Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
1
AYŞENUR VE TURAN
GIDA KONTROL LABORATUVARI ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
2
1. BÖLÜM: İÇİNDEKİLER
1. BÖLÜM: İÇİNDEKİLER ..................................................................................................2
2. BÖLÜM: GİRİŞ ...............................................................................................................4
2.1. Kişisel Verilerin Korunmasının Önemi ................................................................4
2.2. Politikanın Amacı ..................................................................................................4
2.3. Kapsam ..................................................................................................................4
2.4. Tanımlar .................................................................................................................4
2.5. Politikanın ve İlgili Mevzuatın Uygulanması ........................................................5
2.6. Erişim ve Güncelleme ...........................................................................................5
3. BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ ...................................................................5
3.1. Kişisel Verilerin İşlenmesi İlkeleri ........................................................................6
3.2. Genel Nitelikteki Kişisel Verilerin İşlenmesi Kuralları ........................................7
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları ...............................................7
3.4. Verisi İşlenen İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi ........................8
4. BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI ..............................................................8
4.1. Kişisel Verilerin Aktarılma Esasları .....................................................................8
4.2. Özel Nitelikli Kişisel Verilerin Aktarılması ...........................................................9
4.3. Kişisel Verilerin Yurtdışına Aktarılması ...............................................................9
4.4. A&T Gıda Tarafından İşlenen Kişisel Verilerin Aktarılma Amaçları ve Aktarma
Yapılan Kişi Kategorileri .................................................................................................10
5. BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI VE AMAÇLARI
13
5.1. Kişisel Verilerin İşlenmesinin Hukuki Dayanakları ...........................................13
5.2. Hukuka Uygunluk Sebepleri ...............................................................................13
5.3. Kişisel Verilerin İşlenme Amaçları .....................................................................14
6. BÖLÜM: KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE
ANONİMLEŞTİRİLMESİ ......................................................................................................17
6.1. Kişisel Verilerin Saklanması ve Saklama Süreleri ............................................17
6.2. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi .....................17
6.3. Kişisel Verilerin Silinmesi...................................................................................17
6.4. Kişisel Verilerin Yok Edilmesi ............................................................................18
6.5. Kişisel Verilerin Anonim Hale Getirilmesi .........................................................18
7. BÖLÜM: İLGİLİ KİŞİLERİN HAKLARI .........................................................................19
7.1. İlgili Kişilerin Haklarının Kapsamı ve Bu Hakların Kullanılması .......................19
8. BÖLÜM: KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI ..................................20
8.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Teknik ve İdari
Tedbirler ..........................................................................................................................20
8.2. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınan Teknik ve İdari Tedbirler.21
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
3
8.3. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek İçin Alınan Teknik ve İdari
Tedbirler ..........................................................................................................................21
8.4. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
21
8.5. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek İçin Alınan İdari Tedbirler 22
8.6. Kişisel Verilerin Güvenli Ortamlarda Saklanması .............................................23
8.7. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler 23
8.8. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler ..23
8.9. Kişisel Verilerin Yetkisiz Şekilde İfşası Durumunda Alınacak Tedbirler .........25
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
4
AYŞENUR VE TURAN GIDA KONTROL LABORATUVARI ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
2. BÖLÜM: GİRİŞ
2.1. Kişisel Verilerin Korunmasının Önemi
Kişisel verilerin korunması, Anayasal bir hak olup Ayşenur ve Turan Gıda Kontrol Laboratuvarı
Anonim Şirketi (“A&T Gıda”, “Şirket” veya “Şirketimiz”) tarafından öncelikli olarak ele
alınmaktadır. Bu doğrultuda, A&T Gıda’da kişisel verilerin korunmasına yönelik sürekli güncellenen
bir sistem kurulması amaçlanmış ve işbu politika oluşturulmuştur.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) kapsamında, A&T Gıda
veri sorumlusu sıfatıyla hareket etmekte olup, işbu Kişisel Verilerin Korunması ve İşlenmesi
Politikası (“Politika”), KVKK’nın öngördüğü genel aydınlatma yükümlülüğünün yerine getirilmesi ve
A&T Gıda’nın kişisel veri işleme kurallarının temel esaslarının belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, Şirketimiz bünyesinde kişisel veri işleme faaliyetlerinde bulunan tüm departmanlar
için güncellenebilir bir sistem kurulması hedeflenmekte ve ilgili süreçler mevzuata uyumlu hale
getirilmektedir. Bu Politika; müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan
adaylarımızın, stajyer ve öğrencilerimizin, tedarikçi/alt işveren çalışanlarının ve yetkililerinin, şirket
hissedarlarımızın ve ortaklarımızın, ziyaretçilerimizin ve herhangi bir nedenle kişisel verisi işlenen
diğer üçüncü kişilerin kişisel verilerinin korunmasına yönelik temel esasları düzenlemektedir.
Politikada belirtilen konuların uygulanmasına yönelik olarak Şirketimiz bünyesinde gerekli
prosedürler oluşturulmakta, kişisel verilerin korunmasına ilişkin ayrıntılı aydınlatma metinleri
hazırlanmakta, kişisel verilere erişimi olan çalışanlar ve üçüncü taraflarla gizlilik sözleşmeleri
imzalanmakta, çalışan görev tanımları revize edilerek veri güvenliği süreçlerine uyum sağlanmakta
ve Şirketimiz tarafından kişisel verilerin korunması için gerekli teknik ve idari tedbirler alınarak
düzenli denetimler gerçekleştirilmektedir.
2.2. Politikanın Amacı
Bu Politikanın temel amacı, Şirketimiz tarafından hukuka uygun bir biçimde yürütülen kişisel veri
işleme faaliyetlerini ve kişisel verilerin korunmasına yönelik esasları belirlemek, bu kapsamda
kişisel verileri işlenen ilgili kişileri bilgilendirerek şeffaflığı sağlamaktır.
2.3. Kapsam
Bu Politika; “müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız,
stajyerlerimiz, tedarikçi ve alt işveren çalışanları ile yetkilileri, A&T Gıda hissedarları ve ortakları,
ziyaretçilerimiz, çalışan referansları, çalışan aile ve yakınları, veli/vasi/temsilciler ve yürürlükteki
mevzuat kapsamında herhangi bir nedenle kişisel verilerini işlediğimiz diğer üçüncü kişiler”
başlıkları altında kategorize edilen kişilerin, otomatik yollarla veya herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerini kapsamaktadır.
2.4. Tanımlar
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza.
Anonim Hale Getirme
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesi.
İlgili Kişi
Kişisel verisi işlenen gerçek kişi.
Kanun/KVKK
6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin
İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
5
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hale getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem.
Kurul
Kişisel Verileri Koruma Kurulu.
Kurum
Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel
Veri
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya
diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği,
sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili
veriler ile biyometrik ve genetik veriler.
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri
işleyen gerçek ve tüzel kişidir.
Veri Kayıt Sistemi
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemi.
Veri Minimizasyonu
Kişisel verilerin işlenme amacının gerektirdiği kadar talep edilmesi
ve işlenmesi, kullanım amacının sona ermesi halinde ise verilerin
tamamen silinmesi.
Veri Sorumlusu
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen,
verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir.
2.5. Politikanın ve İlgili Mevzuatın Uygulanması
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan KVKK ve ilgili diğer mevzuat
hükümleri öncelikli olarak uygulanacaktır. Yürürlükte bulunan mevzuat ile Şirketimiz tarafından
oluşturulan bu Politika arasında herhangi bir uyumsuzluk olması durumunda, Şirketimiz
yürürlükteki mevzuat hükümlerinin esas alınacağını kabul etmektedir.
2.6. Erişim ve Güncelleme
İşbu Politika, Şirketimiz tarafından A&T Gıda internet sitesinde yayımlanır ve ilgili kişilerin erişimine
sunulur. Ayrıca, kişisel veri sahiplerinin talebi üzerine kendilerine iletilir.
Şirketimiz, kişisel verilerin korunması ve işlenmesine ilişkin süreçlerini yürürlükteki mevzuata
uyumlu olarak sürdürmekte olup, ilgili mevzuatta veya Şirketimiz uygulamalarında değişiklik olması
halinde Politika güncellenebilir. Yapılacak değişiklikler, güncellenmiş Politika metniyle birlikte
Şirketimiz internet sitesinde yayımlanarak ilgililerin bilgisine sunulur.
3. BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ
Şirketimiz, Anayasa’nın 20. maddesi ve Kanun’un 4. maddesine uygun olarak, kişisel verileri;
• Hukuka ve dürüstlük kurallarına uygun,
• Doğru ve gerektiğinde güncel,
• Belirli, açık ve meşru amaçlar doğrultusunda,
• Amaçla bağlantılı, sınırlı ve ölçülü bir şekilde
işlemekte ve kişisel veri işleme faaliyetlerini ilgili mevzuata uygun olarak yürütmektedir.
Şirketimiz, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel
verileri saklamakta ve işleme amacı sona erdiğinde ilgili verileri Kanun’un öngördüğü şekilde
silmekte, yok etmekte veya anonim hale getirmektedir. Şirketimiz, Anayasa’nın 20. ve Kanun’un 5.
maddeleri gereğince, kişisel verileri yalnızca Kanun’un 5. maddesinde belirtilen hukuki
dayanaklardan en az birine dayanarak işlemektedir.
Buna ek olarak, Borçlar Kanunu’nun 419. maddesi kapsamında, çalışanların ve çalışan adaylarının
kişisel verileri, işe yatkınlık değerlendirmesi ve iş sözleşmesinin ifası amacıyla işlenmektedir.
