• GDPR
  • Veri İşleme Politikası

1.    AMAÇ VE KAPSAM

İşbu Kişisel Verilerin İşlenmesi ve Korunması Genel Politikasının (“Politika”) amacı Samet Kalıp ve Madeni Eşya Sanayi ve Ticaret Anonim Şirketi (“Samet” veya “Şirket”) tarafından işlenen kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca işlenmesi ve korunmasına yönelik uyulması gereken genel ilke ve esasları belirlemektir.

 

2.    TANIMLAR

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

 

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinin üst kavramıdır.

 

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu.

 

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

 

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgilerdir (kimlik, iletişim, finans verileri gibi)- Tüzel kişilere ilişkin bilgiler (örneğin; Şirketin unvanı, ticaret sicili numarası, vergi numarası gibi Kanun kapsamında değildir.

 

Kişisel Veri Envanteri

 

Kişisel verilerin işlendiği faaliyetler, işleme faaliyetlerinin amaçları, veri konusu kişi grupları, işlenmekte olan veri türü ve kategorileri, kişisel verilerin saklanma süreleri, kişisel veri aktarılan alıcı grupları (yurt içi ve yurt dışı olmak üzere) ile kişisel verilerin aktarımı dahil işlenmesine ilişkin olarak veri güvenliği için alınan teknik ve idari tedbirlerin belirtildiği, Yönetmelik’e göre oluşturulmuş, kişisel veri işleme envanteridir.

 

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemin genel adıdır.

 

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

 

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.

 

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kurul

Kişisel Verileri Koruma Kurulu’dur.

 

Kurum

Kişisel Verileri Koruma Kurumu’dur.

 

Mevzuat

6698 sayılı Kişisel Verilerin Korunması Kanunu, ikincil mevzuatı ve Kişisel Verileri Koruma Kurumu tarafından ilan edilen ilke kararları ve ilgili tüm mer’i mevzuatı.

 

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

 

Periyodik İmha

 

Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek imha işlemi.

Şirket

 

 

İşbu Politika kapsamında Samet Kalıp ve Madeni Eşya Sanayi ve Ticaret Anonim Şirketi’dir.

 

Veri İşleyen

 

Veri sorumlusu tarafından verilen yetkiye dayanarak ve onun adına veri işleyen kişidir.

 

Veri Kayıt Sistemi

 

Kişisel Verilerin Şirketimiz bünyesinde yapılandırılarak işlenmesi için kullandığımız kayıt sistem(ler)i.

 

Veri Konusu Kişi Grubu / İlgili Kişi

Şirketimiz ve/veya Şirketimizin bağlı şirketleri ve iştiraklerinin ortakları, yöneticileri, çalışanları, çalışan adayları, kanal ortakları, bayi ve müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, ziyaretçileri, tedarikçileri, iş birliği içinde çalıştığı kurumların çalışanları ve burada sayılanlarla sınırlı olmamak üzere diğer kişiler gibi kişisel verisi işlenen gerçek kişilerdir.

 

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

 

İşbu Politikada Veri Sorumlusu Samet Kalıp ve Madeni Eşya Sanayi ve Ticaret Anonim Şirketi’dir.

Yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’tir.

 

 3.    KİŞİSEL VERİLER İŞLENİRKEN DİKKATE ALDIĞIMIZ GENEL İLKELER  

Şirketimiz, Kişisel Verileri işlerken, öncelikle Kanun’un 4. maddesinde yazılı olan genel ilkelere uygun hareket eder. Bu doğrultuda, Kişisel Verileri sadece;

  1. Hukuka ve dürüstlük kuralına uygun olarak,
  2. Doğru ve gerektiğinde güncelliğini sağlamak için gereken gayret içinde,
  3. Belirli, açık ve meşru amaçları oldukça ve
  4. Bu amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlemektedir.

Kişisel Verileri, yukarıdaki temel ilkeler ve aşağıda sayılı olan amaçlara göre tespit ettiğimiz saklama süreleri boyunca işlemekteyiz. Buna göre genellikle ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süreler kadar muhafaza edeceğiz. Kişisel Verileri saklama sürelerimiz ve imha yöntemlerimiz Saklama ve İmha Politikamızda düzenlenmiştir.

Şirketimiz, verinin toplandığı, işlendiği, saklandığı ve aktarıldığı ortamlarda yeterli gizlilik ve güvenlik tedbirleri alındığından emin olarak Kişisel Veri işlemektedir. Bu çerçevede, Bilgi Sistemleri Kaynakları Kullanım Politikası (PO.BGYS.008) Şirketimiz tarafından hazırlanmış ve Şirket içinde ve dışında bulunan tüm ilgililerin bilgisine sunulmuştur.

