KVKK

  1. GİRİŞ

Veri sorumlusu olarak AYCA SÜT ÜRÜNLERİ ANONİM ŞİRKETİ (“Ayca Süt Ürünleri”) için müşterileri, çalışanları ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması büyük önem arz etmektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için hedeflenen gaye; müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır. Bu kapsamda, 6698 Sayılı Kişisel Verilen Korunması Kanunu (“Kanun”) ve ilgili mevzuat gereğince kişisel verilerin işlenmesi ve korunması için şirket tarafından gereken idari ve teknik tedbirler alınmaktadır.

Bu politika kapsamında kişisel verisi işlenen gerçek kişiler, Veri İlgilisi, İlgili Kişi veya Kişisel Veri Sahibi olarak ifade edilmiştir.

            Bu Politika’da kişisel verilerin işlenmesi süreçleri için Şirketin benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:

  • Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
  • Kişisel verileri doğru ve gerektiğinde güncel tutma,
  • Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
  • Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
  • İlgili kişileri aydınlatma ve bilgilendirme,
  • İlgili kişilerin haklarını kullanması için gerekli altyapıyı oluşturma,
  • Kişisel verilerin korunması için gerekli tedbirleri alma,
  • Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
  • Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi.

 

  1. AMAÇ VE KAPSAM

Bu Politikanın temel amacı, şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda müşterilerimizi, çalışanlarımızı, çalışan adaylarımızı, ziyaretçilerimizi, kişisel verileri alınmış müşterilerimizi, iş birliği içinde olduğumuz kurumların hissedar ve çalışanlarını ve üçüncü kişileri bilgilendirerek şeffaflık sağlamaktır.

 

  1. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Ayca Süt Ürünleri; Kanun’un 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda şirket; veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu haklar konusunda ilgili kişinin niteliğine ve veri işleme sürecine göre aydınlatma yapmaktadır. Ayrıca şirketimizin web sitesinde de bu politika ile birlikte müşteri aydınlatma metni de yayınlanmıştır.

 

  1. KİŞİSEL VERİ ENVANTERİ VE KİŞİSEL VERİLERİN SINIFLANDIRILMASI

Şirket nezdinde, AYCA SÜT ÜRÜNLERİ’nin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere, Kanun’da belirtilen genel ilkelere ve düzenlenen tüm yükümlülüklere uyularak ve işbu politika kapsamındaki kişisel veri sahipleriyle (müşteriler, potansiyel müşteriler, çalışanlar, ziyaretçiler, üçüncü kişiler, çalışan adayları, işbirliği içinde olduğumuz kurumların çalışanları) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.

Şirket, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları ve saklama süreleri yer almaktadır. Bu kapsamda Şirket kişisel veri envanteri içerisinde aşağıda sayılanlarla sınırlı olmamak kaydıyla belirtilen veri kategorileri bulunmaktadır.

  1. KİŞİSEL VERİ KATEGORİZASYONU

Kimlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait; ad-soyad, T.C. kimlik numarası, doğum yeri, doğum tarihi, cinsiyet, nüfus cüzdanı, vergi numarası, SGK numarası, vb. bilgiler.

İletişim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait; telefon numarası, adres, e-mail adresi, faks numarası gibi bilgiler.

Fiziksel Mekân Güvenlik Bilgisi

Şirkete ait fiziksel mekanlara girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar vb.

Finansal Bilgi

Şirket’in ilgili kişi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası gibi veriler.

Özlük Bilgisi

Şirket ile kurduğu hizmet akdi uyarınca personel sıfatıyla çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri.

Eğitim ve Meslek Verileri

Çalışanların, adayların, müşterilerin ve potansiyel müşterilerin iş geçmişi ve eğitim geçmişine ait bilgilerdir.

Hukuki İşlem Bilgisi

Şirket’in hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri kapsamında işlenen veriler.

Müşteri İşlem Bilgisi

Ürün ve hizmetlerin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler.

Özel Nitelikli Kişisel Veri

Kanun’un 6. maddesinde belirtilen ve mahiyetleri itibariyle işlenmesi ve korunması daha özel şartlara bağlanan verilerdir (örn. sağlık verileri, ceza mahkumiyeti verileri, vb).

            Şirket, veri işleme faaliyetleri kapsamında ve şirket içinde kullanılan veri türlerini esas alarak oluşturduğu Honda Kişisel Veri Envanterinde; yukarıda gösterilen tabloda gösterildiği üzere veri sınıflandırmalarını ve saklama sürelerini tamamlamış gerekçeleriyle tespit etmiştir.

 

  1. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi

Şirket ile kişisel veri sahipleri arasındaki ticari, hukuki, sözleşmesel veya bir başka surette kurulan ilişki kapsamında; aşağıda belirtilen amaçlar çerçevesinde ve Kanun’un 5. maddesinin 2. fıkrası ve devamındaki hukuka uygunluk sebeplerine ve açık rızaya istinaden; Kişisel Veriler, Şirket  tarafından doğrudan ilgili kişiden elektronik veya fiziksel ortamlarda toplanmakta ve işlenebilmektedir. Bu hususta gerekli detaylar aydınlatma metinlerinde belirtilmiş ve kişisel veri sahiplerine fiziki ve elektronik ortamlarda sunulmuştur

 

Veri işlemenin hukuki dayanağı olarak aşağıdaki hususlardan en az biri kabul edilmektedir:

  • Şirket’in tabi olduğu mevzuatta öngörülmüş olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, talep edilen ürün ve hizmetleri sunabilmek veya akdedilen sözleşmelerin gereğinin yerine getirilmesi,
  • Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için veri işlemenin zorunlu olması,
  • İlgili kişi tarafından alenileştirilmiş olması,
  • Şirket’in mevzuat veya iç uygulayışı gereği bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri işlemenin gerekli olması,
  • Veri İlgilisinin açık rızası.

 

İlgili kişinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca biridir. Açık rıza dışında, kanunda belirtilen şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı yukarıda belirtilen şartlardan yalnızca biri olabileceği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

 

Şirket, Anayasa’nın 20. maddesine ve Kanun’un 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirket, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza eder.

 

Kişisel Veri İşleme Kriterleri

Şirket, Kanun’un 10. maddesine uygun olarak ilgili kişileri aydınlatmakta ve rıza alınması gereken durumlarda veri ilgililerinden rızalarını talep etmekte, bu kişisel verileri belli kriterleri esas alarak işlemektedir. Bu kriterler; hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama, belirli, açık ve meşru amaçlarla işleme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmek şeklindedir.

 

  1. ŞİRKET İŞYERİ BİNASI GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

Şirket tarafından güvenliğin sağlanması amacıyla, işyerinde (Girişler ve bina) güvenlik kamerasıyla izleme faaliyeti ile misafir ve çalışanların giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması suretiyle kişisel veri işleme faaliyeti yapılmasının ve çalışanlara yönelik olarak giriş çıkış takibi için yapılan kişisel veri işleme faaliyetinin dayanağı, Kanun’un 5. maddesinin 2. fıkrasında belirtilen Meşru Menfaat ilkesidir.

 

Güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşınmaktadır. Bu izleme faaliyeti ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Kanun’un 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler şirket tarafından alınmaktadır.

 

  1. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirket bünyesinde Kişisel veri işlenme amaçları çeşitlidir. Bu amaçlar şu şekildedir:

 

  1. A) Şirket İç Operasyonlarının Yürütülmesi ve İnsan Kaynakları, Personel Süreçlerinin Yönetimi (Ticari Faaliyetlerin Kurgulanması ve İcrası; Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası; Çalışanlar için Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi; Finans ve Muhasebe İşlerinin Takibi; İş Sağlığı ve Güvenliği Süreçlerinin Planlanması ve İcrası; İnsan Kaynakları Süreçlerinin Planlanması ve İcrası; İş Faaliyetlerinin Planlanması ve İcrası; İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve İcrası; Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası; Üretim, Tasarım ve ilgili diğer Operasyon Süreçlerinin Planlanması ve İcrası; Denetim ve Güvenlik Faaliyetlerinin Yürütülmesi; Fiziksel Mekan Güvenliğinin Temini; Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi; Veri Sorumlusu Operasyonlarının Güvenliğinin Temini; İnternet Erişimi Sağlanması ve Erişim Güvenliğinin Temini; İlgili mevzuat gereği saklanması gereken bilgilerin muhafazası ve bilgi kayıplarının önlenebilmesi için kopyalanması, yedeklenmesi, veri tabanlarımızın ve bilgilerin güvenliği için gerekli teknik ve idari tedbirlerin alınması)

 

  1. B) Hukuksal, Teknik ve İdari Sonucu Olan Faaliyetler (Acil Durum Yönetimi Süreçlerinin Planlanması ve İcrası; İş Sağlığı ve Güvenliği Süreçlerinin Planlanması ve İcrası; Hukuk İşlerinin Takibi; Yetkili Kuruluşlara Bilgi Verilmesi; Şirket Operasyonlarının Güvenliğinin Temini; İşyerinin Güvenliğinin Temini; Şirket Denetim Faaliyetlerinin Planlanması ve İcrası; Şirket Faaliyetlerinin İlgili Mevzuata Uygun Olarak Yürütülmesi Faaliyetlerinin Planlanması ve İcrası; Bilgi ve İşlem güvenliği süreçlerinin yönetimi)

 

  1. C) Müşteriye Dokunan Süreçler/ Operasyonlar ve Pazarlama Faaliyetleri(Mal ve Hizmet Satın Alma, Satış Süreçlerinin Planlanması ve İcrası; Satış Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve İcrası; Ürün ve Hizmetlerin Satış ve Pazarlama Süreçlerinin Planlanması ve İcrası; Sözleşme Süreçlerinin ve Hukuki Taleplerin Takibi; Finans ve Muhasebe İşlerinin Yürütülmesi; Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası; Fiziksel Mekan Güvenliğinin Temini; Yasal Yükümlülüklerin Yerine Getirilmesi; Hukuki Süreçlerin Yürütülmesi; İletişim Faaliyetlerinin Yürütülmesi ve Ticari Elektronik İleti Gönderimi; Bilgi ve İşlem Güvenliği; Yetkili Kurum ve Kuruluşlara Bilgi Verilmesi)

 

  1. D) Finansal Operasyonlar (Bankacılık ve Sigorta İşlemleri; Tüm Ödeme ve Tahsilat İşlemleri; Finans ve Muhasebe İşlemleri; Yatırım Süreçleri; Finansal Kiralama İşlemleri; E-fatura ve E-arşiv İşlemleri; Vergi Mevzuatından Kaynaklı İşlemler; İlgili mevzuat gereği saklanması gereken bilgilerin muhafazası, bilgi kayıplarının önlenebilmesi için kopyalanması, yedeklenmesi; bilgilerin tutarlılığının kontrolünün sağlanması)

 

  1. E) Strateji Planlama & İş Yönetimi (Faaliyetlerin Mevzuata Uygun Yürütülmesi; Sözleşme, Sipariş, Tedarik Süreçlerinin Yürütülmesi; Finans ve Muhasebe İşlerinin Yürütülmesi; Fiziksel Mekân Güvenliğinin Sağlanması; İlgili mevzuat gereği saklanması gereken bilgilerin muhafazası, bilgi kayıplarının önlenebilmesi için kopyalanması, yedeklenmesi; bilgilerin tutarlılığının kontrolünün sağlanması; veri tabanlarımızın ve bilgilerin güvenliği için gerekli teknik ve idari tedbirlerin alınması)

 

  1. KİŞİSEL VERİLERİN AKTARILMASI VE AKTARILMA AMAÇLARI

Şirket, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel ilgili kişinin kişisel verilerini üçüncü kişilere aktarabilmektedir. Aktarım sebepleri aşağıda açıklanmıştır:

  • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
  • Şirketin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
  • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirketin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

 

Şirket, Kanun’un 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri sahiplerinin kişisel verilerini “İşin sürdürülmesi için gerekli olan çalışma ortaklarına, Banka ve sigorta şirketlerine, Çalışanlara sağlık hizmeti sağlanan kurum ve kuruluşlarına, Şirket tedarikçilerine, Hukuken yetkili kamu kurum ve kuruluşlarına” aktarılabilir.

