Benoplast
0
EN

BENO PLASTİK AMBALAJ VE KALIP SAN.TİC.A.Ş. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1. GİRİŞ

1.1. Genel Olarak

Kişisel verilerinizin gizliliğinin ve güvenliğinin sağlanması Beno Plastik Ambalaj ve Kalıp San.Tic.A.Ş. (‘‘Şirket’’) olarak en önemli önceliklerimiz arasında yer almaktadır. Kişisel verilerinizin işlenmesine ve korunmasına dair işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (‘‘Politika’’) ve Şirketimiz bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen amaç; kişisel verisi işlenen kişilerin (‘‘Kişisel Veri Sahipleri’’) kişisel verilerinin hukuka uygun biçimde işlenmesi, korunması ve Kişisel Veri Sahiplerinin bilgilendirilmesidir.

1.2. Politikanın Amacı ve Kapsamı

Bu Politikanın temel amacı, Şirketimizce hukuka uygun bir şekilde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak ve bu kapsamda Kişisel Veri Sahiplerini bilgilendirmektir. Bu politikanın kapsamı, Kişisel Veri Sahiplerinin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

1.3. Politikanın ve İlgili Mevzuatın Uygulanması

Bu Politika, ilgili mevzuat tarafından ortaya konulan esaslar dahilinde somutlaştırılarak düzenlenmiştir. Şirketimiz, yürürlükte bulunan mevzuat ile bu Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuatın uygulama alanı bulacağını taahhüt ve kabul etmektedir.

2. TANIMLAR VE KISALTMALAR

• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

• Anayasa: 1982 tarihli T.C. Anayasası.

• Anonim Hale Getirme/Anonimleştirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

• Çalışan: Beno Plastik Ambalaj ve Kalıp San.Tic.A.Ş. çalışanları.

• Çalışan Adayı: Beno Plastik Ambalaj ve Kalıp San.Tic.A.Ş.’ nin herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili

bilgilerini sunmuş olan gerçek kişiler.

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

• Kişisel Veri Sahibi / İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

• Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

• Kurul: Kişisel Verileri Koruma Kurulu.

• Kurum: Kişisel Verileri Koruma Kurumu

• KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu

• Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

• Periyodik İmha İşlemi: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla remsen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

• Politika: Beno Plastik Ambalaj ve Kalıp San.Tic.A.Ş. Kişisel Verilerin İşlenmesi ve Korunması Politikası.

• Veri Sorumlusuna Başvuru Formu: Veri sahiplerinin, KVKK’ nın 11. Maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.

• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.

• Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin.

• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR

3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

3.1.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme

Şirketimiz, kişisel veriler üzerinde gerçekleştirilecek her türlü işlemde hukuka ve dürüstlük kurallarına uygun olmayı temel ilke edinmiş ve şeffaflık ilkesini benimseyerek toplanan kişisel verilerin kullanım amacı hakkında kişisel veri sahiplerine bilgilendirmede bulunmaktadır.

3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirketimiz, kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve sürece sahiptir. Bu kapsamda kişisel veri sahipleri, şirketimize başvuruda bulunarak kişisel verilerinin sürekli olarak doğru ve güncel olarak tutulmasını mümkün kılabilir.

3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Şirketimiz, kişisel veri işleme amacını meşru ve hukuka uygun sınırlar içerisinde açık bir şekilde belirmektedir.

3.1.4. İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirketimiz, kişisel verileri, faaliyet konusu ile ilgili ve işinin yürütülmesi için gerekli amaçlar dahilinde işlemektedir. Bu kapsamda veri işleme faaliyetini yürütürken amacın gerçekleştirilmesiyle ilgili olmayan ve şuan/ileride ihtiyaç duyulmayan kişisel verileri işlemekten kaçınmaktadır.

3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza etmektedir.

3.2. Kişisel Verilerin KVKK’ nın 5. Maddesinde Belirtilen Kişisel Veri İşleme Şartlarından Bir Veya Birkaçına Dayalı ve Bu Şartlarla Sınırlı Olarak İşlenmesi

Şirketimiz, kişisel verileri ancak ilgili kişinin açık rızasına dayanarak veya kanunda açık rızanın aranmayacağı belirtilen hallerde açık rıza olmadan işlemektedir.

