MEYBUZ GIDA ENERJİ SANAYİ VE TİCARET A.Ş.
KİŞİSEL VERİLERİNİZİN KORUNMASINA İLİŞKİN BİLGİLENDİRME
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunmasını amaçlayan 7 Nisan 2016 tarihli ve 29677 Sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesi ile 10 Mart 2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca işbu Aydınlatma Metni ile her biri veri sorumlusu sıfatıyla Meybuz Gıda Enerji Sanayi ve Ticaret A.Ş. (“MEYBUZ” veya “Şirket”) olarak işlenen kişisel verileriniz hakkında sizleri bilgilendirmeyi hedeflemekteyiz.
MEYBUZ internet sitesini ziyaret etmeniz halinde aşağıdaki kişisel verileriniz işlenmektedir;
Kişisel verileriniz, internet sitemizi ziyaret etmeniz halinde sizlerden; elektronik ortamlardan aşağıda belirtilen amaçlar dâhilinde KVKK’nın 5. ve 8. madde hükümlerinde sayılan ve aşağıda yer verilen hukuka uygunluk sebeplerine dayanılarak toplanmakta, saklanmakta ve işlenmektedir.
|
AMAÇLAR |
HUKUKİ SEBEP |
VERİ KATEGORİSİ |
|
5651 Sayılı Kanun’dan doğan yükümlülüklerin yerine getirilmesi |
|
Kişisel verileriniz, KVKK’nın kişisel verilerin aktarılmasına ilişkin hükümleri kapsamında işbu Aydınlatma Metninin 2. maddesinde yer alan amaçlarla; ilgili mevzuat gereği talep halinde yurtiçinde yer alan resmi kurum ve kuruluşlar ve iş ortaklarımız ile paylaşılabilecektir.
MEYBUZ yerleşkesini ziyaret etmeniz halinde aşağıdaki kişisel verileriniz işlenmektedir;
Kişisel verileriniz, merkezimizi ziyaret etmeniz halinde sizlerden; fiziki, yazılı, sözlü ya da CCTV kamerası aracılığıyla aşağıda belirtilen amaçlar dâhilinde KVKK’nın 5. ve 8. madde hükümlerinde sayılan ve aşağıda yer verilen hukuka uygunluk sebeplerine dayanılarak toplanmakta, saklanmakta ve işlenmektedir.
|
AMAÇLAR |
HUKUKİ SEBEP |
VERİ KATEGORİSİ |
|
Şirket içi güvenliğin sağlanması ve ziyaretçi kayıtlarının oluşturulması |
|
|
|
Misafir kablosuz internet erişiminin sağlanması |
|
|
|
Suç ya da hukuka aykırılık durumunda yetkili mercilere bilgi verilmesi |
|
Kişisel verileriniz, KVKK’nın kişisel verilerin aktarılmasına ilişkin hükümleri kapsamında işbu Aydınlatma Metninin 2. maddesinde yer alan amaçlarla; ilgili mevzuat gereği talep halinde yurtiçinde yer alan resmi kurum ve kuruluşlar ve grup şirketlerimiz ile paylaşılabilecektir.
MEYBUZ ile ilişkiniz kapsamında yetkililerinizin ve/veya çalışanlarınızın aşağıdaki kişisel verileri işlenmektedir;
Kişisel verileriniz, Şirketimizle iş ilişkinizin kurulması esnasında ve söz konusu ilişkinin devamı süresince sizlerden, üçüncü kişilerden ve yasal mercilerden olmak kaydıyla internet, telefon, e-posta aracılığıyla ve fiziki, yazılı, sözlü ve elektronik mecralardan aşağıda belirtilen amaçlar dahilinde KVKK’nın 5 ve 8. madde hükümlerinde sayılan ve aşağıda yer verilen hukuka uygunluk sebeplerine dayanılarak toplanmakta, saklanmakta ve işlenmektedir.
|
AMAÇLAR |
HUKUKİ SEBEP |
VERİ KATEGORİSİ |
|
Teklif süreçlerinin yürütülmesi |
|
|
|
İletişim faaliyetlerinin yürütülmesi |
|
Kişisel verileriniz, KVKK’nın kişisel verilerin aktarılmasına ilişkin hükümleri kapsamında işbu Aydınlatma Metninin 2. maddesinde yer alan amaçlarla; ilgili mevzuat gereği talep halinde yurtiçinde yer alan resmi kurum ve kuruluşlar ile paylaşılabilecektir.
