Kaliteyi herkes taşıyor...

K.V.K.K

  • Anasayfa
  • Kişisel Verilerin İşlenmesi ve Korunması Politikası

Kişisel Verilerin İşlenmesi ve Korunması Politikası

1.Estaş Eksantrik Sanayi Ve Ticaret A.Ş.

2.Giriş

2.1.Politikanın Amacı

ESTAŞ Yönetim Kurulu ve tüm personelleri, Kişisel Verilerin Korunması ve İşlenmesi Politikası doğrultusunda,kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), sair mevzuat tarafındangetirilmiş ilkelere, kurallara uymayı ve ilgili kişilerin haklarını korumayı taahhüt etmektedir. Bu amaçla, uygulanmak ve geliştirilmek üzereyazılı bir KişiselVeri Koruma Politikası ve Sistemi benimsemiştir.

Kişisel Veri Koruma Politikasının amacı ESTAŞ ’in;

  • Kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması;
  • Organizasyonel hedef ve yükümlülüklerin belirlenmesi, desteklenmesi,
  • ESTAŞ ’in kabul edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi,
  • Kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar, sözleşmeler ve meslekkuralları uyarınca tabi olunan yükümlülüklerin yerine getirilmesi,
  • Bireylerin menfaatlerinin en iyi şekilde korunmasıdır.

2.2.Politikanın Kapsamı

İşbu politika, ESTAŞ için hazırlanmış olup kurum bünyesinde verilen hizmetleri kapsamına almaktadır. Politikahükümleri, ESTAŞ in faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dâhil olantüm bilgi sistemlerini ve alt bilgileri, sözleşmeleri, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu politikaESTAŞ in Yönetim Kurulu’nu, tüm birimleri, her türlü hizmeti veren firma çalışanlarını,stajyer ve sözleşmeli personeli kapsamaktadır. Kişisel Verilerin Korunması Kanunu (KVKK) veya bu politikayı ihlal edici her türlü eylem, ilgili mevzuatkapsamında değerlendirilir ve bu doğrultuda yaptırımlar uygulanır.

ESTAŞ in kişisel verilere erişimi veya erişme ihtimali bulunan çözüm ortakları, kamu kurumları, sigorta şirketlerive ESTAŞ ile çalışan tüm üçüncü taraflar bu politikayı okumaya ve politikaya uymaya davet edilir. Üçüncütaraflar, kişisel verilerin korunması konusunda en az ESTAŞ kadar güçlü ve yeterli standartlara sahip bir sistemile kişisel verilerin korunmasını sağlamalıdır. Üçüncü taraflar ile ESTAŞ arasında kişisel verilerin korunması kapsamındaki yükümlülükler ve bunlara ilişkin denetim hakkını içeren yazılı bir gizlilik anlaşması yapılacaktır. Üçüncü taraflar tarafından gizlilik anlaşmasıimzalanmadan ESTAŞ tarafından işlenen kişisel verilere erişim sağlayamayacaktır. Kişisel Verilerin Korunması veİşlenmesi Politikası ile birlikte ESTAŞ in benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.

2.3.Politikanın Hedefi

ESTAŞ bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusundafarkındalığın oluşması, hedef doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumunu temin etmek için gereken düzenin kurulmasıamaçlanmaktadır. Bu kapsamda Politika ile Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanmasıbakımından yol gösterme hedefi gözetmektedir.

2.4.Tanım Ve Kısaltmalar

  • ESTAŞ :Estaş Eksantrik Sanayi Ve Ticaret A.Ş.
  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüde yerbırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilenonay.
  • Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirliveya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
  • Çalışan:Estaş Eksantrik Sanayi Ve Ticaret A.Ş. bünyesinde görev alan personel.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • Özel Nitelikli Kişisel Veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veyadiğer inançları, kılık ve kıyafeti, dernek, vakıf yada sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen, otomatik olan ya da herhangi birveri kayıt sisteminin parçası olmak kaydıylaotomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak, veri sorumlusu adına kişisel verileri işleyengerçek veya tüzel kişi.
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sistemininkurulmasında ve yönetilmesinden sorumlu gerçek veyatüzel kişi.
  • KVK Kurulu:Kişisel verileri koruma kurulu.
  • KVK Uyum Süreci:ESTAŞ tarafından yürürlüğe konulmuş, kişisel verilerin korunmasına ilişkin mevzuat ileuyumluluğun sağlanmasına ilişkin program.
  • KVK Kurumu: Kişisel Verileri Koruma Kurumu.
  • KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan, 6698 Sayılı Kişisel VerilerinKorunması Kanunu.
  • Politika:ESTAŞ Kişisel Verilerin İşlenmesi ve Korunması Politikası.
  • Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim HaleGetirilmesi Hakkında Yönetmelik gereğince, ESTAŞ tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan “ESTAŞ Veri Saklama ve İmha Politikası”.
  • Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
  • Kayıtlı Elektronik Posta (KEP): Her türlü ticari, hukuki yazışma ve belge paylaşımlarını gönderildiği biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemdir.
  • Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerindenerişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

2.5.Kişisel Verilere İlişkin Görev Dağılımı

  • Yönetim Kurulu(ESTAŞ Yönetim Kurulu Üyeleri): Şirket politikasına uygun şekilde iş ve işlemlerin yürütülmesinisağlamak.
  • KVKK Komitesi(ESTAŞ Tarafından Kişisel Verilerin Korunmasına İlişkin Uyum Sürecinde Belirlenen Kişilerden Oluşan Komite):Politikanın hazırlanması,geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
  • Birim Sorumluları:Görevlerine vegizlilik sözleşmelerine uygun olarak Politikanın yürütülmesinden sorumludur.
  • İrtibat Kişisi(Veri Sorumlusu tarafından atanan kişi):Politikada yer alan hususların VERBİS sistemine uyumlu şekilde düzenlenmesi ve bildirimlerinyapılmasından sorumludur.

3.Kişisel Verilerin Korunmasına İlişkin Hususlar Üretici İletişim Bilgileri

3.1.Kişisel Verilerin Güvenliğinin Sağlanması

Tüm personel ve çalışanlar, ESTAŞ tarafından işlenen ve kendi sorumluluklarında olan verilerin güvenli olaraktutulmasını ve gizlilik sözleşmesi imzalamadıkça üçüncü tarafa açıklanmamasını sağlamakla yükümlüdür.Kişisel verilere, yalnızca verilere erişimi gerekli olan kişiler erişebilmektedir. Kişilere özgü erişim yetkilerine ilişkin bilgiler üçüncü kişiler ile paylaşılamaz.Kişisel verilere ilişkin bilgi güvenliği ile ilgili olaylar KVK Komitesi’nce kesin olarak tespit edildiğinden itibaren en kısa süre ve en geç 72 saat içerisinde KVKKurulu’na bildirilir. İş bu politikanın 13. maddesinde belirtilen “İhlal Durumu İle Karşılaşılması Halinde Yapılacaklar” başlığı altındaki tedbirler ayrıca alınır.

3.2.Kişisel Verilerin Bulunduğu Ortamlar

Elektronik Ortamlar – Elektronik Olmayan Ortamlar

  • Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.),
  • Yazılımlar (os yazılımları.)
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)
  • Kişisel bilgisayarlar (Masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Optik diskler (CD, DVD vb.)
  • Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi
  • Kâğıt
  • Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
  • Yazılı, basılı, görsel ortamlar
  • Birim dolapları

3.3.İlgili Kişinin Haklarının Gözetilmesi

İlgili Kişiler ESTAŞ nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak Kişisel Verilerin KorunmasıHakkında Kanun’un 11. maddesinde ve iş bu politikanın XI. başlığının A-1 maddesinde açıkça sayılan haklara sahiptir. ESTAŞ kişisel verilerin işlenmesi esnasında ilgili kişilerin tüm haklarını gözeterek faaliyetlerini sürdürmektedir.

3.4.Birimlerin Kişisel Verilerin Korunması Ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi

ESTAŞ kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesininönlenmesi ve verilerin muhafazasının sağlanması için çalışanlarına ve yetkili satış noktalarına gerekli farkındalık eğitimlerinin düzenlenmesinisağlamaktadır.

3.5.İş Ortakları ve Tedarikçilerin Kişisel Verilerin Korunması ve İşlenmesi Konusundaki Farkındalıklarının Arttırılması ve Denetimi

ESTAŞ kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye veverilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına ve tedarikçilerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.

4.Kişisel Verilerin İşlenmesinde İlkeler Ve Uyulacak Kurallar

4.1.Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

  1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

ESTAŞ , bünyesinde ilgili kişilerin kişisel verileri dürüstlük kurallarına uygun, şeffaf ve aydınlatma yükümlülüğüçerçevesinde işlenmektedir.

  1. Kişisel Verilerin Doğruluğunu ve Gerektiğinde Güncel Olmasını Sağlama

İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerinde gerekli tedbirler alınmakta, İlgili kişi ’ye verilerini güncellemesi ve varise işlenen verilerindeki hataların düzeltilebilmesi için başvuru imkanı sunulmaktadır.

  1. Belirli, Açık ve Meşru Amaçlarla İşleme

ESTAŞ tarafından kişisel verilerin kapsamı ve içeriği açıkça belirlenmiş, mevzuat ve ticari hayatın olağan akışıçerçevesinde faaliyetlerini sürdürmek için belirlenen meşru amaçlar dâhilinde kişisel veriler işlenmektedir.

  1. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler açık ve kesin olarak belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenmektedir. İlgili olmayan veya işlenmesine ihtiyaç duyulmayankişisel verilerin işlenmesinden kaçınılmaktadır. Bu nedenle, yasal gereklilik olmadığı sürece özel nitelikte kişisel verileri işlememekte veya işlememizgerektiğinde konuya ilişkin aydınlatmalar yapılarak açık rızalar alınmaktadır.

  1. İşlendikleri Amaç İçin Gerekli Olan veya İlgili Mevzuatta Öngörülen Süre Kadar Muhafaza Etme

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlenen kişisel veriler ilgili mevzuattaöngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklanmaktadır.

Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda kişisel veriler silinmekte, yok edilmekte veyaanonim hale getirilmektedir. Saklama sürelerine ilişkin ilkeler ve süreçler işbu politikanın IV. C. maddesinde detaylarıyla açıklanmaktadır.

4.2.Kişisel Verilerin, KVKK’nın 5. Maddesinde Belirtilen Kişisel Veri İşleme Şartları İle Sınırlı Olarak İşlenmesi

Kişisel veriler, KVKK’nın 5. Maddesinde belirtildiği üzere; kanunlarda açıkça öngörülmesi, imkânsızlık nedeniyle rızasını açıklayamayacak durumdabulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, verisorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi,kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusununmeşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında ve bu şartlarla sınırlı olarak işlenmektedir.

