KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI GENEL POLİTİKASI
1. GİRİŞ
Kişisel Verilerin İşlenmesi ve Korunması Genel Politikası ile (“Politika”) Aromsa Besin Aroma ve Katkı Maddeleri Sanayi ve Ticaret Anonim Şirketi unvanlı şirketimizin (“Şirket”) bir veri sorumlusu olarak, işlediği kişisel veriler hakkında sizleri bilgilendirmeyi amaçladık.
Politika ile Şirketimiz, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) başta olmak üzere yürürlükte olan ilgili ve bağlı mevzuat hükümleri uyarınca kişisel verilerin işlenmesi ve korunmasına dair genel ilke ve esaslarını arz etmektedir.
2. AMAÇ VE KAPSAM
Kanun işbu Politikanın esas dayanağıdır. Bu doğrultuda, Şirketimiz, faaliyet ve operasyonlarını yerine getirirken karşılaştığı ve ilişki kurduğu tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu çerçevede Kanun’da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesine önem vermektedir.
Politikanın temel amacı, Şirketimiz tarafından kişisel verilerin toplanması, saklanması ve aktarılması dahil tüm işleme süreçleri ile benimsediğimiz temel ilkeler hakkında, Şirket ortaklarımızı, yetkililerimizi, çalışanlarımız ve çalışan adaylarımızı, stajyerlerimizi, müşteri ve potansiyel müşterilerimizi, ziyaretçilerimizi, tedarikçilerimizi, işbirliği içinde olduğumuz kurumları ve bu kurumların çalışanları ile yetkililerini ve gerekli oldukça kişisel verileri Şirketimiz tarafından işlenen ilgili kişileri bilgilendirmektir.
3. KISALTMALAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinin üst kavramı.
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri:Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri Envanteri:Şirketimiz bünyesinde işlenen Kişisel Verilerin neler olduğunu süreç bazlı olarak gösteren envanter.
Kişisel Verilerin İşlenmesi:Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi.
Kişisel Verilerin Silinmesi:Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi:Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin Anonim Hale Getirilmesi:Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kurul:Kişisel Verileri Koruma Kurulu.
Kurum:Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel Veri:Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.
Periyodik İmha:Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek imha işlemi.
Veri Kayıt Sistemi:Kişisel Verilerin Şirket bünyesinde işlendiği kayıt sistemleri.
Veri konusu kişi grubu / İlgili Kişi:Şirketimiz ve/veya Şirketimizin bağlı şirketleri ve iştiraklerinin çalışan ve stajyerleri, çalışan ve stajyer adayları; müşteri, potansiyel müşteri ve tedarikçilerinin ortak, yönetici ve çalışanları; Şirketimizin hissedarları, yetkilileri, ziyaretçileri, danışman, eğitmen ve denetçileri, iş birliği içinde çalıştığı kurumların çalışanları gibi kişisel verisi işlenen gerçek kişilerdir.
Veri Sorumlusu:Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. İşbu Politikada geçen Veri Sorumlusu Aromsa Besin Aroma ve Katkı Maddeleri Sanayi ve Ticaret Anonim Şirketi unvanlı şirketimizdir.
Veri Tabanı:Veri kayıtlı olan dosyaların tümü.
4. KİŞİSEL VERİSİ İŞLENEN İLGİLİ KİŞİLER (VERİ KONUSU KİŞİ GRUPLARI) VE KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİMİZ
Veri Sorumlusu olarak Şirketimizin kişisel verisini işlediği ilgili kişiler sıklıkla; müşteriler, potansiyel müşteriler, çalışanlar, stajyerler, çalışan ve stajyer adayları, alt işveren çalışanları, işyeri ziyaretçileri, ağ ziyaretçileri, tedarikçi ve müşterimizin ortak, yönetici ve çalışanları, eğitmen, danışman ve denetçiler ile fuar ve etkinlik katılımcılarıdır.
Aşağıdaki tablo, söz konusu kişi gruplarına dair kişisel verilerin nereden ve ne şekilde toplandığını genel bir çerçevede açıklamaktadır.
5. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
Yukarıda yer verilen kişi gruplarına ait işlediğimiz Kişisel Veri kategorileri ise genel olarak aşağıda listelenenlerdir. Bünyemizde Kişisel Verisi en yoğun olarak işlenen kişi grubu ise çalışanlardır.
• Kimlik verileri,
• İletişim verileri,
• İşlem güvenliği verileri,
• Özlük verileri,
• Aile bireyleri ve yakınlarına ait veriler,
• Mesleki deneyim ve eğitim verileri,
• Müşteri ve Tedarikçilere ait işlem verileri,
• Talep, yorum ve öneriler,
• Finans veriler,
• Pazarlama verileri,
• Hukuki İşlem verileri,
• Fiziksel mekân güvenliğine dair veriler,
• Görsel ve işitsel kayıtlar,
• Sağlık verileri,
• Ceza mahkumiyeti verileri,
• Biyometrik veri,
• Özgeçmişlerde yer alması ve çalışan / çalışan adayı tarafından paylaşılması halinde dernek üyelikleri.
6. KİŞİSEL VERİLER İŞLENİRKEN DİKKATE ALDIĞIMIZ GENEL İLKELER
Şirketimiz, Kişisel Verileri işlerken öncelikle Kanun’un 4. Maddesinde yazılı olan genel ilkelere uygun hareket eder. Bu doğrultuda, Kişisel Verileri sadece;
1. Hukuka ve dürüstlük kuralına uygun olarak,
2. Doğru ve gerektiğinde güncelliğini sağlamak için gereken gayret içinde,
3. Belirli, açık ve meşru amaçları oldukça ve
4. Bu amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlemektedir.
Kişisel Verileri, yukarıdaki temel ilkeler ve aşağıda sayılı olan işleme amaçlarına göre tespit ettiğimiz saklama süreleri boyunca işleriz. Buna göre genellikle ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza ederiz. Kişisel Verileri saklama sürelerimiz ve imha yöntemlerimiz Saklama ve İmha Politikamızda düzenlenmiştir.
7. KİŞİSEL VERİLERİ İŞLEME ŞARTLARIMIZ VE İŞLEME AMAÇLARIMIZ
Şirketimiz, Kişisel Verileri, yukarıda bahsi geçen genel ilkelerle uyumlu şekilde Kanun’un 5. Maddesi ve Özel Nitelikli Kişisel Verileri için de 6. Maddesinde işleme şartlarına (hukuka uygunluk sebepleri) istinaden işlemektedir.
Buna göre Şirketimiz Kişisel Verileri Kanun’un 5. Maddesine istinaden;
1. Kanunlarda açıkça öngörülmesi,
2. Fiili imkânsızlık sebebiyle İlgili Kişinin açık rızasının alınamaması,
3. Sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
4. Veri Sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
6. Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
7. İlgili Kişinin temel hal ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaati için veri işlemenin zorunlu olması işleme şartlarından bir veya birkaçına dayanarak ve
8. Gereken hallerde İlgili Kişinin Açık Rızasının temin edilmesi suretiyle toplamakta ve işlemektedir.
Şirketimiz, Özel Nitelikli Kişisel Verileri ise Kanun’un 6. Maddesinde belirtilen işleme şartlarından birinin mevcut olması halinde işler. Buna göre;
1. İlgili Kişinin Açık Rızasının mevcut olması,
2. Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesinin kanunlarda öngörülmesi,
3. Sağlık ve cinsel hayata ilişkin kişisel veriler için ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
Şirketimiz, Kişisel Veri İşleme Envanterinde yer alan süreçler bazında Kişisel Verileri genellikle aşağıdaki amaçlarla işlemektedir:
• Taraf olduğumuz sözleşmeler ve yürürlükteki mevzuat gereği üstlendiğimiz tüm edim ve taahhütleri yerine getirilebilmek, sahip olduğumuz hakları talep edebilmek, kanuni ve idari yükümlülüklerimizi ifa edebilmek;
• Genel anlamda Şirketimizin tüm amaç ve iş faaliyetlerini yürütebilmek;
• Ticari faaliyetlerimizi geliştirebilmek, ürünlerimizin kalitesini ve çeşitliliğini artırabilmek;
• Ürünlerimizin tadımlarını yapabilmek, sonuç ve beğenileri ölçümlemek ve iş süreçlerinin iyileştirilmesine ve geliştirilmesine yönelik önerileri almak ve değerlendirmek;
• Pazarlama, tanıtım, müşteri hizmetleri ve iletişim faaliyetlerini planlayabilmek ve yürütebilmek;
• Kurumsal satış, pazarlama, müşteri ilişkileri, bilgi teknolojileri, muhasebe süreçlerini etkin bir şekilde planlanmak ve uygulayabilmek;
• Kalite Kontrol ve Kalite Güvence için ihtiyaç duyulan teknik hizmetler ile EFQM mükemmellik modeli yolculuğu ve ödül sürecini planlamak ve yönetebilmek;
• Müşteri ilişkilerini kurmak, yönetmek, ürün teslimi ve tahsilat dahil ilgili tüm süreçleri yürütebilmek;
• Her türlü mal ve hizmet tedariki ilişkilerini kurmak, yönetmek, ödeme ve değerlenme dahil ilgili tüm süreçleri yürütebilmek;
• Her türlü etkinlik, organizasyon ve seyahatleri planlayabilmek;
• Tadımlar yaptırmak ve sonuçlar ile beğenileri iş süreçlerimizi ve ürünlerimizi geliştirmek ve yenilemek için değerlendirmek;
• Her türlü muhasebe işlemlerini yürütmek, elektronik veya fiziki ortamda tüm mali kayıt ve belgeleri düzenlemek, tutmak;
• Yasal defterleri tutmak, fatura, e-fatura, makbuz vb. düzenlenmek;
• Cari hesap, borç-alacak kayıtlarını tutmak;
• Gümrük ve mali mevzuattan kaynaklı bilcümle taahhüt ve yükümlülüklerimizi yerine getirebilmek;
• Bilcümle borç, alacak ve bakiye ödemelerini takip etmek, ödeme yapmak, ödeme kabul etmek, teminat vermek ve kabul etmek;
• Şirketimizin bütçe, planlama, denetim, hukuk ve mali raporlama işlemlerini icra ve takip etmek;
• Kalite güvence ve kalite kontrol süreçlerini planlamak, ilgili denetimleri yapabilmek;
• Gıda Mevzuatı ve bağlı mevzuattan kaynaklanan yasal ve idari yükümlülüklerimizi yerine getirebilmek;
• Seçme ve yerleştirme süreçlerini planlamak ve yönetmek;
• İşe alım, performans yönetimi, yan hak ve sosyal menfaatlerin tesisi, terfi, ödüllendirme, disiplin gibi insan kaynakları süreçlerini planlanmak ve uygulamak;
• Başta İş Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Sağlığı ve Güvenliği Kanunu, Alt İşverenlik Yönetmeliği olmak üzere, yürürlükteki tüm iş ve sosyal güvenlik mevzuatından kaynaklanan yasal ve idari yükümlülüklerimizi yerine getirebilmek;
• İş sözleşmelerini kurmak, kurulan iş sözleşmeleri gereği üstlendiğimiz tüm taahhüt ve yükümlülüklerimizi yerine getirebilmek, haklarımızı talep edebilmek;
• Çalışanlarımızın bordro ve özlük işlemlerini takip etmek, bu kapsamda aylık bordroları düzenlemek, yasal bildirgeleri sunmak, ücret ve yan hakları ödemek ve/veya tahsis etmek, sosyal yardımları sağlamak, fazla çalışmaları ve tatilleri takip etmek, gereken kesintileri yapmak, iş göremezlik hallerini takip etmek,
• İş sağlığı ve güvenliği kural ve esasları kapsamında zorunlu olan takip ve kayıtları tutmak, işe giriş muayenelerini yapmak, iş sağlığı ve güvenliği kapsamında ilgili tüm süreçleri planlamak, yürütmek;
• Çalışanların çalışma süreleri, vardiya düzenleri, izin dönemlerini planlanmak;
• İç iletişimi yürütmek, kurumsal bağlılık, çalışan bağlılığı ve memnuniyetini artırmak amacıyla gerek görülen faaliyetleri planlanmak;
• İş seyahatleri, eğitim ve çalışanlara yönelik etkinlikleri planlamak;
• Sosyal sorumluluk faaliyetlerini yürütmek,
• Tüm İşyerlerimizin, iş ortamlarımızın, fiziki ve elektronik her türlü kayıt ortamlarımızın ve web-sitemizin ilgili mevzuata göre işletilebilmelerini ve genel olarak güvenliğini sağlayabilmek;
• Her türlü ziyaretçilerimizin kayıtlarını oluşturmak, takip etmek, yasal ve güvenlik gerekliliklerini takip etmek;
• Şirketimizin yönetici ve imza yetkililerini atamak, tescil ve ilan etmek, imza sirkülerini düzenlenmek, vekâletnameleri çıkartmak;
• Şirketimizin taraf olduğu her türlü hukuki ilişkinin ve sözleşmenin sona ermesine dair bilcümle süreçleri yürütmek;
• Şirketimizin taraf olduğu hukuki işlemlerin, Şirketimize tebliğ edilen tebligat ve taleplerin gerekliliklerini yerine getirebilmek;
• Bilgi ve veri güvenliği süreçlerini yürütmek, bu bağlamdaki yasal yükümlülükleri yerine getirebilmek, sistem ve sunucularımızın güvenliğini sağlayabilmek;
• Acil durum ve risk yönetimi süreçlerini planlamak, yürütebilmek;
• Mevzuattan doğan tüm yükümlülüklerimizi yerine getirmek;
• Kamu sağlığı, güvenliği ve düzenine ilişkin hususlarda kamu makamlarına bilgi vermek;
• İlgili resmi ve idari kurumlardan ya da yargı mercilerinden gelen bilcümle talepleri yanıtlamak, savunma hakkımızı kullanmak.
8. KİŞİSEL VERİLERİN GÜVENLİĞİ
Şirketimiz, işlediği kişisel verilerin hukuka ve dürüstlük kurallarına aykırı olarak işlenmesini ve kişisel verilere yetkisiz ve hukuka aykırı erişilmesini önlemek, kişisel verilerin yeterli güvenlik seviyesinde saklanmasını ve gereken hallerde yeterli güvenlik seyisinde aktarılmasını temin etmek amaçlarıyla gerekli teknik ve idari tedbirleri almaktadır. Kanun, bağlı mevzuatı, Kurum’un Veri Güvenliği Rehberi başta olmak üzere ilgili rehber ve kılavuzları ile Kurul Kararları düzenli olarak takip edilmektedir.
Şirketimiz, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası sahibidir ve bu kapsamda da gerekli idari ve teknik tedbirleri almıştır.
Şirketimizin bir Veri Sorumlusu olarak, kişisel verilerin hukuka uygun ve korunaklı bir şekilde işlenmesini ve saklanmasını sağlamak amacıyla aldığı teknik ve idari tedbirlerden bazıları aşağıdaki gibidir:
8.1. Teknik Tedbirler
Şirketimiz, öncelikle teknik olarak sahip olduğu tüm imkanlarla veri güvenliğini sağlamaya çalışmaktadır. Bu çerçevede, Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasının da sahibi olarak;
• Şirketin bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini sağlayacak şekilde ISO 27001 standardı kapsamında düzenli takibi ile sürekliliğinin sağlanması,
• Şirket çalışanlarının ve üçüncü tarafların Şirket tarafından tahsis edilen bilgi sistemleri kaynaklarını kullanırken yerine getirmesi gereken temel sorumlulukların belirlenmesi,
• Bu temel sorumlulukların ihlali durumunda izlenecek disiplin süreçlerinin belirlenmesi,
• Şirketin log (iz kaydı) yönetimi uygulama ve gereksinimlerinin log üretimi, depolama, iletim, erişim, saklama ve imha etme kurallarının belirlenmesi,
• Şirketin ilgili süreçler/birimlerde bulunan bilgi varlıklarının belirlenmesi, varlıkların sahiplerinin belirlenmesi, belirlenen bilgilerin sınıflandırılması ve bu sınıflara bağlı kullanım kurallarının tayin edilmesi,
• Taşınabilir cihazların teslimat şartlarının oluşturulması ve teslim edilmesi hakkındaki tanımların ve kuralların tayini için Şirket içi yönergeler oluşturmuş, tüm ilgililerle yazılı ve sözlü olarak paylaşmıştır.
Veri güvenliği için topladığımız kişisel verilere sadece yetkili birim ve kişilerce erişilmesine ve onlar tarafından işlenmesine izin veriyor, Şirket içi ve/veya Şirket kontrolündeki erişimlerde erişim yapılan bilgisayarın log kayıtlarını saklıyoruz. Bu doğrultuda, ihtiyaç halinde log verisi incelenmekte, raporlanmakta ve gerekli önlemler alınmaktadır. Log yönetim sistemlerinde, hiçbir personele yazma ve değişiklik amaçlı erişim izni verilmemektedir.
Kişisel Verilerin güvenliğinin tesis ve temini için Bilgi Teknolojileri Birimimiz azami özen ile çalışmaktadır. Kişisel Veriyi muhafaza ederken şifreli ve korunaklı programlar kullanılmaktadır, anti-virüs programı, firewall programı günceldir. Öte yandan ileti gönderimlerinin güvenliğini periyodik olarak denetliyor, saldırı tespit ve önleme yazılımları ve yedekleme sistemlerini de sistematik bir biçimde kullanıyoruz. Veriye erişim yetkisi olanların dışında hiç kimse ile şifre ve kullanıcı adlarını paylaşmıyoruz.
Otomatik olmayan yöntemlerle işlediğimiz ve kayıt altında tuttuğumuz Kişisel Verileri ise kilitli dolap ve kapalı zarflar içinde muhafaza ediyoruz. Kişisel Veri barındıran dolap ve saklama yerlerinin kilitleri sadece ilgili birim ve yetkilendirilmiş çalışanlarda mevcuttur. Şirket dışındaki ortamlarda toplanan Kişisel Veriler ilgili çalışanlarımızın denetiminde muhafaza edilerek, Şirketimize iletilmektedir.
8.2. İdari Tedbirler
Şirketimizde işlenen Kişisel Veriler ilgili süreçler, veri işleyen birimler, işleme amaçları, veri kategorileri ve İlgili Kişiler temelinde analiz edilmiş ve bu kapsamda bir “Kişisel Veri İşleme Envanteri” oluşturulmuştur. Kişisel veri işlerken dayandığımız hukuka uygunluk sebeplerimiz de Kişisel Veri İşleme Envanterinde gösterilmiştir.
Kişisel Verileri her zaman Kanun’un 4. Maddesindeki genel ilkelere gözeterek, toplandıkları amaç ile sınırlı ve bağlantılı olarak, hukuken işlenebilir haller etrafında işler ve gerekli olan süreler kadar muhafaza ederiz. Bu bağlamda, Şirketimizin “Kişisel Veri Saklama ve İmha Politikası” da mevcuttur.
Çalışanlarımız, Kişisel Verilerin korunması konusunda bilgilendirilmekte ve eğitilmektedirler. Şirketimiz ile çalışanlar arasında akdedilen sözleşmelere Kişisel Verileri koruma, güvenliğini sağlama ve Şirketin açık talimatları ve kanunlarla getirilen istisnalar dışında ifşa etmeme ve kullanmama yükümlülüklerine dair taahhütler eklenmiştir.
