KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
NATURA GIDA SANAYİ VE TİCARET A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası
1. BÖLÜM – GİRİŞ
1.1. GİRİŞ
1.2. POLİTİKANIN AMACI VE KAPSAMI
1.3. MEVZUATIN UYGULANMASI
2. BÖLÜM – KİŞİSEL VERİLERİN İŞLENMESİ
2.1. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
2.2.1. Genel Nitelikli Kişisel Verilerin İşlenmesi
2.2.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
3. BÖLÜM – KİŞİSEL VERİLERİN KORUNMASI
3.1. KİŞİSEL VERİLERİN GÜVENLİĞİ
3.1.1. Verilerin Hukuka Uygun İşlenmesi
3.1.2. Hukuka Aykırı Erişimin Engellenmesi
3.1.3. Kişisel Verilerin Güvenli Ortamda Saklanması
3.2. KANUN HÜKÜMLERİNİN UYGULANMASINA YÖNELİK DENETİM
3.3. KİŞİSEL VERİLERİN YETKİSİZ İFŞASI
4. BÖLÜM – KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK TEDBİRLER
5. BÖLÜM – KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI
6. BÖLÜM – KİŞİSEL VERİLERİN SAKLANMASI
6.1. ŞİRKETİN YASAL YÜKÜMLÜLÜKLERİ
6.2. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ ve ANONİMLEŞTİRİLMESİ
6.2.1. Kişisel Verilerin Silinmesi
6.2.2. Kişisel Verilerin Yok Edilmesi
6.2.3. Kişisel Verilerin Anonim Hale Getirilmesi
6.3. KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ
6.4. KİŞİSEL VERİ ENVANTERİ
7. BÖLÜM – KİŞİSEL VERİ SAHİBİNİN HAKLARI
7.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI ve HAKLARINI KULLANMA ŞARTLARI
7.2. KİŞİSEL VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ
7.3. KİŞİSEL VERİ SAHİBİNİN HAK İLERİ SÜREMEYECEĞİ HALLER
8. BÖLÜM – ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ
9. BÖLÜM – ŞİRKET TESİSLERİ İÇERİSİNDE ve İNTERNET SİTESİ ÜZERİNDEN YÜRÜTTÜĞÜ
KİŞİSEL VERİ İŞLEME FAALİYETLERİ
9.1. ŞİRKETİN BİNA TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME
FAALİYETİ
9.2. ŞİRKETİN BİNA TESİS GİRİŞLERİNE MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
9.3. ŞİRKETİN MİSAFİRLERİNE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN
SAKLANMASI VE İNTERNET SİTESİ ZİYARETÇİLERİ
10. BÖLÜM – YÜRÜRLÜK ve GÜNCELLENEBİLİRLİK
Ek- 1: TANIMLAR
EK-2: KISALTMALAR
1. BÖLÜM – GİRİŞ
1.1. GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir. Kişisel verilerin korunması Natura Gıda Sanayi ve Ticaret A.Ş.’nin (“Şirket”) en önemli öncelikleri arasındadır.
Özellikle kişilerin özel hayatına ve bilgilerine erişim hususunda azami ihtimam göstermek, bu konuda etkili ve caydırıcı önlemler almak; müşterilerimize, potansiyel müşterilerimize, ziyaretçilerimize, şirket yetkililerimize, iş birliği içinde olduğumuz taraf ve kurumların tamamına kısaca şirketimizle doğrudan veya dolaylı olarak bağlantılı olan ve verilerini işlediğimiz her bir kişiye karşı şeffaf olmak şirket veri politikamızın temelini oluşturmaktadır.
Şirketimiz işbu Politika ile kişisel verilerin işlenmesine yönelik kurallarımızı şeffaflık ve açıklık ilkeleri çerçevesinde belirlemekte ve hayata geçirmektedir.
1.2. POLİTİKANIN AMACI VE KAPSAMI
Bu politikanın temel amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere verileri işlenmiş olan kişilerin temel hak ve özgürlüklerinin korunması ve bu anlamda Şirketimizin yaptığı her faaliyetin burada belirtilen kurallara uygun olarak yürütülmesinin sağlanmasıdır. Bu politika hükümlerinin kapsamı doğrudan veya dolaylı olarak verilerini işlediğimiz kişilerin kişisel verileridir.
1.3. MEVZUATIN UYGULANMASI
Yürürlükte bulunan mevzuat ve politikamız arasında uyumsuzluk bulunması halinde yürürlükte
olan mevzuat öncelikli olarak uygulanacak olup bu temel politikanın dışında daha özel amaçlar
için aynı konuda oluşturulan başka politika veya düzenleme bulunması halinde öncelikle özel
hükümler içeren maddeler uygulanır. Diğer politika ve dokümanların bu politika ve ilgili
mevzuat ile çelişen hükümleri uygulanmaz.
2. BÖLÜM – KİŞİSEL VERİLERİN İŞLENMESİ
2.1. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
Kişilerin verileri işlenirken işlenme sürecinde veriler hukuka ve dürüstlük kurallarına uygun olarak elde edilmeli ve işlenmelidir. Şirketimiz verileri, hukuka ve dürüstlük kurallarına uygun bir şekilde azami hassasiyet ve kontrol ile işlemektedir.
İşlenen verilerin doğru ve güncel olması gerekmektedir. Şirketimiz işlenen verilerin doğruluğunu her işleme seviyesinde kontrol etmekte ve gerektiğinde güncel olması için gerekli hazırlıkları yapmaktadır.
Verilerin işlenmesi esnasında hangi verilerin işlendiği belirli, ne kadarlık bir kısmının işlendiği açık ve ne amaçla işlendiği belirli, hukuka uygun yani meşru olmalıdır. Şirketimiz, verileri, sadece meşru amaçlar için işlemekte ve bu işleme sırasında elde edilecek olan verilerin belirli olmasına özen göstermektedir. Şirketimiz elde edilen bilgilerin farklı amaçlar için kullanılmaması ve yanlış anlaşılmaya sebebiyet vermemesi adına, verileri, net ve açık bir şekilde işlemektedir.
Verilerin, işlenme amacına sadık, amaçla bağlantılı o amaçla sınırlı ve ölçülü bir şekilde kontrollü bir şekilde işlenmesi gerekir. Şirketimiz veri sahiplerinin verilerini yalnızca işlendikleri amaçla bağlı ve sınırlı olmak üzere ölçülü bir şekilde işlemektedir.
İşlenen kişisel verilerin ilgili mevzuattaki süreye veya ilgili amaçta belirtilen süreye uygun olarak saklanması gerekir. Bu kapsamda şirketimiz, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak kişisel verileri muhafaza etmektedir. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, şirketimiz kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Böylece veri sahiplerinin güvenlikleri azami seviyede
sağlanmaktadır. (Ayrıntılı bilgi için Bölüm 6.4). İşbu politika ve ilgili bütün mevzuat hükümlerine uygun olarak veri işleyen sıfatını taşıyan çalışanlarımız kişisel verilerle ilgili sınırsız süreli sır saklama yükümlülüğü altındadır.
2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
2.2.1. Genel Nitelikli Kişisel Verilerin İşlenmesi
Şirketimiz tarafından işlenen ve özel nitelikli veri kategorisine girmeyen her türlü kişisel veri genel nitelikli kişisel veri kategorisindedir.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
e) İlgili kişinin kendisi tarafından alenileştirilmiş olması
f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
2.2.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Şirketimiz özel sağlık problemlerinin kayıtlarının tutulması hususunda özel nitelikli verileri işleyip, saklarken ilgili veri sahiplerinin açık rızalarını almaktadır.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kişisel Verilerin Korunması Kurulu tarafından belirlenen yeterli önlemlerin alınması şarttır.
3. BÖLÜM – KİŞİSEL VERİLERİN KORUNMASI
3.1. KİŞİSEL VERİLERİN GÜVENLİĞİ
Şirketimiz, Kişisel Verilerin Korunması Kanunu’nun 12. maddesi gereğince, Veri Sorumlusu sıfatı ile;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre her türlü teknik ve idari tedbirler alınmaktadır. Veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel veriler, bu kanun hükümlerine aykırı olarak başkalarına açıklanamaz ve işleme amacı dışında kullanılamaz.
Teknik konularla ilgili şirket personeline gerekli eğitim verilmiştir; bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir. Böylece şirket bünyesinde bilgili personel istihdamı sağlanmaktadır. Şirketimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık şirketimiz bu konuda koordineli olarak çalışmaktadır.
3.1.1. Verilerin Hukuka Uygun İşlenmesi
Şirketimizce kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik ve
idari tedbirler şöyledir:
• Şirketimiz bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri teknik sistemlerle
denetlenmekte ve ilgili kişilere raporlandırılmaktadır.
• Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri ile bu
faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel veri işleme şartlarına uygunluğunun
sağlanması için yerine getirilecek olan gereklilikler her bir departman ve ilgili birimin
yürütmüş olduğu faaliyet özelinde belirlenmektedir.
• Hukuka uygunluğun sağlanması ve ilgili departmanlar için hazırlanan prosedüre
uyulması, devamlılığı ve denetimi; idari tedbirler, şirket içi politikalar ve eğitimler
yoluyla hayata geçirilmektedir.
3.1.2. Hukuka Aykırı Erişimin Engellenmesi
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini,
aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin
niteliğine göre teknik ve idari tedbirler almaktadır.
Şirketimizce kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik ve idari
tedbirler şöyledir:
• Erişim ve yetkilendirme teknik çözümleri ile alınan teknik önlemler periyodik olarak
raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik
çözüm üretilmektedir. Loglama, virüs koruma sistemleri ve güvenlik duvarlarını içeren
yazılımlar ve donanımlar kurulmaktadır.
• Teknik konularda bilgili personel istihdam edilmektedir.
• İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak şirket içinde kişisel verilere
erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
• Çalışanlar, öğrendikleri kişisel verileri, Kişisel Verileri Koruma Kanunu hükümlerine ve
sair ilgili tüm mevzuata aykırı olarak başkasına açıklayamayacağı ve işleme amacı
dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da
6
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli
taahhütler alınmaktadır.
• Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile
akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması
amacıyla gerekli güvenlik tedbirlerini alacağına ilişkin hükümleri eklenmekte ve/veya
karşılıklı mutabakat metinleri imzalanmaktadır.
3.1.3. Kişisel Verilerin Güvenli Ortamda Saklanması
Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok
edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli teknik ve idari tedbirleri
almaktadır. Şirketimizce kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca
teknik ve idari tedbirler şöyledir:
• Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun
sistemler kullanılmaktadır.
• Teknik konularda uzman personel istihdam edilmektedir.
• Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik
önlemler ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek
gerekli teknolojik çözüm üretilmektedir.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir
biçimde yedekleme programları kullanılmaktadır.
• Dijital olmayan veriler kilitli dolaplarda tutulmak suretiyle sadece yetkilendirilmiş
kişiler tarafından erişilebilecektir.
3.2. KANUN HÜKÜMLERİNİN UYGULANMASINA YÖNELİK DENETİM
Kişisel Verileri Koruma Kanunu’nun 12. maddesinin 3. fıkrası gereğince Veri Sorumlusu, kendi
kurum veya kuruluşunda, bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli
denetimleri yapmak veya yaptırmak zorundadır.
Şirketimiz ve anlaşmalı hukuki danışmanlık şirketimiz yukarıda açıklanan veri güvenliğinin tesisi
ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar
ve/veya yaptırır. Bu denetim sonuçları şirketimizin iç işleyişi kapsamında konu ile ilgili
departman veya yönetime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli
faaliyetler Kişisel Verileri Koruma Kanunu ve sair mevzuat ve işbu şirket politikasına uygun
şekilde yürütülmektedir.
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak
erişilmesini önlemeye ve verilerin korunmasını sağlamaya yönelik farkındalığın artırılması için
iş birimlerine gerekli eğitimlerin düzenlenmesini yürütülen eğitimler, seminerler ve oturumlar
aracılığı ile sağlamaktadır. Şirketimiz, ilgili mevzuatın güncellenmesine paralel olarak
eğitimlerini güncellemekte ve yenilemektedir. Kişisel verilerin korunması konusunda
farkındalığın oluşması için gerekli sistemler kurulmakta, konuya ilişkin denetimleri şirketimizin
ilgili departmanı ve anlaşmalı hukuki danışmanlık şirketimiz yapmaktadır.
Kişisel verilerin korunması ve işlenmesi konusunda farkındalığın artırılmasına yönelik yürütülen
eğitim sonuçları şirketimize raporlanmakta olup söz konusu eğitimlere katılım şirketimiz
tarafından zorunlu tutulmakta ve kontrol edilmektedir.
7
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
3.3. KİŞİSEL VERİLERİN YETKİSİZ İFŞASI
Kişisel verilerin yetkisiz ifşasına ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135
ila 140. madde hükümleri ve ilgili bütün mevzuat uygulanır. İlgili bütün mevzuatın hükümleri
şirketimizce çalışanlara ve ilgili kişilere bildirilir. Hukuka aykırı olarak kişisel verileri kaydeden,
kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren, kanunların
belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmeyen ve Kişisel Verileri
Koruma Kanunu’nun 7. Maddesi 3 hükmüne aykırı olarak; kişisel verilerin saklanmasını veya
işlenmesini meşru kılan sebepler ortadan kalkmasına rağmen kişisel verileri silmeyen veya
anonim hâle getirmeyen gerçek kişiler, Türk Ceza Kanunu’nun 138. maddesine göre hapis
cezası ile cezalandırılır. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle
getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Türk Ceza Kanunu’nda yapılan düzenlemelere göre kişisel verileri hukuka aykırı olarak bir
başkasına veren, bu verileri hukuka aykırı olarak yayan veya ele geçiren kişi, iki yıldan dört yıla
kadar hapis cezası ile cezalandırılmakla birlikte belli bir meslek ve sanatın sağladığı kolaylıktan
yararlanmak suretiyle bu suçu işleyen kişi cezanın nitelikli halinden cezalandırılır. Kişisel veriyi
işleme yetkisi olmadan verileri görüntüleme, elde etme veya hack suçunu işleyen şirket
çalışanı, gecikmeksizin kişisel veri sahibine, savcılık ve ilgili makamlara bildirilecek ve hakkında
gerekli işlemler yürütülecek ve suçun nitelikli halinden cezalandırılacaktır.
Kişisel Verileri Koruma Kanunu’nda Kabahatler başlığı altında düzenlenen hüküm gereğince
aydınlatma yükümlülüğünü veya veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler,
Kurul tarafından verilen kararları yerine getirmeyenler veya Veri Sorumluları Siciline kayıt ve
bildirim yükümlülüğüne aykırı hareket edenler hakkında da idari para cezaları uygulanır.
4. BÖLÜM – KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK TEDBİRLER
Şirketimiz Kişisel Verilerin Korunması ile İşlenmesi Politikası’nın yürürlüğünü sağlamak için bir
yönetim yapısı oluşturmaktadır.
Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere
komite kurulmaktadır. Komitenin görevleri aşağıda belirtilmektedir:
• Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve gerekli olması halinde
bu politikalar üzerinde yapılacak değişiklikleri hazırlamak
• Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve uygulama
takibinin ne şekilde yerine getirileceğine karar vermek
• Şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak
• Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması
gereken hususları tespit etmek ve bu hususların uygulanmasını sağlamak
• Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş birliği
yaptığı kurumlar nezdinde farkındalık yaratmak ve bu kapsamda eğitimler düzenlemek
• Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli
önlemlerin alınmasını temin etmek
• Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak
• Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek ve
gerekli aksiyonları almak
Komite, bu görevlerin dışında üst yönetimin vereceği diğer görevleri de yerine getirir. Komite
tüm faaliyetlerini üst yönetimin onayı ile gerçekleştirmektedir.
8
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
Şirketimiz, anlaşmalı hukuki danışmanlık şirketi ve Kişisel Verilerin Korunması Kurulu ile
kurulacak iletişim için bir İrtibat Kişisi belirlemek ve sicile kayıt esnasında bildirmekle
yükümlüdür. İrtibat kişisi/leri şirketimiz bünyesinde bu işi yapmakla görevlendirilmiş
departmanın/ların üyesi olan gerçek kişidir.
Şirketimiz, Veri Sorumluları Sicili Yönetmeliğine göre irtibat kişisinin fonksiyonunu, iletişim
noktası olarak, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak
cevaplandırılmasını sağlamak olarak sınırlandırmıştır. Bu yolla kişisel verileri işlenen veri
sahiplerinin sorunlarına veya sorularına en hızlı ve açıklayıcı bir biçimde cevap verilmesi
amaçlanmıştır fakat irtibat görevlisi hukuki açıdan veri sorumlusunu temsile yetkili değildir. Bu
sebeple bilgi vermek haricinde, şirket ile veri sahibinin veya irtibat sorumlusu ile iletişime geçen
ilgilinin sorularını hukuka uygun bir biçimde cevaplamak ve şirketimizi bu hususta
bilgilendirmek haricinde bir görevi veya yetkisi bulunmamaktadır. Şirketimiz irtibat kişisi
tarafından bilgilendirildiği anda yine şirketimiz tarafından görevlendirilmiş yetkili departman
veya kurum tarafından en kısa sürede sorunla ilgili işlemler yapılacak ve gereken prosedür
yürütülecektir. Bu işlemler sırasında kişisel veri sahibi veya ilgili kişi bütün bu işlemler ve
prosedürler ile ilgili bilgilendirilecek ve gerekirse şirketimiz yetkili departmanı veya kurumu
tarafından kişisel veri sahibi veya ilgili kişilerle görüşmeler yürütülecektir.
5. BÖLÜM – KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını
kişisel veri sahibine bildirmektedir.
Şirketimiz, KVKK Kanunu’nun 8. ve 9. maddelerine uygun olarak politika ile yönetilen veri
sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir: Şirketin;
• İş ortaklarına
• Tedarikçilerine
• Topluluk şirketlerine
• Hissedarlarına
• Yetkililerine
• Hukuken yetkili kamu kurum ve kuruluşlarına
• Hukuken yetkili özel hukuk kişilerine aktarımda bulunulan yukarıda belirtilen kişilerin
kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir:
Kategori Tanım Veri Aktarım Amacı
Topluluk
Şirketleri
Şirketimize bağlı iş
ortaklıklarını tanımlar. İş
ortaklarımız ek kısmında
açıklanmıştır.
Şirketlerin katılımını gerektiren her türlü ticari ve
organizasyonel tedbirin yürütülmesini sağlamak
Hissedarlar Şirketin hissedarı olan gerçek
kişiler
İlgili mevzuat hükümlerine göre hukuk, etkinlik
yönetimi ve kurumsal iletişim süreçleri kapsamındaki
faaliyetlerin yürütülmesi amacıyla ve bu faaliyetlerle
sınırlı olmak üzere
Şirket Yetkilileri Şirket Yönetim Kurulu Üyeleri
ve diğer yetkili gerçek kişiler
İlgili mevzuat hükümlerine göre şirketin ticari
faaliyetlerine ilişkin stratejilerin tasarlanması, en üst
düzeyde yönetimin sağlanması ve denetim
amaçlarıyla sınırlı olarak
Hukuken Yetkili
Kamu Kurum
ve Kuruluşları
İlgili mevzuat hükümlerine
göre şirketten bilgi ve belge
almaya yetkili kamu kurum
ve kuruluşları
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi
dahilinde talep ettiği amaçla sınırlı olarak
Hukuken Yetkili
Özel Hukuk
Kişileri
İlgili mevzuat hükümlerine
göre şirketten bilgi ve belge
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde
talep ettiği amaçla sınırlı olarak
9
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
almaya yetkili özel hukuk
kişileri
Tedarikçiler
Şirketin ticari faaliyetlerini
yürütürken şirketin emir ve
talimatlarına uygun olarak
şirkete sözleşme temelli
hizmet sunan taraflar
Şirketin tedarikçiden temin ettiği ve şirketin ticari ve
organizasyonel faaliyetlerini yerine getirmek için
gerekli hizmetlerin sunulması amacıyla
6. BÖLÜM – KİŞİSEL VERİLERİN SAKLANMASI
6.1. ŞİRKETİN YASAL YÜKÜMLÜLÜKLERİ
Şirketimiz, 6698 sayılı Kişisel Verilerin Korunması Kanunu Madde 7 ve 5237 sayılı Türk Ceza
Kanunu Madde 138’deki açıklamalara uygun olarak işlenmiş ve akabinde işleme ve saklama
amacı ortadan kalkmış kişisel verileri, Türk Ticaret Kanunu’ndan kaynaklanan haklara, ilgili tüm
mevzuat hükümlerinin vermiş olduğu haklara ve işbu politikada belirlenen esaslara (Bkz. bölüm
2.2.1 (f) ve (g)) istinaden vereceği karar ile veya şirketimizin ticari hayatındaki menfaatlerini
zarar getirmeyecek şekilde veri sahibinin açık talebiyle, Kişisel Verilerin Korunması Kanunu
Madde 7 de belirtildiği gibi siler veya yok eder veya anonimleştirir.
6.2. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ ve ANONİMLEŞTİRİLMESİ
6.2.1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, yönetmeliğin 8.maddesinde ‘’kişisel verilerin ilgili kullanıcılar için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’ şeklinde
tanımlanmıştır. Kişisel veriler aşağıdaki yöntemlerle silinebilir:
Hizmet Olarak Uygulama Türü Bulut Çözümleri
Bulut sistemindeki veriler silme komutu verilerek silinir. Anılan işlem gerçekleşirken ilgili
kullanıcı bulut sistemi üzerinde silinmiş verileri geri getirme yetkisine sahip değildir.
Kağıt Ortamında Bulunan Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma yöntemi,
ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan
durumlarda ise geri döndürülmeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit
mürekkep kullanılarak ilgili kullanıcıların görünemez hale getirilmesi şeklinde yapılır.
Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu
dizin üzerinde ilgili kullanıcının erişim hakları kaldırılır.
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun
yazılımlar kullanılarak silinir.
Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinir. Anılan işlemi
gerçekleştiren ilgili kişi veri tabanı yöneticisi değildir.
10
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
6.2.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, yönetmeliğin 9.maddesinde ‘’kişisel verilerin hiç kimse
tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
işlemidir.’’ şeklinde tanımlanmıştır. Kişisel veriler aşağıdaki yöntemlerle yok edilebilir:
Fiziksel Olarak Yok Etme
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan
kullanılmayacak biçimde fiziksel olarak yok edilmesi uygulanmaktadır.
De-manyetize Etme
Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz
bırakılması ile üzerindeki verilerin anlaşılamaz ve okunamaz bir hale getirilme işlemidir.
Kağıt Ortamları
Bu ortamdaki yok etme işlemleri kağıtların imha ve kırpma makineleri ile anlaşılmaz boyutlara
getirilerek yok edilmesi yöntemidir.
6.2.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, yönetmeliğin 10.maddesinde ‘’kişisel verilerin başka
verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesidir. ’’şeklinde tanımlanmıştır. Kişisel veriler aşağıdaki
yöntemler ile anonim hale getirilebilir:
Maskeleme Yöntemi (Masking)
Verileri işlenen veri sahiplerinin belirgin sıfatlarının veya özelliklerinin çıkarılarak veya silinerek
sağlanan bir anonim hale getirme yöntemidir.
Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan TC Kimlik No vb. bilgilerin çıkarılması
yoluyla veri sahibinin tanınmasının engellenmesi
Veri Karma Yöntemi (Data Shuffling Permutation)
Bu yöntemle sistem içerisinde verileri olan veri sahiplerinin bilgilerinin bir kısmının yerini
değiştirerek verileri anonim hale getirmek amaçlanmaktadır.
Örnek: Çalışan bilgilerinde ana kategori olarak değerlendirilen verilerin yanında alt değerli
bilgilerin yer değiştirilmesi suretiyle kişisel veri sahibinin tanınmamasının sağlanması
Veri Türetme Yöntemi (Data Derivation)
Sistem içerisinde yer alan verilerde bulunan değişkenlerde belli ölçülerde ekleme veya çıkarma
yapılarak bilgilerin tespit edilemeyecek veya tanımlanamayacak hale gelmesi sağlanır.
Örnek: Verisi işlenen kişisel veri sahibinin ikametgahının detaylı açıklanmasının yerine yaşadığı
mahelle veya ilçenin belirtilmesi
Toplulaştırma Yöntemi (Aggregation)
İlgili kişisel veriyi özel bir değerden genel bir değere çevirme yöntemidir. Bu yöntemle veriler
genelleştirilmekte ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale
getirilmektedir. Örnek: Çalışanların yaşadığı mahallelerin tek tek sayılması yerine X
mahallesinde Y kadar çalışanın yaşadığının belirtilmesi
11
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
Yukarıda açıklanan anonimleştirme yöntemlerinden bir veya birkaçı, ilgili bütün mevzuat ve
şirketimizin iş hayatındaki menfaatleri doğrultusunda, şirket tarafından işbu politikanın
yürürlüğünü sağlamak için oluşturulan komite tarafından seçilecektir. Komite ile ilgili ayrıntılı
bilgiler daha önceki bölümde açıklanmıştır. (Bkz. Bölüm 4)
Seçilecek anonim hale getirme yöntemi, komite tarafından aşağıda sayılan hususlar dikkate
alınarak belirlenecektir:
• Verinin niteliği
• Verinin büyüklüğü
• Verinin fiziki ortamlarda bulunma yapısı
• Verinin çeşitliliği
• Verinin işlenme amacı
Anonim Hale Getirme işlemi işbu politikanın saklama süreleri ve kişisel veri envanteri
bölümlerinde belirtilen esaslara paralel olarak gerçekleştirecektir.
6.3. KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ
Şirketimiz, ilgili tüm mevzuatta belirlenen sürelere uygun olarak, veri envanterinde kişisel
verileri saklamaktadır.
Bu sürelere ilişkin ilgili mevzuatta belirlenen herhangi bir sürenin bulunmaması durumunda
Şirketimiz, bulunduğu sektörden kaynaklanan teamüller ve kanun ve mevzuata uygun olmak
şartıyla şirketimizin menfaatlerine uygun olarak belirlediği süreler içerisinde kişisel verileri
saklamaktadır, saklama işlemine gerek kalmadığı durumlarda veriler, yukarıda açıklanan
şekillerde silinir veya yok edilir veya anonimleştirilir.
Kişisel verilerin işleme ve saklama amacı ortadan kalkmış ve kişisel verilere ilişkin ilgili bütün
mevzuatta ve şirketimiz tarafından işbu politikada belirlenen esaslara (Bkz. Bölüm 2.2.1 (f) ve
(g)) istinaden belirlenen süreler geçmiş ise ileride doğabilecek her türlü hukuki uyuşmazlıklarda
kullanılmak amacıyla da kişisel veriler saklanabilmektedir. Bu kısımda belirtilen kişisel veriler
sadece hukuki uyuşmazlıklarda kullanılmak üzere saklanır ve başka herhangi bir amaç için
kullanılamaz. Yukarıdaki açıklamalar doğrultusunda şirketimiz tarafından, öngörülebilecek
bütün önlem ve tedbirler alınmaktadır.
Örneğin, İşyerinden ayrılan çalışan aleyhine, sözleşmenin haksız feshedilmesinden kaynaklı
açılacak davada yetkili mahkemenin belirlenmesi amacıyla çalışanın yerleşim bölgesinin
tespitinin yapılması için veri sisteminde bulunan bilgilerin kullanılması bu kapsamda
değerlendirilebilir. (Yukarıdaki açıklamaların kapsamı verilen örnek ile sınırlı değildir.)
6.4. KİŞİSEL VERİ ENVANTERİ
Kişisel Veri Envanteri, KVKK ve Veri Sorumluları Sicili Hakkında Yönetmelik’e uygun olarak
şirketimiz bünyesinde bulunan her departmanda ayrı ayrı işlenen verilerin toplandığı ve
yukarıda açıklandığı şekilde silme, yok etme, anonimleştirme işleminin mevzuata ve şirket
politikasına uygun olarak gerçekleştirildiği ve gerektiğinde KVK Kurumuna ibraz edilebilen
datayı (MS Word, Excel vs.) ifade etmektedir.
Yönetmelikteki tanıma göre bir kişisel veri envanterinde bulunması gerekenler aşağıda
sıralanmıştır:
12
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
• Kişisel veri işleme amaçları
• Veri kategorisi
• Aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirilerek oluşturulan ve kişisel
verilerin işlenmesi için gerekli olan azami süreler
• Yabancı ülkelere aktarımı öngörülen kişisel süreler
• Veri güvenliğine ilişkin alınan tedbirler
Yukarıda belirtilen kriterler göz önüne alınarak kişisel verilerle ilgili olarak bu verilerle yapılacak
işlemlere ilişkin bilgiler ilgili envanterde toplanacaktır. Envanter içeriği, şirketimizin kanuna ve
mevzuata uygun olarak kendi menfaatleri doğrultusunda MS Word, Excel gibi dijital ortamlarda
saklanabileceği gibi dijital ortamlarda saklanması mümkün olmayan içerik kağıt ortamlarında
da saklanabilmektedir.
Bölüm 6‘da açıklanan kişisel verileri silme, yok etme, anonimleştirme işlemleri şirketimiz
tarafından veya şirketimizin yetki verdiği bir görevli tarafından kişisel veri envanterinde
gerçekleştirilir.
Kişisel Veri Envanteri’nin hazırlanış usulüne ilişkin ilgili mevzuatta hüküm varsa kişisel veri
envanteri şirketimiz tarafından bu hükümler doğrultusunda hazırlanacaktır. Kişisel Veri
Envanteri’nin hazırlanış usulüne ilişkin ilgili mevzuatta hüküm olmadığı durumlarda şirketimiz,
kendi iç çalışma disiplini ve iç çalışma süreçlerini de dikkate alarak kişisel veri envanterini
hazırlama hususunda hangi usulü seçeceği konusunda serbesttir.
7. BÖLÜM – KİŞİSEL VERİ SAHİBİNİN HAKLARI
7.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI ve HAKLARINI KULLANMA ŞARTLARI
Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine
gereken bilgilendirmenin yapılması için Kişisel Verileri Koruma Kanunu’nun 13. maddesine
uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak şirketimize
iletmeleri durumunda şirketimiz talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz
olarak sonuçlandırmaktadır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi
hâlinde, şirketimiz tarafından başvuru sahibinden Kişisel Verileri Koruma Kurulunca belirlenen
tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
• Kişisel veri işlenip işlenmediğini öğrenme
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini
isteme
• Kişisel Verileri Koruma Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel
verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel
verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
13
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme haklarına sahiptir.
Kişisel Verileri Koruma Kanunu’nun 13. maddesi gereğince, kişisel veri sahiplerinin yukarıda
belirtilen haklarını kullanmakla ilgili taleplerini “yazılı” veya Kişisel Verilerin Korunması
Kurulu’nun belirlediği diğer yöntemlerle Şirketimize iletmeleri gerekmektedir.
Kişisel Verilere Erişim Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerine erişim hakkı bulunmaktadır. Şirketin
menfaati ve veriyi tutmasında meşru hakkı Kişisel Verileri Koruma Kanunu ve ilgili mevzuat
kapsamında korunur; değiştirme ve silme hakkı gözetilir. Şirketimiz ilgili kişiye;
• Kişisel verilerinin işlenip işlenmediğini öğrenme
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme isteğinde
bulunma hakkı olduğu bilgisini vermektedir.
Kişisel Verilerini Değiştirme veya Sildirme Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerini değiştirme veya sildirme hakkı
bulunmaktadır. Bu kapsamda ilgili kişinin;
• Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme
• Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel
verilerin silinmesini veya yok edilmesini isteme
• Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerinin
aktarıldığı üçüncü kişilere bildirilmesini isteme ve
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
aleyhe bir sonuç ortaya çıkmasına itiraz etme hakkı bulunmaktadır.
Kişisel Verileri Koruma Kanunu uyarınca kişisel verilerin doğru ve gerektiğinde güncel
olmasını sağlama yükümlülüğü bulunmaktadır, bu sebeple kişisel verilerin doğru ve güncel
tutulması açısından ilgili tarafından şirketimize mevcut durum değişikliklerinin bildirilmesi
gerekir. Veri değişikliği ilgili kişi tarafından yazılı olarak şirketimize bildirilmediği taktirde
verinin güncellenmemesi nedeniyle ortaya çıkan ya da çıkabilecek herhangi bir zarar ve
yaptırımdan şirketimiz sorumlu değildir.
7.2. KİŞİSEL VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ
Kişisel Verileri Koruma Kanunu’nun 12. maddesi gereğince veri sorumlusu;
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
14
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
Şirketimiz, ilgili kanun maddesi gereğince kişisel verilerin kendi adına başka bir gerçek veya
tüzel kişi tarafından işlenmesi halinde birinci fıkrada belirtilen tedbirlerin alınması hususunda
bu kişilerle birlikte müştereken ve müteselsilen sorumludur. Şirketimiz kendi kurum veya
kuruluşunda bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri
yapmaktadır.
Şirket tarafından işbu hüküm tüm sözleşme, taahhüt – mutabakat metinlerine eklenerek işbu
politikanın 5. Bölümünde veri aktarımı yapabilecek kişiler ile paylaşılmıştır; fiili imkansızlık
sebebiyle ya da hayatın olağan akışına uygun olmaması nedeniyle sözleşme veya mutabakat
metni oluşturulamayan hallerde ise naturagida.com.tr internet sitesinden işbu politika
kamuya açık hale getirildiğinden görülebilir.
7.3. KİŞİSEL VERİ SAHİBİNİN HAK İLERİ SÜREMEYECEĞİ HALLER
Kişisel veri sahipleri, Kişisel Verileri Koruma Kanunu’nun 28. Maddesi gereğince aşağıdaki haller
ilgili kanun kapsamı dışında tutulduğundan, kişisel veri sahipleri bu konularda aşağıda sayılan
haklarını ileri süremezler:
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama
ve istatistik gibi amaçlarla işlenmesi
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç
teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya
ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu
kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi ve
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak
yargı makamları veya infaz mercileri tarafından işlenmesi
Kişisel Verileri Koruma Kanunu’nun 28. Maddesi gereğince; aşağıda sıralanan hallerde kişisel
veri sahipleri zararın giderilmesini talep etme hakkı hariç diğer haklarını ileri süremezler:
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması
• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme
veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması
için gerekli olması
8. BÖLÜM – ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ
Çalışan adaylarının işe alım sürecinde toplanan kişisel verileri ile işin niteliğine göre toplanan özel
nitelikli kişisel verileri, Şirket tarafından; belirtilen ve aşağıda sıralanan amaçlarla işlenmektedir:
• Çalışan adayının niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu
değerlendirmek
15
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
• Gerektiği takdirde, Çalışan adayının ilettiği bilgilerin doğruluğunun kontrolünü yapmak
veya üçüncü kişilerle iletişime geçip Çalışan adayı hakkında araştırma yapmak
• Başvuru ve işe alım süreci hakkında Çalışan adayı ile iletişime geçmek veya uygun
olduğu takdirde, sonradan yurtiçinde veya yurtdışında açılan herhangi bir pozisyon için
aday ile iletişime geçmek
• İlgili mevzuatın gereklerini ya da yetkili kurum veya kuruluşların taleplerini karşılamak
• Şirketimizin uyguladığı işe alım ilkelerini geliştirmek ve iyileştirmek
Çalışan adaylarının kişisel verileri aşağıdaki yöntem ve vasıtalarla toplanabilmektedir:
• Yazılı veya elektronik ortamda yayınlanan dijital başvuru formu
• Çalışan adaylarının Şirkete e-posta, kargo, referans ve benzeri yöntemlerle
ulaştırdıkları özgeçmişler
• İstihdam veya danışmanlık şirketleri; Çalışan adayları da veri sahibi olmalarından
kaynaklanan hakları ile ilgili taleplerini açıklanan yöntemle iletebileceklerdir.
• Video konferans, telefon gibi araçlarla veya yüz yüze mülakatlar
• Çalışan adayı tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan
kontroller ile şirket tarafından yapılan araştırmalar
• Tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve
kişilik özelliklerini tespit eden işe alım testleri
9. BÖLÜM – ŞİRKET TESİSLERİ İÇERİSİNDE ve İNTERNET SİTESİ ÜZERİNDEN YÜRÜTTÜĞÜ
KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Şirket tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme
faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde
yürütülmektedir.
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik
kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme
faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla
Şirket tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
9.1. ŞİRKETİN BİNA TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME
FAALİYETİ
Bu bölümde Şirketin kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve kişisel
verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya alındığına ilişkin
bilgilendirme yapılacaktır. Şirket, güvenlik kamerası ile izleme faaliyeti kapsamında;
şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi
amaçlar taşımaktadır.
Şirket tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair
Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
16
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK
Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirket, bina ve
tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta
öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun
olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
Şirket tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi
aydınlatılmaktadır. Şirket, genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera ile
izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle,
kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi,
şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
Şirket tarafından kamera ile izleme faaliyetine yönelik olarak; Şirket internet sitesinde
işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldığı
alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde
aydınlatma).
Şirket, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla
bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu
Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme
alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve
bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik
amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin tuvaletlerde)
izlemeye tabi tutulmamaktadır.
Şirket tarafından KVK Kanunu’nun 12. Maddesine uygun olarak, kamera ile izleme
faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik
ve idari tedbirler alınmaktadır.
Şirketin, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili
ayrıntılı bilgiye bu Politika’nın Kişisel Verileri Saklama Süreleri isimli 6.3 maddesinde yer
verilmiştir.
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara
yalnızca sınırlı sayıda şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı
sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan
etmektedir.
9.2. ŞİRKETİN BİNA TESİS GİRİŞLERİNE MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
Şirket tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, şirket
binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme
faaliyetinde bulunulmaktadır.
17
İşbu belge Natura Gıda Sanayi ve Ticaret A.Ş. ‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
Misafir olarak şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da şirket
nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla
söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış
takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel
veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
9.3. ŞİRKETİN MİSAFİRLERİNE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN
SAKLANMASI VE İNTERNET SİTESİ ZİYARETÇİLERİ
Şirketimiz tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; misafirlerin tesislerimiz içerisinde kaldığı süre boyunca internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınabilmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirketimiz çalışanlarının erişimi bulunmaktadır. Bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek ve/veya hukuki haklarımızın korunması ve Şirketimizin savunma haklarının tesisi amacıyla işlenmekte ve üçüncü kişilerle paylaşılmaktadır.
Şirket, sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. cookie gibi) site içerisindeki internet hareketleri kaydedilmektedir.
Şirketin yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar, ilgili internet sitelerinin “Şirketin İnternet Sitesi Gizlilik Politikası” metinleri içerisinde yer almaktadır.
10. BÖLÜM – YÜRÜRLÜK ve GÜNCELLENEBİLİRLİK
İşbu Politika, Şirket tarafından 31.07.2020 tarihinde düzenlenerek yürürlüğe girmiştir. Politika’nın tamamında veya bir kısmında güncelleme yapılabilir. Politika, Şirketin naturagida.com internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
Ek- 1: TANIMLAR |
|
---|---|
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veriyi belirtir. |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri belirtir. |
Kurum |
Kişisel Verileri Korumu Kurumu’nu belirtir. |
EK-2: KISALTMALAR | |
---|---|
KVKK |
Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu |
KVKK Madde 7 |
(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. |
TCK |
12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan, 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu |
TCK Madde 138 |
(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. |
Yönetmelik |
28 Ekim 2017 Cumartesi Resmi Gazete’de yayımlanan 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |