Kişisel Verilerin Korunması Politikası

VERİ GİZLİLİĞİ TAAHHÜDÜ

İşbu Kişisel Verilerin Korunması Politikası (“Politika”) DEHA METALURJİ METAL SANAYİ VE DIŞ TİCARET Ltd. Şti.’nin (“Şirket”) 6698 Sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken ve Kişisel Verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir.

Şirket, kendi bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüteder.

POLİTİKANIN AMACI

İşbu Politikanın temel amacı, Şirket tarafından Kişisel Verilerin korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.

POLİTİKANIN KAPSAMI

İşbu Politika, Şirketin işlemekte olduğu Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlereu ygulanır.

İşbu Politika, Kişisel Veri niteliği taşımayan verilere uygulanmaz.

İşbu Politika, KVK Düzenlemelerinin gerektirmesi halinde yahut Şirketin Veri Sorumlusu Temsilcisi veya Komite’nin gerekli gördüğü hallerde zaman zaman yönetim kurulu onayı iledeğiştirilebilir.

TANIMLAR

İşbu Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder;

“Açık Rıza” Veri Öznesinin Kişisel Verilerinin işlenmesine dair bilgilendirilmeye dayalı olarak ve özgür iradeyle açıkladığı rıza.

“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

“Anonim Hale Getirilmiş Veri” Gerçek kişi ile hiçbir şekilde ilişkisinin kurulması mümkün olmayan veri.

“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.(İşbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıdatanımlanan “Özel Nitelikli Kişisel Veriler”i dekapsayacaktır).

“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlem.

“Komite” İşbu Politikanın ve Politikaya bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden sorumlu komite.

“Kurul” Kişisel Verileri Koruma Kurulu.

“Kurum” Kişisel Verileri Koruma Kurumu.

“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanunu.

“KVK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuat.

“KVK Prosedürleri” Yönetim Kurulu tarafından onaylanarak yürürlüğe giren ve Şirketin, çalışanların, Komitenin ve Veri Sorumlusu Temsilcisinin işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürler.

“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.

“Silme veya Silinme ”Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

“Veri Envanteri ”Şirketin Kişisel Veri İşleme faaliyetlerine yönelik olarak Kişisel Veri İşleme süreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanter.

“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişi.

“Veri Öznesi” Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişiler.

“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişi.

“Veri Sorumlusu Temsilcisi” Komite içerisinden seçilen ve Şirketin Kurum ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan çalışan.

“Yok Etme ”Kişisel verilerin yok edilmesi, kişisel verilerin hiçkimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve kullanılamaz hale getirilmesiişlemi.

KİŞİSEL VERİ İŞLEMENİN İLKELERİ

Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarakİşlenmesi

Kişisel Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işlenir.

Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması

Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması için hertürlü gerekl iönlemleri alır ve Veri Öznesinin Kişisel Verilere yönelik değişiklik talep etmes idurumunda ilgili Kişisel Verileri günceller.

Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi

Kişisel Verilerin İşlenmesinden önce Şirket tarafından Kişisel Verilerin hangi amaçla işleneceği belirlenir. Bu kapsamda, Veri Öznesi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.

Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Şirket, Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında istisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya Veri Öznesinden alınan Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde 6.2) ve ölçülülük esasına uygun olarak işler.

Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve SonrasındaSilinmesi

Şirket, Kişisel Verileri amaca uygun olarak gerekli olan süre kadar muhafaza eder. Şirketin, KVK Düzenlemelerinde öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde belirtilen yükümlülüklere uygundavranır.

Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler Silinir, Yok Edilir veya Anonim Hale Getirilir. İşbu halde, Şirketin Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut Anonim Hale Getirmesi sağlanır.

Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu Temsilcisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi ve Komite tarafındanoluşturulur.

KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.

Açık Rıza

Kişisel Veriler, Veri Öznelerine Aydınlatma Yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Öznelerinin Açık Rıza vermesi halinde işlenir.

Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Öznelerine haklarıbildirilir.

Veri Öznesinin Açık Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafazaedilir.

Veri Sorumlusu Temsilcisi veya Komite, tüm Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman çalışanları Veri Sorumlusu Temsilcisi ve/veya Komitenin talimatlarına, işbu Politika’ya ve bu Politika’nın eki olan KVK Prosedürlerine uymaklayükümlüdür.

Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi

KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2 ve Madde 6.3),Şirket Veri Öznesinin Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi durumunda Şirket KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde Kişisel Verileri İşler.

Bu kapsamda:

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Öznesinin ve/veya Veri Öznesi dışındaki bir kişinin hayatının veya beden bütünlüğünün korunması için Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.

Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin taraflarına ait Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket tarafındanişlenebilir.

Kişisel Verilerin İşlenmesi Şirketin hukuki yükümlülüğünü yerine getirmesi için zorunluysa, Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket tarafındanişlenebilir.

Veri Öznesi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafındanişlenebilir.

Kişisel Verilerin Açık Rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması veya korunması için tek mümkün yol ise Kişisel Veriler Açık Rıza alınmaksızın Veri Sorumlusu Temsilcisinin bilgisidâhilinde Şirket tarafındanişlenebilir.

Veri Öznesinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması halinde  Kişisel  Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.

 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Özel Nitelikli Kişisel Veriler yalnızca Veri Öznesinin Açık Rızasının bulunması yahut kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halindeişlenebilir.

Sağlığa ilişkin Kişisel Veriler, KVK Düzenlemelerinde aksi öngörülene dek, kamusağlığının korunması ,koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla Açık Rıza almaksızın işlenebilir.

Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemleralınır.

Şirket, Özel Nitelikli Veriler dahil Kişisel Verilerin güvenliğinin sağlanmasına ilişkin Kurul tarafından yayımlanan başta Kişisel Veri Güvenliği Rehberi olmak üzere KVK Düzenlemelerine uygun hareket edecektir.

Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından Veri Sorumlusu Temsilcisibilgilendirilir.

Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değilise ilgili departman tarafından Veri Sorumlusu Temsilcisinden görüş alınır.

KİŞİSEL VERİLERİN SAKLANMA SÜRESİ

Kişisel Veriler, Şirket bünyesinde ilgili yasal saklama süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu Politika’da da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi sona eren Kişisel Veriler ise, KVKK’nın 7’nci maddesi uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Kişisel Verinin İşlenmesine yönelik meşru amaç ortadan kalktığında, ilgili Kişisel Veriler Silinir, Yok Edilir yahut Anonim Hale Getirilir. Kişisel Verilerin Silinmesi, Yok Edilmesi yahut Anonim Hale Getirilmesi gereken durumlar, Veri Sorumlusu Temsilcisi veya Komite tarafından takip edilir.

Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu Temsilcisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.

Şirket Kişisel Verileri gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.

KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDANİŞLENMESİ

Şirket yurt içinde ve/veya yurtdışında bulunan üçüncü bir gerçek ya da tüzel kişiye (şirket yetkilileri, temsilcileri, yetkili satıcıları, tedarikçi, bayi, iş ortakları, Grup Şirketleri, Yetkili Kamu Kurum ve Kuruluşları)KVKDüzenlemelerineuygunşekilde Kişisel Veri aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasınısağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen sözleşmelere eklenecek madde ise Veri Sorumlusu Temsilcisinden temin edilir. Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Temsilcisinebildirir.

Türkiye’de Bulunan Üçüncü Kişilere Kişisel VeriAktarım

Kişisel Veriler, KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Şirket tarafından aktarılabilir.

Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanlarıve Veri Sorumlusu Temsilcisi müteselsilensorumludur.

Yurt Dışında Bulunan Üçüncü KişilereAktarım

Kişisel Veriler, KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) yurt dışında bulunan üçüncü kişilere Şirket tarafındanaktarılabilir.

Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığıgerekir:

Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması (liste için lütfen Kurul’un güncel listesini takip ediniz),

Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler listesinde yer almaması halinde Şirketin ve ilgili ülkedeki Veri Sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin alması.

Kişisel Verilerin yurtdışında üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Temsilcisi müteselsilensorumludur.

ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ

Şirket, KVKK’nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesinden önce Veri Öznelerini aydınlatır. Bu kapsamda Şirket, Kişisel Verilerin elde edilmesi sırasında Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Öznelerine yapılacak olan bildirim sırasıyla şu unsurları içerir:

Veri Sorumlusunun ve varsa temsilcisinin kimliği,

Kişisel Verilerin hangi amaçla işleneceği,

İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,

Kişisel Veri toplamanın yöntemi ve hukukisebebi,

Veri Öznelerinin KVKK Madde 11’de sayılan hakları.

Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’nın 11. Maddesine uygun olarak Veri Öznesinin bilgi talep etmesi halinde gerekli bilgilendirmeyiyapar.

Veri Özneleri tarafından talep edilmesi halinde Şirket Veri Öznesinin işlediği Kişisel Verilerini Veri Öznesine bildirir.

Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine getirilmesini sağlamaktan ilgili süreci takip eden çalışan ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur. Bu kapsamda her bir yeni işleme sürecinin Veri Sorumlusu Temsilcisine raporlanması amacı ile gerekli KVK Prosedürü Veri Sorumlusu Temsilcisi veya Komite tarafından oluşturulur.

Veri İşleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşlemeye başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirkete Kişisel Veri aktardığı durumlarda sözleşmelere eklenecek madde Veri Sorumlusu Temsilcisinden temin edilir. Her bir çalışan Şirkete üçüncü bir kişi tarafından Kişisel Veri aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verileri aktaran üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Temsilcisine bildirir.

VERİ ÖZNELERİNİN HAKLARI

Şirket Kişisel Verisini elinde bulundurduğu Veri Öznelerinin aşağıda belirtilen kendileriyle ilgili taleplerine KVK Düzenlemelerine uygun şekilde cevapverir:

Şirket tarafından Kişisel Veri işlenip işlenmediğiöğrenme,

Kişisel Verilerinin işlenmesi halinde buna ilişkin bilgi talepetme,

Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığınıöğrenme,

Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileribilme,

Kişisel Verilerin Şirket tarafından eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesiniisteme,

Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket tarafından Kişisel Verilerin Silmesini, Yok Edilmesini veya Anonim Hale Getirilmesiniisteme,

Şirket tarafından Kişisel Verilerin düzeltilmesi, Silinmesi ya da Yok Edilmesi halinde bu işlemlerin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda Ver iÖznesinin aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,

Kişisel Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Veri Öznesinin zarara uğraması hâlinde zararın giderilmesini talepetme.

Veri Özneleri haklarını kullanmak istediği ve/veya Kişisel Verileri işlerken Şirketin işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda taleplerini, Kişisel verileri koruma Kurumu tarafından belirtlenen şartları taşıtyacak şeklilde oluşturarak aşağıda verilen ve zaman zaman değişebilecek olan e-posta adresine güvenli elektronik imzalı olarak yahut yine aşağıda yer alan ve zaman zaman değişebilecek olan posta adresine kimliklerini tespit edici belgeler ile ıslak imzalı bir dilekçe ile elden teslim edebilir ya da noter aracılığıylagönderebilir.Güncel Başvuru yöntemleri ve başvuru içeriği başvuru öncesinde mevzuattan teyit edilmelidir.

Veri Sorumlusu: DEHA METALURJİ METAL SANAYİ VE DIŞ TİCARET Ltd. Şti.

E-posta: [email protected]

Posta: 34956

Veri Öznelerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirkete iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz gün içindeücretsizolarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulunca belirlenen tarifedekiücretlerVeriSorumlusutarafındantalepedilebilir.

VERİ YÖNETİMİ VE GÜVENLİĞİ

Şirket, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politikanın uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Veri Sorumlusu Temsilcisi atar ve/veya Komiteoluşturur.

Kişise lVerilerin işbu Politika ve KVK Prosedürlerine uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.

Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerledenetlenmektedir.

Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.

Şirket çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte veeğitilmektedir.

Şirkette Kişisel Verilere erişmesi gereken çalışanların söz konusu Kişisel Verilere erişimini sağlamak adına gerekli KVK Prosedürü oluşturulur.

Şirket çalışanları, Kişisel Verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVK Prosedürüne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshisebebidir.

Şirket çalışanın Kişisel Verilerin güvenliğinin yeterince sağlanmadığı şüphesindeolması yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri Sorumlusu Temsilcisi’nebildirir.

Kişisel Verilerin güvenliğine yönelik detaylı KVK Prosedürü Veri Sorumlusu Temsilcisi ve/veya Komite tarafından oluşturulur.

Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.

Her Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğindensorumludur.

KVK Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.

Şirkette Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlarkurulmaktadır.

Şirkette Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.

ŞirketteKişiselVerilerinyeraldığıbelgelerkriptolu(şifreli)sistemlerlekorunmaktadır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmayacaktır. Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmayacak, Veri Sorumlusu Temsilcisinin önceden yazılı onayı alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamayacak, Şirket dışına çıkartılamayacaktır.

Veri Sorumlusu Temsilcisi ve/veya Komite, Yönetim Kurulu ile birlikte Şirket içerisinde bulunan tüm Kişisel Verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVK Prosedürlerini hazırlayarak Yönetim Kurulu onayına sunmak, onay akabinde  şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve/veya Veri Sorumlusu Temsilcisi çalışanların farkındalığını artırmak üzere gerekli eğitimleridüzenler.

Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman, Komite veya Veri Sorumlusu Temsilcisi tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili departman Komite veya Veri Sorumlusu Temsilcisi talimatlarına uygun hareket ederler. Özel Nitelikli Kişisel Verilere erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Komite veya Veri Sorumlusu Temsilcisi tarafından yapılır.

Şirket içerisinde işlenen Kişisel Verilerin tamamı Şirket tarafından “Gizli Bilgi” olarak kabuledilir.

Şirket çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhütalınmıştır.

EĞİTİM

Şirket, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve ekinde yer alan KVK Prosedürleri ile KVK Düzenlemeleri kapsamında gerekli eğitimleriverir.

Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikledeğinilir.

Şirket çalışanı Kişisel Verilere fizikse lolarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitimverir.

DENETİM

Şirket, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar. Komite veya Veri Sorumlusu Temsilcisi bu denetimlere dair KVK Prosedürü oluşturur, Yönetim Kurulu onayına sunar ve anılan prosedürün uygulanmasını sağlar.

İHLALLER

Şirketin her bir çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Komiteye raporlar. Bu kapsamda ilgili ihlale yönelik Komite, işbu Politika ve KVK Prosedürlerine uygun şekilde eylem planıoluşturur.

Yapılan bilgilendirmeler sonucunda Komite KVK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri Öznesi veya Kurum’a yapılacak bildirimi hazırlar. VeriS orumlusu Temsilcisi Kurum ile yapılan yazışma ve iletişimiyürütür.

XVII. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER

 Şirket tarafından işbu Politika zaman zaman değiştirilebilir. Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve Veri Öznelerinin erişimine sunar.

İlgili web adresi: https://www.dehametal.com.tr

XVIII. POLİTİKANIN YÜRÜRLÜK TARİHİ

İşbu Politika’nın iş bu versiyonu 18.03.2024 tarihinde yürürlüğe girmiştir.