MEYBUZ ile ilişkiniz kapsamında yetkililerinizin ve/veya çalışanlarınızın aşağıdaki kişisel verileri işlenmektedir;
Kişisel verileriniz, Şirketimizle iş ilişkinizin kurulması esnasında ve söz konusu ilişkinin devamı süresince sizlerden, üçüncü kişilerden ve yasal mercilerden olmak kaydıyla internet, telefon, e-posta aracılığıyla ve fiziki, yazılı, sözlü ve elektronik mecralardan aşağıda belirtilen amaçlar dahilinde KVKK’nın 5 ve 8. madde hükümlerinde sayılan ve aşağıda yer verilen hukuka uygunluk sebeplerine dayanılarak toplanmakta, saklanmakta ve işlenmektedir.
|
AMAÇLAR |
HUKUKİ SEBEP |
VERİ KATEGORİSİ |
|
Teklif Süreçlerinin Yürütülmesi |
|
|
|
Sözleşme Süreçlerinin Yürütülmesi |
|
|
|
Mal ve Hizmet Satış Süreçlerinin Yürütülmesi |
|
|
|
Mal ve Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi |
|
|
|
Pazarlama Analiz Çalışmalarının Yürütülmesi |
|
|
|
İletişim Faaliyetlerinin Yürütülmesi |
|
|
|
Finans ve Muhasebe Süreçlerinin Yürütülmesi |
|
|
|
Talep ve Şikayetlerin Yönetimi |
|
|
|
Müşteri Memnuniyeti Süreçlerine İlişkin Faaliyetlerin Yürütülmesi |
|
|
|
Fiziksel Mekân Güvenliğinin Temini |
|
|
|
Hukuk İşlerinin Takibi ve Yasa Yükümlülüklerin Yerine Getirilmesi |
|
Şirketimiz yürüttüğü faaliyetlerin bazılarında ise kişisel verilerinizi işlerken sizlerin açık rızanıza ihtiyaç duyabilmektedir. Şirketimiz aşağıda sayılan kişisel verilerinizi açık rızanızın olması hukuki sebebine dayanarak aşağıdaki amaçlarla toplanmakta, saklanmakta ve işlenmektedir.
|
AMAÇLAR |
HUKUKİ SEBEP |
VERİ KATEGORİSİ |
|
Şirket Tanınırlığının Sağlanması Amacıyla Organizasyon, Etkinlikler ve Yapılan İş Faaliyetleri Kapsamında Şirket Sosyal Medyalarının Yönetilmesi |
|
|
|
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi |
|
|
|
Ortak Kullanılan Sistemler ve İstihdam Edilen Personeller Dolayısıyla Grup Bünyesindeki Şirketler İle Paylaşılması |
|
Kişisel verileriniz, KVKK’nın kişisel verilerin aktarılmasına ilişkin hükümleri kapsamında işbu Aydınlatma Metninin 2. maddesinde yer alan amaçlarla; ilgili mevzuat gereği talep halinde yurtiçinde yer alan resmi kurum ve kuruluşlar, iş ortaklarımız, tedarikçilerimiz ve grup bünyesindeki şirketlerimiz ile paylaşılabilecektir.
MEYBUZ ile ilişkiniz kapsamında yetkililerinizin ve/veya çalışanlarınızın aşağıdaki kişisel verileri işlenmektedir;
Kişisel verileriniz, Şirketimizle iş ilişkinizin kurulması esnasında ve söz konusu ilişkinin devamı süresince sizlerden, üçüncü kişilerden ve yasal mercilerden olmak kaydıyla internet, telefon, e-posta aracılığıyla ve fiziki, yazılı, sözlü ve elektronik mecralardan aşağıda belirtilen amaçlar dahilinde KVKK’nın 5. ve 8. madde hükümlerinde sayılan ve aşağıda yer verilen hukuka uygunluk sebeplerine dayanılarak toplanmakta, saklanmakta ve işlenmektedir.
|
AMAÇLAR |
HUKUKİ SEBEP |
VERİ KATEGORİSİ |
|
Teklif Süreçlerinin Yürütülmesi |
|
|
|
Sözleşme Süreçlerinin Yürütülmesi |
|
|
|
Mal ve Hizmet Satın Alım Süreçlerinin Yürütülmesi |
|
|
|
İletişim Faaliyetlerinin Yürütülmesi |
|
|
|
Finans ve Muhasebe Süreçlerinin Yürütülmesi |
|
|
|
Fiziksel Mekân Güvenliğinin Temini |
|
|
|
Hukuk İşlerinin Takibi Ve Yürütülmesi |
|
Şirketimiz yürüttüğü faaliyetlerin bazılarında ise kişisel verilerinizi işlerken sizlerin açık rızanıza ihtiyaç duyabilmektedir. Şirketimiz aşağıda sayılan kişisel verilerinizi açık rızanızın olması hukuki sebebine dayanarak aşağıdaki amaçlarla toplanmakta, saklanmakta ve işlenmektedir.
|
AMAÇLAR |
HUKUKİ SEBEP |
VERİ KATEGORİSİ |
|
Ortak Kullanılan Sistemler ve İstihdam Edilen Personeller Dolayısıyla Grup Bünyesindeki Şirketler İle Paylaşılması |
|
Kişisel verileriniz, KVKK’nın kişisel verilerin aktarılmasına ilişkin hükümleri kapsamında işbu Aydınlatma Metninin 2. maddesinde yer alan amaçlarla; ilgili mevzuat gereği talep halinde yurtiçinde yer alan resmi kurum ve kuruluşlar, ürün veya hizmet alan kişiler ve grup bünyesindeki şirketlerimiz ile paylaşılabilecektir.
Bu Aydınlatma Metni’nin “İletişim” bölümünde yer alan yöntemlerle Şirketimize başvurarak,
Bu Aydınlatma Metni MEYBUZ tarafından yayımlandığı tarih itibariyle geçerli olacaktır. MEYBUZ, bu Aydınlatma Metni’nde, gerekli olduğu takdirde, her zaman değişiklik yapabilir. MEYBUZ tarafından yapılacak değişiklikler, Aydınlatma Metni’nin https://odeme.meybuz.com.tr/Home/Content?menuId=4 adresinde yayımlanmasıyla birlikte geçerlilik kazanır.
MEYBUZ GIDA ENERJİ SANAYİ VE TİCARET A.Ş.
KİŞİSEL VERİLERİN KORUNMASI KANUNU BAŞVURU FORMU
İşbu Kişisel Verilerin Korunması Kanunu Başvuru Formu (“Form”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘KVKK’) kapsamında veri sahiplerinin, Meybuz Gıda Enerji Sanayi ve Ticaret A.Ş. (“MEYBUZ veya Şirket”) Kişisel Verilerin Korunması Kanunu’nda belirtilen haklarını kullanmak amacıyla yapacakları başvurularda kullanılması amacıyla oluşturulmuştur.
Veri sahiplerinin bu haklarını kullanmak üzere MEYBUZ’a başvuru yapmak istemesi durumunda işbu Formun, eksiksiz olarak doldurulmasının ardından imzalanarak aşağıdaki yöntemlerden biri aracılığıyla Şirkete ulaştırılması gerekmektedir:
i. Kimlik doğrulanmasını sağlayıcı belgelerle (nüfus cüzdanı, ehliyet vb.) birlikte Kayseri OSB Mah. 16. Cad. No:4 Melikgazi/Kayseri adresine bizzat başvuru yapılmalı ve Form bu başvuru esnasında imzalanmalıdır.
ii. Form, noter kanalı ile Kayseri OSB Mah. 16. Cad. No:4 Melikgazi/Kayseri’ye iletilmelidir.
iii. Form, meybuzgida@hs06.kep.tr adresine veri sahibine ait KEP vasıtasıyla iletilmelidir.
iv. Tarafınızca MEYBUZ’a daha önce bildirilen ve sisteminde kayıtlı bulunan e-posta ile kvkk@meysu.com.tr adresine iletilmelidir.