4.3.İlgili Kişinin Aydınlatılması Ve Bilgilendirilmesi

ESTAŞ , kişisel veriler toplanırken; öncelikle KVKK’nın 10. maddesine ve Aydınlatma Yükümlülüğünün YerineGetirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak ilgili kişiler açıkça bilgilendirilerek aydınlatılmaktadır. Aydınlatma metinlerimizde;

  • Şirketin unvanı, açık adresi ve iletişim bilgileri,
  • Mevcut ise temsilci kimliğine ilişkin bilgiler,
  • Kişisel veri kategorileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Verileri toplama yöntemi ve hukuki sebebi,
  • İlgili kişinin KVKK’nın 11. maddesinde sayılan hakları, şeklinde alt başlıklar ve içerikleri yer almaktadır.

 Aydınlatma metnimizde yukarıda yer alan bilgilerin dışında başvuru yöntemleri de sayılmıştır. Bu yöntemler sayesinde Kişisel Verilerin Korunmasındaşeffaf ve ulaşılabilir olunması hedeflenmiştir.

Şirket olarak kamuoyuna açık olan işbu politikanın açık, anlaşılır, kolay erişebilir olmasına özen gösterilmektedir.Ayrıca, çalışanlar, çalışan adayları, ziyaretçiler, müşteriler ve kamera sistemleri için Kişisel Verilerin Korunması Kanunu hakkındaki “Aydınlatma Metinlerini” internet sitesi (www.estas.com) üzerinden incelenebilecektir.

4.4.Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler kanunlarda sınırlı sayıda öngörülmüştür. Bu verilerin işlenebilmesi için kanun maddeleri ve KVK Kurulu’nun öngördüğü idari veteknik tedbirler alınmak suretiyle verilerin korunması sağlanmaktadır. Bu kapsamda, özel nitelikli kişisel verilerin (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgiliverileri ile biyometrik ve genetik verileri) ilgilinin açık rızası olmaksızın işlenmesi kanunen yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlardaöngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması,koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sırsaklama yükümlülüğü altında bulunan kişiler veya yetkili kurul ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.

5.ESTAŞ Tarafından İşlenen Kişisel Verilerin Sınıflandırılması, İşleme Amaçları Ve Saklama Süreleri

5.1.Kişisel Verilerin Sınıflandırılması

5.1.1.Kişisel Veriler

Kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir.

Kişisel verilerin koruması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler kişisel veri korumasıdışında bırakılmıştır. Bu nedenle işbu politika tüzel kişilere ait verilere uygulanmaz.

Kişisel Veri Kategorileri Alt Başlıklar ve Açıklamalar

  • Kimlik: Ad soyad, T.C. kimlik numarası, uyruk bilgisi, anne – baba adı, anne kızlık soyadı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet,nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası vb. bilgiler.
  • İletişim: İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası vb. kişisel verilerdir.
  • Özlük: Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları vb.
  • Hukuki İşlem: Adli Makamlarla yazışma bilgileri, dava dosyalarındaki bilgiler.
  • Müşteri İşlem: Fatura, senet, çek bilgileri, talep bilgisi, sipariş bilgisi vb. müşterilere ilişkin verilerdir.
  • Fiziksel Mekân Güvenliği: Çalışanların ve ziyaretçilerin giriş çıkış kayıtları, kamera kayıtları.
  • İşlem Güvenliği: İnternet sitesi giriş çıkış bilgileri, Ip adresi bilgileri, şifre ve parola bilgileri.
  • Finans: Bilanço bilgileri, malvarlığı bilgileri.
  • Mesleki Deneyim: Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, transkript bilgileri, sertifikalar.
  • Pazarlama: Alışveriş geçmişi bilgileri, anketler, kampanya çalışmasıyla elde edilen bilgiler.
  • Görsel ve İşitsel Kayıtlar: Görsel ve işitsel kayıtlar
  • Özel Nitelikli Kişisel Veriler:KVKK’nın 6. maddesinde belirtilen veriler (örneğin; kan grubu da dâhil sağlık verileri, biyometrik veriler, din ve üye olunandernek bilgisi gibi).

5.1.2.Özel Nitelikli Kişisel Veriler

Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefe inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı,cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

5.2.Kişisel Verilerin İşlenme Amaçları

Şirket olarak kişisel verileri sayılanlarla sınırlı olmamak üzere aşağıda sayılanlarla benzer amaçlar için işlemekteyiz:

  • Acil durum yönetimi süreçlerinin yürütülmesi,
  • Bilgi güvenliği süreçlerinin yürütülmesi,
  • Çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,
  • Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
  • Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
  • Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
  • Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
  • Denetim / etik faaliyetlerinin yürütülmesi,
  • Eğitim faaliyetlerinin yürütülmesi,
  • Erişim yetkilerinin yürütülmesi,
  • Elektronik satış süreçlerinin yürütülmesi,
  • Faaliyetlerin mevzuata uygun yürütülmesi,
  • Fiyatlandırma politikalarının belirlenmesi,
  • Finans ve muhasebe işlerinin yürütülmesi,
  • Firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi,
  • Fiziksel mekân güvenliğinin temini,
  • Görevlendirme süreçlerinin yürütülmesi,
  • Hukuk işlerinin takibi ve yürütülmesi,
  • İç denetim / soruşturma / istihbarat faaliyetlerinin yürütülmesi,
  • İletişim faaliyetlerinin yürütülmesi,
  • İnsan Kaynakları süreçlerinin planlanması,
  • İş faaliyetlerinin yürütülmesi / denetimi,
  • İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
  • İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
  • İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
  • Kalite standartlarının sağlanması,
  • Kurum binasına giriş ve çıkışların kontrol altında tutulması ve izinsiz girişlerin engellenmesi,
  • Lojistik faaliyetlerinin yürütülmesi,
  • Mal / hizmet satın alım süreçlerinin yürütülmesi,
  • Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi,
  • Mal / hizmet satış süreçlerinin yürütülmesi,
  • Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi,
  • Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
  • Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
  • Organizasyon ve etkinlik yönetimi,
  • Pazarlama analiz çalışmalarının yürütülmesi,
  • Performans değerlendirme süreçlerinin yürütülmesi,
  • Reklam / kampanya / promosyon süreçlerinin yürütülmesi,
  • Saklama ve arşiv faaliyetlerinin yürütülmesi,
  • Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi,
  • Sözleşme süreçlerinin yürütülmesi,
  • Sponsorluk faaliyetlerinin yürütülmesi,
  • Talep / Şikâyetlerin takibi,
  • Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
  • Ücret politikasının yürütülmesi,
  • Ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi,
  • Veri sorumlusu operasyonlarının güvenliğinin temini,
  • Yatırım süreçlerinin yürütülmesi,
  • Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
  • Yönetim faaliyetlerinin yürütülmesi,
  • Ziyaretçi kayıtlarının oluşturulması ve takibi,
  • Taşınır mal ve kaynakların güvenliğinin temini,
  • Ürün faturalarının düzenlenmesi,
  • Ürün satış politikasının yürütülmesi
  • Yönetim kurulu üyelerinin Türk ticaret kanunu mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesi.

5.3.Kişisel Verilerin Saklanma Süreleri

Kişisel veriler mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca saklanmaktadır.

Resmi internet sitesinde yayınlanan ESTAŞ Saklama ve İmha Politikası içeriğinde saklama ve imha sürelerinin detaylarına yerverilmiştir.Kişisel veriler birden fazla amaç ile işlenmesi hallerinde, verinin işleme amaçlarının ortadan kalkması veya İlgili Kişi’nin talebi üzerine verilerin silinmesinemevzuatta bir engel olmaması durumunda veriler silinir, yok edilir veya anonimleştirilerek saklanır. Yoketme, silme veya anonimleştirme hususlarındamevzuat hükümlerine ve KVK Kurulu kararlarına uyulur.

5.4.Kişisel Verilerin Saklanmasına İlişkin Alınan Tedbirler

5.4.1.Teknik tedbirler

Kişisel Verilerin Korunmasına İlişkin alınmış bulunan teknik tedbirler aşağıda belirtilmiştir:

  • ESTAŞ , işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurmakta,
  • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınantedbirlere yönelik teknik kontroller yapılmakta,
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmakta,
  • ESTAŞ , silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirlerialmakta,
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta,
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmakta,
  • Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmekte,
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizliliksözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmakta,
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve / veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliğisağlanarak yetkisiz giriş çıkışlar engellenmektedir.

5.4.2.İdari Tedbirler

Kişisel Verilerin Korunmasına İlişkin alınmış bulunan idari tedbirler aşağıda belirtilmiştir:

  • Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlar bilgilendirilerek farkındalık yaratılmakta,
  • Kişisel verilerin saklanması için üçüncü kişilerle işbirliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere; kişisel verilerinaktarıldığı kişilerin, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yerverilmekte,
  • Çalışanlara, müşterilere, ziyaretçilere, çalışan adaylarına ilişkin aydınlatma yükümlülüğü kapsamında metinler oluşturulmakta ve yayınlanmakta,
  • Aydınlatma sonrasında ilgili kişilerin açık ve net iradeleri doğrultusunda açık rıza metinleri oluşturulmakta,
  • Kamera sistemlerine ilişkin katmanlı aydınlatma tabloları asılmakta,
  • Kişisel verilerin bulunduğu yerlerin güvenliği sağlanmakta, kilitli dolap sistemleri kullanılmakta,
  • Gizlilik sözleşmeleri (Tedarikçi, Franchise, Bayi) imzalanmaktadır.

6.Kişisel Verilerin Güvenliği

6.1.Kişisel Verilerin Güvenliğine İlişkin Yükümlülükler

Kişisel verilerin;Hukuka aykırı işlenmesinin önlenmesi,Hukuka aykırı erişiminin önlenmesi,Hukuka uygun olarak saklanmasının sağlanması için ESTAŞ tarafından teknolojik olanaklar ve uygulamamaliyetlerine göre idari ve teknik tedbirler alınmaktadır.

