REVNESS KOZMETİK DOĞAL ÜRÜNLER KİMYA GIDA PAZARLAMA SANAYİ VE TİCARET LİMİTED ŞİRKETİ
GİZLİLİK POLİTİKASI
Bu Gizlilik Politikası (“Politika”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca veri sorumlusu olan Revness Kozmetik Doğal Ürünler Kimya Gıda Pazarlama Sanayi ve Ticaret Limited Şirketi (“Şirket”) tarafından hazırlanmıştır.
1. MADDE - TANIMLAR
1.1. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir..
1.2. Veri Aktarımı: Veri sorumlusunun veya veri işleyeninin başka bir veri sorumlusuna veya veri işleyenine kişisel verileri aktarmasıdır.
1.3. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
1.4. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
1.5. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişilerdir.
1.6. Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
1.7. Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturabildiği, okunabildiği, değiştirilebildiği ve yayılabildiği ortamlardır.
1.8. Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlardır.
1.9. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
1.10. Periyodik İmha: Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
2. POLİTİKA HAKKINDA
2.1. Şirket kapsamında yer alan kişisel verilerinizin çalışanlar tarafından işlenmeleri, saklanma koşulları ve süreleri, yurt içi ve yurt dışı aktarımları ile hangi periyotlarla ve ne biçimde imha edileceği bu yönerge kapsamında düzenlenmiştir.
2.2. Bu Politika uyarınca, kişisel verileriniz üzerinde gerçekleştirilen; silme, yok etme veya anonim hale getirme işlemlerinin tümü kayıt altına alınır ve bu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere her somut olayda ayrı bir değerlendirme yapılarak makul bir süre saklanır.
2.3. Politika’nın, Kanun veya sair mevzuat ile uyumsuz olması halinde, Kanun ve ilgili mevzuat hükümleri öncelikli olarak uygulanır.
3. KİŞİSEL VERİLERİN İŞLENMESİ, AKTARILMASI VE SAKLANMASI
3.3. Şirket tarafından kişisel verileriniz, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmektedir.
3.4. Kişisel verileriniz, işlenme amaçları ile bağlantılı ve sınırlı olmak kaydıyla ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
3.5. Kişisel verilerinizin işlenmesi ve yurt içinde üçüncü kişilere aktarılması ancak sizlerden açık rıza alınmak suretiyle mümkündür. Ancak istisnai durumlar bulunur ve bunlar aşağıda belirtilmiştir.
3.5.1. Özel nitelikli olmayan verileriniz şu durumlarda açık rıza olmaksızın işlenebilir ve yurt içi aktarımı yapılabilir:
3.5.1.1. Kanunlarda açıkça öngörülmesi,
3.5.1.2. Fiili imkânsızlık nedeniyle rızanızı açıklayamayacak durumda bulunmanız veya rızanıza hukuki geçerlilik tanınmadığı durumda sizin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
3.5.1.3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
3.5.1.4.Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
3.5.1.5. Sizin tarafınızdan verilerin alenileştirilmiş olmaları,
3.5.1.6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
3.5.1.7.Sizin temel hak ve özgürlüklerinize zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için verinizin işlenmesinin zorunlu olması.
3.5.2. Özel nitelikli verilerinizden sağlık ve cinsel hayata ilişkin olmayan verileriniz ancak kanunlarda açıkça öngörülmüşse açık rıza olmaksızın işlenebilir ve yurt içi aktarımı yapılabilir.
3.5.3. Özel nitelikli kişisel verilerinizden sağlık ve cinsel hayata ilişkin verileriniz ancak şu haller mevcutsa açık rıza alınmaksızın işlenebilir ve yurt içi aktarımı yapılabilir:
3.5.3.1. Kamu sağlığının korunması,
3.5.3.2. Koruyucu hekimlik,
3.5.3.3. Tıbbi teşhis,
3.5.3.4. Tedavi ve bakım hizmetlerinin yürütülmesi,
3.5.3.5. Sağlık hizmetleri ile finansmanın planlanması ve yönetimi.
3.6. Kişisel verilerinizin yurt dışına aktarımı ise yine ancak sizin rızanız ile mümkündür. Yukarıdaki açık rızanın aranmadığı istisnalar bakımından, verilerinizin aktarılacağı ülkede kişisel veriler ile ilgili olarak yeterli korumanın olup olmadığına bakılır ve bu korumanın varlığı halinde istisnalar burada da geçerlidir. Yeterli korumanın bulunmaması durumunda ise, Taahhütnameler ve Bağlayıcı Şirket Kuralları ile Kişisel Verileri Koruma Kurumuna başvuruda bulunulacak ve kişisel verilerin yurt dışına aktarımı Kişisel Verileri Koruma Kurulunun onayına tabi olacaktır. Bununla birlikte, Türkiye’nin tarafı olduğu uluslararası anlaşmaların kapsamına giren durumlarda söz konusu onay mekanizması uygulanmayacaktır. Kişisel verilerinizin aktarılacağı ülkede yeterli korumanın bulunmaması durumunda ise, kişisel verilerinizin sizin açık rızanız bulunmaksızın yurt dışına aktarılabilmesi için, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun kişisel verilerinizin aktarımına izin vermesi gerekecektir.
3.7. Kişisel verileriniz, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınır.
3.8. Özel nitelikli kişisel verilerinizin saklandığı elektronik ortamlar şunlardır: sunucular (yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.), yazılımlar, bilgi güvenliği cihazları, kişisel bilgisayarlar, mobil cihazlar, optik diskler, çıkartılabilir bellekler, yazıcı, tarayıcı, fotokopi makinesi.
3.9. Özel nitelikli kişisel verilerinizin saklanmasını gerektiren durumlar şunlardır:
3.9.1. İnsan kaynakları süreçlerini yürütmek,
3.9.2. Kurumsal iletişimi sağlamak,
3.9.3. İstatiksel çalışmalar yapabilmek,
3.9.4. İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
3.9.5. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
3.9.6.Kurum ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak,
3.9.7. Çağrı merkezi süreçlerini yönetmek,
3.9.8. İleride doğabilecek hukuki uyuşmazlıklara delil olarak ispat yükümlülüğü.
4. KİŞİSEL VERİLERİN İMHA EDİLMESİ
4.1. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerinizin işlenme amacının gerektirdiği sürenin sonunda kişisel verileriniz Şirket tarafından silinir, yok edilir veya anonim hale getirilir.
4.2. Ayrıca veri sorumlusuna kişisel verilerinin imha edilmesi talebiyle başvurabilirsiniz. Bu başvuru en geç otuz gün içerisinde sonuçlandırılır. Başvurunun kabulü veya reddi size yazılı veya elektronik ortamda bildirilir.
4.3. İmhayı gerektiren sebepler şunlardır:
4.3.1. Verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
4.3.2. Verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
4.3.3.Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, açık rızanızı geri almanız,
4.3.4. Kanunun 11 inci maddesi gereği haklarız çerçevesinde kişisel verilerinizin silinmesi ve yok edilmesine ilişkin yaptığınız başvurunun Şirket tarafından kabul edilmesi,
4.3.5.Şirket’in, imha talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurulu’na şikâyette bulunmanız ve bu talebin Kurul tarafından uygun bulunması, Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
4.4. Özel nitelikli verilerinizin imhasını gerektiren sebepler ortaya çıktığında veriler aşağıdaki tekniklerden duruma uygun olarak seçilecek olan teknik ile imha edilir.
4.4.1. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi hangi ortamda yer aldığına göre şu şekilde gerçekleştirilir:
4.4.1.1. Sunucularda yer alan kişisel veriler, sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
4.4.1.2. Elektronik ortamda yer alan kişisel veriler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
4.4.1.3. Fiziksel ortamda tutulan kişisel veriler, birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
4.4.1.14 Flash tabanlı saklama ortamlarında tutulan kişisel veriler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
4.4.2. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
4.4.3. Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale gelmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir. KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Anonim hale getirme teknikleri şunlardır:
4.4.3.1. Maskeleme, kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No, ad, soyad vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkansız hale geldiği bir veri setine dönüştürülmesi.
4.4.3.2. Toplulaştırma, birçok veri toplulaştırılması ve kişisel verilerin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesidir. Örnek: Müşterilerin doğum yıllarını tek tek göstermeksizin 1975 yılında doğan 100 müşteri bulunduğunun ortaya konulması.
