KİŞİSEL
VERİ İŞLEME POLİTİKASI
1. Politika, Kapsam ve Amaç
1.1 SEBA KİMYA SANAYİ VE TİCARET
ANONİM ŞİRKETİ (Bundan böyle ‘’SEBA KİMYA’’ olarak anılacaktır.) Yönetim Kurulu
ve yönetimi, Bilgi Güvenliği Politikası (…………..) doğrultusunda, kişisel
verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı
Kişisel Verilerin Korunması Kanunu (KVKK) ve sair mevzuat tarafından getirilmiş
ilke ve kurallara uymayı ve SEBA KİMYA. tarafından verileri işlenen bireylerin
hak ve özgürlüklerini korumayı taahhüt etmektedir. Yönetim Kurulu bu amaçla,
uygulanmak ve geliştirilmek üzere yazılı bir kişisel veri koruma politikası ve
sistemi benimsemiştir.
1.2 Kapsam
Politika hükümleri, SEBA KİMYA’ın
faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi
süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, kontratları,
çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri
kapsamaktadır.
Bu politika SEBA KİMYA’ın tüm
birimlerini, destek hizmeti veren firma personellerini, ziyaretçileri, üçüncü
kişileri, stajyer ve sözleşmeli personeli kapsamaktadır.
1.3 Kişisel Veri Koruma Politikası
ve Sisteminin Amaçları
Kişisel Veri Koruma Politikası ve
Sisteminin amacı, SEBA KİMYA’nın kişisel verilerin yönetiminde kendi
standartlarını oluşturması ve gerçekleştirmesinin sağlanması; organizasyonel
hedef ve yükümlülüklerin belirlenmesi ve desteklenmesi, SEBA KİMYA’nın kabul
edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis
edilmesi; SEBA KİMYA’nın kişisel verilerin korunması alanındaki uluslararası
sözleşmeler, Anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi
olduğu yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi
şekilde korunmasıdır.
1.4 SEBA KİMYA, kişisel verilerin
korunması mevzuatı ve veri koruma ilkelerine uyacaktır. SEBA KİMYA’nın
benimsediği veri koruma ilkeleri şunları içermektedir:
a. Kişisel verileri yalnızca meşru
kurumsal amaçlar bakımından açıkça gerekli olması halinde işlemek;
b. Bu amaçlar için gerekli asgari
ölçekte kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek;
c. Bireylere kişisel verilerinin
kimler tarafından ve ne şekilde kullanıldığı konusunda açık bilgi vermek;
d. Yalnızca ilgili ve uygun kişisel
verileri işlemek;
e. Kişisel verileri hakkaniyete ve
hukuka uygun olarak işlemek;
f. SEBA KİMYA tarafından işlenen
kişisel veri kategorilerinin envanterini tutmak;
g. Kişisel verileri doğru ve
gerektiğinde güncel tutmak;
h. Kişisel verileri yalnızca yasal
düzenlemeler, SEBA KİMYA’nın hukuki yükümlülükleri veya meşru kurumsal
menfaatlerinin gerektirdiği süre kadar saklamak;
i. Bireylerin, erişim hakkı dahil
olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak;
j. Tüm kişisel verileri güvenli
tutmak;
k. Kişisel verileri yurtdışına,
yalnızca yeterli korumanın bulunması halinde transfer etmek;
l. Mevzuat uyarınca izin verilen
istisnaları uygulamak;
m. Politikanın uygulanması için
kişisel veri koruma sistemini tesis etmek ve uygulamak;
n. Gerektiğinde kişisel veri koruma
sistemine taraf olan iç ve dış paydaşları ve bunların SEBA KİMYA’nın kişisel
veri koruma sistemine ne ölçüde dahil olduklarını belirlemek;
o. Kişisel verilerin korunması
sistemiyle ilgili özel yetki ve sorumluluklara sahip personel / leri
belirlemek.
Bildirimler
1.5 SEBA KİMYA, veri sorumlusu
olduğu ve bu sıfatla hangi kişisel veri kategorilerini işlediği konularında
Kişisel Verilerin Korunması Kurulu’nu (“KVK Kurulu”) bilgilendirir. SEBA KİMYA,
kişisel veri envanterinde işlediği tüm kişisel veri kategorilerini belirler.
1.6 Bildirim KVK Kurulu’nca
belirlenecek usul ve yöntem uyarınca yapılır ve yapılan bildirimin bir kopyası SEBA
KİMYA Kişisel Veri Koruma Komitesi (KVK Komitesi)tarafından
saklanır.
1.7 İlgili mevzuat veya KVK
Kurulu’nca gerekli görülmesi halinde bildirimler periyodik olarak tekrarlanır.
