KVKK Politikası
BRP BİRPA KİMYA SANAYİ TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. Amaç ve Kapsam
BRP Birpa Kimya Sanayi Ticaret Anonim Şirketi ("
BRP Kimya") kişisel verilerin işlenmesi ve korunmasına ilişkin yürürlükte bulunan tüm mevzuat ile uyumlu davranmak için azami gayreti göstermektedir.
BRP Kimya Kişisel Verilerin Korunması ve İşlenmesi Politikası ("
Politika") çerçevesinde, BRP Kimya tarafından gerçekleştirilen kişisel verileri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler açıklanmaktadır.
Politika ile, BRP Kimya’nın "şirket faaliyetlerinin hukuka ve dürüstlük kurallarına uygun, şeffaflık içinde yürütülmesi ilkesi"nin sürdürülebilirliği amaçlanmaktadır. Bu kapsamda BRP Kimya, veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ("
KVKK") yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler belirlenmekte ve BRP Kimya tarafından yerine getirilen uygulamalar açıklanmaktadır.
Politika, BRP Kimya tarafından otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verileri işlenen gerçek kişilere yöneliktir.
2. Politika Esasları
2.1. Genel Esaslar
Politika, kişisel veri sahiplerinin erişimine açık olacak biçimde BRP Kimya’ya ait internet sitesinde (https://brpkimya.com/) yayımlanır. Mevzuatta gerçekleştirilecek değişiklik ve yeniliklere paralel olarak, Politika’da yapılacak değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde erişime açılacaktır.
Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile işbu Politika arasında çelişki bulunması halinde BRP Kimya
, yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir.
2.2. Politika Kapsamındaki Kişi Grupları
Politika kapsamında olan ve BRP Kimya tarafından kişisel verileri işlenen İlgili Kişi grupları aşağıdaki gibidir:
·
Çalışan Adayları
BRP Kimya ile hizmet akdi kurulmamış ancak kurulma gayesiyle BRP Kimya’ya başvurmuş kişiler.
·
İş Ortakları Yetkilileri, Çalışanları
BRP Kimya’nın ticari ilişki içinde olduğu kuruluşların gerçek kişi yetkilileri, hissedarları, çalışanları.
·
Firma Ziyaretçileri
BRP Kimya’nın faaliyet gösterdiği binaları veya BRP Kimya tarafından işletilen internet sitelerini ziyaret eden gerçek kişiler.
·
Çalışanlar
BRP Kimya ile hizmet akdi kurulmuş olan gerçek kişiler.
3. Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin İlkeler
3.1. Veri İşleme Şartlarına Uygunluk
Şirket, kişisel verilerin işlenmesi faaliyetlerini yürütürken, KVKK’nın (i) 4. maddesinde yer verilen temel ilkelere, (ii) 5. maddesinde yer alan kişisel veri işleme şartlarına ve (iii) 6. maddesinde yer alan özel nitelikli kişisel veri işleme şartlarına uygun hareket etmektedir.
3.1.1. Temel İlkelere Uygunluk
(1) Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme
Şirket, Türkiye Cumhuriyeti Anayasası başta olmak üzere, KVKK ve ilgili ikincil mevzuata uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütür.
(2) İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme
Şirket tarafından kişisel verilerin işlenmesi faaliyeti yürütülürken, teknik imkanlar dahilinde kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik gerekli her türlü idari ve teknik tedbirler alınmaktadır. Şirket bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin güncel olmaması ya da hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurmuştur.
(3) Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme
Şirket tarafından, kişisel veriler, veri işleme şartları ile bağlantılı ve bu hizmetlerin işleme amacının gerçekleştirilmesi için gerektiği kadar işlenmektedir. Bu kapsamda, kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenmekte, ileride kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir.
(4) Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
Şirket, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. İleride kullanılma ihtimaline dayanılarak Şirket tarafından kişisel veriler saklanmamaktadır.
3.1.2. Kişisel Veri İşleme Şartlarına Uygunluk
Şirket kişisel veri işleme faaliyetlerini, KVKK’nın 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda, kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:
- İlgili Kişi’nin Açık Rızasının Varlığı
İlgili Kişi’nin kendisiyle ilgili veri işlenmesine, belirli bir konuyla ilgili yeterli bilgi sahibi olarak, özgürce ve tereddüde yer bırakmayacak açıklıkta onay vermesi halinde, Şirket tarafından kişisel veri işleme faaliyeti yürütülür.
- Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması
Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, Şirket tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir.
- Fiili İmkânsızlık Nedeniyle İlgili Kişi’nin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması
İlgili Kişi’nin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise, Şirket tarafından bu kapsamda veri işleme faaliyeti yürütülür.
- Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise Şirket tarafından veri işleme faaliyeti yürütülür.
- BRP Kimya’nın Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme Faaliyeti Yürütülmesinin Zorunlu Olması
Hukuka uygunluk konusunda gerekli hassasiyeti göstermeyi Şirket politikası olarak benimsemiş olan Şirket’in hukuki yükümlülüğünün söz konusu olması durumunda, hukuki yükümlülüğün yerine getirilmesi için kişisel veri işleme faaliyeti yürütülür.
- İlgili Kişi’nin Kişisel Verisini Alenileştirmesi
Şirket tarafından, ilgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel verileri alenileştirilme amacına uygun olarak işlenir.
- Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması
Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, Şirket tarafından bu zorunluluk ile paralel olarak kişisel veri işleme faaliyet yürütülür.
- İlgili Kişi’nin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin BRP Kimya’nın Meşru Menfaatleri için Zorunlu Olması
Şirket’in meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, İlgili Kişi’nin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faaliyeti yürütülebilecektir. Bu çerçevede, "veri sorumlusu" sıfatı ile
BRP Kimya’nın meşru menfaati ile İlgili Kişi’nin temel hak ve özgürlükleri arasındaki dengenin varlığı aranacaktır.
3.1.3. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk
Şirket tarafından, özel nitelikli kişisel verilerin işlenmesine ayrıca önem gösterilmektedir. Bu kapsamda, Şirket tarafından özel nitelikli kişisel veri işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti yürütülmektedir.
Özel nitelikli kişisel veriler, Şirket tarafından, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir:
- Kişisel Sağlık Verilerinin İşlenmesi
Şirket tarafından kişisel sağlık verileri, (i) Sağlık Bakanlığı tarafından öngörülecek yeterli önlemleri almak, (ii) genel ilkelere uygun davranmak ve (iii) sır saklama yükümlülüğü altında bulunmak kaydıyla aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:
– İlgili Kişi’nin yazılı açık rızasının varlığı,
– Kamu sağlığının korunması,
– Koruyucu hekimlik,
– Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
– Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
- Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirket tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler; İlgili Kişi’nin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir.
3.1.4. Kişisel Veri Aktarım Şartlarına Uygunluk
Şirket tarafından gerçekleştirilecek kişisel veri aktarımlarında KVKK’nın 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.
- Kişisel Verilerin Yurtiçinde Aktarılması
Şirket tarafından, KVKK’nın 8. maddesi gereğince, yurtiçinde yürütülecek veri aktarımı faaliyetlerinde veri işleme şartlarına (Bkz. Politika 3.1.) uygun olarak olarak hareket edilmektedir.
- Kişisel Verilerin Yurtdışına Aktarılması Şirket tarafından, KVKK’nın 9. maddesi gereğince kişisel veriler; (i) kişisel veri işleme şartlarına (Bkz. Politika 3.1.) uygun olarak ve (ii) aktarım yapılacak ülkenin Kurul tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması ile yurtdışına aktarılabilmektedir.
(3) Şirket Tarafından Kişisel Verilerin Aktarıldığı Kişi Grupları
Şirket KVKK’nın 8. ve 9. maddelerine uygun olarak Politika kapsamı dahilinde olan veri sahiplerinin (Bkz. Politika 2.2.) kişisel verilerini aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarabilir:
- Şirket adına kişisel veri işleyen üçüncü kişi hizmet sağlayıcılara, Şirket’in ticari faaliyetlerinin yerine getirilmesi amacıyla sınırlı olarak,
- Şirket iş ortaklarına, iş ortaklığının kurulması ve sürdürülmesinin temini amacıyla sınırlı olarak,
- Şirket tedarikçilerine, BRP Kimya’nın ticari faaliyetlerinin yerine getirilmesi amacıyla sınırlı olarak,
- Yetkili kamu kurum ve kuruluşları ile yetkili özel hukuk kişilerine, ilgili kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak,
- Üçüncü kişilere, kişisel veri aktarım şartlarına uygun olarak.
4. Kişisel Veri Sahiplerinin Aydınlatılması
Şirket, KVKK’nın 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda Şirket tarafından veri sahiplerine sunulan aydınlatma metinlerinde başlıca aşağıda sıralanan bilgiler bulunmaktadır:
(1) Şirket’in unvanı,
(2) Şirket tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,
(3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(4) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
(5) İlgili Kişi’nin aşağıda sıralanan hakları olan;
– Kişisel verilerinin işlenip işlenmediğini öğrenme,
– Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
– Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
– KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin silinmesini veya yok edilmesini isteme ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
5. Kişisel Veri Sahiplerinin Taleplerinin Sonuçlandırılması
Veri sahiplerinin kişisel verilerine ilişkin taleplerini, kimliklerini tevsik edici belgeler ve
https://brpkimya.com/ adresindeki başvuru formunu doldurarak Şirket’e yazılı olarak iletmeleri durumunda, Şirket veri sorumlusu sıfatıyla KVKK’nın 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir.
Şirket, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Şirket ayrıca İlgili Kişi’nin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, İlgili Kişi’ye başvurusu ile ilgili soru yöneltebilir.
İlgili Kişi’nin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumlarda, Şirket tarafından gerekçesi açıklanarak talep reddedilebilecektir.
5.1. Kişisel Veri Sahiplerinin Hakları
KVKK’nın 11. maddesi uyarınca, Şirket’e başvurarak aşağıda yer alan konularda talepte bulunabilirsiniz:
(1) Kişisel verilerinizin işlenip işlenmediğini öğrenme,
(2) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,
(5) Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6) KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini ve yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(7) İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
(8) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
5.2. Mevzuat Gereği Kişisel Veri Sahiplerinin Hakları Dışında Kalan Haller
KVKK’nın 28. maddesi gereğince aşağıdaki hallerin KVKK’nın kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır:
(1) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
(2) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
(3) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
(4) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK’nın 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:
(1) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
(2) İlgili Kişi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
(3) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
(4) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
6. Roller ve Sorumluluklar
6.1. Şirket Kişisel Verilerin Korunması (KVK) Üst Komitesi
BRP Kimya, Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın tüm Şirket genelindeki faaliyet ve süreçlerde uygulanmasından Şirket içinde oluşturulmuş olan, BRP Kimya KVK Üst Komitesi sorumludur. Şirket KVK Üst Komitesi, bu sorumluluğunu yerine getirebilmek için Şirket bünyesinde kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan BRP Kimya Kişisel Verilerin Korunması Komitesi’ni kurmuştur. Risk Yönetimi Koordinatörlüğü başkanlığında toplanan ve Mali İşler Başkanlığı, Hukuk İşleri Başkanlığı, Denetim Başkanlığı, İnsan Kaynakları Başkanlığı, Kurumsal İlişkiler ve İletişim Koordinatörlüğü ve Bilgi Teknolojileri Koordinatörlüğü’nden katılan temsilcilerden oluşan BRP Kimya Kişisel Verilerin Korunması Komitesi, BRP Kimya genelinde KVKK’na uyum kapsamında gerekli yönetmelik ve rehberleri hazırlayacaktır. BRP Kimya‘nın tüm çalışanları ve birimleri işbu Politika’nın uygulanmasını ve Politika’ya uyulmasını sağlamakla yükümlüdür.
6.2. Şirket KVK Komitesi
Şirket tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan "Şirket KVK Komitesi" kurulmuştur. Şirket KVK Komitesi, Şirket birimleri arasında birlik sağlanması, yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin yürütülmesi ve iyileştirilmesinden sorumludur.
Bu kapsamda, Şirket KVK Komitesi’nin temel görevleri aşağıda belirtilmektedir:
– Şirket içi kişisel verilerinin korunması ve işlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak,
– Şirket içi kişisel verilerinin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede Şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak,
– KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
– Kişisel verilerin korunması ve işlenmesi konusunda Şirket içinde ve işbirliği içerisinde olunan kurumlar nezdinde farkındalığı arttırmak,
– Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını sağlamak; iyileştirme önerilerini sunmak,
– Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak,
– Kişisel veri sahiplerinin başvurularını karara bağlamak,
– Kişisel veri sahiplerinin; Şirket’in kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
– Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak,
– Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket operasyonlarında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
– Kurum ve Kurul ile olan ilişkileri yönetmek,
– Şirket KVK Üst Komitesinin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.
– Şirket KVK Üst Komitesine, KVKK’ya uyum konusunda düzenli raporlama yapmak.
7. Kişisel Verilerin Güvenliğinin ve Gizliliğinin Sağlanması
Şirket tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, bunlara hukuka aykırı olarak erişimini veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.
Bu kapsamda Şirket tarafından gerekli her türlü (i) idari ve (ii) teknik tedbirler alınmakta, (iii) şirket bünyesinde denetim sistemi kurulmakta ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVKK’da öngörülen tedbirlere uygun olarak hareket edilmektedir.
- Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için BRP Kimya Tarafından Alınan İdari Tedbirler
– Şirket, kişisel verilerin korunması hukukuna ilişkin olarak çalışanlarını eğitmekte ve bilinçlendirilmelerini sağlamaktadır.
– Kişisel verilerin aktarıma konu olduğu durumlarda, Şirket tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi temin edilir.
– Şirket tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenmekte ve periyodik olarak gözden geçirilerek gerektiğinde güncellenmektedir. Bu kapsamda, KVKK’da öngörülen kişisel veri işleme şartlarına uygunluğun sağlanması için atılması gereken adımlar tespit edilir.
– Şirket, KVKK’na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit ederek, bu uygulamaları iç politikalar ile düzenler ve periyodik olarak gözden geçirerek gerektiğinde günceller.
- Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için BRP Kimya Tarafından Alınan Teknik Tedbirler
– Şirket tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkân verdiği ölçüde ve makul teknik önlemler alınır ve alınan önlemler gelişmelere paralel olarak güncellenir ve iyileştirilir.
– Teknik konularda, gerektiği durumda uzman personel istihdam edilir veya uzman danışmanlardan destek alınır.
– Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.
– Güvenliği temin edecek yazılım ve sistemler kurulur.
– Şirket bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır.
(3) Şirket Tarafından Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütülmesi
Şirket tarafından, kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik ve idari tedbirlerin işleyişi denetlenmekte ve işleyişin devamını sağlayacak uygulamalar yürütülmektedir. Bu kapsamda gerçekleştirilen denetim faaliyetlerinin sonuçları, Şirket bünyesinde Şirket KVK Komitesi’ne ve ilgili departmana raporlanmaktadır. Denetim sonuçları doğrultusunda verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler yürütülür
(4) Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
Şirket tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edildiğinin tespit edildiği durumlarda, vakit kaybedilmeksizin durum Kurul’a ve ilgili veri sahiplerine bildirilecektir.
8. Kişisel Verilerin İşlenme Amaçları ve Veri İşleme Faaliyetine Konu Olan Kişisel Veri Grupları
8.1. Kişisel Veri Kategorileri
Şirket tarafından, aşağıda belirtilen gruplardaki kişisel veriler kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenmektedir.
KİŞİSEL VERİ KATEGORİLERİ |
AÇIKLAMA |
Kimlik Bilgisi |
Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler. |
İletişim Bilgisi |
İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası gibi kişisel veriler. |
Fiziksel Mekân Güvenlik Bilgisi |
Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar v.b. |
İşlem Güvenliği Bilgisi |
Şirket’in ticari faaliyetlerini yürütürken gerek İlgili Kişi’nin gerekse de Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler. |
Risk Yönetimi Bilgisi |
Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel veriler. |
Finansal Bilgi |
Şirket ile İlgili Kişi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi kişisel veriler. |
Hukuki İşlem ve Uyum Bilgisi |
Şirket’in hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri ve Şirket politikalarına uyum kapsamında işlenen kişisel veriler. |
Denetim ve Teftiş Bilgisi |
Şirket’in kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler. |
Özel Nitelikli Kişisel Veri |
KVKK’nın 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi) |
Talep/Şikâyet Yönetimi Bilgisi |
Şirket’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler. |
İtibar Yönetimi Bilgisi |
Kişiyle ilişkilendirilen ve Şirket’in ticari itibarını korumak maksatlı toplanan kişisel veriler (örneğin; Şirket ile ilgili yapılan paylaşımlar) |
8.2. Kişisel Verilerinin İşlenme Amaçları
Kişisel veriler, veri işleme şartlarına ve ilkelerine uygun olarak aşağıda sıralanan amaçlarla Şirket tarafından işlenmektedir. Aşağıda yer alan amaçların varlığı, her bir İlgili Kişi özelinde değişiklik gösterebilmektedir.
Elde edilen kişisel veriler, Şirket tarafından KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve aşağıda sayılan amaçlar dahilinde işlenmektedir:
– Şirket İçi Eğitim Faaliyetlerinin Planlanması ve/veya İcrası,
– Acil Durum Yönetimi Süreçlerinin Planlanması ve İcrası,
– Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası,
– İnsan Kaynakları Süreçlerinin Planlanması,
– Hukuk İşlerinin Takibi,
– İş Faaliyetlerinin Planlanması ve İcrası,
– Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi,
– Bilgi Güvenliği Süreçlerinin Planlanması,
– Kurumsal İlişkiler ve İletişim Faaliyetlerinin Planlanması ve İcrası,
– Şirket İçi Oryantasyon Aktivitelerinin Planlanması ve İcrası,
– İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası,
– Verilerin Doğru ve Güncel Olmasının Sağlanması,
– İşe Alım / İstihdam,
– Şirket Yerleşkeleri ve/veya Tesislerinin Güvenliğinin Temini,
– Ziyaretçi Kayıtlarının Oluşturulması ve Takibi,
– Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi,
– İş Sürekliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası,
– Şirket Denetim Faaliyetlerinin Planlanması ve İcrası,
– Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerin Planlanması ve İcrası,
– Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi,
– Şirket Operasyonlarının Güvenliğinin Temini,
– İştiraklerle Olan İlişkilerin Yönetimi ve/veya Denetimi,
– Personel Temin Süreçlerinin Yürütülmesi,
– Kurumsal Yönetim Faaliyetlerin Planlanması ve İcrası,
– Stratejik Planlama Faaliyetlerinin İcrası,
– Şirket Dışı Eğitim Faaliyetlerinin Planlanması ve İcrası.
8.3. Paylaşılan Taraf Kategorileri
BRP Kimya, KVKK’da yer alan ilkelere ve özellikle, KVKK’nın 8. ve 9. maddelerine uygun olarak Politika kapsamı dahilinde olan veri sahiplerinin (Bkz. Bölüm 2.2.) kişisel verilerini aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarılabilir:
– Şirket tedarikçilerine,
– Şirket iş ortaklarına,
– Şirket adına kişisel veri işleyen üçüncü kişilere,
– Yetkili kamu kurum ve kuruluşlar ile yetkili özel hukuk kişilerine,
– Veri aktarım şartlarına uygun olarak, diğer üçüncü kişilere.
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve olası veri aktarım amaçları aşağıda belirtilmektedir.
VERİ AKTARIMI YAPILABİLECEK KİŞİLER |
TANIMI |
VERİ AKTARIM AMACI |
İş Ortağı |
Şirket’in, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar |
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçi |
Şirket’in ticari faaliyetlerinin yürütülmesi kapsamında, Şirket’in emir ve talimatlarına uygun ve sözleşme temelli olarak Şirket’e hizmet sunan taraflar |
Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak |
İştirakler |
Şirket’in hissedarı olduğu şirketler |
Şirket’in iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları |
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri |
İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri |
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
9. Kapalı Devre Kamera (CCTV) Kullanımı
BRP Kimya, şirket merkezinin bulunduğu binada, suç teşkil eden davranışların önlenmesi, bina içinin, çevresinin, araç ve gereçlerin, ziyaretçilerin ve çalışanların güvenliğinin sağlanması gibi amaçlarla kapalı devre kamera sistemi aracılığıyla görsel ve işitsel verileriniz elde edilebilecek ve yalnızca bu sayılan amaçlar için gerekli süre boyunca saklanabilecektir. Kapalı devre kamera sistemi aracılığıyla elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli her türlü teknik ve idari tedbir Şirket tarafından alınacaktır.
10. İnternet Sitesi Kullanımı
Şirket’in sahibi olduğu ve yönettiği internet sitelerinde, bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek, kendilerine özelleştirilmiş içerikler sunabilmek, sosyal medya özellikleri sağlamak, ilgili internet sitesini tekrar ziyaret etmeleri halinde hatırlanmaları suretiyle ziyareti kolaylaştırmak maksadıyla ziyaretçilerin site içerisindeki internet hareketleri kaydedilmektedir.
Şirket sahibi olduğu ve yönettiği internet sitelerinde kullandığı çerezleri kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını değiştirebilir veya yeni çerezler ekleyebilir.
Şirket, söz konusu çerezler vasıtasıyla elde ettiği kişisel verileri KVKK’ya ve işbu Politika’nın hüküm ve koşullarına uygun olarak işleyecektir.
Söz konusu internet siteleri bakımından kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin "Gizlilik Politikası" metinleri içerisinde yer almaktadır.
11. Gözden Geçirme
İşbu Politika, Şirket KVK Komitesi tarafından her yıl en az bir defa gözden geçirilerek gerekli olması halinde güncellenecektir. İşbu Politika’nın yürürlüğe girmesi, değiştirilmesi, yürütülmesi ve yürürlükten kaldırılması hususlarında Şirket KVK Üst Komitesi yetkili ve sorumludur.
12. Tanımlar
Politika’da kullanılan terimlere ait tanımlar aşağıda yer almaktadır:
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme |
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik |
20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik |
Kişisel Sağlık Verisi |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
KVKK |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
Kurul |
Kişisel Verileri Koruma Kurulu |
Kurum |
Kişisel Verileri Koruma Kurumu |
Özel Nitelikli Kişisel Veri |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
Politika |
BRP Kimya Kişisel Verilerin Korunması ve İşlenmesi Politikası |
BRP Kimyaİş Ortakları |
BRP Kimya‘nın ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar. |
BRP KimyaTedarikçileri |
Sözleşme temelli olarak BRP Kimya’ya hizmet sunan taraflar. |
Türkiye Cumhuriyeti Anayasası |
9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası. |
Türk Ceza Kanunu |
12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu. |
Veri Sorumlusu |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir. |