4.    KİŞİSEL VERİLERİN KANUN’DA BELİRLENEN HUKUKA UYGUNLUK SEBEPLERİNE DAYALI OLARAK İŞLENMESİ 

Şirketimiz, Kişisel Verileri, yukarıda bahsi geçen genel ilkelerle uyumlu şekilde, Politikanın aşağıda 6. Bölümünde sayılmış olan işleme faaliyetlerimiz için Kanun’un 5. ve 6. maddelerindeki işleme şartlarına (hukuka uygunluk sebepleri) istinaden işlemektedir.

Buna göre Şirketimiz Kişisel Verileri Kanun’un 5. Maddesi kapsamında; 

  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkânsızlık sebebiyle İlgili Kişinin açık rızasının alınamaması,
  3. Sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri Sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
  7. İlgili Kişinin temel hal ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaati için veri işlemenin zorunlu olması işleme şartlarından bir veya birkaçına dayanarak ve
  8. Gereken hallerde İlgili Kişinin Açık Rızasının temin edilmesi suretiyle toplamakta ve işlemektedir.

Bu doğrultuda, Kişisel Veri işleme faaliyetinin dayanağı yukarıda belirtilen şartlardan yalnızca biri olabildiği gibi, birden fazlası da olabilmektedir.

Şirketimiz, Özel Nitelikli Kişisel Verileri ise ancak Kanun’un 6. maddesinde belirtilen işleme şartlarından birinin mevcut olması halinde işler. Buna göre;

  1. İlgili Kişinin Açık Rızasının mevcut olması,
  2. Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesinin kanunlarda öngörülmesi,

Sağlık ve cinsel hayata ilişkin kişisel veriler için ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

5.    KİŞİSEL VERİSİ İŞLENEN İLGİLİ KİŞİ GRUPLARI, KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ 

5.1 Veri Konusu Kişi Grupları ve Kişisel Verilerin Toplanma Yöntemleri

Kişisel verilerini işlemekte olduğumuz veri konusu kişi grupları; çalışan adayı, alt işveren çalışanı, kanal ortağı, müşteri, müşteri adayı, tedarikçi, tedarikçi adayı, web sitesi ve işyeri ziyaretçileridir.

Aşağıdaki tablo, söz konusu kişi gruplarına ait kişisel verilerin Şirketimiz tarafından hangi yollarla toplandığını genel bir çerçevede göstermektedir.

VERİ KONUSU KİŞİ GRUBU

KİŞİSEL VERİLERİN NEREDEN VE NE ŞEKİLDE TOPLANDIĞI

Kanal Ortağı, Bayi ve Müşteriler ile Müşteri Adayları

·       Şirketimiz sözlü, yazılı ya da elektronik olarak, kurumsal müşterilerimizin iş ortamlarından, mastersclub.samet.com.tr, partners.samet.com.tr adresinden yapılan alışverişlerde yahut ilgili programlara üye olurken veya sametinteract.com adresi üzerinden yapılan görüşmelerde, fuarlar esnasında ve/veya sair sabit/gezici ürün tanıtım etkinliklerinde, kanal ortağımız ve bayilerimiz aracılığı ile veya doğrudan İlgili Kişilerce Şirketimize yazılı, sözlü veya elektronik olarak aktarılan kaynaklardan Kişisel Veri toplayabilmektedir.

 

·       Kanal ortağı, bayi ve müşterilerin fatura bilgileri ve finansal verileri ile satış ve üretim verilerinin kaydı da alışveriş yapılan kanala göre yazılı veya elektronik olarak doğrudan veya dolaylı olarak toplanabilmektedir.

 

·       Fuarlar, müşteri ziyaretleri ve organizasyonlar sırasında toplanan kartvizit bilgileri ile müşteri şikayetleri ve talepleri sırasında Kişisel Veriler toplanabilmektedir.

 

·       Müşteri sadakat programına üyeliğin gerçekleştirilmesi ve puan kazanımı amacıyla Şirketimiz ve program ortağımız olan 3. kişiler tarafından da müşterilerimizin Kişisel Verileri muhafaza edilmektedir.

 

Web Sitesi Ziyaretçileri, Program Üyeleri

·       www.sametkazandiriyor.com, www.mastersclub.samet.com.tr

ve www.partners.samet.com.tr, sametglobal.com/tr/mam web siteleri üzerinden yapılan üyelik işlemlerinde ve alışverişlerde, www.sametglobal.com adresindeki iletişim formu aracılığıyla veya www.sametinteract.com üzerinden yapılan görüşmeler ile Şirketimize çevrimiçi olarak aktarılan kaynaklardan Kişisel Veri toplanabilmektedir.

 

·       Web sitelerimizi ziyaret eden kullanıcıların IP (internet protokol) adresleri ve web logları tutulmakta, çerezler (cookies) ve piksel etiketleri aracılığı ile web sitemizi kullanımları kolaylaştırılmaktadır.

 

·       Ziyaretçilerin web sitelerine erişimlerini kolaylaştırmak ve çevrimiçi deneyimlerini kişiselleştirmek için bir ya da daha fazla çerez (tanımlama bilgileri) gönderilebilmektedir. Çerezler, web sitesi ziyaretçilerinin isim, cinsiyet veya adres gibi kişisel verilerini kaydetmemektedir. Web sitemizi ziyaret eden İlgili Kişilerin, web sitesi girişinde en aşağıda yer alan çerez bilgilendirmesi üzerindeki “Çerez Ayarlarını Yönet” butonu vasıtasıyla ya da kullanmakta oldukları tarayıcının imkân tanıması halinde, tarayıcı ayarlarını değiştirerek çerezlerin kullanılmasını engelleme, çerezler kullanılmadan önce uyarı almayı tercih etme veya sadece bazı çerezleri devre dışı bırakma ya da silme imkanları bulunmaktadır.

 

Çalışan Adayları, Alt İşveren Çalışanları ve Geçici Çalışanlar

·       Sözlü, yazılı veya elektronik olarak, iş başvurularında, iş ilişkisinin kurulması esnasında sıklıkla işe alım ve özlük işlemleri ile bağlantılı olarak doğrudan veya dolaylı çalışan adayının kendisinden özel nitelikli olanlar dahil Kişisel Verileri toplanmaktadır.

 

·       Alt işveren ve geçici çalışanlar ile hizmetlerini işyerlerimizde bulunmak suretiyle sunan tedarikçi çalışanlarına ait yasal gereklilikler ve sınırlar doğrultusunda dönem dönem genel nitelikli ve bazı hallerde özel nitelikli kişisel veriler kendilerinden veya çalıştıkları firmalardan sözlü, yazılı veya elektronik olarak toplanmaktadır.  

 

Gerçek kişi tedarikçi, kanal ortağı, müşteri ve bayilerimiz ile tüzel kişi tedarikçi, kanal ortağı, müşteri ve bayilerimizin ortak, yönetici ve ilgili çalışanları

·       Şirketimiz tedarikçi, kanal ortağı, müşteri ve bayilerle yapılan görüşmelerde ve yürütülen ticari faaliyet esnasında doğrudan İlgili Kişilerce Şirketimize yazılı, sözlü veya elektronik olarak aktarılan kaynaklardan kişisel veri toplayabilmektedir.

 

·     Bahsi geçen kişilerle kurulan ticari/sözleşme ilişkisi kapsamında sözleşme ve ekleri vasıtasıyla toplanabilmektedir.

 

Ziyaretçiler

·     Ziyaretçilerin Şirket merkezimizi ve/veya fabrikalarımızı ziyaretlerinde kendilerinden temin etmek ve CCTV kayıt yöntemi ile kimlik ve fiziksel mekân güvenliği verileri toplanmaktadır.

 

·     Ziyaretçilerimiz Şirket internet erişim ağlarına bağlanmak istediklerinde, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamında, internete erişim izni verilmesi için yasal olarak saklanması talep edilen Kişisel Verileri toplanmakta, IP kayıtları saklanmaktadır.

 

·     Şirket olarak katıldığımız fuar ve çeşitli etkinliklerde standımızı ziyaret eden, etkinliğimize katılan kişilerin kartvizit bırakmak veya iletişim formu doldurmak suretiyle Şirketimize aktardığı Kişisel Veriler de bulunmaktadır. Bazen ve İlgili Kişinin kabulüne bağlı olarak görsel ve işitsel kayıt da alabilmekteyiz.

 

5.2 İşlenen Kişisel Veri Kategorileri 

Yukarıda yer verilen kişi gruplarına ait işlediğimiz veri kategorileri aşağıda sayılmaktadır.

  • Kimlik verileri,
  • İletişim verileri,
  • İşlem güvenliği verileri,
  • Özlük verileri,
  • Mesleki deneyim ve eğitim verileri,
  • Müşteri ve tedarikçilere ait işlem verileri,
  • Talep ve şikâyet verileri,
  • Finans verileri,
  • Pazarlama verileri,
  • Hukuki işlem verileri,
  • Risk yönetimi verisi,
  • Fiziksel mekân güvenliği verileri,
  • Görsel ve işitsel kayıtlar,
  • Özel nitelikli veriler olan sağlık verileri ve ceza mahkumiyeti verileri.

6.    KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirketimizin topladığı Kişisel Veriler, faaliyet ve operasyonlarımızın gerektirdiği meşru amaçlar doğrultusunda, öncelikle Kanun’un 5/2. ve 6/3. maddelerinde belirtilen hukuka uygunluk sebeplerinden birine veya birkaçına dayalı olarak işlenmektedir. Dolayısıyla Kişisel Verileri işleme amaçlarımız öncelikle bu maddelerde düzenlenen hukuka uygunluk sebeplerine göre değerlendirilmekte ve sadece gereken hallerde Kanun’un 5/1. ve 6/2. Maddeleri doğrultusunda İlgili Kişinin açık rızasına müracaat edilmektedir.

Şirketimizin faaliyet ve operasyonları dikkate alındığında, Kişisel Verileri işleme amaçları şu şekilde listelenebilir.                                         

  • Bilgi güvenliği süreçlerinin yürütülmesi,
  • Çalışan adayı, stajyer ve öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,
  • Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
  • Denetim ve etik faaliyetlerinin yürütülmesi,
  • Fiziksel mekân güvenliğinin temini,
  • Görevlendirme süreçlerinin yürütülmesi,
  • İnsan kaynakları süreçlerinin planlanması,
  • Faaliyetlerin mevzuata uygun yürütülmesi,
  • Hukuk işlerinin takibi ve yürütülmesi,
  • İş faaliyetlerinin yürütülmesi ve denetimi,
  • İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
  • İletişim faaliyetlerinin yürütülmesi,
  • Finans ve muhasebe işlerinin yürütülmesi,
  • Erişim yetkilerinin yürütülmesi,
  • Mal veya hizmet satın alım süreçlerinin yürütülmesi,
  • Sözleşme süreçlerinin yürütülmesi,
  • Mal veya hizmet satış süreçlerinin yürütülmesi,
  • Mal veya hizmet satış sonrası destek hizmetlerinin yürütülmesi,
  • Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
  • Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
  • Pazarlama analiz çalışmalarının yürütülmesi,
  • Risk yönetimi süreçlerinin yürütülmesi,
  • Reklam, kampanya, promosyon süreçlerinin yürütülmesi,
  • Organizasyon ve etkinlik yönetimi,
  • Saklama ve arşiv faaliyetlerinin yürütülmesi,
  • Talep ve şikayetlerin takibi,
  • Ürün ve hizmetlerin pazarlama süreçlerinin yürütülmesi,
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
  • Ziyaretçi kayıtlarının oluşturulması ve takibi.

7.    KİŞİSEL VERİLERİN GÜVENLİĞİ

Samet bünyesinde “gizli”, “hizmete özel” ve “genel kullanıma açık” olmak üzere üç tip bilgi sınıflandırması yapılmıştır. 

Kişisel veriler de bu çerçevede bilgi varlıklarımız kapsamında aynı hassasiyetle korunmakta ve “gizli” bilgi sınıfı içinde sınıflandırılmaktadır. Dolayısıyla Şirketimiz, işlediği kişisel verilerin hukuka ve dürüstlük kurallarına aykırı olarak işlenmesini ve kişisel verilere yetkisiz ve haksız erişilmesini önlemek ve kişisel verilerin yeterli güvenlik seviyesinde muhafaza edilmesini, işlenmesini ve aktarılmasını temin etmek amacıyla gerekli her türlü teknik ve idari tedbirleri almıştır. Kanun, bağlı mevzuatı, Kurum’un Veri Güvenliği Rehberi başta olmak üzere ilgili rehber ve kılavuzları ile Kurul Kararları düzenli olarak takip edilmektedir.

Şirketimiz, sahip olduğu ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası kapsamında da ilave idari ve teknik tedbirleri almıştır. Şirket içinde uygulanmakta olan “Bilgi Güvenliği El Kitabı (SAM.KEK.2)” ISO/IEC 27001 Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereklilikler standartlarına uygun olarak hazırlanmıştır ve fiilen yürürlüktedir. Bu doğrultuda, Şirketimizde halihazırda uygulamada olan ilgili diğer politikalarımız şunlardır:

  • Varlık Yönetim ve Bilgi Sınıflandırma Prosedürü (PR.BS.001),
  • Bilgi Güvenliği El Kitabı (SAM.KEK.2),
  • Bilgi Sistemleri Kaynakları Yönetim Politikası (PO.BGYS.008),
  • Bilgi Güvenliği İmha Talimatı (TL.BS.003),
  • LOG Yönetim Politikası (PO.BGYS.011),
  • Taşınabilir Cihaz Güvenliği Talimatı (TL.BS.004),
  • Ağ Güvenliği Uzaktan Erişim Politikası (PO.BGYS.002),
  • Güvenli Şifre Talimatı (TL.BS.997),
  • Temiz Masa Temiz Ekran Talimatı (TL.BS.019),
  • Personel Yönetmeliği (YN.İK.001),
  • Disiplin Yönetmeliği (YN.İK.002).

Şirketimizin bir Veri Sorumlusu olarak, Kişisel Verilerin hukuka uygun ve korunaklı bir şekilde işlenmesini ve saklanmasını sağlamak amacıyla aldığı teknik ve idari tedbirlerden bazıları da aşağıdaki gibidir:

7.1.    Teknik Tedbirler

Şirketimiz, öncelikle teknik olarak sahip olduğu tüm imkânlarla veri güvenliğini sağlamaya çalışmaktadır. Bu çerçevede, Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası uyarınca:

  • Samet’in bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini sağlayacak şekilde ISO 27001:2013 standardı kapsamında bir Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin uygulanması ve düzenli takibi ile sürekliliğinin sağlanması,
  • Samet personelinin ve üçüncü tarafların Samet tarafından tahsis edilen bilgi sistemleri kaynaklarını kullanırken yerine getirmesi gereken temel sorumlulukların belirlenmesi,
  • Bu temel sorumlulukların ihlali durumunda izlenecek disiplin süreçlerinin belirlenmesi,
  • Samet’in log (iz kaydı) yönetimi uygulama ve gereksinimlerinin log üretimi, depolama, iletim, erişim, saklama ve imha etme kurallarının belirlenmesi,
  • Samet’in ilgili süreçler/birimlerde bulunan bilgi varlıklarının belirlenmesi, varlıkların sahiplerinin belirlenmesi, belirlenen bilgilerin sınıflandırılması ve bu sınıflara bağlı kullanım kurallarının tayin edilmesi,
  • Taşınabilir cihazların teslimat şartlarının oluşturulması ve teslim edilmesi hakkındaki tanımların ve kuralların tayini Şirket içi yönergelerle tespit edilmiş, tüm ilgililerle yazılı ve şifahi olarak paylaşılmıştır.

Veri güvenliğinde, toplanılan Kişisel Verilere sadece yetkili birim ve kişilerce erişilmesine ve onlar tarafından işlenmesine izin verilmekte, Şirket içi ve/veya Şirket kontrolündeki erişimlerde erişim yapılan bilgisayarın log kayıtları saklanmaktadır.

Elektronik ortamdaki veri aktarımı için SFTP, VPN gibi güvenli ortamlar tercih edilmekte; bu ortamların kullanılması mümkün değilse, dosya aktarımı esnasında şifreli gönderim yapılmakta ve şifre sair bir kanaldan (telefon, mesaj vs.) iletilmektedir.

Tüm log kayıtları SIEM sunucusunda depolanmakta ve yedeği alınmaktadır.

Active Directory ve File Server ile ilgili loglar, AD Audit Plus ve SIEM uygulaması üzerinden oluşturulmaktadır.

Yasal saklama zorunluluğumuz olan internet erişimlerine ilişkin log kayıtları, DHCP kayıtları, Firewall ve IPS log kayıtları anlık olarak SIEM uygulamasına gönderilmektedir. Log yönetim sistemlerinde, hiçbir personele yazma ve değişiklik amaçlı erişim izni verilmemektedir.

Kişisel Verilerin güvenliğini tesis ve temin için anti-virüs programı, firewall programı ve SIEM Log Analiz programı kullanılmaktadır. Öte yandan ileti gönderimlerinin güvenliği periyodik olarak denetlenmekte, saldırı tespit ve önleme yazılımları ve yedekleme sistemleri de sistematik bir biçimde kullanılmaktadır. Veriye erişim yetkisi olanların dışında hiç kimse ile şifre ve kullanıcı adları paylaşılmamaktadır.

Otomatik olmayan yöntemlerle işlediğimiz ve kayıt altında tuttuğumuz veriler kilitli dolap ve kapalı zarflar içinde muhafaza edilmektedir. Bu dolap ve saklama yerlerinin kilitleri yine sadece ilgili birim ve yetkilendirilmiş personellerde mevcuttur. Kurumsal müşterilerimizin satış ofislerinden toplanan kişisel verilerimiz saha çalışanlarımızın denetiminde muhafaza edilerek, Şirketimize iletilmektedir.

7.2.    İdari Tedbirler

Şirketimizde işlenen Kişisel Veriler ilgili süreçler, veri işleyen birimler, işleme amaçları, veri kategorileri ve İlgili Kişiler temelinde analiz edilmiş ve bu kapsamda bir “Kişisel Veri İşleme Envanteri” oluşturulmuştur. Kişisel veri işlerken dayandığımız hukuka uygunluk sebeplerimiz de Kişisel Veri İşleme Envanterinde gösterilmiştir.

Kişisel Veriler, her zaman Kanun’un 4. Maddesindeki genel ilkeler gözetilerek, toplandıkları amaç ile sınırlı ve bağlantılı olarak, hukuken işlenebilir haller etrafında işlenmekte ve gerekli olan süreler kadar muhafaza edilmektedir. Bu bağlamda, Şirketimizin “Kişisel Veri Saklama ve İmha Politikası” da mevcuttur. Bu süreler öncelikle Mevzuatta öngörülen zamanaşımı ve hak düşürücü süreler ile savunma hakkımızı kullanmak için gerekebilecek süreler dikkate alınarak, bununla birlikte aramızdaki ticari / hukuki ilişkiye göre veya Kişisel Verinin saklanma amacına göre makul ve meşru menfaat dahilinde kabul edilebilecek sürelere göre ve gereken hallerde İlgili Kişiden alınacak Açık Rıza ile belirlenmektedir.

Çalışanlarımız, kişisel verilerin korunması konusunda bilgilendirilmekte ve eğitilmektedir. Şirketimiz ile çalışanlar arasında akdedilen sözleşmelere Kişisel Verileri koruma, güvenliğini sağlama ve Şirketin açık talimatları ve kanunlarla getirilen istisnalar dışında ifşa etmeme ve kullanmama yükümlülüklerine dair taahhütler eklenmiştir.

Kâğıt ortamındaki veriler, Samet içinde İşletme Yönetimi Elemanı tarafından evrak kayıt defterine kayıt yapılmak ve imza alınmak suretiyle gizliliği korunarak aktarılmaktadır. Kişisel verilerin, yazılı, görsel, işitsel ortamlarda iletilmesi söz konusu olduğunda, verinin kullanıldığı ortamın ve altyapının, Samet bilgi güvenliği politikalarına ve prosedürlerine uygunluğu sağlanmakta; veriyi kullanan tüm tarafların ve çalışmalara katılan üçüncü tarafların (tedarikçi, kanal ortağı, müşteri ve bayilerin çalışanları gibi) bu kurallar hakkında bilgilendirilmesi gerçekleştirilmektedir.

Kişisel Veri içeren dosya ve klasörler, ilgili birim dolaplarında, arşivlerinde yetkisiz kişilerce erişilemeyecek şekilde saklanmakta, söz konusu dolap ve arşiv odaları kilitli olarak tutulmaktadır. Kişisel Verilerin muhafaza edildiği dolap ve odaların anahtarları/şifreleri yalnızca ilgili verilere erişim yetkisi olan sorumlularda bulunmakta ve söz konusu ortamlara yetkisiz erişim önlenmektedir.

Şirketimizin taraf olduğu sözleşmelere Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler konulmaktadır. Şirketimizin tedarikçileri ile imzaladığı gizlilik ve kişisel verilerin korunması taahhüdü mevcuttur.

Şirketimiz aydınlatma yükümlülüğünü yerine getirmekte ve İlgili Kişiler ve işleme amaçlarına göre hazırlanmış aydınlatma bildirimleri kullanmaktadır. Şayet işleme şartı Açık Rıza ise, İlgili Kişiden aydınlatmaya dayalı olarak Açık Rıza alınmaktadır.

Şirketimiz, Kanun ve ilgili mevzuat hükümleri ile kişisel verilerin güvenliğine ilişkin yürürlüğe koyduğu politikaların uygulanmasını sağlamak amacıyla gerekli denetimler yapmaktadır/yapacaktır. Veri İhlali Müdahale Planımız hazırdır.

Yukarıda “Teknik Tedbirler” başlığında açıkladığımız üzere Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Anılan Bilgi Güvenliği Sistemi ile teknik kurallara ilaveten, idari kurallar ve süreçler de yönergelerle tespit ve tayin edilmiştir. 

8.    ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER

Müşteri, tüketici, bayi, tedarikçi ve ziyaretçilerimize ait işlediğimiz Özel Nitelikli Kişisel Veri yoktur. Alt işveren çalışanlarımızın ve çalışan adaylarımızın Özel Nitelikli Kişisel Veri kategorisinde kalan verilerin işlenmesinde Kanun’un 6. Maddesindeki hukuka uygunluk sebeplerine dayanmaktayız. Buna göre;

  • İlgili Kişinin Açık Rızasının mevcut olması halinde Özel Nitelikli Kişisel Veri işlenmekte veya Madde 6/3’teki işleme şartlarına dayanılmaktadır. Bunlar;
  • Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesinin kanunlarda öngörülmesi,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler için ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.

Özel Nitelikli Kişisel Veri kategorisinde kalan veriler, Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı uyarınca ve yeterli güvenlik önlemleri alınarak işlenmektedir.

Yukarıda “Teknik Tedbirler” başlığında açıkladığımız üzere Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Anılan Bilgi Güvenliği Sistemi ile teknik kurallara ilaveten, idari kurallar ve süreçler de yönergelerle tespit ve tayin edilmiştir.

Tüm bunlarla birlikte Şirketimize veri giriş kapıları, verinin içerideki akışı, verinin üçüncü kişilere aktarıldığı noktalar, verinin saklama ve kayıt ortamları azami ölçüde tespit edilmekte, buralara aydınlatma bildirimleri, gereken hallerde açık rıza formları, veri güvenliği ve gizliliği taahhütleri yerleştirilmektedir. Alınan tüm tedbirler periyodik olarak incelenmekte ve gerektiği zaman güncellenmektedir.

9.    KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz, topladığı kişisel verileri, Kanun’un 8. (yurt içi) ve 9. (yurt dışı) maddeleri uyarınca, Kurul tarafından alınan kararlara ve ilan edilen ikincil düzenlemelere uygun olarak üçüncü kişilere aktarabilecektir.

Şirketimiz, Kişisel Verileri, gereken hallerde ve işleme amacı ile bağlantılı olarak, yurt içinde bulunan;

    1. Mahkemeler ve icra daireleri, vergi daireleri, noterler, Sosyal Güvenlik Kurumu Müdürlükleri, Bölge Çalışma Müdürlükleri, İş-Kur, Emniyet Müdürlükleri;
    2. Ticaret Bakanlığı, Ekonomi ve Hazine Bakanlığı, Tarım ve Orman Bakanlığı bünyesinde başta Gıda ve Kontrol Müdürlüğü olmak üzere ilgili bakanlıklar ve müdürlükler;
    3. Gümrükler;
    4. Denetim, gümrük, hukuk, insan kaynakları, işe alım, eğitim danışmanlığı gibi hizmet tedariki firmaları;
    5. Hastaneler, sağlık kuruluşları, bankalar, sigorta ve emeklilik şirketleri;
    6. Mesleki dernekler;
    7. Pazarlama ve reklam ajansları, dijital pazarlama ve web-sitesi tasarım ajansları;
    8. E-finans şirketleri, telekomünikasyon şirketleri, arşiv, depolama, bilgi işlem ve veri tabanı sunucuları, hizmet aracıları, hizmet alınan sosyal medya platformu uygulamaları, anket firmaları;
    9. Organizasyon şirketleri, seyahat acenteleri, vize danışmanları, konaklama tesisleri gibi hizmetlerin tedarikçiliğini yapan firmalar ile paylaşabilecektir.

Şirketimiz, işlemekte olduğu Kişisel Verileri, kullandığı bilişim sistem ve çözümlerinin sunucularının yurtdışında bulunması sebebiyle yurtdışında bulunan sunucularına aktarması gerektiğinde, Kanun’un 9. Maddesinde yer alan şartlar dahilinde aktarım yapacaktır. Bu doğrultuda, Kanun’un 9. Maddesi kapsamında “açık rıza alınması” işleme şartına dayanılması halinde, İlgili Kişiden açık rıza temin edilerek, aktarım yapılacaktır.  

Kişisel Verilerin aktarımı söz konusu olduğunda, aktarımlar teknik ve idari tedbirler ve aktarım yapılan taraflardan mümkün olan her halde gizlilik taahhütleri alınarak, yapılacaktır.

10.    KİŞİSEL VERİLERİN İMHA YÜKÜMLÜLÜĞÜ

Kanun’un 5. ve 6. maddelerinde yer alan ve işbu Politikada da yer verilmiş Kişisel Verileri işlenme amaç ve şartlarının tamamının ortadan kalkması halinde Şirketimiz, Kişisel Verileri kendiliğinden veya İlgili Kişiden Şirketimize ulaşan talep üzerine imha edecektir.

Kişisel Verilerin işleme amacına göre belirlenen saklama süreleri ile imha yöntemlerimiz, İlgili Kişiden ulaşan imha taleplerinin yönetilmesi ile ilgili açıklama ve detaylara Şirketimizin, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırladığı Kişisel Verileri Saklama ve İmha Politikamızda ve Ekinde yer verilmiştir.

11.     İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

İlgili Kişiler, Kanun’un 11. Maddesi uyarınca aşağıdaki haklara sahiptirler:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • İşlenmişse buna ilişkin bilgi talep etme,
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurtdışında aktarıldığı üçüncü kişileri bilme,
  • Eksik/yanlış işlenmişse düzeltilmesini isteme,
  • Gereken şartlar çerçevesinde silinmesini, yok edilmesini isteme,
  • Yukarıda belirtilen düzeltme, silinme ve yok edilmeye ilişkin hakları uyarınca yapılan işlemlerin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen kişisel verilerinizin münhasıran otomatik yöntemlerle analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

İlgili Kişiler, Kişisel Verileri ile ilgili taleplerini;

  • Islak imzalı olarak ve geçerli bir kimlik belgesinin fotokopisi ile birlikte, Atatürk Mahallesi Adnan Menderes Caddesi No: 8-13 34513 Esenyurt, İstanbul adresine göndererek,
  • Geçerli bir kimlik belgesi ile birlikte bizzat başvurarak,
  • Kayıtlı elektronik posta (KEP) adresi ve güvenli elektronik imza kullanmak suretiyle sametkalip@hs01.kep.tr KEP adresimize göndererek,
  • İlgili Kişi tarafından tarafımıza daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresinden kvkk@samet.com.tr adresimize e-posta ile göndererek, iletebilirler.

Konuya ilişkin bilgi ve belgeler başvuruya eklenmelidir. Şirketimiz, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek amacıyla başvurucudan bilgi ve belge talep etme ve yapılan başvuruda yer alan talepleri ve bilgileri açıklığa kavuşturmak amacıyla, İlgili Kişiye başvurusu ile ilgili soru yöneltme haklarına sahiptir. Talepler en kısa sürede, her halde en geç 30 gün içerisinde cevaplandırılacak ve sonuçlandırılacaktır.

12.     SÜRDÜRÜLEBİLİRLİK

Şirketimiz, Kanun ve ilgili mevzuatın öngördüğü düzenlemelere uyumluluğun denetlenmesinden, işbu Politika ve ilişkili diğer politikaların yönetilmesinden ve gerekli hallerde güncellenmesinden, kişisel verilerin korunması hakkında sürdürülebilirliğin sağlanmasından, Şirket yönetimi tarafından alınan kararların yerine getirilmesinden ve konu hakkındaki diğer regülasyon ve Şirket içi denetimlerin yapılmasından sorumlu olmak üzere, şirket içi “Kişisel Verilerin Korunması Dahili Kurulu”nu kurmuştur ve İrtibat Kişisini atamıştır.

İşbu Politika, Şirket web sitesinde (www.sametglobal.com), yayımlanarak kamuoyuna sunulmuştur. Başta 6698 sayılı Kanun olmak üzere yürürlükteki Mevzuat ile bu Politikada yer verilen düzenlemelerin çelişmesi halinde Mevzuat hükümleri uygulanır. Şirket, yasal düzenlemelere ve Kurul kararlarına paralel olarak Politikada tek taraflı olarak değişiklik yapma hakkını saklı tutar.

Veri Sorumlusu

SAMET KALIP VE MADENİ EŞYA SANAYİ VE TİCARET A.Ş.

Mersis No                  : 0742003025700011

Adres                         : Atatürk Mahallesi Adnan Menderes Caddesi No: 8-13 34513

Esenyurt - İstanbul

Telefon                      : +90 212 886 75 23

Kep Adresi                : sametkalip@hs01.kep.tr

Email                         : kvkk@samet.com.tr