• GDPR

  • Veri İşleme Politikası

  1. POLİTİKANIN AMAÇ VE KAPSAMI

Kişisel Verilerin İşlenmesi ve Korunması Genel Politikasının (“Politika”) amacı, SAMET KALIP VE MADENİ EŞYA SANAYİ VE TİCARET A.Ş. (“Şirket”) tarafından işlenen kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere, bağlı ve ilgili mevzuat hükümleri, Kişisel Verileri Koruma Kurulu kararları, yargı kararları ve iyi uygulama örnekleri esas alınarak, belirlenmiş amaçlar dahilinde ve sınırlı ölçüde, mümkün olan her türlü teknik ve idari tedbiri almak suretiyle işlenmesi ve korunmasına yönelik genel ilke ve esasları belirlemektir.

  1. TANIMLAR

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. 

İlgili Kişi 

Kişisel verisi işlenen gerçek kişidir, veri konusu kişidir. 

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin kavramsal olarak adıdır. 

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.

 

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

 

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgilerdir (kimlik, iletişim, işlem verileri, görsel ve işitsel kayıtlar gibi). Tüzel kişilere ilişkin bilgiler (örneğin; Şirketin unvanı, ticaret sicili numarası, vergi numarası gibi) Kanun kapsamında değildir. 

 

Kişisel Verilerin İşlenmesi

 

 

 

 

 

 

 

Kişisel Verilerin Anonim Hale Getirilmesi

 

Kişisel verilerin tamamen veya kısmen, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlemin genel adıdır.

 

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel Verilerin Silinmesi

 

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 

Kurul

Kişisel Verileri Koruma Kurulu’dur. 

 

Kurum

Kişisel Verileri Koruma Kurumu’dur.

 

Özel Nitelikli Kişisel Veri

 

 

 

 

Şirket

Kanunun 6. Maddesinin 1. Fıkrasında sayılmış olan ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. 

 

İşbu Politikada SAMET KALIP VE MADENİ EŞYA SANAYİ VE TİCARET A.Ş.’dir.  

 

Kişisel Veri İşleme Envanteri

Kişisel verilerin işlendiği faaliyetleri, işleme faaliyetlerinin amaçlarını, veri konusu kişi gruplarını, işlenmekte olan veri türü ve kategorilerini, kişisel veri aktarılan alıcı grupları (yurt içi ve yurt dışı olmak üzere) ile kişisel verilerin aktarımı dahil işlenmesine ilişkin olarak veri güvenliği için alınan teknik ve idari tedbirlerin belirtildiği, Yönetmelik’e göre oluşturulmuş, Şirket’e ait kişisel veri işleme envanteridir. 

 

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi anlamına gelmektedir.

 

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişidir (gerçek veya tüzel kişilerdir). 

 

SAMET KALIP VE MADENİ EŞYA SANAYİ VE TİCARET A.Ş. bir veri sorumlusudur. 

 

Yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’tir.

 

 

  1. KANUN’UN GENEL İLKELERİNE UYGUNLUK

Şirket bünyesindeki tüm kişisel veri işleme faaliyetleri ve bu faaliyetler kapsamında işlenen/işlenecek olan kişisel veriler, öncelikli olarak Kanun’un 4. Maddesinde yazılı olan genel ilkelere göre belirlenir. Bu doğrultuda, kişisel veriler sadece; 

  • Hukuka ve dürüstlük kuralına uygun,

  • Doğru ve gerektiğinde güncelliğini sağlamak için gereken gayret içinde, 

  • Belirli, açık ve meşru amaçları oldukça ve 

  • Bu amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlenmektedir.

     

  1. KİŞİSEL VERİLERİN KANUN’DA BELİRLENEN HUKUKA UYGUNLUK SEBEPLERİNE (İŞLEME ŞARTLARI) DAYALI OLARAK İŞLENMESİ

Şirket, Politikanın aşağıda 6. Maddesi altında sayılmış olan amaçlar kapsamında işlediği kişisel verileri, yukarıda bahsi geçen genel ilkelerle uyumlu oldukça, Kanun’un 5. ve 6. Maddelerinde sayılmış olan işleme şartlarının bir veya birkaçına dayanarak işlemektedir. 

Şirket tarafından Kanun kapsamında hazırlanan ve ilgili kişi gruplarına duyurulan tüm aydınlatma metinlerinde, aydınlatması yapılan kişisel veri işleme amaçlarının dayandığı kişisel veri işleme şartları ayrıca sayılır. Bununla birlikte, genel çerçevesi ile Şirket kişisel verileri Kanun’un 5. Maddesi kapsamında; 

  • 5/2 (a) Kanunlarda açıkça öngörülmesi,

  • 5/2 (b) Fiili imkânsızlık sebebiyle İlgili Kişinin açık rızasının alınamaması,

  • 5/2 (c) Sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

  • 5/2 (ç) Veri Sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, 

  • 5/2 (d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,

  • 5/2 (e) Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,

  • 5/2 (f) İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaati için veri işlemenin zorunlu olması işleme şartlarından bir veya birkaçına dayanarak ve;

  • Gereken hallerde Madde 5/1 kapsamında İlgili Kişinin Açık Rızasının temin edilmesi suretiyle işler. 

Özel nitelikli kişisel veriler ise, Kanun’un 6. Maddesinde belirtilen işleme şartlarından birinin mevcut olması halinde işlenir. Bu doğrultuda, özel nitelikli kişisel veriler; 

  • 6/3 (a) İlgili kişinin açık rızasının olması,

  • 6/3 (b) Kanunlarda açıkça öngörülmesi,

  • 6/3 (c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

  • 6/3 (ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

  • 6/3 (d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

  • 6/3 (e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

  • 6/3 (f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki “hukuki yükümlülüklerin” yerine getirilmesi için zorunlu olması, işleme şartlarından bir veya birkaçına dayanarak toplanmakta ve işlenmektedir.  

Tüm kişisel veri işleme faaliyetleri yönünden, öncesinde ilgili kişiye karşı aydınlatma yükümlülüğü yerine getirilmekte ve akabinde sadece gereken işleme faaliyetleri için ilgili kişinin açık rızası temin edilmektedir. 

 

  1. İLGİLİ KİŞİ GRUPLARI, İŞLENEN KİŞİSEL VERİ KATEGORİLERİ KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİ 

    5.1.      İlgili Kişi Grupları ve Kişisel Verileri Toplama Yöntemleri

    Şirket bünyesinde sıklıkla kişisel verileri işlenen ilgili kişi grupları; çalışan adayları, çalışanlar, alt işveren çalışanları, mevcut/potansiyel gerçek kişi müşteriler, mevcut/potansiyel gerçek kişi tedarikçiler, tüm müşteri ve tedarikçilerin ortak, yönetici ve ilgili çalışanları, işyeri/tesis ziyaretçileri, etkinlik ve fuar stant ziyaretçileri, internet sitesi ziyaretçileri, sadakat program üyesi olan müşteriler, Şirket ortak ve yöneticileridir.   

 

Aşağıdaki tabloda ilgili kişi grupları, kendilerine ait kişisel verilerin Şirket tarafından toplanma yöntemleri ile birlikte genel bir çerçevede gösterilmektedir.

 

 

İLGİLİ (VERİ KONUSU) KİŞİ GRUBU

 

KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİ

 

Çalışan Adayları

 

Çalışan adaylarına ait kişisel veriler sözlü, yazılı veya elektronik ortamda sunulan iş başvuru formları, bilgi ve belgeler vasıtasıyla, iş görüşmelerinde, dijital iletişim yöntemleri ile veya adaylar tarafından e-posta veya çevrimiçi kariyer siteleri yoluyla iletilen bilgi ve belgeler (CV) vasıtasıyla toplanır. 

 

 

Çalışanlar /

Stajyer Çalışanlar

 

Çalışan kişisel verileri sıklıkla işe giriş esnasında talep edilen belgeler ve Şirkette kullanımda olan formlar vasıtasıyla, yüz yüze yapılan görüşmeler esnasında, telefon, e-posta ve elektronik iletişim kanalları üzerinden toplanır. 

 

Çalışanların, özgeçmiş, eğitim ve referans bilgileri işe alım platformları ve e-posta yoluyla iletilen özgeçmişlerden de toplanabilmektedir. Stajyer çalışanların kişisel verileri okulları ve bağlı oldukları kurumlar tarafından aktarılabilir.  

 

Çalışanların özel nitelikli kişisel verisi olan sağlık verileri, işyeri hekimliği tarafından elden, kargo/kurye/posta yolu ile ya da e-posta üzerinden toplanabilir.

 

İşyerlerinde fiziksel mekân güvenliğinin temini amacıyla güvenlik kameraları (CCTV) ile izleme yapılmaktadır.

 

Zaman zaman Şirket içi veya dışı etkinliklerde görsel ve işitsel kayıtlar alınmaktadır. 

 

İş ilişkisinin devamı boyunca çalışan kişisel verileri, özellikle özlük verileri, çalışanın fiilen işyerinde bulunması, iş süreçlerine dahil olması, işyeri içinde veya dışında tayin edilen alanlarda görevlerini ifa etmesi, yasal ve sözleşmesel yükümlülüklerin yerine getirilmesine bağlı olarak ve Şirket bünyesinde kullanılan personel sistem ve uygulamaları vasıtasıyla sözlü, yazılı veya elektronik ortamda toplanır ve işlenir.

 

 

Çalışan Aile Üyeleri / Yakınları

 

Acil durumların ve iletişim faaliyetlerinin yürütülmesiyle sınırlı olarak, çalışanların aile bireyleri ve yakınlarına ait kimlik ve iletişim verileri gibi kişisel verileri, ilgili çalışandan elde edilir.

 

 

Mevcut/Potansiyel Tedarikçiler ve İş Ortakları ile Bunların Ortak, Yönetici ve İlgili Çalışanları

 

Sözlü, yazılı veya elektronik ortamda genellikle yüz yüze görüşmeler, kartvizitler, e-posta yazışmaları ve telefon görüşmeleri, kısa mesaj uygulamaları ve/veya kargo/kurye aracılığıyla toplanır. 

 

Tedarikçilerimizin ve iş ortaklarımızın ortak, yönetici ve ilgili çalışanlarına ait kimlik ve iletişim verisi gibi kişisel verileri, sözleşme içinde veya eklerinde yer alan belgeler, imza sirküleri, imza beyannamesi, vekâletname gibi belgeler aracılığıyla toplanabilir.

 

 

Mevcut/Potansiyel Müşteriler ve Onların Ortak, Yönetici ve İlgili Çalışanları

 

 

Sözlü, yazılı veya elektronik ortamda genellikle yüz yüze görüşmeler, kartvizitler, e-posta yazışmaları, telefon görüşmeleri, sosyal medya platformları, etkinlik formları, Şirketin internet sitesi üzerinden doldurulan formlarla çevrimiçi ve kısa mesaj uygulamaları aracılığıyla toplanır.

 

Müşterilerimizin ortak, yönetici ve ilgili çalışanlarına ait kimlik ve iletişim verisi gibi kişisel verileri, sözleşme içinde veya eklerinde yer alan belgeler, imza sirküleri, imza beyannamesi, vekâletname gibi belgeler aracılığıyla toplanabilir.

 

 

Etkinlik Katılımcıları / Fuar Stant Ziyaretçileri

 

Katılımcı ve stant ziyaretçilerinin kişisel verileri, doldurulan kayıt ve formlar, Şirketin internet sitesi ve sosyal medya platformları vasıtayla iletilen çevrimiçi form ve talepler, etkinliklerde alınan görsel ve işitsel kayıt yöntemleri ile toplanabilir. 

 

Fuar ve organizasyonlarda Şirket standına uğrayan ziyaretçilerin bırakmaları halinde kartvizitleri, doldurmaları halinde iletişim, talep ve öneri formları vasıtasıyla da kişisel verileri toplanabilir. Zaman zaman ve ilgili kişinin açık rızası olması halinde stantlarda fotoğraf ve video çekimi yapılmaktadır.

 

 

Şirket Ortakları/Yönetim Kurulu Üyeleri / İmza Yetkilileri

 

 

Sözlü, yazılı veya elektronik ortamda, imza sirküleri, imza beyannamesi, vekâletname, toplantı tutanakları gibi belgeler aracılığıyla ve yapılan fiziki veya çevrimiçi toplantı ve görüşmelerde toplanmaktadır.  

 

 

 

İşyeri/Tesis Ziyaretçileri

 

Ziyaretçi kişisel verileri, sıklıkla, giriş kulübesi ve bankolarında edinilen sözlü bilgiler, zaman zaman yazılı kayıt ve doldurulan formlar vasıtasıyla toplanır.

 

İşyerlerinde fiziksel mekân güvenliğinin temini amacıyla güvenlik kameraları (CCTV) ile izlemesi yapılır. 

 

İşyerinde kablosuz ağ bağlantısından faydalanmak isteyen ziyaretçilerden elektronik ortamda kimlik, iletişim ve işlem güvenliği verisi toplanır.

 

İnternet Sitesi Ziyaretçileri / Sadakat Programları Üyeleri

sametkazandiriyor.com

sametglobal.com

partners.samet.com.tr  

mastersclub.samet.com.tr  

kampus.sametglobal.com  adresli kurumsal internet sitelerimizde yapılan gezintiler esnasında zorunlu çerezler, ziyaretçi tarafından kabul edilmesi halinde sair çerezler vasıtasıyla kişisel veriler toplanır.

 

Internet sitemizde yer alan çeşitli formların (iletişim, talep, şikayet, öneri formları gibi) doldurulması halinde ve internet sitelerimizde çevrimiçi sadakat programlarına üye olunması halinde kişisel veriler toplanır. 

 

 

 

 

5.2.      İşlenen Kişisel Veri Kategorileri

 

Yukarıda yer verilen ilgili kişi gruplarına ait işlenen kişisel veri ve özel nitelikli kişisel veriler sıklıkla şunlardır:  

 

  • Kimlik verileri (ad soyadı, T.C. kimlik numarası, vesikalık fotoğraf vb. dokümanlarda yer alan tüm bilgiler,)

  • İletişim verileri (E-posta adresi, telefon numarası, cep telefonu numarası, adres vb. iletişime dair veriler)

  • Özlük verileri (İş ilişkisi boyunca oluşan, çalışanların ve eski çalışanların özlük haklarının ve dosyalarının oluşturulmasına temel olacak bilgiler),

  • Mesleki deneyim verileri (çalışılan kurum(lar), çalışma süresi, sigortalılık türü, çalıştığı sektör, unvanı, eğitim düzeyi, toplam çalışma süresi vb. verileri),

  • Eğitim verileri,

  • Finansal veriler (Banka hesap bilgileri, kredi kartı bilgileri vb. her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler),

  • Çalışan aile bireylerine ait veriler (çalışan çocukları, eşleri veya tercih ettiği yakını ile ilgili kimlik bilgisi, iletişim bilgisi vb.),

  • Çalışan işlem verileri, 

  • Fiziksel mekân güvenliği verileri (fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan güvenlik kamerası kayıtları vb. veriler),

  • Görsel ve işitsel kayıtlar (fotoğraf, video vb. görsel ve işitsel niteliğe haiz veriler)

  • Hukuki işlem verileri (hukuki alacak ve hakların tespiti, takibi ve borçların ifası ile kanuni yükümlülüklerin yerine getirilmesi ve Şirket politikalarına uyum kapsamında işlenen kişisel veriler),

  • Müşteri İşlem verileri (ticari faaliyetlerin gerçekleştirilmesi, ürün ve hizmetlerin kullanımına yönelik kayıtlar ve müşterilerin ürün ve hizmetlere ilişkin talep veya şikayetleri gibi veriler)

  • Pazarlama verileri (ürün ve hizmetlerin ilgili kişinin öneri, beğeni ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler, müşteri memnuniyet anketleri bilgisi gibi veriler),

  • İşlem güvenliği verileri (Şirketin teknik, idari, hukuki ve ticari güvenliğini sağlamak için işlediği kişisel veriler),

  • Çalışan Adaylarına ait kişisel veriler,

  • Özel nitelikli kişisel veriler olan sağlık verileri, ceza mahkûmiyeti verileri.

  • Çerezler vasıtasıyla toplanan kişisel veriler.

 

  1. ŞİRKETİN KİŞİSEL VERİ İŞLEME AMAÇLARI

 

Şirket tarafından toplanan kişisel veriler, faaliyet ve operasyonların, yasal ve idari yükümlülüklerin gerektirdiği ölçüde, meşru amaçlar doğrultusunda, öncelikle Kanun’un 5/2. ve 6/3. Maddelerinde belirtilen hukuka uygunluk sebeplerinden birine veya birkaçına dayalı olarak işlenmektedir. Sadece gereken kişisel veri işleme amaçları için Kanun’un 5/1 ve 6/3 (a) Maddeleri doğrultusunda ilgili kişinin açık rızasına temin edilmektedir.

 

Şirketin faaliyet ve operasyonları dikkate alındığında, kişisel verileri işleme amaçları şu şekilde listelenebilir.                                           

 

  • Acil durum yönetimi,

  • Bilgi güvenliği süreçlerinin yürütülmesi,

  • Çalışan adayı, stajyer ve öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,

  • Çalışan adaylarının başvuru süreçlerinin yürütülmesi,

  • Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,

  • Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,

  • Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,

  • Denetim faaliyetlerinin yürütülmesi,

  • Eğitim faaliyetlerinin yürütülmesi,

  • Erişim yetkilerinin yürütülmesi,

  • Faaliyetlerin mevzuata uygun yürütülmesi,

  • Finans ve muhasebe işlerinin yürütülmesi,

  • Fiziksel mekân güvenliğinin temini,

  • Görevlendirme süreçlerinin yürütülmesi,

  • Hukuk işlerinin takibi ve yürütülmesi,

  • İletişim faaliyetlerinin yürütülmesi, 

  • İnsan kaynakları süreçlerinin planlanması,

  • İş faaliyetlerinin yürütülmesi ve denetimi,

  • İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,

  • İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,

  • Lojistik faaliyetlerinin yürütülmesi,

  • Mal / hizmet satın alım süreçlerinin yürütülmesi,

  • Mal / hizmet satış süreçlerinin yürütülmesi,

  • Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi,

  • Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi,

  • Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,

  • Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,

  • Organizasyon ve etkinlik yönetimi,

  • Performans değerlendirme süreçlerinin yürütülmesi,

  • Reklam / kampanya / promosyon süreçlerinin yürütülmesi,

  • Risk yönetimi süreçlerinin yürütülmesi,

  • Saklama ve arşiv faaliyetlerinin yürütülmesi,

  • Sözleşme süreçlerinin yürütülmesi,

  • Ücret politikasının yürütülmesi,

  • Ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi,

  • Veri sorumlusu operasyonlarının güvenliğinin temini, 

  • Yasal yükümlülüklerin yerine getirilmesi,

  • Yetenek ve kariyer gelişimi faaliyetlerinin yürütülmesi,

  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,

  • Yönetim faaliyetlerinin yürütülmesi.

 

  1. KİŞİSEL VERİ GÜVENLİĞİ 

 

Bir Veri Sorumlusu olarak Şirketimizde kişisel verilerin korunması ve güvenliğinin farkındalığı yüksektir. Bu amaçla, gerekli teknik ve idari tedbirler alınmakta ve takipleri düzenli olarak yapılmaktadır. 

 

Şirkette kapsamlı Kişisel Verilerin Korunması Bilgi Güvenliği Politikaları mevcuttur. Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Internet ortamından gelebilecek saldırılara karşı anti-virüs programları kullanılmakta ve programlar sürekli olarak güncellenmektedir. Güvenlik duvarları kuruludur. 

 

Şirket bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda sadece ilgili kullanıcılar ile sınırlandırılmaktadır. 

 

Şirket çalışanlarına kişisel verilerin korunması ve Kanun hakkında farkındalık eğitimleri verilmektedir. Kişisel verilerin fiziki ortamda saklandığı dolap ve çekmeceler kilitli ve/veya şifrelidir.  

 

Şirketin Kişisel Veri İşleme Envanterinde, Saklama ve İmha Politikasında, ayrıca VERBİS (Veri Sorumluları Sicili) kaydında da kişisel veriler işlenirken alınan idari ve teknik tedbirler sayılmıştır. 

 

Uygulanan tedbirler hemen aşağıda iki ayrı başlık halinde yer almaktadır.

 

  1. Teknik Tedbirler

 

  • Kişisel veri saklanan ortamlara yalnızca yetkili birim ve kişiler erişim sağlayabilmektedir. 

  • Şirket içindeki bilgisayarlarda ağ güvenliği ve uygulama güvenliği sağlanmakta olup, güncel anti-virüs programları ve güvenlik duvarları kuruludur.

  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

  • Anahtar yönetimi uygulanmaktadır. 

  • Bilgi teknolojileri sistemlerinin tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.

  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup, çalışanların erişim yetkileri düzenli kontrol edilmektedir.

  • Çalışanlar için yetki matrisi oluşturulmuştur.

  • Erişim logları düzenli olarak tutulmaktadır.

  • Görev değişikliği olan ya da işten ayrılan çalışanların erişim yetkileri derhal kaldırılmaktadır.

  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmaktadır. 

  • Saldırı tespit ve önleme sistemleri ile veri kaybı önleme yazılımları kullanılmaktadır.

  • Sızma testi uygulanmaktadır.

  • Fiziki ortamlardaki kişisel veriler kilitli dolaplar veya çekmeceler içinde muhafaza edilmektedir. Bu dolap ve saklama yerlerinin kilitleri yine sadece ilgili birim ve yetkilendirilmiş personellerimizde mevcuttur. 

  • Bilişim sistemleri, teçhizatı, yazılım ve verilerin güvenliğinin temini için, çevresel tehditlere karşı donanımsal (fiziksel güvenliğin sağlanması, yangın söndürme sistemi gibi) önlemler alınmaktadır.

  • E-posta kullanım, internet erişim, şifre belirleme, ağ cihazları güvenlik, ağ yönetimi, uzaktan erişim, kablosuz iletişim, sunucu güvenlik, işletimsel sistemler, kimlik doğrulama, yetkilendirme, veri tabanı güvenlik, bilgi sistemleri yedekleme, mobil cihaz, bilgi transferi, güvenli imha, güvenli silme, veri kaybı önleme yazılımları, taşınabilir ortam, log yönetimi politikaları mevcuttur. 

  • Yazılım ve donanımların envanteri tutulmaktadır. 

 

  1. İdari Tedbirler

 

  • Şirketimizde işlenen kişisel veriler ilgili kişi bazında tespit ve tahlil edilir. “Kişisel Veri İşleme Envanteri” mevcuttur ve belirli sürelerle güncellenir.  

  • Şirket, kişisel verilerin korunması ve güvenliği hakkında yönetici ve çalışanlar için farkındalık eğitimleri düzenlemektedir.

  • Kâğıt ortamındaki verilerde gizlilik derecesi gösterilmekte, evrak kayıt defterine kayıt yapılmak ve imza alınmak suretiyle gizliliği korunarak aktarılmaktadır. 

  • Kişisel verilerin, yazılı, görsel, işitsel ortamlarda iletilmesi söz konusu olduğunda, verinin kullanıldığı ortamın ve altyapının, Şirket bilgi güvenliği politikalarına ve prosedürlerine uygunluğu sağlanmakta; kişisel verileri kullanan tüm tarafların ve çalışmalara katılan üçüncü tarafların da bu kurallar hakkında bilgilendirilmesi gerçekleştirilmektedir. 

  • Toplanana kişisel veriler, yalnızca söz konusu verilere iş tanımı gereği erişmesi gereken çalışanların erişimine açıktır. Kişisel verilere erişimi olan çalışanların yetkileri, işledikleri verilerin niteliğine göre süre ve kapsam bakımından sınırlandırılmaktadır. 

  • Kişisel veri içeren ve fiziki ortamlarda saklanan dosya ve klasörler, ilgili birim dolaplarında, çekmecelerinde yetkisiz kişilerce erişilemeyecek şekilde saklanmaktadır. Dolaplar ve çekmeceler kilitli olarak tutulmaktadır. 

  • Kişisel verilerin üçüncü kişilere aktarılması gereken hal ve zamanlarda kullanılmak üzere, kişisel veri aktarım ve işleme sözleşmeleri, gizlilik ve kişisel verilerin korunması taahhütleri mevcuttur.

  • Şirketin taraf olduğu sözleşmelerde kişisel verilerin korunmasına dair hükümlerin yer almasına dikkat edilir. 

  • İlgili kişiler bazında ve/veya kişisel veri işleme amaçlarına göre hazırlanmış aydınlatma metinleri ve kişisel veri işleme şartının ilgili kişinin açık rızası olduğu hallere kullanılmak üzere açık rıza metinleri mevcuttur.   

  • Şirkette yürürlükte olan Veri İhlali Müdahale Planı vardır. 

  • Şirkette yürürlükte olan Saklama ve İmha Politikası vardır. 

  • Şirketimiz, Kanun ve ilgili mevzuat hükümleri ile kişisel verilerin güvenliğine ilişkin erişim, bilgi güvenliği, kullanım, saklama ve imha konularında yürürlüğe koyduğu politikaların uygulanmasını sağlamak amacıyla yapacağı denetimlerle sürdürülebilirliği sağlamayı amaçlamaktadır.

  • Şirketimiz, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Anılan Bilgi Güvenliği Sistemi ile teknik kurallara ilaveten, idari kurallar ve süreçler de politika ve prosedürlerle tespit ve tayin edilmiştir. Bu doğrultuda;

  • Varlık Yönetim ve Bilgi Sınıflandırma Prosedürü 

  • Bilgi Güvenliği El Kitabı 

  • Bilgi Sistemleri Kaynakları Yönetim Politikası 

  • Bilgi Güvenliği İmha Talimatı 

  • LOG Yönetim Politikası 

  • Taşınabilir Cihaz Güvenliği Talimatı 

  • Ağ Güvenliği Uzaktan Erişim Politikası 

  • Güvenli Şifre Talimatı 

  • Temiz Masa Temiz Ekran Talimatı    

  • Personel Yönetmeliği 

  • Disiplin Yönetmeliği

  • Risk Yönetim Prosedürü mevcuttur. 

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE GÜVENLİĞİ

 

Özel Nitelikli Kişisel Veri kategorisinde kalan kişisel verilerin işlenmesinde Kanun’un 6. Maddesindeki hukuka uygunluk sebeplerine dayanılmaktadır. Bu doğrultuda Şirket tarafından toplanan özel nitelikli kişisel veriler; 

 

  • 6/3 (b) Kanunlarda açıkça öngörülmesi,

  • 6/3 (ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

  • 6/3 (d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

  • 6/2 (e) bendinde düzenlenen “Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli” olması, 

  • 6/2 (f) bendinde düzenlenen “İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve yükümlülüklerin yerine getirilmesi için zorunlu olması”,

  • Gereken hallerde Kanun’un 6/3 (a) bendi uyarınca ilgili kişinin açık rızasının bulunması hukuki sebeplerine istinaden işlenmektedir.

 

Özel Nitelikli Kişisel Veri kategorisinde kalan kişisel veriler için yukarıda Politikanın 7. Maddesinde sayılan teknik ve idari tedbirlerin yanı sıra, Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı uyarınca ve yeterli güvenlik önlemleri uygulanmaktadır.

 

İlgili tüm Şirket çalışanlarının özel nitelikli kişisel veri kategorileri yönünden farkındalıkları yüksektir ve Şirket içinde düzenli hatırlatmalar yapılmaktadır.  

 

  1. KİŞİSEL VERİLERİN AKTARILMASI

 

Şirket tarafından işlenen kişisel veriler, Kanun’un 8. (yurt içi) ve 9. (yurt dışı) Maddeleri uyarınca, Kurul tarafından alınan kararlara ve ilan edilen ikincil düzenlemelere uygun olarak gereken hal ve zamanlarda üçünü kişilere aktarılabilecektir.  

 

Bu doğrultuda kişisel veriler, işlenme amaçlarıyla bağlantılı ve sınırlı olacak şekilde, sözlü, yazılı veya elektronik ortamda yurt içinde sıklıkla; 

 

  • Mahkemeler, icra daireleri, arabulucular, hakemler gibi ve bunlarla sınırlı olmaksızın yargı mercilerine,   

  • Sosyal Güvenlik Kurumu, İş-Kur, Vergi Daireleri, Gümrükler, Sicil Müdürlükleri, Organize Sanayi Bölgesi Yönetimi gibi ve bunlarla sınırlı olmaksızın yetkili kişi, kurum ve kuruluşlara,

  • Şirkete mal ve hizmet tedarikinde bulunan ve iş ilişkisi içinde olunan iş ortaklarına, tedarikçilere, hizmet sunucularına, 

  • Kanunen yetkili hizmet aracılarına,

  • Muhasebe, bordro, mali müşavirlik, denetim, bilgi güvenliği hizmetleri alınan firmalara,

  • Ticari ilişki içinde olduğumuz müşterilerimize (bayi ve kanal ortaklarımız da bu kapsamdadır), potansiyel müşterilere, 

  • Reklam, pazarlama, iletişim ve etkinlik hizmetleri alınan ajanslara, organizasyon firmalarına,

  • Sosyal medya hesaplarımızı yöneten ajanslara, 

  • Araç kiralama, seyahat ve tur firmalarına, vize danışmanlarına, otel ve konaklama tesislerine,

  • Eğitim firmalarına,

  • İSG hizmeti aldığımız firmalara, işyeri hekimine,

  • Sigorta ve emeklilik şirketlerine,

  • Personel taşımacılığı, kargo ve lojistik hizmet sağlayıcılarına, 

  • Bilişim teknolojileri, sistem ve çözümleri hizmeti alınan firmalara, bunların sunucularına,  

  • Noterlere, anlaşmalı olunan hukuk büroları ve vekalet ilişkisi içinde olunan avukatlara, gümrük müşavirlerine, iş takipçilerine,  

  • İş ortağımız olan bankalara,

  • Şirket ortaklarına ve iştiraklerine aktarabilecektir

 

Kişisel veriler, yasal yükümlülükler, kamu düzenine karşı taşıdığımız yükümlülükler ile yasal ve resmi taleplerin ifası için gerekli oldukça, yetkili kişi, kurum ve kuruluşlar ile paylaşılabilecektir.

 

Şirket tarafından işlenen kişisel veriler, Kanun’un yurt dışına kişisel veri aktarımına dair 9. Maddesinde yer alan şartlardan tespit edilen uygun şarta bağlı olarak, işleme amaçları dâhilinde ve amaçla bağlantılı ve sınırlı olarak, yurtdışı iştiraklere[1], iş ortaklarına, hizmet tedarikçilerine, bilgi teknolojileri, bilişim ve iletişim hizmet sunucularının yurt dışında bulunan sunucularına aktarılabilecektir. Şayet aktarım, Kanun’un yurt dışına veri aktarımına ilişkin 9. maddesinin 6/a bendi kapsamında ilgili kişinin açık rıza vermesine bağlı olarak yapılacak bir arızi aktarım ise, öncesinde ilgili kişinin açık rızası temin edilecektir.

 

Kişisel verilerin aktarımı söz konusu olduğunda, aktarımlar teknik ve idari tedbirler ve aktarım yapılan taraflardan mümkün olan her halde gizlilik taahhütleri alınarak, yapılacaktır.

 

  1. KİŞİSEL VERİLERİN İMHA YÜKÜMLÜLÜĞÜ

 

Şirketimiz işlemekte olduğu kişisel verileri; 

 

  • Kanun’un 5. ve 6. Maddelerinde yer alan ve işbu Politikada da yer verilmiş olan kişisel verileri işlenme amaç ve şartlarının ortadan kalkması halinde veya 

  • İlgili Kişiden Şirketimize ulaşan talepleri değerlendirerek imha edecektir.

 

Kişisel Verilerin işleme amacına göre belirlenen saklama süreleri ile imha yöntemlerimizi, ilgili kişiden ulaşan imha taleplerinin yönetilmesi ile ilgili açıklama ve detayları içeren, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırlanmış Kişisel Verileri Saklama ve İmha Politikamız mevcuttur. 

 

  1.  İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

 

İlgili Kişiler, Kanun’un 11. Maddesi uyarınca aşağıdaki haklara sahiptirler:

 

  • 11/a Kişisel veri işlenip işlenmediğini öğrenme,

  • 11/b Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

  • 11/c Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

  • 11/ç Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  • 11/d Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

  • 11/e 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

  • 11/f (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  • 11/g İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

  • 11/ğ Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

     

 

İlgili talepler;

 

  1. Islak imzalı olarak ve geçerli bir kimlik belgesinin fotokopisi ile birlikte, Atatürk Mahallesi Adnan Menderes Caddesi No: 8-13 34513 Esenyurt, İstanbul adresine göndererek,

  2. Geçerli bir kimlik belgesi ile birlikte bizzat başvurarak,

  3. Kayıtlı elektronik posta (KEP) adresi ve güvenli elektronik imza kullanmak suretiyle sametkalip@hs01.kep.tr KEP adresimize göndererek,

  4. İlgili Kişi tarafından tarafımıza daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresinden kvkk@samet.com.tr adresimize e-posta ile göndererek, iletilebilir.

 

Konuya ilişkin bilgi ve belgeler başvuruya eklenmelidir. Şirket, başvuruda bulunan kişinin ilgili kişi olup olmadığını tespit etmek amacıyla başvurucudan bilgi ve belge talep etme ve yapılan başvuruda yer alan talepleri ve bilgileri açıklığa kavuşturmak amacıyla, ilgili kişiye başvurusu ile ilgili soru yöneltme haklarına sahiptir. 

 

Talepler en kısa sürede, her halde en geç 30 gün içerisinde cevaplandırılacak ve sonuçlandırılacaktır.

 

 

 

  1. POLİTKANIN DUYURULMASI VE TAKİBİ

 

İşbu Politika, Şirketimizin internet sitesinde www.sametglobal.com ilan edilmiştir. 

 

Başta Kanun olmak üzere yürürlükteki ilgili mevzuat ile Politikada yer verilen düzenlemelerin çelişmesi halinde Kanun ve ilgili mevzuatta yer alan hükümler geçerlidir. Şirketimiz, yasal düzenlemelere paralel olarak Politikada tek taraflı olarak değişiklik yapma hakkını saklı tutar. Yapılan değişikliklerle Politikanın güncel versiyonu düzenli olarak kurumsal internet sitesinde yayımlanır. 

 

Saygılarımızla;

 

 

 

Veri Sorumlusu

 

SAMET KALIP VE MADENİ EŞYA SANAYİ VE TİCARET A.Ş.

 

Mersis No                  : 0742003025700011

Adres                         : Atatürk Mahallesi Adnan Menderes Caddesi No: 8-13 34513 

                                      Esenyurt - İstanbul

Telefon                      : +90 212 886 75 23

Kep Adresi                : sametkalip@hs01.kep.tr

E-posta                      : kvkk@samet.com.tr