KİŞİSEL VERİLERİN KORUNMASI VE
İŞLENMESİ POLİTİKASI
İşbu Politika ile kişisel verilerin işlenmesi
konusunda Arsimo Plastik tarafından 6698
Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuatta öngörülen
düzenlemelere ilişkin yükümlülüklerini yerine getirirken uyacağı esasları
belirlemektedir. Şirket, kendi bünyesinde işlenen kişisel veriler bakımından
işbu Politikada belirlenen usul ve esaslara uygun davranmayı taahhüt eder.
İşbu Politikanın amacı, Şirket tarafından
kişisel verilerin işlenmesine ve korunmasına yönelik yöntem ve süreçlere
ilişkin esasları belirlemektir. İşbu Politika, Şirketin işlemekte olduğu
kişisel verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere
uygulanır. İşbu Politika, KVK Düzenlemelerinin gerektirmesi halinde Şirketin
gerekli gördüğü hallerde değiştirilebilir. KVK Düzenlemeleri ve işbu Politika
arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır. Şirket
tarafından işbu Politika, gerekli görüldüğü ve KVK Düzenlemeleri gerektirdiği
takdirde değiştirilebilir.
İşbu Politikada geçen tanımlar aşağıdaki
anlamları ihtiva eder;
“Açık Rıza” Belirli
bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı
ifade eder.
“Anonim Hale Getirme” Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesini ifade eder.
“Aydınlatma
Yükümlülüğü” Kişisel verilerin elde edilmesi sırasında veri
sorumlusu veya yetkilendirdiği kişinin, veri öznesine KVKK Madde 10 kapsamında
bilgi vermesine ilişki yükümlülüğünü ifade eder.
“Kişisel Veri” Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder
(işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda
tanımlanan “Özel Nitelikli Kişisel Verileri” de kapsayacaktır).
“Kişisel Veri İşleme” Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri
üzerinde yapılan her türlü işlemi ifade eder.
“Kurul” Kişisel
Verileri Koruma Kurulunu ifade eder.
“Kurum”
Kişisel Verileri Koruma Kurumunu ifade eder.
“KVKK” 6698
sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri” 6698
sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına
yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler,
mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları,
ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik
uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“Özel Nitelikli Kişisel
Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da
sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
“Veri İşleyen” Veri
Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri
işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Öznesi” Kişisel
Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri
ifade eder.
“Veri Sorumlusu” Kişisel
Verileri İşleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt
sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel
kişiyi ifade eder.
Şirket, kişisel verileri, hukuka ve dürüstlük
kurallarına ve ölçülülük esasına uygun olarak sadece gerektiği kadar kişisel
veriyi, veri işleme amaçlarına uygun şekilde işleyecektir.
Şirket, işlemekte olduğu kişisel verilerin
doğru ve güncel olmasını sağlayacak ve bu doğrultuda gerekli tedbirleri
alacaktır. Veri öznesinin KVK Düzenlemeleri kapsamında kişisel verilere yönelik
değişiklik talep etmesi durumunda ilgili kişisel verileri güncelleyecektir.
Şirket, kişisel verileri belirli, açık ve
hukuka uygun sebeplerle işleyecektir. Şirket kişisel verilerin hangi amaçlarla
işleneceğini belirleyecek ve bu amaçları kişisel veri işlenmeden önce veri
öznesinin bilgisine sunacaktır. Bu kapsamda veri öznesi KVK Düzenlemeleri
kapsamında aydınlatılacak ve gereken hallerde açık rıza alınacaktır.
Şirket, kişisel verileri belirlenen amaçların
gerçekleştirilebilmesine elverişli bir şekilde işleyecek ve amaca uygun olmayan
ve ihtiyaç duyulmayan verileri işlemekten kaçınacaktır.
Şirket, kişisel verileri yalnızca kanunlarda
öngörülen süreler veya işlendikleri amaç ile sınırlı olarak muhafaza edecektir.
Şirketin, KVK Düzenlemelerinde öngörülen veya kişisel veri işleme amacının
gerektirdiği süreden daha uzun bir süreyle Kişisel Verileri muhafaza etmek
istemesi halinde, Şirket KVK Düzenlemelerinde belirtilen yükümlülüklere uygun
davranır.
