SİMYA ECZA DEPOSU SAN. TİC. A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1.1.Amaç
Bu Politika ile SİMYA ECZA DEPOSU Kanun’a uyumlulaştırılarak, faaliyetlerinde etkin bir şekilde uygulanması amaçlanmaktadır. Aşağıdaki “EK 1- Kişisel Veri İşleme Amaçlar” doğrultusunda, SİMYA ECZA DEPOSU tarafından kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik önlemler alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacaktır. Hissedarlar, yetkililer, çalışanlar ve iş ortaklarının Kanun süreçlerine uyumları için gerekli tüm önlemler alınarak uygun ve etkin denetim mekanizmaları kurulacaktır.
1.2.Kapsam
SİMYA ECZA DEPOSU çalışanları dışındaki kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel veriler Politika kapsamındadır. Kişisel veri sahiplerine ilişkin bilgiler, Politika eki “EK 2- Kişisel Veri Sahipleri” belgesinde sayılmaktadır.
SİMYA ECZA DEPOSU , çalışanların kişisel verilerinin korunmasını, Politika’daki esaslar çerçevesinde belirlenen SİMYA ECZA DEPOSU SAN. TİC. A.Ş.Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası ile yürütmektedir.
1.3Dayanak
Simya Ecza Deposu’nun kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili mevzuat ile bu düzenlemelere uygun Politika uygulanacaktır. Yürürlükteki mevzuat ve Politika arasında uyumsuzluk olduğu hallerde yürürlükteki mevzuat uygulanır. İlgili mevzuat tarafından öngörülen düzenlemeler Politika ile Simya Ecza Deposu uygulamalarına dönüştürülmektedir.
2.1. Kişisel Verilerin Güvenliğinin Sağlanması
Simya Ecza Deposu, kişisel verilerin hukuka aykırı açıklanmasını, erişimini, aktarılmasını veya başka şekillerde oluşabilecek güvenlik sorunlarını önlemek için, verinin niteliğine göre, Kanun’un 12. maddesinde öngörülen gerekli önlemleri almaktadır. Simya Ecza Deposu, Kişisel Verileri Koruma Kurulu tarafından yayımlanmış olan rehberlere uygun olarak gerekli kişisel veri güvenlik seviyesini sağlamak için tedbirler almakta, denetimler gerçekleştirmektedir.
2.2. Özel Nitelikli Kişisel Verilerin Korunması
Özel nitelikte olan, kişilere ait ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerin korunmasına yönelik alınan önlemler özenle uygulanmakta ve gerekli denetimler yapılmaktadır.
Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye, Politika’nın 3.3. maddesinde yer verilmiştir.
2.3. Kişisel Verilerin Korunmasi ve İşlenmesi Bilincinin Geliştirilmesi
Simya Ecza Deposu, kişisel verilerin hukuka uygun işlenmesini, erişilmesini, verilerin muhafazası ve hakları kullanmaya yönelik bilincin geliştirilmesi için ilgililere gerekli eğitimleri verir.
Çalışanların kişisel verileri koruma bilincini arttırmak için, Simya Ecza Deposu gerekli iş süreçlerini oluşturur, ihtiyaç duyulması halinde danışmanlardan destek alır. Uygulamada karşılaşılan eksiklikler ve eğitimlerin sonucu Simya Ecza Deposu yönetimi tarafından değerlendirilir. Yapılan bu değerlendirmeler ile ilgili mevzuattaki değişikliklere bağlı ihtiyaç duyulması halinde yeni eğitimler düzenlenebilir.
3.KİŞİSELVERİLERİNİŞLENMESİ
3.1. Kişisel Verilerin Mevzuata Uygun İşlenmesi
Kişisel veriler aşağıda sayılan ilkeler doğrultusunda mevzuata uygun işlenir.
iii. Belirli, Açık ve Meşru Amaçlarla İşleme
Simya Ecza Deposu yürütülen iş faaliyetlerinde, belirlenen ve açıklanan meşru amaçlara bağlı kişisel verileri işlemektedir.
3.2. Kişisel Verilerin İşlenme Şartları
Kişisel veri sahibinin açık rıza vermesi dışında kişisel veri işleme faaliyeti aşağıda belirtilen şartlardan yalnızca biri ya da birden fazla şarta dayanarak işlenebilir. Özel nitelikli kişisel verilerin işlenmesi, Politika 3.3. maddesinde (Özel Nitelikli Kişisel Verilerin İşlenmesi) düzenlenen şartlara dayanır.
i. Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenmesi veri sahibinin açık rızasıyla yapılır. Kişisel veri sahibinin açık rızası: belirli bir konuda bilgilendirilerek ve özgür iradesi alınarak gerçekleşir. Aşağıda sıralanan şartlarından herhangi birinin bulunması durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilir.
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
Simya Ecza Deposu özel nitelikli kişisel verileri işlerken, Kanun ve Politika’da belirlenen ilkelere uygun, Kurul’un belirleyeceği yöntemlerle gerekli her türlü idari ve teknik önlemleri alarak, aşağıdaki şartlarla işler:
3.4. Kişisel Veri Sahibinin Aydınlatılması
Simya Ecza Deposu, kişisel veri sahiplerini, hangi amaçlarla kişisel verilerinin işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ,hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesinde sahip olduğu hakları konularında, ilgili mevzuata uygun şekilde bilgilendirir.
3.5. Kişisel Verilerin Aktarılması
Simya Ecza Deposu, kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) hukuka uygun olarak aktarabilir. Simya Ecza Deposu aktarma işlemlerini, Kanun’un 8. maddesinde öngörülen düzenlemelere uygun şekilde gerçekleştirmek için, Politika eki “EK 4- Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları” belgesine göre işlemleri gerçekleştirir.
Kişisel verilerin aktarılması için kişisel veri sahibinin açık rızası aranmakla birlikte, aşağıda belirtilen koşulların bir ya da birkaçına dayanılarak, Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilir.
Kurul tarafından yeterli korumaya sahip olduğu “Yeterli Korumaya Sahip Yabancı Ülke” olarak ilan edilen yabancı ülke statüsündekilere, yukarıda sayılan şartlardan herhangi birine bağlı kişisel veriler aktarılabilir. Yeterli koruma bulunmayan Türkiye ve yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt eden ve Kurul’un izninin bulunduğu “Yeterli Korumayı
Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke” statüsündekilere, mevzuatta öngörülen şartlara göre kişisel veriler aktarılabilir.
Özel nitelikli kişisel veriler, Politika’da belirlenen ilkelere uygun olarak, Kurul’un belirleyeceği yöntemler de dahil olmak üzere, gerekli her türlü idari ve teknik tedbirler alınarak aşağıdaki koşullarla aktarılabilir:
Kişisel veriler, “Yeterli Korumaya Sahip Yabancı Ülke” statüsündekilere yukarıdaki şartlardan herhangi birinin bulunması halinde, yeterli korumanın bulunmaması halinde “Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke” statüsündekilere mevzuatta düzenlenen veri aktarım şartlarına göre kişisel veriler aktarılabilir.
Simya Ecza Deposu kişisel verileri işlemekteki amacı, Kanun’un 10. maddesi ve diğer mevzuat uyarınca ilgili kişileri bilgilendirmek, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler başta olmak üzere, Kanun’da belirtilen genel ilkelere uygun bir şekilde gerçekleştirmektir.
Simya Ecza Deposu, hissedar ve yetkililerinin kişisel verilerini, Türk Ticaret Kanunu, Vergi Usul Kanunu, İş Kanunu ve ilgili sair mevzuattan kaynaklanan yasal yükümlülükleri yerine getirmek için işlemektedir.
Simya Ecza Deposu ile faaliyet sürdürenlere ait verileri; belirlenen kurallara uygun davranmasının sağlanması, yükümlülüklerin ihlali halinde sözleşmeye uygun ifanın sağlanabilmesi için ihtarnameler çekilebilmesi, icra ve dava yollarına başvurulabilmesi ve diğer tedbirlerin alınabilmesi amacıyla kaydeder. Şubelerin kişisel verileri kira sözleşmesi, zeyilnameler, ek sözleşmeler, protokoller, mail yazışmaları aracılığı ile elde edilmektedir.
Simya Ecza Deposu’na mal/hizmet sağlayan tedarikçilerin bilgilerini, sorumluluklarını yerine getirip getirmediğini kontrol etmek ve faaliyetlerin düzenini sağlamak amacıyla kaydeder. Tedarikçilere ait kişisel veriler, kendileri ile kurulan iletişim sonucu yollanan ve alınan e- mailler, yapılan telefon görüşmeleri ile kartvizit ve internet sitesi bilgilerinin aktarılması yoluyla elde edilmektedir.
Simya Ecza Deposu bünyesinde çalışanların ve aday çalışanların kişisel verilerini, SGK kaydının yapılabilmesi için, yürürlükteki İş Kanunu, İş Sağlığı ve Güvenliği Kanunu’nun uygulamaları kapsamında kişilerin personel özlük dosyasında bulunması zorunlu evrakların tamamlanması amacıyla talep etmekte ve işlemektedir. Bu kişisel veriler, işe giriş ve iş başvurusu aşamasında açık rızaları ile ilettikleri öz geçmiş, iş başvuru formları, aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri, mülakat esnasında kendilerine
sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar aracılığıyla elde edilmektedir. Simya Ecza Deposu, kendisine iş başvurusu yapan gerçek kişilerden kişisel verilerini, kişiyle işe alım sürecinde mülakat amaçlı iletişim kurmak ve mülakat sırasında kişinin nitelikleri ve deneyimleri ile işe alım yapılacak açık pozisyonun uyumlu olup olmadığını tespit etmek amacıyla talep etmekte ve işlemektedir. Anılan kişisel veriler, başvuru yapan kişilerin kendi açık rızaları ile öz geçmişlerini insan kaynakları departmanına yollamaları, mülakat esnasında kendi rızaları ile sorulan soruları yanıtlamaları ya da ilan yayınlama ve aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri ile elde edilmektedir.
Simya Ecza Deposu, işbirliği içerisinde olduğu iş ortaklarının çalışanları ve yetkili gerçek kişilerinin verilerini iş ortaklığının kurulma amaçları çerçevesinde kaydetmektedir.
Tedarikçi kişisel verilerine, Simya Ecza Deposu ticari faaliyetlerini yerine getirmek için gerekli mal/hizmet sağlanması, denetlenmesi amacıyla kaydeder. Bu kişisel veriler imzalanan sözleşmeler, gönderilen faturalar, cihaz teslim tutanakları, mail yazışmaları, telefon ve sair yollarla kurulan iletişim ile kartvizitlerden elde edilmektedir.
Simya Ecza Deposu’na gelen şikâyet ve talep formunda yer alan bilgileri, hizmet kalitesinin sağlanması amacıyla işlenmektedir. Simya Ecza Deposu’na kaydedilen kişilerin görüntüleri 7/24 güvenlik kamera görüntüsü yöntemleri ile elde edilmektedir.
İşlenen kişisel veri kategorilerine ait ayrıntılı bilgiler Politika eki “EK 3- Kişisel Veri Kategorileri” belgesinde; kişisel veri işleme amaçlarına ilişkin detaylı bilgiler Politika eki “EK 1- Kişisel Veri İşleme Amaçları” belgesinde bulunmaktadır.
Simya Ecza Deposu, Kanunda belirlenen şartlara uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Simya Ecza Deposu bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
5.1. Teknik Tedbirler
Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
ii. İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
iii. Erişim yetkileri sınırlandırılmakta yetkiler düzenli olarak gözden geçirilmektedir.
iv. Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
v. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
vi. Teknik konularda bilgili personel istihdam edilmekte ve sistem zafiyetlerinin kontrolü sağlanmaktadır.
vii. Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır
viii. Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanmaktadır.
5.2. İdari Tedbirler
Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
ii. Çalışanlara Kanun hakkında eğitim verilmektedir.
iii. İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Simya Ecza Deposu içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
iv. Simya Ecza Deposu, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için Kanun ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Simya Ecza Deposu ile olan iş sözleşmesinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş sözleşmesinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir.
v. Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
vi. Simya Ecza Deposu tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
vii. Simya Ecza Deposu, işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
viii. Simya Ecza Deposu, kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
ix. Simya Ecza Deposu, kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
x. Simya Ecza Deposu, kişisel verileri aktardığı üçüncü şahısların da, Politika ve Kanun hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden Kanun’un 12. maddesi uyarınca sorumludur. Bu nedenle Simya Ecza Deposu, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler almalıdır. Yine Simya Ecza Deposu tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirmelidir.
Simya Ecza Deposu, kişisel verileri işleme amacı için gerekli olan süre ile ilgili mevzuatta öngörülen en az süre kadar muhafaza eder. Simya Ecza Deposu, öncelikle ilgili mevzuatta bir süre belirlenmiş ise bu süreye uygun; yasal bir süre öngörülmemiş ise kişisel verilerin işlenme amacı için gerekli süre kadar kişisel verileri saklar. Kişisel veriler belirlenen saklama sürelerinin sonunda, periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak, belirlenen yöntem (silme, yok etme veya anonimleştirme) ile imha edilir.
Kişisel veri sahipleri aşağıda belirtilen haklara sahiptirler:
7.2. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri 6.1. maddede sayılan haklarına ilişkin taleplerini, Kurul’un belirlediği yöntemlerle Simya Ecza Deposu’na iletebilir. www.simyaecza.com/sayfa/kisisel -verilerin-korunmasi adresinden ulaşılan “Simya Ecza Deposu Sanayi Ticaret Anonim Şirketi Veri Sahibi Başvuru Formu” doldurularak, Simya Ecza Deposu’na başvurabilir.
7.3. Simya Ecza Deposu’nun Başvurulara Cevap Vermesi
Simya Ecza Deposu, kişisel veri sahibi tarafından yapılan başvuruları Kanun ve diğer mevzuata uygun sonuçlandırır. Usule uygun şekilde Simya Ecza Deposu’na iletilen talepler, en kısa sürede ve en geç 30 (otuz) gün içinde, ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilir.
7.4. Simya Ecza Deposu’nun Kişisel Veri Sahibinin Başvurusunu Reddetmesi
Simya Ecza Deposu, aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
Kanun ve Politika’nın yürütülmesinden veri sorumlusu olarak Simya Ecza Deposu Yönetim Kurulu, bu kapsamdaki tüm iş ve işlemlerin takibinden, koordinasyon ve denetiminden departman yöneticileri sorumludur.
Politika 20/03/2021 tarihinde yürürlüğe girmiştir. Politika’da meydana gelecek değişiklikler Simya Ecza Deposu’nun internet sitesinde (www.simyaecza.com) yayımlanarak kişisel veri sahiplerinin, ilgili kişilerin erişimine sunulur. Politika değişiklikleri ilan edildiği tarihte uygulamaya girer.