4.4.3.3. Veri türetme, kişisel verinin içeriğinden daha genel bir içerik oluşturulması ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesinin sağlanmasıır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen ilçenin veya şehrin belirtilmesi.
5. SAKLAMA VE İMHA SÜRELERİ
5.1. Periyodik imhanın gerçekleştirileceği zaman aralığı 6 ay olarak belirlenmiştir. Uyuşmazlık konusu olan veya olabilecek verilerinizin imhasından kaçınılır.
5.2. Veri sorumlusu, kişisel verilerinizi silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verilerinizi siler, yok eder veya anonim hale getirir.
5.3. Kişisel verilerinizin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili bütün işlemler yetkili kişiler tarafından politika ve prosedürlere uygun olarak yapılır ve kayıt altına alınır. Bu kayıtlar diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
6. TEDBİRLER
6.1. Şirket kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi veya erişilmesinin önlenmesi ile kişisel verilerinizin hukuka uygun olarak imha edilmesi için koşullara uygun olarak gerekli görülen teknik ve idari tedbirler alır.
6.2. Teknik Tedbirler şunlardır:
6.2.1. Ağ güvenliği ve uygulama güvenliği sağlanması,
6.2.2. Ağ yoluyla veri aktarımlarında kapalı sistem ağ kullanılması,
6.2.3. Anahtar yönetimi uygulanması,
6.2.4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınması,
6.2.5. Çalışanlar için yetki matrisi oluşturulması,
6.2.6. Erişim loglarının düzenli olarak tutulması,
6.2.7. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanması ve uygulanmaya başlanması,
6.2.8. Gerektiğinde veri maskeleme yöntemi uygulanması,
6.2.9. Kişisel veri güvenliği sorunlarının hızlı bir şekilde raporlanması,
6.2.10. Kişisel veri güvenliğinin takibinin yapılması
6.2.11. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemlerinin alınması,
6.2.11. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliğinin sağlanması,
6.2.13. Kişisel veri içeren ortamların güvenliğinin sağlanması,
6.2.14. Kişisel verilerin yedeklenmesi ve yedeklenen kişisel verilerin güvenliğinin sağlanması,
6.2.15. Kullanıcı hesap yönetimi ve yetki kontrol sisteminin uygulanması ve bunların takibinin yapılması,
6.2.16. Kurum içi periyodik ve/veya rastgele denetimlerin yapılması ve yaptırılması,
6.2.17. Log kayıtlarının kullanıcı müdahalesi olmayacak şekilde tutulması,
6.2.18. Mevcut risk ve tehditlerin belirlenmesi,
6.2.19. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmesi,
6.2.20. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılması ve farklı birimlerce yönetilmesi,
6.2.21. Saldırı tespit ve önleme sistemlerinin kullanılması,
6.2.22. Sızma testinin uygulanması,
6.2.23. Siber güvenlik önlemlerinin alınması ve uygulanmasının sürekli takip edilmesi,
6.2.24. Şifreleme yapılması,
6.2.25. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetiminin sağlanması,
6.2.26. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığının sağlanması,
6.2.27. Veri kaybı önleme yazılımlarının kullanılması.
6.3. İdari Tedbirler şunlardır:
6.3.1. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri,
6.3.2. Çalışanlar için veri güvenliği konusunda belirli aralıklarla eğitim ve farkındalık çalışmalarının yapılması,
6.3.3. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikaların hazırlanması ve uygulanmaya başlanması,
6.3.4. Gizlilik taahhütnamelerinin yapılması,
6.3.5. İmzalanan sözleşmelerin veri güvenliği hükümlerini içermesi,
6.3.6. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirlerinin alınması ve ilgili evrakın gizlilik dereceli belge formatında gönderilmesi,
6.3.7. Kişisel veri güvenliği politika ve prosedürlerinin belirlenmesi,
6.3.8. Kişisel veri içeren ortamların güvenliğinin sağlanması,
6.3.9. Kişisel verilerin mümkün olduğunca azaltılması,
6.3.10. Kurum içi periyodik ve/veya rastgele denetimlerin yapılması ve yaptırılması,
6.3.11. Özel nitelikli kişisel veri güvenliğine yönelik protokollerin ve prosedürlerin mevcudiyeti.