DATA

4.1. Technical and Administrative Measures Taken by Our Company Regarding the Security of Personal Data:

Network security and application security are provided;

Disciplinary regulations that include data security provisions for employees are provided;

Training and activities raising awareness on data security are carried out periodically for employees;

Confidentiality commitments are made;

The authorizations of employees, who change job or quit their job in this field, are removed;

Up-to-date anti-virus systems are used;

Firewalls are used;

The signed contracts contain data security provisions/clauses;

Personal data security policies and procedures have been determined.

Personal data security issues are reported instantly;

Personal data security is monitored;

Necessary security measures are taken regarding entrance and exit to physical environments containing personal data;

The security is provided in the environments containing personal data;

Personal data is backed up and the security of the backed up personal data is also ensured.

User account management and authorization control system are implemented and monitored;

Existing risks and threats have been identified;

Other – Personal Data Inventory/Catalogue is prepared.

4.3. Protection of Private Personal Data of Special Category

Private data determined as special category by Data Protection Law is processed and sensitively protected in accordance with the law.

In this context, the protection of personal data is carried out in line with the relevant legal regulation and the decision of the “Adequate Precautions to be Taken by Data Operators while Processing Personal Data of Special Category” published by the Personal Data Protection Authority.

4.4. Process to Follow in Case of Unauthorized Disclosure of Personal Data

In case the processed personal data is obtained by others illegally, this situation is notified to the Related Persons and the Board within 72 hours.

If deemed necessary by the Board, this situation is announced on the website of the Board or in another way.

4.5. Personal Data Inventory

Each unit creates an up-to-date personal data processing inventory/catalogue.

The department manager is responsible for the accuracy and renewal of this inventory and its submission to the contact person when necessary.

Keeping inventories accurate, implementing up-to-date policies on the protection of personal data, and current developments in the protection of personal data are always monitored.

5. APPLICATION OF RELATED PERSONS TO THE DATA OPERATOR, OUR COMMUNICATION CHANNELS AND EVALUATION PROCESSES

5.1. Subject of Application

The rights of Related Persons are given great importance and value, and they are provided with the opportunity to use these rights.

An “Application Form for Data Operator” is prepared and published on the website (http://viscol.com.tr/), where the Relevant Persons can easily submit their requests.

However, Related Persons are not obligated to use this form. Every application made in accordance with the Regulations on Application Procedures and Principles to the Data Operator will be evaluated.

Everyone sending an application to our Company will be able to;

1. Learn whether personal data is processed or not;
2. If personal data has been processed, request information about it;
3. Learn the purpose of processing personal data and whether they are used in accordance with its purpose,
4. Know the third parties to whom personal data is transferred in the country or abroad;
5. Request correction of personal data in case of incomplete or incorrect processing;
6. Request the deletion or destruction of personal data within the framework of the conditions stipulated in Article 7 of the Data Protection Law;
7. Request notification of the transactions if personal data has been transferred to third parties, as stated in subparagraphs (d) and (e);
8. Object to the emergence of a result against the person himself by analyzing the processed data exclusively through automated systems;
9. Ask for the compensation of the damage in case of loss due to unlawful processing of personal data.

5.2. Application Procedure and Address

Application Procedure – Address to Apply  –  Application Title

Application in person (the document proving his identity is necessary, if the applicant applies personally. A notarized power of attorney must be available, in case of application by an official representative) …………… “Information Request on Protection of Personal Data in accordance with Data Protection Law” will be written on the envelope.

Notification through a notary …………… “Information Request on Protection of Personal Data in accordance with Data Protection Law” will be written in the notification envelope.

E-mail  –  Via E-Signature/Mobile Signature …………… “Information Request on Protection of Personal Data in accordance with Data Protection Law” will be written in the subject part of the e-mail.

Application via Registered Electronic Mail (REM) address

……… “Information Request on Protection of Personal Data in accordance with Data Protection Law” will be written in the subject part of the e-mail.