6.2.Kişisel Verilerin Hukuka Aykırı İşlenmesini Önlemek İçin Aldığımız Tedbirler

  • Şirket içerisinde rastgele ve/veya periyodik denetimler yapılmakta ve yaptırılmakta,
  • Çalışanlara (mavi yaka ve beyaz yaka olmak üzere) kişisel verilerin korunmasına ilişkin periyodik olarak farkındalık eğitimleri verilmekte,
  • Şirketin yürüttüğü faaliyetler, detaylı olarak tümbirimlere özgü olarak değerlendirilmekte,
  • Söz konusu değerlendirme sonucunda ilgili birimleringerçekleştirdiği faaliyetler özelinde kişisel veriler işlenmekte,
  • Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde kişisel verileri işleyen şirketler ile yapılan sözleşmelerde; kişisel verileri işleyenkişilerin, gerekli idari ve teknik tedbirleri almasına ilişkin hükümlere yer verilmekte,
  • Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde KVK Kurulu’na durumu bildirerek bu hususta mevzuat tarafındanöngörülen incelemeler yapılmakta ve tedbirler alınmaktadır.

6.2.1.Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Alınan Teknik Ve İdari Tedbirler

Kişisel verilere hukuka aykırı erişimi engellemek için;

  • Teknik uzmanlığı olan çalışanlar istihdam edilmekte,
  • Teknik tedbirler periyodik olarak güncellenmekte ve yenilenmekte,
  • Şirket içerisinde erişim yetkilendirme prosedürleri oluşturulmakta,
  • Alınan teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürler belirlenmekte,
  • Şirket içerisinde kullanılmakta olan veri kayıt sistemleri mevzuata uygun şekilde oluşturulmakta ve periyodik olarak denetimleri yapılmakta,
  • Oluşabilecek risklere karşı acil eylem planları oluşturulup bunların uygulanmasına ilişkin sistemler geliştirilmekte,
  • Çalışanlar kişisel verilere erişim ve yetkilendirme hususlarında eğitim almakta ve bilgilendirilmekte,
  • Kişisel verilerin işlenmesi ve saklanması gibi faaliyetler amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde kişisel verilere erişim sağlayan şirketler ileyapılan gizlilik sözleşmelerinde; kişisel verilere erişim sağlayan kişilerin, gerekli idari ve teknik tedbirleri almasına ilişkin hükümlere yer verilmekte,
  • Kişisel verilere hukuka aykırı erişimi engellemeyi sağlamak amacıyla teknolojik gelişmeler dâhilinde güvenlik sistemleri kurulmaktadır.

6.2.2.Kişisel Verilerin Hukuka Aykırı İfşası Durumunda Aldığımız Tedbirler

Kişisel verilerin hukuka aykırı ifşasının engellenmesine yönelik, idari ve teknik tedbirler alınmakta ve ilgili prosedürlere uygun şekilde bu tedbirlergüncellenmektedir. Kişisel verilerin yetkisiz olarak ifşa edildiğinin tespit edilmesi halinde, bu durumun İlgili Kişiye ve KVK Kurulu’na bildirilmesi için sistemve alt yapılar oluşturulmaktadır.Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda KVK Kurulu tarafından gerek görülmesi halinde, bu durum,KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecek yahut ilgilisine doğrudan bildirilebilecektir.

7.ESTAŞ Tarafından Verileri İşlenen Kişi Grupları

ESTAŞ tarafından işlenen kişisel veriler aşağıda bulunan kişi gruplarına aittir;

  • Çalışan,
  • Çalışan Adayı,
  • Hissedar/Ortak,
  • Müşteriler ve Yetkilileri,
  • Potansiyel Ürün veya Hizmet Alıcısı,
  • Stajyer,
  • Tedarikçi,
  • Tedarikçi Çalışanı,
  • Tedarikçi Yetkilisi,
  • Ziyaretçi,
  • Yönetim Kurulu Üyeleri,
  • Eğitmen,
  • Ürün veya Hizmet Alan Kişi Çalışanı/Yetkilisi.

8.Kişisel Verilerin Ve Özel Nitelikli Kişisel Verilerin İşlenmesi

8.1.Kişisel Verilerin İşlenmesi

6698 Sayılı Kişisel Verileri Koruma Kanunu’nun Kişisel Verilerin işlenmesi hakkındaki düzenlemesine göre, “İlgili Kişi’nin Açık Rızası Bulunmadıkça KişiselVerisi İşlenemez.” Ancak, aşağıdaki şartlardan birinin varlığı halinde kişisel veriler sahibinin rızası olmaksızın işlenebilir:

  • Kanunlarda Açıkça Öngörülmesi,
  • Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması,
  • Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması,
  • Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi,
  • İlgili Kişinin Kişisel Verisini Alenileştirmesi,
  • Bir Hakkın Tesisi veya Korunması İçin Veri İşlemenin Zorunlu Olması,
  • İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla Şirketimizin Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması,

Özel nitelikli kişisel verilerin İlgili Kişi’nin açık rızası olmadan işlenebileceği istisnai durumlar işbu Politika’nın XI. B. 2. maddesinde belirtilmiştir.

8.2.Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel verilerin (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendikaüyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) ilgilinin açık rızası olmaksızın işlenmesikanunen yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlıkve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlıkhizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurul ve kuruluşlar tarafındanilgilinin açık rızası aranmaksızın işlenebilecektir.

9.ESTAŞ Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler Ve Aktarılma Amaçları

Kişisel veriler;

  • Bayi Ağı/Satış Noktalarına,
  • Gerçek veya Özel Hukuk Tüzel Kişilerine,
  • Franchise ve bayi ağlarına,
  • İş ortakları ve iş bağlantılarına,
  • İştirakler ve Bağlı Ortaklıklara,
  • Hukuken yetkili kamu kurum ve kuruluşlarına,
  • Hizmet alınan özel hukuk kişilerine,
  • Hissedarlara,
  • Sosyal Güvenlik Kurumuna,
  • Tedarikçilere,
  • Topluluk Şirketlerine,
  • Yetkili Kamu Kurum ve Kuruluşlarına olmak üzere aşağıda belirtilen amaçlar çerçevesinde aktarılabilecektir.

Kişisel Verilerin Aktarılma Amaçları Aşağıdaki Şekildedir:

  • Faaliyetlerin yürütülmesi,
  • Sözleşme kapsamında ve hizmet standartları çerçevesinde müşterilere destek hizmeti sağlanması,
  • Müşterilerin tercih ve ihtiyaçlarının tespit edilmesi ve verilen hizmetin bu kapsamda şekillendirilmesi, güncellenmesi,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesi,
  • Pazar araştırmaları ve istatistiksel çalışmaların yapılabilmesi,
  • Anket, yarışma, promosyon ve sponsorlukların organize edilmesi,
  • İş başvurularının değerlendirilmesi,
  • Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlanması,
  • Pazarlama süreçlerinin yönetimi,
  • Satıcı / tedarikçi ilişkilerinin yönetimi,
  • Yasal raporlama ve faturalandırma işlemlerinin tamamlanması.

9.1.Kişisel Verilerin Aktarılması

9.1.1.Kişisel Verilerin Yurt İçine Aktarım Şartları

ESTAŞ tarafından kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve KVK Kurulu tarafından alınankarar ve düzenlemelere uygun bir şekilde hareket edilmektedir.Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli kişisel veriler İlgili Kişinin açık rızası olmadan başka gerçek kişilere veyatüzel kişilere ESTAŞ tarafından aktarılmaz.KVKK ve sair mevzuatın öngördüğü istisnai hallerde İlgili Kişinin açık rızasına gerek kalmaksızın kişisel veriler mevzuatta öngörülen şekilde ve sınırlarlabağlı olarak yetkili kılınan idari/adli kurum veya kuruluşlar ile özel hukuk kişilerine aktarılabilir.

9.1.2.Kişisel Verilerin Yurt Dışına Aktarım Şartları

Kişisel verileri kural olarak İlgili Kişinin açık rızası olmadan yurt dışına aktarılmaz.Ancak işbu Politika’nın XI. B. 2. maddesinde yer alan istisnai hallerden birinin var olduğu durumlarda yurt dışında bulunan üçüncü kişilerin:KVK Kurulu’nun ilan ettiği yeterli korumanın olduğu ülkelerde bulunması;Yeterli korumanın olmadığı ülkelerde yer alması halinde Türkiye’de ve söz konusu yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olaraktaahhüt etmeleri ve KVK Kurulu’nun izninin bulunması hallerinde açık rıza olmadan, kişisel veriler yurt dışına aktarılabilir.

9.2.Kişisel Verilerin Aktarıldığı Kurum ve Kuruluşlar

Kişisel veriler;

  • Bayi Ağı/Satış Noktalarına,
  • Gerçek veya Özel Hukuk Tüzel Kişilerine,
  • İş ortakları ve iş bağlantılarına,
  • İştirakler ve Bağlı Ortaklıklara,
  • Hukuken yetkili kamu kurum ve kuruluşlarına,
  • Hizmet alınan özel hukuk kişilerine,
  • Hissedarlara,
  • Sosyal Güvenlik Kurumuna,
  • Tedarikçilere,
  • Topluluk Şirketlerine veYetkili Kamu Kurum ve Kuruluşlarına

Yukarıda belirtilen ilke ve esaslara uygun olarak aktarılabilecektir.

9.3.Özel Nitelikli Kişisel Verilerin Aktarılması

9.3.1.Özel Nitelikli Kişisel Verilerin Yurt İçine Aktarım Şartları

ESTAŞ , hukuka uygun olarak elde etmiş olduğu Özel nitelikli kişisel verileri, veri işleme amaçları doğrultusunda,gerekli idari ve teknik tedbirleri alarak, İlgili Kişinin Özel Nitelikli Kişisel Verilerini üçüncü kişilere aktarabilmektedir. ESTAŞ bu doğrultuda, Özel Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda yer alan şartlardan birinin varlığıhalinde üçüncü kişilere aktarabilecektir.Ayrıca, mevzuatın öngördüğü istisnai haller ile,KVK Kurulu’nun ve ilgili mevzuatın öngördüğü tedbirlerin alınması ile birlikte İlgili Kişinin sağlığı ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancakkamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması veyönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, Açık rızaya gerek kalmaksızın aktarılabilir.

9.3.2.Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarım Şartları

ESTAŞ , gerekli özeni göstererek, gerekli idari ve teknik tedbirleri ve Kurul tarafından gerekli görülen önlemlerialarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, İlgili Kişinin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda yeterlikorumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkeye aktarabilecektir.İlgili Kişinin açık rızası bulunuyorsa gösterilen rızaya istinaden,İlgili Kişinin açık rızası bulunmuyorsa;İlgili Kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılıkkıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlardaöngörülen hallerde,İlgili Kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi vebakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişilerveya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında, Özel Nitelikli Kişisel Veriler, yurtdışına aktarılabilecektir.

10.İşyeri Ve İnternet Sitesi Ziyaretçilerine İlişkin Veri İşleme Faaliyetleri

10.1.İşyerinde Yürütülen Kamera İle İzleme Faaliyetleri

Kişisel verilerin korunması hukukuna uygun şekilde işyerinin, çalışanların, ziyaretçilerin ve müşterilerin güvenliğinin sağlanabilmesi amacıyla ve bu amaçlasınırlı olarak güvenlik kamerası ile izleme faaliyeti yürütülmesi,Kamera ile izleme faaliyetinin duyurulması,Elde edilen verilerin güvenliğinin sağlanması,Kamera ile izleme faaliyeti ile elde edilen kişisel verilerin muhafaza süresi,İzleme sonucunda elde edilen bilgilere kimlerin erişebildiği ve bu bilgilerin kimlere aktarıldığı, şeklindeki bilgiler KVK Kurulu’nun resmi internet sitesindeilan etmiş olduğu şekilde “katmanlı” olarak aydınlatma metinlerine eklenmiştir. Kamera sistemlerinin bulunduğu tüm yerlere tablolar halinde KatmanlıKamera Aydınlatma Metinleri asılmıştır.

10.2.İşyeri Misafir Giriş Çıkış Kayıtlarının Takibi

Şirket tarafından güvenliğin sağlanması amacı ve işbu Politikada belirtilen diğer amaçlarla, işyeri misafir giriş çıkış kayıtlarının takibine yönelik kişisel veriişleme faaliyetinde bulunulmaktadır. Misafir olarak Şirket binalarına gelen kişilerin kimlik verileri elde edilirken ya da ESTAŞnezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu ilgili kişi bu kapsamda aydınlatılmaktadır.Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sisteminekaydedilmektedir.

10.3.İşyerinde Ziyaretçilere, Misafirlere Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması

Şirket tarafından güvenliğin sağlanması amacı ve bu politikada belirtilen diğer amaçlarla, işyeri içerisinde kalınan süre boyunca talep eden ziyaretçilereinternet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olanmevzuatın amir hükümlerine göre tutulmakta, bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya Şirket içindegerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.

10.4.İnternet Sitesi Ziyaretçileri

Çerez kayıtları, ESTAŞ resmi internet sitesinin işleyiş biçimini ve kullanımını geliştirmeye yönelik olarakkullanılmaktadır. Şirket, resmi internet sitesinde geçirilen vaktin daha verimli ve keyifli hale getirilmesi amaçlanmaktadır. Bunların yanında, internetsitesinde yapılan tercihlerin hatırlanmasına yönelik bazı çerezlerden yararlanılmakta ve bu sayede kullanıcılara geliştirilmiş ve kişiselleştirilmiş bir deneyimsağlanmaktadır. İnternet sitesinde yer alan çerezler üzerinden kişisel veriler toplanmakta, toplanan veriler işlenmekte, aktarılmakta ve saklanabilmektedir.İnternet sitesinde kullanılan çerezlere ilişkin detaylı bilgi için resmi internet sitesinde yer alan “ESTAŞ Çerez Aydınlatma Metnini”inceleyebilirsiniz.

11.Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Şartları

Türk Ceza Kanunu’nun 138. maddesi, KVK Kanunu’nun 7. maddesi ve “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik”uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ESTAŞ ’in kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. ESTAŞ bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha işlemiyapılmaktadır. Bu yönetmelik uyarınca ESTAŞ tarafından periyodik imha tarihleri belirlenmiş olup,yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.

11.1.Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Yükümlülüğü

KVKK’nın 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafındanresen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Kişisel verilerin silinmesi, yok edilmesi veya anonim halegetirilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine,kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur. Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi,anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür. Yukarıda belirtilen Kişisel VerilerinSilinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesi uyarınca ESTAŞ tarafından, Saklama ve İmha Politikası oluşturulmuştur.

11.2.Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Teknikleri

11.2.1.Kişisel Verilerin Silinmesi Ve Yok Edilmesi Teknikleri:

Fiziksel Olarak Yok Etme (PhysicalDestruction)

Yazılımdan Güvenli Olarak Silme (SecureDeletion Software)

Uzman Tarafından Güvenli Olarak Silme (Sendingto a SpecialistforSecureDeletion)

11.2.2.Kişisel Verilerin Anonimleştirilmesi Teknikleri

Maskeleme (Masking)

Toplulaştırma (Aggregation)

Veri Türetme (Data Derivation)

Veri Karma (Data Shung, Permutation)

12.İlgili Kişinin Hakları, Bu Hakların Kullanılması ve Değerlendirilmesi

12.1.İlgili Kişinin Hakları Ve Bu Hakların Kullanılması

12.1.1.İlgili Kişinin Hakları

Aydınlatma yükümlülüğü kapsamında, ESTAŞ tarafından İlgili Kişi bilgilendirilmekte ve bu bilgilendirmeye ilişkinsistem ve altyapılar kurulmaktadır. İlgili Kişinin kişisel verilerine ilişkin haklarını kullanması için gerekli olan teknik ve idari düzenlemeler ESTAŞ tarafından yapılmaktadır.