Lütfen başvuruların sağlıklı bir şekilde değerlendirilmesi amacıyla talep edilen bilgileri temin ediniz.
|
Ad ve Soyad |
: |
|
|
TC Kimlik Numarası |
: |
|
|
Adres |
: |
|
|
Telefon Numarası |
: |
|
|
E-posta |
: |
|
Lütfen aşağıda belirtilenlerden MEYBUZ ile ilişkinizi en uygun şekilde tanımlayan seçeneği işaretleyerek aşağısında bulunan serbest metin alanına bu ilişkinin devam durumunu, sona ermiş olması durumunda ilişkinin vuku bulduğu periyodu ve varsa irtibatta olunan müdürlük veyahut ta şube bilgisini detaylandırınız.
|
Müşteri |
|
Çalışan |
|
Çalışan Adayı |
|
Tedarikçi |
|
İş Ortağı |
|
Ziyaretçi |
|
Diğer (………………………………………………………………………………………………………) |
||||
Lütfen kişisel verilerle ilişkili talep veya taleplerinizi aşağıdaki listeden işaretleyiniz.
|
Kişisel verilerimin işlenip işlenmediğini öğrenmek istiyorum. |
|
|
Kişisel verilerim işlenmişse buna ilişkin bilgi almak istiyorum. |
|
|
Kişisel verilerimin işlenme amacını öğrenip bu verilerin amacına uygun kullanılıp kullanılmadığı hakkında bilgi almak istiyorum. |
|
|
Yurt içinde veya yurt dışında kişisel verilerimin aktarıldığı üçüncü kişileri bilmek istiyorum. |
|
|
Kişisel verilerimin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istiyorum. |
|
|
Kişisel verilerimin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, bunların silinmesini veya yok edilmesini istiyorum. |
|
|
Düzeltme işleminin kişisel verilerimin aktarıldığı üçüncü kişilere de bildirilmesini istiyorum. |
|
|
Silme işleminin kişisel verilerimin aktarıldığı üçüncü kişilere bildirilmesini istiyorum. |
|
|
Kişisel verilerimin münhasıran otomatik sistemler vasıtasıyla analiz edildiğini ve bu analiz neticesinde aleyhine bir sonuç ortaya çıktığını düşünüyor ve bu sonuca itiraz ediyorum. |
|
|
Kişisel verilerimin kanuna aykırı olarak işlenmesi sebebiyle uğradığım zararın giderilmesini talep ediyorum. |
|
Yukarıdaki listede yaptığınız işaretlemeye istinaden ek bilgi gerektiğini düşünüyorsanız lütfen aşağıdaki serbest metin alanını kullanınız.
|
|
|
|
|
|
|
|
|
|
|
|
MEYBUZ talebinizi en geç otuz gün içinde sonuçlandıracak olup, 1. Bölümde sağladığınız adres ve e-posta bilgilerine istinaden postalama yoluyla veyahut ta dijital ortam aracılığıyla geri dönüş sağlayacaktır. Geri dönüşün sağlanacağı bu kanallar arasından özel bir tercihiniz varsa lütfen aşağıda belirtiniz.
|
Geri dönüşün posta kanalıyla yapılmasını istiyorum. |
□ |
|
Geri dönüşün e-posta kanalıyla yapılmasını istiyorum. |
□ |
Talebin değerlendirilmesi kapsamında ek bilgiye ihtiyaç duyulması halinde MEYBUZ İşbu Form’da belirttiğiniz başvuruyu sonuçlandırabilmek amacıyla sizinle iletişim kurabilecektir. Başvurunuz ücretsiz olarak sonuçlandırılacak olup, ayrıca bir maliyet gerektirmesi durumunda ilgili mevzuat kapsamında belirlenen tutarlarda ücret talep edilebilecektir.
İşbu Form’ da belirtmiş olduğum KVKK özelindeki taleplerime ait bu başvurumun değerlendirilerek sonuçlandırılmasını talep ederim.
|
Başvuru Sahibinin Adı ve Soyadı |
: |
|
|
Veri Sahibinin İmzası
|
: |
|
|
Tarih |
: |
|
MEYBUZ GIDA ENERJİ SANAYİ VE TİCARET A.Ş.
KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI
Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”), kişisel verilerin işlenmesine yönelik kurallar bütününü açıklayarak gerekli bilgilendirmeleri yapmak amacıyla hazırlanmış olup, Meybuz Gıda Enerji Sanayi ve Ticaret A.Ş. (“Şirket”) Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.
|
Kişisel veri: |
Kimliği belirli veya belirlenebilir her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm hallerini kapsar. |
|
Özel nitelikli kişisel veri: |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. |
|
Açık rıza: |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
Anonim hale getirme: |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
|
Kişisel veri envanteri: |
Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanterdir. |
|
Kişisel verileri işleme: |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türleri bu kapsama girmektedir. |
|
Kişisel veri sahibi: |
Kişisel verisi işlenen gerçek kişi |
|
Veri kayıt sistemi: |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
|
Veri sorumlusu: |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
|
Veri işleyen: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
|
Kişisel Verilerin Korunması Kanunu (“KVKK”): |
İşbu Politikaya konu olmakla birlikte, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 24 Mart 2016 tarihli ve 6698 sayılı Kanun |
|
Kurul: |
Kişisel Verileri Koruma Kurulu |
|
Kurum: |
Kişisel Verileri Koruma Kurumu |
|
Politika: |
Kişisel Verilerin Korunması ve Gizlilik Politikası |
Kanun kapsamındaki ek mevzuatların yürürlüğe girmesi ile birlikte veya muhtelif zamanlarda işbu Politikada yapılacak olan değişiklikler Şirket’in kurumsal Internet sitesinden takip edilebileceği gibi, işbu Politikanın güncel versiyonuna yine bu kurumsal siteden ulaşılabilmektedir.
Şirket, ürün ve hizmetlerini sunma faaliyetini gerçekleştirebilmek ve hizmetlerinin kesintisiz ilerleyebilmesini sağlamak adına, sözlü, yazılı ya da elektronik ortam üzerinden temin edebildiği kişisel verileri, Veri Sorumlusu sıfatıyla, hukuka uygun bir biçimde işlemektedir.
İşbu Politikanın amacı, Şirket’in yürüttüğü bu işleme faaliyetleri ve kişisel veriler ile ilgili sistemler konusunda açıklamada bulunarak ilgili kişileri bilgilendirmek ve böylece kişisel veriler hususunda şeffaflık sağlamaktır.
Bu bağlamda Şirket, KVKK kapsamında kişisel verilerin işlenmesini, bu işlemeye konu alınan veri sahiplerini ve bu kişilerin haklarını, çerez ve benzeri teknolojilerinin kullanımı [MTD1] ile birlikte işbu Politikada detaylandırarak açıklamış bulunmaktadır.
Şirket, KVKK’nın 4. maddesinin 2. fıkrası uyarınca ve işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilmiş olan amaçlar kapsamında, aşağıdaki ilkelere uygun olarak kişisel veri işlemektedir:
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunmasını amaçlayan KVKK’nın “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesi ile 10 Mart 2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca veri sorumlusu sıfatıyla Şirket bünyesinde işlenen kişisel veriler hakkındaki Aydınlatma Metni internet sitemizdeki https://odeme.meybuz.com.tr/Home/Content?menuId=4 inki üzerinde genel yer almaktadır.
3.1 Kişisel Veri Güvenliğine İlişkin İdari Tedbirler
3.1.1 Mevcut Risk ve Tehditlerin Belirlenmesi
Şirket, işlemekte olduğu kişisel verilere dair risk ve tehditleri belirlemek için sahip olduğu “Kişisel Veri Envanteri”nden yararlanır. Bu envanter içerisinde kişisel verilerin işlendiği süreçler Şirket tarafından güncel tutulacaktır.
Şirket söz konusu riskleri belirlerken, işlemekte olduğu kişisel verilerin özel nitelikli olup olmadığı, gerektirdiği gizlilik seviyesi ve ortaya çıkabilecek bir güvenlik ihlali sonucunda potansiyel zararın ne olacağını belirler.