The e-mail address registered in our systems (The e-mail address must have previously matched the identity in our systems.) ………… “Information Request on Protection of Personal Data in accordance with Data Protection Law” will be written in the subject part of the e-mail.

5.3. Post Application Process

Applications submitted to us are responded within 30 (thirty) days at the latest from the date of receipt of the request by our Company, depending on the nature of the request. Our responses are sent to the Data ,Operator on the basis of the notification form specified by the applicant in the Application Form.

In cases where the application is rejected in accordance with Article 14 of the Law, the answer given is insufficient or the application is not answered in due time, then the related person can forward complaints to the Board within thirty days from the date of our company’s response, and, in any case, within sixty days from the date of application.

5.4. Application Fee

According to the rules, applications are made free of charge. However, if the transaction requested by the person requires an additional cost, the fee in the rate determined by the Board will be charged by our Company.

5.5. Evaluation of the Application

The “Relevant Person Application Processes and Sample Application Response Procedure” is prepared and put into effect when the evaluation of the applications is made by the Related Persons.

6. CLARIFYING AND INFORMING RELATED PERSONS

In accordance with the regulation in Article 10 of the Protection Law, Relevant Persons are informed about the process of obtaining personal data through the Policy and Clarification  and other legal acts that are easily accessible on the website (http://viscol.com.tr/).

In cases where personal data is processed through security cameras, layered clarification texts are used for personal data processing in areas where security cameras are located and at key points of the cameras.

In the clarification texts, at least, the identity of the data operator, the purpose for which the personal data will be processed, to whom and for what purpose the processed personal data can be transferred, the method and legal reason for collecting personal data, and the rights of the Relevant Persons are included.

7. PURPOSES OF PERSONAL DATA PROCESSING AND STORAGE PERIOD

7.1. Purposes of Personal Data Processing

While processing personal data, the purposes and conditions in the personal data processing conditions should be analysed and limited as specified in Articles 5 and 6 of the Law. These purposes and conditions;

• The processing of personal data is clearly stipulated in the law,
• The processing of personal data is directly related to and necessary for the establishment or fulfillment of a contract,
• The processing of personal data is mandatory for our Company to fulfill its legal obligations,
• Provided that the personal data has been made public by the Relevant Persons, there will be limited processing for the purpose of publicizing,
• The processing of personal data is mandatory for the establishment, use or protection of a right;
• It is mandatory to process personal data for the legitimate interests of the Company, provided that it does not harm the fundamental rights and freedoms of the Relevant Persons;
• The implementation of the processing of personal data is necessary to protect the life or physical integrity of the subject or a person, when the subject cannot express his consent due to actual impossibility or legal inability;
• In terms of special categories of personal data;
• Private nature of personal data, other than the health and sexual life of the Relevant Persons, stipulated in the law (if there is no law provision, explicit consent by the Relevant Persons),
• Persons or authorized institutions and organizations are under the obligation to keep confidential personal data regarding the health and sexual life of Relevant Persons for the purpose of protecting public health, conducting preventive medicine, medical diagnosis, treatment and care services, planning and managing health services and financing (if this is not the case, explicit consent should be presented by the Related Persons).

7.2. Terms of Retention of Personal Data

In case it is stipulated in the relevant legislation, personal data is stored for the period specified in this legislation. In addition, in determining the retention periods, obligations arising from the relevant contracts, administrative and legal responsibilities/obligations, risks and transactions that may arise in legal terms are also taken into consideration.

Personal Data Retention and Disposal Policy is created and implemented regarding the retention periods of personal data.

The processed personal data and personal data inventories are reviewed in 6-month periods and the personal data that needs to be deleted/destroyed are deleted/destroyed within these 6-month destruction periods and its record is kept.

8. REVIEW

The policy enters into force after being approved by the Company’s board of directors.

Changes are made in the Policy by the person(s) authorized by the board of directors. Matters related to the implementation of the Policy within the Company are systematized with internal policies, procedures and internal directives.