İlgili Kişi Kişisel Veriler üzerinde;

  • Kişisel verilerin işlenip işlenmediğini öğrenme,
  • Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

12.1.2.İlgili Kişinin Başvuru Usulü

İlgili kişi, yukarıda sayılan haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygunolarak ESTAŞ’e başvurabilir.6698 Sayılı Kişisel Verilerin Korunması Kanunu 11. Maddesinde sayılan haklar kapsamındaki talepler, KVKK’nın 13. Maddesi ile Veri Sorumlusuna BaşvuruUsul ve Esasları Hakkında Tebliğ’in 5. Maddesi gereğince, www.estas.com adresindeki formun doldurulması suretiyleaşağıda açıklanan yöntemlerden biri ile başvurulabilecektir.Şirkete iletilen başvurular, KVKK’nın 13/2 maddesi gereğince, talebin niteliğine göre, talebin Şirkete ulaştığı tarihten itibaren 30 gün içindecevaplandırılacaktır. Başvuruya ilişkin cevaplar, KVKK’nın 13. Maddesi gereğince, yazılı ve elektronik ortamdan başvuru sahibine ulaştırılacaktır.

12.1.3.Başvuru Yöntemi, Başvuru Yapılacak Adres Ve Başvuruda Yer Alması Gereken Bilgiler

  1. Yazılı Olarak Yapılacak Başvurular

Islak imzalı şahsen başvuru veya Noter vasıtasıyla,Şeyhşamil OSB. Mahallesi Halis Vermezoğlu Caddesi No: 57 adresine, zarfın / tebligatın üzerine ‘’Kişisel VerilerinKorunması Kanunu Kapsamında Bilgi Talebi’’ yazılarak gönderilecektir.

  1. Kayıtlı Elektronik Posta (KEP) adresi ile

Kayıtlı Elektronik Posta (KEP) adresi ile,estas@hs04.kep.tr adresine, E-posta’nın konu kısmına ‘’Kişisel Verilerin Korunması Kanunu Bilgi Talebi’’ yazılarakbaşvuru yapılacaktır.

  1. Şirket Sisteminde Bulunan Elektronik Posta Adresi ile Başvuru

ESTAŞ sisteminde kayıtlı bulunan elektronik posta adresi kullanılmak suretiyle,kvkk@estas.coma dresine, E-posta’nın konu kısmına ‘’Kişisel Verilerin Korunması Kanunu Bilgi Talebi’’ yazılarakbaşvuru yapılacaktır.

  1. Şirket Sisteminde Bulunmayan Elektronik Posta Adresi ile Başvuru

Mobil imza/ E-imza içerecek biçimde ESTAŞ sisteminde bulunmayan elektronik posta adresi kullanmaksuretiyle, kvkk@estas.comadresine, E-posta’nın konu kısmına ‘’Kişisel Verilerin Korunması Kanunu Bilgi Talebi’’ yazılarakbaşvuru yapılacaktır.

12.1.4.İlgili Kişinin Kişisel Verilerin Korunması Kurulu’na Şikâyette Bulunma Hakkı

Başvurunun reddedilmesi, başvuruya verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin cevabıöğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikâyette bulunma hakkıbulunmaktadır.

12.2.İlgili Kişinin Haklarını İleri Süremeyeceği Haller

KVKK’nın 28/2 hükmü uyarınca, aşağıdaki hallerde zararın giderilmesini talep etme hakkı saklı kalmak üzere, ilgili kişilerin Kanun’un 11. Maddesindebelirtilen haklardan yararlanmaları mümkün olmayacaktır:Kişisel veri işlemenin, suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

13.İhlal Durumu İle Karşılaşılması Halinde Yapılacaklar

ESTAŞ tarafından alınan tüm teknik ve idari tedbirlere rağmen bir ihlal durumu ile karşılaşılması halinde ilgilikişiye açık ve sade bir dille bildirim yapılacaktır. Bu bildirimde;

  • İhlalin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları yer alacaktır.

14.ESTAŞ Kişisel Verilerin Korunması Ve İşlenmesi Politikası Yönetim Yapısı

ESTAŞ bünyesinde işbu Politika, bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzereKVK Komitesi,Şirket Yönetim Kurulu kararı gereğince görevlendirilmiştir.Bu Komite’nin kişisel verilerin korunması ile ilgili görevleri aşağıda belirtilmektedir:

  • Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak ve Yönetim Kurulununonayına sunmak,
  • Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanmasının ve denetiminin ne şekilde yerine getirileceğine karar vermek ve buçerçevede şirket içi görevlendirmede bulunulması ve koordinasyonun sağlanması hususlarını Yönetim Kurulunun onayına sunmak,
  • KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve Yönetim Kurulunun onayına sunmak, uygulanmasınıgözetmek ve koordinasyonunu sağlamak,
  • Kişisel verilerin Korunması ve işlenmesi konusunda Şirket içerisinde ve Şirketin işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
  • ESTAŞ kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını teminetmek, iyileştirme önerilerini Yönetim Kurulunun onayına sunmak,
  • Kişisel verilerin korunması, politikaların uygulanması ve yayılımı konusunda, ilgili kişilerin kişisel veri işleme faaliyetleri ve kanuni hakları konusundabilgilendirilmelerinin sağlanması yönünde eğitimler düzenlenmesini sağlamak,
  • İlgili kişilerin başvurularını karara bağlamak,
  • Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek, bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılmasıgerekenler konusunda önlemler almak,
  • KVK Kurulu ve Kurumu ile olan ilişkileri yürütmek,
  • Şirket Yönetim Kurulunun kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.