1. GİRİŞ
2010 yılında 5982 sayılı Kanun ile Anayasa’nın 20. maddesine eklenen fıkra uyarınca, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal güvence altına alınmıştır. Avrupa Birliği kriterlerine uyum kapsamında hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 07.04.2016 tarihinde yürürlüğe girmiştir. KVKK, büyük ölçüde AB’nin 95/46/EC sayılı Direktifi ile paralel hükümler içerir ve bireylerin kişisel verilerinin bütüncül bir çerçevede korunmasını sağlar.
Tüzel kişilerin verileri mevcut mevzuat kapsamında korunmakla birlikte, KVKK kişisel veri korumasını gerçek kişiler bakımından düzenler. Omega Nonwoven Tekstil Sentetik ve Dokuma Tic. A.Ş. (“Omega”), sunduğu hizmetlerde kalite, şeffaflık ve dürüstlük ilkeleri çerçevesinde kişisel verilerin güvenliğine azami önem vermekte; KVKK ve ikincil düzenlemeler, Kişisel Verileri Koruma Kurulu kararları ve sektörel mevzuat doğrultusunda bu Politikayı uygulamaktadır.
2. AMAÇ VE KAPSAM
2.1
Politika, Omega bünyesinde KVKK uyumu için gerekli düzenlemelerin temel ilkeler doğrultusunda etkin şekilde uygulanmasını sağlamayı amaçlar.
2.2
Bu Politika uyarınca, kişisel verilerin işlenmesi ve korunması bakımından tüm idari ve teknik tedbirler alınır; gerekli iç prosedürler oluşturulur, farkındalık eğitimleri sağlanır ve kontrol mekanizmaları kurulur.
2.3
Politika, tüm süreçlerde gözetilecek temel ilkeleri ve KVKK ile getirilen düzenlemelere uyumu sağlamak üzere Omega’nın yükümlülüklerini belirler. Çalışanlar ve iş ortakları için uygulanacak tedbirler ile denetimler de bu kapsamda yer alır.
2.4
Politikaya veya ilgili mevzuata aykırılık hâlinde, kanundan doğan cezai ve hukuki sorumlulukların yanında, olayın niteliğine göre Omega içinde disiplin yaptırımları uygulanabilir.
3. TANIMLAR
3.1 Açık Rıza
Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.
3.2 Anonimleştirme
Kişisel verilerin, başka verilerle eşleştirilse dahi kimliği belirli/belirlenebilir bir kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
3.3 İlgili Kişi
Kişisel verisi işlenen gerçek kişi (müşteri, çalışan, aday, tedarikçi çalışanı, ziyaretçi, internet sitesi ziyaretçisi vb.).
3.4 Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (ad-soyad, T.C. kimlik no, iletişim, adres, özgeçmiş, ziyaret kayıtları, IP, görsel/işitsel kayıtlar vb.).
3.5 Kişisel Verilerin İşlenmesi
Elde etme, kaydetme, depolama, muhafaza, değiştirme, açıklama, aktarma, edinme, sınıflandırma, kullanımın engellenmesi, silme, yok etme veya anonimleştirme gibi veriler üzerinde gerçekleştirilen her türlü işlem.
3.6 Özel Nitelikli Kişisel Veri
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler ile biyometrik ve genetik veriler.
3.7 Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
3.8 Veri Sorumlusu
İşleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu gerçek veya tüzel kişi. Bu Politika kapsamında veri sorumlusu Omega’dır.
4. POLİTİKANIN YÜRÜTÜLMESİ VE SORUMLULUKLAR
4.1
Omega Nonwoven Tekstil Sentetik ve Dokuma Tic. A.Ş., Veri Sorumlusu sıfatıyla bu Politikanın tüm iç operasyon ve süreçlerde uygulanmasından sorumludur.
4.2
Bu Politika doğrultusunda hazırlanacak yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin uygulanmasından; Hukuk Danışmanı ve iç denetim biriminin desteğiyle KVYS (Kişisel Verilerin Yönetim Sistemi) Temsilcisi yetkili ve sorumludur.