The policy is reviewed every 6 months and, if necessary, revisions are made with the approval of the authorized person.

9. PERSONAL DATA PROTECTION COMMITTEE

A contact person is appointed within the framework of personal data protection law.

A Personal Data Protection Committee (“Committee”) of 5 people is formed among company departments and employees.

The Committee is chaired by the Company’s contact person.

The contact person takes into consideration the opinions and recommendations of the Committee on administrative and technical measures. The principles determined by the Committee regarding administrative and technical measures are taken into account.

The Committee makes every effort to comply with the Company’s personal data protection legislation. The contact person supervises the Company departments for which he is responsible within the scope of personal Data Protection Law. As a result of these audits, he warns the relevant departments when necessary and informs the senior management of the situation. The liaison ensures the coordination of responding to the applications of related person made to the Company within the legal deadlines and in accordance with the procedure.

The contact person manages the Company’s relations with the Personal Data Protection Authority.

11. ENFORCEMENT

The policy enters into force as of the date of acceptance and announcement by the Company’s board of directors/authorized bodies.

VİSCOL PETROKİMYA SANAYİ VE TİCARET A.Ş.
GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI İLE İŞLENMESİ POLİTİKASI

1. GİRİŞ
1.1. Genel Olarak
Kişisel verilerin gizliliğinin, güvenliğinin sağlanması ve ilgili hukuki düzenlemelere uyum, VİSCOL PETROKİMYA SANAYİ VE TİCARET A.Ş.’nin (‘‘Şirket”) en önemli öncelikleri arasında yer almakta olup, bu konuda azami özen gösterilmektedir.
Bu kapsamda kişisel verilerin işlenmesine ve korunmasına dair işbu Gizlilik ve Kişisel Verilerin Korunması ile İşlenmesi Politikası (‘‘Politika’’) ve Şirket bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen amaç; çalışanlarımızın, müşterilerimizin, çalışan adaylarımızın, ziyaretçilerimizin, misafirlerimizin ve kişisel verisi işlenen diğer üçüncü kişilerin (‘‘İlgili Kişiler’’) kişisel verilerinin hukuka uygun biçimde işlenmesi, saklanması ve korunması ile Şirketimizin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (‘‘KVKK’’) uyumluluğunun sağlanmasıdır.
Politika hazırlanırken, Türkiye Cumhuriyeti Anayasası ve KVKK’da yer alan düzenlemeler başta olmak üzere gizliliğe, kişisel verilerin korunmasına ve işlenmesine ilişkin ilgili hukuki normlarda ve Kişisel Verileri Koruma Kurulu kararlarında yer alan hükümleri Şirketimize rehber olarak görülmüştür.
Politika’da kişisel verilerin işlenmesi süreçleri için Şirketimizin benimsediği ve aşağıda yer alan temel prensiplere ilişkin açıklamalarda ve talimatlarda bulunulacaktır:
• Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
• Kişisel verilerin doğru ve gerektiğinde güncel tutulması,
• Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi,
• Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
• Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi,
• İlgili kişilerin aydınlatılması,
• İlgili kişilerin haklarını kullanması için gerekli süreçlerin oluşturulması,
• Kişisel verilerin işlenmesinde ve muhafazasında gerekli tedbirlerin alınması,
• Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılması,
• Özel nitelikli kişisel verilerin işlenmesinde ve korunmasında gerekli hassasiyetin gösterilmesi,
• İşleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

1.2. Politikanın Amacı ve Kapsamı
Politika’nın temel amacı, Şirket’in yürüteceği kişisel veri işleme faaliyetlerinde KVKK’ya tam uyumluluğun sağlanmasıdır.
Buna ilaveten, hazırlanan Politika ve diğer yazılı politikalar, KVKK ve kişisel veri güvenliğine ilişkin diğer ilgili yasal düzenlemelere uyum ilkemizi sürdürülebilir kılmayı amaç edinmektedir.
Politika’nın kapsamı otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.

