Kişisel verilerin korunması, Şirketimizin en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret gösterilmektedir. İşbu Veri İhlali Müdahale Politikası (“Politika”) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde yaşanması muhtemel bir veri ihlalinde izlenmesi gereken prosedürün ortaya konulmakta, böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır.

2.AMAÇ

6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’ncimaddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri İhlali Müdahale Politikası (“Politika”), Şirketimizce işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirketimiz tarafından benimsenecek ve uygulamada dikkate alınacak faaliyetleri belirlemek amacıyla hazırlanmıştır.

3. KAPSAM

Politika hükümleri, Şirketimizin faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, kontratları, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu politika Şirketin tüm birimlerini, destek hizmeti veren firma personellerini, ziyaretçileri, üçüncü kişileri, stajyer ve sözleşmeli personeli kapsamaktadır.

4.SORUMLULUKLAR

Politikanın Şirketimizin işleyiş, faaliyet ve süreçlerinde ve uygulanmasında, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde Şirket genelinde tüm çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler iş birliği yapmakla yükümlüdür. Şirketin tüm organ ve departmanları Şirket Veri İhlali Müdahale Politikasının uygulanmasından sorumludur.

5.VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

Kişisel Verilerin Korunması Kanunu’na  göre kişisel veri güvenliğinin temini için Veri sorumlusu;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

6. TANIMLAR VE KISALTMALAR

7.KİŞİSEL VERİ İHLALİ

Kişisel veri ihlali, kişisel verilerin kanuna aykırı bir şekilde elde edilmesi, hukuka aykırı bir şekilde kişisel verilere yetkisiz erişim sağlanması, kişisel verilerin yanlışlıkla/kasten yetkisiz kişilere açıklanması, kişisel verilerin hukuka aykırı bir şekilde silinmesi, değiştirilmesi veya bütünlüğünün bozulması gibi durumlarda ortaya çıkmaktadır.

Aşağıda yer alan durumlar genel olarak kişisel veri ihlali olarak değerlendirilir:

• Kişisel veri içeren fiziki dokümanların veya elektronik cihazların çalınması veya kaybolması,
• Kişiye özel kullanıcı adı ve parolaların yetkisiz kişilerce ele geçirilmesi,
• Gizli bilgilerin hukuka aykırı şekilde ifşası,
• Kişisel veri ve/veya gizli bilgi içeren e-postaların yanlışlıkla şirket dışında ilgisiz kişilere iletilmesi, gönderimi,
• Şirket ekipmanlarına, sistemlerine ve ağlarına virüs veya diğer saldırıların (örneğin siber saldırı)gerçekleşmesi suretiyle kişisel verilere hukuka aykırı erişim sağlanması.

Yukarıda belirtilen veya benzer durumlarda bu Prosedür’de belirtilen şekilde hareket edilmelidir.

8.VERİ İHLALİ MÜDAHALE EKİBİ

Kişisel veri ihlali durumunda oluşan veya oluşabilecek kriz durumuna müdahale etmek ve Kanun kapsamında öngörülen yükümlülükleri yerine getirmek için aşağıdaki departmanlardan belirlenen katılımcıların dahil edileceği bir Kriz Müdahale Ekibi (Ekip) oluşturulur:

• Veri Sorumlusu İrtibat Kişisi
• Veri Sorumlusu Üst Yöneticisi (Genel Müdür)
• İhlalin Meydana Geldiği Departmanın Yöneticisi

9.VERİ İHLALİ MÜDAHALE SÜRECİ

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Buna göre, İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirket söz konusu veri ihlalini, en kısa sürede (en geç 72 saat) Kurul’a ve söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip makul olan en kısa süre içerisinde ilgili kişiye bildirmelidir.

İlgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirket’in kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmalıdır.

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

• İhlalinin ne zaman gerçekleştiği,
• Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
• Kişisel veri ihlalinin olası sonuçları,
• Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
• İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerekmektedir.

Kurula yapılacak bildirimde yine Kurul’un belirlediği ve web sitesinde yayınladığı KVK Kurulu Veri İhlal Bildirim Formu doldurularak Kurula iletilir.

Şirket tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması gerekmektedir.

Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanmalıdır.

Şirket tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması sağlanmalıdır.

Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyen bu konuda herhangi bir gecikmeye yer vermeksizin Şirket’e bildirimde bulunmalıdır.

Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmalıdır.

Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu plan gözden geçirilmelidir.

10.POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.

11. POLİTİKA’NIN YÜRÜRLÜĞÜ

İşbu Politika’nın yürürlük tarihi 31.12.2021’dir. İşbu Politika, Şirketimizin internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

12.DAĞITIM

Politika, Şirket internet sitesinde yayınlanarak, ziyaretçiler ve ilgili üçüncü kişilere, hissedarlara, müşterilere ve Şirket çalışanlarına duyurulur.

1.1 GİRİŞ

Afa Soğutma Sanayi ve Ticaret Limited Şirketi  tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin hukuka uygun olarak korunması ve işlenmesine azami önem verilmekte ve tüm planlama ve faaliyetlerde bu özenle hareket edilmektedir. Şirket, kişisel verilerin korunmasına ilişkin gerekli olan tüm idari ve teknik tedbirleri dikkatle almaktadır. Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler olduğundan, özel nitelikli kişisel verilerin niteliği ve hassasiyeti uyarınca bu verilerin işlenmesi, korunması ve güvenliğine ilişkin olarak genel nitelikteki kişisel veriler için alınan idari ve teknik tedbirlere ek olarak özel nitelikli teknik ve idari tedbirler alınmaktadır.

1.2.AMAÇ

İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), özel nitelikli kişisel verilerin işlenmesine, korunmasına ve güvenliğine ilişkin olarak Anayasa, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, ilgili mevzuat, Kişisel Verileri Koruma Kurulu’nun 31.01.2018 Karar Tarihli ve 2018/10 Karar No’lu kararı ve diğer ilgili kararları çerçevesinde gerekli teknik ve idari tedbirleri almak ve Şirket’in veri sorumlusu sıfatıyla elinde bulundurduğu özel nitelikli kişisel verilere ilişkin olarak yükümlülüklerini yerine getirmesini sağlayarak İlgili Kişileri bilgilendirmektir.

1.3. KAPSAM

İşbu Politika, şirket ortakları, şirket hissedarları, şirket yetkilileri, çalışan, çalışan adayları, stajyer, stajyer adayları, şirket müşterileri, şirket müşterileri yetkilisi ve çalışanları, potansiyel ürün veya hizmet alıcısı, tedarikçi çalışanı, tedarikçi yetkilisi, ziyaretçiler, danışman ve üçüncü kişiler ile herhangi bir nedenle şirketimiz nezdinde özel nitelikli kişisel verisi bulunan tüm gerçek kişileri ve bunların özel nitelikli kişisel verilerinin işlenmesine, korunmasına ve güvenliğine yönelik yürütülen faaliyetleri kapsamaktadır.

Şirket bünyesinde, özel nitelikli kişisel verilerin işlendiği tüm kayıt ortamları ve özel nitelikli kişisel verilerin tamamen veya kısmen otomatik olan yollarla veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesine yönelik faaliyetlerde işbu Politika uygulanmaktadır.