4.3
Omega bünyesindeki tüm çalışanlar, iş ortakları, misafirler ve ilgili üçüncü kişiler; Politikaya uyuma ilişkin mevzuat kapsamında doğabilecek hukuki sorumluluk, risk ve tehlikelerin önlenmesinde KVYS Temsilcisi ile iş birliği yapmakla yükümlüdür.
4.4
Omega’nın tüm birimleri ve organları, tüm personelle birlikte Politikanın hükümlerine uygun hareket etmek ve uyumu sağlamakla yükümlüdür.
4.5
Bu Politika, Omega içinde ortak bilgi sistemlerine yüklenerek her zaman erişilebilir olacak; ayrıca Omega’nın internet sitesinde yayımlanacaktır. Politika değişiklikleri bilgi sistemlerine ve internet sitesine güncel şekilde işlenecek; veri sahiplerinin Politika hükümlerine erişerek bilgi sahibi olması sağlanacaktır. Politikanın ilanı ve değişiklik duyuruları KVYS Temsilcisi tarafından yönetilecektir.
4.6
Politika ile yürürlükteki mevzuat arasında çelişki olması hâlinde, Veri Sorumlusu sıfatıyla mevzuat hükümleri geçerli olur. Böyle bir çelişkide Politikanın mevzuata uygun şekilde güncellenmesi süreci KVYS Temsilcisi tarafından yürütülür.
5. KİŞİSEL VERİ İŞLEME İLKELERİ
5.1 Genel İlkeler
Omega, bu Politika kapsamındaki kişisel verileri KVKK’nın 4. maddesinde yer alan ilkelere uygun olarak işler.
5.1.1 Hukuka ve Dürüstlük Kuralına Uygunluk
Veri Sorumlusu ve basiretli bir tacir olarak Omega, Medeni Kanun’un 2. maddesi ve ilgili mevzuat uyarınca kişisel veri işleme faaliyetlerini hukuka uygun ve dürüstlük kuralına uygun şekilde yürütmeyi taahhüt eder.
5.1.2 Doğruluk ve Güncellik
Omega, tekniğin elverdiği ölçüde kişisel verilerin doğruluğu ve güncelliğini sağlamak için gerekli tedbirleri alır. İlgili kişinin Omega’ya bildirimleri ve/veya Omega’nın gerekli görmesi hâlinde, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun teyidi için idari ve teknik mekanizmalar işletilir.
5.1.3 Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veriler; mevzuat gereklilikleri doğrultusunda ve sunulan/sunulacak hizmetlerle sınırlı olarak hukuka uygun şekilde işlenir. İşleme amacı, işleme başlamadan önce açık ve net olarak belirlenir.
5.1.4 Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler; belirlenen amaçlarla bağlantılı, sınırlı ve bu amaçların gerçekleştirilmesi için gerekli ölçüde işlenir. Amaca ilişkin olmayan veya ihtiyaç duyulmayan verilerin işlenmesinden kaçınılır.
5.1.5 Gerekli Süre ile Saklama
Kişisel veriler; mevzuatta öngörülen veya işleme amacının gerektirdiği süre boyunca muhafaza edilir. Süre sonunda veriler silinir, yok edilir veya anonimleştirilir. Süre sonunda silmenin sağlanması için idari ve teknik tedbirler alınır.
6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVKK’nın 5. maddesi kişisel verilerin işlenme şartlarını düzenler. Omega, aşağıdaki şartlar çerçevesinde kişisel veri işler.
6.1 İlgili Kişinin Açık Rızasının Bulunması
Esas olan, işleme için ilgili kişinin açık rızasının alınmasıdır. KVKK uyarınca ilgili kişi bilgilendirildikten sonra, rızanın kapsadığı işlemlerle sınırlı olmak üzere işleme yapılır.
6.2 Kanuni Zorunluluk Nedeniyle İşleme
Açık rıza olmasa dahi, mevzuat gereği zorunlu olan hâllerde diğer şartlar da sağlanmak kaydıyla işleme hukuka uygundur.
6.3 Hayatın veya Beden Bütünlüğünün Korunması
İlgili kişinin rızasını açıklayamayacak durumda olması veya rızasına hukuki geçerlilik tanınamaması hâlinde, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olan işlemler.
6.4 Sözleşmenin Kurulması/İfası
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili işlemler.
6.5 Hukuki Yükümlülük
Veri sorumlusunun hukuki yükümlülüklerini yerine getirmek için zorunlu olan işlemler.
6.6 Alenileştirme
İlgili kişi tarafından alenileştirilen kişisel verilerin, alenileştirme amacıyla sınırlı işlenmesi.
6.7 Hakların Tesisi, Kullanılması veya Korunması
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan işlemler.
6.8 Meşru Menfaat
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için zorunlu işlemler.
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
7.1 Açık Rıza
Kural olarak özel nitelikli kişisel veriler açık rıza ile işlenir.
7.2 Rıza Olmadan İşlenebilecek Hâller
Kanunda öngörülen hâller ve yeterli güvenlik önlemleri ile.
7.3 Sağlık ve Cinsel Hayat Verileri
Kamu sağlığı, teşhis, tedavi ve finansman amaçlarıyla; sır saklama yükümlülüğü altındaki kişilerce işlenir.
7.4 Alınacak Tedbirler
Kurulca belirlenen güvenlik tedbirleri uygulanır; şirket içinde KVYS ekibi sorumludur.
8. KİŞİSEL VERİLERİN AKTARILMASI
8.1 Yurt İçinde
Açık rıza ile veya KVKK m.5/2 şartları kapsamında; özel nitelikli verilerde m.6 ve Kurul tedbirleri uygulanır.
8.2 Yurt Dışına
Açık rıza ile veya uygun güvenceler + güvenli ülke/izin süreçleri ile.
9. SİLME, YOK ETME, ANONİMLEŞTİRME
Amaç sona erdiğinde ve/veya saklama süresi dolduğunda, mevzuata uygun işlemler yapılır ve kayıt altına alınır.
10. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
10.1 Aydınlatma Yükümlülüğü
KVKK m.10 kapsamında veri sahiplerine yapılacak bilgilendirmeler.
10.2 Kişisel Verilerin Güvenliği
10.2.1 Hukuka Aykırı İşlenmeyi Önleme
- Veri envanteri, erişim yetkileri, loglama, şifreleme, yedekleme, güvenlik yazılımları, sızma testleri.
- Eğitimler, prosedürler, gizlilik yükümlülükleri, tedarikçi sözleşmeleri.
10.2.2 Hukuka Aykırı Erişimi Önleme
- Yetkilendirme, kimlik doğrulama, ağ/uç nokta güvenliği, TLS/VPN, cihaz kısıtları, olay müdahale planları.
10.2.3 Tedbirlerin Denetimi
Periyodik denetimler; uygunsuzluklar için düzeltici/önleyici faaliyetler.
11. İLGİLİ KİŞİNİN HAKLARI VE BAŞVURU USULÜ
Bu bölüm; başvuru kanalları, süreler ve kimlik doğrulama adımlarına ilişkin sağlayacağınız metne göre tamamlanacaktır.
12. YÜRÜRLÜK VE GÜNCELLEMELER
İşbu Politika, OMEGA NONWOVEN Yönetimi tarafından onaylandığı tarihte yürürlüğe girer. Politika değişikliklerinin hazırlanması ve uygulanmasına ilişkin gerekli çalışmalar KVYS Temsilcisi tarafından yürütülür; güncellemeler Omega Nonwoven Tekstil Sentetik ve Dokuma Tic. A.Ş. Genel Müdürü onayıyla yürürlüğe girer.
Omega Nonwoven – Yönetim