1.3. Politikanın ve İlgili Mevzuatın Uygulanması
Politika, ilgili mevzuat tarafından ortaya konulan esaslar dahilinde somutlaştırılarak düzenlenmiştir. Yürürlükte bulunan mevzuat ile Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuat uygulama alanı bulacaktır.

1.4. Politikanın Yürürlüğü
Politika, yönetim kurulu tarafından onaylanarak yürürlüğe girer, internet sitesinde (http://viscol.com.tr/) yayımlanır ve tüm Şirket çalışanlarına e-posta adresleri aracılığıyla dağıtılır.

2. TANIMLAR VE KISALTMALAR
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme/Anonimleştirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
Çalışan Şirket çalışanları
Çalışan Adayı Şirkete herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine sunmuş olan gerçek kişiler
İlgili Kişi Kişisel verisi işlenen gerçek kişi
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Komite Şirket bünyesindeki Kişisel Verileri Koruma Komitesi
Kurul Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
KVKK 6698 sayılı Kişisel Verilerin Korunması Kanunu
Özel Nitelikli Kişisel Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
Periyodik İmha İşlemi Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika Gizlilik ve Kişisel Verilerin Korunması ile İşlenmesi Politikası
Potansiyel Müşteri Şirket hizmetlerini kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş kişiler
Şirket Viscol Petrokimya Sanayi ve Ticaret A.Ş.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Sorumlusuna Başvuru Formu İlgili Kişilerin, KVKK’nın 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu
Veriyi Silme Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Veriyi Yok Etme Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
Ziyaretçi Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler

3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR
3.1. Kişisel Verilerin Mezuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
3.1.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme
Kişisel veriler üzerinde gerçekleştirilecek her türlü işlemde hukuka ve dürüstlük kurallarına uygun hareket edilir. Bu kapsamda şeffaflık ilkesini benimsenerek, toplanan kişisel verilerin kullanım amacı hakkında İlgili Kişiler’e bilgilendirmede bulunulur.

3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel verileri işleme faaliyetleri yürütürken, işlenen kişisel verilerin doğruluğu ve güncelliğinin sağlanmasına yönelik sistem ve süreç oluşturulur.
Bu kapsamda İlgili Kişiler, Şirket’e başvuruda bulunarak kişisel verilerinin doğru ve güncel olarak tutulmasını mümkün kılabilir.
Bu başvurular Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir şekilde yapılır.

3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veri işleme amacı meşru ve hukuka uygun sınırlar içerisinde açık bir şekilde belirlenir ve Politika ile diğer metinler aracılığıyla kişisel veri işleme faaliyeti henüz başlamadan İlgili Kişiler’in bilgisine sunulur.

3.1.4. İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler, faaliyet konusu ile bağlantılı ve orantılı bir biçimde faaliyetin yürütülmesi için gerekli amaçlar dahilinde işlenir. Bu kapsamda veri işleme faaliyeti yürütülürken amacın gerçekleştirilmesiyle ilgili olmayan ve şu an/ileride ihtiyaç duyulmayan kişisel veriler işlemekten özenle kaçınılır.

3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Kişisel veriler ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza edilir. Bu kapsamda öncelikle kişisel verinin saklanması için ilgili mevzuatta bir sürenin belirlenip belirlenmediği tespit edilir, ilgili mevzuatta bir süre belirlendi ise bu süreye uygun işlem yapılır, ilgili mevzuatta özel olarak bir süre belirlenmemiş ise her kişisel verinin işlendiği amaç için gerekli olan süre belirlenerek bu süre kadar muhafaza edilir.
Bu kapsamda kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine yönelik saklama ve imha politikası hazırlanır ve uygulanır.