1.8 KVK Komitesi, KVK Kuruluna
yapılan bildirimde meydana gelebilecek potansiyel değişiklikleri tespit etmek
amacıyla SEBA KİMYA’nın veri işleme faaliyetlerini ve bunlardaki değişiklikleri
yıllık olarak gözden geçirir ve gerekmesi halinde KVKK Kurulu’nu bilgilendirir.
SEBA KİMYA’ın tüm birimlerini,
destek hizmeti veren firma personellerini, stajyer ve sözleşmeli personelin bu
politikayı ihlal edici her türlü eylemine SEBA KİMYA’nın disiplin mevzuatı
uygulanacak ve söz konusu ihlalin suç veya kabahat oluşturması halinde durum en
kısa süre içerinde ilgili makamlara bildirilir.
SEBA KİMYA’nın kişisel verilere
erişimi veya erişme ihtimali bulunan çözüm ortakları ve SEBA KİMYA ile birlikte
çalışan tüm üçüncü taraflar bu politikayı okumaya ve politikaya uymaya davet
edilir. Hiçbir üçüncü taraf, kişisel verilerin korunması konusunda en az SEBA
KİMYA’nınki kadar güçlü standartlara sahip yükümlülükleri ve bunlara ilişkin SEBA
KİMYA’ın denetim hakkını içeren yazılı bir gizlilik anlaşması yapılmaksızın SEBA
KİMYA tarafından işlenen kişisel verilere erişim sağlayamaz.
2 TANIMLAR
Açık rıza: Belirli bir konuya
ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesini,
İlgili kişi: Kişisel verisi işlenen
gerçek kişiyi,
Kişisel veri: Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel nitelikli (hassas) kişisel
veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili verileri ile biyometrik ve genetik verilerini,
Kişisel verilerin işlenmesi:
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlemi,
KVKK: 6698 sayılı Kişisel Verilerin
Korunması Kanununu,
KVKK Kurulu: Kişisel Verileri
Koruma Kurulunu,
KVKK Kurumu: Kişisel Verileri
Koruma Kurumunu,
Veri işleyen: Veri sorumlusunun
verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel
kişiyi,
Veri kayıt sistemi: Kişisel
verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri sorumlusu: Kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
ifade eder.
3. Görev ve Sorumluluklar
3.1 SEBA KİMYA KVKK uyarınca veri
sorumlusudur.
3.2 Üst Yönetim, yönetici ve
denetçi pozisyonlarında olanlar başta olmak üzere tüm personeller, SEBA KİMYA
bünyesinde kişisel verilerin işlenmesinde doğru uygulamaların geliştirilmesi ve
teşvik edilmesinden ve ayrıca bireysel görev tanımlarında yer verilmiş bu
konuya ilişkin diğer yükümlülüklerden sorumludur.
3.3 KVK Komitesi, kişisel veri
koruma sisteminin yönetilmesi ve KVKK ve sair ilgili mevzuata uyumun sağlanması
ve belgelenmesi konularında görevli birim olarak kurulmuştur ve bu konularda
Yönetim Kuruluna karşı sorumludur.
3.3.1 KVK Komitesi
KVK Komitesi üyeleri yönetim kurulu
tarafından kişisel verilerin korunması mevzuatı ve uygulamaları konularında
uzmanlık ve tecrübe sahibi olmaları dikkate alınarak atanır ve doğrudan Yönetim
Kurulu’na rapor sunar.
KVK Komitesi, Bilgi Güvenliği
Komitesi üyeleri ve Hukuk Müşaviri, …….(başka kişiler olacaksa ünvanları
yazılmalıdır)………...]’nden oluşur. Komitenin başkanı [……………..]’dır .
Komite her iki haftada bir düzenli
olarak veya gerek görülmesi halinde toplanır.
Komiteye ulaşım ve iletişim
bilgileri…
3.3.1 KVK Komitesi
KVK Komitesi üyeleri yönetim kurulu
tarafından kişisel verilerin korunması mevzuatı ve uygulamaları konularında
uzmanlık ve tecrübe sahibi olmaları dikkate alınarak atanır ve doğrudan Yönetim
Kurulu’na rapor sunar.
3.3.2 KVK Komitesi Görev ve
Sorumlulukları
3.3.2.1 Komite, Yönetim Kurulu’nu
Kişisel Verilerin Korunması mevzuatı ve gelişmeler konusunda
bilgilendirmelidir.
3.3.2.2 Komite, SEBA KİMYA’nın
politikalarının ve prosedürlerinin güncel olduğunu ve veri işleme
denetimlerinin planlandığı takvime uygun olarak yapıldığını ve bunların ilgili
mevzuatla uyumlu olduğunu sağlamakla sorumludur.
