Kişisel Verilerin İşlenmesi

KİŞİSEL VERİLEN İŞLENMESİ

BAMOS OTOMOTİV VE TEKNOLOJİLERİ A.Ş. TARAFINDAN BENİMSENEN, 6698 SAYILI KANUN KAPSAMINDA KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN POLİTİKA

Politika’nın

Amacı ve Yürürlüğü

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun, kişisel verilerin “veri sorumlusu” olarak sınıflandırılan ve kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerce kişisel verilerin işlenmesine ilişkin usul ve esasları ortaya koymaktadır.

Kanun kapsamında kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak; işleme ise “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.

Kanun, diğer düzenlemelerinin yanı sıra, veri sorumlularına, kişisel verilerin elde edilmesi sırasında kişisel verisi işlenecek olan veri sahiplerini bilgilendirme/aydınlatma yükümlülüğü getirmiştir. Kanun’un 10. maddesine göre veri sorumluları veri sahiplerini;

Veri sorumlusunun ve varsa temsilcisinin kimliği,

Kişisel verilerin hangi amaçla işleneceği,

İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

Kişisel veri toplamanın yöntemi ve hukuki sebebi,

Kanun’un 11. maddesinde sayılan diğer hakları, konularında bilgilendirmelidir.

İşbu doküman ( “Politika” ), Şirketimiz’in veri sorumlusu olarak kişisel verilerini işlediği gerçek kişilerin yukarıda belirtilen madde kapsamında aydınlatılması amacıyla kaleme alınmıştır. Bu Politika’nın konusu

Şirketimiz’in müşterileri, kurumsal müşterilerinin hissedarları, yetkili

eri ve çalışanları, potansiyel müşterileri, iş ortaklarımızın ve tedarikçilerimizin hissedarları, yetkilileri ve çalışanları, ziyaretçilerimiz, şirket yetkilileri ile hissedarlarımız, iş ortağı ve tedarikçi adaylarımız ve sair üçüncü kişiler

olup çalışanlarımıza ilişkin kişisel verilerin işlenmesine ilişkin hususlar Kanun’a uygun şekilde çalışanlara sunulan ayrı bir politika metni kapsamında düzenlenmektedir.

Kanun’un Kapsamı ve Şirketimiz’in Kanun’dan Doğan Hak ve Yükümlülükleri

I. Kişisel Verilerin İşlenmesine ilişkin Genel İlkeler

Kanun’un 4. maddesi uyarınca kişisel veriler, Kanun ve diğer ilgili mevzuatta öngörülen usul ve esaslara uygun bir şekilde işlenmelidir. Bu kapsamda veri sorumluları, yukarıda Bölüm 1’de belirtilen aydınlatma yükümlülüğünün yerine getirilmesi dışında kişisel verilerin işlenmesi ile ilgili olarak aşağıdaki genel ilkelere uymakla yükümlü kılınmıştır:

Hukuka ve dürüstlük kurallarına uygun olma.

Doğru ve gerektiğinde güncel olma.

Belirli, açık ve meşru amaçlar için işlenme.

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

II. Kanun Kapsamında Kişisel Veri İşleme ve Paylaşım Amaçları

Kişisel Verilerin İşlenmesine ilişkin Amaçlar

Kanun uyarınca kişisel veriler, kural olarak veri sahibinin açık rızası bulunmaksızın işlenememektedir. Bununla birlikte Kanun, 5 maddesi kapsamında kişisel veriler bakımından açık rıza bulunmaksızın veri işlenebilecek birtakım durumları belirlemiştir.

ZIEBART’ın Kanun’dan doğan hakları saklıdır.

b. Kişisel Verilerin Paylaşımına ilişkin Amaçlar

Veri işlemeye uygun şekilde, kişisel verilerin üçüncü bir tarafla paylaşılması (aktarım) da ilgilli veri sahibinden bu doğrultuda açık rıza alınmış olmasına tabi kılınmıştır. Ancak Kanun’un 8. maddesine göre veri işlemeye izin verilen şartlarda veri aktarımı da gerçekleştirilebilmekte olup bu doğrultuda yukarıda Bölüm 2.II.a’da belirtilen şartların varlığı halinde veri sahibinin rızası bulunmasa dahi kişisel veri veya özel nitelikli kişisel veri aktarımı yapılabilecektir. Kanun, kişisel verilerin üçüncü taraflara aktarımı ile ilgili olarak yurtdışına aktarımı özel koşullara bağlamıştır. Buna göre, kişisel veriler;

· Veri sahibinin açık rızasının bulunması halinde, veya

Veri sahibinin açık rızası bulunmadığı ancak yukarıda belirtilen diğer şartlardan bir veya bir kaçının karşılandığı hallerde;

Verilerin aktarıldığı ülkede yeterli koruma bulunması ve

Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda veri sorumlusunun ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi veya Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile yurtdışına aktarılabilmektedir.