3.2. Kişisel Verilerin KVKK’nın 5. Maddesinde Belirtilen Kişisel Veri İşleme Şartlarına Uygun ve Bu Şartlarla Sınırlı Olarak İşlenmesi
Kişisel veriler ancak İlgili Kişilerin açık rızasına dayanarak veya KVKK’da açık rızanın aranmayacağı belirtilen hallerde açık rıza olmadan bu hal ve şartlarla sınırlı olacak bir şekilde işlenir.

3.2.1. Açık Rıza
Açık rıza, İlgili Kişiler’in belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak özgür irade ile yaptığı açıklamadır.
KVKK m. 5/1 ve m. 6/2 uyarınca, kişisel veri işleme faaliyetinde gerekli olması halinde İlgili Kişiler’in açık rızası alınır.

3.2.2. Açık Rızanın Aranmadığı Haller
KVKK m. 5/2’de kişisel verilerin bazı durumlarda İlgili Kişiler’in açık rızasına tabi olmadan işlenmesini düzenlemiştir.
Belirtilen şartların birinin varlığı halinde ilgili kişiden açık rıza alınması, İlgili Kişiler’i yanıltmak olarak nitelendirileceğinden, veri işleme şartlarının mevcut olduğu durumlarda açık rızaya başvurulmaz.

3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
İşlendiğinde kişilerin daha büyük mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVKK tarafından “özel nitelikli” olarak belirlenen kişisel verilerin işlenme süreçleri ve korunması süreçlerinde azami hassasiyet gösterilir.
Özel nitelikli kişisel verilere ilişkin kabul edilen ilkeler, Politika’da ayrıca ele alınmıştır.
Özel nitelikli kişisel veriler ilgili kişinin açık rızası yok ise ancak Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilmektedir.
a) İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde,
b) İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesi, bu verilere ulaşılması ile ilgili olarak ek önlemler ve süreçler belirlenir.
Bu çerçevede özel nitelikli kişisel verilerin işlenmesi süreci ile ilgili olarak ayrı bir prosedür oluşturulur.

3.4. Kişisel Verilerin Aktarılması
Kişisel veriler, Politika’da belirtilen amaçların yerine getirilmesine yönelik olarak, denetim faaliyetleri çerçevesinde denetleyici kuruluşlara, ilgili yasal düzenlemeler ve hukuki yükümlülüğün yerine getirilmesi kapsamında yetkili kamu kurum ve kuruluşlarına, iş ve işlemlerin yürütülmesi amacıyla hizmet alınan durumlarda yurt içi ve/veya yurt dışında bulunan tedarikçi ve iş ortaklarına, hizmet tedariki yapılan gerçek kişilere ve/veya hizmet verilen üçüncü kişilere KVKK madde 8 ve madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilir.

4. KİŞİSEL VERİLERİN GİZLİLİĞİNE VE GÜVENLİĞİNE İLİŞKİN ALMIŞ OLDUĞUMUZ TEDBİRLER
4.1. Kişisel Verilerin Güvenliğine İlişkin Şirketimizin Almış Olduğu Teknik ve İdari Tedbirler
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Diğer-Kişisel Veri Envanteri Hazırlanmıştır

4.3. Özel Nitelikli Kişisel Verilerin Korunması
KVKK ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen kişisel veriler hassasiyetle korunur.
Bu kapsamda kişisel verilerin korunması için, ilgili yasal düzenleme ve Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı doğrultusunda çalışmalar yapılır.

4.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda İzlenecek Süreç
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde, bu durumu 72 saat içerisinde İlgili Kişiler’e ve Kurula bildirilir.
Kurul tarafından gerekli görülmesi halinde bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilir.

4.5. Kişisel Veri Envanteri
Her birim, güncel bir kişisel veri işleme envanteri oluşturur.
Birim yöneticisi bu envanterin doğruluğundan, güncelliğinden ve gerektiğinde irtibat kişisine ibrazından sorumludur.
Envanterlerin doğru tutulması, kişisel verilerin korunmasına ilişkin güncel politikaların uygulanması ve kişisel verilerin korunması konusundaki güncel gelişmeler daima takip edilir.