 

  1. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

 

Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

 

            Şirket tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler şunlardır:

  • Yeni teknolojik gelişmeler takip edilmekte ve özellikle siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Eski çalışanlara erişim kısıtlaması uygulanmakta, hesaplar belirli süreler sonunda kapatılmaktadır.
  • Şirket, iç işleyiş gereğince alınan teknik önlemler veri tabanlarına erişim yetkisi olan personelce tespit edilmekte ve risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
  • Virüs koruma sistemleri, veri açığı güvenlikleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır
  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

 

Şirket tarafından kişisel verilerin hukuka uygun işlenmesi ve korunması için alınan başlıca idari tedbirler şunlardır:

  • Şirket çalışanları, bayi ve yetkili servis çalışanları kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
  • Şirketin yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
  • Şirket bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri, bu faaliyetlerin Kanun’un aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler hakkında her bir iş birimi bu konuda bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir.
  • Şirket bünyesindeki bölümlerin kişisel veri güvenliği ile ilgili denetim ve yönetimi ile iş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi yürütülen çalışmalar ve eğitimler yoluyla hayata geçirilmektedir.
  • Şirket ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek sözleşmeler yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmıştır.
  • Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri düzenli olarak denetlenmektedir.

 

  1. ŞİRKET ÇALIŞANLARININ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDAKİ EĞİTİMLERİ

Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışanlarına, bayi ve yetkili servislerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.

 

  1. VERİ İLGİLİLERİNİN HAKLARI VE TALEPLERİ

Kişisel veri sahiplerinin aşağıda sıralanan haklarına ilişkin taleplerini; kimlik ibrazı ile şahsi başvuru ile, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi ve şirketin sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle şirkete kimlikleri teyit edilebilir bir biçimde iletilmesi durumunda, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak cevaplandıracaktır.

 

Şirket, Kanun’un 10. maddesine uygun olarak ilgili kişinin haklarını kendisine bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı konusunda ilgili kişiye yol göstermektedir. Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kanun’un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

 

Kişisel veri sahibi ilgili kişiler şu haklara sahiptirler: Kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

Kişisel veri sahipleri bu politikada belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle yazılı olarak veya kayıtlı elektronik posta (KEP) adresi ve şirketin sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle şirkete kimlikleri teyit edilebilir bir biçimde iletilmesi durumunda veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle şirkete ücretsiz olarak iletebileceklerdir.

 

Kişisel veri sahiplerinin başvurunun geçerli bir başvuru olarak kabul edilebilmesi için, Veri Sorumlusuna Başvuru Usulleri Hakkında Tebliğ uyarınca başvuruda ilgili kişinin ad, soyad ve başvuru yazılı ise imza; Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası; tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası; talep konusu bilgilerini belirtmesi zorunludur. Aksi halde başvuru geçerli bir başvuru olarak değerlendirilmeyecektir.

 

Ayrıca kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

 

  1. KİŞİSEL VERİLERİN İMHASI

 

Türk Ceza Kanunu’nun 138. maddesinde, KVKK 7. maddesinde ve KVK Kurulu tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Şirket bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır.

 

  1. POLİTİKANIN YÜRÜRLÜĞÜ ve GÜNCELLENMESİ

 

Şirket tarafından düzenlenen bu Politika şirketin internet sitesinde (www.aycasüt.com) yayımlanır ve herkesin erişimine açıktır.

 

Ayca Süt Ürünleri Anonim Şirketi

             (Veri Sorumlusu)

1) GİRİŞ

1.1 Amaç

Kişisel Verileri Saklama ve İmha Politikası, Kişisel Verileri Koruma Kurumunca gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. Kurum; stratejik planda belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, kurum tarafından bu doğrultuda hazırlanmış olan politikaya uygun olarak gerçekleştirilir.

 

1.2 Kapsam

Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu politika kapsamında olup Kurumun sahip olduğu ya da Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu politika uygulanır.

 

1.3 Kayıt Ortamları

Kişisel veriler, Kurum tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

 

Tablo 2: Kişisel veri saklama ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

– Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

–  Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)

–  Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )

– Kişisel bilgisayarlar (Masaüstü, dizüstü)

– Mobil cihazlar (telefon, tablet vb.)

– Optik diskler (CD, DVD vb.)

– Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

– Yazıcı, tarayıcı, fotokopi makinesi

– Kâğıt

– Yazılı, basılı, görsel ortamlar

2) SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Kurum tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

 

2.1. Saklamaya İlişkin Açıklamalar

Kanun’un 3’üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4’üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

 

  • Saklamayı Gerektiren Hukuki Sebepler

Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 4734 sayılı Kamu İhale Kanunu,
  • 657 sayılı Devlet Memurları Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 5018 sayılı Kamu Mali Yönetimi Kanunu,
  • 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 2547 sayılı Yükseköğretim Kanunu,
    • 5434 sayılı Emekli Sağlığı Kanunu,
    • 2828 sayılı Sosyal Hizmetler Kanunu
    • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
    • Arşiv Hizmetleri Hakkında Yönetmelik,

uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

  • Saklamayı Gerektiren İşleme Amaçları

Kurum, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

  • İnsan kaynakları süreçlerini yürütmek.
  • Kurumsal iletişimi sağlamak.
  • Kurum güvenliğini sağlamak,
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
  • VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
  • Kurum ile iş ilişkisinde bulunan gerçek /tüzel kişilerle irtibat sağlamak.
  • Yasal raporlamalar yapmak.
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
  • İmhayı Gerektiren Sebepler Kişisel veriler

Aşağıdaki hallerde, kurum tarafından kişisel veriler ilgili kişinin talebi üzerine, silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun kurum tarafından kabul edilmesi,
  • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; kurula şikâyette bulunması ve bu talebin kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

3) TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için 6698 Sayılı Kanun’un 12’nci maddesi ile 6’ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde kurum tarafından teknik ve idari tedbirler alınır.

 

  • Teknik Tedbirler

Kurum tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yöntemi uygulanmaktadır.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlamış ve uygulamaya başlanmıştır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • İmzalan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içerien fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren ortamların güvenliği saplanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.
  • İdari Tedbirler

Kurum tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

  • Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, ilgili mevzuat hakkında eğitimler verilmektedir.
  • Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
  • Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
  • Kişisel veri işlemeye başlamadan önce kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

4) KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

 

                 

 

 

4.1. Kişisel Verilerin Silinmesi

Kişisel veriler Tablo-3’te verilen yöntemlerle silinir.

 

Tablo 3: Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı

Açıklama

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi  uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

  • Kişisel Verilerin Yok Edilmesi

Kişisel veriler, Kurum tarafından Tablo-4’te verilen yöntemlerle yok edilir.

 

Tablo 4: Kişisel Verilerin Yok Edilmesi

Veri Kayıt Ortamı  

  Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler 

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

 

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

4.3.Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

 

5) SAKLAMA VE İMHA SÜRELERİ

Kurum tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri, Kişisel Veri İşleme Envanterinde; veri kategorileri bazında saklama süreleri, VERBİS’e kayıtta; süreç bazında saklama süreleri ise, Kişisel Veri Saklama ve İmha Politikasında yer alır.

 

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Veri Yönetimi Dairesi Başkanlığınca güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı tarafından yerine getirilir.

 

Tablo 5: Süreç bazında saklama ve imha süreleri tablosu

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Kurul İşlemleri

İş veya hukuki ilişkisinin sonlanmasından itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Sözleşmelerin hazırlanması

İş veya hukuki ilişkisinin sonlanmasından itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Kurum İletişim Faaliyetlerinin İcrası

İş ilişkisinin sonlanmasından itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İnsan Kaynakları Süreçlerinin Yürütülmesi

İş veya hukuki ilişkisinin sonlanmasından itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Kamera Kayıtları

 75 Gün

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

  1. PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11’inci maddesi gereğince kurum, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kurumda her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

 

  1. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Veri Yönetimi Dairesi Başkanlığında dosyasında saklanır.

 

  1. POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

 

9.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, Kurumun internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları Kurul Kararı ile Veri Yönetimi Dairesi Başkanlığı tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Veri Yönetimi Dairesi Başkanlığı tarafından saklanır.

