Kişisel Verilerin Korunması, İşlenmesi ve Gizlilik Politikası

İçindekiler

  1. Amaç. 4
  2. Kapsam.. 4
  3. Kaynaklar. 4
  4. Tanımlar. 4
  5. Kişisel Verilerin İşlenmesinde Geçerli Olan Genel İlkeler. 6
    1. 5.1. Hukuka ve dürüstlük kurallarına uygun olma. 6
    2. 5.2. Doğru ve gerektiğinde güncel olma. 6
    3. 5.3. Belirli, açık ve meşru amaçlar için işlenme. 6
    4. 5.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. 6
  6. Kişisel Verilerin İşlenme Şartları 7
    1. 6.1. Özel Nitelikli Olmayan Kişisel Verilerin İşlenme Şartları 7
    2. 6.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları 7
  7. Kişisel Verilerin Muhafaza (Saklanması) Edilmesi 8
    1. 7.1. Dijital Ortamlar. 8
    2. 7.2. Fiziksel Ortamlar. 8
    3. 7.3. Saklama Ortamlarının Belirlenmesi 9
  8. Kişisel Verilerin Aktarılması 9
    1. 8.1. Kişisel Verilerin Yurt İçine Aktarılması 9
    2. 8.2. Kişisel Verilerin Yurt Dışına Aktarılması 9
  9. Kişisel Verilerin İmhası 9
    1. 9.1. İmha Yöntemleri 9
    2. 9.2. İmha Süreleri 10
    3. 9.3. Periyodik İmha. 10
  10. Güvenlik Tedbirleri 10
    1. 10.1. Güvenlik Tedbirlerinin Amaçları 10
    2. 10.2. Kişisel Veri İşleme Envanteri 10
    3. 10.3. Eğitim.. 10
    4. 10.4. Denetim.. 11
    5. 10.5. Veri İhlali 11
  11. İlgili Kişinin Aydınlatılması 11
    1. 11.1. İlgili Kişinin Başvurusu. 11
    2. 11.2. Veri Sorumlusuna Başvurulamayacak Durumlar. 11
    3. 11.3. Başvurunun Cevaplandırılması 12
  12. Veri Sorumluları Sicili (VERBİS). 12
  13. Politikanın Güncellenmesi 12
    1. 13.1. Politikada Yapılan Güncellemeler. 12
  14. Politikanın Duyurulması ve Saklanması 13
  15. Politikada Düzenlenmeyen Durumlar. 13
  16. Yürürlük. 13
  17. Yürütme. 13

1. Amaç

Alanar Meyve Ve Gıda Üretim Pazarlama Sanayi Ticaret A.Ş. (Alanar Meyve) olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya ‘‘Kanun’’) yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi bir yöntemle kişisel verisini işlediğimiz tüm gerçek kişilerle ilgili kişisel verilerin korunmasına ve Kanun’da yer alan yükümlülüklerimizin eksiksiz yerine getirilmesine büyük önem veriyoruz.

Kişisel Verilerin Korunması, İşlenmesi ve Gizlilik Politikası (“Politika”), kişisel verilerin Alanar Meyve tarafından elde edilmesi, işlenmesi, muhafaza edilmesi ve aktarılması süreçleri ve riayet edilen ilkeler hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır. Bu belge Alanar Meyve’nin iç bünyesinde geçerli olan politikalar kaynak alınarak hazırlanmıştır. Kamuya açıklanması gerekmeyen ve kamunun menfaati olmayan bilgilere yer verilmemiştir.

İşbu Politika’da, Alanar Meyve tarafından ilgili kişilerin kişisel verilerinin işlenmesine ilişkin esaslara yer verilmiş olup, bu açıklamalar Alanar Meyve çalışanlarını, iş ilişkisi içinde olunan tedarikçileri ve müşterileri, ziyaretçileri ve Alanar Meyve’nin kişisel veri işleme faaliyetinde yer alan tüm gerçek kişileri kapsar.

2. Kapsam

Bu politika, Alanar Meyve’nin işleme amaçlarını ve vasıtalarını belirlediği, kurulmasından ve yönetilmesinden sorumlu olduğu dijital ya da analog veri kayıt sistemlerinde saklanan ve otomatik olan ya da olmayan yöntemlerle ilgili kişilerden elde edilen tüm kişisel veriler için uygulanır.

Alanar Meyve’nin veri sorumlusu kabul edildiği her türlü kişisel veri saklama ve imha faaliyetine uygulanır.

Alanar Meyve’nin veri işleyen olarak gerçekleştirdiği kişisel veri işleme faaliyetlerine ise Kanun’da düzenlenen veri işleyenin yükümlülükleri çerçevesinde uygulanır.

3. Kaynaklar

Politika’nın hazırlanmasında kullanılan kaynaklar:

    • a) 6698 sayılı Kişisel Verilerin Korunması Kanunu
    • b) Veri Sorumluları Sicili Hakkında Yönetmelik
    • c) Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik
    • ç) Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ
    • d) Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ
    • e) Kişisel Verileri Koruma Kurulu İlke Kararları
    • f) Kişisel Verileri Koruma Kurulu Kararları
    • g) Diğer mevzuatlarda yer alan kişisel veriler ve işlenmesi ile ilgili düzenlemeler

4. Tanımlar

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

İlgili kişi: Kişisel verisi işlenen gerçek kişi

İlgili kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisi

İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi

Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel verilerin saklanması: Kişisel verilerin elde edilmesini takiben içeriğini, değerini veya anlamını elde edilmesinden sonraki bir zamanda tekrar işleyebilmek için veri saklamaya elverişli bir ortamda kayıt edilmesi

Kurul: Kişisel Verileri Koruma Kurulu

Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfı

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumluları sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan

5. Kişisel Verilerin İşlenmesinde Geçerli Olan Genel İlkeler

Kişisel veriler Kanun’da yer alan genel ilkelere uygun olarak işlenir.

5.1. Hukuka ve dürüstlük kurallarına uygun olma

Bu ilke uyarınca, kişisel veri işleme faaliyetleri başta Anayasa ve KVKK olmak üzere ilgili tüm mevzuata uygun olarak ve dürüstlük kurallarına riayet ederek gerçekleştirilir.

Şeffaf ve hesap verebilir olmak için gerekli tedbirleri alır.

5.2. Doğru ve gerektiğinde güncel olma

Kişisel verilerin elde edilmesi sırasında doğru olması için gerekli tedbirleri alır. Tekrardan işlenmesi gerektiğinde güncel olması için beklenen çabayı gösterir. İlgili kişilerin kişisel verilerinde düzeltme veya güncelleme yapabilmeleri için uygun yöntemleri belirler, erişimin kolay ve en az maliyetle sağlanabilmesi için azami çabayı gösterir.

5.3. Belirli, açık ve meşru amaçlar için işlenme

Kişisel veriler yalnızca, görünen ve sınırları belirli amaçlar için işlenir. Yürürlükteki mevzuata aykırı veya iş faaliyetleriyle uyumsuz amaçlar için kişisel veriler işlenmez. Tüm kişisel veri işleme faaliyetlerinde şeffaf ve hesap verebilir durumdadır.

5.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Elde edilen veya işlenen kişisel verilerin minimum sayıda ve detayda olmasına çalışılır. Kişisel verilerin elde edilmesinde işlendikleri amaçlar gözetilerek amaçla bağlantısız olan veya amaca ulaşmak için gerekli olmayan kişisel veriler işlenmez. Amaca ulaşılması yeterli minimum veri işlenir. Gelecekte olabilecek ihtiyaçlar için kişisel veri elde edilmez ve muhafaza edilmez.

5.4.1. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel verilerin işlendikleri amaç için muhafaza edilecekleri azami süreler bellidir. İlgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süre; yoksa işlendikleri amaç için gerekli olan süre kadar muhafaza edilir.

Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;

  • a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
  • b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  • c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
  • ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  • d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
  • e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
  • f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

Dikkate alınır.

6. Kişisel Verilerin İşlenme Şartları

Kişisel verilerin işlenme şartları Kanun’la düzenlenmiştir. Özel nitelikli kişisel veriler ile özel nitelikli kişisel veri olmayanlar işlenme şartları açısından ayrı değerlendirilir.

6.1. Özel Nitelikli Olmayan Kişisel Verilerin İşlenme Şartları

Temel kural ilgili kişinin açık rızası olmadan kişisel verilerin işlenmemesidir.

Kanun bazı durumlarda özel nitelikli olmayan kişisel verilerin ilgili kişinin açık rızası olmadan da işlenebileceği şartları düzenlemiştir.

  • a) Kanunlarda açıkça öngörülmesi
  • b) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • ç) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • d) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • e) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemler alınır.

Özel nitelikli kişisel verilerin işlenmesinde de temel kural da ilgili kişinin açık rızasıdır.

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise;

  • a) Kamu sağlığının korunması,
  • b) Koruyucu hekimlik,
  • c) Tıbbî teşhis
  • ç) Tedavi ve bakım hizmetlerinin yürütülmesi,
  • d) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

Amaçları için sır saklama yükümlülüğü (örneğin işyeri hekimi) altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir.

7. Kişisel Verilerin Muhafaza (Saklanması) Edilmesi

Kişisel verilerin saklanması bir kişisel veri işleme faaliyetidir ve kişisel veri işleme şartlarına uygun olarak gerçekleştirilir.

Kişisel veriler ancak saklanması gerekli olduğu durumlarda uygun olan ortamda veya ortamlarda saklanabilir. Saklama dışındaki diğer kişisel veri işlemeler saklanmasını gerektirmiyorsa kişisel veriler imha edilir.

Kişisel veriler fiziksel ve dijital ortamlarda elde edilebildiği gibi fiziksel ortamdan dijitale, dijital sistemden de fiziksel ortama aktarılabilir. Her iki ortamdaki kişisel veri işleme faaliyetlerinde uygun olduğu ölçüde aynı kurallar uygulanır.

7.1. Dijital Ortamlar

Bu politika kapsamında dijital olarak elde edilen veya sonradan dijitale çevrilen kişisel verilerin saklandığı ve bilişim sistemleri tarafından işlenebildiği dijital ortamlardan yaygın olanları:

  • a) Sunucular (Üzerinde dijital kişisel veri saklanabilen ve hizmet üretmek amacıyla (veri tabanı, e-posta, etki alanı vb.) kullanılabilen cihazlar)
  • b) Ağ ve bilgi güvenliği cihazları (router, firewall, switch vb.)
  • c) Kişisel bilgisayarlar (Masaüstü, dizüstü vb.)
  • ç) Mobil cihazlar (mobil telefon, tablet vb.)
  • d) Taşınabilir hafızalar (çıkartılabilir USB bellekler, CD/DVD, hafıza kartları)
  • e) Bulut
  • f) Kart okuyucular, güvenlik kameraları

7.2. Fiziksel Ortamlar

Fiziksel ortamda elde edilen ya da dijital ortamdan fiziksel ortama çevrilen kişisel verilerin bulunduğu ortamlar:

  • a) Form, defter gibi yazma araçları ile kişisel veri yazılabilecek veya baskı yoluyla elde edilmiş kişisel veri barındırabilen her türlü kâğıt
  • b) Üzerinde sayısallaştırılmadan kişisel veri saklamaya müsait kâğıt dışındaki her türlü ortam (kart, plaket vb.)

Bir veri kayıt sisteminin parçası olmayan fiziksel ortamlarda bulunan kişisel veriler için bu politika uygulanmaz.

7.3. Saklama Ortamlarının Belirlenmesi

Saklanması gereken kişisel verilerin saklanma ortamları belirlenirken zorunlu olan en az ortam kullanılır. Kişisel verilerin elde edildiği ilk ortam saklamak için uygunsa ilk ortamdaki hali korunur. İlk hali saklamaya uygun değilse, saklama süresi boyunca saklanmasına imkân vermiyorsa, işlenmesini zorlaştırıyorsa veya veri risk altında ise başka ortamda da saklanmasına karar verilebilir.

8. Kişisel Verilerin Aktarılması

Kişisel veriler yurt içinde veya yurt dışında başka veri sorumlularına veya veri işleyenlere aktarılabilir. Aktarım faaliyetleri mevzuata uygun şekilde gerçekleştirilir.

Kişisel veriler KVKK Md.28/1 çerçevesinde yetkili kurum ya da kuruluş tarafından talep edilmesi halinde aydınlatma yükümlülüğü olmadan ve açık rızanız aranmadan ilgili makamlara aktarılabilir.

Kişisel veriler ayrıca kanunlarda açıkça belirtilmiş durumlarda talep edilmesi halinde yetkili kamu kurumlarına (bakanlıklar, Cumhurbaşkanlığı kurulları gibi idari makamlara) kanunda öngörülen amaç ve sınırlamalar dâhilinde ilgili kişiye karşı aydınlatma yükümlülüğü yerine getirilerek aktarılabilir.

8.1. Kişisel Verilerin Yurt İçine Aktarılması

Kişisel veriler kişisel veri işleme şartlarına uygun olarak yurt içinde diğer veri sorumlularına aktarılabilir. Özel nitelikli kişisel verilerin aktarılmasında ayrıca Kurulca öngörülen önlemler alınır. (Bkz: Kişisel Verilerin İşlenme Şartları)

8.2. Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel veriler yurt dışına ilgili kişinin açık rızasının bulunması halinde aktarılır.

9. Kişisel Verilerin İmhası

Kişisel veriler, saklanmasını gerektiren durumun ortadan kalkması halinde imha edilir.

9.1. İmha Yöntemleri

9.1.1. Silme

Kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlanır. Kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi saklama ortamlarından geri dönüştürülemeyecek şekilde silinir.

Elektronik ortamda olan ve silme işlemi uygulanabilecek kişisel veriler silinme işlemi ile silinir. Silme işlemi sonrasında geri getirilmesini önleyici tedbirler alınır.

Elektronik ortamda olmasına rağmen silme işlemi uygulanamayacak kişisel veriler için bulunduğu medyayı yok etme yöntemi kullanılır.

Kağıt ve benzeri fiziksel ortamda saklanan belgelerde silme işlemi kişisel verinin üstünün çıkmayacak koyu renk ile kapatılması ile gerçekleştirilir.

9.1.2. Yok Etme

Kişisel verilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi ortamların imha edilmesidir.

Dijital ortamlarda silinme işlemi gerçekleştirilebiliyorsa yok etme yöntemi kullanılmaz. Silinme işlemenin gerçekleştirilemeyeceği optik ortamlarda ortamın çok küçük parçalara ayrılması yöntemi uygulanır.

9.1.3. Anonim Hale Getirme

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel veriler, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

9.2. İmha Süreleri

İşlenme şartları saklama sürelerinin sona ermesi ile ortadan kalkan kişisel veriler için imha süresi en fazla altı aydır.

İşlenme şartları sadece açık rızaya dayanan kişisel veriler açık rızanın ilgili kişi tarafından geri alınması durumunda 30 gün içinde imha edilir. İşlenme şartı sadece açık rıza olan ancak açık rızanın geri alınmasının dışında bir sebeple imhası öngörülen kişisel veri için imha süresi altı aydır.

9.3. Periyodik İmha

Öngörülen imha süresi periyodik imha zaman diliminden önce biten kişisel veriler periyodik imha zamanı beklenmeden imha edilirler.

Periyodik imha süresi altı aydır. Periyodik imha, imhası gereken kişisel verilerin türlerine ve sayılarına göre makul bir süreye yayılabilir.

10. Güvenlik Tedbirleri

10.1. Güvenlik Tedbirlerinin Amaçları

Alanar Meyve;

  • a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

10.2. Kişisel Veri İşleme Envanteri

Alanar Meyve bünyesinde gerçekleşen kişisel veri işleme faaliyetlerinin envanteri çıkartılmıştır. Tüm faaliyetler gözden geçirilmiş gerekli değişiklikler yapılmıştır. Gerek olması halinde envanter güncellenmektedir.

Kişisel verileri Alanar Meyve adına işleyen diğer gerçek veya tüzel kişilerin de aynı tedbirleri almasını sağlamaktadır.

10.3. Eğitim

Alanar Meyve kendi kurum veya kuruluşunda, kişisel verilerin korunması konusunda farkındalığın oluşması ve ilgili kişilerin hak ve menfaatlerinin korunması amacıyla gerekli eğitim faaliyetlerini yürütmektedir. Kişisel veri işleyenlerin, öğrendikleri kişisel verileri başkalarına açıklayamayacakları ve görevlerinden ayrılmaları durumunda bu yükümlülüğün devam ettiğinin bilincinde olması sağlanmaktadır.

10.4. Denetim

Kurum içi ya da kurum dışından periyodik veya anlık denetimler gerçekleştirilerek belirlenen kurallara uyum denetlenmektedir.

10.5. Veri İhlali

Veri ihlali durumunda uygulanacak usul ve esaslar belirlenmiştir.

11. İlgili Kişinin Aydınlatılması

Alanar Meyve kişisel verisi işlenen ilgili kişileri süreç bazlı, anlaşılır ve yeterli düzeyde ayrıntılı, mevzuatla uyumlu, uygun yöntemle ve makul sürede aydınlatmayı amaçlamaktadır. Kişisel veri işlemenin açık rızaya bağlı olması durumunda da ilgili kişinin açık rızanın sonuçları konusunda doğru şekilde bilgilendirilmesine önem vermektedir.

11.1. İlgili Kişinin Başvurusu

İlgili kişiler kişisel verilerine ilişkin haklarını kullanmak için öncelikle veri sorumlusuna başvurmak zorundadırlar. Kanunun 14’üncü maddesine göre Kişisel Verileri Koruma Kurulu’na doğrudan şikâyette bulunulamaz.

Kanun uyarınca ilgili kişi;

  • a) Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
  • d) Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • e) İşlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
  • f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • g) İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • ğ) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

Haklarını kullanabilir.

İlgili kişiler haklarını aydınlatma metinlerinde yer alan yöntemleri kullanarak iletebilirler.

11.2. Veri Sorumlusuna Başvurulamayacak Durumlar

İlgili kişiler zararının giderilmesini talep etme hakkı hariç olmak üzere veri sorumlusuna başvuru hakkını, aşağıdaki hâllerde kullanamaz:

  • a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

11.3. Başvurunun Cevaplandırılması

İlgili kişilerin başvuruları titizlikle incelenir ve en kısa zamanda ve her halde en fazla 30 gün içerisinde ilgili kişinin talebine uygun olarak ya da uygun görülecek başka bir yöntemle cevaplandırılır. Cevap için herhangi bir ücret talep edilmemektedir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret başvurandan talep edilebilir.

Başvurucunun taleplerinin karşılanabilmesi için kimliğin ispat edilmesi veya başka bir sebepten dolayı başvurucudan ek bilgi veyahut belge talep edilebilir.

12. Veri Sorumluları Sicili (VERBİS)

Alanar Meyve Kanun’da öngörülen ve Kişisel Verileri Koruma Kurumu tarafından tutulan Veri Sorumluları Sicili’ne kayıtlıdır. Kişisel veri işleme envanterine dayanılarak hazırlanan sicil kaydına herkes ulaşabilmektedir. (https://verbis.kvkk.gov.tr)

VERBİS kaydında;

    • a) Veri konusu kişi grupları,
    • b) Kişisel veri kategorileri,
    • c) İşlenme amaçları,
    • ç) Azami saklama süreleri,
    • d) Kişisel verilerin aktarıldığı kişiler,
    • e) Yurt dışına aktarılan kişisel veri kategorileri
  • f) Güvenlik tedbirleri

görülebilir.

Mevzuata uygun olarak gerekli durumlarda sicil kaydı güncellenmektedir.

13. Politikanın Güncellenmesi

Politika her yıl bir kez gözden geçirilir ve yapılması gereken değişikliklerin tespiti durumunda güncellenir. Ayrıca kişisel veri işleme envanterinde yapılan değişikliklerin politikanın güncellenmesini gerektirmesi durumunda da politika güncellenir.

13.1. Politikada Yapılan Güncellemeler

Aşağıdaki tabloda Politikada yapılan güncellemeler ve tarihleri gösterilir.

Tarih Değişiklik Sebebi
1.4.2020 Birinci sürüm hazırlandı İlk hazırlandığı halin duyurulması

 

14. Politikanın Duyurulması ve Saklanması

Politika kamuya açık olması sebebiyle internet sitesinde yayınlanır.

Politika Hukuk Müşavirliği tarafından saklanır.

15. Politikada Düzenlenmeyen Durumlar

Politikada düzenlenmeyen veya Politikanın uygulanması sonucu ortaya çıkabilecek ihtilaflarda kaynaklara başvurulacaktır. Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır.

16. Yürürlük

İşbu Politika’nın yürürlük tarihi 31.12.2020’dir. Alanar Meyve tarafından düzenlenerek 21.12.2017 tarihinde yürürlüğe giren versiyon işbu Politika yürürlük tarihi itibarıyla yenilenmiştir.

17. Yürütme

Politika Hukuk Müşavirliği tarafından yürütülür.