5. İLGİLİ KİŞİLERİN VERİ SORUMLUSUNA BAŞVURUSU, İLETİŞİM KANALLARIMIZ VE BAŞVURUNUN DEĞERLENDİRİLMESİ SÜREÇLERİ
5.1. Başvuru Konusu
İlgili Kişiler’in haklarına büyük önem ve değer verilir ve bu haklarını kullanmalarına imkân ve olanak sağlanır.
İlgili Kişiler’in taleplerini kolayca iletebileceği bir “Veri Sorumlusuna Başvuru Formu” hazırlanıp internet sitesinde (http://viscol.com.tr/) yayımlanır.
Ancak İlgili Kişiler’in bu formun kullanması zorunlu değildir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun yapılan her başvuru değerlendirmeye alınacaktır.
Herkes, Şirketimize başvuruda bulunarak kendisiyle ilgili;
a) Kişisel verisinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.

5.2. Başvuru Yöntemi ve Adresi
Başvuru Yöntemi Başvurunun Yapılacağı Adres Başvuru Konu Başlığı
Elden başvuru (Başvuru sahibinin bizzat başvurması halinde kimliğini tevsik edici belgenin, vekaleten başvuru yapılması durumunda noter tasdikli vekaletnamenin hazırda bulundurulması gerekmektedir.) …………………… Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Noter vasıtasıyla tebligat ………………………… Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
E-İmza/Mobil İmza Aracılığıyla e-posta ………………………… Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Kayıtlı Elektronik Posta (KEP) adresi aracılığıyla başvuru
……………………… Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Sistemlerimizde kayıtlı e-posta adresi (E-posta adresinin daha öncesinde sistemlerimizde kimlik ile eşleşmiş olması gerekmektedir.) ……………………… Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.

5.3. Başvuru Sonrası Süreç
Tarafımıza iletilen başvurular, talebin niteliğine göre talebin Şirketimize ulaştığı tarihten itibaren en geç 30 (otuz) gün içerisinde yanıtlandırılmaktadır. Yanıtlarımız, Veri Sorumlusuna Başvuru Formunda başvurucu tarafından belirtilen bildirim şekli esas alınarak gönderilmektedir.
İlgili Kişiler; KVKK’nın 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; Şirketimizin cevabını öğrendiği tarihten itibaren otuz gün içerisinde ve her halde başvuru tarihinden itibaren altmış gün içerisinde Kurul’a şikâyette bulunabilir.

5.4. Başvuru Ücreti
Başvurular kural olarak ücretsiz yapılmaktadır. Ancak ilgili kişilerin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirketimiz tarafından Kurulca belirlenen tarifedeki ücret alınacaktır.

5.5. Başvurunun Değerlendirmesi
İlgili Kişiler tarafından yapılacak başvuruların değerlendirmesinde, hazırlanan ve yürürlüğe konulan “İlgili Kişi Başvuru Süreçleri ve Örnek Başvuru Yanıt Prosedürü”nden yararlanılır.

6. İLGİLİ KİŞİLERİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
KVKK 10. maddesindeki düzenlemesine uygun olarak, İlgili Kişiler kişisel verilerin elde edilmesi süreci ile ilgili olarak Politika ve internet sitesinde (http://viscol.com.tr/) kolayca erişilebilir bir şekilde yer alan Aydınlatma Metni ve diğer metinler aracılığıyla aydınlatılır.
Güvenli kameraları aracılığıyla kişisel veri işlenmesi durumlarında güvenlik kameralarının bulunduğu alanlarda ve temel noktalarda kişisel veri işlenmesine yönelik katmanlı aydınlatma metinleri kullanılır.
Aydınlatma metinlerinde asgari olarak veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve İlgili Kişiler’in hakları başlıklarına yer verilir.