1.4. TANIMLAR VE KISALTMALAR

 2.BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ, İŞLENME AMAÇLARI VE İŞLENMESİNE İLİŞKİN TEMEL İLKELER

2.1.  Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

2.2. Özel Nitelikli Kişisel Verilerin Korunması

Özel nitelikli kişisel veriler, öğrenilmesi halinde İlgili Kişi hakkında ayrımcılık yapılmasına veya mağduriyetine neden olabilecek nitelikte veriler olduğundan, hukuka uygun şekilde işlenen bu kişisel verilerin korunması hususunda Şirket tarafından alınan idari ve teknik tedbirler özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler yapılmaktadır. Bunun yanında özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemler alınarak, gerekli işlemler yürütülmektedir.

2.3 Özel Nitelikli Kişisel Verilerin İşlenmesi

İlgili Kişi açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise Şirket tarafından özel hassasiyet gösterilmektedir. Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

 (ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

2.4. Özel Nitelikli Kişisel Verilerin İşlenme Amaçları

Özel nitelikli kişisel veriler, Kanun’un 4. maddesinde belirtilen ilkelere ve ilgili mevzuatta yer alan usul ve esaslara uygun olarak, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları doğrultusunda işlenebilmektedir. Şirketimiz tarafından usulüne uygun yöntemlerle toplanan özel nitelikli kişisel veriler iş ilişkisi, ürün, hizmet veya ticari faaliyetler kapsamında veya İlgili Kişiler ile olan diğer ilişkiler dâhilinde, işlenmelerini gerektiren aşağıdaki amaçlar çerçevesinde, bu amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenmekte ve saklanabilmektedir.

Özel nitelikli kişisel verilerin işlenme amaçları;

• Hukuki uyum süreçlerinin yürütülmesi,
• Operasyonların yönetimi,
• Mali ve finansal işlerin yerine getirilmesi,
• Ticari ve iş stratejilerinin belirlenmesi ve yerine getirilmesi,
• Hizmet sözleşmesine bağlı olarak; hizmet yükümlülüklerinin yerine getirilmesi,
• Acil durum yönetimi süreçlerinin yürütülmesi,
• Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
• Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,,
• Çalışanlar için iş faaliyetlerinin yürütülmesi,
• Çalışanların başvuru süreçlerinin değerlendirilmesi,
• Faaliyetlerin mevzuata uygun yürütülmesi,
• İnsan kaynakları faaliyetinin planlanması,
• İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
• Yetkili kişi, kurum ve kuruluşlara haber verilmesidir.

2.5. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler

Şirket bakımından öncelikle önem arz eden hususlardan biri, özel nitelikli kişisel verilerin işlenmesinde mevzuatta öngörülen genel ilkelere uygun davranılmasıdır. Bu kapsamda, Şirket, Anayasa ve KVK Kanunu’na uygun olarak özel nitelikli kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket etmelidir.

1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma

Şirket, KVK Kanunu’nun 4. maddesine uygun olarak, özel nitelikli kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde özel nitelikli kişisel veri işleme faaliyetinde bulunmaktadır. Bu kapsamda Şirket, özel nitelikli kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta ve özel nitelikli kişisel verileri amacın gerektirdiği durumlar dışında kullanmamaktadır.

• Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirketimiz, İlgili Kişinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği özel nitelikli kişisel verilerin doğru ve güncel olmasını sağlamakta; bu doğrultuda gerekli tedbirleri alarak bunları sağlamaya yönelik sistemleri kurmaktadır.

• Belirli, Açık ve Meşru Amaçlarla İşleme

Şirket, özel nitelikli kişisel verileri meşru ve hukuka uygun sebeplerle ve yürütmekte olduğu faaliyetlerle bağlantılı olarak ve gerekli olduğu ölçüde işlemektedir. Şirket tarafından özel nitelikli kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan belirlenmektedir.

• İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirket, özel nitelikli kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Şirketimizce sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik özel nitelikli kişisel veri işleme faaliyeti yürütülmemektedir.

• İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirket, Türk Ceza Kanunu’nun 138.maddesine ve KVK Kanunu’nun 4. ve 7. maddelerine uygun olarak; işlediği özel nitelikli kişisel verileri, yalnızca ilgili mevzuat ve kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar muhafaza etmektedir.

Bu kapsamda, Şirket öncelikle ilgili mevzuatta özel nitelikli kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise özel nitelikli kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Özel nitelikli Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya İlgili Kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Detaylar, Kişisel Verileri Saklama ve İmha Politikası’nda belirtilmiştir.

3. BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI VE ŞARTLARI:

3.1. Özel Nitelikli Kişisel Verilerin Aktarılması

Şirketimiz, özel nitelikli kişisel verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte olmaları sebebiyle, hukuka uygun olarak işlediği bu tür kişisel verilerin aktarılması süreçlerinde de gerekli önlemleri hassasiyetle almaktadır. Bu kapsamda Şirket, özel nitelikli kişisel verileri işleme amaçları doğrultusunda, mevzuata uygun olarak gerekli idari ve teknik tedbirleri alarak üçüncü kişilere aktarabilmektedir.

3.2. Özel Nitelikli Kişisel Verilerin Aktarım Şartları

a. Özel Nitelikli Kişisel Verilerin Yurt İçine Aktarım Şartları:

Şirket, özel nitelikli kişisel verileri ilgili kişinin açık rızası olması koşuluyla, veri işleme amaçları doğrultusunda ve mevzuat uyarınca gerekli teknik ve idari tedbirleri alarak yurt içindeki üçüncü kişilere aktarabilmektedir. Özel nitelikli kişisel veriler kural olarak İlgili Kişinin açık rızası olmaksızın yurt içindeki üçüncü kişilere aktarılamaz.

Ancak sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda açıkça öngörülmesi halinde, diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda özel nitelikli kişisel verilerin işlenmesine/aktarılmasına ilişkin açık bir hüküm olması halinde İlgili Kişinin açık rızası aranmaksızın aktarılabilir. Bu doğrultuda sağlık ve cinsel hayata ilişkin kişisel veriler dışındaki özel nitelikli kişisel veriler:

· Veri Sahibi’nin açık rızası var ise,

· Kanunlarda Özel Nitelikli Kişisel Veri’nin aktarılacağına ilişkin açık bir düzenleme var ise,

 · Veri Sahibi’nin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve Veri Sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;

· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,

· Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,

· Özel Nitelikli Kişisel Veriler, Veri Sahibi tarafından alenileştirilmiş ise,

· Özel Nitelikli Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,

· Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise aktarılabilmektedir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise yeterli ve gerekli önlemler alınarak ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amaçlarından herhangi birinin bulunması halinde İlgili Kişinin açık rızası aranmaksızın aktarılabilir.

b. Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarım Şartları:

Şirket, gerekli özeni göstererek, mevzuatın öngördüğü idari ve teknik tedbirler ile Kurul tarafından gerekli görülen önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda özel nitelikli kişisel verileri yurt dışına aktarabilmektedir. Özel nitelikli kişisel veriler kural olarak İlgili Kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

Ancak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde, diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine/aktarılmasına ilişkin açık bir hüküm olması halinde İlgili Kişinin açık rızası aranmaksızın, Kurul tarafından belirlenerek ilan edilen yeterli korumaya sahip ülkelere aktarılabilmektedir. Yeterli korumanın bulunmaması halinde ise ancak veri sorumlularının yeterli korumayı taahhüt etmeleri ve Kurul’un izninin bulunması halinde yurt dışına veri aktarımı yapılabilmektedir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amaçlarından herhangi birinin bulunması halinde İlgili Kişinin açık rızası aranmaksızın, Kurul tarafından belirlenerek ilan edilen yeterli korumaya sahip ülkelere aktarılabilmektedir. Yeterli korumanın bulunmaması halinde ise ancak veri sorumlularının yeterli korumayı taahhüt etmeleri ve Kurul’un izninin bulunması halinde yurt dışına veri aktarımı yapılabilmektedir.

