Coşkun Hazır Giyim Anonim Şirketi (“SÜVARİ”) olarak kişisel verilerin güvenliği hususuna hassasiyet göstermekte olup ürün ve hizmetlerimizden faydalanan müşterilerimiz ve iş bağlantılarımız dâhil olmak üzere, Şirketimiz ile ilişkili tüm şahıslara ait her türlü kişisel verinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olarak işlenmesi ve saklanması önceliklerimizdendir.
İşbu “Kişisel Verileri Saklama ve İmha Politikası” (“Politika”) ile SÜVARİ tarafından kişisel verilerin korunması,saklanması ve imhasında benimsenen temel ilke ve prensipler düzenlenmekte ve Şirket politikası olarak uygulamaya alınarak sürdürülebilir hale getirilmektedir.
Bu Politikanın amacı, SÜVARİ tarafından işbu Politika’nın dayanağı olan yasal mevzuata uygun bir biçimde yürütülen kişisel verilerin işlenmesi, korunması, saklanması ile işlenen kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesine ilişkin usul ve esasları belirlemek ve verileri SÜVARİ tarafından işlenen gerçek kişileri bu hususta bilgilendirmektir.
Bu Politika; müşterilerimizin, mal ve hizmet tedarikçilerimizin, çalışanlarımızın, çalışan adaylarımızın, çalışanların aile üyelerinin, şirket yetkililerimizin, hissedarlarımızın, ziyaretçilerimizin, ticari faaliyetlerimiz esnasında işbirliği içerisinde bulunduğumuz ve destek aldığımız iş bağlantılarımızın (finansal kuruluşlar ve benzeri iş ilişkisinde bulunduğumuz kurumların yetkili, hissedar ve çalışanlarının), ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Bu kapsamda yukarda belirtilen kişisel veri sahipleri gruplarına, işbu Politika’nın tamamı uygulanabileceği gibi,sadece birtakım hükümleri de uygulanabilecektir.
Bu Politika 6698 sayılı Kişisel Verilerin Korunması Kanunu, 30286 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik dayanak alınarak hazırlanmıştır.
Kişisel verilerin işlenmesi, korunması ve imhası konusunda yürürlükte bulunan ilgili düzenlemeler öncelikle uygulama alanı bulacaktır. Mevzuat ile Politika arasında uyumsuzluk bulunması halinde ise SÜVARİ yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
SÜVARİ tarafından düzenlenen bu Politika, SÜVARİ web sitesinde yayınlanarak 31.12.2020 tarihinde yürürlüğe girmiştir. Politika, yasal değişiklikler, SÜVARİ’nin kişisel verileri işleme süreçlerinde meydana gelecek değişiklikler veya sair sebeplerle zaman zaman güncellenebilir.
Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Politika Şirketimizin internet sitesinde (https://www.suvari.com.tr/) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
Bu Politika’nın uygulanmasında kullanılan tanımlar aşağıda yer almaktadır:
“Açık Rıza” | Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza |
“Alıcı Grubu” | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
“Anonim Hale Getirme” | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
“Çalışan (lar)” | SÜVARİ ile İş Kanunu uyarınca iş ilişkisinde bulunan işçiler |
“İlgili Kullanıcı” | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere SÜVARİ organizasyonu içerisinde veya SÜVARİ’den aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
“İmha” | Kişisel verilerin geri getirilemeyecek bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi |
“Kayıt Ortamı” | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı |
“Kişisel Veri” | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
“İlgili Kişi” | Kişisel verisi işlenen gerçek kişi |
“Kişisel Verilerin İşlenmesi” | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
“Kişisel Veri Envanteri” | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
“Kişisel Verilerin Korunması Komitesi” | SÜVARİ tarafından kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası, sürdürülmesi, yönetilmesi ve geliştirilmesi amacıyla karar alma ve üst yönetime sunma yetkilerine sahip ve bu amaçla SÜVARİ bünyesinde gerekli koordinasyonu sağlayan ve farklı birimlerinden yetkililerin katılımıyla oluşan komite |
“Kurul” | Kişisel Verileri Koruma Kurulu |
“Kurum” | Kişisel Verileri Koruma Kurumu |
“KVKK / Kanun” | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
“ÖzelNitelikli Kişisel Veri” | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, kan grubu, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
“Periyodik İmha” | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri işleme,saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
“Politika” | SÜVARİ tarafından kişisel verilerin işlenmesi, saklanması ve imhasında benimsenen ilkelerin düzenlendiği işbu “Coşkun Hazır Giyim Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası” |
“Silme” | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
“Veri İşleyen” | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi |
“Veri Sorumlusu” | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
“Veri Kayıt Sistemi” | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
“VeriSorumluları Sicili” | Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan ve kamuya açık olan veri sorumluları sicili |
“Yok Etme” | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
Bu Politika’da yer almayan tanımlar için KVKK tanımları geçerlidir.
SÜVARİ, kişisel veri işleme faaliyetlerini yürütürken, genel ilkelere ve kişisel veri ile özel nitelikli kişisel veri işleme koşullarına uygun hareket etmektedir.
SÜVARİ; kişisel verilerin işlenmesinde yasal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verileri işleme faaliyetlerini hukuka, dürüstlük kurallarına uygun ve şeffaf olarak yürütmektedir.
SÜVARİ; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel tutulmasını sağlamak için gerekli azami çabayı göstermektedir. Bu doğrultuda gerekli idari ve teknik tedbirleri almakta ve kişisel veri sahiplerinin kişisel verilerini düzeltme ve doğruluğunu teyit etmelerine yönelik imkanlar sağlamaktadır.
SÜVARİ, kişisel veri işleme amacını açık ve kesin olarak belirlemekte ve veri işleme faaliyetlerini açık,meşru ve hukuka uygun amaçlar dâhilinde yürütmektedir.
SÜVARİ, kişisel verileri veri işleme amaçları ile bağlantılı ve bu amaçların gerektirdiği ölçüde işlemektedir. Veri işleme amacı ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
SÜVARİ, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler tarafımızdan silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu konu ile ilgili ayrıntılı bilgiye, bu Politika’nın 5. Bölümünde yer verilmiştir.
SÜVARİ, kişisel veri işleme faaliyetlerini kişisel verileri koruma mevzuatında ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu bağlamda; kişisel veri işleme faaliyetleri ancak aşağıda yer alan veri işleme şartlarının varlığı halinde gerçekleşmektedir:
Kanun gereği kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. SÜVARİ tarafından kişisel veri işleme faaliyetinin yürütülmesi için ilgili kişinin kendisiyle ilgili veri işlenmesine “özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer vermeyecek açıklıkta ve veri işleme amacı ile sınırlı olarak” açık rıza vermesi şartı aranmaktadır.
SÜVARİ,Kanun’da yer alan aşağıdaki şartlardan birinin varlığı halinde kişisel verileri açık rıza olmaksızın işleyebilmektedir:
İlgili kişinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde,ilgili kanuni düzenleme ile sınırlı olarak hukuka uygun olarak işlenebilecektir.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda kişisel veriler, açık rıza olmaksızın işlenebilecektir. Örneğin kişinin şuurunun yerinde olmaması sebebiyle açık rızasının alınamadığı durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, ilgili kişinin kişisel verileri işlenebilecektir.
Bir sözleşmenin kurulması veya ifasıyla doğrudandoğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenebilecektir.
SÜVARİ, hukuki yükümlülüğünü yerine getirebilmek için zorunlu olması halinde, ilgili kişinin kişisel verilerini işleyebilecektir.
İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel veriler açık rıza olmaksızın işlenebilecektir.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler açık rıza aranmaksızın işlenebilecektir.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, SÜVARİ’nin meşru menfaatleri için veri işlemesinin zorunlu olması durumunda, açık rıza şartı aranmaksızın kişisel veriler işlenebilecektir.
Özel nitelikli kişisel veriler, yalnızca ilgili kişinin açık rızasının bulunması şartıyla işlenebilmektedir. Ancak cinsel hayat ve kişisel sağlık verileri dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla açık rıza almaksızın işlenebilir. Dolayısıyla KVKK uyarınca aksi öngörülene dek kişisel sağlık verileri yalnızca açık rıza kapsamında ve sır saklama yükümlülüğü altında olan Şirket hekimi tarafından işlenebilmektedir.
SÜVARİ, özel nitelikli kişisel verilerin işlenmesi ve korunmasına ilişkin olarak Kurul tarafından belirlenen önlemleri almaktadır. SÜVARİ, özel niteliklikişisel verilerin korunması ve güvenliği hususuna azami hassasiyet göstermekte olupözel nitelikli kişisel verilerin korunmasına ilişkin alınan teknik ve idari önlemleri özenle uygulanmakta ve SÜVARİ bünyesinde gerekli denetimler yapılmaktadır.
SÜVARİ, kişisel veri işleme amaçları doğrultusunda ve varsa açık rıza, yoksa hukuki sebeplerle sınırlı olarak gerekli güvenlik önlemlerini almak suretiyleilgili kişinin kişisel ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. SÜVARİ bu kapsamda Kanun’un 8. ve 9.maddelerinde öngörülen kişisel veri aktarım şartlarına uygun hareket etmektedir.
SÜVARİ, Kanun’un 8.maddesi gereğince yurtiçinde veri aktarımı faaliyetlerini veri işleme şartlarına uygun olarak yürütmektedir. (Bkz. İkinci Bölüm, madde 2.1, 2.2 ve 2.3)
SÜVARİ, Kanun’un 9.maddesi gereğince yurtdışına veri aktarımı faaliyetlerini veri işleme şartlarına uygun olarak (Bkz. İkinci Bölüm, madde 2.1, 2.2 ve 2.3) yürütmektedir. Kişisel verilerin KVKK uyarınca açık rıza alınmaksızın aktarıldığı durumlarda, ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekmektedir:
SÜVARİ, Kanun’un 8. ve 9.maddelerine uygun olarak veri sahiplerinin kişisel verilerini, SÜVARİ’ye hizmet sunan iş ortaklarına, tedarikçilerine, müşterilerine, banka ve finans kuruluşlarına, hukuk, vergi vb. benzeri alanlarda destek aldığı danışmanlık ve denetim firmalarına, Şirket yetkililerine, hissedarlarına, kanunen yetkili kamu kurumlarına ve özel kişilere, Şirket adına kişisel veri işleyen yurt içi ve/veya yurt dışında depolama, arşivleme, bilişim teknolojileri desteği (sunucu, hosting, yazılım, bulut bilişim vb.) alanlarında destek alınan hizmet sağlayıcılarına, ticari faaliyetlerini ve iş süreçlerini devam ettirmek amacıyla aktarabilmektedir. Kişisel verilerin aktarıldığı alıcı gruplarının sınıflandırmasına bu Politika’nın 3. Bölümünde yer verilmiştir.
Kişisel veri aktarımı halinde SÜVARİ, kişisel veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlamaktadır. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenmekte ve teknik tedbirler alınmaktadır.
SÜVARİ tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri kategorileri ve açıklamaları aşağıda düzenlenmiştir:
Kişisel Veri Kategorileri | Açıklama |
Kimlik Verileri | Kişinin kimliğine dair bilgilerin bulunduğu verilerdir: adı-soyadı, T.C. kimlik numarası, medeni durumu, cinsiyet, uyruğu, anne-baba adı-soyadı, doğum yeri- tarihi ve sair kimlik bilgileri ve bu bilgileri içeren ehliyet, nüfus cüzdanı, pasaportgibi belgeler ile vergi numarası, SGK numarası ve sair bilgilerdir. |
İletişim Verileri | Telefon numarası, adres, e-posta adresi, faks numarası gibi iletişim amaçlı kullanılan bilgiler ve bu bilgileri içeren ikamet belgesi gibi belgelerdir. |
Aile Bireylerine / Yakınlara ait Kişisel Veriler | Şirketimizin faaliyetleri kapsamında veya Şirketin / ilgili kişinin hukuki ve diğer menfaatlerini korumak amacıyla İlgili Kişinin aile bireyleri ve yakınları hakkındaki kişisel verileridir. Örnek: Aile bireylerinin iletişim bilgisi, kimlik bilgisivb. |
Finansal Veriler | Şirketimizin veri sahibi ilgili kişi ile kurmuş̧ olduğu hukuki ilişkiye göre ortaya çıkan her türlü̈ finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin kişisel verilerdir. Örnek: Kredi kartı bilgisi, gelir bilgisi, IBAN numarası, vb. |
Özlük Verileri | Şirketimiz ile çalışma ilişkisi içerisinde olma kapsamında, gerçek kişilerin özlük haklarının oluşmasına temel olan bilgilerin elde edilmesine yönelik işlenen kişisel verilerdir. |
İletişim ve Şikâyet Yönetimi Verileri | Şirketimize yönelik her türlü̈ talep veya şikâyetin alınması ve değerlendirilmesi süreçlerinde elde edilen kişisel verilerdir. |
Özel Nitelikli Kişisel Veriler | Kanunda sınırlı sayma yoluyla belirlenmiş,işlenmesi halinde veri sahipleri hakkında ayrımcılık yapılma riski taşıyan kişisel verilerdir. Örnek: Kan grubu da dahil olmak üzere sağlık verileri, biyometrik veriler, vb. |
İşlem Güvenliği Verileri | Gerek ilgili kişi gerekse Şirketimizin teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel verilerdir. |
Aşağıda, işbu Politika kapsamında yer alan müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, iş bağlantılarımızın (tedarikçive benzeri iş ilişkisinde bulunduğumuz kurumların yetkili, hissedar ve çalışanlarının)ve üçüncü kişilerin tanımlama ve açıklamalarına yer verilmektedir.
İlgili Kişi Kategorileri | Açıklama |
Müşteriler | Ürünlerimizi satın alan gerçek veya tüzel kişilerdir. |
Çalışanlar | Şirketimiz ile iş ilişkisinde olan gerçek kişilerdir. |
Çalışan Adayları | Şirketimize herhangi bir yolla iş başvurusunda bulunup özgeçmiş̧ ve/veya işbaşvuru formu ile ilgili bilgilerini Şirketimizin incelemesine sunmuş olan gerçekkişilerdir. |
Şirket Yetkilileri | SÜVARİ’nin üst düzey yönetiminde yer alan ve/veya SÜVARİ’yi temsile yetkili gerçek kişiler ile tüzel kişilerin gerçek kişi temsilcileridir. Yönetim kurulu üyeleri bu kapsamda değerlendirilir. |
İş Bağlantıları ve Tedarikçiler (Gerçek kişi tedarikçiler, tüzel kişi tedarikçinin gerçek kişi temsilcileri) | SÜVARİ’nin faaliyetlerinin ifası kapsamında iş ilişkisi içerisinde bulunduğu gerçek kişi tedarikçiler, tüzel kişi tedarikçilerin gerçek kişi temsilcileri, işbu tedarikçiler nezdinde bulunan çalışanlar ve tüm gerçek kişilerdir. |
Aile Bireyleri / Yakınlar | Çalışanların aile bireyleri ve yakınları olan gerçek kişilerdir. |
Diğer Üçüncü Kişiler | Herhangi bir ilgili kişi kategorisine girmeyen diğer gerçek kişilerdir. |
Aşağıdaki tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve işleme faaliyeti kapsamındaki kişisel veri kategorileri eşleştirilerek detaylandırılmaktadır:
Kişisel Veri Kategorileri | Açıklama |
Kimlik Verileri | Müşteriler, Çalışanlar, Çalışan Adayları, Tedarikçiler ve Tedarikçi Çalışanları, Aile Bireyleri ve Yakınları, İş Ortakları, Diğer üçüncü kişiler |
İletişim Verileri | Müşteriler, Çalışanlar, Çalışan Adayları, Tedarikçiler ve Tedarikçi Çalışanları, Aile Bireyleri ve Yakınları, Diğer üçüncü kişiler |
Finansal Veriler | Müşteriler, Çalışanlar, Tedarikçiler,Tedarikçi Çalışanları, Diğer üçüncü kişiler |
Eğitim Verileri | Çalışanlar, Çalışan Adayları, Stajyerler |
Sağlık Verileri | Çalışanlar |
Özlük Verileri | Çalışanlar, Çalışan Adayları |
Özel Nitelikli Kişisel Veriler | Çalışanlar, Tedarikçi Çalışanları |
Fiziksel Mekan Güvenlik Verileri | Çalışanlar, Mağaza Ziyaretçileri |
Görsel ve İşitsel Kayıtlar | Diğer üçüncü kişiler |
SÜVARİ, kişisel veri işleme faaliyetini aşağıda yer alan amaçlar doğrultusunda yürütmektedir. Kişisel veri işleme amaçları, iş süreçleri ve kişisel veri kategorilerinin ilişkilendirilmesiyle her iş birimi ve süreci bazında açık ve detaylı olarak belirlenmiş ve SÜVARİKişisel Veri Envanterine işlenmiştir.
SÜVARİ, veri sahiplerine ait kişisel verileri,
Bu yöntemler doğrultusunda toplanan kişisel veriler, işbu Politika’nın 2. Bölümünde yer alan veri işleme şartlarına uygun olarak ve yukarıda listelenen kişisel veri işleme amaçları doğrultusunda, KVKK ve diğer mevzuatta zorunlu kılınan sürelere uygun kalmak ve gerekli tüm idari ve teknik tedbirleri almak suretiyle muhafaza edilmektedir.
SÜVARİ, KVKK’ya uygun olarak işbu Politika kapsamında yer alan kişisel verileri aşağıda sıralanan alıcı gruplarına belirtilen amaçlar ile aktarabilmektedir. Kişisel verilerin aktarıldığı alıcı grupları ve aktarım amaçları, kişisel veri kategorilerinin ilişkilendirilmesiyle açık ve detaylı olarak belirlenmiş ve SÜVARİ Kişisel Veri Envanterine işlenmiştir.
Alıcı Grupları | Kişisel Veri Aktarım Amaçları |
Tedarikçi ve İş Ortakları | Şirketimizin temin ettiği ve Şirketimizin faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak. |
Yetkili Kamu Kurum ve Kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak. |
Yetkili Finans ve Özel Kurumlar | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak. |
Şirket Hekimleri | 6331 sayılı İş Sağlığı ve Güvenliği Kanunu kapsamındaki amaçla sınırlı olarak. |
SÜVARİ tarafından gerçekleştirilen kişisel veri aktarımlarında Politika’nın 2. Bölümünde düzenlenmiş hususlara uygun olarak hareket edilmektedir.
SÜVARİ, KVKK’nın 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için imkânlardâhilinde ve korunacak verinin niteliğine göre uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca teknik tedbirler aşağıda listelenmiştir:
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca idari tedbirler aşağıda listelenmiştir:
SÜVARİ KVKK uyarınca, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları, Şirketin iç işleyişi kapsamında Kişisel Verileri Koruma Komitesine, üst yönetime ve konu ile ilgili bölüme raporlanmakta, aksiyonlar planlanmakta ve alınan tedbirlerin iyileştirilmesi için planlanan aksiyonların takibi, ilgili süreç sahipleri ve Kişisel Verileri Koruma Komitesi tarafından takip edilerek yürütülmektedir.
Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi veya ifşa edilmesi halinde SÜVARİ, bu durumu en kısa sürede ilgili kişisel veri sahibi İlgili Kişiye ve Kurul’a bildirecektir.
Kanun birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin işlenmesi kanuni hallerle sınırlı tutulmakta ve korunmasına SÜVARİ tarafından azami hassasiyet gösterilmektedir.
SÜVARİ, özel nitelikli kişisel verilerin güvenliğihususuna azami özenle yaklaşmakta ve bu konuda Şirket bünyesinde gerekli denetimleri sağlamaktadır.
SÜVARİ, kişisel veri sahiplerinin Politika ve Kanunun uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. Kişisel veri sahiplerinin hakları ile ilgili ayrıntılı bilgiye işbu Politika’nın 6. bölümünde yer verilmiştir.
SÜVARİ tarafından işlenen kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak farklı ortamlarda kaydedilebilmektedir. Bu kapsamda veri sahiplerine ait kişisel veriler, SÜVARİ tarafından aşağıda listelenen ortamlarda, başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır.
Elektronik ortamlar:
Fiziksel ortamlar:
SÜVARİ kişisel verileri ilgili mevzuatta belirtildiği ya da işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede SÜVARİ öncelikle ilgili mevzuatta kişisel verilerin ne kadar süre saklanması gerektiği ifade edilmiş ise bu süreye uygun davranmakta, ifade edilmemiş ise o veriyi işlerken sunduğu hizmetlerle bağlı olarak işlenmesini gerektiren süre kadar saklamaktadır. Sürenin bitimi, veri sahibi İlgili Kişinin talebi veya verinin işlenmesini gerektiren amacın ortadan kalkması halinde, kişisel veriler SÜVARİ tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. SÜVARİ tarafından işlenen kişisel verilerin saklama süreleri ile ilgili detaylı bilgi işbu Politika’nın Ek-1’nde yer almaktadır.
Kişisel verilerin işlenme amacının sona ermesi, veri sahibi İlgili Kişinin talebi ve/veya ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmesi halinde kişisel veriler,
Yukarıda bahsi geçen süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
SÜVARİ, saklamakta olduğu kişisel verileri
durumlarında imha etmektedir.
SÜVARİ, işlediği kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojinin imkân verdiği ölçüde gerekli teknik ve idari tedbirleri almaktadır. Kişisel veri güvenliğine ilişkin detaylı bilgiye işbu Politika’nın 4. Bölümünde “Kişisel Verilerin Korunmasına Dair Hususlar” başlığı altında yer verilmektedir.
Kişisel verilerin saklanması özelinde ele alındığında; SÜVARİ tarafından alınan başlıca teknik tedbirler aşağıda listelenmiştir:
Kişisel verilerin saklanması özelinde ele alındığında; SÜVARİ tarafından alınan başlıca idari tedbirler aşağıda listelenmiştir:
Kişisel verilerin imhasına yönelik, SÜVARİ tarafından alınan başlıca teknik ve idari tedbirler aşağıda listelenmiştir:
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, kişisel verilerin işlenmesini ve saklanmasını gerektiren amacın ortadan kalkması hâlinde kişisel veriler, re ’sen veya veri sahibi İlgili Kişinin talebi üzerine SÜVARİ tarafından silme, yok etme veya anonim hâle getirme suretiyle imha edilir.
SÜVARİ, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde yukarıda belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politika’ya uygun olarak hareket etmektedir.SÜVARİ tarafından kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kurul tarafından aksine bir karar alınmadıkça, SÜVARİ, kişisel verilerin imhasına ilişkin silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmektedir. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçmekte ve uygulamaktadır.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. SÜVARİ, kişisel verileri silmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemleri kullanabilmektedir:
Kayıt Ortamı | Veri İmha Yöntemi |
Bulut altyapısında üçüncü taraf yazılımları, veri işleme amaçlarına göre farklı yazılımlar | Silme Komutu Verme |
Veri işleme amaçlarına göre farklı yazılımlar | Yazılım Aracılığı ile Silme |
Veri tabanları | Veri Tabanı Komutuyla Silme |
Veri tabanları, Sunucularda yer alan veriler | Dosyanın Bulunduğu Dizin Üzerinde İlgili Kullanıcının Erişim Haklarını Kaldırma, Silme Komutu Verme |
Kâğıt ve Basılı kopyalar | Karartma (ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilme işlemidir.) |
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. SÜVARİ, kişisel verileri silmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerden bir veya birkaçını kullanabilmektedir:
Kayıt Ortamı | Veri İmha Yöntemi |
Manyetik olarak verileri kaydeden ortamlar (Teyp kartuşları, vb.) | De-manyetize Etme (Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir. |
Manyetik ve optik olarak verileri kaydeden ortamlar (DVD, CD, sabit disk, vb.), Kağıt ve Basılı Kopyalar | Fiziksel Yok Etme (Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi; kağıt ve basılı kopyalar için kağıt imha / kırpma makinesi veya yakma yöntemi ile fiziksel olarak yok edilme işlemidir.) |
Manyetik ve yeniden yazılabilir optik ortamlar (DVD-r, vb.) | Üzerine Yazma (Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. ) |
Manyetik olarak verileri kaydeden ortamlar (Teyp abit disk, vb.) | “Block Erase” Komutu İle Yok Etme |
Bulut altyapısında üçüncü taraf yazılımları | Kayıt ortamının şifreli tutulması ve Silme işlemi sonucunda Şifreleme anahtarlarının tüm kopyalarını yok etme |
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. SÜVARİ, kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilmektedir:
SÜVARİ, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.
SÜVARİ’nin periyodik imha süresi 6 aydır; ancak SÜVARİ, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, Kurul’un bu madde ve imha süreleri tablosunda belirlenen süreleri kısaltabileceğini kabul etmektedir.
Kişisel verileri saklama ve imha süreçlerinin yürütülmesi ve bu Politika uyarınca gerekli aksiyonların alınması amacıyla SÜVARİ nezdinde “Kişisel Verileri Koruma Komitesi” kurulmuştur. Bu konuya ilişkin detaylı bilgiye işbu Politika’nın 7.Bölümünde yer verilmektedir.
Kişisel Verileri Koruma Komitesinde yer alan ilgili kişiler, işbu Politika’da düzenlenen kişisel verilerin saklanması ve imha süreçlerine ilişkin tüm yükümlülüklerini eksiksiz ifa etmekle sorumludurlar.
Kişisel veri sahibi İlgili Kişinin, KVKK’nın 11. maddesi uyarınca SÜVARİ’ye başvurarak kendisiyle ilgili;
Kişisel veri sahibi İlgili Kişiler, KVKK’nın 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, bu konularda 6.1.’de sayılan haklarını ileri süremezler:
KVKK’nın 28. maddesinin 2. fıkrası uyarınca ise, aşağıdaki hallerde veri sahibi İlgili Kişi zararın giderilmesini talep etme hakkı hariç bu Politika’nın 6.1 maddesinde belirtilen haklarını kullanamaz:
İlgili kişi, işbu Politika’nın 6.1 maddesinde belirtilen haklarını, Şirket’in ortak platformlarında yer alan başvuru formunu doldurup ıslak imzalı olarak veya kayıtlı elektronik posta adresi, güvenli elektronik imza, mobil imza veya SÜVARİ’ye daha önce bildirilen ve sistemlerde kayıtlı olan elektronik posta adresi vasıtasıyla iletmek suretiyle kullanabilmektedir. Yukarıda adresi sağlanan “Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru Formu”nda yapılacak başvurunun yöntemi ayrıntılı bir şekilde açıklanmaktadır.
İlgili Kişinin bu hakkını vekili aracılığıyla kullanmak istemesi durumunda, yetkili makamlar tarafından düzenlenmiş veya onaylanmış kimliğini tevsik edici belgelerin, varsa talebi destekleyici belgelerin, başvuru formunun ekinde SÜVARİ’ye iletilmesi gerekmektedir.
SÜVARİ, kendisine yöneltilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracaktır. Taleplerin yerine getirilmesi sebebiyle bir maliyet doğması hâlinde Kurulca belirlenen tarifedeki ücretleri talep edilebilecektir.
SÜVARİ, talebi kabul edebileceği gibi gerekçesini açıklamak suretiyle reddedebilir; cevabını kişisel veri sahibi İlgili Kişi yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde SÜVARİ, talebin gereğini yerine getirir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, SÜVARİ’nin cevabını öğrendiği tarihten itibaren otuz gün ve herhâlde başvuru tarihinden itibaren altmış̧ gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.
SÜVARİ tarafından kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası, sürdürülmesi, yönetilmesi ve geliştirilmesi amacıyla karar alma ve üst yönetime sunma yetkilerine sahip ve bu amaçla SÜVARİbünyesinde gerekli koordinasyonu sağlayan ve farklı birimlerinden yetkililerin katılımıyla oluşan “Kişisel Verileri Koruma Komitesi” kurulmuştur.
Bu komitenin görevleri aşağıda belirtilmektedir:
SÜVARİ, Kanun’da yapılan değişiklikler nedeniyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutmaktadır.
İşbu Politika’da yapılan değişiklikler derhal metne işlenmekte ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanmaktadır.
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ[1] |
Çalışan, müşteri, üçüncü kişiler ile ilgili veriler | Sözleşme/İş ilişkisinin sona ermesine müteakip 10 yıl | 180 gün içerisinde |
Çalışan Finansman Süreçleri | İş ilişkisinin sona ermesine müteakip 10 yıl | 180 gün içerisinde |
Tedarikçi, müşteri ve üçüncü kişilerle imzalanan sözleşmeler | Sözleşmenin sona ermesini müteakip 10 yıl | 180 gün içerisinde |
İşe alım ve bordrolama | İş ilişkisinin sona ermesine müteakip 10 yıl | 180 gün içerisinde |
İş sağlığı ve güvenliği uygulamaları | İş ilişkisinin sona ermesine müteakip 10 yıl | 180 gün içerisinde |
Ödeme işlemleri | İş ilişkisinin sona ermesine müteakip 10 yıl | 180 gün içerisinde |
Sözleşme süreçlerinin yürütülmesi | İş ilişkisinin sona ermesine müteakip 10 yıl | 180 gün içerisinde |
Çalışan özlük dosyanın oluşturulması ve muhafazası | İş ilişkisinin sona ermesine müteakip 10 yıl | 180 gün içerisinde |
Çalışan kimlik ve iletişim bilgilerinin oluşturulması ve muhafazası | İş ilişkisinin sona ermesine müteakip 10 yıl | 180 gün içerisinde |
Çalışan sağlık dosyanın oluşturulması ve muhafazası | İş ilişkisinin sona ermesine müteakip 15 yıl | 180 gün içerisinde |
Çalışan adayı özlük, kimlik ve iletişim bilgilerinin oluşturulması ve muhafazası | Şirket’e iletilmesinden itibaren 2 yıl | 180 gün içerisinde |
Çalışan yakınları kimlik ve iletişim bilgilerinin oluşturulması | İş ilişkisinin sona ermesine müteakip 10 yıl | 180 gün içerisinde |
Tedarikçi çalışanı özlük dosyanın oluşturulması ve muhafazası | Sözleşmenin sona ermesini müteakip 10 yıl | 180 gün içerisinde |
Tedarikçi çalışanı kimlik ve iletişim bilgilerinin oluşturulması ve muhafazası | Sözleşmenin sona ermesini müteakip 10 yıl | 180 gün içerisinde |
[1]SÜVARİ nezdinde muhafaza edilen kişisel verilerin saklama süresinin sona ermesinden sonra verilerin imha edeceği süreyi ifade eder.