AKBERG ŞİRİNCE ŞARAPÇILIK HAYVANCILIK TARIM ÜRÜNLERİ GIDA TURİZM SANAYİ VE TİCARET ANONİM ŞİRKETİ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. BİRİNCİ BÖLÜM:GİRİŞ

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikasının (“Politika”) amacı; Anayasamız, Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumluları Sicili Hakkında Yönetmelik ve ilgili yasal mevzuat hükümleri uyarınca kişisel verilerin işlenmesi, korunması, saklanması, imhası gibi kişisel verilere ilişkin her türlü iş ve işlemin

veri sorumlusu olarak Şirketimiz tarafından gerçekleştirilmesine dair usul ve esasların belirlenmesidir.

1. KAPSAM VE KİŞİSEL VERİ SAHİPLERİ

Şirketimiz çalışanları, çalışan adayları, stajyerler, tedarikçi çalışanları, tedarikçi yetkilileri, ürün veya hizmet alan kişiler veya temsilcileri, hissedarlar/ortaklar, ziyaretçilere kişilere ait kişisel veriler işbu Politika kapsamında olup Şirketimizce kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik tüm faaliyetlerde işbu Politika uygulanır. Politika hiçbir şekilde tüzel kişilere ve tüzel kişi verilerine uygulanmayacaktır. İşbu Politika kapsamındaki kişisel veri sahipleri aşağıdaki gibidir:

İşbu Politikada yer alan kavramlar aşağıdaki anlamları ifade eder.

İşbu Politika Şirketimiz tarafından düzenlenerek yürürlüğe girmiştir. Değişen şartlara ve mevzuata uyum sağlamak amacıyla Politikada güncellemeler yapılabilecektir.

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan yasal mevzuat öncelikli olarak uygulanır. Yürürlükteki yasal mevzuat ve Politika arasında herhangi bir uyumsuzluk bulunması durumunda ise Şirketimiz yürürlükteki yasal mevzuatın uygulanacağını kabul etmektedir.

1. İKİNCİ BÖLÜM:KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI

1. VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Anayasamızın 20/III maddesinde kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği belirtilerek kişisel verilerin korunması güvence altına alınmıştır. Kişisel veri sahiplerine tanınan bu hak doğrultusunda ve KVKK madde 4 uyarınca, Şirketimizce mevcut ya da edinilen kişisel veriler hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olacak şekilde, belirli, açık ve meşru amaçlar için işlenmekte, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılmakta ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan ve işbu Politikada belirlenen süre kadar muhafaza edilmektedir.

İlgili kişiler, kişisel veri işleme süreçlerine ilişkin olarak, Şirketimiz tarafından KVKK’nın 10. maddesine uygun olarak aydınlatılmaktadır. Şirketimiz, kişisel verilerin işlenmesi ve aktarılması konusunda KVKK’da öngörülen ve Kurul tarafından ortaya konulan düzenlemeleri takip etmekte, bu düzenlemelere uygun davranmakta ve gerekli teknik ve idari tedbirleri almaktadır.

1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel verilerin işlenmesinde genel kural, kişisel verinin ancak ilgili kişinin açık rızası ile işlenmesidir. KVKK madde 5’te belirtilen ve aşağıda sayılan hallerde ise ilgili kişinin açık rızası olmaksızın kişisel verinin işlenmesi mümkündür:

• Kanunlarda açıkça öngörülmesi
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
• İlgili kişinin kendisi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali

1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI ve KORUNMASI

İşbu Özel Nitelikli Kişisel Verilerin Korunması Politikası’nın amacı, Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararından doğan hukuki yükümlülüklerin yerine getirilmesi ile özel nitelikli kişisel verilerin işlenmesinde alınan teknik ve idari tedbirlerin ortaya konulmasıdır.

1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Şirket, özel nitelikli kişisel verilerin işlenmesinde Kanun’a ve diğer mevzuat hükümlerine riayet eder. Bu doğrultuda özel nitelikli kişisel veriler aşağıdaki ilkelere uygun olarak işlenir:

• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• Belirli, açık ve meşru amaçlar için işlenme
• Mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, Şirket tarafından veri sahibinin açık rızasının alındığı durumlarda ya da kanunlarda öngörülen hallerde işlenmektedir.