4.BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve Kişisel Veri Saklama ve İmha Politikası’ na uygun hareket edilmektedir.

5.BÖLÜM

 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİ

Özel nitelikli kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesinde belirtilen yükümlülüklere uygun olarak ve 6. maddesinin dördüncü fıkrası uyarınca özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından gerekli teknik ve idari tedbirler alınmaktadır. Bu kapsamda Şirket,  Kişisel Verilerin İşlenmesi ve Korunması Politikası ile Kişisel Verileri Saklama ve İmha Politikası’nda Şirket tarafından alınan teknik ve idari tedbirler belirlenmiştir. Şirket özel nitelikli kişisel verilerin işlenmesi, güvenliği ve korunması faaliyetlerinde bu politikalarda belirtilen teknik ve idari tedbirlere ek olarak ayrıca aşağıdaki tedbirleri almaktadır.

5.1. Özel Nitelikli Kişisel Verilerin İşlenme Süreçlerinde Yer Alan Çalışanlara Yönelik Tedbirler:

• İlgili mevzuat ile özel nitelikli kişisel verilerin işlenmesi, güvenliği, korunması, saklanması vb. veri güvenliği konularında çalışanlara eğitimler verilmektedir.
• Çalışanlarla gizlilik sözleşmeleri yapılmakta ve disiplin prosedürleri uygulanmaktadır.
• Özel nitelikli kişisel verilere erişim yetkisine sahip çalışanların, yetki kapsamları ve süreleri tanımlanmaktadır.
• Periyodik olarak yetki kontrolleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, varsa kendisine tahsis edilen envanter geri alınmaktadır.

5.2. Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği ve/veya Erişildiği Elektronik Ortamlara İlişkin Tedbirler:

• Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
• Veriler üzerinde gerçekleştirilen hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
• Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
• Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır.
• Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi uygulanmaktadır.

5.3. Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği ve/veya Erişildiği Fiziksel Ortamlara İlişkin Tedbirler:

• Özel nitelikli kişisel verilerin bulunduğu fiziksel ortamlar (dolap, arşiv vs.) kilitlenmektedir.
• Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
• Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

5.4. Özel Nitelikli Kişisel Verilerin Aktarılmasına İlişkin Tedbirler:

• Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa, bu veriler şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır. Söz konusu dosyanın şifre bilgisine posta içeriğinde yer verilmemektedir.
• Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa, bu veriler kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
• Özel nitelikli kişisel verilerin aktarımı farklı fiziksel ortamlardaki sunucular arasında gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
• Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa, bu verilerin aktarıldığı evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

6.BÖLÜM

6.1 POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Özel nitelikli kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirket yürürlükteki mevzuatın uygulama bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırarak düzenlemektedir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.

6.2. POLİTİKA’NIN YÜRÜRLÜĞÜ

İşbu Politika’nın yürürlük tarihi 31.12.2021’dir. İşbu Politika, Şirketin internet sitesinde www.elmapazari.com‘da yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

6.3.DAĞITIM

Politika, Şirket internet sitesinde yayınlanarak, üçüncü taraflara ve Şirket çalışanlarına duyurulur.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) ilgili kişi olarak tanımlanan kişisel veri sahiplerine (“Bundan sonra “Başvuru Sahibi” olarak anılacaktır), KVK Kanunu’un 11’inci maddesinde kişisel verilerinin işlenmesine ilişkin birtakım taleplerde bulunma hakkı tanınmıştır.

KVK Kanunu’nun 13’üncü maddesinin birinci fıkrası uyarınca; veri sorumlusu olan Şirketimize bu haklara ilişkin olarak yapılacak başvuruların yazılı olarak veya Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından belirlenen diğer yöntemlerle tarafımıza iletilmesi gerekmektedir.

Bu çerçevede “yazılı” olarak Şirketimize yapılacak başvurular, işbu formun çıktısı alınarak;

• Başvuru Sahibi’nin şahsen başvurusu ile,

• Noter vasıtasıyla,

• Başvuru Sahibi’nce 5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik

imza” ile imzalanarak Şirket kayıtlı elektronik posta adresine gönderilmek suretiyle, tarafımıza iletilebilecektir.

Aşağıda, yazılı başvuruların ne şekilde tarafımıza ulaştırılacağına ilişkin yazılı başvuru kanalları özelinde bilgiler verilmektedir.

1. Başvuru Sahibi İletişim Bilgileri

• Başvuru Sahibinin Şirketimiz İle Olan İlişkisi (Müşteri, İş Ortağı, Çalışan Adayı, Eski Çalışan, Üçüncü Taraf Firma Çalışanı, Hissedar/Ortak vb.)

Lütfen KVKK’nın 11. Maddesi Kapsamındaki Talebinizi Belirtiniz:

Lütfen Başvurunuza Vereceğimiz Yanıtın Tarafınıza Bildirilme Yöntemini Seçiniz.

• Adresime gönderilmesini istiyorum.
• E-Posta adresime gönderilmesini istiyorum. (E-Posta yöntemini seçmeniz halinde size daha hızlı yanıt verebileceğiz.)
• Elden teslim almak istiyorum. (Vekâleten teslim alınması durumunda noter tasdikli vekâletname veya yetki belgesi olması gerekmektedir.)

İşbu başvuru formu, Şirketimiz ile olan ilişkinizi tespit ederek, varsa, Şirketimiz tarafından işlenmiş olan kişisel verilerinizi eksiksiz olarak tespit ederek, ilgili başvurunuza doğru ve kanuni süresi içinde cevap verilebilmesi için oluşturulmuştur.

Şirketimiz, kişisel verilerinizin hukuka aykırı olarak 3. Kişilerle paylaşılmasının önüne geçilebilmesi ve kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar.

İşbu başvuru formu kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olduğu, aksi halde söz konusu olabilecek her türlü hukuki ve/veya cezai sorumluluğun tarafıma ait olacağını bildiğimi kabul, beyan ve taahhüt ederim.

Başvuru Sahibi (Kişisel Veri Sahibi)

Adı Soyadı                  :

Başvuru Tarihi           :

İmza                            :

1.1 GİRİŞ

Kişisel Verilerin Korunması Kanunu’nun 12 nci maddesinin birinci fıkrasına göre;

“Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.

Bu kapsamda, kişisel verilerin işlenmesi sürecinde alınması gereken teknik ve idari tedbirler konusunda alınması gereken önlemleri tanımlamak amacıyla bu politika hazırlanmıştır.

1.2.KAPSAM

Şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirket’in sahip olduğu ya da Şirketimizce yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

1.3. HEDEF

Şirket Kişisel Veri Güvenliği Politikası ile Şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulması amaçlanmaktadır.

2. BÖLÜM

2.1. TANIMLAR VE KISALTMALAR

3.BÖLÜM

KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN İDARİ TEDBİRLER

3.1. Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

Bu riskler belirlenirken;

● Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,

● Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,

● Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.

3.2. Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.

Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanısıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir.

Bu nedenle çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.

Tüm çalışanların hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.

Ayrıca kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir.

Öte yandan, çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları istenebilir. Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci de mutlaka olmalıdır.

Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların bilgisine sunulması ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanmalıdır.

Her bir kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir.

3.3. Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kanunun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Ancak, çok fazla miktarda kişisel veri toplamakta olduğundan söz konusu kişisel verilerin bir kısmı zamanla doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler haline gelebilmektedir. Bunun önüne geçebilmek için, işleme amaçları bakımından anılan kişisel verilere hala ihtiyaç olup olmadığının değerlendirilmesi ve kişisel verilerin doğru yerde muhafaza edildiğinden emin olunması gerekmektedir.

Bunun yanında, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.

3.4. Veri İşleyenler ile İlişkilerin Yönetimi

Hizmet alınan veri işleyenlerin kişisel veriler konusunda sağladığı güvenlik seviyesinin yeterli olduğundan emin olunmalıdır. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur. Veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması gereklidir.

Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağının da bu sözleşmede yer alması önem taşımaktadır.

Ayrıca; taraflar arasındaki sözleşmenin niteliği buna elverdiği ölçüde, veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmiş olması, veri işleyenin veri güvenliğini sağlama yükümlüğünü yerine getirmesi açısından faydalı olacaktır. Bununla birlikte kişisel veri içeren sistem üzerinde gerekli denetimler düzenli olarak yapılmalı veya yaptırılmalıdır, denetim sonucunda ortaya çıkan raporlar ve hizmet sağlayıcı yerinde incelenebilir.

4.BÖLÜM

 KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK TEDBİRLER

4.1. Siber Güvenliğin Sağlanması

 Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında öncelikli olarak güvenlik duvarı ve ağ geçidi tedbiri alınmalıdır. Güvenlik duvarının iyi yapılandırılması, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurması açısından çok önemlidir.

Çalışanların kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilmek için İnternet ağ geçidi kullanılmalıdır. Bununla birlikte hemen hemen her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir. Ancak yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları bulunmakta olup, kullanılmayan yazılım ve servislerin cihazlardan kaldırılması potansiyel güvenlik açıklarının azalmasını sağlamaya yardımcı olacaktır. Bu nedenle, kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikli olarak tercih edilmelidir.

 Diğer önemli unsurlardan biri de yama yönetimi ve yazılım güncellemeleridir. Yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi de olası güvenlik açıklarının kapatılması için gereklidir. Ayrıca, kişisel veri içeren sistemlere erişim sınırlı olmalıdır.

 Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır.

Buna bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.

Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması gerekmektedir.

 Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır. Veri sorumluları tarafından, farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi de kişisel veri güvenliğinin sağlanması için önemlidir.

4.2. Kişisel Veri Güvenliğinin Takibi

 Sistemlere içeriden veya dışarıdan gelen saldırılar ve siber suçlar veya kötü amaçlı yazılımlara maruz kalma durumunda, müdahale için geç kalmadan;

• Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
• Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
• Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
• Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
• Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması, gerekmektedir.

 Söz konusu raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması gerekmektedir. Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.

 Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.

 4.3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Şirket yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanan kişisel verilerin, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir.

 Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması önemlidir. Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılmalı veya bileşenlerin ayrılması sağlanmalıdır. Kullanılmakta olan ağın sadece belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilecektir.

Aynı seviyedeki önlemlerin şirket yerleşkesi dışında yer alan kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınması gerekmektedir. Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi gerekmektedir.

Ayrıca çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırdığından bunlar için de mutlaka yeterli güvenlik tedbirleri alınmalıdır. Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulmalı, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin önlemler de alınmalıdır.

Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması kişisel veri güvenliğinin sağlanmasına yardımcı olacaktır.

 Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir. Benzer şekilde, kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmalı, söz konusu evraklara yetkisiz erişim önlenmelidir. Bunlarla birlikte şifreleme farklı farklı formlarda kullanılan ve bu formlara göre farklı şartlar sağlayan bir güvenlik sağlama aracıdır. Bu kapsamda, tam disk şifrelemesiyle cihazın tümü şifrelenebilir ya da cihazda bulunan bir dosya şifrelenebilir.

 Bazı yazılımlar ise verilerde değişiklik yapılmasına izin vermemek için şifre koruması sunmakla birlikte bu yazılımlar kişisel verinin yetkisiz kişiler tarafından okunmasını durdurmaz. Bu nedenle hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunmalı ve bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih edilmelidir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.

4.4.Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü kapsamında şirkete ait bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde getirmektedir. Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının değerlendirilmesi gerekmektedir. Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması gerekmektedir.

Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir.

Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyalarının da yok edilmesi gerekir.

 4.5.Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

 Yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmalıdır. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.

 Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır. Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması gerekir. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması gerekir.

4.6.Kişisel Verilerin Yedeklenmesi

 Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir. Ayrıca kötü amaçlı yazılımlar da halihazırdaki verilere erişime engel olabilmektedir.

Örneğin elektronik cihazlardaki kişisel verileri içeren dosyaları kilitleyen ve bunların açılabilmesi için veri sorumlusunu fidye ödemeye zorlayan kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmesi gerekir. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliğinin de sağlandığından emin olunmalıdır.

5.BÖLÜM

ÖZET TABLOLAR

5.1.Teknik Tedbirler Özet Tablosu

5.2.İdari tedbirler Özet Tablosu

1. Veri Sorumlusunun Kimliği

6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Afa Soğutma Sanayi ve Ticaret Limited Şirketi (“Şirket ”) tarafından aşağıda açıklanan kapsamda işlenebilecektir.

İnternet Adresi: www.elmapazari.com.tr

Telefon Numarası: 03526165353

E-Posta Adresi:  info@elmapazari.com.tr

KEP Adresi: afasogutma@hs01.kep.tr

Adres: Seydili Mahallesi H.Hasan Efendi Caddesi Belediye İşhanı Zemin Kat  No: 4 Yahyalı Kayseri

2. Kişisel Verilerin İşlenme Amaçları

KVKK’nın 10. maddesi ve Tebliğ’in 5. maddesi kapsamında KVKK’nın 4. maddesinde belirtilen işleme şartlarına uygun olarak tedarik kapsamında elde edilen kişisel veriler şu amaçlarla işlenebilmektedir:

• Hukuki uyum süreçlerinin yürütülmesi,
• Operasyonların yönetimi,
• Mali ve finansal işlerin yerine getirilmesi,
• Ticari ve iş stratejilerinin belirlenmesi ve yerine getirilmesi,
• Hizmet sözleşmesine bağlı olarak; hizmet yükümlülüklerinin yerine getirilmesi,
• İşveren sorumluluklarının yerine getirilmesi,
• İş güvenliğinin temini, işin yönetimi, denetimi ve ifası,
• İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
• Hizmet şartlarımızda meydana gelebilecek değişiklikler hakkında bilgilendirme yapılması,
• Elektronik (internet/mobil vs.) veya fiziki ortamda işleme dayanak olacak tüm kayıt ve belgelerin düzenlenmesi,
• Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verilebilmesi,
• Yasal yükümlülüklerin yerine getirilebilmesi ve yürürlükteki mevzuattan doğan hakların kullanılabilmesi,
• Adli ve idari soruşturmalar kapsamında ilgili makamın talep etmesi ve cevap verilmesinin zorunlu olması halinde yasal yükümlülüğün yerine getirilebilmesi,
• İş faaliyetlerinin yürütülmesi,
• İç denetim faaliyetlerinin yürütülmesi,
• Acil durum yönetimi süreçlerinin yürütülmesi,
• İletişim faaliyetlerinin yürütülmesi,
• Muhasebe ve finans işlerinin yürütülmesi,
• Organizasyon ve etkinlik yönetimi,
• Bilgi güvenliği süreçlerinin yürütülmesi,
• Firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi,
• Fiziksel mekan güvenliğinin temini,
• Görevlendirme süreçlerinin yürütülmesi,
• Hukuk işlerinin takibi ve yürütülmesi,
• Hukuki yükümlülüklerin yerine getirilmesi,
• İç denetim/ soruşturma / istihbarat faaliyetlerinin yürütülmesi,,
• İletişim faaliyetlerinin yürütülmesi,
• İnsan kaynakları süreçlerinin planlanması,
• İş faaliyetlerinin yürütülmesi / denetimi,
• İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
• İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
• İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
• Lojistik faaliyetlerinin yürütülmesi,
• Kalite standartlarının sağlanması,
• Kurum binasına giriş ve çıkışların kontrol altında tutulması ve izinsiz girişlerin engellenmesi
• Mal / hizmet satın alım süreçlerinin yürütülmesi,
• Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi,
• Mal / hizmet satış süreçlerinin yürütülmesi,
• Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi,,
• Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
• Mal kaynaklarının güvenliğinin temini.
• Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi.
• Müşteri nezdindeki güvenilirliğin arttırılması,
• Organizasyon ve etkinlik yönetimi,
• Pazarlama analiz çalışmalarının yürütülmesi,
• Performans değerlendirme süreçlerinin yürütülmesi,
• Reklam / kampanya / promosyon süreçlerinin yürütülmesi,
• Risk yönetimi süreçlerinin yürütülmesi,
• Stratejik planlama faaliyetlerinin yürütülmesi,
• Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi,
• Sözleşme süreçlerinin yürütülmesi,
• Talep / şikayetlerin takibi,
• Taşınır mal ve kaynakların güvenliğinin temini,
• Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
• Tedarikçi ilişkiler yönetim süreçlerinin yürütülmesi,
• Ücret politikasının yürütülmesi,
• Ürün faturalarının düzenlenmesi,
• Ürün politikasının yürütülmesi,
• Ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi,
• Yabancı personel çalışma ve oturma izni işlemleri,
• Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
• Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
• Yönetim faaliyetlerinin yürütülmesi,
• Ziyaretçi kayıtlarının oluşturulması ve takibi,
• Saklama ve arşiv faaliyetlerinin yürütülmesi.

3. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel verileriniz;

• Şirketimiz ile imzalamış olduğunuz muhtelif sözleşmeler ile Şirketimize göndermiş olduğunuz elektronik postalar, faks ve mektuplar,
• Veri sahibinin sözlü beyanı,
• Web sitesi, sosyal medya, çağrı merkezi, e-posta, dijital veya basılı anket, matbu form, adli kayıtların taranması,
• İnternet sitelerimize üyelik veya giriş sırasında üye girişi yapmanızı sağlayan sosyal ağlar,
• İnternet sitelerimiz veya üçüncü kişilere ait internet sitelerinde yer alan, bizimle iletişime geçmek üzere doldurduğunuz iletişim formları,
• Çevrimiçi uygulamalar ve bu uygulamalara erişmek isteyenler için kullanılan çerezler (cookies), mobil uygulamalarımız,
• Elektronik ya da fiziki olarak doldurduğunuz üyelik formu,
• Şirketimiz adına veri işleyen veya şirketin yürütülmesini gerektiren herhangi bir safhada şirketimize destek veren faks ve mektuplar,
• Çalışanlarımız, dijital pazarlama ve çağrı merkezi dâhil olmak üzere müşteri hizmetleri kanallarımız,
• Sosyal medya kanalları, Google vb. arama motorlarının kullanımı,
• Kiracılık sözleşmeleri ve sair diğer sözleşmeler, kampanyalar, başvurular, formlar, teklifler,
• SGK kayıtları, Şirketimizin sizlerle iletişime geçtiği kanallar yolu ile toplanmaktadır.

Bu kişisel veriler; KVKK’nın 5.Maddesinin ikinci fıkrasının  (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayalı olarak işlenmektedir.

4. Kişisel Verilerin Aktarılması

Toplanan kişisel verileriniz; yukarıda belirtilen Amaçlar’ın gerçekleştirilmesi doğrultusunda ürün veya hizmet sağlayıcı tedarikçilerimize, ödeme hizmetleri kapsamında anlaşmalı olduğumuz bankalara, kanunlarda açıkça öngörülmesi ve hukuki yükümlülüklerimizin yerine getirilmesi kapsamında kanunen yetkili kamu kurumlarına ve kanunen yetkili özel kişilere Kanun’un 8. maddesinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.

5. İlgili Kişinin Hakları

İlgili kişiler Kanun’un 11. maddesi uyarıca aşağıdaki haklara sahiptirler:

• Kişisel verisinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

İlgili kişi bu haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir şekilde iletebilir. Yukarıda belirtilen haklarınızı kullanmak için kimliğinizi tespit edici gerekli bilgiler ile talep dilekçenizi bizzat elden teslim edebilir, noter kanalıyla veya Kişisel Verileri Koruma Kurulu tarafından belirlenen diğer yöntemler ile gönderebilir.

İlgili kişinin talepleri en kısa sürede ve nihayetinde en geç otuz (30) gün içerisinde ücretsiz olarak değerlendirilip karara bağlanacaktır. Değerlendirme ve karar verme işleminin ayrıca bir maliyeti gerektirmesi durumunda Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret esas alınacaktır.

Detaylı bilgi için www.elmapazari.com.tr adresinde bulunan Kişisel Verilerin Korunması ve İşlenmesi Politikamızı inceleyebilirsiniz.

Çerez Politikası, şirketimiz tarafından yürütülen internet siteleri ile mobil uygulamalar, üçüncü parti programlar veya internet siteleri üzerinden erişilen, kullanılan platformlar için geçerlidir.

Şirketimiz internet sitesini kullanarak çerezlerin bu Çerez Politikası ile uyumlu şekilde kullanılmasını kabul etmiş olursunuz.  Çerez kullanımını onaylamıyorsanız internet sitesine devam etmemenizi ya da çerez tercihlerinizi bu Politika’da gösterildiği şekilde değiştirmenizi rica ederiz. Çerezlere izin verilmemesi halinde internet sitesinin bazı özelliklerinin işlevselliğini yitirebileceğini hatırlatmak isteriz.

İşbu Çerez Politikası “Kişisel Verilerin Korunması Politikası’nın” ayrılmaz bir parçasıdır. Şirketimiz  tarafından kişisel verilerinizin işlenmesine ilişkin daha detaylı bilgi için “Kişisel Verilerin Korunması Politikamızı” incelemenizi tavsiye ederiz.

Çerez (“Cookie”) Nedir?

Çerez (Cookie), internet sitelerinin ziyaretçilerinin bilgisayar veya mobil cihazlarına bıraktıkları küçük boyutlu veri dosyalarına verilen isimdir. Çerezler sanal dünyada geniş çerçevede kullanılan ve web tarayıcılarının otomatik ön kabule tanımlanması sebebiyle ziyaretiniz ile ilgili cihazınızın dil, ayarlar vb. bilgilerinin hatırlanmasına yardımcı olur. İnternet siteleri, kullanıcıların ilk bağlandıklarında oluşturdukları bu veri dosyalarını sonraki bağlanışlarında okuyarak, daha verimli çalışma ve site dili gibi kullanıcı ayarlarını hızlı biçimde yükleme olanaklarına kavuşurlar.

Çerez Türleri Nelerdir?

Çerezler mobil cihazlarda depolanma süreleri ve kimin tarafından yerleştirildikleri gibi kriterlere göre farklı türlere ayrılmaktadır. Bu kriterler kapsamında temel ayrım şu şekildedir:

Çerez Kullanımının Amacı Nedir?

Çerezler birçok farklı hedef için kullanılmaktadır. Bu hedeflerin başlıcaları aşağıda ifade edildiği gibidir:

• İnternet sitesinin işlevselliğini ve performansını arttırmak amacıyla sizlere sunulan hizmetleri geliştirmek,
• İnternet sitesini iyileştirmek ve İnternet sitesi üzerinden yeni özellikler sunmak,
• Ziyaretçiler için daha kişiselleştirilmiş ve daha ilgi çekici bir deneyim sunulabilmek,
• İnternet Sitesinin, kullanıcıların ve Şirketimizin hukuki ve ticari güvenliğinin teminini sağlamak.
• İlginize yönelik ürün ve hizmet tanıtım çalışması yapabilmek,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve Internet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik’ten kaynaklananlar başta olmak üzere, kanuni ve sözleşmesel yükümlülükleri yerine getirilebilmek.

Çerezler Vasıtasıyla Gizli Bilgiler Tutulabilir Mi?

Şirketimiz, çerezler aracılığıyla kullanıcılarının gizli bilgilerini saklamamaktadır. Çerezler sadece ziyaret geçmişinizle ilgili bilgileri içerir ve bilgisayarınızda veya mobil cihazınızda depolanmış dosyalara erişmez. Şirketimiz; işbu Çerez Politikasında kullanıcılarına veya internet sitesi ziyaretçilerine bildirmeksizin değişiklik yapma hakkını haizdir.

Çerezleri Nasıl Kontrol Edebilirsiniz?

Çerezleri dilediğiniz gibi kontrol edebilir veya silebilirsiniz. Cihazınızda hali hazırda mevcut olan çerezleri silebilir ve internet tarayıcınızı çerezleri engelleyebilecek şekilde ayarlayabilirsiniz. Çerezlere ilişkin tercihlerin, ziyaretçinin Platforma erişim sağladığı her bir cihaz özelinde ayrı ayrı yapılması gerekmektedir.

Ancak uyarmak isteriz ki, tarayıcınızı çerezleri engelleyecek şekilde ayarlamanız halinde internet sitemizde yer alan bazı hizmetler gerektiği gibi çalışmayabilir.

Çerezleri kapatmak için;

• Chrome’da tarayıcı ayarlarınızda “Ayarlar/Gizlilik/İçerik Ayarları/Çerez kullanımını kapat” seçeneğini kullanabilirsiniz.
• Internet Explorer kullanıcıları için: “Seçenekler/İnternet Ayarları/Gizlilik/Ayarlar” seçeneklerini kullanabilirsiniz.

• Firefox kulllanıcıları için: “Araçlar/ Seçenekler’/ Gizlilik/ Çerez kabul yöntemi/Firefox kapatılana kadar” seçeneklerini kullanabilirsiniz.
• Safari kullanıcıları için: “Tercihler/Gizlilik/ Web Sitesi Verileri/Bir veya daha fazla web sitesini seçin/Tümünü sil” seçeneğini kullanabilirsiniz.
• Opera kullanıcıları için: “Tercihler/Gelişmiş/Çerezler” seçeneğini kullanabilirsiniz.

1. Veri Sorumlusunun Kimliği

6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Afa Soğutma Sanayi ve Ticaret Limited tarafından aşağıda açıklanan kapsamda işlenebilecektir.

İnternet Adresi:  www.elmapazari.com.tr

Telefon Numarası: 03526165353

E-Posta Adresi:  info@elmapazari.com.tr

KEP Adresi: afasogutma@hs01.kep.tr

Adres: Seydili Mahallesi H.Hasan Efendi Caddesi Belediye İşhanı Zemin Kat  No: 4 Yahyalı Kayseri

Çalışanlara İlişkin İşlenen Kişisel Veriler

Şirketimizce, çalışanlara ilişkin kişisel veriler işbu metinde belirtilen amaçlar ve işleme şartları doğrultusunda işlenebilmektedir. İşlemeye konu kişisel veriler şunlardır:

1. Kimlik Verileri: Ad, soyad, anne-baba adı, doğum tarihi, T.C. kimlik no, cinsiyet, medeni hal, nüfus cüzdan serisıra no, uyruk bilgisi, pasaport bilgileri, görev ve unvan bilgisi, aile yakınları bilgisi.
2. İletişim Verileri: Telefon numarası, e-posta adresi, adres bilgisi, şirket içi iletişim bilgileri (şirket telefon numarası, dâhili telefon numarası, kurumsal e-posta adresi, kayıtlı e-posta adresi).
3. Finansal Veriler: Banka IBAN numarası, bordrolar, icra takip dosyalarına ilişkin dosya ve borç bilgileri.
4. Mesleki Deneyim Verileri: Eğitim durumu, meslek içi eğitim bilgileri, sertifika ve diploma bilgileri, dil bilgileri, gidilen kurslar, eğitim ve beceriler, iş tecrübesi, transkript bilgileri.
5. Görsel ve İşitsel Veriler: Gerçek kişiye ait fotoğraf, kamera kayıtları.
6. Özlük Verileri: Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları, sigorta bilgisi, adli sicil kaydı, izin çıkış ve izinden dönüş tarihi, askerlik durum bilgileri, departman ve birimi.
7. Sağlık Verileri: Sağlık raporu, kan grubu, kişisel sağlık bilgileri, sağlık ve doğum izni belgeleri, engellilik durumuna ait bilgiler, kullanılan cihaz ve protez bilgileri.
8. Diğer Veriler: Kurumsal bilgisayarlarda ip adresi bilgileri, kurumsal bilgisayarlarda internet sitesi giriş- çıkış kayıtları, araç plakası, konaklama ve seyahat bilgileri, el yazı ve imza, talep – şikayet bilgileri.

2. Kişisel Verilerin İşlenme Amaçları

KVKK’nın 10. maddesi ve Tebliğ’in 5. maddesi kapsamında KVKK’nın 4. maddesinde belirtilen işleme şartlarına uygun olarak çalışanların kişisel verileri şu amaçlarla işlenebilmektedir:

• Hizmet sözleşmesine bağlı olarak; hizmet yükümlülüklerinin yerine getirilmesi,
• İşveren sorumluluklarının yerine getirilmesi,
• İş güvenliğinin temini, işin yönetimi, denetimi ve ifası,
• İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
• Hizmet şartlarımızda meydana gelebilecek değişiklikler hakkında bilgilendirme yapılması,
• Çalışanların şikayetlerinin çözülmesi ve veri erişim veya düzeltme taleplerinin işleme alınması,
• Yabancı personel çalışma ve oturma izin işlemlerinin yürütülmesi,
• Elektronik (internet/mobil vs.) veya fiziki ortamda işleme dayanak olacak tüm kayıt ve belgelerin düzenlenmesi,
• İş Kanunu ve diğer tüm mevzuatlar kapsamında sözleşme süreçlerinin yürütülmesi,
• Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verilebilmesi,
• Yasal yükümlülüklerin yerine getirilebilmesi ve yürürlükteki mevzuattan doğan hakların kullanılabilmesi,
• Adli ve idari soruşturmalar kapsamında ilgili makamın talep etmesi ve cevap verilmesinin zorunlu olması halinde yasal yükümlülüğün yerine getirilebilmesi,
• Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
• Çalışanlar için yan haklar ve menfaat süreçlerinin yürütülmesi,
• Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
• Çalışan memnuniyetine yönelik eğitim faaliyetlerinin yürütülmesi,
• Çalışanlara eğitim verilmesine yönelik faaliyetlerin yürütülmesi,
• İş faaliyetlerinin yürütülmesi,
• İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
• Görevlendirme süreçlerinin yürütülmesi,
• İç denetim faaliyetlerinin yürütülmesi,
• Performans değerlendirme süreçlerinin yürütülmesi,
• Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
• Acil durum yönetimi süreçlerinin yürütülmesi,
• İletişim faaliyetlerinin yürütülmesi,
• Muhasebe ve finans işlerinin yürütülmesi,
• Organizasyon ve etkinlik yönetimi,
• Bilgi güvenliği süreçlerinin yürütülmesi,
• Saklama ve arşiv faaliyetlerinin yürütülmesi,
• Fiziksel mekân güvenliğinin temini.

3. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel veriler, hukuki ilişki kurulması sırasında doğrudan ilgili kişiden, üçüncü kişilerden ve yasal mercilerden elde edilebilecektir. Bu kapsamda kişisel veriler; elektronik posta, başvuru formları gibi araçlar üzerinden ve yazılı veya sözlü iletişim kanalları aracılığıyla sözlü, yazılı veya elektronik ortamlardan toplanabilmektedir. İş ve Sosyal Güvenlik Kanunları başta olmak üzere mevzuatlar uyarınca işverenlerin iş sözleşmesi ve kanunlardan doğan yükümlülüklerini eksiksiz ve doğru şekilde yerine getirilmesi için kişisel veriler toplanabilmektedir.

4. Kişisel Verilerin Aktarılması

Güvenliğiniz ve Şirketimizin yasalar karşısındaki yükümlülüklerini ifa etmesi amacıyla kişisel verileriniz, İş Kanunu, İşçi Sağlığı ve İş Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, Türk Ticaret Kanunu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kimlik Bildirme Kanunu ve fakat bununla sınırlı olmamak üzere sair mevzuat hükümleri izin verdiği ve gerektirdiği ölçüde ilgili kurum veya kuruluşlar; Kişisel Verileri Koruma Kurumu, Maliye Bakanlığı, Gümrük ve Ticaret Bakanlığı, Çalışma ve Sosyal Güvenlik Bakanlığı, Türkiye İş Kurumu (İş-Kur), Bilgi Teknolojileri ve İletişim Kurumu gibi kamu tüzel kişileri ile paylaşılabilir. Örneğin; çalışanların kişisel verilerinin işçi ve işveren primlerinin ödenebilmesi amacı ile Sosyal Güvenlik Kurumu ile paylaşılmaktadır.

Ayrıca kişisel verilerinizi;

İş sözleşmesinin yerine getirilmesi için gerekli amacın yerine getirilmesi, özellikle;

• Bordro işlemlerinin yürütülebilmesi ve ilgili verilerin güncellenmesi amacı ile muhasebe programında işleyebiliyoruz. Bu veriler, uygulamanın kendi veri kayıt ortamında saklanmaktadır.

İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile, diğer kanunlar ve mevzuat kapsamında gereklilikleri yerine getirmek amacıyla özellikle;

• Bankacılık mevzuatı kapsamında Bireysel emeklilik fonu kesintileri (BES) ve ücret hesabı, ücret ödemeleri hususunda bankalar ile paylaşabiliyoruz.
• Sağlık verilerinizi, tedavi ve sağlık kontrolü yapabilmesi için işyeri hekimimiz ile paylaşabiliyoruz.
• Şirket denetçilerine, denetim faaliyetlerini gerçekleştirebilmeleri için bordro bilgilerini aktarabiliyoruz.
• Anlaştığımız tedarikçi firmalara maaş ve bordro uygulama yazılımları vasıtasıyla özlük hesaplamalarınızın yapılabilmesi amacıyla aktarabiliyoruz.

Afa Soğutma Sanayi ve Ticaret Limited Şirketi içerisinde güvenliğin sağlanması amacıyla özellikle;

• İşyeri güvenliği amacıyla giriş-çıkışların denetlenmesi için işyeri bina yönetimine aktarabiliyoruz.

Hukuki yükümlülüklerimizi yerine getirmek nedeniyle özellikle;

• Savunma hakkımızı kullanabilmemiz için avukatlarımıza ve hukuka ve usule uygun olması koşuluyla mahkeme kararı veya delil talebi gibi hukuki talepleri yerine getirme yükümlülüğümüz çerçevesinde ilgili kurumlarla paylaşılabiliyoruz.

Afa Soğutma Sanayi ve Ticaret Limited Şirketi’nin idaresi, işin yürütülmesi, şirket politikalarının uygulanması amacıyla, özellikle;     

• Bağlı olduğumuz veya ortaklaşa çalıştığımız kamu kurumları ile iç işleyişimizi sağlamak açısından söz konusu kurumlara çalışma süreçlerinin düzenlenmesi amacıyla kişisel verilerinizi aktarabiliyoruz.
• Kişisel verilerinizden gerekli olanlar, ulaşım, araç tedariki, kartvizit basımı, otopark kaydı gibi sebeplerle ilgili konuda hizmet satın alınan firmaya da aktarılabilmektedir.