Açık rızanın aranmayacağı haller:

a) Kanun hükmünün varlığı,

b) Fiili imkansızlık nedeniyle açık rızanın alınamaması,

c) Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin

taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

d) Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

e) İlgili kişinin kişisel verisinin kendisi tarafından alenileştirilmiş olması,

f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek koşuluyla Şirketimizin meşru menfaatleri için veri işlemenin zorunlu olması.

3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi

Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığına sebep olma riski nedeniyle KVKK tarafından ‘‘özel nitelikli’’ olarak belirlenen kişisel veriler, Şirketimizin söz konusu kişisel verilere hassasiyeti nedeniyle işbu politikada ayrıca ele alınmak istenmiştir. Şirketimizce; özel nitelikli kişisel veriler kişisel veri sahibinin rızası yok ise ancak Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilmektedir.

a) Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde,

b) Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

3.4. Kişisel Verilerin Aktarılması

Kişisel verileriniz, işbu politikada belirtilen amaçların yerine getirilmesine yönelik olarak, diğer kuruluşlarımıza, denetim faaliyetleri çerçevesinde denetleyici kuruluşlara, hissedarlarımıza, topluluk şirketlerimize, kanunen yetkili kamu kurumları ve kuruluşlarına, tedarikçi ve iş ortaklarımıza, yurtdışı tüzel kişilik ortaklarımıza, depolama ve yedekleme yapılmak üzere bulut hizmeti alınan firmalara, hizmet alınan kişilere veya hizmet verilen üçüncü kişilere ve/veya yurtdışına, KVKK madde 8 ve madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.

4. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ESASLAR

4.1. Kişisel Verilerin Hukuka Uygun Olarak İşlenmesinin Sağlanması, Muhafazasının Sağlanması ve Kişisel Verilere Hukuka Aykırı Olarak Erişilmesinin Önlenmesi İçin Alınan Teknik ve İdari Tedbirler

4.1.1. Teknik Tedbirler

Şirketimizce kişisel verilerin hukuka uygun olarak işlenmesini sağlanması, muhafazasının sağlanması ve kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi için alınan başlıca teknik tedbirler şu şekildedir:

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

• Anahtar yönetimi uygulanmaktadır.

• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

• Çalışanlar için yetki matrisi oluşturulmuştur.

• Erişim logları düzenli olarak tutulmaktadır.

• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

• Güncel anti-virüs sistemleri kullanılmaktadır.

• Güvenlik duvarları kullanılmaktadır.

• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

• Kişisel veri güvenliğinin takibi yapılmaktadır.

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

• Kişisel veriler mümkün olduğunca azaltılmaktadır.

• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

• Mevcut risk ve tehditler belirlenmiştir.

• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve

• KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

• Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.

• Saldırı tespit ve önleme sistemleri kullanılmaktadır.

• Sızma testi uygulanmaktadır.

• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

• Veri kaybı önleme yazılımları kullanılmaktadır.

4.1.2. İdari Tedbirler

Şirketimizce kişisel verilerin hukuka uygun olarak işlenmesini sağlanması, muhafazasının sağlanması ve kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi için alınan başlıca idari tedbirler şu şekildedir:

• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

• Evrak gizlilik dereceli belge formatında gönderilmektedir.

• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

• Çalışanlarımız, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.

• Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelerle, talimatlarımız ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı artırılmaktadır.

• İş birimlerimiz esas alınarak belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulamaya geçilmektedir. Bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve eğitimler ile hayata geçirilmektedir.

• İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak şirketimizde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.

• Şirketimizce kişisel verilerin hukuka uygun olarak aktarıldığı üçüncü kişiler ile kurulan sözleşmelere, aktarılan kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerin alınacağına ve kendi kuruluşlarında da bu tedbirlere uyulmasının sağlanacağına ilişkin hükümler eklenmektedir.

4.2. Özel Nitelikli Kişisel Verilerin Korunması

Şirketimizce KVKK ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen kişisel veriler hassasiyetle korunmaktadır. Bu kapsamda Şirketimiz tarafından kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel verilerin korunması bakımından özenle uygulanmaktadır.