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
6
Şirketimiz, kişisel veri sahiplerini Anayasa’nın 20. ve Kanun’un 10. maddeleri doğrultusunda
aydınlatmakta olup, ilgili kişilerin bilgi talep etmesi veya kanundan doğan haklarını kullanmak
amacıyla başvuruda bulunmaları halinde gerekli bilgilendirmeleri yapmakta ve yasal süreler içinde
başvurulara yanıt vermektedir. Ayrıca, Şirketimiz, Kanun’un 6. maddesi uyarınca özel nitelikli kişisel
verilerin işlenmesi konusunda öngörülen özel düzenlemelere uygun hareket etmektedir. Kişisel
verilerin aktarımı konusunda ise, Kanun’un 8. ve 9. maddelerine uygun olarak gerekli hukuki ve
teknik önlemleri almakta ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanan ilke
kararları, tebliğler, güvenli ülke, güvenli sektör veya güvenli uluslararası kuruluşlar listeleri dikkate
alınarak uygulamalar gerçekleştirilmektedir.
3.1. Kişisel Verilerin İşlenmesi İlkeleri
a. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirket, kişisel verilerin işlenmesinde yürürlükteki hukuki düzenlemeler ile dürüstlük kuralına uygun
hareket etmektedir. Bu kapsamda, kişisel verilerin işlenmesini gerektiren hukuki dayanakları tespit
ederek işlem yapmakta, ölçülülük ilkesine uygun hareket etmekte ve kişisel verileri yalnızca
belirlenen amaç doğrultusunda işlemektedir. Şirket, kişisel verileri ilgili kişilerin bilgisi dışında
işlememekte ve veri sahiplerinin temel haklarına zarar vermeyecek şekilde hareket etmektedir.
b. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği
kişisel verilerin doğru ve güncel olmasını sağlamaya yönelik tedbirleri almakta ve bu doğrultuda
gerekli kontrol mekanizmalarını işletmektedir. Bu kapsamda, tüm kişi kategorilerine ilişkin verilerin
güncelliği sağlanmakta, özellikle müşteri, çalışan ve tedarikçi verileri düzenli olarak gözden
geçirilmekte ve güncellenmektedir. Ayrıca, ilgili kişilerin rızalarına aykırı olarak pazarlama ve
tanıtım amaçlı e-posta ve teklifler gönderilmemektedir.
c. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket, meşru ve hukuka uygun veri işleme amaçlarını açık ve kesin olarak belirlemekte, kişisel
verileri yalnızca sunmuş olduğu hizmetlerle bağlantılı ve gerektiği ölçüde işlemektedir. Veri işleme
süreçlerinde, belirsizlik içermeyen ve ilgili mevzuata uygun amaçlar esas alınmaktadır.
d. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri yalnızca belirlenen amaçların gerçekleştirilebilmesi için gerekli olduğu ölçüde
işlemek ve amacın gerektirdiği sınırları aşmamak ilkesine uygun olarak hareket etmektedir. Bu
kapsamda;
• Kişisel verilerin işlenmesi sürekli gözden geçirilmekte,
• “Veri Minimizasyonu” ilkesi uygulanarak yalnızca iş süreçleri için gerekli olan veriler
işlenmekte ve gereksiz veri işlemelerinden kaçınılmaktadır.
e. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar
Muhafaza Etme
Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği süre boyunca veya işlendikleri amaç için
gerekli olduğu sürece saklamaktadır.
Bu doğrultuda;
• Öncelikle ilgili mevzuatta kişisel verilerin saklanması için belirlenen süreler tespit
edilmekte,
• Eğer mevzuatta özel bir süre belirlenmişse, bu sürelere uygun hareket edilmekte,
• Hukuk ve ceza davalarına ilişkin zamanaşımı süreleri dikkate alınarak kişisel verilerin
saklama süresi belirlenmekte,
• Saklama süresi sona erdiğinde, kişisel veriler “Kişisel Verilerin Saklanması ve İmhası
Politikası” kapsamında silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Bu ilkelere uygun olarak, Şirketimiz kişisel veri işleme süreçlerini sürekli gözden geçirmek ve gerekli
güncellemeleri yapmakla yükümlüdür.
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
7
3.2. Genel Nitelikteki Kişisel Verilerin İşlenmesi Kuralları
Kişisel verilerin korunması, Anayasal bir hak olup, temel hak ve özgürlükler ancak Anayasa’nın ilgili
maddelerinde belirtilen sebeplere dayalı olarak ve Kanun ile sınırlanmak kaydıyla işlenebilir.
Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler yalnızca kanunda öngörülen
hallerde veya ilgili kişinin açık rızası ile işlenebilir.
Şirket, kişisel verileri ancak aşağıdaki hukuki şartlar sağlandığında ilgili kişinin açık rızasını
aramaksızın işleyebilir:
a. Kanunlarda açıkça öngörülmesi,
b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişilerin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması,
c. Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
d. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
e. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
f. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
g. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması.
Yukarıdaki şartların mevcut olmaması halinde, Şirket tarafından ilgili kişiden açık, özgür iradeye
dayalı ve bilgilendirilmiş rıza alınmaktadır. Özellikle İnsan Kaynakları ve Çalışma İlişkileri
süreçlerinde, çalışan ile işveren arasındaki bağımlılık ilişkisi göz önüne alınarak, kişisel veriler
öncelikli olarak rıza dışındaki hukuki sebeplere dayanılarak işlenmektedir. Ancak bu hukuki
sebeplerin mevcut olmaması halinde, çalışanın açık rızasına başvurulmaktadır. Ayrıca, kişisel
verilerin işlendiği her durumda, ilgili kişiler öncelikle aydınlatılmakta ve veri işleme faaliyetleri şeffaf
bir şekilde yürütülmektedir.
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları
Şirket tarafından, Kanun’da “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, ilgili
mevzuata ve Kişisel Verileri Koruma Kurulu tarafından belirlenen ek güvenlik önlemlerine uygun
davranılmaktadır. Kanun’un 6. maddesi uyarınca, hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski taşıyan birtakım kişisel veriler özel nitelikli olarak
belirlenmiş olup, bu verilerin işlenmesinde azami dikkat ve hassasiyet gösterilmesi gerekmektedir.
Bu kapsamda özel nitelikli kişisel veriler aşağıdaki kategorilerde yer almaktadır:
• Irk veya etnik köken
• Siyasi düşünce
• Felsefi inanç, din, mezhep veya diğer inançlar
• Kılık ve kıyafet
• Dernek, vakıf ya da sendika üyeliği
• Sağlık verileri
• Cinsel hayat verileri
• Ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler
• Biyometrik ve genetik veriler
Şirket tarafından kural olarak özel nitelikli kişisel veriler işlenmemektedir. Ancak, iş süreçleri gereği
bu verilerin işlenmesinin zorunlu olduğu durumlarda, ilgili mevzuat çerçevesinde gerekli güvenlik
önlemleri alınarak ve ilgili kişinin hakları ön planda tutularak aşağıdaki hallerde işlenebilmektedir:
• İlgili kişinin açık rızasının bulunması,
• Kanunlarda açıkça öngörülmesi,
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
8
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun işleme
yapılması,
• Bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca,
kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı
amacıyla işlenmesinin gerekli olması,
• İş sağlığı ve güvenliği, istihdam, sosyal güvenlik, sosyal hizmetler ve sosyal yardım
alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için işlenmesinin zorunlu olması,
• Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı
gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun
olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla;
mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli
olarak temasta olan kişilere yönelik işleme faaliyetlerinin yürütülmesi.
Şirket, özel nitelikli kişisel verilerin korunması konusunda, ilgili veri kategorilerinin güvenliğini
sağlamak amacıyla tüm teknik ve idari tedbirleri almaktadır. Özel nitelikli kişisel verilerin
işlenmesine ilişkin tüm süreçlerde, Kanun’un 4. maddesinde düzenlenen genel veri işleme
ilkelerine tam uyum sağlanmaktadır.
3.4. Verisi İşlenen İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi
Şirket, Kanun’un 10. maddesi uyarınca, kişisel verilerin elde edilmesi sırasında ilgili kişileri
aydınlatmakta ve bilgilendirmektedir. Bu kapsamda, verisi işlenen ilgili kişilere aşağıdaki konular
hakkında aydınlatma yapılmaktadır:
• Kişisel verilerin hangi amaçlarla işlendiği,
• İşlenen kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Kişisel verisi işlenen ilgili kişilerin Kanun kapsamında sahip olduğu haklar.
Şirket’in ilgili departmanları, Şirket tarafından hazırlanan Aydınlatma Metinleri doğrultusunda
aydınlatma yükümlülüğünü yerine getirmekte ve ilgili kişilere gerekli bilgilendirmeleri sağlamaktadır.
Ayrıca, Kanun’un 11. maddesi uyarınca, kişisel verisi işlenen ilgili kişilerin “bilgi talep etme” hakkı
bulunmaktadır. Bu doğrultuda, Şirket, Anayasa’nın 20. maddesi ve Kanun’un 11. maddesine uygun
olarak kişisel veri sahiplerinden gelen bilgi taleplerini değerlendirmekte ve ilgili kişilere Kanun’da
öngörülen süreler ve esaslar çerçevesinde yanıt vermektedir. Şirket, ilgili kişilerin başvurularını
etkin bir şekilde yönetmek amacıyla gerekli idari ve teknik tedbirleri almakta ve veri sahiplerinin
haklarını kullanabilmesini sağlamak için başvuru süreçlerini belirleyen prosedürler uygulamaktadır.
4. BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI
Şirket, hukuka uygun kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak
ilgili kişilerin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Bu
doğrultuda, Şirket, Kanun’un 8. maddesi kapsamında öngörülen düzenlemelere tam uyum
sağlamaktadır.
4.1. Kişisel Verilerin Aktarılma Esasları
Şirket, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda Kanun’un 5. maddesinde
belirtilen ve aşağıda sayılan kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak kişisel
verileri üçüncü kişilere aktarabilmektedir:
• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme olması,
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
9
• İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu
olması ve ilgili kişinin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
bulunması veya rızasına hukuki geçerlilik tanınmaması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla,
sözleşmenin taraflarına ait kişisel verinin aktarılmasının gerekli olması,
• Şirketin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımının zorunlu
olması,
• İlgili kişi tarafından alenileştirilmiş kişisel verilerin, alenileştirme amacına uygun olarak
aktarılması,
• Bir hakkın tesisi, kullanılması veya korunması için kişisel veri aktarımının zorunlu
olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru
menfaatleri için kişisel veri aktarımının zorunlu olması.
Bunların yanı sıra, Şirket sunduğu hizmetler kapsamında tüm ticari kayıtları, belgeleri ve kanundan
doğan veri saklama yükümlülükleri çerçevesinde kişisel verileri muhafaza etmekte ve işlemektedir.
Şirket ile veri sahipleri arasında bir hukuki uyuşmazlık ortaya çıktığında, ilgili kişisel veriler
uyuşmazlığın çözülmesi amacıyla kullanılabilir ve yetkili mahkemelere, savcılıklara veya diğer adli
ve idari makamlara ve alternatif çözüm mercilerine aktarılabilir.
Şirket, kişisel veri işleme amaçları kapsamında işlenen kişisel verileri;
• Yetkili kamu kurum ve kuruluşları (Bakanlıklar, mahkemeler, icra daireleri, bağımsız
idari otoriteler, vergi idareleri vb.),
• Ana hissedarları ve iştirakleri,
• Hizmet sağlayıcıları, iş ortakları, danışmanlar ve tedarikçiler,
• Banka ve finans kurumları,
• Kanunen yetkili kamu tüzel kişilikleri, özel kişiler veya adli makamlar,
• Uluslararası kamu kuruluşları ve özel kurumlarla paylaşabilmektedir.
Bu aktarımlar, Kanun’un 8. maddesi (yurt içi aktarım) ve 9. maddesi (yurt dışına aktarım)
kapsamında öngörülen kişisel veri işleme şartları ve amaçları çerçevesinde gerçekleştirilmektedir.
Hangi hukuki sebebe dayanırsa dayansın, kişisel verilerin aktarımı süreçlerinde her zaman
Kanun’un 4. maddesinde düzenlenen temel ilkeler dikkate alınmakta ve bu ilkelere tam uyum
sağlanmaktadır.
4.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket, özel nitelikli kişisel verilerin korunması ve işlenmesi konusunda en yüksek hassasiyeti
göstermekte ve gerekli tüm idari ve teknik tedbirleri almakta olup, Kurul tarafından belirlenen yeterli
önlemleri uygulayarak özel nitelikli kişisel verilerin aktarım süreçlerini yönetmektedir.
Şirket, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, özel nitelikli kişisel
verileri, ilgili kişinin açık rızasının bulunması halinde üçüncü kişilerle paylaşabilmektedir. İlgili kişinin
açık rızasının bulunmaması halinde ise:
İlgili kişinin özel nitelikli kişisel verileri, kanunlarda açıkça öngörülen hallerde
aktarılabilmektedir.
Hangi hukuki sebebe dayanırsa dayansın, özel nitelikli kişisel verilerin aktarımı süreçlerinde her
zaman Kanun’un 4. maddesinde düzenlenen temel ilkeler dikkate alınmakta ve bu ilkelere tam
uyum sağlanmaktadır.
4.3. Kişisel Verilerin Yurtdışına Aktarılması
Şirket tarafından işlenen kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen hukuki şartlardan
birinin varlığı halinde ve aktarımın yapılacağı ülke, sektör veya uluslararası kuruluşlar hakkında
Kurul tarafından verilmiş bir yeterlilik kararı bulunması durumunda yurt dışına aktarılabilir. Yeterlilik
kararının bulunmaması durumunda, Kanun’un 5. ve 6. maddelerinde belirtilen hukuki şartlardan
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
10
birinin varlığı, ilgili kişinin yurt dışındaki ülkede de haklarını kullanabilmesi ve etkili kanun yollarına
başvurma imkanının bulunması koşuluyla, aşağıda belirtilen uygun güvencelerden birinin
sağlanması halinde kişisel veriler yurt dışına aktarılabilir:
i. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu
kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan
ve uluslararası sözleşme niteliğinde olmayan bir anlaşmanın varlığı ve Kurul tarafından
aktarıma izin verilmesi.
ii. Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin, kişisel verilerin
korunmasına ilişkin bağlayıcı kurallara uyma yükümlülüğünü taşıması ve bu kuralların Kurul
tarafından onaylanması.
iii. Kurul tarafından ilan edilen; veri kategorileri, veri aktarım amaçları, alıcı ve alıcı grupları,
veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için ek
önlemler gibi hususları içeren standart sözleşmenin varlığı.
iv. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin hazırlanması
ve Kurul tarafından aktarıma izin verilmesi.
Bu güvencelerin sağlanamadığı durumlarda, kişisel veriler yalnızca aşağıdaki şartlardan birinin
varlığı halinde yurt dışına aktarılabilir:
1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilerek, aktarıma açık rıza vermesi.
2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi
üzerine sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
3. Aktarımın, ilgili kişinin yararına veri sorumlusu ile başka bir gerçek veya tüzel kişi arasında
yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
4. Aktarımın, üstün bir kamu yararı için zorunlu olması.
5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu
olması.
6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması amacıyla kişisel verilerin aktarılmasının zorunlu olması.
7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile
erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi
kaydıyla aktarım yapılması.
Şirket, yurt dışına veri aktarım süreçlerinde Kanun’un 8. ve 9. maddeleri kapsamında tüm
yükümlülüklere tam uyum sağlamakta, gerekli tüm idari ve teknik tedbirleri almakta ve aktarılan
verilerin güvenliğini sağlamak için azami özeni göstermektedir.
4.4. A&T Gıda Tarafından İşlenen Kişisel Verilerin Aktarılma Amaçları ve Aktarma Yapılan
Kişi Kategorileri
a. Veri Aktarım Amaçları
Şirket, kişisel veri aktarımlarını Kanun’un 8. ve 9. maddeleri kapsamında hukuka uygun şekilde
gerçekleştirmekte olup, aşağıda belirtilen amaçlarla veri aktarımı yapmaktadır:
• Şirket’in ticari faaliyetlerinin yürütülmesi ve geliştirilmesi,
• Tedarikçiden dış kaynaklı olarak temin edilen hizmetlerin Şirket’e sunulması,
• Şirket’in insan kaynakları ve istihdam politikalarının yürütülmesi,
• İş sağlığı ve güvenliği çerçevesinde yasal yükümlülüklerin yerine getirilmesi ve gerekli
önlemlerin alınması,
• Şirket içi operasyonların etkin yönetimi, denetimi ve raporlanması,
• Mevzuata uyumluluk süreçlerinin sağlanması ve hukuki yükümlülüklerin yerine
getirilmesi.
b. Verilerin Aktarıldığı Kişi Kategorileri
Şirket, kişisel verileri Kanun’un 8. ve 9. maddelerine uygun olarak aşağıda belirtilen kişi
kategorilerine aktarabilmektedir:
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
11
Kişi Kategorisi
Açıklama
Veri Aktarım Amacı
Yetkili Kamu
Kurum ve
Kuruluşları
Şirket’ten bilgi ve belge talep
etmeye yetkili kamu kurumları
(bakanlıklar, düzenleyici ve
denetleyici kurumlar, yargı
mercileri vb.)
İlgili mevzuat hükümlerine göre
yükümlülüklerin yerine getirilmesi ve
yasal taleplerin karşılanması amacıyla
veri paylaşımı yapılmaktadır.
Yetkili Özel Hukuk
Kişileri
Şirket’ten bilgi ve belge talep
etmeye yetkili özel hukuk tüzel
kişileri
Hukuki yetkileri kapsamında talep
edilen amaçlarla sınırlı olarak veri
paylaşımı yapılmaktadır.
Hissedarlar ve
Ortaklar
Şirket’in hissedarları ve ortakları
Şirket’in ticari faaliyetlerine ilişkin
stratejik planlamaların yapılması ve
yönetim süreçlerinin denetlenmesi
amacıyla veri paylaşımı yapılmaktadır.
İş Ortakları
Şirket’in ticari faaliyetlerini
yürütürken iş birliği yaptığı
taraflar (hizmet sağlayıcılar,
distribütörler vb.)
İş ortaklığı sözleşmelerinin ifası
kapsamında, hizmetin sunulmasını
sağlamak amacıyla veri paylaşımı
yapılmaktadır.
Tedarikçiler
Şirket’in ticari faaliyetlerini
yürütürken hizmet aldığı taraflar
Tedarikçiden dış kaynaklı olarak temin
edilen hizmetlerin Şirket’e sunulmasını
sağlamak amacıyla veri paylaşımı
yapılmaktadır.
Yabancı veya
Uluslararası Kamu
ve Özel Kuruluşlar
Şirket’in uluslararası faaliyetleri
çerçevesinde iş birliği yaptığı
kamu veya özel kuruluşlar
Şirket’in faaliyet gösterdiği sektörel
gerekliliklerin yerine getirilmesi,
uluslararası düzenlemelere uyum
sağlanması amacıyla veri paylaşımı
yapılmaktadır.
Şirket, kişisel veri aktarımlarını işbu Politika ve ilgili mevzuatta öngörülen ilke ve kurallara tam uyum
sağlayarak gerçekleştirmekte, veri güvenliği için gerekli tüm teknik ve idari tedbirleri almaktadır.
c. Şirket Tarafından Verisi İşlenen Kişi Kategorileri ve İşlenen Veriler
Şirket bünyesinde kişisel verileri işlenen ilgili kişiler aşağıdaki şekilde kategorize edilmektedir:
Kişi Kategorisi
Açıklama
Çalışan Adayı
Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş
ve ilgili bilgilerini Şirket’in incelemesine sunmuş olan gerçek kişiler.