5. İlgili Kişinin Hakları

İlgili kişiler Kanun’un 11. maddesi uyarıca aşağıdaki haklara sahiptirler:

• Kişisel verisinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
• İlgili kişi bu haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir şekilde iletebilir. Yukarıda belirtilen haklarınızı kullanmak için kimliğinizi tespit edici gerekli bilgiler ile talep dilekçenizi bizzat elden teslim edebilir, noter kanalıyla veya Kişisel Verileri Koruma Kurulu tarafından belirlenen diğer yöntemler ile gönderebilir.
• İlgili kişinin talepleri en kısa sürede ve nihayetinde en geç otuz (30) gün içerisinde ücretsiz olarak değerlendirilip karara bağlanacaktır. Değerlendirme ve karar verme işleminin ayrıca bir maliyeti gerektirmesi durumunda Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret esas alınacaktır.

Detaylı bilgi için www.elmapazari.com.tr adresinde bulunan Kişisel Verilerin Korunması ve İşlenmesi Politikamızı inceleyebilirsiniz.

Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında veri sorumlusu sıfatıyla Afa Soğutma Sanayi ve Ticaret Limited Şirketi tarafından hazırlanmıştır.  

1. Veri Sorumlusunun Kimliği

6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Afa Soğutma Sanayi ve Ticaret Limited Şirketi tarafından aşağıda açıklanan kapsamda işlenebilecektir.

İnternet Adresi: www.elmapazari.com.tr

Telefon Numarası:03526165353

E-Posta Adresi: info@elmapazari.com.tr

KEP Adresi: afasogutma@hs01.kep.tr

Adres: Seydili Mahallesi H.Hasan Efendi Caddesi Belediye İşhanı Zemin Kat  No: 4 Yahyalı Kayseri

2. Kişisel Verilerin İşlenme Amaçları

Afa Soğutma Sanayi ve Ticaret Limited Şirketi  olarak kişisel verilerinizi, çalışan adayı- işveren adayı hukuki ilişkisi içerisinde iş sözleşmesinin kurulması için gerekli olması sebebiyle aşağıdaki amaçlarla işlemekteyiz;

• Yeni personel istihdam edilmesi,
• Özgeçmişlerde yer verilen referans kişileriyle tarafınıza ait verilerin ve bilgilerin teyit edilmesi,
• Aday olunan pozisyona uyumluluğun tespiti ve ileriye dönük teyit için özgeçmiş bilgilerinin kaydedilmesi,
• Şirket içerisinde güvenliğin sağlanması,
• Şirketin iş koşulları için gerekli olan eğitim, sağlık, nitelik ve becerilerin tespiti ve değerlendirilmesi,
• Personel adaylarının incelenmesi ve istihdam edilecek yeni adayın tespit edilmesi,
• Şirket içerisinde güvenliğin sağlanması,
• Şirket merkezinin bulunduğu giriş çıkışın temin edilmesi,
• Kurum kültürü ve teamüllerine uyum sağlama eğilimlerinin belirlenmesi,
• İletişimin sağlanması,
• Ücret bilgi ve skalasının belirlenmesi amaçlarıyla işlenmektedir.

3. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel verileriniz Şirketimiz ile temas etmeniz halinde; yazılı veya elektronik ortamda yayınlanan dijital başvuru formu, çalışan adaylarının Şirketimize   e-posta, kargo, faks, internet sitesi kanalları, referans veya benzeri yöntemlerle ulaştırdıkları özgeçmişleri ile istihdam veya danışmanlık şirketleri vasıtasıyla elektronik ve/veya fiziki ortamdan toplanmaktadır.

Ayrıca, kişisel verileriniz Kanun’un 5. ve 6. maddelerinde düzenlenen sözleşmenin kurulması ve ifası, meşru menfaat ile bulunması halinde açık rıza hukuki sebeplerine dayalı olarak toplanmaktadır.

Ayrıca yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek, Şirketimizin hizmetlerini geliştirmeye ve daha efektif hale getirmeye yönelik meşru menfaati gereği kişisel verileriniz toplanmaktadır.

Kişisel verileriniz elektronik ve/veya fiziksel ortamlarda saklanacaktır. Şirketimiz tarafından temin edilen ve saklanan kişisel verilerinizin saklandıkları ortamlarda yetkisiz erişime maruz kalmamaları, manipülasyona uğramamaları, kaybolmamaları ve zarar görmemeleri amacıyla gereken iş süreçlerinin tasarımı ile teknik güvenlik altyapı geliştirmeleri uygulanmaktadır. Kişisel verileriniz, size bildirilen amaçlar ve kapsam dışında kullanılmamak kaydı ile gerekli tüm bilgi güvenliği tedbirleri de alınarak işlenecek ve yasal saklama süresince veya böyle bir süre öngörülmemişse işleme amacının gerekli kıldığı süre boyunca saklanacak ve işlenecektir. Bu süre sona erdiğinde, kişisel verileriniz silinme, yok edilme ya da anonimleştirme yöntemleri ile Şirketimiz veri akışlarından çıkarılacaktır.

4. Kişisel Verilerin Aktarılması

Kişisel verileriniz; güvenliğiniz ve Şirketimizin yasalar karşısındaki yükümlülüklerini yerine getirmek amacıyla İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve fakat bununla sınırlı olmamak üzere sair mevzuat hükümleri izin verdiği ve gerektirdiği ölçüde sadece şirket içi ilgili departmanın değerlendirmesine sunmak ve pozisyona uygunluğunu teyit etmek amacıyla Şirket içerisinde aktarılabilecektir. Aynı zamanda çalışan adayının istihdamıyla ilgili uygun pozisyonun değerlendirilmesi amacıyla grup şirketlerine aday özgeçmişleri yönlendirilebilmektedir.

5. İlgili Kişinin Hakları

İlgili kişiler Kanun’un 11. maddesi uyarıca aşağıdaki haklara sahiptirler:

• Kişisel verisinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

İlgili kişi bu haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir şekilde iletebilir. Başvurularda, ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için TC kimlik numarası, yabancılar için uyruğu, pasaport numarası/kimlik numarası, tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirime esas elektronik posta adresi, telefon veya faks numarası ve talep konusu bulunması zorunludur.

Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda özel olarak yetkili olmanız ve yetkinizin belgelendirilmesi, başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin eklenmesi gerekmektedir.

KVKK’nın 11’inci maddesi uyarınca sahip olduğunuz haklarınızı kullanmak için web sitemizdeki başvuru formunu eksiksiz doldurup ıslak imzalı bir nüshasını Seydili Mahallesi H.Hasan Efendi Caddesi Belediye İşhanı Zemin Kat  No: 4 Yahyalı Kayseri adresinde bulunan Afa Soğutma Sanayi ve Ticaret Limited Şirketi ‘nin genel müdürlüğüne şahsen veya noter kanalı ile iletmeniz gerekmektedir.

İlgili kişinin talepleri en kısa sürede ve nihayetinde en geç otuz (30) gün içerisinde ücretsiz olarak değerlendirilip karara bağlanacaktır. Değerlendirme ve karar verme işleminin ayrıca bir maliyeti gerektirmesi durumunda Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret esas alınacaktır.

Detaylı bilgi için www.elmapazari.com.tr adresinde bulunan Kişisel Verilerin Korunması ve İşlenmesi Politikamızı inceleyebilirsiniz.