5. VERİ SAHİBİNİN VERİ SORUMLUSUNA BAŞVURUSU, İLETEBİLECEĞİ İLETİŞİM KANALLARIMIZ VE BAŞVURUNUN DEĞERLENDİRİLMESİ SÜREÇLERİ

5.1. Başvuru Konusu

Şirketimiz, kişisel veri sahiplerinin haklarına büyük önem ve değer vermekte ve bu haklarını kolaylıkla kullanmalarına imkan sağlamaktayız. Bu amaçla Şirketimizce Kişisel Veri Sahiplerinin taleplerini kolayca iletebileceği bir Veri Sorumlusuna Başvuru formu hazırlanıp internet sitemizde yayımlanmıştır.

Herkes, Şirketimize başvuruda bulunarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) KVKK 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

5.2. Başvuru Yöntemi ve Adresi

Yukarıda belirtilen hakların kullanılacağı iletişim kanallarımız ve yöntem www.benoplast.com internet adresimizde Veri Sorumlusuna Başvuru Formu adında yer almaktadır.

5.3. Başvuru Sonrası Süreç

Tarafımıza iletilen başvurular, talebin niteliğine göre talebin ulaştığı tarihten itibaren en geç 30 (otuz) gün içerisinde yanıtlandırılmaktadır. Yanıtlarımız, Veri Sorumlusuna Başvuru Formunda başvurucu tarafından belirtilen bildirim şekli esas alınarak gönderilmektedir.

5.4. Başvuru Ücreti

Başvurular kural olarak ücretsiz yapılmaktadır. Ancak kişisel veri sahibinin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirketimiz tarafından Kurulca belirlenen tarifedeki ücret alınacaktır.

6. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Şirketimiz, KVKK m. 10 düzenlemesine uygun olarak, kişisel veri sahiplerini kişisel verilerin elde edilmesi süreci ile ilgili olarak bu Politika ile internet sitemizde kolayca erişilebilir bir şekilde yer alan Aydınlatma Metni ile ve diğer metinler aracılığıyla aydınlatmaktır.

7. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Şirketimiz, ilgili mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre kadar saklamaktadır. Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve şirketin belirlediği saklama süresinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri esas alınır. Bu durumda kişisel verilere herhangi bir başka amaçla erişim yapılmamaktadır. Kişisel veriler söz konusu süreler sona erdikten sonra imha edilmektedir.

8. BİNA VE TESİSLERİMİZDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

8.1. Bina ve Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyet

Şirketimiz tarafından; müşterilerimizin, ziyaretçilerimizin, çalışanlarımızın, hizmet verdiğimiz kişilerin ve Şirketimizin güvenliğinin sağlanması ve suç işlenmesinin önlenmesi amacıyla hizmet gösterdiğimiz, bu hizmetleri yürüttüğümüz yer, bina ve tesis girişinde ve içerisinde yerleştirilen güvenlik kameraları ile giriş/çıkışların takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

8.2. Kamera ile İzleme Faaliyeti Hakkında Bilgilendirme Yapılması

Şirketimizce KVKK’ nın 10. maddesine uygun olarak Kişisel Veri Sahipleri aydınlatılmakta; böylelikle Kişisel Veri Sahiplerinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi ve şeffaflığın sağlanması amaçlanmaktadır. Kamera ile izleme faaliyetine yönelik olarak Şirketimiz internet sitesinde hem işbu Politika ile (çevrimiçi Politika), hem de izlemenin yapıldığı alanların girişlerinde izleme yapılacağına ilişkin bildirim yazısı ile aydınlatma yapmaktadır.

8.3. Çağrı Merkezi Hizmetleri İle Yürütülen Kişisel Veri İşleme Faaliyetleri

Çağrı merkezimiz ile iletişime geçmeni halinde kişisel verilerinizi, soru, talep, şikayet ve önerilerinizin alınması, değerlendirilmesi ve sonuçlandırılması ve müşteri memnuniyetinin sağlanması amacıyla işlemekteyiz.