Kişisel Verilerin Şirketimiz Tarafından İşlenmesi

I. Şirketimiz Tarafından İşlenen Kişisel Verilerin Kategorizasyonu

Şirketimiz tarafından kişisel veriler, aşağıda tanımlı kategoriler altında işlenmektedir:

Veri Kategorisi

Kişisel Veri Kategorizasyonu Açıklama

Kimlik Bilgisi

Ikametgâh, Kimlik Bilgileri Pasaport, Avukatlık Kimliği, Ehliyet(Ö Ad-Soyad, Doğum Tarihi, Yaş)

İletişim Bilgisi

Kişiyle Iletişim Kurulması Amacıyla Kullanılan Bilgiler (Örn. E-Mail Adresi, Telefon Numarası, Cep Telefonu Numarası, Adres)

Lokasyon Verisi

Veri Sahibinin Konumunu Tespit Etmeye Yarayan Veriler (Örn. Araç Kullanımı Sırasında Edinilen Lokasyon Verileri)

Müşteri Bilgisi

Ürün Ve Hizmetlerimizden Faydalanan Müşterilere Ait Bilgiler (Örn. Müşteri No, Meslek Bilgisi, Vb.)

Müşteri İşlem Bilgisi

Ürün Ve Hizmetlerimizden Faydalanan Müşteriler Tarafından Gerçekleştirilen Her Türlü Işleme Ilişkin Bilgiler (Örn. Talep Ve Talimatlar, Sipariş Ve Sepet Bilgileri, Vb.) Şirketimizin Ticari, Teknik Ve Idari Risklerini Yönetebilmek Için Işlenen Kişisel Veriler (Örn. IP Adresi, Mac ID Vb. Kayıtlar)

Fiziksel Mekan Güvenlik Bilgisi

Fiziksel Mekana Girişte, Fiziksel Mekanın İçerisinde Kalış Sırasında Alınan Kayıtlar Ve Belgelere İlişkin Kişisel Veriler (Örn. Giriş Çıkış Logları, Ziyaret Bilgileri, Kamera Kayıtları Vb.), Görsel Veri Kişisel Veri Sahibiyle ilişkilendirilen Görsel Kayıtlar (Örn. Kamera Kayıtları)

İşlem Güvenliği Bilgisi

Şirketimiz Ve Ilgili Tarafların Teknik, İdari, Hukuki Ve Ticari Güvenliğini Sağlamak Amacıyla İşlenen Kişisel Veriler (Örn. Hizmet Sağlanacak Olan Araç Plaka, Renk Ve Marka Bilgileri, Kişisel Veri Sahibiyle İlişkilendirilen işlem Ile O Kişiyi Eşleştirmeye Ve Kişinin O işlemi Yapmaya Yetkili Olduğunu Gösteren Internet Sitesi Şifre Ve Parola Gibi Bilgiler)

Finansal Bilgi

Kişisel Veri Sahibi Ile Mevcut Hukuki ilişkinin Tipine Göre Yaratılan Her Türlü Finansal Sonucu Gösteren Bilgi, Belge Ve Kayıtlar Kapsamındaki Kişisel Veriler (Örneğin: Veri Sahibinin Yapmış Olduğu işlemlerin Finansal Sonucunu Gösteren Bilgiler, Kredi Tutarı, Kart Bilgisi, Kredi Ödemeleri, Ödenecek Faiz Tutarı Ve Oranı, Borç Bakiyesi, Alacak Bakiyesi Vb.)

