Kişisel Verilerin Korunması Hakkında Aydınlatma

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili sair mevzuat uyarınca, Organize Sanayi Bölgesi Teknoloji Bulvarı 9. Cadde No: 9 Odunpazarı/Eskişehir adresinde bulunan Şirketimiz Peyman Kuruyemiş Gıda Aktariye Kimyevi Maddeler Tarım Ürünleri Sanayi ve Ticaret A.Ş.(Şirket) tarafından, Veri Sorumlusu sıfatıyla, kişisel verileriniz aşağıda açıklandığı çerçevede; hukuka ve dürüstlük kurallarına uygun bir şekilde kaydedilecek, saklanacak, güncellenecek, mevzuatın izin verdiği durumlarda ve/veya işlendikleri amaç için geçerli olan durumlarda 3. kişilere açıklanabilecek, sınıflandırılabilecek ve KVKK’da sayılan şekillerde işlenebilecektir.

1) Kişisel verilerinizi neden işliyoruz ve bunun hukuki gerekçesi nedir?
Sunduğumuz ürün, mal ve hizmetler ve bu ürün mal ve hizmetlere yönelik gelen talep ve istekler ile iş ortaklarımıza ait, kişisel verilerin işlenmesi, şikayet ve taleplere uygun hızlı çözümler getirilebilmesi ve kanuna uygun sair amaçlarla KVKK’nın ilgili maddelerinde belirtilen şart ve esaslar çerçevesinde işlenebilecektir.

2) Kişisel verilerinizi kimlere ve hangi amaçla aktarıyoruz?
Mevzuat hükümleri çerçevesinde toplanan kişisel verileriniz, Şirketimizce sunulan hizmetlerden tam olarak yararlanmanızı sağlayabilmemiz için gereken değerlendirme ve çalışmaların yapılabilmesi amacıyla, Şirketimiz tarafından sunulan ürünleri şikayet ve önerilerinize göre özelleştirilerek, tüketicilerimizin memnuniyetini sağlamak, Şirketimizin, ve Şirketimizle iş ilişkisi içinde olan kimselerin hukuki ve ticari güvenliğini sağlayabilmek, Şirketimizin ticari ve iş stratejilerini belirlemek, Şirketin insan kaynakları politikalarını belirlemek ve buna ticari ve hukuki çerçevede yön verebilmek için ilgili kişi ve/veya kurumlara, iş ortaklarımıza, çalışanlarımıza, tedarikçilerimize, bayilerimize, ilgili Şirket yetkililerine, hissedarlarımıza ve diğer ilgili özel kişilere aktarılabilmekte olup; ayrıca bu veriler anonim hale getirildikten sonra sağlamakta olduğumuz hizmetlere yönelik istatistiksel analizler yapılmak üzere Peyman Kuruyemiş Gıda Aktariye Kimyevi Maddeler Tarım Ürünleri Sanayi ve Ticaret A.Ş. içerisinde yer alan merkezlere aktarılabilmektedir. İşbu aktarım KVKK 8. Ve 9. Maddelerine uygun olarak yapılacaktır.

3) Kişisel verilerinizi nasıl topluyoruz?
Faaliyetlerimiz kapsamında işlenen kişisel veri ve\veya özel nitelikli kişisel verilere ilişkin açık rızalarınız otomatik ve otomatik olmayan yöntemlerle, Şirketimiz birimleri, sosyal medya hesaplarımız, internet sitemiz, elektronik posta adreslerimiz ve çağrı merkezimiz tarafından sözlü, yazılı veya elektronik ortamda toplanacaktır.

Detaylı olarak toplanan ve/veya işlenen kişisel veri ve\veya özel nitelikli kişisel verilere ilişkin açık rıza alınmasını gerektiren hallerde açık rızalarınız elektronik ortamda alınacaktır. Bu doğrultuda açık rıza beyanlarının toplanması üzerine, internet sitemiz vasıtası ile elde edilen kişisel veri ve\veya özel nitelikli kişisel veriler işlenecek, hizmetlerimizin amaçları doğrultusunda yasal sürelerde saklanacak ve gerekli görülmesi halinde 3. kişilere aktarılacaktır.

Ayrıca KVKK kapsamında, kişisel verilerin aktarılabileceği kişi / kuruluşlar; Türk Ticaret Kanunu, Vergi Usul Kanunu ve diğer mevzuat hükümlerinin izin verdiği kurum veya kuruluşların yanı sıra adli makamlardır.

Bu kapsamda Peyman Kuruyemiş Gıda Aktariye Kimyevi Maddeler Tarım Ürünleri Sanayi ve Ticaret A.Ş.’ye iletmiş olduğunuz kişisel bilgilerinizin, ihtiyaçlarınız doğrultusunda size uygun ürün, uygulama veya kampanyalardan yararlanabilmeniz, genel bilgilendirme yapılması ve tarafınızla her türlü iletişim sağlanması amacıyla işlenmesini ve bu doğrultuda Peyman Kuruyemiş Gıda Aktariye Kimyevi Maddeler Tarım Ürünleri Sanayi ve Ticaret A.Ş. tarafından, doğrudan ya da SMS, resim, animasyon, kısa mesaj, multimedya nesneleri içeren MMS, telefon, faks, otomatik arama makineleri, elektronik posta ve benzeri iletişim kanallarından iletilecek veri, ses ve görüntü içerikli bilgilendirme, tanıtım ve pazarlama iletilerinin tarafınıza gönderilmesini, dilediğiniz zaman tamamen veya ürün ve kanal bazında, veri, ses, görüntü ve sair her türlü ileti gönderimini reddetme hakkını haiz olduğunuzu bildiğinizi kabul ve beyan etmektesiniz.

Çerezler web sunucusu tarafından sabit diskinize taşınan ve ardından bilgisayarınızda saklanan ufak metin dosyaları olup internet sitemizi ziyaretiniz ve internet uygulamamızı kullandığınız esnada çerezler, müşteri/kullanıcı davranışını daha iyi anlamamıza yardımcı olur; kullanım ve ziyaret verileri ile ilgili bilgi verir. Bu doğrultuda çerezler içerisinde kişisel veya hassas kişisel verileriniz saklanabilmekte olup başka uygulamalar veya kişiler ile paylaşılabilmektedir.

4) Kişisel verisi işlenen siz müşterilerimizin, KVKK nezdinde “ilgili kişi” olarak haklarınız nelerdir?
KVKK’nın 11.maddesi uyarınca bize başvurarak kişisel verilerinizin;

– İşlenip işlenmediğini öğrenme,

– İşlenmişse bilgi talep etme,

– İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,

– Yurt içinde / yurt dışında aktarıldığı 3. kişileri bilme,

– Kişisel verilerin eksik / yanlış işlenmişse düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarılmış olduğu üçüncü kişilere bildirilmesini isteme, KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme*,

– KVKK ve ilgili diğer mevzuat hükümlerine uygun olarak işlenen kişisel verilerin, veri işleme şartlarının kalkması halinde silinmesini,veya yok edilmesini isteme ve bu kapsamda yapılan işlemin verilerin aktarılmış olduğu 3. kişilere bildirilmesini isteme,

– Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

– Kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme hakkına sahipsiniz.

Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç 30 gün içerisinde ücretsiz olarak sonuçlandırılacaktır. Ancak işlemin Peyman Kuruyemiş Gıda Aktariye Kimyevi Maddeler Tarım Ürünleri Sanayi ve Ticaret A.Ş. için ayrıca bir maliyet doğurması halinde Kişisel Verilerin Korunması Kurulu tarafından belirlenecek tarifedeki ücret talep edilebilecektir.

(*) Sizlerle gerçekleştirmekte olduğumuz işlemlere ilişkin evrakın saklanmasına dair ilgili mevzuat kapsamında yasal zorunluluklarımız bulunmaktadır. Kişisel verilerinizin silinmesini veya yok edilmesini talep etmeniz halinde, yasal zorunluluklar kapsamında belirlenen sürenin sonunda bu talebinizi yerine getirmemiz mümkün olabilecektir.

KVKK ve ilgili sair mevzuat kapsamında bizimle iletişime geçmek, geri bildirimde bulunmak ya da sorularınızı yöneltmek isterseniz, kimliğinizi tevsik edici belgeler ve talebinizi içeren imzalı dilekçeniz ile Organize Sanayi Bölgesi Teknoloji Bulvarı 9. Cadde No: 9 Odunpazarı/Eskişehir adresine kimlik doğrulama ile bizzat elden iletebilir, noter kanalıyla ulaştırabilir; 0222 236 13 22/23/24/25 numaralı telefonları arayabilir; kvkk@peyman.com.tr veya peymankuruyemis@hs02.kep.tr kayıtlı elektronik posta adresine güvenli elektronik imzalı olarak veya kayıtlı elektronik posta (KEP) adresinizle iletebilirsiniz.

Bu kapsamda konuyla ilgili yapılacak olan yazılı başvurular tarafımızca yapılacak olan kimlik doğrulamasını takiben kabul edilecek olup ilgililere yasal süreler içerisinde geri dönüşte bulunulacaktır.

Kişisel Verilerin Korunması ve İşlenmesi Politikası

Web Sitesi Gizlilik Sözleşmesi

Peyman’ın web sitesini ziyaret etmeniz ve bu site vasıtasıyla bize erişim sağlamanız halinde, size ve talep ettiğiniz hizmetlere ilişkin olarak elde ettiğimiz bilgilerin ne şekilde kullanılacağı ve korunacağı, işbu Kişisel Veriler Politikasında belirtilen şartlara tabidir. Bu web sitesini ziyaret ederek işbu Kişisel Veriler Politikasında belirtilen şartlarından haberdar olmaktasınız.

I. Kişisel Verilerin Korunması Amacı
Bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle kişisel verilere erişilmesi, bunların işlenmesi ve aktarılmasının daha önceden hiç olmadığı kadar kolaylıkla yapılabilir hale gelmesi, temel insan haklarından özel hayatın gizliliği ile de ilintili olan kişisel verilerin korunması ihtiyacını doğurmuştur. Konuya ilişkin uluslararası düzenlemelere paralel olarak 2010 yılında Anayasanın 20. maddesine eklenen üçüncü fıkra ile kişisel verilerin korunması mevzusu anayasal bir dayanağa sahip olmuş, buna müteakiben, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 07 Nisan 2016 tarihinde Resmi Gazete yayımlanmak suretiyle yürürlüğe girmiştir. Peyman ailesi olarak, kişisel verilerin korunmasının önemini idrak eden Şirketimiz, her türlü faaliyetinde kişisel verilerin korunmasına ilişkin olarak ülkemizin taraf olduğu ve usulüne uygun yürürlüğe girmiş uluslararası antlaşmalara, KVKK’ya ve ilgili sair mevzuata uygun hareket etmek amacındadır. Dolayısıyla, Şirketimiz işbu “Peyman Kişisel Verilerin Korunmasına ilişkin Şirket Politika Belgesini” (“Politika”) düzenlemek suretiyle, belgenin içeriğini şirket iç düzenlemesi haline getirmek iradesindedir. Netice itibariyle, Şirketimiz ile girmiş olduğu hukuki ilişkilerden dolayı kişisel verileri tarafımızca işlenecek ilgili kişilerin, kişisel verilerinin korunması ve bu hususta gerek şirket çalışanlarının gerekse kişisel verileri işlenen ilgili kişilerin kişisel verilerin korunmasına ilişkin olarak bilgilendirilmelerinin sağlaması amaçlanmaktadır. Bu kapsamda, ilgili mevzuatta kişisel verilerin korunmasına yönelik düzenlemelerine uyum sağlamak için başta KVKK ve ikincil mevzuatı olmak üzere Kurumun konuya ilişkin açıklama ve rehberleri de göz önünde bulundurularak hazırlanan işbu Politika belgesinin Şirketimiz tarafından kabul edilerek, ilgililerine duyurulmasının sağlanması kararlaştırılmıştır. İşbu Politika, Şirket uygulamalarına yönelik kılavuz niteliğinde bir metin niteliğindedir.

II. Kişisel Verilerin Korunması ve İşlenmesi Politikasının Kapsamı
İşbu Politika, çalışanlarımızın, çalışan adaylarımızın, şirket hissedarları ve yetkililerimizin, ziyaretçilerimizin, işbirliği içerisinde olduğumuz üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

III. Kişisel Verilerin İşlenmesi
Kişisel verilerin işlenmesi KVKK’nın 3.maddesinin birinci fıkrasının ( e) bendinde; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanmıştır.

Peyman ailesi olarak, Şirketimiz, edindiği kişisel verileri Anayasa’nın 20. Maddesi ve KVKK’nın 4. maddesi uyarınca kişisel verilerin işlenmesine ilişkin temel ilkelere uygun olarak, KVKK’nın 5. maddesinde yer alan veri işleme şartlarının bir veya birkaçına dayalı olarak işlemektedir.

a. Kişisel Verilerin İşlenmesinde Temel İlkeler

i.Hukuka ve Dürüstlük Kuralına Uygun İşleme: Peyman, topladığı ya da kendisine diğer iletilen kişisel verilerin kaynağını sorgulayarak bunların hukuka ve dürüstlük kuralına uygun şekilde elde edilmesine ve işlenmesine önem verir. Bu çerçevede, Peyman’ın sunduğu ürünleri satan üçüncü kişilere (bayi, tedarikçi, satış noktası ve diğer aracıların) kişisel verilerin korunması amacıyla mevzuata uymaları konusunda gerekli uyarı ve bildirimleri yapar.

ii.Kişisel Verilerin Doğru ve Gerektiğinde Güncel olması: Peyman, Şirket bünyesinde bulunan kişisel verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve kişisel verilerde değişiklik olduğu takdirde bunları kendisine iletildiği takdirde güncellemek için gerekli sistemin kurulmasına dair adımları atmıştır.

iii.Belirli, Açık ve Meşru Amaçlarla İşleme: Peyman, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Böylelikle Peyman, ilgili kişilerden aldığı rıza ve gerçekleştirmiş olduğu aydınlatma yükümlülüğünde bildirilen amaçlarla sınırlı olarak kişisel verileri işler. Bu amaçlar dışında Kanun’a aykırı olarak verileri işlemez, kullanmaz ve aktarmaz. Ayrıca veri minimizasyonu ilkesi gereğince gerekli olmayan kişisel veriler sisteme kaydedilmez, silinir ya da anonim hale getirilir.

iv.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Peyman, kişisel verileri KVVK ve ilgili mevzuat doğrultusunda, meşru menfaat veya hukuken belirtilen süreler, süre belirtilmemişse işlendikleri amaç için gerekli olan süre boyunca muhafaza eder. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

b. Kişisel Verilerin İşleme Şartları

Kişisel verilerin işlenme şartları KVKK’nın 5. maddesinde belirtilmiştir. Buna göre kural olarak kişisel verilerin işlenmesi için ilgili kişinin “açık rızasının” varlığı gerekmektedir. KVKK’nın 5. maddesinin ikinci fıkrasında ise bu kuralın istisnalarına yer verilmiştir. Söz konusu istisnalar şu şekildedir:

  1. Kanunlarda açıkça öngörülmesi
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Bu istisnalar yasa koyucu tarafından sınırlı sayıda (numerus clausus) belirlenmiş olup, bunların genişletilmesi mümkün değildir. Dolayısıyla, Şirketimiz kişisel verileri işlerken işleme şartlarının gerçekleşip gerçekleşmediğini gözeterek eğer işleme şartları gerçekleşmemiş ise, kişisel verileri işlemeyecek olup yalnızca işleme şartlarının gerçekleştiği durumlarda kişisel verileri işleyecektir.

c. Özel Nitelikli Kişisel Verilerin İşlemesi

Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler olup bu tip korunması hususiyet arz etmektedir. KVVK’nın 6. maddesinde özel nitelikli veriler şu şekilde sıralanmıştır;

“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler”

Özel nitelikli veriler ancak, ilgili kişinin açık rızası veya kanunda belirtilen sınırlı hallerde işlenebilir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler ancak kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin veriler ise ancak;

  • Kamu sağlığının korunması
  • Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Ayrıca, KVKK’nın 6. maddesinin dördüncü fıkrası uyarınca özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurumu tarafından belirlenen yeterli önlemlerin alınması da gerekmektedir. Bu çerçevede Peyman, 31.01.2018 tarihli ve 2018/10 sayılı Kurul Kararı ile belirlenen söz konusu önlemlere uygun bir şekilde özel nitelikli kişisel verileri işlemektedir.

IV. Kişisel Verilerin Yurt İçi ve Dışına Aktarılması

KVKK’nın 8. maddesinin birinci fıkrası uyarınca kural olarak kişisel veriler ilgilinin rızası olmaksızın aktarılamaz. Bununla birlikte,

  • Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme var ise, Kişisel Veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise
  • Kişisel Veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel Verinin aktarılması gerekli ise
  • Şirketimizin hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunlu ise
  • Kişisel Veriler, Kişisel Veri sahibi tarafından alenileştirilmiş ise
  • Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise
  • Kişisel Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için Kişisel Veri aktarımı zorunlu ise ilgili kişinin açık rızası olmaksızın aktarabilir.

Yine, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler ancak kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin veriler ise ancak;

  • Kamu sağlığının korunması
  • Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilir. Görüldüğü üzere, kişisel verilerin aktarılmasına ilişkin istisnalar ile kişisel verilerin işlenmesine ilişkin istisnalar birbirinin aynıdır.

KVKK’nın 9. maddesi uyarınca, kişisel verilerin yurtdışına aktarılmasında da kural ilgili kişinin açık rızasının bulunmasıdır. Bununla birlikte, kişisel verilerin aktarılmasına ve kişisel verilerin işlenmesine ilişkin açık rıza aranmayan hallerde eğer verinin aktarılacağı ülkede yeterli koruma var ise veya yeterli koruma bulunmamakla birlikte, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması halinde ilgili kişinin açık rızası olmaksızın kişisel verinin yurtdışına aktarılması mümkündür. Hangi ülkenin yeterli korumaya sahip olduğu Kurum tarafından ilan edilecektir. Şirketimiz, kişisel verilerin yurt dışına aktarılması durumunda kişisel verilerin korunması için gerekli önlemleri alacaktır.

V. Şirketimiz Tarafından İşlenen Kişisel Verilerin Kategorizasyonu, İşlenme Amaçları Ve Saklanma Süreleri
Peyman, KVKK’nın 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi ilgili kişi gruplarının hangi kişisel verilerini işlediğini, ilgili kişinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini ilgili kişiye bildirmektedir.

a. Kişisel Verilerin Kategorizasyonu
Peyman nezdinde; Peyman’ın meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVKK’da belirtilen genel ilkelere ve KVKK’da düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle (Bayiler, Tedarikçiler, Ziyaretçi, Üçüncü Kişi, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri) sınırlı olarak ve KVKK’nın 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle aşağıda belirtilen kategorilerdeki kişisel veriler işlenmektedir.

i. Kimlik Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir.
Kimlik bilgisine örnek olarak; Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası vb. bilgiler gösterilebilir.

ii. İletişim Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler iletişim bilgisine örnektir.

iii. Lokasyon Verisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ilgili kişinin Peyman iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Peyman’ın ürün ve hizmetlerinin kullanımı sırasında veya işbirliği içerisinde olduğumuz kurumların çalışanlarının Peyman araçlarını veya satışa yardımcı tablet veya telefonları kullanırken bulunduğu yerin konumunu tespit eden bilgilerdir. Lokasyon verisine; GPS lokasyonu, seyahat verileri vb. örnek gösterilebilir.

iv. Aile Bireyleri ve Yakın Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Peyman’ın iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Peyman’ın sunduğu ürün ve hizmetlerle ilgili veya Peyman’ın ve ilgili kişinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel ilgili kişinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler aile ve yakın bilgisine örnektir.

v. Fiziksel Mekân Güvenlik Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler fiziksel mekân güveliği bilgisi kapsamındadır. Fiziksel mekân güvenliği bilgisine; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar vb. örnek gösterilebilir.

vi. Finansal Bilgi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Peyman’ın ilgili kişi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel verilerdir.

Finansal bilgiye banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler finansal bilgilere örnek gösterilebilir.

vii. Görsel/İşitsel Bilgi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler görsel/işitsel verilere örnektir.

viii.Özlük Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Peyman ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri özlük bilgisini oluşturur.

ix. Özel Nitelikli Kişisel Veri
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVKK’nın 6. maddesinde belirtilen veriler (örn. kan grubu da dâhil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi) veriler özel nitelikli kişisel bilgilerdir.

x. Talep/Şikâyet Yönetimi Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Peyman’a yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler talep/şikâyet yönetimi bilgisidir.

b. Kişisel Verilerin İşlenme Amaçları

Peyman KVKK’nın 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;

  1. Kişisel verilerinizin işlenmesine ilişkin Peyman’ın ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi
  2. Kişisel verilerinizin Peyman tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması
  3. Kişisel verilerinizin işlenmesinin Peyman’ın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  4. Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Peyman tarafından işlenmesi
  5. Kişisel verilerinizin Peyman tarafından işlenmesinin Peyman’ın veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması
  6. İlgilinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Peyman meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması
  7. Peyman tarafından kişisel veri işleme faaliyetinde bulunulmasının ilgili kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da ilgili kişinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması
  8. İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması
  9. İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.

Bu kapsamda Peyman, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir:

  1. Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası
  2. Etkinlik yönetimi
  3. İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi
  4. Şirketin personel temin süreçlerinin yürütülmesi
  5. Şirket finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi
  6. Şirket hukuk işlerinin icrası/takibi
  7. Kurumsal iletişim faaliyetlerinin planlanması ve icrası
  8. Kurumsal yönetim faaliyetlerinin icrası
  9. Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi
  10. Talep ve şikâyet yönetimi
  11. Şirket değerlerinin güvenliğinin sağlanması
  12. Şirketle ilgili mevzuata uyum konusunda destek olunması
  13. Şirket itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi
  14. Yatırımcı ilişkilerinin yönetilmesi
  15. Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi
  16. Ziyaretçi ve Müşteri kayıtlarının oluşturulması ve takibi

Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVKK kapsamında öngörülen şartlardan ve açık rıza istisnalarından herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Peyman tarafından açık rızanız temin edilmektedir.

c. Kişisel Verilerin Saklanma Süreleri
Peyman, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Peyman’ın o veriyi işlerken yürütülen faaliyet ile bağlı olarak Peyman’ın uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Peyman’ın belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Peyman’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

VI. Peyman Tarafından İşlenen Kişisel Verilerin İlgili Kişilerine İlişkin Kategorizasyon
Peyman tarafından, aşağıda sıralanan kişisel ilgili kişi kategorilerinin kişisel verileri işlenmekle birlikte, işbu Politika’nın uygulama kapsamı Şirket Müşterileri, Bayiler, Tedarikçiler, Ziyaretçiler, Üçüncü Kişiler, Çalışan Adayları, Şirket Hissedarları, Şirket Yetkilileri, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri ile sınırlıdır.

Peyman tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan kişiler de KVKK kapsamında Peyman’a taleplerini yöneltebilecek olup; bu kişilerin talepleri de bu Politika kapsamında değerlendirmeye alınacaktır.

a. İlgili Kişi Kategorisi Açıklaması

i.Şirket Müşterisi
Peyman ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Peyman’ın iş birimlerinin yürüttüğü operasyonlar kapsamında Şirket’in iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler

ii.Ziyaretçi
Peyman’ın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler

iii.Üçüncü Kişi
Bu Politika ve Peyman Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına girmeyen diğer gerçek kişiler (Örn. Kefil, refakatçi, aile bireyleri ve yakınlar, eski çalışanlar)

iv. Çalışan Adayı
Peyman’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler

v. Şirket Hissedarı ve Temsilcisi
Peyman’ın hissedarı gerçek kişiler ve onların gerçek kişi temsilcileri

vi.Şirket Yetkilisi
Peyman’ın yönetim kurulu üyesi, imza yetkilileri ve diğer yetkili gerçek kişiler

vii. İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri
Peyman’ın her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler

VII. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Şartları
Peyman, Türk Ceza Kanunu’nun 138. maddesinde ve KVKK’nın 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Peyman’ın kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel veriler siler, yok eder veya anonim hâle getirir. Bu kapsamda Peyman ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.

a. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Teknikleri

i.Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Peyman ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Peyman tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

Fiziksel Olarak Yok Etme (Physical Destruction)
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

Yazılımdan Güvenli Olarak Silme (Secure Deletion Software)
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)
Peyman, bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

ii.Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Peyman, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, ilgili kişinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVKK kapsamı dışında olacağından burada düzenlenen haklar bu veriler için geçerli olmayacaktır.

VIII. İlgili Kişinin Hakları
Kişisel Verileri Koruma Kanunu’na göre kişisel verileri elde edilmiş ve Şirketimizce işlenmiş bir kişi olarak aşağıda sayılan haklarınız bulunmaktadır:

Kişisel verileri işlenen kişiler, Peyman tarafından web sayfamızda duyurulan Aydınlatma Metninde de belirttiğimiz üzere, KVKK ve ilgili sair mevzuat kapsamında bizimle iletişime geçmek, geri bildirimde bulunmak ya da sorularınızı yöneltmek isterseniz, kimliğinizi tevsik edici belgeler ve talebinizi içeren imzalı dilekçeniz ile Organize Sanayi Bölgesi 9. Cadde No: 44 Odunpazarı/Eskişehir adresine kimlik doğrulama ile bizzat elden iletebilir, noter kanalıyla ulaştırabilir; 0222 236 13 22/23/24/25 numaralı telefonları arayabilir; kvkk@peyman.com.tr veya peymankuruyemis@hs02.kep.tr kayıtlı elektronik posta adresine güvenli elektronik imzalı olarak veya kayıtlı elektronik posta (KEP) adresinizle iletebilirsiniz. Bizimle iletişime geçerek aşağıdaki hususlarda bilgi talep edebilirsiniz:

  1. Kişisel verinizin işlenip işlenmediğini öğrenme,
  2. Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişilerin olup olmadığını ve varsa bu kişilerin ticari unvan/ad soyad vb. bilgilerini talep etme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini veya güncellenmesini talep etme,
  6. Kanunda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya imha edilmesini talep etme,
  7. (4) ve (5) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Peyman, Kanun kapsamında ilgili kişinin veri işlenmeden önce onayını alma hakkının olduğunu, verinin işlenmesinden sonra ise verisinin kaderini tayin etme hakkına sahip olduğunu kabul etmektedir. Buna karşın, Şirket içinde anonimleştirilmiş verilerle ilgili olarak kişilerin bir hakkı bulunmamaktadır. Peyman, kişisel verileri, iş ve sözleşme ilişkisi gereğince, bir yargısal görevin ya da devlet otoritesinin Kanuni yetkilerini kullanması amacıyla ilgili kurum ve kuruluşlarca paylaşabilir.

Başvurularınız, başvurunuzun içeriğine göre en kısa sürede ve her halde Şirketimize ulaşmasından sonra en geç 30 gün içinde cevaplanacaktır. Başvurularınızın sadece sizlerle ilgili kısmı cevaplanacak olup, eşiniz, yakınınız ya da arkadaşınız hakkında yapılan bir başvuru kabul edilmeyecektir.

IX. Gizlilik İlkesi
İster çalışanlar isterse diğer kişilerin Peyman’daki verileri gizlidir. Hiç kimse sözleşme ya da kanuna uygunluk olmaksızın başkaca hiçbir amaç için bu verileri kullanamaz, kopyalayamaz, çoğaltamaz, başkalarına aktaramaz, iş amaçları dışında kullanamaz.

X. Kişisel verilerin korunmasında alınması gereken tedbirler
KVKK’nın 12. maddesinin birinci fıkrası uyarınca Peyman; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almak ile yükümlüdür. Bu kapsamda kişisel verilerin korunmasının sağlamak için alınması gereken tedbirler, idari ve teknik tedbirler olarak iki ayrı kategoride sınıflandırılabilir.

a. Kişisel verilerin güvenliğine ilişkin idari tedbirler
Kişisel verilerin güvenliğine ilişkin idari tedbirler özü itibariyle Peyman’ın kişisel verilerin korunmasına yönelik olarak almış olduğu yönetsel tedbirlerdir. Bu tedbirler; mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi, kişisel verilerin mümkün olduğunda azaltılması, veri işleyenler ile ilişkilerin yönetimi olarak sıralanabilir.

i.Mevcut risk ve Tehditlerin Belirlenmesi
Kişisel verilerin güvenliğine ilişkin idari tedbirler kapsamında Peyman öncelikle işlenen tüm kişisel verilerin neler olduğunu belirleyerek, bu verilen korunmasında ortaya çıkabilecek risklerin gerçekleşme olasılığını belirlemek ve gerçekleşmesi durumunda ortaya çıkacak zararı öngörmek ve buna uygun tedbirleri almak ile yükümlüdür. Bahse konu riskler belirlenirken; kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik gerektiği ve güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınacak, bahse konu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri ortaya koyulacaktır.

ii.Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
Şirketimiz, kural olarak her yıl çalışanlarının kişisel verilerin korunması hususunda eğitilmesi ve bu suretle farkındalıklarının arttırılmasını sağlayacaktır. Ayrıca, kişisel veri güvenliğine ilişkin olarak ilgili mevzuatta, Kurum içtihatlarında ve Peyman’ın kişisel veriler politika ve prosedürlerinde önemli bir değişiklik olması halinde ve kişisel veri güvenliğine ilişkin güncel bir tehdit bulunması durumunda çalışanlar konu hakkında ayrıca bilgilendirilecektir.

Periyodik eğitimler ile;

  • Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin olarak çalışanların asgari düzeyde bilinçlendirilerek ilk müdahaleyi yapabilecek nitelikleri haiz olmaları
  • Çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması
  • Çalışanların kişisel verilerin korunması hususundaki rol ve sorumluluklarının farkında olmaları
  • Kişisel verilerin bulunduğu ortamlara erişim hakkı verilirken “izin verilmedikçe her şey yasaktır” prensibinden hareket edilmesi

sağlanacaktır.

Ayrıca, çalışanların işe alım sürecinin bir parçası olarak kişisel verilen korunması amacıyla gizlilik anlaşması imzalanacaktır.Gerek gizlilik sözleşmesine gerekse kişisel verilerin güvenlik politika ve prosedürlerine uyulmaması durumunda çalışanlarımıza kişisel verilerin korunmasında azami özeninin gösterilmesini sağlamak için disiplin yaptırımı uygulanacaktır.

iii.Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi
Kişisel veri güvenliğinin korunmasına ilişkin Peyman tarafından işbu politika belgesi kapsamında kişisel veri güvenliğini tehdit eden risklerin önceden belirlenebilmesine ve istikrarlı bir şeklide önlem alınabilmesine yönelik çalışmalar yapılacaktır. Politika ve prosedürler kapsamında düzenli kontroller yapılarak yapılan kontroller belgelendirilecektir. Ayrıca, yapılan çalışma neticesinde her kişisel veri kategorisi için ortaya çıkabilecek risklerin nasıl yönetileceği açıkça belirtilmelidir.

iv.Kişisel verilerin mümkün olabildiğince azaltılması
Peyman kişisel verilerin işlenme amacını da göz önünde bulundurularak öncelikle işlenmesi zaruri olan kişisel veriler dışındakilerin işlenmemesini sağlayacaktır. Öte yandan, güncel olmayan ve ihtiyaç duyulmayan kişisel verilerin yok edilmesi, silinmesi veya anonimleştirilmesi sağlanarak işlenmekte olan kişisel veri miktarı mümkün olan minimum düzeyde tutulacaktır.

v.Veri işleyenler ile ilişkiler
Şirketimiz tarafından işlenen veriler şirket çalışanları tarafından işlenebileceği gibi bu konuda hizmet alımı da yapılabilir. Hizmet alımı yapılması durumunda hizmet alımı yapılan kişinin de en az Peyman tarafından sağlanan güvenlik seviyesini haiz olması gerekliliği konuya ilişkin yapılacak sözleşmeye eklenecektir. Bu kapsamda veri işleyen ile yapılacak sözleşmenin yazılı olması ve kişisel verilerin korunmasına ilişkin Peyman’ın güvenlik seviyesinin hizmeti sunan tarafından da karşılanması gerekliliği sözleşmede yer alacak, hizmeti sunan kişinin Peyman’ın talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve konuya ilişkin mevzuatla ve Peyman politikaları ile uyumlu davranması gerekliliği ve işlenen kişisel verilere ilişkin olarak süresiz olarak sır saklama yükümlülüğü de sözleşmede yer alacaktır.

Sözleşmede yer alması gereken bir diğer husus ise, veri ihlali durumunda veri işleyenin derhal Peyman’ı bilgilendirme yükümlülüğüdür. Diğer yandan, Peyman hizmet sağlayıcıya ilişkin olarak yerinde inceleme ve hizmet sağlayıcının kişisel veri içeren sistemini her zaman denetleme hakkını saklı tutacaktır.

b. Kişisel verilerin güvenliğine ilişkin teknik tedbirler
Kişisel verilerin güvenliğine ilişkin Şirketimiz tarafından alınacak teknik tedbirler; siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel verilerin bulutta depolanması, bilgi teknolojileri sistemleri tedariki- geliştirme ve bakımı, kişisel verilerin yedeklenmesidir.

i.Siber Güvenliğin Sağlanması
Peyman kişisel verilerin siber güvenliğinin sağlanması için gerek olması halinde teknik destek alacaktır. Bu kapsamda kişisel veri içeren bilgi teknolojileri sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler olan güvenlik duvarı ve ağ geçidi Peyman bilişim sistemlerinde uygulanacaktır. Güvenlik duvarı ile Peyman ağının dışardan gelen tehditlere karşı korunması amaçlanmakta iken internet ağ geçidi ile çalışanların kişisel veri güvenliği açısından tehdit teşkil eden internet sitelerine veya çevrimiçi servislere erişiminin engellenmesi amaçlanmaktadır.

Peyman kişisel verilerin siber güvenliğini sağlamak üzere, yama yöntemi ve yazılım güncellemeleri ile yazılım ve donanımların güvenli bir şeklide çalışmasının sağlanması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edecek veya kontrol edilmesini sağlayacaktır.

Ayrıca, kişisel veri içeren sistemlere erişimi sadece yetkili kişiler ile sınırlayacaktır. Dolayısıyla, çalışanlara yetki ve sorumluluklarıyla orantılı ölçüde erişim yetkisi verilecek ve erişim sağlanırken kullanıcı adı ve güvenli parolalar kullanılacaktır.

Ayrıca Peyman tarafından;

  • Kişisel verilerin siber güvenliğini temine erişim yetki ve kontrol matrisi oluşturulması
  • Kaba kuvvet algoritması (BFA) gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması
  • Düzenli aralıklarla parolalarının değiştirilmesi
  • Yönetici hesabının sadece ihtiyaç duyulduğunda kullanılması
  • İlişiği kesilen veri işleyenlerin hesaplarının derhal kapatılması
  • Kötü amaçlı yazılımlardan korunmak için antivirüs, antispam gibi ürünlerin kullanılması ve bunların aktif ve güncel olmaları
  • Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi,

sağlanacaktır.

ii.Kişisel verilerin güvenliğinin takibi
Peyman tarafından bilişim sistemine yapılan saldırılara karşı müdahalede geç kalmamak bir raporlama prosedürü oluşturulacaktır. Söz konusu raporlama prosedürü ile bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi, bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi, tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi), güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması, çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditlerin mümkün olan en kısada bildirimi sağlanacaktır.

Diğer yandan, düzenli olarak bilişim sistemi zafiyet taraması ve sızma testlerinin yapılması sağlanacaktır. Kişisel verilerin güvenliğinin herhangi bir şekilde ihlal edilmiş olması ihtimalinde konuya ilişkin deliler toplanarak saklanacaktır.

iii.Kişisel veri içeren ortamların güvenliğinin sağlanması
Peyman tarafından kişisel verilerin fiziki ortamda saklanması durumunda bunların çalınması veya kaybolması gibi tehditlere karşı fiziki güvenlik önlemlerinin alınacaktır. Ayrıca, yangın, sel, vb. risklere karşı gerekli tedbirler de alınacak ve bahse konu ortamlara giriş çıkışlar kayıt altına alınarak sadece yetkili kişiler tarafından giriş-çıkış yapılmasına izin verilecektir.

Elektronik ortamda tutulan kişisel veriler ise, veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılacaktır. Aynı seviyedeki önlemlerin Peyman dışında yer alan ve Peyman’a ait olup kişisel veri içeren dokümanlar ile elektronik ortam ve cihazlar için de alınması sağlanacaktır.

Peyman tarafından, kişisel veri içeren cihazların kaybolması ve çalınması gibi durumlara karşı erişim kontrol yetkilendirilmesi ve şifreleme yöntemlerinin kullanılması suretiyle, kişisel veri güvenliği sağlanacaktır. Peyman tarafından tercih edilecek şifreleme yöntemlerinin kişisel verilerin korunmasına elverişli ve uluslararası kabul gören bir şifreleme programı olmasına özen gösterilecektir. Keza, asimetrik şifreleme yöntemi tercih edilirse anahtar yönetimi süreçlerine de gerekli ihtimam gösterilecektir.

iv.Kişisel verilerin bulutta depolanması
Kişisel verilerin bulutta depolanması birtakım riskleri de ihtiva ettiğinin farkında olan Peyman kişisel verilerin bulutta depolanmasına ihtiyaç duyulması halinde, hizmeti sağlayıcısının aldığı güvenlik tedbirlerinin kişisel verilerin korunmasına uygun olup olmadığını değerlendirecektir.

Peyman, kişisel verilerin bulutta depolanmasının kendine özgü risklerinden dolayı, bulutta depolanacak verilerin neler olduğunun detaylıca bilinmesini, yedeklenmesini ve senkronizasyonunu sağlayacaktır. Bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolün uygulanacaktır. Söz konusu verilerin bulut ortamına kriptografik yöntemlerle şifrelenerek atılması ve bulut hizmetinin sona ermesi halinde ise, kişisel verileri kullanılabilir hale getirmeye yarayacak şifreleme anahtarlarının tüm kopyalarının yok edilmesi sağlanacaktır.

v.Bilgi teknolojileri sistemleri tedariki, geliştirme ve bakımı
Peyman tarafından bilgi teknolojilerine ilişkin yeni sistemlerin tedariki ve geliştirilmesinde kişisel verilerin korunmasına yönelik güvenlik gereksinimleri göz önünde tutulacaktır. Sistemlerin bakım onarım için üretici satıcı servis gibi üçüncü şahıslara gönderilirken ihtiva ettikleri kişisel verilerin güvenliği sağlanacak, mümkünse kişisel verilerin saklandığı veri saklama ortamları çıkartılarak, sadece arızalı parçaların gönderilmesi sağlanacaktır. Bakım ve onarım için dışarıdan teknik bir personel gelmesi durumunda ise, kişisel verilerin kopyalanarak dışarı çıkartılmasının engellenmesi için gerekli önlemlerin alınacaktır.

vi.Kişisel verilerin yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması durumunda kişisel verinin işlenmesi suretiyle hizmet edilen hukuksal menfaatin zarar görmemesi ve kişisel veri güvenliğini sağlamak için kişisel veriler Peyman tarafından yedeklenecektir. Bununla birlikte, yedeklenen kişisel verilere yedeklemenin amacına uygun olarak sadece sistem yöneticisi tarafından erişim sağlanabilecek ve veri seti mutlaka ağ dışında tutulacaktır.

XI. İhlallerin Bildirimi
Peyman, kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde söz konusu ihlali gidermek için derhal harekete geçer. İlgilinin zararını en aza indirir ve zararı telafi eder. Kişisel verilerin dışarıdan yetkisiz kimselerce ele geçirildiğinde durumu derhal Kişisel Verileri Koruma Kurulu’na bildirir.

İhlallerin bildirimi ile ilgili www.peyman.com.tr adresinde ve yukarıda belirtilen belirtilen usullere göre de başvurular yapılabilir.

© PEYMAN KURUYEMİŞ GIDA AKTARİYE KİMYEVİ MADDELER TARIM ÜRÜNLERİ A.Ş. 2018

İşbu BELGE PEYMAN KURUYEMİŞ GIDA AKTARİYE KİMYEVİ MADDELER TARIM ÜRÜNLERİ A.Ş.’NİN YAZILI İZNİ OLMAKSIZIN ÇOĞALTILIP DAĞITILAMAZ.