7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
7.1. Kişisel Verilerin İşlenme Amaçları
Kişisel veriler işlenirken KVKK’nın 5. ve 6. maddesinde belirtilen kişisel veri işleme şartları içerisindeki amaçlar ve koşullar gözetilir ve sınırlı tutulur. Bu amaçlar ve koşullar;
• Kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmesi,
• Kişisel verilerin işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin İlgili Kişiler tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde işlenmesi,
• Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• İlgili Kişiler’in temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
• Kişisel veri işleme faaliyetinde bulunulmasının ilgili kişilerin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da ilgili kişilerin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.
• Özel nitelikli kişisel veriler bakımından;
o İlgili Kişiler’in sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülmesi (kanun hükmü yok ise İlgili Kişiler tarafından açık rıza gösterilmesi),
o İlgili Kişiler’in sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından (bu durum yok ise İlgili Kişiler tarafından açık rıza gösterilmesi) hallerinde işlenmektedir.

7.2. Kişisel Verilerin Saklanma Süreleri
İlgili mevzuatta öngörülmesi durumunda kişisel veriler bu mevzuatta belirtilen süre kadar saklanır. Buna ilaveten saklama sürelerinin belirlenmesinde, ilgili sözleşmelerden kaynaklı yükümlülükler, idari ve hukuki anlamdaki sorumluluklar/yükümlülükler, hukuki anlamda ortaya çıkabilecek risk ve işlemler de gözetilir.
Kişisel verilerin, saklama sürelerine ilişkin olarak Kişisel Veri Saklama ve İmha Politikası oluşturulur ve uygulanır.
İşlenen kişisel veriler ve kişisel veri envanterleri 6 aylık periyotlar halinde gözden geçirilir ve silinmesi/yok edilmesi gereken kişisel veriler işbu 6 aylık periyodik imha süreleri içerisinde silinerek/imha edilerek işlem tutanak altına alınmaktadır.

8. GÖZDEN GEÇİRME
Politika, Şirket yönetim kurulu tarafından onaylanarak yürürlüğe girer.
Politika’da yapılacak değişikliklere ilişkin olarak, yönetim kurulu tarafından yetkilendirilecek kişi/kişilerin onayı alınır. Politika’nın Şirket içinde uygulanmasına ilişkin hususlar, şirket içi politika, prosedür ve iç yönergeler ile sistematik hale getirilir.
Politika, 6 ayda bir gözden geçirilir ve gerekli olması halinde yetkilendirilen kişinin onayı ile ilgili revizeler yapılır.

9. KİŞİSEL VERİLERİ KORUMA KOMİTESİ
Kişisel verilerin korunması hukuku çerçevesinde irtibat kişisi atanır.
Şirket birimleri ve çalışanları arasından 5 kişilik bir Kişisel Verileri Koruma Komitesi (“Komite”) oluşturulur.
Komite’ye Şirket irtibat kişisi başkanlık etmektedir.
İrtibat kişisi, idari ve teknik tedbirler konusunda Komite görüş ve tavsiyeleriyle hareket eder. İdari ve teknik tedbirler konusunda Komite tarafından belirlenen ilkeler dikkate alınır.
Komite, Şirket kişisel verilerin korunması mevzuatına uyumluluğu için gereken çabayı sarf eder. İrtibat kişisi, kişisel verilerin korunması hukuku kapsamında sorumlu olduğu Şirket birimlerini denetler. Bu denetimler sonucunda gerekli durumlarda ilgili birimleri uyarır ve üst yönetimi durumdan haberdar eder.
İrtibat kişisi Şirket’e yapılan ilgili kişi başvurularının yasal süreler içerisinde ve usule uygun şekilde cevaplandırılması konusunda koordinasyonu sağlar.
İrtibat kişisi, Şirket’in, Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yönetir.

11. YÜRÜRLÜK
Politika, Şirket yönetim kurulu/yetkili organlar tarafından kabul edilip duyurulma tarihinden itibaren yürürlüğe girer.