Kişisel verilerinizin bu Aydınlatma Metni kapsamında işlenmesine ilişkin olarak, AYCA SÜT  ÜRÜNLERİ ANONİM ŞİRKETİ (“Ayca Süt Ürünleri”)  “Veri Sorumlusu” sıfatına sahip olup; kişisel verileriniz veri sorumlusu tarafından aşağıda açıklanan çerçevede ve her zaman 6698 sayılı Kişisel Verilerin Korunması Kanunu ile uyumlu olarak işlenir.

 

  1. Kişisel Verilerinizin İşlenme Amaçları:

Kişisel verileriniz, veri sorumlusu ile irtibat kurulan iş teklifleri, siparişler, anlaşmalar ve iş sürecine ilişkin her türlü işlemin gerçekleştirilmesi; veri sorumlusunun iş ilişkisi içerisinde bulunduğu kişilerin kurumsal güvenliğine yönelik çalışmaların organize edilmesi, planlanması, icrası ve denetimi; iş süreçlerine uygun olarak operasyon ve faaliyetlerin kurgulanması ve/veya icrası ve/veya geliştirilmesi; veri sorumlusu ile görüşülen iş teklifi yahut iş sürecine ilişkin herhangi bir işlemde bulunan kişilere iş hakkında görüşmelerin sağlanabilmesi, bu amaçla iş hakkında değerlendirme yapılabilmesi için görüşme notlarının saklanması; veri sorumlusu ile görüşülmüş iş teklifi yahut iş sürecine ilişkin herhangi bir işlemin arşivlenmesi ve raporlanması amacıyla kaydının tutulması gibi amaçlarla işlenir.

 

  1. Kişisel Verilerinizin Üçüncü Kişilerle Paylaşılması

Kişisel verileriniz; yukarıda belirtilen amaçlar doğrultusunda ve amacın gerektirdiği ölçüde; iş sürecinin yürütülmesi adına, hizmet sağlayıcılara ve ayrıca kanunen yetkili kamu kurumları ve/veya özel kişilere, Kişisel Verilerin Korunması Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilmektedir.

 

  1. Kişisel Verilerinizin Toplanma Yöntemi ve Hukuki Sebebi

Kişisel verileriniz veri sorumlusu tarafından, şirketimizin web sitesi aracılığı ile ve haricen gönderdiğiniz e-postalar, telefon görüşmeleri, yüz yüze görüşmeler esnasında elden iletilmesi vb. farklı kanallar ve farklı hukuki sebeplere dayanarak fiziki ve/veya elektronik ortamlarda toplanmakta, muhafaza edilmekte ve tamamen veya kısmen otomatik yöntemlerle veya bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle işlenmektedir. Kişisel verilerinizin toplanmasına ilişkin temel hukuki sebepler, veri sorumlusu ile görüşülmüş iş teklifi yahut iş sürecine ilişkin herhangi bir işlemin değerlendirilmesi ve sürdürülmesidir. Bu amaçla kişisel verileriniz 6698 sayılı Kanunun 5. maddesinde belirtilen kişisel veri işleme şartları dahilinde; 6698 sayılı Kanunun madde 5/2/c sözleşmesinin kurulması ve ifası için; madde 5/2/e bir hakkın tesisi, kullanılması amacıyla; madde 5/2/f ilgili kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması halinde işlenebilecektir.

 

  1. Kişisel Veri Sahibinin 6698 Sayılı Kanun’un 11. Maddesinde Sayılan Hakları

Kişisel veri sahipleri olarak Kanun’un 11. maddesi uyarınca; kişisel verilerinizin işlenip işlenmediğini öğrenme, kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme, kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme, 6698 sayılı Kanun ve sair mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize olan bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme, haklarınız bulunmaktadır. Yukarıda sıralanan haklarınıza yönelik başvurularınızı, iletişim kanallarımızdan veri sorumlusuna iletebilirsiniz. Veri sorumlusuna yazılı olarak veya e-mail ile iletmeniz durumunda, talebin niteliğine göre talebiniz en kısa sürede ve en geç 30 (otuz) gün içinde sonuçlandıracaktır. İşlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir. Kişisel verilerinizin tarafımızca işlenme amaçları konusunda detaylı bilgilere; internet adresimiz olan www.aycasut.com.tr üzerinden kamuoyu ile paylaşılmış olan Kişisel Verilerin Korunması ve İşlenmesi Politikası’ndan ulaşabilirsiniz.