Sağlık ve cinsel hayata ilişkin veriler ise veri sahibinin açık rızasının alındığı durumlarda ya da kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, koruyucu hekimlik, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmektedir.

Sağlık verilerinin işlenmesinde 20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hükümlerine de riayet edilmektedir.

1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

Şirket, özel nitelikli kişisel verilerin Kanun’a ve ilgili mevzuata uygun olarak işlenmesi ile özel nitelikli kişisel verilerin güvenliğinin sağlanması için her türlü tedbiri almaktadır. Bu kapsamda alınan tedbirler aşağıda sıralanmıştır:

İDARİ TEDBİRLER

• Şirket, özel nitelikli kişisel verilerin işlenme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel verilerin korunması ve işlenmesi konusunda düzenli eğitimler vermektedir.
• Şirket, çalışanları ile veri güvenliğinin sağlanması için gizlilik sözleşmeleri akdetmektedir.
• Verilere erişim yetkisine sahip kullanıcılar, yetki kapsamları ve süreleri net olarak tanımlanmakta ve periyodik yetki kontrolleri gerçekleştirilmektedir.
• Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri derhal kaldırılmaktadır. Şirket, bu kapsamda çalışanlara tahsis etmiş olduğu envanterleri derhal iade almaktadır.

TEKNİK TEDBİRLER

Elektronik Ortamda Muhafaza Edilen Ve/Veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler

• Özel nitelikli kişisel veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
• Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
• Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
• Özel nitelikli kişisel verilerin erişildiği yazılımlara ait kullanıcı yetkilendirmeleri yapılmakta, bu yazımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
• Özel nitelikli kişisel verilere uzaktan erişim sağlanması teknik olarak engellenmiştir.

Fiziksel Ortamda Muhafaza Edilen Ve/Veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler

• Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri alınmaktadır.
• Bu ortamların fiziksel güvenliği sağlanmakta ve yetkisiz giriş çıkışlar engellenmektedir.

1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

Şirket, özel nitelikli kişisel verileri Kanun’un 8. ve 9. KVK maddelerinde yer alan veri işleme şartları çerçevesinde aktarmaktadır. Veri güvenliğini sağlama amacıyla Şirket tarafından veri aktarımında aşağıdaki kurallar uygulanmakta ve bu kapsamda periyodik denetimler gerçekleştirilmektedir.

• E-posta Yoluyla Aktarım

Özel nitelikli kişisel verilerin e-posta yoluyla aktarıldığı hallerde şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarım yapılmaktadır.

• Taşınabilir Bellek, CD, DVD Gibi Ortamlar Yoluyla Aktarım

Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarıldığı hallerde kriptografik yöntemlerle şifrelenme işlemi yapılmakta ve kriptografık anahtar farklı bir ortamda tutulmaktadır.

• Farklı Fiziksel Ortamlardaki Sunucular Arasında Aktarım

Farklı fiziksel ortamlardaki sunucular arasında özel nitelikli kişisel veri aktarımında, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.

• Kâğıt Ortamı Yoluyla Aktarım

Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmakta ve evrak "gizlilik dereceli belgeler” formatında gönderilmektedir.

1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Özel nitelikli kişisel veriler, Şirket tarafından Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki hallerde saklanmaktadır:

• Veri sahibinin açık rızasının elde edilmiş olması
• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
• Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla saklanması

Şirket tarafından Kanun ile diğer mevzuata uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:

• Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
• Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
• Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
• Kanun’un 6. KVK maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
• Veri sahibinin Şirket’e usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
• Şirket’in, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.

Özel nitelikli kişisel verilerin saklanmasına ve imhasına ilişkin diğer hususlar Şirket Kişisel Veri Saklama ve İmha Politikasında düzenlenmiştir.

1. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kişisel veriler, aşağıda yazılı amaçlar ile Şirketimizce işlenmektedir:

1. ÜÇÜNCÜ BÖLÜM:KİŞİSEL VERİLER VE VERİ KAYIT ORTAMLARI

1. VERİ KAYIT ORTAMLARI

İşbu Politika uyarınca işlenen kişisel veriler hukuka uygun olarak güvenli bir şekilde elektronik ortam olarak; sunucularda (etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşımı gibi), Şirketimizin operasyonlarını gerçekleştirmek üzere kullandığı yazılımlarda, bilgi güvenliği cihazlarında, bilgisayarlarda, mobil cihazlarda, optik disklerde, çıkartılabilir belleklerde, yazıcıda, tarayıcıda; elektronik olmayan ortam olarak; kağıtta, manuel veri kayıt sistemlerinde (ziyaretçi defteri gibi), yazılı, görsel ve basılı ortamlarda saklanmaktadır.