3.3.2.3 Komite kişisel veri koruma
konularında tüm ilgili personelle birlikte hareket eder.
3.3.2.4 Komitenin ana görev ve
sorumlulukları şunlardır:
• SEBA KİMYA, ilgili partnerleri ve
destek hizmeti sağlayan tedarikçilerine kişisel veri koruma mevzuatı ve uyum
konularında bilgi ve tavsiye vermek.
• SEBA KİMYA, personeline kişisel
veri koruma mevzuatı uyarınca sahip oldukları yükümlülükler konusunda bilgi ve
tavsiye vermek.
• SEBA KİMYA’nın veri işleme
faaliyetlerinin kişisel veri koruma mevzuatı ile uyumluluğunu gözlemlemek.
• SEBA KİMYA’nın kişisel veri
koruma politikası ve ilgili prosedür ve süreçleri geliştirmesine ve
sürdürmesine katkı sağlamak.
• Kişisel veri koruma mevzuatına
uyum bağlamında SEBA KİMYA içinde sorumlulukları tayin etmek.
• Kişisel veri işleme süreçlerine
dahil olan tüm personel için gerekli eğitim ve farkındalığın verilmesini
sağlamak.
• Düzenli denetimler yaparak
Kişisel veri koruma mevzuatı ile uyumu gözlemlemek ve Yönetim Kurulu’na
raporlamak.
• KVK Kurulu ile işbirliği ve
irtibat halinde hareket etmek.
• KVK Kurulu nezdinde SEBA KİMYA’nın
irtibat noktası ve temsilcisi olarak işlev görecek sorumluları belirlemek.
• SEBA KİMYA bünyesinde Bilgi
Güvenliği Politikası’na uyumu gözlemlemek ve gerektiğinde ilgililere bilgi ve
tavsiye vermek.
• Kişisel veri ihlali olaylarının
ve soruşturmalarının Kurul’a bildirilmesi için resmi prosedür geliştirmek.
• İş sürekliliği planı sürecinde
katkı sağlamak.
• Kurumsal kayıtların saklanması
konusunda bilgi ve tavsiye vermek.
• SEBA KİMYA bünyesinde kişisel
verilerin hangi ölçekte toplandığını, tutulduğunu ve kullanıldığını ve bunların
ilgili mevzuata uygun olarak saklanma koşularını temin etmek.
• Kişisel verilerin korunmasına
ilişkin uygunluk, makullük, güvenlik uygulamaları ve gerekli olabilecek diğer
kontrollere ilişkin gözetim ve değerlendirmeleri yapmak.
• Kişisel verilerin gizliliğini,
bütünlüğünü ve erişilebilirliğini sağlamaya yönelik kontrolleri belirlemek ve
uygulamak, gerekli olabilecek ilave kontrolleri önermek.
• SEBA KİMYA içinde kişisel veriler
bakımından potansiyel risk oluşturduğu konuları ve ilgili önerilerini Yönetim
Kurulunun gündemine sunmak.
3.3.2.5 KVK Komitesi SEBA KİMYA’nın
kişisel verilerin toplanması, işlenmesi ve saklanmasıyla ilgili tüm sistemlerde
denetleme yetkisine sahiptir. KVK Komitesi görevlerini yerine getirirken tüm
personelden sistemlere ve kayıtlara erişim dahil olmak üzere işbirliği sağlama
talebinde bulunabilir. Bu işbirliğinin sağlanmaması durumunda Komite durumu
Yönetim Kuruluna rapor eder.
3.4 SEBA KİMYA’nın kişisel veri
işleyen tüm personeli Kişisel Verilerin Korunması mevzuatına uygun davranmak
sorumluluğundadır.
3.5 İnsan Kaynakları birimi, tüm personelin
kişisel verilerin korunması alanında sahip olduğu sorumlulukları bilmesi ve
gerekli farkındalığa sahip olması için gerekli bildirim ve eğitimlerin
gerçekleştirilmesinden sorumludur.
3.6 SEBA KİMYA personelleri, SEBA
KİMYA’ya kendileri tarafından sağlanan veya kendilerine ilişkin olan tüm
kişisel verilerin doğruluğunu ve güncelliğini sağlamakla yükümlüdür.
4. Veri Koruma İlkeleri
Tüm kişisel veri işleme
faaliyetleri aşağıdaki veri koruma ilkeleriyle uyumlu olarak yapılmalıdır. SEBA
KİMYA’nın politika ve prosedürleri bu ilkelerle uyumluluğu sağlamayı
amaçlamaktadır:
• Hukuka ve dürüstlük kurallarına
uygun olma.
• Doğru ve gerektiğinde güncel
olma.
• Belirli, açık ve meşru amaçlar
için işlenme.
• İşlendikleri amaçla bağlantılı,
sınırlı ve ölçülü olma.
• İlgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
4.1 Kişisel veriler hukuka ve
dürüstlük kuralına uygun ve şeffaf bir şekilde işlenir.
Bu doğrultuda SEBA KİMYA
gerçekleştirdiği kişisel veri işleme faaliyetlerine ilişkin, veri toplama
kanallarında ve ilgili alanlarda aydınlatma metni/gizlilik bildirimlerine yer
verir. SEBA KİMYA tarafından kimlere ilişkin hangi verilerin hangi amaçlarla
işlendiğine ilişkin açık ve anlaşılabilir bilgilerin yer aldığı bu
bildirimlerin yer alacağı ve ilan edileceği alanlar KVK Komitesi tarafından
belirlenir. Bu bildirimlerde şu hususlara yer verilir:
• SEBA KİMYA’nın veri sorumlusu
olarak kimliği ve iletişim bilgileri,
• KVK Komitesi ve iletişim
bilgileri,
• İşlenen kişisel veri türleri,
• Kişisel verinin işlenme amaçları,
• Kişisel verinin öngörülen saklama
süresi,
• Veri sahibinin hakları,
• Verinin paylaşılabileceği üçüncü
taraflar.
4.2 Kişisel veriler yalnızca
belirli, açık ve meşru amaçlarla işlenebilir.
4.2.1 Kişisel veri envanterinde
kişisel verilerin işlenme gerekçeleri/amaçları belirlenir ve kişisel veriler
başka bir hukuki gerekçe veya veri sahibinin açık rızası olmaksızın belirtilen
amaç dışında kullanılamazlar.
4.2.2 Bir kişisel verinin kişisel
veri envanterinde belirtilmiş amaçlar dışında kullanılmasını gerektiren
koşulların doğması halinde, bu durum ilgili personel/birim tarafından İrtibat
Sorumlusu/KVK Komitesine bildirilir. KVK Komitesi yeni amacın uygunluğunu
denetler ve gerekliyse veri sahibinin yeni amaçla ve yeni veri işleme faaliyeti
konusunda bilgilendirilmesini sağlar.
4.3 Kişisel veriler uygun ve ilgili
olmalı, amaçla sınırlı ölçüde işlenmelidir.
4.3.1 KVK Komitesi işleme amacı
için açıkça gerekli olmayan kişisel verilerin toplanmadığını ve işlenmediğini
sağlamakla yükümlüdür.
4.3.2 Elektronik ve fiziksel tüm
veri toplama formları ve bilgi sistemlerindeki veri toplama mekanizmaları KVK
Komitesince onaylanmak koşuluyla uygulanır.
4.3.3 KVK Komitesi periyodik
olarak, kişisel veri envanteri üzerinden işlenen verilerin uygun ve ilgili
olduğunu denetler.
4.3.4 KVK Komitesi yıllık bazda
yapacağı/yaptıracağı iç denetim/ dış denetim ile tüm veri işleme yöntemlerinin
uygun ve ilgili olduğunu denetler.
4.3.5 KVK Komitesi, uygun ya da
ilgili olmadığı veya işleme amacı bakımından gereğinden fazla olduğunu tespit
ettiği kişisel veriler bakımından veri işleme faaliyetinin durdurulmasından ve
işlenmiş verilerin saklama ve imha prosedürü uyarınca güvenli bir şekilde imha
edilmesinden sorumludur.
4.4 Kişisel veriler doğru ve güncel
olmalıdır.
4.4.1 Uzun süre boyunca tutulan
verilerin doğruluğu ve güncelliği gözden geçirilmelidir.
4.4.2 İnsan Kaynakları, [……(başka
birimi varsa onun ismi yazılmalıdır)…………] biriminin yöneticisi tüm personelin,
kişisel verilerin doğru ve güncel olarak toplanması ve tutulması konusunda
eğitilmesinden sorumludur.
4.4.3 Personele ilişkin tutulan
verilerin doğruluğu ve güncelliği, ilgili personelin kendi sorumluluğundadır.
4.4.4 Personeller/ müşteriler ve
diğer ilgili kişiler işlenen kişisel verilerin güncellenmesi için SEBA KİMYA’nın
bilgilendirmelidirler. Bu şekilde bir bildirim yapılması üzerine söz konusu
kaydın düzeltilmesi ve güncellenmesi ilgili birimin sorumluluğundadır.
4.4.5 KVK Komitesi veri envanteri
üzerinden, işlenen verinin türü, saklama süresi ve miktarı üzerinde yapacağı
değerlendirme ile belirli verilerin doğruluğunun veya güncelliğinin gözden
geçirilmesi için ilgili birime talimat verebilir.
4.5 Kişisel veriler, yalnızca veri
işleme amacı bakımından gerekliyse işlenmelidir.
4.5.1 Kişisel verilerin Back-up vb.
gereklilikler nedeniyle gerekli sürenin ötesinde saklanması durumunda veri
güvenliği zafiyeti durumlarında bireylerin hal ve özgürlüklerinin korunması
için kişisel veriler şifrelenmeli veya anonimleştirilmeli/maskelenmelidir.
4.5.2 Kişisel verilerin
[………prosedürler………] uyarınca belirlenmiş sürelerin sonrasında işlenmesi için
KVK Komitesinin yazılı onayına bağlıdır.
5. Veri Sahiplerinin Hakları
Veri sahipleri haklarındaki SEBA
KİMYA nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak aşağıdaki
haklara sahiptir:
5.1 Kişisel verisinin işlenip
işlenmediğini öğrenme,
5.2 Kişisel verileri işlenmişse
buna ilişkin bilgi talep etme,
5.3 Kişisel verilerin işlenme
amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
5.4 Yurt içinde veya yurt dışında
kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5.5 Kişisel verilerin eksik veya
yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
5.6 KVKK veya bu politika uyarınca
işlenmesi için hukuka uygun bir gerekçe veya dayanak bulunmayan kişisel
verilerin silinmesini veya yok edilmesini isteme,
5.7 İsteği üzerine yapılan düzeltme
veya silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
5.8 İşlenen verilerin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
5.9 Kişisel verilerin kanuna aykırı
olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep
etme.
Veri sahipleri, kişisel verilerine
erişme ve yukarıda sayılan haklarını kullanma talebinde bulunabilirler. Bu
talepler İrtibat Sorumlusu/KVK Komitesine iletilir ve Komite tarafından 30 gün
içerisinde cevap verme işlemi yerine getirilir. Taleplerin alınması, iletilmesi
ve sonuçlandırılmasına ilişkin süreçler talep yönetim prosedürü uyarınca
gerçekleştirilir.
Veri sahipleri taleplerini KVKK
Başvuru Formu’nu doldurmak suretiyle ………………………………………… adresine noter
vasıtasıyla veya iadeli taahhütlü mektup vasıtasıyla kimlik teyidi yapmak
suretiyle veya …………….@kep…… adresine kayıtlı e-posta adresi üzerinden iletebilirler.
SEBA KİMYA’nın tüm personeli, görev
tanımı ne olursa olsun kendisine yönelmiş veri sahibi erişim taleplerine
yönelik olarak doğru başvuru yöntemi konusunda veri sahiplerini yönlendirmekle
yükümlüdür. SEBA KİMYA personeli, veri sahiplerinden gelecek talepler konusunda
nasıl hareket etmeleri konusunda bilgilendirilmeli ve eğitilmelidir.
Veri sahiplerinin taleplerini
yöneltebilmesi için aydınlatma metinleri/gizlilik bildirimlerinde ve SEBA KİMYA’nın
web adresinde, İrtibat Kişisi/Komitenin iletişim bilgilerine yer verilir.
6. Açık Rıza Alınması
SEBA KİMYA, veri sahibi tarafından
belirli veri işleme faaliyetlerine ilişkin, bilgilendirilmeye dayanan ve özgür
iradeyle, hakkında veri işlenmesine ilişkin iradeyi ortaya koyan, yazılı/sözlü
beyan veya açık doğrulayıcı eylemle açıklanan, rızayı açık rıza olarak kabul
etmektedir. Hassas veriler bakımından açık rıza mutlaka yazılı olarak alınır.
Açık rıza veri sahibi tarafından her zaman geri alınabilir.
Açık rıza, açık rıza formu şablonu
veri sahibine imzalatılarak veya veri sahibiyle yapılacak sözleşme veya
elektronik formda bu şablonda yer alan unsurlara yer verilmesi suretiyle
alınabilir. Personeller, personel adayları ve müşterilere ilişkin rutin olarak
işlenen kişisel veriler bakımından açık rıza, ilgili sözleşme veya formlar
aracılığıyla alınır.
Açık rızaya dayanan veri işleme
faaliyetinin süreklilik arz edecek veya tekrarlanacak olması halinde ilgili
birimce tek bir liste halinde açık rızası alınmış kişilerin listesi tutulur. Bu
listenin güncelliği ve doğrulu ilgili birimin sorumluluğundadır. Açık rızaya
dayanan veri işleme faaliyetine ilişkin açık rıza formları veya diğer ilgili
ispat araçları ilgili birimce saklanır.
7. Veri Güvenliği
Tüm personel, SEBA KİMYA tarafından
işlenen ve kendi sorumluluklarında olan kişisel verilerin güvenli olarak
tutulmasını sağlamakla yükümlüdür.
Kişisel verilere, yalnızca bunlara
erişimi gerekli olanlar erişebilmelidir. Erişimler, Erişim Yönetimi Prosedürü
uyarınca sağlanır.
Kişisel verilerin güvenliği, SEBA
KİMYA’nın KVK Politikası ve buna bağlı dokümanlar uyarınca sağlanır.
Kişisel verilere ilişkin bilgi
güvenliği olayları KVK Komitesince en kısa süre içerisinde KVK Kuruluna ve
ilgili kişiye bildirilir.
8. Veri Paylaşımı
8.1 Kişisel veriler ancak hukuka ve
hakkaniyete uygun olarak üçüncü kişilerle paylaşılabilir. Buna göre kişisel
verilerin paylaşılabilmesi için aşağıdaki koşullardan birinin bulunması aranır:
• Veri sahibin açık rızasının
alınmış olması.
• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması.
• SEBA KİMYA’nın taraf olduğu ya da
olacağı bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli
olması.
• SEBA KİMYA’nın hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından
alenileştirilmiş olması.
• SEBA KİMYA’nın haklarının tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, SEBA KİMYA.’nin meşru menfaatleri için
veri işlenmesinin zorunlu olması.
8.2 Kişisel veriler, ancak
yukarıdaki koşulların sağlanması ve hedef ülkede yeterli korumanın bulunması ve
veri sahibinin bu aktarım konusunda açık rızasının alınması koşuluyla
yurtdışına aktarılabilir.
Kişisel verilerin yurtdışına
aktarılmasında KVK Kurulu tarafından belirlenen yeterli korumanın bulunduğu
ülkeler listesi dikkate alınır.
Kişisel verilerin yurtdışına
aktarılması söz konusu olduğunda KVKK ve ilgili mevzuat uyarınca KVK Komitesi
KVK Kurulu nezdinde gerekli izin ve bildirimleri sağlar.
8.3 Kişisel verilerin paylaşımına
ilişkin tüm işlemler gerekçeleriyle birlikte yazılı olarak kayıt altına
alınmalıdır. KVK Komitesi bu kayıtların belirli periyotlarla denetlenmesini
sağlar.
8.4 Yasal bir dayanak veya hukuki
yükümlülük olmaksızın düzenli bir veri paylaşma ilişkisinin söz konusu olması
halinde, söz konusu tarafla veri paylaşımının koşullarını belirleyen bir KVKK
Taahhütnamesi yapılır. KVKK Taahhütnamesi minimumda şunları içerir:
• Paylaşımın amacı veya amaçları;
• Potansiyel üçüncü kişi alıcılar
veya alıcı türü ve erişim hakkı koşulları;
• Paylaşılacak veri kategorilerinin
neler olduğu (bu amaçlarınız için gerekli minimum düzeyde tutulmalıdır);
• Verinin işlenmesine ilişkin genel
ilkeler;
• Veri güvenliği tedbirleri;
• Paylaşılan verilerin tutulma
süresi;
• Veri sahibinin hakları, erişim
talepleri, başvuru ve şikâyetlere cevap verme prosedürleri;
• Paylaşım sözleşmesinin
yürürlüğünün sona erdirilmesinin gözden geçirilmesi ve
• Sözleşmeye uyulmaması veya
personelin bireysel ihlalinden dolayı sorumluluk ve yaptırımlar.
9. SEBA KİMYA. Tarafından Yürütülen
Kişisel Veri İşleme Faaliyetleri Kapsamında İşlenen Kişisel Veri İşleme
Amaçları, Kişisel Veri Sahipleri, Kişisel Veri Kategorileri ve Paylaşılan Taraf
Kategorileri
9.1 Kişisel Veri İşleme Amaçları
Veri Sorumluları Sicil Bilgi
Sistemi kapsamında SEBA KİMYA tarafından yürütülen kişisel veri işleme
faaliyetleri kapsamında veri işleme amaçları aşağıdaki gibidir:
• Acil Durum Yönetimi Süreçlerinin
Yürütülmesi
• Bilgi Güvenliği Süreçlerinin
Yürütülmesi
• Çalışan Adayı / Stajyer / Öğrenci
Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru
Süreçlerinin Yürütülmesi
• Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin
Yürütülmesi
• Çalışanlar İçin İş Akdi Ve
Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışanlar İçin Yan Haklar Ve
Menfaatleri Süreçlerinin Yürütülmesi
• Denetim / Etik Faaliyetlerinin
Yürütülmesi
• Eğitim Faaliyetlerinin
Yürütülmesi
• Faaliyetlerin Mevzuata Uygun
Yürütülmesi
• Finans Ve Muhasebe İşlerinin
Yürütülmesi
• Fiziksel Mekan Güvenliğinin
Temini
• Hukuk İşlerinin Takibi Ve
Yürütülmesi
• İletişim Faaliyetlerinin
Yürütülmesi
• İnsan Kaynakları Süreçlerinin
Planlanması
• İş Faaliyetlerinin Yürütülmesi /
Denetimi
• İş Sağlığı / Güvenliği
Faaliyetlerinin Yürütülmesi
• İş Süreçlerinin İyileştirilmesine
Yönelik Önerilerin Alınması Ve Değerlendirilmesi
• İş Sürekliliğinin Sağlanması
Faaliyetlerinin Yürütülmesi
• Lojistik Faaliyetlerinin
Yürütülmesi
• Mal / Hizmet Satın Alım
Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Sonrası Destek
Hizmetlerinin Yürütülmesi
• Mal / Hizmet Satış Süreçlerinin
Yürütülmesi
• Mal / Hizmet Üretim Ve Operasyon
Süreçlerinin Yürütülmesi
• Müşteri İlişkileri Yönetimi
Süreçlerinin Yürütülmesi
• Müşteri Memnuniyetine Yönelik
Aktivitelerin Yürütülmesi
• Organizasyon Ve Etkinlik Yönetimi
• Pazarlama Analiz Çalışmalarının
Yürütülmesi
• Performans Değerlendirme
Süreçlerinin Yürütülmesi
• Reklam / Kampanya / Promosyon
Süreçlerinin Yürütülmesi
• Risk Yönetimi Süreçlerinin
Yürütülmesi
• Saklama Ve Arşiv Faaliyetlerinin
Yürütülmesi
• Sözleşme Süreçlerinin Yürütülmesi
• Stratejik Planlama
Faaliyetlerinin Yürütülmesi
• Talep / Şikayetlerin Takibi
• Ücret Politikasının Yürütülmesi
• Ürün / Hizmetlerin Pazarlama
Süreçlerinin Yürütülmesi
• Yönetim Faaliyetlerinin
Yürütülmesi
9.2 Kişisel Veri Sahipleri
Çalışan
Adayı :
Seba Kimya’ya
herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili
bilgilerini Seba Kimya’nın incelemesine açmış olan gerçek kişiler
Çalışan:
Seba Kimya
tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları, denetim,
bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb
faaliyetler çerçevesinde kişisel verileri işlenen çalışanlar.
Hissedar
Ortak:
Seba
Kimya’nın hissedarı gerçek kişiler
Potansiyel
Ürün veya Hizmet Alıcısı:
Seba Kimya
ile herhangi bir sözleşmesel ilişkisi olmaksızın Seba Kimya iş birimlerinin
yürüttüğü operasyonlar kapsamında iş ilişkileri üzerinden kişisel verileri elde
edilen gerçek kişiler.
Stajyer:
Seba Kimya tarafından yürütülen etkinlik, çalışan memnuniyeti, insan
kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması,
hukuki uyum vb faaliyetler çerçevesinde kişisel verileri işlenen stajyerler.
Tedarikçi Çalışanı:
Seba Kimya’nın ticari faaliyetlerini yürütürken Seba Kimya’nın
emir ve talimatlarına uygun olarak sözleşme temelli olarak Seba Kimya’ya hizmet
sunan taraf çalışanı
Tedarikçi Yetkilisi:
Seba Kimya’nın ticari faaliyetlerini yürütürken Seba Kimya’nın
emir ve talimatlarına uygun olarak sözleşme temelli olarak Seba Kimya’ya hizmet
sunan taraf yetkilisi.
Müşteri (Ürün veya Hizmet Alan Kişi) :
Seba Kimya ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Seba
Kimya’nın iş birimlerinin yürüttüğü operasyonlar kapsamında iş ilişkileri
üzerinden kişisel verileri elde edilen gerçek kişiler.
Veli, Vasi, Temsilci:
Seba Kimya kapsamında kişisel verisi elde edilen veli, vasi yada
temsilci sıfatındaki kişiler.
Ziyaretçi:
Seba Kimya’nın sahip olduğu fiziksel yerleşkelere çeşitli
amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler
9.3 Kişisel Veri Kategorileri
Kimlik Bilgisi
Kişinin kimliğine dair bilgilerin
bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum
yeri, doğum tarihi, cinsiyet, işyeri bilgisi, sicil no., vergi numarası, unvan,
biyografi vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı ve pasaport
gibi belgeler
İletişim Bilgisi
Telefon numarası, adres, e-mail
adresi, faks numarası vb. bilgiler
İşlem Güvenliği Bilgisi
Faaliyetlerimizin yürütülmesi
sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen
kişisel verileriniz (örneğin log kayıtları, IP bilgisi, kimlik doğrulama
bilgileri)
Müşteri İşlem Bilgisi
Çağrı merkezi kayıtları, fatura,
senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep
bilgisi gibi bilgiler
Aile Bireyleri ve Yakın Bilgisi
Seba Kimya tarafından yürütülen
faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel
veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel
veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil
durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
Lokasyon Bilgisi
Kişinin bulunduğu yerin konum
bilgiler
Özlük Bilgisi
Çalışanın bordro bilgileri,
disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi
bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi veriler
Risk Bilgisi
Ticari, teknik, idari risklerin
yönetilmesi için işlenen bilgiler
Finansal Bilgi
Seba Kimya’nın kişisel veri sahibi
ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal
sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile
banka hesap numarası, IBAN numarası, gelir bilgisi, borç/alacak bilgisi gibi
veriler
Hukuki İşlem Bilgisi
Bilgisi Hukuki alacak ve
haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni
yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen
kişisel veriler
Fiziksel Mekan Güvenlik Bilgisi
Fiziksel mekana girişte, fiziksel
mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel
veriler; kamera kayıtları, araç bilgisi kayıtları ve güvenlik noktasında alınan
kayıtlar v.b.
Mesleki Deneyim
Diploma bilgileri, gidilen kurslar,
meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi bilgiler
Görsel ve İşitsel Kayıtlar
Fotoğraf ve kamera kayıtları
(Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç) ve ses
kayıtları
Felsefi, Din, Mezhep ve Diğer
İnançlar
Dini aidiyetine ilişkin bilgiler,
felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer
inançlarına ilişkin bilgiler
Dernek, Vakıf, Sendika Üyeliği
Dernek, vakıf, sendika üyeliği
bilgileri
Sağlık Bilgileri
Engellilik durumuna ait bilgiler,
kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez
bilgileri vs.
Ceza Mahkumiyeti ve Güvenlik
Tedbirleri
Ceza mahkûmiyetine ilişkin
bilgiler, güvenlik tedbirlerine ilişkin bilgiler
Biyometrik Veri
Avuç içi bilgileri, parmak izi
bilgileri, retina taraması bilgileri, yüz tanıma bilgileri vs.
9.4 Paylaşılan Taraf Kategorileri
Gerçek kişiler veya özel hukuk
tüzel kişileri : İlgili mevzuat hükümlerine göre
Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri
Paylaşım Amacı: İlgili
özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı
olarak
İş Ortakları: Seba
Kimya’nın , ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı
kurduğu taraflar
Paylaşım Amacı: İş
ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla
sınırlı olarak
Yetkili Kamu Kurum ve Kuruluşları: İlgili
mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve
kuruluşları
Paylaşım Amacı: İlgili
kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla
sınırlı olarak
10. Kayıtların Yönetimi
Kişisel veriler, işlenme amaçları
için gerekli süreden fazla tutulamaz. Kişisel veri içeren kayıtların
sınıflandırılması ve bunlara ilişkin saklama süreleri [(saklama ve imha
politikası)…………….] uyarınca belirlenir.
İşlenme amaçları için gerekli
süresi dolan veya veri sahibinin haklı talebi üzerine kişisel veriler, veri
sahibi gerçek kişi tespit edilemeyecek şekilde ve [……(saklama ve imha
prosedürü)……….] uyarınca anonimleştirilir veya silinir veya imha edilir.
11. Denetim
12. Politikanın Güncel Tutulması
[…………….]
Doküman Sahipliği ve Onay
Bu dokümanın sahibi KVK Komitesidir
ve bu politikanın yukarıda belirtilen gözden geçirme gereklilikleri uyarınca
düzenli olarak gözden geçirilmesinden sorumludur.
Bu dokümanın güncel versiyonu
[……..] üzerinden tüm Seba Kimya personelinin erişimine sunulmuş ve şirket web
sitesi üzerinden yayınlanmıştır.
Bu politika […………….] tarihinde
Yönetim Kurulu tarafından onaylanmış ve Genel Müdürün imzası ile
yayımlanmıştır.
İmza
:
Tarih
: