KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ

Opak  Makine Kalıp Amblaj Otomasyon San. Tic. Ltd. Şti. ünvanlı şirketimiz 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında Veri Sorumlusu sıfatına sahiptir ve çalışanları, çalışan adayları, müşterileri, tedarikçileri, potansiyel müşterileri, şirket hissedarları, şirket yetkilileri, ziyaretçileri, işbirliği içinde olduğu tüm tarafların çalışanları, hissedarları ve yetkilileri ile üçüncü kişilerin kişisel verilerinin korunmasına yüksek önem vermektedir.

Müşterilerimizin, potansiyel müşterilerimizin, tedarikçilerimizin, çalışanlarımızın, çalışan adaylarımızın, şirket hissedarlarımız ile şirket yetkililerimizin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurum çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin kişisel verilerinin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesi ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanması öncelik olarak belirlenmiştir.

2. POLİTİKANIN AMACI VE KAPSAMI

Bu Politika’nın temel amacı kişisel verilerini hukuka uygun bir biçimde işlemekte olduğumuz müşterilerimizin, potansiyel müşterilerimizin, tedarikçilerimizin, çalışanlarımızın, çalışan adaylarımızın, şirket hissedarlarımız ile şirket yetkililerimizin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurum çalışanlarının, hissedarlarının, yetkililerinin ve kişisel verileri Şirket tarafından işlenen diğer kişilerin kişisel veri işleme ve kişisel verilerin korunmasına yönelik faaliyetler konusunda bilgilendirilmesidir.

Bu Politika’nın kapsamı; Müşterilerimizin, potansiyel müşterilerimizin, tedarikçilerimizin, çalışanlarımızın, çalışan adaylarımızın, şirket hissedarlarımız ile şirket yetkililerimizin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurum çalışanlarının, hissedarlarının, yetkililerinin ve verilerini işlemekte olduğumuz diğer 3. kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işlenen tüm kişisel verileridir.

Bu politika Şirketin www.opackmakine.com adresindeki internet sitesinde yayımlanmaktadır.

3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN KURALLAR

  • Şirket, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) ve ilgili diğer mevzuatta getirilen hüküm ve kurallara uygun olarak kişisel veri işlemektedir.
  • Şirket, kişisel verilerin işlenmesinde hukuka uygunluk, güven ve dürüstlük kuralına uygun hareket etmektedir.
  • Şirket; yasal mevzuat kapsamında işlediği kişisel verilerin doğru ve güncel olmasını sağlamak için gerekli tedbirleri almaktadır.
  • Şirket, yalnızca belirli, meşru ve hukuka uygun amaçlarla kişisel veri işlemektedir. ŞİRKET veri işleme faaliyetine başlamadan önce kişisel veri işleme amaçlarını kesin ve açık olarak belirlemekte ve veri sahiplerinin kişisel verilerinin elde edilmesi sırasında kendilerine bu amaçları açıkça duyurmaktadır.
  • Kişisel veriler, belirlenen amaçların gerçekleştirilmesi ile sınırlı olarak işlenmekte ve amacın gerçekleştirilmesiyle bağlantılı olmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
  • Kişisel veriler, ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak kişisel veriler muhafaza edilmekte, mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

3.1. KİŞİSEL VERİLERİ İŞLEME ŞARTLARI

Kişisel veriler,

–  Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilerek,

– Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve

sınırlı olarak,

– Şirket meşru amaçları doğrultusunda hukuka ve dürüstlük kurallarına uygun olarak

işlenmektedir.

KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ ŞARTLAR

  • Kişisel veri sahibinin açık rızası var ise: Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
  • Kanunlarda kişisel verinin işleneceğine ilişkin açık bir düzenleme var ise: Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
  • Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması: Kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise işlenebilecektir.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması: Sözleşmenin taraflarına ait kişisel verinin işlenmesi gerekli ise verilerin işlenmesi mümkündür.
  • Şirketin hukuki yükümlülüğünü yerine getirmesi: Şirketin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
  • Kişisel veri işlenmesi bir hakkın tesisi, kullanılması veya korunması için zorunlu olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
  • Şirketin meşru menfaatleri için zorunlu olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler işlenebilecektir.
  • Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ ŞARTLAR

KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’nda öngörülen düzenlemelere uygun davranılmaktadır. Kanunun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler ilgilinin açık rızası ile işlenebilir.

  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir.

4. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel Verilerin Üçüncü Kişilere Aktarılması

Kişisel veri işleme amaçları doğrultusunda işlenen kişisel veriler kanunun öngördüğü hallerde üçüncü kişilere aktarabilmektedir. Kişisel veri paylaşılırken Kanunda yer alan düzenlemelere uygun davranılmaktadır.

Kişisel verilerin işlenebileceği şartlardan bir veya birkaçına dayanılarak kişisel veriler üçüncü kişilere aktarılabilmektedir.

Kurul tarafından öngörülen önlemler ve gerekli güvenlik tedbirleri alınarak ve azami özen gösterilerek; özel nitelikli veriler, özel nitelikli kişisel verilerin işlenebileceği şartların bulunması halinde ve Kanundaki yükümlülüklere uyularak üçüncü kişilere aktarılabilmektedir.

Kişisel Verilerin Yurtdışına Aktarılması

Gerekli güvenlik tedbirleri alınarak ve Kanundaki yükümlülüklere uyularak kişisel veriler yurt dışında yerleşik üçüncü kişilere aktarılabilmektedir.

Meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kurul tarafından öngörülen önlemler ve gerekli güvenlik tedbirleri alınarak Kişisel verilerin işlenebileceği şartlar veya Özel nitelikli kişisel verilerin işlenebileceği şartlardan birinin varlığı durumunda, kişisel veriler Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilmektedir.

5. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Kanun’da yer alan aydınlatma yükümlülüğü ile uyumlu olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahipleri, kişisel verilerinin ne şekilde ve hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin KVKK’nun 11inci maddesi kapsamında sahip olduğu haklar vb. konusunda bilgilendirilmektedir. Bu kapsamda veri sahipleri asgari olarak aşağıdaki hususlarda bilgilendirilmektedir.

  • Şirket ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
  • Kişisel veri sahibinin sahip olduğu haklar.

Şirket Tarafından Kişisel Veri İşleme Amaçları

Kişisel veriler KVKK kapsamı ve aşağıda belirtilen amaçlarla işlenmektedir.

  • İş faaliyetlerinin planlanması ve icrası
  • Kurumsal yönetim faaliyetlerin planlanması ve icrası
  • İş sürekliğinin sağlanması faaliyetlerinin planlanması ve icrası
  • İnsan kaynakları süreçlerinin ve ihtiyaçlarının planlanması ve icrası
  • Ürün ve hizmetlerin satış ve pazarlaması faaliyetlerinin planlanması ve icrası
  • Ürün veya hizmetlerin satış süreçlerinin planlanması ve icrası
  • Satış sonrası destek hizmetleri
  • Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası
  • Müşteri talep ve/veya şikâyetlerinin takibi
  • Müşteri memnuniyeti süreçlerinin planlanması veya takibi
  • Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi
  • Şirketin finansal risk süreçlerinin planlanması veya icrası
  • Finans ve/veya muhasebe işlerinin takibi
  • Risk yönetiminin gerçekleştirilmesi
  • Ücret yönetimi
  • Şirket denetim faaliyetlerinin planlanması ve icrası
  • Yetkili kişi ve/veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi
  • Hukuk işlerinin takibi
  • Kurumsal iletişim faaliyetlerinin planlanması ve icrası
  • Tedarikçi veya iş ortağı yönetimi süreçlerinin planlanması ve icrası
  • Operasyon süreçlerinin planlanması ve icrası
  • Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası
  • Personel istihdamına ilişkin süreçlerinin yürütülmesi
  • Mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
  • Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası
  • Çalışanların performans değerlendirme süreçlerinin planlanması ve takibi
  • Yetenek- kariyer gelişimi faaliyetlerinin planlanması ve icrası
  • Çalışanlara yönelik kurumsal iletişim/sorumluluk/etkinlik projelerinin planlanması veya icrası
  • Çalışanların iş faaliyetlerinin takibi veya denetimi
  • Şirket dışı veya şirket içi eğitim faaliyetlerinin planlanması ve icrası
  • Çalışan memnuniyetinin veya bağlılığı süreçlerinin planlanması ve icrası
  • Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi
  • Şirket yerleşkesinin, demirbaşlarının ve kaynaklarının güvenliğinin temini
  • Şirketin operasyonel risk süreçlerinin planlanması ve icrası

gibi amaçlar.

Kişisel veri sahiplerinden, Kanuna uygun açık rızaların alınması süreçleri uygulanmaktadır. Kişisel veri sahibinin açık rızasını vermemesi durumunda, ilgili kişinin verileri ancak Kanunda sayılan açık rıza alınmadan kişisel verilerin işlenebileceği şartlar kapsamında ve bu şartlara uygun amaçlarla işlenebilmektedir.

Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

Kişisel veriler, Kanun’un 8. ve 9. maddelerine uygun olarak üçüncü kişilere aktarabilmektedir. Aktarımda bulunulan üçüncü kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.

  • Hukuken Yetkili Kamu Kurum ve Kuruluşları ile ilgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla,
  • Hukuken Yetkili Özel Hukuk Kişileri ile ilgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla,
  • Her halükârda yukarıda belirtilen amaçlar kapsamında paylaşılabilmektedir.

Kişisel Verilerin Saklanma Süreleri

Kişisel Veriler, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda bu mevzuatlarda belirtilen süre boyunca saklanmaktadır.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse yürütülen faaliyet ile bağlı olarak ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte, kullanım amacı sonlanan veya yasal saklama süresi sona eren Kişisel Veriler ise, Veri Saklama ve İmha Politikası’na uygun olarak imha edilmektedir.

6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

KVKK’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanması, kişisel verilere hukuka aykırı olarak erişilmesinin ve bu verilerin hukuka aykırı olarak işlenmesinin önlenmesi ve verilerin muhafazasının sağlanması için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari önlemler alınmaktadır.

Kişisel verilerin hukuka uygun işlenmesi ve kişisel verilerin güvenliğinin sağlanması ve Kanunun diğer hükümlerinin uygulanmasının sağlanması amacıyla denetim yaptırılabilmektedir.

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde bu durumun en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlamak için azami özen gösterilmektedir.

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi durumunda, bu durum en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmektedir.

7. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASINA İLİŞKİN KURALLAR

Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirkete iletmeleri durumunda Şirket talebin niteliğine göre talebi en kısa süre içinde sonuçlandırmaktadır.

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptirler.

8. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI

Kişisel veri sahipleri KVKK’nun 13. maddesinin 1. Fıkrası gereğince ve yukarıda belirtilen haklarına ilişkin taleplerini Şirket’e yazılı olarak iletebileceklerdir. Başvuru yapmak için, www.opackmakine.com adresinde bulunan Başvuru Formunu doldurup Şirket tarafından belirlenen yöntemlerden biri ile iletmeleri gerekmektedir.

Kural olarak Şirket, veri sahiplerinin başvurularını 10 sayfaya kadar ücretsiz olarak yerine getirmektedir. Ancak talep edilen işlemin ayrıca bir maliyeti olması halinde, Kurul tarafından belirlenen tarifedeki ücretler başvuran veri sahibinden talep edilebilecektir.

Eksik başvuru formları Şirket tarafından işleme alınmayacaktır. Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını teyit etmek veya formun içeriğinden talebin niteliği anlaşılmamakta ise talebi netliğe kavuşturmak amacıyla başvuruda bulunan veri sahibinden ek bilgi ve belgeler talep edebilmektedir.

Kişisel veri sahibi adına üçüncü bir kişinin başvuruda bulunabilmesi için kişisel veri sahibi tarafından ilgili üçüncü kişi adına düzenlenmiş özel vekâletname bulunmalıdır.

Veri sahibinin, yukarıda belirtilen şekilde başvuru formunu Şirkete iletmesi durumunda, Şirket formda yer alan talebin niteliğine göre talebi mümkün olan en kısa sürede yanıtlandırmaktadır.

Kişisel veri sahibi Kanunun 14. maddesi gereğince başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvurusuna cevap verilmemesi hâllerinde; Şirketin cevabını öğrendiği tarihten itibaren otuz ve her hâlükârda başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.

9. POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

10. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile saklanır.