Çalışan
Şirket bünyesinde çalışan gerçek kişiler.
Hissedar / Ortak
Şirket’in hissedarı veya ortağı olan gerçek kişiler.
Potansiyel
Müşteri / Müşteri
Şirket’in sunduğu ürün ve hizmetlerle ilgilenmiş, bu ürün ve
hizmetlerden yararlanmak için başvuruda bulunmuş veya ticari teamül
ve dürüstlük kuralları çerçevesinde ilgi gösterebileceği değerlendirilen
gerçek kişiler.
Stajyer / Öğrenci
Şirket bünyesinde staj yapan veya belirli eğitim süreçlerine tabi olarak
görev alan kişiler.
Tedarikçi Çalışanı
Şirket’in iş ilişkisi içinde olduğu firmalarda (tedarikçi, iş ortağı vb.)
çalışan veya alt yüklenici olarak görev yapan gerçek kişiler.
Tedarikçi Yetkilisi
Şirket’in iş ilişkisi içinde bulunduğu firmaların hissedarları ve yetkilileri
olan gerçek kişiler.
Veli / Vasi /
Temsilci
Veli, vasi veya temsilci sıfatı ile kişisel verileri işlenen gerçek kişiler.
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
12
Ziyaretçi
Şirket’in fiziksel yerleşkelerine giriş yapan, bu ziyaret sırasında
hotspot hizmetinden yararlanan veya Şirket’in internet sitelerini ziyaret
eden gerçek kişiler.
Diğer
Şirket’in insan kaynakları süreçleri ve hizmet operasyonları
kapsamında kişisel verileri işlenen üçüncü taraf gerçek kişiler (Örn.
çalışan aile bireyleri ve yakınları, çalışan referansları).
Şirket tarafından yürütülen kişisel veri işleme faaliyetleri, Kanun’un 4. maddesinde belirtilen temel
ilkeler çerçevesinde, hukuka uygun olarak ve sınırlı amaçlarla gerçekleştirilmektedir.
d. Şirket Tarafından Kişisel Verilerin Kategorize Edilmesi
Şirket tarafından işlenen kişisel veriler aşağıda yer alan kategoriler kapsamında değerlendirilmekte
olup, Kanun ve ilgili mevzuata uygun olarak işlenmektedir:
Veri Kategorisi
Açıklama
Kimlik Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olan; ehliyet,
nüfus cüzdanı, ikametgâh, pasaport, çalışma izni, avukatlık
kimliği, evlilik cüzdanı gibi belgelerde yer alan bilgiler.
İletişim Bilgisi
Telefon numarası, adres, e-posta adresi, faks numarası gibi
iletişim bilgileri.
Lokasyon Bilgisi
İlgili kişinin, Şirket’e ait araçları kullanırken veya belirli
hizmetlerden yararlanırken bulunduğu konuma dair veriler.
Özlük Bilgisi
Şirket çalışanlarının veya Şirket ile iş ilişkisi bulunan gerçek
kişilerin özlük haklarının oluşturulması ve takibi amacıyla işlenen
her türlü veri.
Hukuki İşlem ve Uyum
Bilgisi
Hukuki hak ve alacakların tespiti, takibi, borçların ifası, kanuni
yükümlülüklerin yerine getirilmesi ve Şirket politikalarına uyum
sağlanması amacıyla işlenen kişisel veriler.
Müşteri İşlem Bilgisi
Hizmetlerin kullanımına yönelik kayıtlar, müşteri talepleri ve
talimatları gibi bilgiler.
Fiziksel Mekan Güvenlik
Bilgisi
Şirket yerleşkelerine giriş ve çıkış yapan kişilere ilişkin güvenlik
kamera kayıtları, ziyaretçi bilgileri gibi fiziksel mekan güvenliğini
sağlamak amacıyla işlenen veriler.
İşlem Güvenliği Bilgisi
Şirket’in bilgi güvenliğini sağlamak amacıyla işlediği IP adresi,
kullanıcı giriş-çıkış bilgileri, erişim logları ve teknik güvenlik
verileri.
Risk Yönetimi Bilgisi
Ticari, idari ve teknik riskleri yönetebilmek amacıyla işlenen,
hukuki ve ticari teamüllere uygun olarak elde edilen bilgiler.
Finansal Bilgi
Şirket’in ilgili kişiyle kurmuş olduğu hukuki ilişkinin tipine göre
yaratılan her türlü finansal sonucu gösteren bilgi, belge ve
kayıtlar.
Performans ve Kariyer
Gelişim Bilgisi (Mesleki
Deneyim Bilgisi)
Çalışanların performanslarının ölçülmesi, kariyer planlamalarının
yapılması ve insan kaynakları süreçlerinin yürütülmesi amacıyla
işlenen kişisel veriler.
İnternet ve İşlem
Güvenliği Bilgisi
5651 sayılı Kanun ve ilgili mevzuat uyarınca, Şirket’in internet
erişimiyle işlenen suçlarla mücadele kapsamında uyması
gereken yükümlülükler doğrultusunda işlenen veriler.
Görsel ve İşitsel Kayıtlar
Fotoğraf, kamera kayıtları, ses kayıtları ile kişisel veri içeren
belgelerin kopyaları. (Fiziksel Mekan Güvenliği Bilgisi
kapsamındaki kayıtlar hariç)
Çalışan Yakını ve Aile
Bilgisi
Çalışanların yakın ve aile bireylerine ilişkin bilgiler.
Referans Bilgisi
Çalışan ve çalışan adaylarına referans olan kişilere ilişkin bilgiler.
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
13
Şirket tarafından yürütülen tüm veri işleme süreçleri Kanun’un 4. maddesinde belirtilen temel ilkeler
doğrultusunda hukuka uygun olarak, belirli, açık ve meşru amaçlarla yürütülmekte olup, gereksiz
veri işleme faaliyetlerinden kaçınılmaktadır.
5. BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI VE
AMAÇLARI
5.1. Kişisel Verilerin İşlenmesinin Hukuki Dayanakları
Şirket tarafından kişisel verilerin işlenmesine ilişkin hukuki dayanaklar farklılık gösterebilmekle
birlikte, tüm kişisel veri işleme faaliyetlerinde Kanun’un 4. maddesinde belirtilen temel ilkelere
uygun hareket edilmektedir. Bu doğrultuda, Şirket tarafından yürütülen tüm veri işleme
faaliyetlerinde aşağıda yer alan temel prensiplere riayet edilmektedir:
• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilme.
Bu kapsamda, Şirket tarafından yürütülen kişisel veri işleme süreçlerinde aşağıda belirtilen hukuki
sebepler dikkate alınmaktadır:
5.2. Hukuka Uygunluk Sebepleri
a. İlgili Kişinin Açık Rızasının Bulunması
Kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası aranabilmektedir. Açık rıza, belirli bir
konuya ilişkin, bilgilendirilmeye dayalı ve özgür iradeyle açıklanan onay beyanıdır.
b. Kanunlarda Açıkça Öngörülmesi
İlgili mevzuatta kişisel verilerin işleneceğine ilişkin açık bir düzenleme bulunması halinde, kişisel
verilerin işlenmesi hukuka uygun kabul edilmektedir.
Örneğin: Çalışanların kimlik bilgilerinin ilgili mevzuat gereği resmi mercilere bildirilmesi.
c. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişilerin hayatı veya beden bütünlüğünün korunması için kişisel verilerin
işlenmesi zorunluysa, ilgili kişinin kişisel verileri işlenebilir.
Örneğin: Acil tıbbi müdahale gerektiren bir durumda, bilinci kapalı bir çalışanın kan grubu bilgisinin
sağlık personeli ile paylaşılması.
d. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait
kişisel verilerin işlenmesi zorunlu olabilir.
Örneğin:
• İş başvurusu yapan adaylardan özgeçmiş (CV) talep edilmesi,
• Satış ve tedarik süreçlerinde taraflar arasında sözleşme kurulabilmesi amacıyla kişisel
verilerin işlenmesi.
e. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirket, kanunlardan doğan hukuki yükümlülüklerini yerine getirmek amacıyla kişisel veri işleyebilir.
Örneğin:
• Vergi mevzuatı gereğince çalışanlara ait bordro bilgilerinin saklanması,
• Sosyal Güvenlik Kurumu (SGK) mevzuatı kapsamında çalışan bilgilerinin ilgili kuruma
bildirilmesi.
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
14
f. İlgili Kişinin Kişisel Verisini Alenileştirmesi
İlgili kişi, kişisel verisini kamunun erişimine açık hale getirmişse, bu veri işlenebilir.
Örneğin:
• Müşterinin, Şirket ürün ve hizmetlerine ilişkin şikayetlerini halka açık bir platformda
paylaşması,
• İş başvurusu yapan adayların LinkedIn gibi kamuya açık profesyonel platformlarda
özgeçmişini yayınlaması.
g. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin işlenmesi zorunluysa, ilgili kişinin
verileri işlenebilir.
Örneğin:
• Şirket’in yasal haklarını savunabilmesi amacıyla satış sözleşmeleri ve faturaları
saklaması,
• İş sözleşmesinden doğan uyuşmazlıklarda çalışan kayıtlarının hukuki delil olarak
kullanılması.
h. Şirketin Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatlerinin
korunması için veri işlemenin zorunlu olması halinde kişisel veriler işlenebilir.
Örneğin:
• Şirket yerleşkesinde güvenliği sağlamak amacıyla kapalı devre güvenlik kamera
sistemleri (CCTV) kullanılması,
• Şirket bilgisayarlarında siber güvenlik önlemlerinin uygulanması,
• Şirket’in iş sürekliliğini sağlamak amacıyla belirli veri analizlerinin gerçekleştirilmesi.
Şirket, kişisel verileri yalnızca Kanun’da öngörülen hukuki sebepler doğrultusunda işlemekte olup,
veri işleme faaliyetlerini hukuka uygun şekilde yürütmekte ve şeffaf bir yaklaşım benimsemektedir.
Kişisel verilerin işlenmesine ilişkin tüm süreçler, Şirket’in Kişisel Veri Saklama ve İmha Politikası
ile de desteklenmektedir.
5.3. Kişisel Verilerin İşlenme Amaçları
Şirket tarafından kişisel veriler, Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında
belirtilen kişisel veri işleme şartları dahilinde ve yalnızca hukuki dayanakları çerçevesinde
işlenmektedir. Veri işleme süreçlerinde, Kanun’un 4. maddesinde belirtilen genel ilkeler
gözetilmekte, kişisel veri işleme faaliyetleri hukuka uygun olarak gerçekleştirilmektedir. Diğer
hukuka uygunluk sebepleri bulunmuyor ise, ilgili kişinin açık rızası alınarak veri işleme faaliyetleri
yürütülmektedir. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle
açıklanmış olmalıdır.
Şirket bünyesinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir:
• İşveren olarak iş sözleşmesinden doğan karşılıklı yükümlülüklerin yerine getirebilmesi
için ÇALIŞANLARIN VE STAJYERLERİN (geniş anlamda çalışanların) ve
bunların VELİ/VASİ TEMSİLCİLERİ’nin kişisel verilerinin işlenmesi gerekmektedir.
Çalışanların kişisel verileri; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde
güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir
biçimde işlenmekte ve saklanmaktadır. Bu kapsamda, çalışanların kanunlara uygun olarak
çalıştırılabilmesi için gerekli olan amaçlar doğrultusunda, iş sözleşmesinin kurulması, ifası
ve sona ermesi süreçlerinin hukuka uygun şekilde yürütülmesi, temel hak ve özgürlüklere
aykırı olmamak koşuluyla Şirket’in meşru menfaatleri, kanunda açık olarak öngörülen
durumlar, çalışan istihdamına bağlı hukuki yükümlülüklerin yerine getirilmesi, yasal takip
durumlarında hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması
durumları ve bunların dışında kalan durumlarda çalışanlardan talep edilecek açık,
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
15
bilgilendirmeye dayanan ve çalışanların özgür iradesi ile açıklayacağı rızası, kişisel veri
işlemesinin hukuki dayanaklarını oluşturmaktadır.
• Şirket’in iştigal konusunun gerektirdiği faaliyetler kapsamında, işverenin meşru menfaatleri
çalışanların kişisel verilerinin işlenmesini gerekli kılmaktadır. Nitekim, suistimallerin
önlenmesi, hırsızlığın engellenmesi, genel güvenlik veya iş sağlığı ve güvenliğinin
sağlanması gibi nedenlerle çalışanların kişisel verilerini işleme faaliyeti yapılabilmektedir.
Ancak, bu durumda da çalışanların temel hak ve özgürlüklerine zarar verilmemesine büyük
bir özen gösterilmektedir.
• “ÇALIŞAN” statüsüne geçildikten sonra (çalışan adaylığı kategorisinde talep
edilmemektedir) çalışanın sendikaya üye olması durumunda sendika üyeliği de yasal
mevzuatın gerekliliklerinin yapılabilmesi için kanunun açık hükümleri gereği
işlenebilmektedir. Bunun dışında çalışanların, ırk, etnik köken, siyasi düşünce, felsefi inanç,
din, mezhep veya diğer inançlar, kılık ve kıyafet kural olarak kanunda açıkça öngörülmüş
olmadığı sürece, işlenen kişisel veriler arasında yer almamakta, istisnai bir uygulamaya
gidilecek ise, kişisel veriler işlenmeden önce gereklilikler özenle değerlendirilmekte ve
ilgiliden açık rıza alınmaktadır. Şirket’in bilgi iletişim araçları (telefon, mobil cihazlar,
bilgisayarlar, internet erişimi) üzerinde denetim ve gözetim faaliyetleri yürütülmekte olup,
bu faaliyetler 5651 sayılı Kanun, ilgili mevzuatlar ve Şirket’in meşru menfaatleri kapsamında
hukuki dayanağa sahiptir.
• Şirket tesislerinde veya ofis alanlarında güvenliğin sağlanması, iş disiplininin korunması ve
iş süreçlerinin daha etkin yönetilmesi amacıyla güvenlik kameraları kullanılabilmektedir. Bu
kapsamda ziyaretçi kayıtları tutulabilmekte ve erişim kontrol sistemleri işletilebilmektedir.
• Şirket araçlarında, operasyonel verimlilik, güvenlik ve çalışanların korunması amacıyla araç
takip sistemleri kullanılmaktadır. Bu faaliyetler, Şirket’in meşru menfaatleri doğrultusunda
yürütülmekte olup, veri sahiplerinin temel hak ve özgürlüklerine zarar vermeyecek şekilde
gerçekleştirilir.
• ÇALIŞAN YAKIN VE AİLE ÜYELERİ’nin kişisel verileri de acil durum süreçlerinde irtibatın
ve iletişimin sağlanması (örneğin bir kaza durumunda haber verilmesi), asgari geçim
indirimi gibi hukuki yükümlülüklerin yerine getirilmesi ve çalışan ilişkileri süreçleri ile
bağlantılı olarak işlenmektedir.
• 4857 sayılı İş Kanunu, 6098 sayılı Borçlar Kanunu, 6698 sayılı Kişisel Verilerin Korunması
Hakkındaki Kanun ve ilgili mevzuata göre Şirket, iş başvurusunda bulunan ÇALIŞAN
ADAYLARI’nın isim, adres, doğum tarihi, e-posta adresi, telefon numarası ve diğer iletişim
bilgileri, özgeçmiş, ön yazı, geçmiş veya ilgili iş tecrübesi veya diğer tecrübe, eğitim durumu,
transkript, dil test sonuçları veya iş başvurusuna ilişkin destekleyici veya açıklayıcı belgeler,
video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılması durumunda mülakat
sırasında elde edilen bilgilerin kayıtları, iş başvurusunda belirtmiş olduğunuz referanslar
gibi kişisel bilgileri işleyebilmektedir. Çalışan adaylığı bağlamında, adayın yetkinlikleri ile
doğrudan ilgili olmayan herhangi bir kişisel bilgiyi belirtmekten kaçınması, yazılı olarak
verilen CV ve belgelerde ilgili kısımlar varsa karartılarak Şirket’e teslimi önemle tavsiye
edilmektedir. Ayrıca, adayın özgeçmişinde yer alan ve bu süreçte verisi
işlenen REFERANS KİŞİ/KİŞİLERE AİT KİŞİSEL VERİLER (isim, soy isim, telefon, e-
posta vb.) için, söz konusu kişinin bilgilendirilmesi adayın sorumluluğunda olduğunu bilerek
Şirket’e ulaştırılması gerekmektedir.
• Şirketimiz, TEDARİKÇİ/ALT İŞVEREN YETKİLİ VE ÇALIŞANLARI’nın kişisel verilerini de
Kanun’a uygun şekilde işlemektedir. Nitekim 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
uyarınca asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlar
ile ilgili olarak kontrol edilmesi gereken belgeler ve bilgiler belirtilmiş bulunmaktadır. Aynı
şekilde 4857 sayılı İş Kanunu’nda ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası
Kanunu’nda da alt işveren işçileri ve geçici işçiler ile ilgili asıl işverene yükümlülükler
getirilmiş ve bu kapsamda kontrol edilmesi gereken hususlar belirtilmiştir. Buna göre
tedarikçi ve başka işverene bağlı olarak işyerinde çalışan işçilerin kişisel verilerinin
işlenmesi başta söz konusu yasal düzenlemelerin gerekleri ve hukuki yükümlülüklerin
yerine getirilmesi olmak üzere Şirket’in meşru menfaatlerine
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
16
dayanmaktadır. ÜRÜN/HİZMET ALAN KİŞİLER VEYA BUNLARIN
YETKİLİLERİ’NİN verileri de ilgili kişi ile söz konusu olan ticari faaliyet ve hukuki ilişki
kapsamında işlenmektedir.
• Şirketimiz, işyerlerinde iş sağlığı ve güvenliği, genel güvenlik ve ürün güvenliği amaçları
doğrultusunda, KAMERA İLE İZLEME FAALİYETİ VE ZİYARETÇİ KAYIT SİSTEMLERİ
uygulamaktadır. Bu faaliyetler, Kanun ve ilgili mevzuata uygun olarak yürütülmekte olup,
Şirketimiz’in meşru menfaatleri çerçevesinde gerçekleştirilmektedir. Kamera ile izleme
faaliyeti, fiziksel mekân güvenliğinin sağlanması, çalışanların ve ziyaretçilerin güvenliğinin
temini, Şirket demirbaşlarının ve iş süreçlerinin korunması, hırsızlık, iş kazaları ve diğer
güvenlik risklerinin önlenmesi gibi amaçlarla sınırlıdır. Kamera kayıtlarının alınması ve
saklanması süreçlerinde, ilgili kişilerin temel hak ve özgürlüklerine zarar verilmemesi için
gerekli teknik ve idari önlemler alınmakta olup, bu faaliyetler şeffaflık ilkesi çerçevesinde
yürütülmektedir. Ziyaretçi kayıt süreçleri ise, Şirketimizin güvenlik prosedürleri kapsamında,
yetkisiz erişimlerin önlenmesi ve iş sağlığı/güvenliği önlemlerinin eksiksiz uygulanmasını
sağlamak amacıyla gerçekleştirilmektedir. Ziyaretçilere ait kimlik bilgileri ve giriş-çıkış
kayıtları, yalnızca belirtilen güvenlik amaçları doğrultusunda işlenmekte olup, mevzuatta
öngörülen saklama süreleri sonunda imha edilmektedir.