Kişisel Veri içeren dosya ve klasörler, ilgili birim dolaplarında, arşivlerinde yetkisiz kişilerce erişilemeyecek şekilde saklanmakta, söz konusu dolap ve arşiv odaları kilitli olarak tutulmaktadır. Kişisel Verilerin muhafaza edildiği dolap ve odaların anahtarları/şifreleri yalnızca ilgili verilere erişim yetkisi olan sorumlularda bulunmakta ve söz konusu ortamlara yetkisiz erişim önlenmektedir.
Şirketimiz, Kişisel Verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi konusunda Şirket içindeki koordinasyonu sağlamak ve bu konuda Kanun’a olan uyumluluğu sağlamak amacıyla dahili Kişisel Verilerin Korunması Çalışma Grubunu oluşturmuştur.
Şirketimizin taraf olduğu sözleşmelere Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler konulmaktadır. Şirketimizin tedarikçileri ile imzaladığı gizlilik ve kişisel verilerin korunması taahhüdü mevcuttur.
Şirketimiz aydınlatma yükümlülüğünü yerine getirmekte ve İlgili Kişiler ve işleme amaçlarına göre hazırlanmış aydınlatma bildirimleri kullanmaktadır. Şayet işleme şartı Açık Rıza ise, İlgili Kişiden aydınlatmaya dayalı olarak Açık Rıza alınmaktadır.
Şirketimiz, Kanun ve ilgili mevzuat hükümleri ile kişisel verilerin güvenliğine ilişkin yürürlüğe koyduğu politikaların uygulanmasını sağlamak amacıyla gerekli denetimler yapmaktadır/yapacaktır. Veri İhlali Müdahale Planımız hazırdır.
Yukarıda “Teknik Tedbirler” başlığında açıkladığımız üzere Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Anılan Bilgi Güvenliği Sistemi ile teknik kurallara ilaveten, idari kurallar ve süreçler de yönergelerle tespit ve tayin edilmiştir.
Tüm bunlarla birlikte Şirketimize veri giriş kapıları, verinin içerideki akışı, verinin üçüncü kişilere aktarıldığı noktalar, verinin saklama ve kayıt ortamları azami ölçüde tespit edilmekte, buralara aydınlatma bildirimleri, gereken hallerde açık rıza formları, veri güvenliği ve gizliliği taahhütleri yerleştirilmektedir. Alınan tüm tedbirler periyodik olarak incelenmekte ve gerektiği zaman güncellenmektedir.
9. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER
Özel Nitelikli Kişisel Veri kategorisinde kalan veriler, Kanun’un 6. maddesi ve Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı uyarınca ve yeterli güvenlik önlemlerini alınarak işlenmektedir. Bu kapsamda yukarıda sayılan teknik ve idari tedbirlere ek olarak;
• Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
a. Eğitimler verilmektedir.
b. İş sözleşmelerine gizlilik hükmü eklenmiştir, ayrıca gizlilik taahhüdü alınmaktadır.
c. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri tanımlıdır.
d. Periyodik olarak yetki kontrollerinin gerçekleştirilmektir.
e. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır.
• Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlarda;
a. Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte ve kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
b. Veriler üzerinde gerçekleştirilen tüm hareketler ve işlem kayıtları güvenli olarak loglanmaktadır.
c. Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta, test sonuçlarının kayıt altına alınmaktadır.
d. Verilere erişilen yazılımların güvenlik testleri düzenli olarak yapılmakta ve kayıt altına alınmaktadır.
e. Verilere uzaktan erişim halinde, kademeli kimlik doğrulama sisteminin sağlanmaktadır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda;
a. Elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara tedbirler alınmaktadır.
b. Yetkisiz giriş yapılmamaktadır. Kilitli çekmece ve dolaplarda muhafaza edilmektedir.
• Özel nitelikli kişisel verilerin aktarımında:
a. Verilerin e-posta yoluyla aktarılması gerektiğinde, şifreli olarak kurumsal e-posta adresiyle aktarılacaktır.
b. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenerek ve anahtar farklı ortamda tutularak, aktarılacaktır.
c. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veri aktarımı gerçekleştirilecektir.
d. Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerektiğinde evrakın “yüksek gizlilik” derecesi ile gönderilmesi sağlanacaktır.
10. KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz, topladığı kişisel verileri, Kanun’un 8. (yurt içi) ve 9. (yurt dışı) Maddeleri uyarınca, Kurul tarafından alınan kararlara ve ilan edilen ikincil düzenlemelere uygun olarak üçüncü kişilere aktarabilecektir.
Şirketimiz, Kişisel Verileri, gereken hallerde ve işleme amacı ile bağlantılı olarak, yurt içinde bulunan;
a. Mahkemeler ve icra daireleri, vergi daireleri, noterler, Sosyal Güvenlik Kurumu Müdürlükleri, Bölge Çalışma Müdürlükleri, İş-Kur, Emniyet Müdürlükleri;
b. Ticaret Bakanlığı, Ekonomi ve Hazine Bakanlığı, Tarım ve Orman Bakanlığı bünyesinde başta Gıda ve Kontrol Müdürlüğü olmak üzere ilgili bakanlıklar ve müdürlükler;
c. Gümrükler;
d. Organize sanayi bölgesi yönetimleri, ürün ve ticaret borsaları gibi yetkili kamu veya özel kurum ve kuruluşlar;
e. Denetim, gümrük, hukuk, bordro-muhasebe, insan kaynakları, işe alım, eğitim danışmanlığı gibi hizmet tedariki firmaları;
f. Hastaneler, sağlık kuruluşları, bankalar, sigorta ve emeklilik şirketleri;
g. Mesleki dernekler;
h. Personel taşımacılığı hizmeti sunan firmalar, personel devam kontrol kayıt sistemi hizmet sunucuları;
i. Pazarlama ve reklam ajansları;
j. e-finans şirketleri, telekomünikasyon şirketleri, arşiv, depolama, bilgi işlem ve veri tabanı sunucuları, hizmet aracıları;
k. Organizasyon şirketleri, seyahat acenteleri, vize danışmanları, konaklama tesisleri gibi hizmetlerin tedarikçiliğini yapan firmalar ile paylaşabilecektir.
Kişisel Verilerin üçüncü kişilere aktarımına ilişkin olarak Şirketimiz, sözleşmelerinde veya bu amaçla hazırlanmış belgelerle karşı taraftan gizlilik ve uyumlu işleme taahhütleri almaktadır.
Şirketimiz, yurtdışına veri aktarımında bulunması gerektiğinde Kanun’un 9. maddesi sınırları içinde hareket eder. Bu bağlamda, verinin aktarılacağı ülke güvenli ülkeler arasında sayılmamış ise, ya ilgili kişinin açık rızasına başvurulur ya da ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği aktarım taahhütnamesi imzalanır ve Kurulun iznine başvurulur.
11. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
Şirketimiz, Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini gerektiren durumlar karşısında Kanun’un 7. Maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik doğrultusunda hareket etmektedir. Burada belirtilen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerine ilişkin usul ve esaslar ile çalışma prensiplerimizin detayları, Şirketimizin “Kişisel Veri Saklama ve İmha Politikası” ile düzenlenmiştir.
Bununla birlikte, İlgili Kişiler, Şirketimize yöneltecekleri talep ile kendilerine ait Kişisel Verilerin imha edilmesini talep edebilecektir. Söz konusu talebin Şirketimize ulaşması üzerine, Şirketimiz:
- Kişisel Verileri işleme şartlarının tamamı ortadan kalkmışsa, talebe konu Kişisel Veriler silinmek, yok edilmek veya anonim hale getirilmek yöntemlerinden öncelikle talep edilen yöntemle, şayet bu mümkün değilse, açıklaması ile birlikte mümkün olan yöntemle imha edilir. Bu surette ilgili kişinin talebi en geç otuz (30) gün içinde sonuçlandırılarak, kendisine bilgi verilir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirketimize yöneltilen talep, söz konusu durum hakkında gerekçeli bilgilendirme yapılarak, Kanun’un 13. maddesinin üçüncü fıkrası uyarınca reddedilir. Böyle bir durumda red cevabımız ilgili kişiye en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
- Kişisel verilerin işleme şartlarının tamamı ortadan kalkmış ve fakat ilgili kişinin talebine konu olan kişisel veriler üçüncü kişilerle paylaşılmış ise, Şirketimize yöneltilen talep verilerin paylaşıldığı üçüncü kişiye bildirilir ve üçüncü kişi tarafından bu Politika ve mevzuat çerçevesinde gerekli işlemlerin yapılması talep edilir.
12. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
İlgili Kişiler, Kanun’un 11. Maddesi uyarınca aşağıdaki haklara sahiptirler:
• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme,
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurtdışında aktarıldığı üçüncü kişileri bilme,
• Eksik/yanlış işlenmişse düzeltilmesini isteme,
• Gereken şartlar çerçevesinde silinmesini, yok edilmesini isteme,
• Yukarıda belirtilen düzeltme, silinme ve yok edilmeye ilişkin haklarınız uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen kişisel verilerinizin münhasıran otomatik yöntemlerle analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
• Kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
Talepler;
• Islak imzalı olarak ve geçerli bir kimlik belgesinin fotokopisi ile birlikte, Gebze Org. San. Bölgesi, İhsan Dede Caddesi, No: 104 /1 Gebze/Kocaeli adresine göndererek,
• Geçerli bir kimlik belgesi ile birlikte bizzat başvurarak,
• Kayıtlı elektronik posta (KEP) adresi ve güvenli elektronik imza kullanmak suretiyle aromsa@hs02.kp.tr KEP adresimize göndererek,
• İlgili Kişi tarafından tarafımıza daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresinden gelisim@aromsa.com.tr ve gelisim@aromsa.com adresimize e-posta ile göndererek, iletebilirsiniz.
Başvurularda;
• Ad, soyadı ve başvuru yazılı ise imzanız,
• Başvuran Türkiye Cumhuriyeti vatandaşı ise T.C. kimlik numarası, yabancı uyruklu ise uyruk bilgileri ve pasaport numarası veya varsa yabancı kimlik numarası,
• Tebligata esas yerleşim yeri veya iş yeri adresi,
• Varsa bildirime esas elektronik posta adresi, telefon ve/veya faks numarası ve
• Başvuruya konu talepler açıkça yer almalıdır.
Konuya ilişkin bilgi ve belgeler başvuruya eklenmelidir. Şirketimiz, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek amacıyla başvurucudan bilgi ve belge talep etme ve yapılan başvuruda yer alan talepleri ve bilgileri açıklığa kavuşturmak amacıyla, İlgili Kişiye başvurusu ile ilgili soru yöneltme haklarına sahiptir. Talepler en kısa sürede, her halde en geç 30 gün içerisinde cevaplandırılacak ve sonuçlandırılacaktır.
İşbu Kişisel Verilerin İşlenmesi ve Korunması Genel Politikası, Şirketimizin web sitesinde (www.aromsa.com), (www.aromsa.com.tr) yayımlanarak kamuoyuna sunulmuştur. Başta 6698 sayılı Kanun olmak üzere yürürlükteki Mevzuat ile bu Politikada yer verilen herhangi düzenlemenin çelişmesi halinde Mevzuat hükümleri uygulanır.
Şirket, yasal düzenlemelere paralel olarak Politikada tek taraflı olarak değişiklik yapma hakkını saklı tutar. Güncellenen versiyonlar aynı yöntem ile kamuoyunun bilgisine sunulur.
Veri Sorumlusu
AROMSA BESİN AROMA VE KATKI MADDELERİ SANAYİ VE TİCARET A.Ş.
Mersis No: 0080031993300017
Adres: Gebze Org. San. Bölgesi, İhsan Dede Caddesi, No: 104/1 Gebze/Kocaeli
Telefon: +90 262 326 11 11
Kep Adresi: aromsa@hs02.kep.tr
E-posta: gelisim@aromsa.com.tr ve gelisim@aromsa.com