Pazarlama Bilgisi

Şirketimiz Tarafından Pazarlama Faaliyetlerinde Kullanılacak Veriler (Örn. Pazarlama Amacıyla Kullanılmak Üzere Toplanan Kişinin Alışkanlıkları, Beğenilerini Gösteren Raporlar Ve Değerlendirmeler, Hedefleme Bilgileri, Cookie Kayıtları, Veri Zengileştirme Faaliyetleri)

Denetim Ve Teftiş Bilgisi

Şirketimizin Kanuni Yükümlülükleri Ve Şirket Politikalarına Uyumu Kapsamında işlenen Kişisel Veriler (Örn. Denetim Ve Teftiş Raporları, Ilgili Görüşme Kayıtları Ve Benzeri Kayıtlar)

Talep/Şikayet Yönetimi Bilgisi

Şirketimize Yöneltilmiş Olan Her Türlü Talep Veya Şikayetin Alınması Ve Değerlendirilmesine ilişkin Kişisel Veriler (Örn. Şirket’e Yönelik Talep Ve Şikayetler, Bunlarla Ilgili Kayıt Ve Raporlar)

II. Kişisel Verilerin Şirketimiz Tarafından İşlenme Amaçları

Şirketimiz, yukarıda belirtilen kapsamda kişisel verileri aşağıdaki amaçlarla işlemektedir:

Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası

Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi

Çalışanların bilgiye erişim yetkilerinin planlanması ve icrası

Çalışanların iş faaliyetlerinin takibi ve/veya denetimi

Finans ve/veya muhasebe işlerinin takibi

Hukuk işlerinin takibi

İnsan kaynakları süreçlerinin planlanması

İş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası

İş faaliyetlerinin planlanması ve icrası

İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi

İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası

Kurumsal iletişim faaliyetlerinin planlanması ve icrası

Kurumsal yönetim faaliyetlerin planlanması ve icrası

Lojistik faaliyetlerinin planlanması ve icrası

Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası

Müşteri memnuniyeti aktivitelerinin planlanması ve/veya icrası

Müşteri talep ve/veya şikayetlerinin takibi

Şirket denetim faaliyetlerinin planlanması ve icrası

Şirket dışı eğitim faaliyetlerinin planlanması ve icrası

Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası.

Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini

Şirketin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası

Şirketin üretim ve/veya operasyonel risk süreçlerinin planlanması ve/veya icrası

Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi

Stratejik planlama faaliyetlerinin icrası

Tedarik zinciri yönetimi süreçlerinin planlanması ve icrası

Ücret yönetimi

Üretim ve/veya operasyon süreçlerinin planlanması ve icrası

Ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası

Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icrası

Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası

Verilerin doğru ve güncel olmasının sağlanması

Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi

Ziyaretçi kayıtlarının oluşturulması ve takibi

Kişisel Verilerin Şirketimiz Tarafından Aktarılması ve Veri Aktarımı Gerçekleştirilen Tarafların Kategorizasyonu

Şirketimiz tarafından kişisel veriler, yukarıda belirtilen amaçlarla ve Mesafeli Satış Sözleşmesi’nden kaynaklanan hizmetleri yerine getirebilmek amacıyla BAMOS Otomotiv ve Teknolojiler A.Ş., Şirket yetkililerimize, iştiraklerimize, iş ortaklarımıza, tedarikçilerimize, hissedarlarımıza, kanunen yetkili kamu kurum ve kuruluşları ile özel kurumlara aktarılabilecektir.

Kişisel Verilerin Şirketimiz Tarafından İşlenmesi Usulü

Şirketimiz, veri sorumlusu sıfatı ile Kanun’dan doğan yükümlülükleri kapsamında, veri sahiplerinden kişisel verilerini temin etmeden evvel Kanun’un 10. maddesi doğrultusunda veri sahiplerini aydınlatmaktadır. Şirketimiz tarafından gerçekleştirilen herhangi bir veri işleme süreci Kanun’da belirtilen ve yukarıda Bölüm 2.II.a ve b’de detaylandırılan şartları karşılamadığı takdirde ise veri sahiplerinden açık rızaları temin edilmekte ve ilgili süreçler bahsi geçen açık rıza çerçevesinde sürdürülmektedir.

Kanun kapsamında açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup bu doğrultuda Şirketimiz veri sahiplerini Kanun’un 10. maddesi uyarınca aydınlattıktan sonra açık rızalarını temin etmektedir.

Kanun kapsamında kişisel verilerin saklanması için herhangi bir süre belirlenmemiş olmakla birlikte, genel ilkeler uyarınca kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. Şirketimiz, söz konusu ilkeye uygun bir şekilde saklama süreleri tespit etmek adına, her bir veri işleme süreci ile ilgili olarak yürürlükte bulunan mevzuatı ve sürecin amacını esas alarak bir değerlendirme yapmaktadır. Bu doğrultuda Şirketimiz, asgari olarak yasal yükümlülüklerinin gerektirdiği süre ile ve her halükârda ilgili zamanaşımı süreleri dolana kadar kişisel verileri saklamaktadır.

Şirketimiz, bahsi geçen sürelerin sona ermesi durumu da dahil olmak üzere herhangi bir süreç kapsamında ilgili kişisel verinin işleme amacının ortadan kalkması ile birlikte kişisel verileri Kanun’a uygun bir şekilde anonimleştirmekte, silmekte veya yok etmektedir. Kanun kapsamında anonimleştirme “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” şeklinde tanımlanmış olup Şirketimiz anonimleştirme faaliyetleri yürürlükteki mevzuata uygun bir şekilde gerçekleştirilmektedir.

V. Kişisel Veri Güvenliği

Şirketimiz, kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya zarar görmesini engelleyecek makul teknik ve idari önlemleri almaktadır. Bu kapsamda Şirketimiz tarafından asgari aşağıdaki aksiyonlar alınmaktadır:

· İşlenen kişisel verilere uygun yazılımsal ve donanımsal güvenlik önlemlerinin alınması

· Kanun kapsamında öngörülmüş bulunan denetimlerin gerçekleştirilmesi

· Şirket içi yetkilendirmeler ile bilgiye erişimin gereklilik ve görev tanımı ile kısıtlılık esasına dayalı bir şekilde sağlanması ve kayıt altına alınması

· Kişisel veri işleme faaliyetlerinin süreç bazında takibinin gerçekleştirilmesi

· Tedarikçilerle ilişkilerde kişisel verilerin korunması ve güvenliğinin sağlanması ile ilgili sözleşmesel taahhütlerin alınması

4. Veri Sahiplerinin Kanun’dan Doğan Hakları

I. Veri Sahiplerinin Hakları

Kanun’un 11. maddesine göre kişisel veri sahipleri;

Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme,

Kendisi ile ilgili kişisel veri işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme,

Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Kanun’un 28. maddesinin 2. fıkrası belli hallerde veri sahibinin veri sorumlusundan zararlarının tazmini dışında bir talepte bulunamayacağını düzenlemiştir. Buna göre,

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

· Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması hallerinde ilgili verilere yönelik olarak yukarıda belirlenen haklar kullanılamayacaktır.

II. Hakların Kullanılması

Veri sahipleri, yukarıda bahsi geçen hakları kullanmak için Başvuru Formu’nu kullanabileceklerdir.

Başvurular, ilgili veri sahibinin kimliğini tespit edecek belgelerle birlikte, formun ıslak imzalı bir kopyasının elden veya noter aracılığıyla ya da Kanun’da belirtilen diğer yöntemler ile adresine iletilmesi veya 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza ile imzalanarak

………….kep.tr

adresine kayıtlı elektronik posta gönderimi ile veya Şirketimiz’e daha önce bildirilen ve Şirketimiz sisteminde kayıtlı bulunan elektronik posta adresinden gönderilecek e-mail ile gerçekleştirilebilmektedir. Kişisel Verileri Koruma Kurulu tarafından bahsi geçen yöntemler dışında bir yöntem öngörülmesi halinde başvurular bu yöntemle de iletilebilecektir.

Yukarıda belirtilen yöntemlerden biri ile iletilen veri sahibi talepleri, Şirketimiz tarafından azami otuz gün içerisinde değerlendirilmekte ve cevaplanmaktadır. Şirketimiz, özellikle başvuru sahibinin ilgili veri sahibi olup olmadığının değerlendirilmesi amacıyla başvuru sahibinden ek bilgi ve belge talep etme hakkını saklı tutmaktadır.

Veri sahibi başvuruları kural olarak Şirketimiz tarafından ücretsiz olarak değerlendirilmektedir. Ancak taleplerin ek masrafa sebebiyet vermesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarife kapsamında Şirketimiz ödeme talep etme hakkına sahip olacaktır.

KİŞİSEL VERİLEN İŞLENMESİ

Kurumsal

Ziebart Uygulamalar

Ziebart Türkiye

Ⓒ Ziebart Türkiye 1991 - 2022 Ziebart & Tidy Car markaları Türkiye'de tescilli markalardır. 3. şahıslar tarafından kullanılamaz ve taklit edilemez. Tüm hakları saklıdır