Kişisel veriler, Kanun ve ilgili mevzuat hükümlerine uygun olarak ayrıca aşağıda belirtilen amaçlarla
işlenmektedir:
1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi
2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
3. Çalışan Adayı, Stajyer ve Öğrenci Seçme ve Yerleştirme Süreçlerinin
Yürütülmesi
4. Çalışan Adaylarının Başvuru Süreçlerinin Yönetilmesi
5. Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
6. Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklanan Yükümlülüklerin Yerine
Getirilmesi
7. Çalışanlara Yönelik Yan Haklar ve Menfaat Süreçlerinin Yürütülmesi
8. Denetim ve Etik Faaliyetlerinin Yürütülmesi
9. Eğitim Faaliyetlerinin Planlanması ve Uygulanması
10. Erişim Yetkilerinin Yönetilmesi ve Kontrolü
11. Faaliyetlerin Mevzuata Uygun Şekilde Yürütülmesi
12. Finans ve Muhasebe İşlemlerinin Yönetilmesi
13. Şirket Hizmet ve Ürünlerine Bağlılık Süreçlerinin Yürütülmesi
14. Fiziksel Mekân Güvenliğinin Sağlanması
15. Görevlendirme Süreçlerinin Yönetilmesi
16. Hukuki Süreçlerin Takibi ve Yönetimi
17. İç Denetim, Soruşturma ve İstihbarat Faaliyetlerinin Yürütülmesi
18. İletişim ve Kurumsal İlişkiler Faaliyetlerinin Yürütülmesi
19. İnsan Kaynakları Süreçlerinin Planlanması ve Yönetilmesi
20. İş Faaliyetlerinin Yürütülmesi ve Denetimi
21. İş Sağlığı ve Güvenliği Süreçlerinin Yönetilmesi
22. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
23. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
24. Lojistik Faaliyetlerinin Planlanması ve Yönetilmesi
25. Mal ve Hizmet Satın Alma Süreçlerinin Yürütülmesi
26. Mal ve Hizmet Satış Sonrası Destek Hizmetlerinin Yönetilmesi
27. Mal ve Hizmet Satış Süreçlerinin Yürütülmesi
28. Üretim ve Operasyon Süreçlerinin Yönetilmesi
29. Müşteri İlişkileri Süreçlerinin Yürütülmesi
30. Müşteri Memnuniyetine Yönelik Faaliyetlerin Planlanması
31. Organizasyon ve Etkinlik Yönetimi
32. Pazarlama ve Pazar Analiz Süreçlerinin Yürütülmesi
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
17
33. Performans Değerlendirme Süreçlerinin Yürütülmesi
34. Reklam, Kampanya ve Promosyon Süreçlerinin Yönetilmesi
35. Risk Yönetimi Süreçlerinin Yürütülmesi
36. Saklama ve Arşivleme Faaliyetlerinin Yürütülmesi
37. Sözleşme Yönetimi ve Sözleşmeye Bağlı Süreçlerin Yürütülmesi
38. Stratejik Planlama Süreçlerinin Yönetilmesi
39. Talep ve Şikâyet Süreçlerinin Takibi ve Yönetimi
40. Şirket Kaynaklarının Güvenliğinin Temini
41. Ücret Politikalarının Planlanması ve Uygulanması
42. Ürün ve Hizmet Pazarlama Süreçlerinin Yürütülmesi
43. Veri Sorumlusu Operasyonlarının Güvenliğinin Sağlanması
44. Yatırım Süreçlerinin Planlanması ve Yönetimi
45. Yetkinlik ve Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
46. Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
47. Şirket Yönetim Faaliyetlerinin Yürütülmesi
48. Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
Şirketimiz, yukarıda belirtilen amaçlar doğrultusunda işlediği kişisel verileri, Kanun’un 4.
maddesinde yer alan genel ilkelere uygun şekilde işlemekte ve gerekli teknik ve idari tedbirleri
alarak verilerin güvenliğini sağlamaktadır.
6. BÖLÜM: KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE
ANONİMLEŞTİRİLMESİ
Şirket, Türk Ceza Kanunu’nun 138. maddesinde ve işbu Kanun’un 7. maddesinde düzenlendiği
üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde Şirket’in kendi kararına istinaden veya ilgili kişinin talebi
üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilmektedir.
6.1. Kişisel Verilerin Saklanması ve Saklama Süreleri
A&T Gıda, öncelikle ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili
mevzuatta belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca
saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, ilgili kişi ile bağlantılı hukuki
ilişki kapsamında söz konusu olabilecek zamanaşımı/hak düşürücü süreler dikkate alınarak
saklama süreleri belirlenmektedir. Kişisel Verilerin Saklanması ile ilgili olarak “Kişisel Verilerin
Saklanması ve İmhası Politikası” yürürlüğe sokulmuş ve detaylı saklama süreleri belirtilmiş
bulunmaktadır.
6.2. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
Türk Ceza Kanunu’nun 138. maddesinde ve Kanun’un 7.maddesinde düzenlendiği üzere ilgili
kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde Şirket kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel
veriler silinmekte, yok edilmekte veya anonim hâle getirilmektedir. Bu kapsamda Şirket ilgili
yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.
6.3. Kişisel Verilerin Silinmesi
a. Kişisel Verilerin Silinmesi İşlemi
Şirket ilgili Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel
verileri silinebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, silinen kişisel verilerin ilgili
kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri
almaktadır.
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
18
b. Kişisel Verilerin Silinmesi Süreci
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
• Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
• Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili
kullanıcıların tespit edilmesi.
• İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin
tespit edilmesi.
• İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki
ve yöntemlerinin kapatılması ve ortadan kaldırılması.
c. Kişisel Verilerin Silinmesi Yöntemleri
Şirket tarafından işlenen kişisel veriler, farklı kayıt ortamlarında saklanabilmekte olup, her kayıt
ortamı için ilgili veri türüne uygun yöntemlerle silme işlemi gerçekleştirilmektedir. Kişisel verilerin
silinmesi işlemi, verilerin tekrar kullanılamaz hale getirilmesini sağlayacak şekilde yürütülmektedir.
Kişisel verilerin saklandığı ortamlar dikkate alınarak aşağıdaki yöntemler kullanılmaktadır:
d. Elektronik Ortamlarda Tutulan Kişisel Verilerin Silinmesi
Elektronik sistemlerde saklanan kişisel veriler, ilgili kullanıcının erişimini kalıcı olarak engelleyecek
şekilde silinmektedir.
e. Fiziksel Ortamda Tutulan Kişisel Verilerin Silinmesi
Fiziksel dokümanlar üzerinde bulunan kişisel veriler, geri döndürülemeyecek şekilde silinmektedir.
Bu kapsamda, ilgili verilerin üzeri kalıcı şekilde karartılmakta, okunamaz hale getirilmekte ve imha
tutanakları ile kayıt altına alınmaktadır.
6.4. Kişisel Verilerin Yok Edilmesi
a. Kişisel Verilerin Yok Edilmesi İşlemi
Şirket ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel
verileri yok edebilir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, kişisel verilerin
yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.
6.5. Kişisel Verilerin Anonim Hale Getirilmesi
a. Kişisel Verilerin Anonimleştirilmesi İşlemi
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan
kalktığında kişisel verileri anonimleştirebilmektedir. Şirket, kişisel verilerin anonim hale getirilmesi
için gerekli her türlü teknik ve idari tedbirleri almaktadır. Kanun’un 28. maddesine uygun olarak
anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir.
Bu tür işlemeler Kanun’un istisnaları arasında olup, ilgili kişinin açık rızası aranmayacaktır.
b. Kişisel Verilerin Anonimleştirilmesi Yöntemleri
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların
çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup
veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde
kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret
etmeyen veriler, anonim hale getirilmiş veri sayılır. Anonim hale getirmedeki amaç, veri ile bu
verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt
sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme,
genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
19
anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen
verilerin belirli bir kişiyi tanımlayamaz olması gerekmektedir.
7. BÖLÜM: İLGİLİ KİŞİLERİN HAKLARI
7.1. İlgili Kişilerin Haklarının Kapsamı ve Bu Hakların Kullanılması
a. İlgili Kişilerin Hakları
Şirket tarafından kişisel verisi işlenen kişiler aşağıda yer alan haklara sahiptir:
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve
bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini
isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya
yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme.
b. İlgili Kişilerin Haklarını Kullanması
İlgili kişilerin Kanun’un 13. maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarını kullanmakla
ilgili taleplerini, aşağıdaki yöntemlerden ve adreslerden birisini tercih ederek Şirketimiz’e iletmesi
gerekli ve yeterlidir;
Başvuru Yöntemi
Başvurunun Yapılacağı
Adres
Başvuru
Gönderiminde
Belirtilecek Bilgi
Şahsen Başvuru (Başvuru sahibinin
bizzat gelerek kimliğini tevsik edici belge
ile başvurması)
Kocatepe Mahallesi, Yemiş
Meydanı Sk. C.29 Sit. No:
4/19, Bayrampaşa/İstanbul
Zarfın üzerine “Kişisel
Verilerin Korunması
Kanunu Kapsamında
Bilgi Talebi”
yazılacaktır.
Noter Vasıtasıyla Tebligat
Kocatepe Mahallesi, Yemiş
Meydanı Sk. C.29 Sit. No:
4/19, Bayrampaşa/İstanbul
Tebligat zarfına
“Kişisel Verilerin
Korunması Kanunu
Kapsamında Bilgi
Talebi” yazılacaktır.
Güvenli Elektronik İmza ile imzalanarak
Kayıtlı Elektronik Posta (KEP)
aysenurveturangida@hs03.kep.tr
Konu kısmına “Kişisel
Verilerin Korunması”
yazılacaktır.
Başvuruların hızlı ve etkin bir şekilde değerlendirilmesi için yukarıda belirtilen yöntemlerden birinin
kullanılması gerekmektedir. Şirketimiz, başvuruların değerlendirilmesi ve yanıtlanması sürecinde
Kanun ve ilgili mevzuata uygun hareket edecektir.
Başvuruda;
Ad, soyadı ve başvuru yazılı ise imza, T.C. vatandaşları için T.C. Kimlik Numarası, yabancılar için
uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
20
adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, talep konusu,
bulunması zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenir.
İlgili kişi adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. İlgili kişinin kendisi
dışında bir kişinin talepte bulunması için konuya ilişkin olarak ilgili kişi tarafından başvuruda
bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır. İlgili kişi olarak kullanmayı talep
edilen hakka ilişkin açıklamaları içeren başvuruda; talep edilen hususun açık ve anlaşılır olması,
talep edilen konunun ilgili kişiye ilişkin olması veya başkası adına hareket ediliyor ise bu konuda
özel olarak yetkili olunması ve yetkinin belgelendirilmesi, başvurunun kimlik ve adres bilgilerini
içermesi ve başvuruya kimliğinizi tevsik edici belgelerin eklenmesi gerekmektedir. İlgili Kişi Başvuru
Formu, A&T Gıda’nın web sitesinde mevcut bulunmaktadır.
c. Başvurulara Cevap Verilmesi
İlgili kişinin, talebini öngörülen usule uygun olarak Şirket’e iletmesi durumunda, Şirket talebin
niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak
sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından
başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır. Şirket, başvuruda
bulunan kişinin ilgili kişi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirket,
ilgili kişinin başvurusunda yer alan hususları netleştirmek adına, ilgili kişine başvurusu ile ilgili soru
yöneltebilir.
8. BÖLÜM: KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
8.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Teknik ve İdari
Tedbirler
Şirket, kişisel verilerin hukuka uygun olarak işlenmesini sağlamak amacıyla gerekli tüm teknik ve
idari tedbirleri almakta ve bu kapsamda sürekli olarak iyileştirme çalışmalarını yürütmektedir. Bu
doğrultuda, aşağıda belirtilen tedbirler uygulanmaktadır:
• Şirket, kişisel verileri ile temas ettiği tüm ilgili kişilere, Kanun’un 10. maddesi çerçevesinde
aydınlatma yükümlülüğünü eksiksiz ve doğru bir biçimde yerine getirmektedir.
• Şirket çalışanları, kişisel verilerin korunması mevzuatı ve veri güvenliği konusunda düzenli
olarak bilgilendirilmekte ve eğitilmektedir. Çalışanların bu konudaki farkındalık seviyesinin
artırılması amacıyla periyodik olarak eğitimler düzenlenmekte ve rehber dokümanlar
sağlanmaktadır.
• Şirket’in tüm iş birimleri özelinde yürütülen faaliyetler detaylı olarak analiz edilmekte ve her
bir iş birimi özelinde kişisel veri işleme süreçlerinin Kanun’a ve ilgili mevzuata uyumlu hale
getirilmesi için gerekli önlemler alınmaktadır.
• Şirket tarafından yürütülen kişisel veri işleme faaliyetlerinin, Kanun’da öngörülen kişisel veri
işleme şartlarına uygunluğunu sağlamak için her bir iş birimi özelinde gereklilikler
belirlenmekte ve iş süreçleri buna uygun olarak düzenlenmektedir.
• Şirket ile çalışanlar arasındaki hukuki ilişkileri yöneten sözleşme ve belgelerde, çalışanların
kişisel verileri yalnızca Şirket’in talimatları doğrultusunda ve ilgili mevzuat kapsamında
işlemeleri gerektiğine ilişkin hükümler yer almakta olup, bu doğrultuda çalışanların kişisel
verileri işlememesi, ifşa etmemesi ve amacı dışında kullanmaması yönünde yükümlülükler
getirilmektedir. Çalışanların bu yükümlülüklere uyumunun sağlanması için düzenli
denetimler yapılmaktadır.
• Şirket ile iş ilişkisi içinde bulunduğu üçüncü taraflar (tedarikçiler, hizmet sağlayıcıları vb.)
arasında imzalanan sözleşmelere, kişisel verilerin işlenmesine, korunmasına ve gizliliğine
ilişkin taahhütname ve yükümlülükler eklenmektedir. Böylece, kişisel verilerin yetkisiz
işlenmesini ve ifşasını önlemek için gerekli güvence sağlanmaktadır.
• Şirket, kişisel veri güvenliğini sağlamak amacıyla teknik ve idari tedbirleri sürekli olarak
gözden geçirmekte ve güncellemektedir.
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
21
8.2. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınan Teknik ve İdari Tedbirler
Şirket, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen kişisel verilerin
korunması konusunda azami hassasiyet göstermektedir. Şirket, özel nitelikli kişisel verilerin
işlenmesi süreçlerinde, Kanun ve ilgili mevzuatta öngörülen tüm teknik ve idari tedbirleri almakta,
bu verilerin güvenliğini sağlamak amacıyla yüksek düzeyde koruma mekanizmaları
uygulamaktadır.
Bu kapsamda;
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve
buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitimler
verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların,
yetki kapsamları ve süreleri net olarak tanımlanmakta, yetki kontrolleri gerçekleştirilmekte,
görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal
kaldırılmakta ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter
iade alınmaktadır.
Verilere bir yazılım aracılığı ile erişilmesi durumunda bu yazılıma ait kullanıcı
yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta,
test sonuçları kayıt altına alınmaktadır. Verilere uzaktan erişim gerekiyorsa en az iki
kademeli kimlik doğrulama sistemi sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel
ortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik
önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, bu
ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Yukarıda belirtilen önlemlerin yanı sıra Kurum’un internet sitesinde yayımlanan Kişisel Veri
Güvenliği Rehberi’nde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve
idari tedbirler de dikkate alınmaktadır.
8.3. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek İçin Alınan Teknik ve İdari
Tedbirler
Şirket, kişisel verilerin hukuka aykırı olarak açıklanmasını, yetkisiz erişimini, aktarılmasını veya
herhangi bir şekilde hukuka aykırı işlenmesini önlemek amacıyla gerekli teknik ve idari tedbirleri
almaktadır.
8.4. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
Bu doğrultuda, Şirket tarafından kişisel verilerin hukuka aykırı erişimini engellemek amacıyla alınan
başlıca teknik tedbirler aşağıda belirtilmektedir:
a. Yazılım güncellemeleri
Yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması ve
sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının kontrol edilmesi
sağlanmaktadır.
b. Erişim Sınırlamaları
Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda çalışanlara,
yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim
yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim
sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay
tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden
oluşacak kombinasyonların tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki
ve kontrol matrisi oluşturulmaktadır.
c. Şifreleme
Güçlü şifre ve parola kullanımının yanı sıra, şifre girişi deneme sayısının sınırlandırılması,
şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
22
ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen
çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi
yöntemlerle erişimin sınırlandırılması yapılmaktadır.
d. Anti Virus Yazılımları
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını tarayan ve tehlikeleri
tespit eden antivirüs, antispam gibi ürünler kullanılmakta, ayrıca bunlar güncel tutularak
gereken dosyalar düzenli olarak taranmaktadır.
e. Kişisel Veri Güvenliğinin Takibi
• Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
• Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
• Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
• Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya
hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması
gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.
f. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
• Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında
saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı
fiziksel güvenlik önlemleri alınmaktadır. Kişisel verilerin yer aldığı fiziksel ortamların dış
risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar
kontrol altına alınmaktadır.
• Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri
arasında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır.
• Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda
bunlar için de yeterli güvenlik tedbirleri alınmaktadır.
• Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol
yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu
kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve
yetkisiz erişim önlenmektedir.
• Kişisel veri içeren kâğıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin
erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.
g. Kişisel Verilerin Bulutta Depolanması
Kişisel verilerin bulutta depolanması uygulamalarına da gerektiğinde başvurulabilmektedir.
Bu durumda, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de
yeterli ve uygun olup olmadığının Şirket tarafından değerlendirilmesi gerekmektedir. Bu
kapsamda, Kurul’un rehber ve tavsiyelerinde belirtilen önlemler dikkate alınmaktadır.
h. Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
Şirket tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin
iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.
i. Siber Güvenliğin Sağlanması
Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta
ancak tedbirler bununla sınırlı bırakılmamaktadır. Güvenlik duvarı ve ağ geçidi gibi tedbirler
alınmaktadır. Kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır.
8.5. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek İçin Alınan İdari Tedbirler
Şirket tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler
aşağıda sıralanmaktadır:
• Çalışanlara, kişisel verilere hukuka aykırı erişimi önlemek amacıyla alınan teknik ve idari
tedbirler konusunda eğitimler verilmekte ve farkındalık çalışmaları yürütülmektedir.
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
23
Çalışanların, veri güvenliği ihlalleri ve bu ihlalleri önleme yöntemleri konusunda bilgi sahibi
olması sağlanmaktadır.
• Çalışanlara, iş süreçleri sırasında öğrendikleri kişisel verileri Kanun hükümlerine aykırı
olarak açıklayamayacakları ve işleme amacı dışında kullanamayacakları bildirilmekte, bu
yükümlülüklerinin görevden ayrılmalarından sonra da devam edeceği konusunda bilgi
verilmektedir.
• İşlenen kişisel verilerin doğru, güncel ve amaca uygun olması sağlanmakta, ilgili mevzuatta
belirtilen saklama sürelerine uygun şekilde muhafaza edilmektedir. Doğruluğunu ve
güncelliğini yitirmiş ya da herhangi bir amaca hizmet etmeyen verilerin gerekliliği düzenli
olarak gözden geçirilmekte ve ihtiyaç duyulmayan kişisel veriler, yürürlükteki kişisel veri
saklama ve imha politikası çerçevesinde silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
• Şirket, bilgi teknolojileri ve diğer hizmet gereksinimlerini karşılamak amacıyla veri
işleyenlerden hizmet alırken, bu hizmet sağlayıcıların kişisel verilerin korunması
konusunda en az Şirket’in uyguladığı güvenlik seviyesini sağladığından emin olmaktadır.
Bu kapsamda, veri işleyenlerle imzalanan sözleşmelere kişisel verilerin korunmasına
yönelik ek koruyucu düzenlemeler eklenmekte, veri işleyenlerin yükümlülükleri açıkça
tanımlanmakta ve denetlenmektedir.
8.6. Kişisel Verilerin Güvenli Ortamlarda Saklanması
Şirket, kişisel verilerin güvenli ortamlarda saklanmasını sağlamak ve hukuka aykırı amaçlarla yok
edilmesini, kaybolmasını veya değiştirilmesini önlemek amacıyla teknolojik imkanlar ve uygulama
maliyetleri çerçevesinde gerekli teknik ve idari tedbirleri almaktadır.
8.7. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
Şirket tarafından kişisel verilerin güvenli ortamlarda saklanmasını sağlamak amacıyla alınan
başlıca teknik tedbirler aşağıda belirtilmektedir:
• Kişisel verilerin güvenli bir şekilde saklanmasını sağlamak için güncel ve gelişmiş
teknolojilere sahip sistemler kullanılmakta, bu sistemler güncellenmektedir.
• Kişisel verilerin saklandığı veri tabanları ve diğer dijital ortamlar, kimlik doğrulama
sistemleri, erişim kontrol mekanizmaları ve ağ güvenlik önlemleri ile korunmaktadır.
• Kişisel verilerin saklandığı sistemler için güvenlik yazılımları, antivirüs programları,
güvenlik duvarları ve siber güvenlik izleme sistemleri gibi teknik önlemler
uygulanmaktadır. Ayrıca bu önlemler düzenli olarak gözden geçirilmekte ve
gerektiğinde güncellenmektedir.
• Kişisel verilerin güvenli saklanmasını sağlamak amacıyla sızma testleri, güvenlik
taramaları ve sistem değerlendirmeleri yapılmakta, tespit edilen güvenlik açıkları
giderilerek riskler en aza indirilmektedir.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için Şirket, yürürlükteki
mevzuata uygun teknolojik altyapılar kullanmakta ve veri güvenliğini sağlamak adına
gerekli teknik önlemleri almaktadır.
• Kişisel verilerin yetkisiz erişimlere karşı korunmasını sağlamak amacıyla, saklama
alanlarında güçlü şifreleme yöntemleri kullanılmakta ve yalnızca yetkilendirilmiş
kullanıcıların belirlenen düzeyde erişim sağlaması sağlanmaktadır.
• Veri kaybını önlemek için düzenli olarak yedekleme süreçleri yürütülmekte, yedeklenen
veriler güvenli veri merkezlerinde saklanmaktadır. Ayrıca, olası sistem arızalarına karşı
veri kurtarma mekanizmaları uygulanmaktadır.
Şirket, kişisel verilerin güvenli saklanmasına yönelik olarak belirlenen teknik tedbirleri sürekli olarak
geliştirmekte, denetlemekte ve olası güvenlik risklerine karşı önleyici tedbirler almaktadır.
8.8. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
Şirket tarafından kişisel verilerin güvenli ortamlarda saklanmasını sağlamak amacıyla alınan
başlıca idari tedbirler aşağıda belirtilmektedir:
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
24
• Çalışanlar, kişisel verilerin güvenli bir şekilde saklanmasına yönelik politikalar ve
prosedürler hakkında bilgilendirilmekte ve eğitilmektedir. Bu eğitimlerde, kişisel verilerin
korunmasına ilişkin temel ilkeler, veri güvenliği prosedürleri ve yetkisiz erişimi önleme
konularında farkındalık sağlanmaktadır.
• Kişisel verilere yetkili kişiler tarafından erişim sağlanmakta, çalışanların yalnızca görevleri
gereği erişmeleri gereken verilere erişim yetkisi verilmekte ve yetkisiz erişimlerin önlenmesi
için gerekli idari tedbirler alınmaktadır.
• Kişisel verilerin saklanma süreleri, ilgili mevzuat hükümleri ve iş süreçlerinin gereklilikleri
doğrultusunda belirlenmekte ve bu sürelerin sonunda verilerin güvenli bir şekilde imha
edilmesi sağlanmaktadır.
• Kişisel verilerin saklanması için teknik gereklilikler nedeniyle dışarıdan hizmet alınması
durumunda, ilgili hizmet sağlayıcılarla yapılan sözleşmelere, kişisel verilerin hukuka uygun
olarak korunmasına yönelik yükümlülükler eklenmekte ve hizmet sağlayıcıların bu
yükümlülüklere uymaları taahhüt altına alınmaktadır. Ayrıca, hizmet sağlayıcılar düzenli
olarak denetlenerek veri güvenliği standartlarına uyumları kontrol edilmektedir.
• Kişisel verilerin güvenli saklanmasını sağlamak amacıyla denetim mekanizmaları
işletilmekte, periyodik güvenlik kontrolleri yapılmakta ve olası riskler tespit edilerek gerekli
önlemler alınmaktadır.
• Kişisel veri işleme süreçleri gözden geçirilmekte, kişisel verilerin gereksiz yere
saklanmasını önlemek için “veri minimizasyonu” ilkesi uygulanmakta ve yalnızca ilgili
mevzuata uygun olarak belirlenen süreler boyunca saklanmaktadır.
Şirket, kişisel verilerin güvenli bir ortamda saklanmasını sağlamak için idari tedbirlerini sürekli
olarak geliştirmekte ve güncellemektedir. Şirket, kişisel verilerin korunması konusunda çalışanlarını
bilinçlendirmek ve veri güvenliğini sağlamak amacıyla çeşitli eğitim ve denetim faaliyetleri
yürütmektedir. Bu kapsamda:
a. EĞİTİM
• Şirket, Kişisel Verilerin Korunması mevzuatı ve ilgili iç düzenlemeler çerçevesinde
çalışanlarına, politika ve prosedürleri hakkında eğitim vermektedir.
• Eğitim programlarında, özel nitelikli kişisel verilerin korunmasına yönelik özel
düzenlemelere ve uygulamalara özellikle yer verilmekte, bu verilerin işlenmesi ve
saklanması konularında çalışanların farkındalığı artırılmaktadır.
b. DENETİM
i. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusundaki
Farkındalıklarının Artırılması ve Denetimi
• Şirket, iş birimlerinde kişisel verilerin hukuka aykırı olarak işlenmesini, verilere yetkisiz
erişimi önlemeyi ve verilerin güvenli şekilde muhafaza edilmesini sağlamak amacıyla
farkındalığı artırmaya yönelik iç bilgilendirme süreçleri yürütmektedir.
• İş birimleri için düzenlenen denetimler sayesinde, kişisel veri işleme süreçlerinin mevzuata
uygun şekilde yürütülüp yürütülmediği düzenli olarak kontrol edilmektedir.
ii. İş Ortakları ve Tedarikçilerin Kişisel Verilerin Korunması Konusundaki
Farkındalıklarının Artırılması ve Denetimi
• Şirket, kişisel verilerin hukuka aykırı olarak işlenmesinin, yetkisiz erişimin ve veri güvenliği
ihlallerinin önlenmesi amacıyla iş ortaklarına ve tedarikçilerine yönelik farkındalık
çalışmalarını sürdürmektedir.
• Şirket, dış hizmet sağlayıcılarının kişisel veri güvenliği standartlarına uyup uymadığını
belirlemek amacıyla denetimler gerçekleştirmektedir.
Ayşenur ve Turan Gıda Kontrol Laboratuvarı Anonim Şirketi
Kişisel Verilerin Korunması ve İşlenmesi Politikası
25
iii. Kişisel Verilerin Korunmasına Yönelik Alınan Tedbirlerin Denetimi
• Şirket, işbu Politika ve ilgili mevzuat düzenlemelerine tüm çalışanlarının, departmanlarının
ve yüklenicilerinin uygun hareket ettiğini denetlemek amacıyla önceden haber vermeksizin
iç denetimler yapma hakkını saklı tutmaktadır.
• Gerçekleştirilen denetimlerin sonuçları şirketin iç işleyişi çerçevesinde değerlendirilmekte
olup, tespit edilen eksikliklerin giderilmesi ve veri güvenliğinin artırılması için gerekli
iyileştirme çalışmaları yapılmaktadır.
8.9. Kişisel Verilerin Yetkisiz Şekilde İfşası Durumunda Alınacak Tedbirler
• Şirket, Kanun’un 12. maddesi gereğince kişisel verilerin yetkisiz kişiler tarafından ele
geçirilmesi veya kanuna aykırı şekilde işlenmesi halinde, bu durumu en kısa sürede ilgili
kişilere ve Kurul’a bildirecek sistemleri işletmektedir.
• Veri ihlali tespit edildiğinde, olayın niteliğine göre riskleri en aza indirmek için teknik ve idari
tedbirler alınmaktadır.
• Yetkisiz ifşa durumlarının tekrarını önlemek amacıyla güvenlik politikaları ve veri işleme
süreçleri gözden geçirilerek gerekli revizyonlar yapılacaktır.