Kişisel veriler, veri öznelerine aydınlatma
yükümlülüğünün yerine getirilmesi kapsamında yapılacak bilgilendirme sonrası ve
veri öznelerinin açık rıza vermesi halinde işlenecektir. Bu çerçevede açık rıza
alınmadan önce veri öznelerine hakları bildirilecektir. Açık rıza, KVK
Düzenlemelerine uygun yöntemlerle alınacak ve yine aynı kapsamda gereken süre
muhafaza edilecektir.
KVK Düzenlemeleri kapsamında açık rıza
alınmaksızın kişisel verilerin işlenmesinin öngörüldüğü durumlarda Şirket, veri
öznesinin açık rızasını almaksızın KVK Düzenlemelerinin çizdiği sınırlar
dahilinde kişisel veri işleyebilir. Bu kapsamda,
Kişisel veriler Şirket tarafından açık rıza
olmaksızın işlenebilir.
Özel nitelikli kişisel veriler yalnızca veri
öznesinin açık rızasının bulunması yahut cinsel hayat ve kişisel sağlık
verileri dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça
işlemenin zorunlu tutulması halinde işlenebilecektir. Sağlık ve cinsel hayata
ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik,
tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında
bulunan kişiler (örn: Şirket hekimi) veya yetkili kurum ve kuruluşlar
tarafından açık rıza almaksızın işlenebilecektir. Özel nitelikli kişisel
veriler işlenirken, Şirket tarafından belirlenen önlemler alınacaktır.
Şirket, kişisel verilerin elde edilmesi
sırasında veri öznelerini verilerinin ne şekilde işleneceği hususunda
aydınlatacaktır. KVKK’da, bilgilendirmede yer alması gereken asgari hususlar
aşağıdaki gibidir:
Veri öznesinin hakları aşağıdaki gibidir:
(1) Kişisel veri işlenip işlenmediğini
öğrenme,
(2) Kişisel verileri işlenmişse buna ilişkin
bilgi talep etme,
(3) Kişisel verilerin işlenme amacını ve
bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya yurt dışında kişisel
verilerin aktarıldığı üçüncü kişileri bilme,
(5) Kişisel verilerin eksik veya yanlış
işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6) Kanun ve ilgili diğer kanun hükümlerine
uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini
isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
(7) İşlenen verilerin münhasıran otomatik
sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir
sonucun ortaya çıkmasına itiraz etme,
(8) Kişisel verilerin kanuna aykırı olarak
işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri öznesi, yukarıda sayılan haklarına
ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle aşağıda verilen ve
zaman zaman değişebilecek e-posta adresine, Şirketin KEP adresine veya aşağıda
belirtilen ve zaman zaman değiştirilebilecek olan posta adresine
gönderebileceklerdir.
Veri öznesinin, yukarıda sayılan haklara
ilişkin talebini usule uygun olarak Şirketimize iletmesi durumunda, Şirketimiz
talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili
talebi ücretsiz olarak sonuçlandıracaktır.
Ancak, işlemin ayrıca bir maliyet
gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret
alınabilecektir
Şirket, KVKK’nın 5. maddesinin 2. fıkrasında
ve 6. maddenin 3. fıkrasında belirtilen ve politikamızın 4. maddesinde sayılan
kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı
olarak kişisel verileri işlemektedir.
Bu kapsamda Şirket kişisel verilerinizi
aşağıdaki amaçlarla işlemektedir:
Yukarıda bahsi geçen amaçlar doğrultusunda
gerçekleştirilen işleme faaliyetinin KVKK kapsamında öngörülen şartlardan
birini karşılamıyor olması halinde ilgili işlemeye ilişkin olarak Şirket
tarafından kişisel veri sahibinin açık rızası alınacaktır.
Şirket, kişisel veri işleme amaçları
doğrultusunda gerekli önlemleri alarak kişisel verileri yurtiçinde ve/veya
yurtdışında bulunan gerçek ya da tüzel kişilere Kanunda öngörülen düzenlemelere
ve işbu Politikaya uygun bir şekilde aktarabilir.
Kişisel Veriler, veri öznesinin açık rızası alınarak
veya Madde 5.2’de ve Madde 6.3’te belirlenen istisnai hallerde açık rıza
olmaksızın Türkiye’de veya yurtdışında bulunan üçüncü kişilere aktarılabilir.
Şirket, bu aktarımın KVK düzenlemelerine uygun olmasını sağlayacaktır.
Kişisel verilerin KVK düzenlemelerine uygun
olarak verilerin açık rıza alınmaksızın aktarıldığı durumlarda aktarım yapılan
yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekir:
Özel Nitelikli Kişisel veriler Şirket
tarafından işbu Politikada belirtilen ilkelere uygun olarak ve Kurul’un
belirleyeceği yöntemler de dahil olmak üzere gerekli idari ve teknik tedbirler
alınarak aşağıdaki şartların varlığı halinde aktarılabilecektir:
Yukarıdakilere ek olarak kişisel veriler
yeterli korumaya sahip yabancı ülkelere veya yeterli korumanın bulunmaması
durumunda yine mevzuatta belirtilen şartlar doğrultusunda yeterli korumayı
taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere yukarıdaki şartlardan
birinin varlığı halinde aktarılabilecektir.
Şirket, KVKK’nın 8. Ve 9. Maddelerine uygun
olarak işbu Politika ile yönetilen veri öznelerinin kişisel verilerini aşağıda
belirtilen kişi kategorilerine aktarabilir:
(i) Şirket iş ortaklarına,
(ii) Şirket tedarikçilerine,
(iii) Gerçek Kişiler Ve Özel Hukuk Tüzel
Kişilerine,
(iv) Kanunen yetkili kamu kurum ve
kuruluşlarına
(v) Kanunen yetkili özel hukuk kişilerine
Şirket, veri güvenliği konusunda gerekli
hukuki, teknik ve idari tedbirleri alacak ve bu konuda en üst düzeyde dikkat ve
özeni gösterecektir. Şirket, kişisel verilerin hukuka uygun işlenmesini
sağlamak için teknolojik imkanlar ve uygulama maliyetine göre teknik ve idari
tedbirler almaktadır. Çalışanlar, öğrendikleri kişisel verileri KVKK
hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında
kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam
edeceği konusunda bilgilendirilecek ve bu doğrultuda kendilerinden gerekli
taahhütler alınacaktır.
Şirket, kişisel verilerin bilinçsizce veya
yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki
tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik
imkânlar ve uygulama maliyetine göre teknik ve idari tedbirleri alacaktır.
Şirket, kişisel verilerin hukuka aykırı
olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin
önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda kişisel
verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen
kurumlar nezdinde farkındalıkları arttıracak; iş ortakları ve tedarikçilerin
KVKK’ya uygun kişisel veri işleme faaliyetlerinde bulunması yönünde gerekli
önlemleri alacaktır.
Şirket, kişisel verileri işlendikleri amaç
için gerekli olan süre ve yürütülen faaliyete ilişkin yasal mevzuatta öngörülen
minimum sürelere uygun olarak muhafaza edecektir. İlgi mevzuatta kişisel
verilerin saklanması için bir süre öngörülmüş ise bu süreye riayet edilecektir.
Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli
olan süre kadar saklanacaktır. Belirlenen saklama sürelerinin sonunda kişisel
veriler periyodik imha sürelerine veya veri öznesinin başvurusuna uygun bir
şekilde, Şirket tarafından belirlenen imha yöntemleri ile imha edilecektir.
Bu Politikada yer alan hükümler Şirket tarafından
gerek görüldüğü takdirde ve KVK Düzenlemelerine uygun olarak internet
sitelerinde yayınlanmak suretiyle değiştirebilir. İşbu hükümlerinden herhangi
birisinin değişmesi halinde ilgili değişiklikler, değişikliğin yayınlandığı
tarihte yürürlüğe girer.
İşbu Politika 13.05.2020 tarihinde
yayınlanarak yürürlüğe girmiştir.