3.1.2 Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
Şirket, çalışanlarını kişisel verilerin korunması ve siber güvenlik ile ilgili olarak eğitimlere tabi tutar ve konu ile ilgili farkındalık çalışmaları gerçekleştirir.
Kişisel verilerin hukuka aykırı olarak açıklanması veya paylaşılması en sık görülen ihlallerden birini teşkil etmektedir. Bu tip ihlallerin önüne geçilmesi amacıyla Şirket tarafından;
3.1.3 Kişisel Verilerin Mümkün Olduğunca Azaltılması
Kanun ve sair mevzuatta öngörülen “kişisel verileri doğru ve gerektiğinde güncel tutma”, “amacın gerektirdiği süre kadar muhafaza etme” gibi şartların yerine getirilebilmesi için Şirket;
3.1.4 Veri İşleyenler ile İlişkilerin Yönetimi
Şirket, bilgi teknolojileri ile ilgili hizmet alımlarında sözleşme düzenlediği veri işleyenlerin bilgi güvenliğine en az kendisi kadar önem verdiklerinden ve müşterek sorumluluğun bilinciyle hareket ettiklerinden emin olur ve bunu sözleşmesel olarak da güvenceye alır.
Veri işleyenler, mevzuattaki tanım ile paralel olarak yalnız Şirket’in talimatları doğrultusunda, Şirket ile akdedilmiş sözleşme çerçevesinde kalmak suretiyle ve mevzuata uygun olarak kişisel verileri işler. Veri işleyenler süresiz sır saklama yükümlülüğü altında tutulur.
Herhangi bir veri ihlali durumunda, durum derhal Şirket’e bildirilir ve bu durum sözleşmesel olarak da kayıt altına alınır. Şirket, bu tip veri ihlallerini mevzuat gereği olarak veri sahibi ilgililer ile Kurula bildirecektir.
Şirket ile veri işleyenler arasında akdedilecek sözleşmelerde, sözleşmenin niteliksel olarak elverdiği ölçüde ayrı bir madde olarak veri işleyene aktarılan veri kategorileri ve türleri belirtilir.
Şirket “Veri Sorumlusu” sıfatıyla veri işleyenin kişisel verini içeren sistemleri üzerinde gerekli denetimleri yapar veya yaptırır, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebilir. Bu durum sözleşme içerisinde de karşılıklı olarak mutabakata bağlanır.
3.2 Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler[MTD2]
3.2.1 Siber Güvenliğin Sağlanması
Şirket, siber güvenlik amacıyla gerekli yazılımları geliştirir ve gerekmesi halinde hizmet ve ürün alımı yapar.
Şirket, hâlihazırda sahip olduğu ürünleri düzenli olarak tarayarak gerekmeyen ve güncelliğini yitirmiş olan ürünlerin yüklü oldukları cihazlardan kaldırılmasını sağlar, halen gerekenlerin ise güncelliğini düzenli olarak kontrol eder ve güncel olduklarından emin olur. Şirket gerekli görmesi halinde yama yönetimi ile ilgili geliştirmeler yapar ya da ürün satın alır.
Kişisel veri içerir sistemlerine erişimin kontrollü olarak sağlanması amacıyla Şirket, erişim ve yetki yönetimini güncel tutar ve güvenli şifre kullanımı konusunda çalışanlarını bilgilendirir. Şirket bu amaçla bir “erişim ve yetki kontrol matrisi” ve erişime dair politika ve prosedürler oluşturur.
Şirket, şifre yönetimi ile ilgili olarak gerekli geliştirmeleri yapar ya da ürün satın alır. Bu amaçla belli sayıdan fazla şifre giriş denemesinin önlenmesi, düzenli olarak parola değiştirilmesinin sağlanması, parolaların güvenliğini yüksek seviyede tutacak karmaşıklıkta seçildiğinden emin olunması, iş akdine son verdiği çalışanların yetkilerinin zaman kaybetmeksizin kaldırılmasının sağlanması gibi konularda gerekli tedbirleri alacağını kabul ve beyan eder.
Şirket, ağları ve bilgisayarları düzenli olarak tarayarak tehlikeleri tespit eden antivirüs türevi yazılımların kullanıldığından emin olmak ve bunların güncelliğini sağlamak için gerekli tedbirleri alır.
Kişisel veri temininde Şirket ağı dışında kalan Internet sitelerinden yararlanıldığı durumlarda, söz konusu siteler ile bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirildiğinden emin olunması gerekmektedir.
3.2.2 Kişisel Veri Güvenliğinin Takibi
Kişisel veri güvenliğinin takibi amacıyla Şirket;
3.2.3 Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Şirket, kişisel verileri fiziksel ve mantıksal olarak tutmakta olduğu Genel Müdürlük, Arşiv, şubeler ve diğer yerlerde gerekli iç ve dış fiziksel güvenlik önlemlerini alır.
Şirket, bu önlemler kapsamında kişisel veri bulunduran yapıların deprem, yangın, sel gibi afetlere karşı korunmasını sağlar. Fiziksel ortamda tutulan kişisel verilerin güvenliği açısından, bunların bulunduğu yerlere giriş çıkışların kontrollü yapılması, ayrıca bu tip kişisel verileri işleyen çalışanların bilinçlendirilerek olası kayıp ve çalınma durumlarının önüne geçilmesini sağlar.
Şirket, kişisel veri ihlallerinin büyük bir kısmının kişisel veri içeren cihazların çalınması veya kaybolması sonucunda gerçekleştiğinin bilinciyle hareket eder ve bu durumun en aza indirgenmesi amacıyla gerekli tedbirleri alır. Bu tedbirler kapsamında erişim kontrolü yetkilendirmesi ve şifreleme yöntemleri gibi yollara başvurulabilir.
Şirket, şifreleme yöntemlerini kullanıyor olduğu durumlarda uluslararası kabul görmüş çözümlerden yararlanır ve asimetrik şifreleme yöntemlerinden yararlanılan durumlarda anahtar yönetimi süreçleri açısından gerekli tedbirleri alır.
3.2.4 Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
Şirket, BT sistemlerine yönelik tedarik, geliştirme ve bakım hizmetleri alımında güvenlik faktörünü ön planda tutmaya özen gösterir. Bu amaçla Şirket;
3.2.5 Kişisel Verilerin Yedeklenmesi
Şirket, uhdesindeki kişisel verilerin güvenliğini sağlamak amacıyla bunların yedeğini ya da yedeklerini tutar.
Şirket, dosyaları şifreleyerek fidye talep eden kötü amaçlı yazılımlara (ransomware) yönelik veri yedekleme stratejileri geliştirir ve gerekli önlemleri alır.
Şirket, yedeklenen kişisel verilere sadece sistem yöneticisinin erişebildiğinden emin olur ve bu yedekleri ağ dışında saklar.
Şirket, söz konusu yedeklerin fiziksel güvenliklerine yönelik gerekli tedbirleri alır.
Kullanılmakta olan Internet tarayıcısı aracılığı ile Internet ağ sunucusu tarafından kullanıcıların cihazlarına gönderilen küçük veri dosyaları çerez olarak anılmakta olup, Internet siteleri bu çerezler vasıtası ile kullanıcıları tanımaktadır ve çerezlerin ömrü tarayıcı ayarlarına bağlı olarak farklılaşmaktadır.
Bu çerezler, Şirket tarafından yönetilmekte olan sistemler aracılığıyla oluşturulmakla birlikte, aynı zamanda Şirket tarafından yetkilendirilen bazı hizmet sağlayıcılar kullanıcıların cihazlarına benzeri teknolojiler yerleştirerek IP adresi, benzersiz tanımlayıcı ve cihaz tanımlayıcı bilgileri edinebilmektedir. Ayrıca, Şirket sistemlerinde bulunan üçüncü taraflara ait linkler, bu üçüncü taraflara ait gizlilik politikalarına tabi olmakla birlikte, gizlilik uygulamalarına ait sorumluluk Şirket’e ait olmamaktadır ve bu bağlamda ilgili link kapsamındaki site ziyaret edildiğinde siteye ait gizlilik politikasının okunması önerilmektedir.
Ana kullanım amacı kullanıcılara kolaylık sağlamak olan çerezler, temel olarak 4 ana grupta toplanmaktadır:
i. Oturum Çerezleri: Internet sayfaları arasında bilgi taşınması ve kullanıcı tarafından girilen bilgilerin sistemsel olarak hatırlanması gibi çeşitli özelliklerden faydalanmaya olanak sağlayan çerezlerdir ve Şirket. Internet sitesine ait fonksiyonların düzgün bir şekilde işleyebilmesi için gereklidir.
ii. Performans Çerezleri: Sayfaların ziyaret edilme frekansı, olası hata iletileri, kullanıcıların ilgili sayfada harcadıkları toplam zaman ile birlikte siteyi kullanım desenleri konularında bilgi toplayan çerezlerdir ve Şirket Internet sitesinin performansını arttırma amacıyla kullanılmaktadır.
iii. Fonksiyonel Çerezler: Kullanıcıya kolaylık sağlanması amacıyla önceden seçili olan seçeneklerin hatırlatılmasını sağlayan çerezlerdir ve Şirket Internet sitesi kapsamında kullanıcılara gelişmiş Internet özellikleri sağlanmasını hedeflemektedir.
iv. Reklam Ve Üçüncü Taraf Çerezleri: Üçüncü parti tedarikçilere ait çerezlerdir ve Şirket Internet sitesindeki bazı fonksiyonların kullanımına ve reklam takibinin yapılmasına olanak sağlamaktadır.
Şirket tarafından kullanılmakta olan çerezlere ait kullanım amaçları aşağıdaki gibidir:
i. Operasyonel amaçlı kullanımlar: Şirket, sistemlerinin idaresi ve güvenliğinin sağlanması amacıyla, bu sitedeki fonksiyonlardan yararlanmayı sağlayan veyahut ta düzensiz davranışları tespit eden çerezler kullanabilmektedir.
ii. İşlevselliğe yönelik kullanımlar: Şirket, sistemlerinin kullanımını kolaylaştırmak ve kullanıcı özelinde kullanım özellikleri sağlamak amacıyla, kullanıcıların bilgilerini ve geçmiş seçimlerini hatırlatan çerezler kullanabilmektedir.
iii. Performansa yönelik kullanımlar: Şirket, sistemlerinin performansının artırılması ve ölçülmesi amacıyla, gönderilen iletilerle olan etkileşimi ve kullanıcı davranışlarını değerlendiren ve analiz eden çerezler kullanabilmektedir.
iv. Reklam amaçlı kullanımlar: Şirket, kendine veya üçüncü taraflara ait sistemlerin üzerinden kullanıcıların ilgi alanları kapsamında reklam ve benzeri içeriklerin iletilmesi amacıyla, bu reklamların etkinliğini ölçen veya tıklanma durumunu analiz eden çerezler kullanabilmektedir.
Çerez kullanımı birçok tarayıcıda önceden tanımlı bir şekilde seçili olarak bulunmaktadır ve kullanıcılar bu seçim durumunu tarayıcı ayarlarından değiştirebilmekte ve dolayısıyla da mevcut çerezleri silip ileriki çerez kullanımlarını da reddedebilmektedir; nitekim çerez kullanımının iptal edilmesi halinde Şirket, sistemlerindeki bir takım özelliklerden faydalanılamaması söz konusu olabilmektedir.
Çerez kullanım seçiminin değiştirilmesine ait yöntem, tarayıcı tipine bağlı olarak değişmekte olup, ilgili hizmet sağlayıcıdan dilendiği zaman öğrenilebilmektedir.
Şirket web sitesinde bulunan bilgi, materyal ve bunların düzenlenmesi konusundaki telif hakları, Şirket’e aittir. Şirket web sitesinde yer alan ve üçüncü şahıslara ait materyaller dışında kalan bilgi ve materyale dair tüm telif hakları, tescilli marka, patent, fikri ve sair mülkiyet hakları Şirket’te saklıdır.
5 YÜRÜRLÜK VE GÜNCELLEMELER
İşbu Politika, Şirket Yönetim Kurulu tarafından onaylandığı tarihte yürürlüğe girecektir. Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Veri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda Şirket bu Politikayı gözden geçirme ve gerekli durumlarda politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma hakkını saklı tutar. Politikanın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Şirket Yönetim Kurulu’na aittir.