1. KİŞİSEL VERİLER VE VERİ SAHİBİ KATEGORİZASYONU

Kişisel veriler, aşağıda tanımlı kategoriler altında Şirketimizce işlenmektedir.

1. DÖRDÜNCÜ BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI

1. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN GENEL İLKELER

Şirketimiz tarafından, hukuka uygun olarak elde edilen kişisel veriler, veri işleme amaçları doğrultusunda ve gerekli güvenlik önlemleri alınarak “Kişisel Verilerin Aktarılabileceği Üçüncü Kişiler” başlıklı maddede belirtilen üçüncü kişilere aktarılabilir. Kişisel verilerin aktarılmasında ilgili kişinin açık rızasının alınması esastır. Aşağıda sayılan hallerde ilgili kişinin açık rızası olmaksızın kişisel verinin aktarılması mümkündür:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali.

1. KİŞİSEL VERİLERİN AKTARILABİLECEĞİ ÜÇÜNCÜ KİŞİLER

Kişisel veriler, yukarıda yazılı ilkeler ve KVKK madde 8 uyarınca aşağıdaki alıcı gruplarına aktarılabilir:

• Yetkili Kurum ve Kuruluşlar
• İş Ortaklarımız (Tedarikçiler)
• Ürün ve Hizmet Alan Kişiler
•  

1. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Kişisel verilerin yurt dışına aktarılması halinde ilgili kişinin açık rızasının alınması esastır. Kişisel veri sahibinin açık rızasının bulunmadığı ancak KVKK madde 5’te ve yukarıda belirtilen şartlardan bir veya birkaçının bulunduğu hallerde, kişisel verilerin aktarılacağı ülkede yeterli koruma bulunması veya Şirketimizin ilgili ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi (ya da Bağlayıcı Şirket Kurallarının oluşturularak) Kurul izninin bulunması halinde kişisel verilerin aktarımı mümkündür.

1. KİŞİSEL VERİLERİN AKTARIM AMAÇLARI

Toplanan kişisel veriler, KVKK’da öngörülen temel ilkelere uygun olarak ve Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları dahilinde, Şirketimiz tarafından aşağıda yer alan amaçlarla sınırlı olarak 4.2’de sayılan kişilere aktarılabilecektir:

• Şirket operasyon ve faaliyetlerinin yerine getirilmesi kapsamında mal ve hizmet sunulması veya mal ve hizmet temini,
• Şirketin mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi,
• Yetkili kurum ve kuruluşlarının taleplerinin karşılanması,
• Hukuki süreçlerin planlanması, savunma hakkının kullanılması
• Kurumsal iletişim, yönetim, denetim ve planlama faaliyetlerinin icra edilmesi

Şirket, veri paylaşım faaliyetlerinde hukuka uygun davranmayı ilke edinir. Kişisel verilerin aktarıldığı üçüncü kişiler ile ancak hizmetin gerektirdiği ölçüde veri paylaşılmaktadır. Bu taraflar mutlaka veri güvenliğine ilişkin tedbirleri almaya zorlanmaktadır.

Yukarıda belirtilen yurt içi ve yurt dışı aktarıma konu kişisel veriler, veri güvenliğini sağlayacak teknik tedbirlerin yanı sıra; veri aktarım sözleşmelerde yer verilen hükümler sayesinde hukuki açıdan da korunmaktadır.

Şirket, işlediği kişisel verileri; yasalar karşısındaki yükümlülüğünü ifa etmek amacıyla (suçla mücadele, devlet ve kamu güvenliğinin tehdidi ve benzeri ancak bununla sınırlı olmamak üzere Şirket’in yasal veya idari olarak bildirim veya bilgi verme yükümlülüğünün mevcut olduğu durumlarda) yasal olarak bu bilgileri talep etmeye yetkili olan kamu kurum ve kuruluşları ile paylaşabilecektir.

1. BEŞİNCİ BÖLÜM:KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

1. KİŞİSEL VERİLERİN SAKLANMASI

Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanması esastır. Bu doğrultuda Şirketimiz, asgari olarak yasal yükümlülüklerinin ve ticari teamüllerin gerektirdiği süre ile ve her durumda ilgili zamanaşımı süreleri dolana kadar kişisel verileri saklamaktadır. Şirketimizce işlenmekte olan kişisel verilerin saklama ve imha süreleri aşağıdaki tabloda belirtilmiştir:

1. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Şirketimiz, yukarıda açıklanan sürelerin sona ermesi durumu da dahil olmak üzere herhangi bir süreç kapsamında kişisel verilerin işlenme amacının ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine kişisel verileri Kanun’a uygun bir şekilde anonim hale getirmekte, silmekte veya yok etmektedir.

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Buna göre kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemeyecek, geri getirilemeyecek ve tekrar kullanılamayacak şekilde verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade eder. Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok edilir veya anonim hale getirilir. Periyodik imha yılda iki kez, 6 ayda bir yapılır.

1. SAKLAMA VE İMHA SÜREÇLERİNDE GÖREVLİ KİŞİLER

Şirketimiz, işbu Politika kapsamında kişisel verilerin işlenmesi, saklanması, imhası ve kişisel verilerin korunması mevzuatına uyum süreçlerini yönetmek üzere “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler atamıştır. Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler aşağıdaki şekildedir:

• Kişisel verilerin korunması ve işlenmesine ilişkin gerekli dokümantasyonun hazırlanması, takibi ve bunların ilgili kişilerin onayına sunulması
• Mevzuatın takibi ile gerekli güncelleme ve değişikliklerin yapılması
• VERBİS kaydı ile gerekli güncelleme ve değişikliklerin yapılması
• KVK Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi.

1. ALTINCI BÖLÜM: KİŞİSEL VERİLERİN KORUNMASI, TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, veri sorumlusu olarak işlediği kişisel verilerin güvenliğini sağlamak için ilgili mevzuat uyarınca öngörülen ve KVK Kurulu tarafından bildirilecek olan diğer idari ve teknik önlemleri alarak kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını temin etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin hukuka uygun olarak işlenmesi, güvenli ortamlarda saklanması, yetkisiz erişim riskleri ile diğer her türlü hukuka aykırı erişimlerin önlenmesi, arızi olarak gerçekleşen veri kayıplarının önlenmesi, verilere kasıtlı olarak zarar verilmesi ile silinmesinin önlenmesi için gerekli ve makul teknik ve idari tedbirleri almakta, buna ilişkin gereken denetimleri yapmakta veya yaptırmaktadır.

1. TEKNİK TEDBİRLER

• Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmakta, hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmakta, erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmakta, yetki matrisi uygulanmakta, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmakta, saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmakta, hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmakta, güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte, bilgi sistemleri güncel halde tutulmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta ve kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.
• Teknik konularda bilgili personel istihdam edilmektedir.
• Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve denetlenmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmakta, düzenli olarak güvenlik taramaları yapılmaktadır.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Sızma testi uygulanmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Departman bazlı olarak belirlenen kişisel verilerin korunmasına ilişkin hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır. Kişisel veri içeren sistemlere sınırlı erişimler tanımlanarak, bu sistemlere kullanıcı adı ve şifre ile giriş sağlanmaktadır.
• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Kağıt ortamında tutulan evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların muhafaza ve koruması için ek güvenlik önlemleri alınmakta, ayrı bir yerde muhafaza sağlanmakta, bu alanların fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Alınan ve alınması gereken teknik önlemler periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

1. İDARİ TEDBİRLER

• Çalışanların niteliği ve teknik bilgi/becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında eğitimler verilmekte; çalışanlara gizlilik sözleşmeleri imzalatılmakta; güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik disiplin prosedürü uygulanmakta, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmekte, şirket içi periyodik ve rastgele denetimler yapılmakta ve çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Şirket ve şirkete ait tesis güvenliğinin sağlanması amaçlarıyla ve “kamera ile izlenmektedir” açıklama ya da işaretinin yer aldığı alanlarla sınırlı olmak üzere kamera kaydı, Şirkete giriş çıkışların kayıtları ile internet sitesi ziyaretlerinde site içi hareketlerin kayıtları KVKK 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenmektedir.
• Kişisel verilerin işlenme süreçlerine ilişkin olarak, mevcut durum tespiti ve risk analizi yapılması amacıyla kişisel veri işleme envanteri oluşturulmuş; Şirketimiz tarafından işlenen kişisel veriler, ilgili kişi ve veri kategorileri, veri işleme amaçları, hukuki sebebi, saklama süresi, veri aktarımı ve alınan tedbirler tespit edilmiştir.
• Kişisel veri işleme ve imha süreçlerine ilişkin usul ve esasların belirlendiği işbu Politika hazırlanmış, ilgili kişilere, çalışanlarımıza, işbirlikçilerimize ve tüm ilgililere duyurulmuştur.
• Şirket faaliyetleri detaylı olarak tek tek departmanlar özelinde incelenerek, departmanların görev ve gerçekleştirdiği ticari faaliyetler çerçevesinde kişisel veri işleme faaliyetleri belirlenmiştir. Ayrıca, KVKK mevzuatı kapsamında Şirket içinde ilgili departman bazında kişisel verilere erişim ve yetkilendirme süreci tanımlanmıştır.
• Şirket departmanlarının yürütmüş olduğu kişisel veri işleme faaliyetleri, bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir departman ve yürütmüş olduğu faaliyet özelinde belirlenmektedir.
• Şirket genelinde uyumun sağlanması için her departmanda farkındalık yaratılmakta ve uygulama kuralları belirlenmekte, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve bilgilendirmeler yoluyla duyurulmakta ve uygulanmaktadır.
• Şirket faaliyetleri kapsamında ve KVVK’ya uygun şekilde kişisel verilen aktarıldığı iş ortaklarımızla mevcut sözleşmelere, aktarılan kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmakta, iş ortakları bakımından getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda bilgilendirilmektedir.
• Kişisel verilen saklanmasına ilişkin olarak teknik gereklilikler sebebi ile şirket dışından hizmet alınması halinde kişisel verilerin bu firmalara yine KVKK’ya uygun şekilde aktarılması kaydıyla bu firmanın ve firma personelinin kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin mevcut sözleşmelere hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmaktadır.

1. YEDİNCİ BÖLÜM: KİŞİSEL VERİ SAHİBİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ

1. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI

KVKK madde 10 uyarınca veri sorumlusu olarak Şirketimiz ilgili kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, hangi kişisel veri sahibi grupları ve hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini aydınlatma yükümlülüğü kapsamında kişisel veri sahibine bildirmektedir.

1. KİŞİSEL VERİ SAHİBİNİN HAKLARI

KVKK madde 11. uyarınca kişisel veri sahibi olan “ilgili kişinin” hakları aşağıda belirtilmiştir:

• Kişisel verilerinin işlenip işlenmediğini öğrenme
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
• Kişisel verilerin silinmesini veya yok edilmesini isteme
• Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

1. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI

Kişisel veri sahipleri işbu Politikanın 7.2. maddesinde sayılı haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle www.akberg.wine bağlantısından ulaşabileceğiniz Başvuru Formu’nu doldurup imzalayarak Şirketimize ücretsiz olarak iletebileceklerdir. İşlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

• Başvuru formu doldurulduktan sonra ıslak imzalı bir nüshası bizzat elden veya noter aracılığıyla “Gökçealan mahallesi Mersintepe sokak Numara:3 PK.35920 Selçuk/İZMİR” adresine iletilebilir.
• Başvuru formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı form akbergsirince@hs03.kep.tr adresine elektronik posta ile gönderilebilir.

1. KİŞİSEL VERİ SAHİBİNİN BAŞVURUSUNUN DEĞERLENDİRİLMESİ

Şirketimiz, kişisel veri sahibinin başvurusunu 30 gün içinde neticelendirerek talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

Kişisel veri sahibi, KVKK madde 14. uyarınca başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde, Şirketimizin cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.

1. POLİTİKANIN YÜRÜRLÜĞÜ

KVK Politikası’nda kısmen ya da tamamen her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni KVK Politikası’nın yayınlandığı gün geçerlilik kazanır.

Veri Sorumlusu:

AKBERG ŞİRİNCE ŞARAPÇILIK HAYVANCILIK TARIM ÜRÜNLERİ

GIDA TURİZM SANAYİ VE TİCARET ANONİM ŞİRKETİ

Gökçealan mahallesi Mersintepe sokak Numara:3 PK.35920 Selçuk/İZMİR