KVKK

1. BÖLÜM – GİRİŞ

 1.1 Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir.

Kişisel verilerin korunması, Epsan Plastik San. Ve Tic. A.Ş. (“Epsan” veya “Şirket”) en önemli öncelikleri arasındadır. Kişisel verilerin işlenmesinde Şirket’in uygun süreçlere sahip olması, hukuka uygun hareket edebilme yeteneğini önemli ölçüde arttıracak ve bu durum tüm ilgili faaliyetleri etkileyecektir.

Epsan’ın çalışanlarının kişisel verilerinin korunmasına ilişkin yürütülen faaliyetler, işbu Epsan Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikasında (“Politika”) belirlenen esaslar çerçevesinde Epsan tarafından oluşturularak uygulamaya konulan “Çalışanların Kişisel Verilerin Korunması ve İşlenmesi Politikası” altında yönetilmektedir.

1.2 Amaç

İşbu Politika’da Epsan çalışanlarının kişisel verileri işlenirken Epsan’ın hangi kurallara uyması gerektiği düzenlenmektedir. Dolayısıyla işbu Politika’nın amacı, kişisel verilerin Epsan tarafından benzer uygulamalar yapılarak hukuka uygun şekilde işlenmesinin sağlanmasıdır.

1.3 Kapsam

İşbu Politika’nın birinci dereceden muhatabı Epsan’dır. Ancak, bu Politika’nın uygulanması ve Politika’da yer alan düzenlemeler, Epsan çalışanlarını ilgilendirmektedir. Epsan ile hali hazırda istihdam ilişkisi devam eden çalışanların yanı sıra hala kişisel verileri işlenmekte olan eski çalışanlar ile Epsan’a iş başvurusunda bulunan adaylar da işbu Politika kapsamındadır. Bu Politika’da yer alan “çalışan” ifadesi, uygun olduğu ölçüde, Epsan çalışanlarını, eski çalışanları ve çalışan adaylarını kapsayacaktır.

Epsan çalışan kişisel verilerinin işlenmesinden sorumlu birimleri, işbu Politika’nın icra edilmesinde en önemli rolü üstleneceklerdir. Sorumlu birimler bu Politika’nın icrası kapsamında kurum/kuruluş veya kişilerden destek alacaklardır.

1.4 Güncellenebilirlik

 İşbu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncelleme yapılması halinde www.epsan.com adresi üzerinden veya sair kanallardan bildirilecektir.

2. BÖLÜM – İŞE ALIM SÜRECİNDE KİŞİSEL VERİ TOPLANMASI

2.1 İş İlanı Verme ve Başvuru Süreçlerinde İzlenmesi Gereken Adımlar

2.1. 1 İlan Veren Şirket Bilgilerinin Belirtilmesi

Epsan, açık pozisyonlar için işe alım sürecini iş ilanıyla (internet sitesi, gazete ilanı, istihdam veya danışmanlık şirketleri aracılığıyla veya benzeri yöntemlerle) başlatabilir veya kendilerine iletilen özgeçmişleri değerlendirebilirler.

Epsan, adayların kişisel verilerini hukuka uygun bir şekilde işlemeye ve bilgilendirme yükümlülüklerini yerine getirmeye özen gösterirler. Bu kapsamda her bir iş ilanında veya başvuru formunda Epsan’ın unvan ve iletişim bilgileri açıkça belirtilir.

Epsan, istihdam veya danışmanlık şirketi aracılığıyla işe alım süreci başlatması durumunda, istihdam veya danışmanlık şirketi tarafından toplanan kişisel verilerin nasıl kullanılacağının ve paylaşacağının belirtilmiş olmasını sağlamaya yönelik önlemleri alır.

2.1. 2 Toplanan Kişisel Verilerin İşe Alım Süreci ile Uyumlu Olması

Epsan, kişisel veri sahibini bilgilendirme yükümlülüğünün yerine getirebilmesi için toplanan kişisel verilerin hangi amaçla toplandığı hususunda adayları bilgilendirir. Toplanan kişisel verilerin, aday tarafından başvurulan pozisyon dışında başka bir pozisyon ya da amaç için kullanılması veya paylaşılması öngörülüyorsa, bu kullanım ve paylaşım amaçları açıkça belirtilir.

İşe alım sürecinde kişisel verilerin toplanması için yöneltilen sorular ile kişisel veri toplamak amacıyla hazırlanan formlar her açık pozisyon türüne göre değerlendirilir ve gereksiz kişisel veri toplanmasının önüne geçecek önlemler alınır (örneğin; adayların adı, soyadı, adresi, doğum tarihi, e-posta adresi, iş deneyimi ve eğitimi hakkında sorular sorulabilir). Çalışanlardan toplanan bazı kişisel veriler, adayın işe alımı onaylanmadan istenmemelidir (örneğin; banka hesap bilgileri).

Adayın başvurduğu işin niteliğine göre daha kapsamlı kişisel veri toplanması gerekli olabilir. Ancak, söz konusu kişisel veriler işin niteliğine uygun olmalıdır. İşin niteliği gereği talep edilen kişisel veriler sadece ilgili pozisyon için geçerli olmalıdır.

2.1. 3 Özel Nitelikli Kişisel Verilerin İşlenmesi

Çalışan adayların ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı ve ceza mahkumiyeti ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Epsan tarafından, kanuni zorunluluk veya işin niteliği gereği olanlar hariç, işe alım kararı vermek amacıyla özel nitelikli kişisel veriler baz alınarak ayrımcılık yapılamaz veya bu amaçlarla işe alım sürecinde özel nitelikli kişisel veriler işlenemez.

İşin niteliği veya kanuni zorunluluk nedeniyle özel nitelikli kişisel verilerin işlenmesi gerekiyorsa, ancak bu kapsama uygun düşen özel nitelikli kişisel veriler, mümkün olduğunca sınırlı olarak işlenebilir. Böyle bir durumda, işlenecek özel nitelikli kişisel verileri talep etme nedeni ve kullanım amacı hakkında başvuru formuyla veya ayrı bir açıklayıcı not ile aday bilgilendirilir.

Talep edilmesi gereken özel nitelikli kişisel veriler, adaydan ilerleyen aşamalarda toplanabilir nitelikte ise, bu veriler işe alım sürecinin ilk aşamasında istenemez.

2.1. 4 Mülakat Sırasında İzlenmesi Gereken Adımlar

Epsan; adaylar ile video konferans, telefon gibi araçlarla veya yüz yüze mülakat gerçekleştirebilirler.

Epsan mülakatı gerçekleştiren çalışanlarını, mülakat sırasında toplanan kişisel verilerin nasıl kayıt altına alınacağı ve muhafaza edileceği hakkında bilgilendirir.

Görüşmeyi yapan ilgili kişilerin mülakat sırasında kayıt altına aldıkları kişisel veriler hakkında, ilgili aday, kişisel verilerine ilişkin kanuni haklarını kullanmayı talep ederse; bu talep Epsan tarafından en geç 30 gün içerisinde cevaplandırılır. Epsan, görüşmeyi gerçekleştirecek olan çalışanlarını bu konu hakkında bilgilendirir.

Epsan, aday tarafından ileri sürülebilecek kanuni hak kullanım talepleri için gerekli önlemleri alır.

2.2 İşe Alım Öncesi Yapılan Araştırmalarda veya Kontrollerde İzlenmesi Gereken Adımlar

2.2.1 Adayların Sağladığı Kişisel Verilerin Doğruluğunun Kontrolü ve Ek Araştırma Yapılması

İşe alım sürecinde adayların ilettiği kişisel verilerin doğruluğu Epsan tarafından başka kaynaklardan teyit edilebilir. Kontrol sadece aday tarafından iletilen kişisel verilerin doğruluğunu teyit etmek amacıyla yapılır.

Epsan, aday tarafından iletilen kişisel verilerin doğruluğunun kontrol edilmesi durumunda, adayı bu husus hakkında (kontrol edilecek olan kişisel veriler, kullanılacak olan kontrol yöntemi ve kaynaklar hakkında) bilgilendirir ve açık rıza gerektiği takdirde rızasını alır. Ayrıca kontrol sonucu elde edilen bilgi ile iletilen kişisel veri arasında tutarsızlık olması durumunda, adaya durumu açıklama olanağı tanınır.

Ayrıca, bazı özel durumlarda Epsan tarafından aktif bir şekilde aday hakkında ek bilgilerin elde edilmesine ilişkin araştırma yapılabilir. Araştırma yapılması yerine, istenilen bilgilerin mümkün olduğu kadar adaydan alınmasına özen gösterilir.

Aday hakkında araştırma yapılabilmesi için aşağıdaki tüm koşulların mevcudiyeti aranır:

• Kullanılan yöntemler hukuka uygun olmalıdır.
• Araştırılması gereken kişisel verilerin toplanamaması durumunda, ilgili Epsan veya müşterileri ve/veya iş ortakları açısından risk oluşması söz konusu olmalıdır.
• Aynı amaca ulaşmak için daha makul bir alternatif bulunmamalıdır.

 Epsan, hangi pozisyonlar için ek araştırma yapılması gerektiğini yukarıdaki koşullar ışığında önceden belirlemeye özen gösterir.

Epsan iş başvuru formunda veya ek açıklayıcı bilgilendirme notunda, adaylara ilişkin araştırma yapılacağı, araştırmanın kapsamı ve araştırma için kullanılacak olan kaynak çeşitleri hususlarına mümkün olduğunca yer vermeye çalışır. Araştırma sırasında ilgili kaynaklardan bilgi alınabilmesi için adayın hangi kişisel verilerinin paylaşılacağı hakkında da adaya bilgi verilir.

 2.2.2 Araştırmanın Zamanı

Epsan tarafından adaylarla ilgili ek araştırma yapılması gerekli görülüyor ise, adaylara haklarında araştırma yapılacağı hususu işe alım sürecinin ilk aşamalarında bildirilir.

Epsan tarafından başvuruda bulunan kişi hakkında araştırma yapılması söz konusu olduğunda, araştırma işe alım sürecinin mümkün olduğu kadar sonuçlanmasına yakın bir aşamasında yapılır. Ön elemeden geçen adayların tümüne kapsamlı araştırma yapılmaz. Ancak, açık pozisyona seçilme ihtimali yüksek adaylar hakkında kapsamlı araştırma yapılabilir.

2.2.3 Araştırma Yöntemi

Epsan aday hakkında araştırma yaparken kaynakları titizlikle seçer ve bu kapsamda aşağıdaki ilkelere uyar:

• Araştırılan bilginin ilgili kaynaktan talep edilebilmesi için, bilgiyi söz konusu kaynaktan elde etme ihtimali yüksek olmalıdır.
• Adayın ailesi veya yakın çevresine istisnai durumlarda başvurulur.
• Araştırma sonucu elde edilen bilgi, kaynağın güvenilirliğine göre değerlendirilir.
• Hiçbir istihdam kararı güvenilirliği şüpheli olan bir kaynağa dayanmamalıdır.
• Güvenilirliği kesin olmayan kaynaklardan elde edilen bilgilere itimat edilmemelidir.
• Epsan, kendi bünyesindeki ilgili çalışanı veya araştırmayı üstlenecek olan kişileri araştırma yöntemi hakkında bilgilendirir.
• Araştırmanın sonucu adayın aleyhine sonuçlanır ise, söz konusu durum hakkında aday bilgilendirilir.
• Araştırma sırasında adaydan farklı bir kişiye ilişkin kişisel veri elde edilmemesine özen gösterilmelidir.

 2.2.4 Araştırma İçin İzin Alınması

Araştırma sırasında üçüncü bir kişiden bilgi ve belgenin toplanması adayın rızasına bağlı ise Epsan adaydan açık rıza alır.

2.3 Adayların Kişisel Verilerinin Saklanması ve Güvenliği

2.3.1 Adayların Kişisel Verilerinin Güvenliği

İşe alım sürecinde Epsan, çalışanların kişisel verilerinin korunmasına ilişkin gösterdiği özeni aynı şekilde işe başvuran adaylara da gösterir. Bu kapsamda özellikle aşağıdaki önlemler alınır:

• Dijital ortamda alınan başvurular için sistem güvenliği sağlanmaktadır. Elektronik ortamda iletilen başvurular sadece işe alım sürecinden sorumlu olan kişiler tarafından erişilebilen dizin veya sistemlere kaydedilir.
• Posta veya faks aracılığıyla gönderilen başvurular insan kaynaklarından sorumlu yetkili kişiye iletilir. Elde edilen fiziki belgelerin güvenliği sağlanır.

Epsan adayların kişisel verilerine erişimini, işe alım süreçlerini yürütmekle görevli olan kişilerle sınırlar. Söz konusu kişiler, adaylara ait kişisel verilerin işlenmesi ile alınacak güvenlik önlemleri hakkında düzenli aralıklarla bilgilendirilir.

2.3.2 İşe Alım Sürecine ilişkin Kişisel Verilerin Saklanma Süresi

Epsan işe alım sürecine ilişkin kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini engellemek adına her türlü teknik, idari ve hukuki tedbiri alır.

Epsan işe alım sürecine ilişkin adayın kişisel verilerini, bu verilerin işlenme amaçlarına uygun olan bir süre boyunca saklar. İş hukuku ve diğer ilgili düzenlemelere uyumlu olarak, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda (işe alımın gerçekleşmemesi) veya işe alımı gerçekleşmeyen adayın talebi üzerine kişisel veriler, Epsan tarafından silinir, yok edilir veya anonim hale getirilir.

İşe alım sürecinde adayın durumu hakkında araştırma yapılmış veya herhangi bir şekilde üçüncü kişilerden veri temin edilmiş ise, üçüncü kişilerden elde edilen bilgiler en kısa sürede silinir. Epsan araştırma yapılıp yapılmadığını, araştırmanın sonucunu ve adayın işe alınıp alınmadığını belirterek araştırmanın sonuçlarını saklayabilir.

2.3.3 İşe Alınan Adayların Çalışan Kayıtlarına Aktarılması Gereken Kişisel Verileri

Epsan açık pozisyona kabul edilen başarılı adayların özlük dosyalarına, adaylık süreci boyunca elde edilen kişisel verilerden hangi verilerin aktarılacağını özenle belirler. İş ilişkisi ve özlük dosyasının kapsamı gereği gerekli olmayan kişisel veriler yeni çalışanın özlük dosyasına aktarılmaz.

 2.3.4 Başvurusu Kabul Edilmeyen Adayların Kişisel Verileri

Topluluk Şirketlerimiz başarıyla sonuçlanmayan başvuruları ileride açılabilecek pozisyonlar için değerlendirmek isterse, kayıtlarda adayların kişisel verilerini tutabilir. Bu amaçla kişisel veri tutulacaksa; iş başvuru formunda veya ek açıklayıcı belgelerde Epsan adayları bu konuda bilgilendirir ve talep edilmesi durumunda bilgilerin kayıtlardan silinebileceğini belirtir.

3. BÖLÜM – ÇALIŞAN VERİLERİNİN İŞLENMESİ

3.1 Çalışanların Kişisel Verilerinin İşlenmesinde Genel Yaklaşım

 3.1.1 Çalışanların Bilgilendirilmesi ve Kişisel Veri İşleme Şartları

Epsan, çalışanlarını kendileri hakkında işlenen kişisel verilerin hangileri olduğu, kişisel verilerin hangi amaçlarla ve sebeplerle işleneceğini, kişisel verilerin hangi kaynaklardan toplandığını, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirir.

Epsan, işlediği kişisel verileri değerlendirerek, KVK Kanunu’nda yer alan şartlardan en az birisine dayalı olarak bu verileri işler. Bu şartlar;

Çalışanın açık rızasının olması,

• Veri işlemenin ilgili kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık sebebiyle çalışanın açık rızasının alınamaması,
• Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması,
• Epsan’ın hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
• Kişisel verinin kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
• Meşru menfaate dayalı olarak verilerin işlenmesidir.

 Veri işleme faaliyeti, şartlardan birisine veya birden fazlasına dayalı olarak gerçekleştirilebilir.

Açık rıza alınması gereken durumlarda, söz konusu açık rıza alma işlemi, kişisel verilerin işlenmesinden önce tamamlanır.

Epsan, kişisel verilerinin saklanması, kullanılması ve paylaşılmasına ilişkin olarak çalışanların bilgilendirilmesi konusunda, kendilerine özgü şartlara göre en faydalı yöntemi tespit eder ve uygular.

3.1.2 İhtiyaçlar Doğrultusunda Gerektiği Kadar Kişisel Veri Toplanması

Epsan, mutlaka açık ve öngörülebilir bir ihtiyaç üzerine çalışanlardan kişisel veri toplar. Epsan, toplanan verilerin bahsi geçen ihtiyaçları karşılama konusunda elverişli olmasını sağlar.

Yukarıda belirtilen prensibe uyumluluğu sağlamak amacıyla çalışanların kişisel veri girişi yaptığı her türlü form ve girdi yöntemi denetlenir. Bu denetim, mevcut form ve girdi yöntemleri için en kısa sürede; yeni oluşturulacak form ve girdi yöntemleri için bunların kullanılmasına başlanmadan önce tamamlanır. Yapılacak denetim neticesinde gereksiz veri toplanmasını sağlayan kısımlar ilgili form ve girdi yönteminden çıkarılır. Ayrıca bu kısımlar sayesinde elde edilen kişisel veriler derhal silinir, yok edilir ya da anonimleştirilir.

3.1.3 Kişisel Verilerin Güncelliğinin Sağlanması
Epsan, çalışanların kişisel verilerinin güncelliğini sağlamak adına gerekli önlemleri alır. Bu kapsamda özellikle aşağıda hususlara dikkat edilir:

• Çalışanların, değişme ihtimali olan kişisel verileri (adres, telefon, aile/yakın bilgisi vb.) tespit edilir.
• Değişme ihtimali olan kişisel verilerin elektronik ortamda kolayca görülmesine yönelik önlemler alınır.
• Değişme ihtimali olan kişisel verilerin elektronik ortamda herkes tarafından değil; sadece ilgili çalışanın kendisi ve diğer erişim yetkilileri tarafından görülmesi sağlanır.
• Çalışanların değişme ihtimali olan kişisel verileri elektronik ortamda görmesi imkanı bulunmuyorsa; bu kişisel verilerin fiziki ortamda gösterilebilmesi için gereken tedbirler alınır.
• Çalışanların değişme ihtimali olan kişisel verilerini güncel tutmaları sağlanır. Bu kapsamda farkındalık çalışmaları ile ilgili insan kaynakları personeli tarafından aktif takip yapılır. 

Yukarıda açıklanan yöntem haricinde Epsan; kendine özgü koşullara göre çalışanların işlenmekte olan kişisel verilerini güncel tutmak için gerekli önlemleri alır.

3.2 Özel Nitelikli Çalışan Verilerinin İşlenmesi

Kişisel verilerin bir kısmı, KVK Kanunu kapsamında “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır.

Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ilgili veriler ile biyometrik ve genetik verilerdir.

Epsan, sağlık verilerini, çalışanın açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işleyebilir:

• Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, sadece kanunlarda öngörülen hallerde,
• Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar eliyle işleyebilir.

4. BÖLÜM – ÇALIŞANLARIN SAĞLIĞINA İLİŞKİN VERİLER

4.1 Çalışanların Sağlık Verilerinin İşlenmesine İlişkin Genel Yaklaşım 

4.1.1 Sağlık Verilerinin Zorunlu Olmadıkça İşlenmemesi ve Ayrı Saklanması

Sağlık verileri, özel nitelikli kişisel veriler arasında yer almaktadır. Başta çalışanların kaza ve hastalık raporları olmak üzere çalışanların sağlık verileri, diğer kişisel verilerinden ayrı olarak saklanır. Çalışanın işe gelmediği günlere ya da karıştığı kaza ve diğer olaylara ilişkin bilgiler kullanılırken çalışanın sağlık verilerinin kullanılmasından mümkün olduğunca kaçınılır.

4.1.2 Sağlık Verilerinin Belirtilen Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi

Epsan, çalışanlara yapılacak sağlık anketlerinde, sadece gerçekten gereken bilgilerin toplandığından emin olur ve gereksiz bilgi talep edilmemesi hususuna özen gösterir.

Epsan, çalışanlardan tüm sağlık verilerini şirket ile paylaşması için genel bir açık rıza vermesini isteyemez. Epsan, sadece belirtilen amaç için gerçekten gerekli olduğu düşünülen sağlık verilerinin şirketle paylaşılmasını isteyebilir.

4.1.3 Sağlık Verilerini İşleyecek Kişilerin Belirlenmesi

Çalışanların sağlık verilerini işleyecek veya işlemeye yetkilendirecek Epsan çalışanlarının ilgili mevzuat ve oluşturulan gizlilik politikası hakkında bilgi sahibi olması sağlanır. Çalışanın sağlık verileri bu işi yapmaya yetkin kişiler tarafından analiz edilir.

Epsan, çalışanlara sağlık verilerinin hangi amaçlar çerçevesinde kullanıldığını ve bu verilere kimin, ne amaçla eriştiğini anlaşılır bir biçimde bildirmeye özen gösterir.

4.1.4 Sağlık Verilerinin Paylaşımı ve Bu Verilere Erişim

Sağlık verilerinin paylaşımında özel nitelikli kişisel veriler için getirilen yasal yükümlülükler dikkate alınır ve bu yükümlülüklere uygun olarak bu paylaşım işlemleri yürütülür.

Epsan, çalışanların sağlık verileri ile ilgilenen kişilerin yukarıdaki durumlar hakkında bilgilendirilmesini ve eğitilmesini düzenli aralıklarla sağlar.

Epsan, kural olarak çalışanların sağlık verilerini diğer çalışanların erişimine açmaz. Ancak hukuken Epsan’ın meşru menfaatleri gereği bir işin ve bu işle ilgili olarak da bu verilerin işlenmesi zorunlu ise; bu işle görevli olan personelin işin gereğini yerine getirmekle sınırlı olmak kaydıyla bu kişisel verileri işlemeleri için gerekli idari ve teknik tedbirler alıp kendilerine erişim hakkı sağlar.

Yöneticilerin kendi yönetimsel rollerini yerine getirebilmeleri açısından zorunlu olarak bilmeleri gereken sağlık verileri, yöneticilere açıklanabilir. Epsan, ilgili sağlık verilerini paylaşmadan önce bu verilerin hassasiyeti ve KVK Kanunu’ndaki işleme şartları konusunda yöneticilerini bilgilendirir.

4.2 Muayene ve Testlerden Elde Edilen Sağlık Verilerinin İşlenmesi

4.2.1 Sağlık Verilerinin İşlenmesine İlişkin Şirket Politikasının Çalışanlara Bildirilmesi

Epsan, çalışanların sağlık verilerinin işlenmesine ilişkin izlenen politikaların şeffaf olmasına özen gösterir.

Epsan; sağlık testlerinin yapılacağı yerlere, testlerin niteliğine, test sonucu elde edilen verilerin nasıl kullanılacağı ve korunacağına ilişkin şartları belirler. Bu şartlar hakkında çalışanları bilgilendirmeye özen gösterir.

4.2.2 İşe Alınması Muhtemel Olan Adayların Muayene ve Testler Aracılığıyla Sağlık Verilerinin İşlenmesi

Epsan, işe alınması muhtemel olan adayların söz konusu işe uygun olup olmadığına karar vermek için ilgili adaya testler yapılmasını talep edebilir. Bu testleri aynı zamanda herhangi bir kanuni yükümlülüğünü yerine getirmek için veya muhtemel çalışanın tabi olacağı sigorta türünü belirlemek için de yapabilir.

Epsan, muayene ve testlerin hangi amaçlarla yürütüleceğini önceden belirler.

Epsan, amaçlarını da göz önünde bulundurarak kişinin sağlık verilerine daha az müdahil olunabilecek yöntemleri izler.

İşe alım sürecinde tıbbi muayene veya sağlık testi sadece kişinin gerçekten işe alınma ihtimali yüksek ise yapılır.

Epsan, iş başvurusu sürecinin ilk zamanlarında, işe alınma ihtimalinin yüksek olması halinde sağlık muayenesi veya testi yapılabileceğine dair adayı bilgilendirir.

4.2.3 Çalışanların Muayene ve Testler Aracılığıyla Sağlık Verilerinin Toplanması

Epsan, iş sağlığı ve güvenliği programı kapsamında tıbbi muayene ve testler aracılığıyla çalışanlara ait sağlık verilerini toplayabilir. Yasal mevzuata göre zorunlu muayene ve testler dışında kalan muayene ve testlere katılmak, çalışanın kendi seçimine bırakılır.

Epsan, muayene ve testlerin hangi amaçlarla yürütüleceğini önceden belirler.

Epsan, amaçlarını da göz önünde bulundurarak kişinin sağlık verilerine daha az müdahil olunabilecek yöntemleri izler. Örneğin, çalışanın sağlık verilerini öğrenmek için muayene sonuçlarına bakmak yerine sağlık anketi yapabilir.

4.2.4 Muayeneden Elde Edilen Numunelerin Belirtilen İşleme Amacı Dışında Kullanılmaması

Epsan, sağlık kontrollerinin ve testlerin hangi amaçla gerçekleştirildiği konusunda çalışanları açıkça bilgilendirir.

Epsan hiçbir şekilde çalışandan gizli bir şekilde ona ait biyometrik/genetik numunelerini (parmak izi, saç teli vs.) toplayamaz. Kanuni sebeplere dayalı olarak gerçekleştirilen faaliyetler istisna oluşturur.

5. BÖLÜM – ÇALIŞAN VERİLERİNİN EPSAN TARAFINDAN İŞLENMESİ

Epsan, aşağıda belirtilen amaçlarla çalışan kişisel verilerini temin etmekte ve işlemektedir:

• Epsan çalışanlarının performans değerlendirme kriterlerinin belirlenmesi ve takibi süreçlerine destek olunması,
• Epsan’ın yabancı çalışanlarının çalışma/oturma izni başvuru süreçlerine destek olunması,
• Epsan’ın çalışanlarına sağlanan yan hakların ve menfaatlerin planlanması ve takibi süreçlerine destek olunması,
• Epsan çalışanlarının ücret yönetimi ve prim süreçlerinin planlanması ve icrası
• Epsan’ın, Toplu İş Sözleşmesi süreçlerine destek olunması,
• Epsan’ın stratejik insan kaynaklarının planlanması, yedekleme süreçleri ve organizasyonel gelişim faaliyetleri konusunda destek olunması,
• Epsan’ın üst düzey yöneticilerinin atama, terfi ve işten ayrılma kararlarının uygulanması ve ilgili duyuruların yapılması,
• Epsan’ın üst düzey yöneticilerinin ücret ve prim paketlerinin belirlenmesi konusunda destek olunması,
• Epsan’ın çalışan bağlılığının ölçümlenmesi süreçlerinin planlanması ve yürütülmesine destek olunması,
• Epsan çalışanlarının kariyer gelişimi, eğitim ve yetenek yönetimi faaliyetlerinin planlanması ve icrası süreçlerine destek olunması,
• Epsan işe alım süreçlerine destek olunması,
• Epsan’ın şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,
• Epsan’ın tabi oldukları mevzuata uyum konusunda destek olunması,
• Epsan’ın itibarının korunmasına yönelik çalışmaların, sürdürülebilirlik ve sosyal sorumluluk çalışmalarının yürütülmesi,
• Epsan genelinde etkinlikler düzenlenmesi,
• Epsan’ın çalışanlarına yönelik iletişim, haberleşme faaliyetlerinin yürütülmesi, çalışan memnuniyeti ve bağlılığının sağlanması süreçlerinin yürütülmesi.

Epsan, çalışan kişisel verilerinin bahsi geçen amaçlarla işlenmek üzere Epsan yönetiminin sahip olduğu diğer şirketlerine aktarımına ilişkin olarak çalışanlara KVK Kanunu ve ilgili mevzuat kapsamında öngörülen bilgilendirmeleri yapacak ve gerekmesi halinde ilgili açık rızaları temin edecektir.

6. BÖLÜM – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENDİĞİ ÖZEL DURUMLAR

6.1 Yan Haklar ve Menfaatlerin Sağlandığı Durumlarda Çalışanların Kişisel Verilerinin İşlenmesi

Özel sağlık sigortası, hayat sigortası, ferdi kaza sigortası, şirket aracı, bireysel emeklilik, esnek yan fayda programı ya da benzeri faydalar bu başlık altında yan haklar ve menfaatler olarak adlandırılır.

Epsan, çalışanların kişisel verilerinin çalışanlara yan haklar ve menfaatler sağlamak için hizmet alınan üçüncü kişilerle paylaşılmasında, asgari düzeyde veri paylaşmaya özen gösterir. Bahsi geçen üçüncü kişilerle sadece, ilgili yan hak ve menfaatin sağlanması için zorunlu olan kişisel veriler paylaşılır. Ayrıca, bu kapsamda toplanan kişisel verilerin başka bir amaçla kullanılmaması için gerekli tedbirler alınır.

Hizmet alınan üçüncü kişilerle paylaşılacak kişisel verilerin özel nitelikli kişisel veri olup olmadıkları paylaşımdan önce değerlendirilir.

Hizmet alınan üçüncü kişiler ile yapılacak kişisel veri paylaşımları hakkında Çalışanların bilgilendirilmesi sağlanır. Bu kapsamda, çalışanların hangi kişisel verilerinin paylaşıldığı ve bunların ne amaçla kullanılacağı çalışana açıklanır.

6.2 Fırsat Eşitliğinin Gözetilmesi Kapsamında Çalışanların Kişisel Verilerinin İşlenmesi

Epsan çalışanlar arasında fırsat eşitliğini sağlamak amacıyla gerekli olduğu ölçüde kişisel veri işleyebilir.

Fırsat eşitliğinin sağlanması için işlenen kişisel veriler belirli aralıklarla kontrol edilir. Fırsat eşitliğinin sağlanması amacıyla işlenen kişisel veriler mümkün olan en geniş kapsamda anonimleştirilerek kullanılır.

6.3 Usulsüzlüklerle Mücadele Kapsamında Çalışanların Kişisel Verilerinin İşlenmesi

Epsan, çalışanların usulsüz işlemlerini engellemek adına değişik birimlerde bulunan kişisel veri setlerini karşılaştırabilir.

Usulsüzlüklerle mücadele kapsamında yapılacak kişisel veri seti karşılaştırma işlemleri için kurallar Epsan tarafından belirlenir.

Epsan usulsüz işlemlerin tespiti amacıyla çalışanlarının kişisel verilerini ancak aşağıdaki koşullar veya benzeri koşullardan birinin varlığı halinde paylaşır:

• Hukuken ilgili çalışanın kişisel verilerinin paylaşılmasının zorunlu olması,
• Çalışanın kişisel verilerinin paylaşılmaması halinde bir suçun önlenmesinin ya da tespit edilmesinin mümkün olmayacağına dair güçlü şüphe bulunması,
• İlgili çalışanın iş sözleşmesinde, kişisel verilerinin bu kapsamda paylaşılmasına ilişkin hüküm bulunması.

6.4 Şirket Birleşme ve Devralmaları İle Şirket Yapısını Değiştiren Diğer İşlemlerde Çalışanların Kişisel Verilerinin İşlenmesi

Şirket birleşme ve devralmaları da dahil şirket yapısını değiştiren tüm işlemler bu bölüm altında değerlendirilmektedir.

6.4.1 Şirket Yapısı Değişikliği İçin Çalışanların Kişisel Verilerinin Paylaşılması

Epsan, şirket yapısı değişikliği amacıyla çalışanların kişisel verilerini paylaşma gereksinimi duyduklarında; öncelikle bu kişisel verilerin mümkün olduğu ölçüde anonimleştirilerek paylaşılmasını sağlar.

Anonimleştirilerek paylaşılması mümkün olmayan çalışan kişisel verileri için karşı taraftan sadece şirket yapısı değişikliği ile ilgili işlemleriyle sınırlı olarak bu kişisel verileri kullanacağı, kişisel verilerin KVK Kanunu’nun veri güvenliği hükümleri uyarınca korunacağı ve KVK Kanunu’nun ilgili hükümlerine uygun olarak işleneceği, kişisel verilerin üçüncü kişilere aktarılmayacağı ve ilgili işlemler tamamlandıktan sonra kişisel verilerin silineceği veya yok edileceğini konularında taahhüt alınır.

6.4.2 Bilgilendirme Yapılması

Bilgilendirmenin ilgili Epsan menfaatlerine olumsuz herhangi bir etkisi olmayacak ise (örneğin şirket birleşmesi işlemi çerçevesinde kişisel verilerinin paylaşıldığını öğrenen çalışanın bu bilgiyi kullanarak şirket hisse fiyatlarına etki etmesi gibi), çalışanlara hangi kişisel verilerinin ne amaçla paylaşıldığına ve kullanılacağına ilişkin bilgilendirme yapılır.

Çalışanlar, ayrıca, hangi kişisel verilerinin şirket yapısı değişikliği sonucu yeni işverenlerine aktarılacağı konusunda bilgilendirilir. 

6.5 Disiplin Soruşturmalarında Çalışanların Kişisel Verilerinin İşlenmesi

Epsan, disiplin soruşturmaları sırasında da çalışanların kişisel verilerinin korunmasına ilişkin yükümlülüklere aynen uymak zorundadırlar. Bu kapsamda özelikle aşağıdaki aksiyonlar alınır:

• Disiplin soruşturmalarına ilişkin politika ve prosedürlerin kişisel verilerin korunmasına ilişkin yükümlülüklerle uyumlu hale getirilmesi,
• Disiplin soruşturmaları kapsamına giren kişisel verilere de çalışanların kişisel verilerine erişme hakkı kapsamında erişilebileceği konusunda disiplin soruşturmaları yapmaya yetkili kişilerin bilgilendirilmesi,
• Disiplin soruşturmaları sırasında hukuka aykırı yöntemlerle kişisel veri elde edilmemesini sağlayacak önlemlerin alınması,
• Disiplin soruşturmaları sırasında kullanılacak olan kişisel verilerin doğru ve güncel olmasına dikkat edilmesi,
• Disiplin soruşturmasına ilişkin kişisel verilerin ve kayıtların güvenli şekilde saklanması,
• Çalışanlar hakkındaki asılsız iddiaların, eğer bunların silinmemesi için herhangi bir hukuki sebep bulunmuyorsa, çalışanların dosyalarından silinmesinin sağlanması.

Epsan, çalışanların kişisel verilerine sadece disiplin soruşturmasının varlığı sebebiyle keyfi olarak erişilmesine engel olurlar. Bu kapsamda kişisel verilerin elde edilme amaçlarına uygun düşmüyorsa veya soruşturma konusunun ciddiyetine göre kişisel verilere erişmek orantısız bir işlem olarak değerlendiriliyorsa salt disiplin soruşturması nedeniyle çalışanların kişisel verilerine erişilemez. Soruşturmayı yürütenler, çalışanların kişisel verilerine erişme yetkileri konusunda her soruşturma süreci öncesinde bilgilendirilir.

6.6 Çalışanların İş Faaliyetleriyle Bağlantılı Gerçekleştirdiği Elektronik Haberleşme İşlemlerine İlişkin Kişisel Verilerin İşlenmesi

6.6.1 Elektronik Haberleşme Araçlarının Kullanımına İlişkin Politika Belirlenmesi

Epsan tarafından çalışanlara sunulan telefon, faks, e-posta, laptop, internet ve benzeri elektronik haberleşme araç ve vasıtalarının denetlenmesi söz konusu ise, bu elektronik haberleşme araç ve vasıtalarının kullanımına ilişkin politika belirlenerek çalışanların bilgisine sunulur. Bu politika içerisinde, çalışanların belirlenen kurallara aykırı davranması halinde uygulanacak yaptırımlara da yer verilir.

Elektronik haberleşme araçlarının kullanımına ilişkin mevcut politikalar var ise, bu politikaların kişisel verilerin korunması mevzuatı ile diğer ilgili mevzuata uyumluluğu değerlendirilir; politikalar kişisel verilerin korunması mevzuatına uyumlu olacak şekilde revize edilir.

Epsan elektronik haberleşme araçlarının şahsi kullanımı konusunda kendi politikalarını belirler.

Elektronik haberleşme araçlarının şahsi amaçlarla kullanıma izin verilmesi halinde, izin verilen şahsi kullanım sınırları belirlenir ve çalışana bu sınırlar bildirilir.

Çalışanların, işle ilgili haberleşme içeriklerinin her zaman denetlenebileceğinin farkında olmaları ve bu konuda bilgilendirilmeleri önem taşır.

6.6.2 Kurumsal Elektronik Posta Kullanımına İlişkin Kişisel Verilerinin İşlenmesi

Epsan, çalışanların kurumsal e-postalarının kullanımına yönelik faaliyetleriyle alakalı kişisel verilerini işleyebilir. Bu kişisel veri işleme faaliyetlerinin kapsamı ve amacı konusunda çalışanların açık bir şekilde bilgilendirilmesi esastır. Buna ilaveten bu kişisel veri işleme faaliyetlerinin hukuki niteliği ve kapsamı konusunda mutlaka hukuki değerlendirme yapılır.

6.6.3 İnternet Kullanımına İlişkin Kişisel Verilerin İşlenmesi

Epsan, işyerindeki internet kullanımına ilişkin sınırlamalar getirebilir ve bu sınırlamalara uyulup uyulmadığını denetleyebilir.

İnternet kullanımına ilişkin kişisel verilerin işlenmesinde, Epsan bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetleri hakkında çalışanlarını açık bir şekilde bilgilendirir.

Hukuki bir yükümlülüğün yerine getirilmesi için internet kullanımının izlenmesi gerekmekte ise veya ilgili veri işleme KVK Kanunu’nda belirtilen şartlardan bir başkasını karşılıyor ise, çalışanlardan ayrıca açık rıza alınması gerekmez. Ancak bu kişisel verilerin KVK Kanunu’nda belirtilen kişisel veri sahibinin rızasına tabi olmayan kişisel veri işleme şartlarına dayalı amaçlar dışında işlenmesi durumunda ayrıca çalışandan açık rıza alınır.

6.6.4 Elektronik Haberleşme İşlemlerine İlişkin İşlenen Kişisel Verilerin Saklama Süresi

Epsan, çalışanların iş faaliyetleriyle bağlantılı gerçekleştirdiği elektronik haberleşme işlemlerine ilişkin kişisel verilerinden hangilerinin saklanacağı ve bu bilgilerin saklanma süresine ilişkin prosedürlerini belirler. Mevzuattan kaynaklanan başka bir yükümlülük mevcut değilse, bu Politika’da belirtilen amaçlarla işlenen kişisel veriler, iş sözleşmesi süresi boyunca ve sözleşmenin bitiminden itibaren gerçekleştirilen faaliyetin niteliğine göre ortaya çıkabilecek hukuki uyuşmazlığın gerektirdiği zamanaşımı süresi boyunca saklanabilir. Bu verilerin saklanmasına izin veren hukuki düzenlemeler dikkate alınarak verilerin saklanma süresi gözden geçirilir. Bu süre istisnai durumların varlığı halinde uzatılabilir. Sürenin uzatılması halinde çalışanlar süre uzatımına, gerekçeye ve saklanan kişisel veri tiplerine ilişkin bilgilendirilir.

6.7 İş Yerinde Güvenlik Kamerası Uygulaması

Epsan, işyerlerinin güvenliğini sağlamak amacıyla çeşitli noktalara güvenlik kameraları yerleştirebilmektedir. Bu güvenlik kameralarının görüntü alanlarının tüm işyerini değil; sadece özel risk taşıyan alanları, giriş – çıkış ve benzeri alanları kapsamasına özen gösterilir.

Epsan, çalışanları güvenlik kamerası ile çekim yapılan, güvenlik kameraları ile izlenen alanlar ve izlemenin amaçları hakkında bilgilendirmeye özen gösterir.

6.8 Şirket Tarafından Sağlanan Araçların Takibi

Epsan tarafından çalışanlara araç tahsis edildiği durumlarda; tahsis edilen araçların kat edilen mesafenin belirlenmesi, akaryakıt kullanımı ölçümü, konum verisinin alınması ve benzeri amaçlarla takibi yapılabilir. Bu takip ile ilgili çalışanlar önceden bilgilendirilir.

 

7. BÖLÜM – ÇALIŞANLARIN KENDİLERİ HAKKINDA TOPLANAN KİŞİSEL VERİLERE İLİŞKİN KANUNİ HAKLARI

7.1 Çalışanların Kanuni Hakları

Çalışanlarımız aşağıda yer alan haklara sahiptirler:

• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

7.2 Çalışanların Kanuni Haklarını Kullanmalarına ilişkin Esaslar

Epsan, çalışanların kanuni haklarını kullanabilmelerini, gerekli başvuruların yapılabilmesini ve yapacakları başvurulara en geç 30 gün içerisinde cevap verilmesini sağlayacak her türlü idari, hukuki ve teknik önlemleri alır ve ilgili süreçleri tasarlayarak bu konuda çalışanları bilgilendirirler.

Epsan tarafından kanuni haklarını kullanan çalışanlara verilecek cevaplarda üçüncü kişilerin kişisel verilerinin ifşa edilmemesi için gereken her türlü özen gösterilir.

8. BÖLÜM – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI

8.1 Kişisel Veri Paylaşımına İlişkin Genel Kurallar

Epsan, çalışanların kişisel verilerinin paylaşımına ilişkin iç prosedürlerini belirler. Veri paylaşım taleplerinin bu konuda yetkin çalışanlarca cevaplanması sağlanır.

Şirket dışından gelen veri paylaşım taleplerinin (adli makamlar, idari makamlar, sigorta şirketi talepleri gibi) gerçekliği ve doğruluğunun teyidi konusunda gerekli önlemler alınır. Şirket dışından gelen veri paylaşım taleplerinin yazılı olarak gerçekleştirilmesi esastır.

Çalışanların kişisel verilerinin gelen talep üzerine yurtdışına gönderilmesi halinde kişisel verilerin yurtdışına aktarılmasına ilişkin her türlü idari, hukuki ve teknik önlem alınır.

Çalışanların kişisel verilerinin paylaşılması hukuki bir yükümlülük teşkil ediyorsa, yalnızca bu hukuki yükümlülüğün kapsamına uygun şekilde kişisel veri paylaşımı yapılabilir.

Uluslararası veri aktarımı ve özel nitelikli kişisel verilerin aktarımına ilişkin kanuni şartlar saklı kalmak kaydıyla; çalışanların kişisel verileri ancak aşağıdaki şartlardan birisinin varlığı halinde üçüncü kişilere aktarılabilir:

• Veri sahibinin açık rızasının olması,
• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaysa veya rızasına hukuki geçerlilik tanınmıyorsa;
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
• Hukuki bir yükümlülüğün yerine getirilmesi için kişisel veri aktarımı zorunlu ise,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Epsan’ın meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

8.2 Kişisel Veri Paylaşımına ilişkin Bilgilendirme ve Kayıt Tutma

Çalışanların kişisel verilerinin üçüncü kişilerle paylaşılması halinde verilerin paylaşılmasından önce, veri paylaşımının KVK Kanunu’nda yer alan şartlardan birisine dayalı olması aranır.

Çalışanların, daha önce bilgilendirilmemiş ise, en geç paylaşım anında bu paylaşım ile ilgili olarak bilgilendirilmesi sağlanır. Ancak bu bilgilendirme hukuka aykırılık yaratıyorsa veya yetkili makamların yapacağı bir soruşturma hakkında önceden uyarı niteliği taşıyorsa ilgili çalışan konuya ilişkin bilgilendirilmez.

Rutin olarak gerçekleştirilmeyen çalışanların kişisel verilerinin şirket dışı paylaşım talepleri ve bu kapsamda yapılan paylaşımlar Epsan tarafından kayıt altına alınabilir. Bu kapsamda asgari olarak paylaşıma onay veren kişi, paylaşım talebinde bulunan kişi, paylaşım gerekçesi, paylaşım tarih ve saati ile paylaşılan veri tipleri kayıt altına alınır. Bu kayıtların düzenli olarak kontrol edilmesi ve incelenmesi sağlanır.

8.3 Kişisel Verilerin Yayınlanması

Topluluk Şirketlerimiz, çalışanların kişisel verilerini ancak aşağıdaki şartlara dikkat ederek yayınlayabilirler:

• Kişisel verilerin yayınlanması için hukuki bir hak veya yükümlülük bulunması veya çalışanın yayınlama için açık rıza vermiş olması,
• Kişisel verilerin açıkça elverişsiz olmaması.

Epsan, kişisel verilerin yayınlanması neticesinde elde edilecek faydalar ile çalışanların gizliliğinin korunacağına ilişkin beklentileri dengeleyici bir yaklaşım ile hareket ederler.

Yıllık raporlar, yayınlar ya da internet siteleri gibi mecralarda bazı çalışanların isimlerinin ve diğer kişisel verilerin yayınlanması halinde, bu durumlar özel olarak değerlendirilir ve açık rıza alınması gereksinimi olup olmadığı belirlenir. Açık rıza alınması gerektiğine kanaat getirilmesi halinde ilgili çalışanların açık rızası kişisel verilerin yayınlanmasından önce alınır. Açık rıza alınması sırasında paylaşılacak kişisel veri tipleri tek tek çalışana bildirilir.

9. BÖLÜM – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN SAKLANMA SÜRESİ

Epsan, çalışanların kişisel verilerini işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

10. BÖLÜM – KİŞİSEL VERİLERİN İŞLENMESİ KONUSUNDA DIŞ HİZMET SAĞLAYICI KULLANIMI

Epsan, çalışanların kişisel verilerinin işlenmesi konusunda dış hizmet sağlayıcılar kullanabilirler. Ancak Epsan dış hizmet sağlayıcılar konusunda aşağıdaki önlemleri almak zorundadır:

• Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarının kontrol edilmesi,
• Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarını belirli aralıklarla denetlenmesi,
• Dış hizmet sağlayıcı ile gerekli teknik ve idari güvenlik önlemlerinin alınmasına yönelik şartlar da içeren sözleşme yapılması,
• Kişisel verilerin yurtdışındaki dış hizmet sağlayıcılarına gönderilmesi halinde gerekli hukuki, idari ve teknik önlemlerin alınması.

11. BÖLÜM – KİŞİSEL VERİLERİN GÜVENLİĞİ

Çalışan verilerinin güvenliğini sağlamak için Epsan gereken tüm makul önlemleri alır. Alınan önlemler yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanır.

Epsan, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme faaliyetleri için şirket içinde sorumlu çalışanlar tayin eder. Çalışanların bu kapsamda kişisel veri işleme faaliyetinden sorumlu olacak ve bu işleme neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulur. Bu kapsamda Epsan, mevcut durumda bu verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırır veya sınırlar. Çalışanların kişisel verilerine sadece erişim ile yetkili olan kişilerin erişmesini sağlamak adına gereken fiziki güvenlik önlemleri alınır. Bu kapsamda ayrıca erişim yetkili kişilerin gereksiz yere geniş yetki sahibi olması engellenir.

Bilgi sistemleri üzerinde kimlerin çalışanların kişisel verilerine eriştiğinin tespit edilmesini sağlayacak denetim izi gibi önlemler alınır. Bu kapsamda oluşturulacak erişim kayıtları düzenli olarak kontrol edilir ve yetkisiz erişimlere yönelik soruşturma mekanizmaları oluşturulur.

Çalışanların kişisel verilerine erişimi olan diğer çalışanların gerekli güvenlik kontrollerinden geçirilmeleri esastır. Bunun yanında bu kişilerin gerekli korumaları sağlayan gizlilik sözleşmesi/taahhütnamesi imzalaması veya iş sözleşmelerinde bu kapsamda hükümlere yer verilmesi ve bu kişilerin sorumlulukları hakkında sürekli olarak eğitilmesi sağlanır.

Çalışanlara ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanır.

12. BÖLÜM – ÇALIŞANLARIN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ

Bu bölüm altında çalışanların Epsan’ın faaliyetlerinin yürütülmesi esnasında gerçekleştirdikleri işlemler özelinde, hangi kişisel verilerinin işlenebileceğine ilişkin (iletişim, araç kullanımı vb.) hususlar ile bu konuda Epsan tarafından uyulması gereken esaslar detaylandırılmaktadır.

12.1 Çalışanların Hangi Amaçlarla Hangi İş Faaliyetleri Özelinde Kişisel Verilerinin İşleneceğinin Belirlenmesi

Epsan, çalışanların hangi iş faaliyetleri özelinde ve hangi amaçlarla kişisel verilerini işlediklerini (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile izleme gibi) tespit eder ve kişisel verilerin işlenme amaçları ile sağlanmak istenen sonuca uygun olacak kişisel veri işleme yöntemlerini belirlerler.

Epsan kendi bünyesinde gerçekleştireceği değerlendirme sonucu, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme amaçlarının veya yöntemlerinin kişisel verilerin korunması kurallarına uygunluğunu sağlar.

Epsan, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme faaliyetlerinde görevli çalışanlarını kişisel verilerin korunması ve konuya ilişkin diğer mevzuat, ilgili mevzuat kapsamında dikkat edilmesi gereken hususlar ve ilgili mevzuattan kaynaklanan yükümlülükleri konusunda bilgilendirir. Bu faaliyetler neticesinde elde edilen kişisel verilere erişimi olan çalışanlar ile yapılan sözleşmelere ilave gizlilik ve güvenlik yükümlülükleri eklenir veya bu kişiler tarafından gizlilik politikaları/taahhütnameleri imzalanması sağlanır.

12.2 Çalışanların İş Faaliyetlerine ilişkin ilgili Epsan’ın Kişisel Veri İşleme Faaliyetleri Hakkında Bilgilendirilmesi

Epsan, çalışanları; işle ilgili gerçekleştirmiş olduğu faaliyetleri kapsamında ne şekilde bir kişisel veri işleme faaliyetinde bulundukları (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile izleme gibi), bu kişisel verilerin işlenme amaçları ve prosedürleri hakkında bilgilendirir.

Epsan; iş saatleri içerisinde iş ve işyeri kurallarına uygun davranılıp davranılmadığının ve çalışanın görevlerini gereği gibi yerine getirip getirmediğinin tespiti ve işyeri ortamında huzur ve düzeni bozacak hareketler yapılıp yapılmadığının takibi ve benzeri amaçlarla çalışanın kişisel verilerini işlemekteyse ilgili çalışanları açıkça ve detaylı olarak bilgilendirmesi gerekir.

Çalışanların kendi iş faaliyetleriyle ilgili işvereni tarafından hangi kişisel veri işleme faaliyetleri yürüttüğünden haberdar edilmeleri ve farkındalık oluşması için Epsan nezdinde, çalışma ortamının doğasına uygun olarak uyarılar yerleştirilir.

12.3 Çalışanların İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Kişisel Verilerin Başka Amaçlarla Kullanılması

Çalışanların iş faaliyetleriyle ilişkili işlenen kişisel verileri, KVK Kanunu’nun 5. maddesinde belirtilen şartlara ve 4. maddesinde öngörülen kişisel verilerin işlenmesi ilkelerine uygun olarak, hukuka uygun başka amaçlar için de işlenebilir. Bu amaçların neler olduğu konusunda da çalışanlar, uygun usullerle Epsan tarafından bilgilendirilir.

12.4 Çalışanların İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Bilgilere Karşı Çalışanlar’a Savunma Hakkı Verilmesi

Çalışanların iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden bir çalışan aleyhinde şikayet prosedürü veya disiplin süreci başlatılmadan önce, çalışanlara elde edilmiş verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı verilir.

13. BÖLÜM – KİŞİSEL VERİLERİN KATEGORİZASYONU

İşbu Politika kapsamında, www.epsan.com / /kisisel-verilerin-korunmasi adresinde yer alan Epsan Plastik Sanayi ve Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilen kişisel veri kategorizasyonlarına ek olarak çalışanların aşağıda belirtilen kategorilerdeki kişisel verileri işlenmektedir.

KİŞİSEL VERİ KATEGORİZASYONU	EPSAN ÇALIŞANLARI KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA
Çalışan Bilgisi	Çalışanların istihdamları süresince Şirketin ve çalışanların ticari ve hukuki güvenliğinin sağlanması amacıyla yürütülen faaliyetler kapsamında işlenen kişisel veriler( araç bilgisi, eğitim bilgisi, medeni durum bilgisi, referans bilgisi dahil).
Çalışan Adayı Bilgisi	Çalışan adaylarının işe alım süreçlerinde uygun pozisyon için değerlendirilebilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri (askerlik durum bilgisi, eğitim bilgisi, referans bilgisi dahil).
Performans ve Kariyer Gelişim Bilgisi	Epsan çalışanlarının performanslarının ölçülmesi ile kariyer gelişimlerinin Şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi ve söz konusu faaliyetlerin denetimi amacıyla işlenen kişisel veriler.
Yan Hak ve Menfaat Bilgisi	Çalışanlara sunulan yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin sağlanması ile çalışan memnuniyeti ve bağlılığı amacıyla yürütülen faaliyetler kapsamında işlenen kişisel veriler (sigorta bilgisi dahil).
Özlük Bilgisi	Epsan ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik ve Topluluk insan kaynakları politikalarının oluşturulması, iyileştirilmesi, icrası ve bu faaliyetlerin denetimi kapsamında işlenen her türlü kişisel veri

EPSAN PLASTİK SANAYİ VE TİCARET A.Ş. (“Şirket” olarak anılacaktır) olarak, çevrimiçi mecralarımızı ziyaretleriniz sırasında sizlerin deneyiminizi geliştirmek için çerezler, pikseller, gifler gibi bazı teknolojilerden (“çerezler”) faydalanmaktayız. Bu teknolojilerin kullanımı başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) olmak üzere tabi olduğumuz mevzuata uygun şekilde gerçekleştirilmektedir.

İşbu Çerez Aydınlatma metninin amacı, tarafımızca işletilmekte olan www.epsan.com internet sitesinin (“Site”) işletilmesi sırasında Site ziyaretçileri (“Veri Sahibi”) tarafından çerezlerin kullanımı ile elde edilen kişisel verilerin işlenmesine ilişkin olarak sizlere bilgi vermektir. İşbu metinde sitemizde hangi amaçlarla hangi tür çerezleri kullandığımızı ve bu çerezleri nasıl kontrol edebileceğinizi sizlere açıklamak istiyoruz.

EPSAN PLASTİK SANAYİ VE TİCARET A.Ş. olarak sitemizde kullandığımız çerezleri kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını değiştirebilir veya sitemize yeni çerezler ekleyebiliriz. Dolayısıyla iş bu aydınlatma metninin hükümlerini dilediğimiz zaman değiştirme hakkını saklı tutarız. Güncel aydınlatma metni üzerinde gerçekleştirilmiş olan her türlü değişiklik sitede veya herhangi bir kamuya açık mecrada yayınlanmakla birlikte yürürlük kazanacaktır. Son güncelleme tarihini sayfa sonunda bulabilirsiniz.

Kişisel verilerinizin EPSAN PLASTİK SANAYİ VE TİCARET A.Ş. tarafından işlenme hakkında daha detaylı bilgi için www.epsan.com/KVKK adresinde yer alan EPSAN PLASTİK SANAYİ VE TİCARET A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası’nı okumanızı tavsiye ederiz.

Çerez Nedir?

Çerezler, bilgisayarınız ya da mobil cihazınız üzerinden ziyaret ettiğiniz internet siteleri tarafından cihazınıza veya ağ sunucusuna depolanan küçük metin dosyalarıdır.

Çerezlerde Hangi Tür Veriler İşlenir?

İnternet sitelerinde yer alan çerezlerde, türüne bağlı olarak, siteyi ziyaret ettiğiniz cihazdaki tarama ve kullanım tercihlerinize ilişkin veriler toplanmaktadır. Bu veriler, eriştiğiniz sayfalar, incelediğiniz hizmet ve ürünler, tercih ettiğiniz dil seçeneği ve diğer tercihlerinize dair bilgileri kapsamaktadır.

Çerezler Hangi Amaçlarla Kullanılmaktadır?

Sitede tercih ettiğiniz dil ve diğer ayarları içeren bu küçük metin dosyaları, siteye bir sonraki ziyaretinizde tercihlerinizin hatırlanmasına ve sitedeki deneyiminizi iyileştirmek için hizmetlerimizde geliştirmeler yapmamıza yardımcı olur. Böylece bir sonraki ziyaretinizde daha iyi ve kişiselleştirilmiş bir kullanım deneyimi yaşayabilirsiniz.

İnternet sitemizde çerez kullanımının başlıca amaçları ise şöyledir:

• İnternet sitesinin performansını arttırmak

• Site üzerinden sizlere sunulan hizmetleri geliştirmek ve kolaylaştırmak,

• Site üzerinden yeni özellikler sunmak ve özellikleri tercihlerinize göre kişiselleştirmek
• Sizin ve şirketimizin hukuki ve ticari güvenliğini sağlamak
• 5651 sayılı Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve Internet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik'ten kaynaklananlar başta olmak üzere, kanuni ve sözleşmesel yükümlülüklerini yerine getirmek.

Çerez Türleri:

Saklandığı Süre Bakımından Çerez Türleri:

Oturum Çerezleri:

Oturum çerezlerini ziyaretinizi süresince internet sitesinin düzgün bir şekilde çalışmasını sağlamaktadır. Sitelerimizin ve sizin, ziyaretinizde güvenliğini, sürekliliğini sağlamak gibi amaçlarla kullanılırlar. Oturum çerezleri geçici çerezlerdir, siz tarayıcınızı kapatıp sitemize tekrar geldiğinizde silinir, kalıcı değillerdir.

Kalıcı Çerezler:

Bu çerezler bilgileriniz ve seçimlerinizin bir sonraki ziyaretinizde internet sitemiz tarafından hatırlanmasına yardımcı olurlar. Kalıcı çerezler, sitemizi ziyaret ettiğiniz tarayıcınızı kapattıktan veya bilgisayarınızı yeniden başlattıktan sonra bile saklı kalır. Tarayıcınızın ayarlarından silinene kadar bu çerezler tarayıcınızın alt klasörlerinde tutulurlar.

Kullanım Bakımından Çerez Türleri:

Birinci ve Üçüncü Kişi Çerezler:

Birinci kişi çerezler sitemiz tarafından kullanılan çerezlerdir. Üçüncü kişi çerezler ise sitemiz haricinde bilgisayarınıza kurulan çerezlerdir. İnternet sitemizde hem birinci hem de üçüncü taraf kişi çerezleri kullanılmaktadır.

İnternet sitemizi ziyaret etmeniz dolayısıyla elde edilen verileriniz, kişisel verilerinizin işlenme amaçları doğrultusunda, iş ortaklarımıza, tedarikçilerimize kanunen yetkili kamu kurumlarına ve özel kişilere KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde paylaşılabilecektir.

İşlev Çerezleri:

İşlev Çerezleri internet sitesindeki ziyaretinizi kolaylaştırmak ve site üzerindeki deneyiminizi geliştirmek için kullanılan çerezlerdir. Bu çerezler internet sitesine yaptığınız bir önceki ziyareti hatırlayarak içeriklere rahatça erişmenizi sağlar.

Analitik Çerezler:

Analitik Çerezler, hangi sayfalarımızın daha fazla ilgi çektiğini, hangi kaynakların daha çok görüntülendiğini görmemize yarayan, sitelerimizdeki trafiği görerek bu trafiğe uygun hizmet sağlamamızı sağlayan veriler içerir. Bu nitelikte kullanılan çerezler bilgiyi anonim olarak depolar.

Sitelerimizin kullandığı zorunlu ve birinci parti olanlar haricinde kullanılan çerezler aşağıdaki gibidir:

Google Analytics:

Google Analytics kullanıcıların internet sitesini nasıl kullandığını analiz eden bir web analiz aracıdır. Anonim olan bilgilerin yanı sıra internet sitesi kullanımınızla ilgili kişisel veri niteliğindeki bilgiler (İsim, adres, telefon numarası, e-mail adresi, IP adresi) tarayıcınız tarafından Google’a gönderilir ve Google tarafından kaydedilir.

Çerezlerin Kullanılmasını Nasıl Engelleyebilirsiniz?

Çoğu tarayıcı çerezleri otomatik olarak kabul eder. Ancak dilerseniz çerezleri tarayıcınızın ayarlarını değiştirerek reddedebilirsiniz. Çerezleri reddettiğiniz takdirde sitemizdeki bazı özelliklerin ve hizmetlerin düzgün çalışamayabileceğini, sitemizin kişiselleştirilemeyebileceğini ve sizin deneyiminize göre özelleştirilemeyeceğini lütfen unutmayınız.

Tarayıcınızın ayarlarını değiştirerek çerezlere ilişkin tercihlerinizi kişiselleştirme imkanına sahipsiniz. Tarayıcı üreticileri, kendi ürünlerinde çerezlerin yönetimi ile ilgili yardım sayfaları sunmaktadır. Daha fazla bilgi için lütfen tıklayınız:

Google Chrome:

https://support.google.com/chrome/answer/95647?hl=tr

Mozilla Firefox:

https://support.mozilla.org/tr/kb/%C3%87erezleri%20engellemek

Internet Explorer:

https://support.microsoft.com/tr-tr/help/17442/windows-internet-explorer-delete-manage-cookies

Opera:

https://www.opera.com/tr/help

Opera Mobil:

https://www.opera.com/tr/help/mobile/android

Safari Bilgisayar:

https://support.apple.com/kb/PH19214?locale=tr_TR&viewlocale=tr_TR

Safari Mobil:

https://support.apple.com/tr-tr/HT201265

www.epsan.com (İnternet Sitesi)

Epsan Plastik San. Ve Tic. A.Ş. (“Epsan” ve/veya “Şirket”) olarak, müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın ve tüm iş ortaklarımızın bilgilerinin ve verilerinin, özel hayatının gizliliğine ve güvenliğine son derece önem vermekteyiz. Bu sebeple; 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (KVK Kanun) gereğince, Veri Sorumlusu sıfatıyla Epsan tarafından kişisel verilerinizin işleme sebeplerinden, bunların hukuki dayanağından, toplanma yönteminden ve ilgili Kanundan doğan haklarınızdan bahsetmek ve  KVK Kanun’u kapsamında aydınlatma yükümlülüğünü yerine getirmek üzere sizleri bu hususlarda bilgilendirmek isteriz.

1 - Epsan olarak bu bilgilendirmeyi kimlere hitaben yapıyoruz?

Öncelikle belirtmek isteriz ki; kişisel verileriniz, tarafınızdan alınan açık rızalar doğrultusunda Epsan tarafından KVK Kanun’u hükümlerine uygun olarak işlenebilecektir. KVK Kanun’un 5/2. Maddesinde sayılan haller kapsamına giren durumlarda ise kişilerden rıza alınmasına gerek olmadığını da ayrıca hatırlatmak isteriz.

6698 sayılı Kanunun 10. Maddesi gereğince bu bilgilendirmeyi; İnternet Sitesi kanallarına bağlanan/kullanan tüm kullanıcılara; Epsan Bina ve Tesislerindeki misafir ağına (wifi) bağlananlara; Epsan veri tabanında (ERP vb sisteminde) yer alan tüm müşterilerimiz çalışanlarına; Epsan iletişim seçeneklerinden herhangi birini kullananlara; Epsan Bina ve Tesislerini herhangi bir amaçla ziyaret edenlere; Epsan sosyal medya hesaplarından Epsan ile iletişime geçen (yorum paylaşan, talepte bulunan dahil bunlarla sınırlı olmamak kaydıyla) tüm gerçek kişilere; Epsan’ ın düzenlediği tüm sosyal etkinliklere ve eğitimlere katılanlara; ayrıca Epsan ’a iş başvurusunda bulunmak amacıyla kariyer portallarından, İŞKUR, e-posta aracılığı ile, referans aracılığı ile, fiziki olarak başvuru formu doldurmak sureti ile özgeçmiş gönderen çalışan adaylarımıza; hali hazırda Epsan bünyesinde çalışmaya devam eden çalışanlarımıza; daha önce Epsan bünyesinde çalışmış fakat herhangi bir sebeple iş sözleşmesi sona ermiş olan eski çalışanlarımıza; ticari faaliyetimiz kapsamındaki tüm iş ortaklarımıza, müşterilerimiz ve bunların çalışanlarına ve bu saydıklarımızla sınırlı olmaksızın yüz yüze, mesafeli, sözlü, yazılı ya da elektronik yolla kişisel verilerini Epsan ile paylaşmış/paylaşacak; doğrudan vermiş/verecek veya Epsan tarafından elde edilmesine olanak sağlamış/sağlayacak olan tüm gerçek kişilere hitaben yapmaktayız.

Tüm Epsan sistemleri üzerinden ve diğer ortamlardan e-posta üzerinden kişisel bilgi paylaşan veya kayıtları ile ilgili bilgi güncellemesi yapan gerçek kişi bilgileri, ERP kurumsal kaynak planlama uygulaması ve raporlama sistemlerimizde, sadece yetkililerin erişebileceği şekilde saklanmaktadır.

Bu bilgilere, çeşitli kurumsal uygulamalardan gerektiği durumda erişilerek veriler farklı kriterlere göre gerekli idari ve teknik tedbirler alınarak sadece ulaşması gereken kişilerce gerekli yetki matrisi tanımlanarak sorgulanabilmektedir.

2 - Kişisel Verilerinizin işlenmesi ne anlama gelir?

Kişisel verilerin işlenmesi; bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, toplanması, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

3 - Kişisel verilerinizi hangi amaç ve hukuki sebeplere dayanarak işliyoruz?

Epsan bünyesinde doğrudan ya da dolaylı yollarla toplanan ve Epsan tarafından sağlanan hizmet, ticari faaliyetlerine ve dahi kanuni gerekliliklere bağlı olarak farklılık gösterebilen her türlü kişisel veriler, toplanma amacına bağlı olarak işlenecektir. Yukarıda belirtilen gerçek kişilere ait doğrudan ya da dolaylı yolla elden edilen tüm kişisel veriler;

• Tüm sözleşmesel yükümlülüklerimizin yerine getirilmesi adına gerekli bilgilendirmeleri yapabilmek; edimleri yerine getirmek;
• Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği başta Hukuk ve Ceza Mahkemelerinden gelen talep üzerine tüm kamu görevlilerine bilgi verebilmek;
• Başta, Epsan’ ın düzenlediği özel ve genel etkinlik ve eğitim faaliyetlerinde kullanabilmek;
• Hizmetlerimiz ile ilgili müşteri şikayet ve önerilerini değerlendirebilmek ve raporlayabilmek, bu hususta ve pazarlama faaliyeti kapsamında anlaşmalı iş ortaklarımızla verileri paylaşabilmek;
• Yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan haklarımızı kullanabilmek,
• Yasal yükümlülüğün yerine getirilmesi için hizmet aldığımız üçüncü kişi ve üçüncü firmalara (anlaşmalı iş ortaklarımıza) aktarabilmek,
• Sözleşmeden kaynaklı yükümlülüklerin yerine getirilmesi amacıyla veri datalarında saklayabilmek,
• Epsan’a karşı haklarınızın hatırlatılması amacıyla iletişim bilgilerinizin veri datalarında saklayabilmek,
• Epsan insan kaynakları politika ve ihtiyaçları çerçevesinde çalışan temin etmek, işe alım süreçlerini yürütmek ve geliştirmek
• İş başvurularını değerlendirmek, sonuçlandırmak ve iş başvurusunda bulunan adaylar ile iletişime geçmek
• İnsan kaynakları politikamızın yürütülmesi, bu politikamızın ve hizmetlerimizin değerlendirilmesi, geliştirilmesi ve iyileştirilmesi amacıyla çalışanlarımızın performansını değerlendirmek

için Epsan tarafından işlenebilecektir.

Epsan bina ve tesisleri ziyaretçilerimiz, müşterileri ve tedarikçi çalışanlarımız, çalışma adaylarımızın ve çalışanlarımızın güvenliğini sağlamak amacıyla güvenlik kameraları ile izlenmekte olup; bu sebeple bina ve tesislerimizi ziyaret eden kişilerin kimi zaman görüntülerinin güvenlik kamerası tarafından kaydedilebileceği ve kamu güvenliğinin sağlanması adına mevzuat gereği başta idari ve adli mercilerinden gelen talep üzerine tüm kamu görevlilerine bilgi verileceği, onlarla bu görüntülerin paylaşılabileceği hususunda sizleri bilgilendirmek isteriz.

Epsan’a yukarıda belirtilen yollarla iş başvurusunda bulunmak amacıyla özgeçmiş gönderen çalışan adaylarımızın bahse konu özgeçmişlerinin, başvuru anında alınan bilgilerinin, başvurdukları pozisyon veya ileride doğabilecek olası pozisyonlarda değerlendirilmek amacıyla kullanılabileceği, Epsan’ın İnsan Kaynakları veri tabanında saklanabileceği hususunda siz çalışan adaylarımızı bilgilendirmek isteriz. Epsan bünyesinde hali hazırda çalışan personellerimizin ve daha önce Epsan bünyesinde çalışmış olan eski personellerimizin özlük dosyaları, yasal yükümlülüklerimiz gereğince ve bu kapsamda Epsan bünyesinde saklanmaya devam etmektedir.

Ticari faaliyetimiz kapsamındaki Kişisel Verilerin Korunması Hakkında Kanun korumasından faydalanan tüm iş ortaklarımıza ve onların çalışanlarına ait kişisel verilerin, Epsan’ ın müşteri portföyü olarak ticari ilişkinin devamında ve sonrasında sözleşmesel yükümlülüklerin yerine getirilmesi amacıyla işlenebileceğini de belirtmek isteriz.

Tüm bu yukarıda ayrıntılarıyla açıklanan kişisel verilerinizi, başta KVK Kanunu tarafından öngörülen temel ilkelere uygun olarak ve KVK Kanunu’nun 4., 5. Ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 4857 sayılı İş Kanunu ve bu Kanunlara istinaden düzenlenmiş olan yönetmelikler olmak üzere, tüm yasal mevzuat gereğince ve yukarıdaki amaçlar doğrultusunda işlemekteyiz.

4 - Kişisel verilerinizi bahse konu amaçlarla hangi kişi ve kuruluşlara aktarılabiliriz?

Öncelikle belirtmek isteriz ki, tarafınızdan açık rıza almadan kişisel verileriniz üçüncü kişiler ile paylaşılmamaktadır.

Ancak; yasal yükümlülüklerimiz nedeniyle tarafımızdan istenen kişisel verilerinizi paylaşma zorunluluğumuzun olduğunu da belirtmek isteriz. Örneğin; yargı mercileri ve kamu kurumlarından gelen talep üzerine yasal yükümlülüğümüz gereği kişisel verilerinizi paylaşabilmekteyiz. Keza, Kanundan doğan yükümlülüklerimizin yerine getirilmesi amacıyla bu hususta hizmet aldığımız anlaşmalı iş ortaklarımıza da salt bu amaç için aktarım gerçekleştirilebilmektedir. Bunun dışında tarafınız ile sözleşmeden kaynaklı yükümlülüklerimizin yerine getirilmesi amacıyla anlaşmalı üçüncü kişilerle kişisel verileriniz paylaşılabilmektedir. Bu paylaşımları yapmadan önce, tarafınızın ve tarafımızın hak ihlalini önlemek amacıyla teknik ve hukuki önlemler almaktayız. Ancak; paylaşım gerçekleştirdiğimiz üçüncü kişinin sorumluluğunda meydana gelen ihlallerden sorumlu olmadığımızı da belirtmek isteriz.

Yine, kişisel verileriniz EPSAN ile herhangi bir ilişki içerisinde olan kişilerin hukuki ve ticari güvenliğinin, denetiminin temini, idari operasyonlar, iş ortağı/müşteri/tedarikçi (yetkili veya çalışanları) değerlendirme süreçleri Epsan ’ın insan kaynakları politikalarının yürütülmesi amaçlarıyla iş ortaklarımıza, tedarikçilerimize, hizmet sağlayıcılarımıza, Şirket yetkililerine, hissedarlarımıza, kanunen yetkili kamu kurumları ve özel kişilere, KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.

Daha önce Epsan bünyesinde çalışmış olan eski personellerimiz ile ilgili üçüncü firma yetkililerinden gelen talep üzerine referans amacı ile bilgilerinizin paylaşılabileceğini de belirtmek isteriz.

KVK Kanunu’nun ve yukarıda yer alan 1. ve 3. Maddeler uyarınca toplanan kişisel verileriniz; KVK Kanunu tarafından öngörülen temel ilkelere uygun olarak ve KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde ve yukarıda yer alan amaçlarla aktarılabilmektedir.

Ayrıca Epsan tarafından kişisel verilerin yurtdışına yukarıda yer verilen amaçlarla;

• Veri sahibinin açık rızasının bulunması halinde, veya
• Veri sahibinin açık rızası bulunmadığı ancak yukarıda belirtilen diğer şartlardan bir veya birkaçının karşılandığı hallerde;
• Verilerin aktarıldığı ülkede yeterli koruma bulunması ve
• Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ilgili Epsan’ ın ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile

aktarılabilmektedir.

5 - Kişisel verilerinizi hangi yöntemlerle topluyoruz?

Kişisel veriler yukarıda yer verilen amaçlarla, aşağıda belirtilenlerle sınırlı olmamak üzere; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Epsan’ın Bina ve Tesisleri, internet sitesi, mobil uygulamaları, sosyal medya mecraları aracılığıyla, kameralar ve diğer benzer vasıtalarla sözlü, yazılı veya elektronik olarak elde edilip toplanabilmektedir. Aşağıda örnekleyici mahiyette açıklamalar yer almaktadır:

- Çağrı merkezi: 0224 261 20 20 numaralı iletişim hattımızı arayarak iletişime geçen tüm kişilerin bilgileri yukarıda belirtilen amaçlar ile sınırlı olmak koşuluyla işlenebilecektir.

- İnternet Sitesi: Web sayfası üzerinden tüm müşterilerimiz dilerlerse Epsan ile iletişime geçebilir. Bunun dışında İnternet Sitesi çerez (cookie) kullanan bir sitedir. Çerezler, bir dosya indirdiğinizde veya bir web sitesini ziyaret ettiğinizde sabit diskinize kaydedilen küçük bir metin dosyasıdır. Bir başka ifade ile, web sitesi tercihleriniz veya profil bilgileri gibi tarama bilgilerini saklayan daha önce ziyaret ettiğiniz web siteleri tarafından oluşturulan dosyalardır. Detaylar için Çerez Politikamızı inceleyebilirsiniz.

- Epsan Genel Merkezlerine bizzat başvurunuz ile epsan.com alan adına bağlı e-posta adresleri, müşterilerimiz, tedarikçilerimizin ve çalışanlarının Epsan’a e-posta ile ulaşabilmelerini sağlayan yazılı iletişim kanalımızdır. Bu kanaldan bize ulaşan tüm kişilerin bilgileri iletişim sağlayabilmek amacı ile saklanacaktır. Epsan ile fiziksel (Genel Merkez) veya uzaktan iletişime geçen tüm kişilerin bilgileri iletişim sağlayabilmek amacı ile saklanacaktır.

- Tüm Epsan Bina ve Tesisleri: Tüm ziyaretçilerin ve çalışanların güvenlik kamerasına kaydedilen görüntüleri saklanacaktır. Yine Epsan Bina ve Tesislerini ziyaret eden kişilerin kişisel bilgileri yukarıda belirtilen amaçlarla sınırlı olmak kaydı ile işlenebilecektir.

- İş Başvuruları: İş başvurusuna ilişkin kişisel veriler, kariyer portalları, e-posta, İŞKUR, referans aracılığı ve fiziki olarak başvuru formu doldurmak sureti ile alınır.

6 - Kişisel Verilerin Korunması Hakkında Kanunun 11. Maddesi gereğince haklarınız neler?

Sizler, aşağıda belirtildiği üzere ve İnternet Sitesi adresinde bilgisi verilen iletişim kanallarından Epsan’a başvurarak;

Kişisel verilerinizin işlenip işlenmediğini, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme hakkına sahip olduğunuz gibi, yurt içinde veya yurtdışında verilerinin aktarıldığı üçüncü kişileri öğrenebilir; işlenen veriler ile ilgili bilgi talebinde bulunabilirsiniz. Eğer yanlış veya eksik işlemenin varlığı tespit edilirse; bunların düzeltilmesini, bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini de isteyebilirsiniz. Ayrıca, herhangi bir gerekçe göstermeye gerek kalmadan talebiniz halinde kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilebilecektir. Ancak; kanuni zorunluluk nedeni ile yasal sorumluluğumuz gereği bulundurmamız gereken kişisel verilerinizin silinemeyeceğini, yok edilmeyeceğini veya anonim hale getirilemeyeceğini de hatırlatmak isteriz. Ayrıca KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkınız da bulunmaktadır. Kişisel verilerinizin hukuka aykırı işlendiğini ve bu nedenle zararınızın doğduğunu düşünüyorsanız, bu hususta Epsan’a karşı yasal yollara başvurma hakkınızın da olduğunu belirtmek isteriz.

KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince, yukarıda belirtilen haklarınızı kullanmak ile ilgili talebinizi, yazılı veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Şirketimize iletebilirsiniz. Bu çerçevede Şirketimize KVK Kanunu’nun 11. maddesi kapsamında yapacağınız başvurularda yazılı olarak başvurunuzu ileteceğiniz kanallar ve usuller aşağıda açıklanmakla birlikte, başvurularınız Epsan tarafından KVK Kanun’u kapsamında yasal süre içerisinde sonuçlandırılacak ve sizlere bu hususta bilgi verilecektir.

Kanun’un 28. maddesinin 2. fıkrası veri sahiplerinin talep hakkı bulunmayan halleri sıralamış olup bu kapsamda;

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

hallerinde verilere yönelik olarak yukarıda belirlenen haklar kullanılamayacaktır.

Kanun’un 28. maddesinin 1. fıkrasına göre ise aşağıdaki durumlarda veriler Kanun kapsamı dışında olacağından, veri sahiplerinin talepleri bu veriler bakımından da işleme alınmayacaktır:

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

7. Kişisel Verileriniz Ne Süreyle İşlenecektir?

Epsan, kişisel verilerin saklanma sürelerini belirlerken yürürlükte bulunan mevzuatı ve süreç konusu verilerin işlenme amaçlarını göz önünde tutarak belirleme yapmaktadır. KVK Kanun’a uygun olarak, işbu Aydınlatma Metninde belirtilen amaçlarla işlenmiş olan kişisel verileriniz, KVK Kanunu md. 7/f.1.’e göre işlenmesi gerektiren amaç ortadan kalktığında ve/veya mevzuat uyarınca verilerinizi işlememiz için zorunlu kılındığımız zamanaşımı süreleri dahil tüm süreler dolduğunda, kişisel verileriniz tarafımızca silinecek, yok edilecek veya anonimleştirerek kullanılmaya devam edilecektir.

8. Veri Sahibi Olarak Haklarınızı Ne Şekilde Kullanacaksınız?

KVK Kanun’un 11. maddesi uyarınca sahip olduğunuz yukarıda anılan haklarınızı kullanmak için link üzerinden belirtilen Başvuru Formu’nu eksiksiz doldurarak bu formu: Demirtaş Org. San. Blg. A.O. Sönmez Cd. No:16 16245 Bursa  adresine kimliğinizi tespit edici gerekli bilgiler ile; ıslak imzalı nüshasıyla bizzat bu adrese gelip başvurarak veya noter vasıtasıyla, iadeli posta yoluyla ya da kvkk@epsan.com  adresine Güvenli Elektronik İmza ile İmzalanan Formun Kayıtlı Elektronik Posta Aracılığıyla İletilmesi suretiyle Epsan ile irtibata geçebilirsiniz. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

Epsan, talebin niteliğine göre talebi en kısa sürede ve en geç otuz (30) gün içerisinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, tarafımızca Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınacaktır.

1. Bölüm
   • Giriş

Kişisel verilerin korunması, Epsan Plastik San. Ve Tic.A.Ş.’nin (“Epsan” veya “Şirket”) en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. İşbu Epsan Plastik Sanayi Ve Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.

• Kapsam

Bu Politika; Şirketimiz çalışanları haricindeki kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Söz konusu kişisel veri sahiplerine ilişkin detaylı bilgilere işbu Politika’nın EK 2 (“EK 2- Kişisel Veri Sahipleri”) dokümanından ulaşılması mümkündür.

Çalışanlarımızın kişisel verilerinin korunmasına ilişkin Epsan’ın yürüttüğü faaliyetler ise, bu Politika’daki esaslarla paralel olarak kaleme alınan Epsan Plastik Sanayi ve Ticaret Anonim Şirketi Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası altında yönetilmektedir.

Şirketimiz tarafından Epsan çalışan adaylarına veya  Epsan çalışanlarına yönelik gerçekleştirilen kişisel veri işleme faaliyetlerinin detaylarına ise sırasıyla http://epsan.com/kvkk/ adresinde yer alan Epsan Plastik San. Ve Tic. A.Ş. Çalışan Adayları Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Epsan Plastik San. Ve Tic.A.Ş. Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası’ndan ulaşılabilecektir.

• Politikanın ve İlgili Mevzuatın Uygulanması

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları k

• Tanımlar ve Kısaltmalar

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme	Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan(lar)	Epsan Çalışanları
Çalışan KVK Politikası	Epsan  çalışanlarının kişisel verilerinin korunmasına ve işlenmesine ilişkin ilkelerin düzenlendiği “Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası”.
Kişisel Sağlık Verisi	Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri Sahibi	Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem .
KVK Kanunu	7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
KVK Kurulu	Kişisel Verileri Koruma Kurulu.
KVK Kurumu	Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Epsan / Şirket	Epsan Plastik Sanayi ve Ticaret Anonim Şirketi
EPSAN KİŞİSEL VERİLERİ İHMA POLİTİKASI	Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Epsan tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan “Epsan Kişisel Veri Saklama ve İmha Politikası”.
EPSAN KVK Politikası	Epsan Plastik Sanayi ve Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası.
Tedarikçiler	Sözleşme temelli olarak Epsan’a mal ve hizmet sunan taraflar
Veri Sorumlusu Başvuru Formu	Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.
Çalışan KVK Politikası	Epsan Plastik San. Ve Tic A.Ş. Çalışanları Kişisel Verilerin Korunması ve İşlemesi Politikası
Türkiye Cumhuriyeti Anayasası	9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası
Türk Ceza Kanunu	12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri Sorumlusu	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.
Veri Sorumluları Sicili	KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde tutulan ve kamuya açık olan Veri Sorumluları Sicili.
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ	10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ.

• Politika Yürürlüğü ve Güncel Hali

Politikanın yayınlanma ve güncellenme tarihi ilk sayfada yer almaktadır. En güncel sürümüne http://www.epsan.com adresinden ulaşabilirsiniz.

2. BÖLÜM – KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

• Kişisel Verilerin Güvenliğinin Sağlanması

Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz, KVK Kurulu tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.

• Özel Nitelikli Kişisel Verilerin Korunması

Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Epsan tarafından, KVK Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Epsan tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Epsan bünyesinde gerekli denetimler sağlanmaktadır.

Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 3.3. (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) bölümünde yer verilmiştir.

• İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi

Epsan, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.

Epsan çalışanlarının kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışılmaktadır. Bu doğrultuda Şirketimiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.

3. BÖLÜM – KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

• Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Epsan, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kişisel veriler Epsan’ın iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

 

3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Epsan, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.

3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Epsan, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir

3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Epsan, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.

3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Epsan, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Epsan öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

3.2. Kişisel Verilerin İşlenme Şartları

Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 3.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.

Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.

1. Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.

   Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

iii. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.

1. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

1. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

1. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

vii. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özelnitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve KVK Kurulu’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

3.4. Kişisel Veri Sahibinin Aydınlatılması

Epsan, KVK Kanunu’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Epsan, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.

3.5. Kişisel Verilerin Aktarılması

Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda KVK Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye işbu Politika’nın EK 4 (“EK 4- Şirketimiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları”) dokümanından ulaşılması mümkündür.

3.5.1 Kişisel Verilerin Aktarılması

Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.

• Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
• Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
• Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Yukarıdakilere ek olarak kişisel veriler, KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurul’u izninin bulunduğu yabancı ülkelere aktarılabilecektir.

3.5.2 Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

Yukarıdakilere ek olarak kişisel veriler, KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun ve KVK Kurul’u izninin bulunduğu yabancı ülkelere aktarılabilecektir

4. BÖLÜM - ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI

Şirketimiz nezdinde, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir. İşbu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politika’nın EK 3 (“EK 3- Kişisel Veri Kategorileri”) dokümanından ulaşılabilecektir.

Söz konusu kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler Politika’nın EK 1’inde (“EK 1- Kişisel Veri İşleme Amaçları”) yer almaktadır.

5. BÖLÜM - KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

6. BÖLÜM – KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

6.1. Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

(1) Kişisel veri işlenip işlenmediğini öğrenme,

(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(6) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(7) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

(8) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

6.2. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri, bölüm 6.1.’de (“Kişisel Veri Sahibinin Hakları”) sayılmış haklarına ilişkin taleplerini KVK Kurulu’nun belirlemiş olduğu yöntemlerle Şirketimize iletebileceklerdir. Bu doğrultuda https://www.epsan.com/...KVK-Basvuru-Formu.pdf adresinden ulaşılabilecek “Epsan Veri Sahibi Başvuru Formu”ndan yararlanabileceklerdir.

6.3. Şirketimizin Başvurulara Cevap Vermesi

Şirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları KVK Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.

Kişisel veri sahibinin, bölüm 6.1.’de (“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak Şirketimize iletmesi durumunda, Şirketimiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

7. BÖLÜM – KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR

 7.1. Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri

Epsan tarafından güvenliğin sağlanması amacıyla, Epsan binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır.

7.2. Epsan Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme    

Faaliyetleri

Epsan tarafından bina ve tesislerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir. Epsan, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanun’unda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.

Epsan tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi aydınlatılmaktadır. Ayrıca, Epsan, KVK Kanun’unun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.

Epsan tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç işbu Politika ’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.

 

Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Epsan çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

7.3. Epsan Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş  

Çıkışlarının Takibi

Epsan tarafından, güvenliğin sağlanması ve işbu Politika ‘da belirtilen amaçlarla, Epsan binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Misafir olarak Epsan binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Epsan nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

EK 1 – Kişisel Veri İşleme Amaçları

ANA AMAÇLAR (Birincil)	ALT AMAÇLAR (İkincil)
Şirket'in İnsan Kaynakları Politikaları ve Süreçlerinin Planlanmasının ve İcra Edilmesi	Personel Temin Süreçlerinin Yürütülmesi
	Çalışan Talep ve Şikayet Yönetimi
	Ücret yönetimine ilişkin analiz ve iyileştirme faaliyetlerinin planlanması
	Çalışanların yan hak ve menfaat sağlanması süreçlerinin planlanması ve destek olunması
	Çalışanlarının ücret yönetiminin planlanması faaliyetlerine destek olunması
	Çalışanlarının memnuniyet ve bağlılığının artırılmasına yönelik süreçlerin planlanması ve yönetilmesi
	Stajyer ve/veya Öğrenci Temin, Yerleştirilmesi ve Operasyon Süreçlerinin Planlanması ve/veya İcrası
Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi	Etkinlik Yönetimi
	Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası
	Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası
	Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi
	Finans ve/veya Muhasebe İşlerinin Takibi
	Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası
	İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası
	Kurumsal Yönetim Faaliyetlerin Planlanması ve İcrası
Şirket'in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası	İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi
	Stratejik Planlama Faaliyetlerinin İcrası
Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini	Hukuk İşlerinin Takibi
	Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
	Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası
	Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini
	Şirket Operasyonlarının Güvenliğinin Temini
	Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi
	Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi
	Verilerin Doğru ve Güncel Olmasının Sağlanması
	Şirket Bina ve/veya Tesislerinin Güvenliğinin Temini
	Şirket Denetim Faaliyetlerinin Planlanması ve İcrası

 

EK 2 – Kişisel Veri Sahipleri

 

Veri Sahibi Kategorisi	Açıklaması
Müşteri Çalışanı	Epsan ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Epsan iş birimlerinin yürüttüğü operasyonlar kapsamında Şirket iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler
Ziyaretçi	Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler
Çalışan Adayı	Epsan’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Epsan’ın incelemesine açmış olan gerçek kişiler.
Çalışan(lar)	Epsan tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb faaliyetler çerçevesinde kişisel verileri işlenen Epsan çalışanları
Aile Bireyleri ve Yakınları	Epsan tarafından yürütülen faaliyetler çerçevesinde bu Politika kapsamında kişisel verileri işlenen veri sahiplerinin eş, çocuk ve yakınları
Üçüncü Kişi	Bu Politika ve Epsan Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına girmeyen diğer gerçek kişiler (Örn. kefil, refakatçi, eski çalışanlar)
Tedarikçi Çalışanı	Epsan’ın ticari faaliyetlerini yürütürken Epsan’ın emir ve talimatlarına uygun olarak sözleşme temelli olarak Epsan’a hizmet sunan taraf çalışanı yetkilisi veya hissedarı olan gerçek kişiler
Şirket Hissedarı	Epsan hissedarı gerçek kişiler
Şirket Yetkilisi	Epsan’ın yönetim kurulu üyesi ve diğer yetkili gerçek kişiler
İş Birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri	Epsan’ın her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler

 

EK 3 – Kişisel Veri Kategorileri

KİŞİSEL VERİ KATEGORİZASYONU	KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA
Kimlik Bilgisi	Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, sicil no., vergi numarası, unvan, biyografi vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı ve pasaport gibi belgeler
İletişim Bilgisi	Telefon numarası, adres, e-mail adresi, faks numarası vb. bilgiler
İşlem Güvenliği Bilgisi	Faaliyetlerimizin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz (örneğin log kayıtları, IP bilgisi, kimlik doğrulama bilgileri)
İşlem Bilgisi	Epsan tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen anket bilgisi, beyan bilgisi, alışveriş bilgisi, çağrı merkezi kayıtları, üyelik bilgisi, cookie kayıtları gibi veriler
Aile Bireyleri ve Yakın Bilgisi	Epsan tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
Fiziksel Mekan Güvenlik Bilgisi	Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, araç bilgisi kayıtları ve güvenlik noktasında alınan kayıtlar v.b.
Finansal Bilgi	Epsan’ın kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, gelir bilgisi, borç/alacak bilgisi gibi veriler
Görsel/İşitsel Bilgi	Fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç) ve ses kayıtları
Kurumsal Hafıza Bilgisi	Epsan kurumsal hafızasını oluşturabilmek amacıyla Epsan tarafından yürütülen faaliyetler kapsamında işlenen anı, röportaj vb. bilgiler
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Hukuki İşlem ve Uyum Bilgisi	Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler
Denetim ve Teftiş Bilgisi	Şirketimizin operasyonel, finansal, suistimal ve uyum denetimi faaliyetlerinin yürütülmesine ilişkin işlenen kişisel veriler
Talep/Şikayet Yönetimi Bilgisi	Epsan’a yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler

 

EK 4 – Şirketimiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

Epsan, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:

(i) Epsan iş ortaklarına,

(ii) Epsan tedarikçilerine,

(iii) Epsan şirketlerine,

(iv) Kanunen Yetkili kamu kurum ve kuruluşlarına

(v) Kanunen yetkili özel hukuk kişilerine

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.

Veri Aktarımı Yapılabilecek Kişiler	Tanımı	Veri Aktarım Amacı
İş Ortağı	Epsan’ın ticari faaliyetlerini yürütürken muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır.	İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
Tedarikçi	Epsan’ın ticari faaliyetlerini yürütürken Epsan’ın emir ve talimatlarına uygun olarak sözleşme temelli olarak Epsan’a mal ve/veya hizmet sunan tarafları tanımlamaktadır.	Epsan’ın tedarikçiden dış kaynaklı olarak temin ettiği ve Epsan’ın ticari faaliyetlerini yerine getirmek için gerekli mal ve/veya hizmetlerin Epsan’a sunulmasını sağlamak amacıyla sınırlı olarak.
Kanunen Yetkili Kamu Kurum ve Kuruluşları	İlgili mevzuat hükümlerine göre Epsan’dan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları	İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Kanunen Yetkili Özel Hukuk Kişileri	İlgili mevzuat hükümlerine göre Epsan’dan bilgi ve belge almaya yetkili özel hukuk kişileri	İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

1.Veri Sorumlusu

Epsan Plastik Sanayi ve Ticaret A.Ş. (“Epsan”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu olarak müşterilerimizin çalışanları, ziyaretçilerimiz, tedarikçilerimizin çalışanları, çalışan adaylarımız ve çalışanlarımızın kişisel verilerini işleyecek ve mevzuatın izin verdiği durumlarda üçüncü kişilere aktarabileceğiz. İşbu aydınlatma metni ile Kanun hükümleri gereğince karşılıklı hak ve yükümlülüklerimiz konusunda sizleri bilgilendiriyoruz.

2. Kişisel Verileriniz ve İşlenme Amaçları 

Tarafınıza ait kişisel bilgiler; Web sitemizi ziyaretiniz, telefon veya e-posta yazışmalarındaki paylaşımlarınız, pazarlama faaliyetleri, iş başvurularınız, Epsan Bina ve Tesislerini ziyaretiniz, iş akidleri ve genel iş süreçleri gibi kaynaklardan toplanmaktadır.

Toplanan kişisel verileriniz, kişisel verilerinizi bizlere açıklamanıza konu olan; Epsan’ın ve Epsan’la iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini; Epsan’ın ticari ve/veya iş stratejilerinin planlanması ve icrası; Epsan tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi; Epsan’ın insan kaynakları politikaları ve süreçlerinin planlanmasının ve icra edilmesi amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir. Kişisel verilerinizin Epsan tarafından işlenme amaçları konusunda detaylı bilgilere; www.epsan.com  internet adresinden kamuoyu ile paylaşılmış olan Epsan Plastik Sanayi ve Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikasından ulaşabilirsiniz.

3. Verilerin Paylaşımı ve Aktarımı

Doğrudan sizlerden alınan ve şirketimiz tarafından çeşitli kanallardan temin edilen kişisel verileriniz mevzuatta belirlenen güvenlik ve gizlilik esasları uyarınca yeterli ve etkili önlemler alınmak kaydıyla; Epsan olarak ticari faaliyetlerin yürütülmesi, pazarlama faaliyetleri, iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı olarak iş süreçlerinin yürütülmesi, Epsan’ın ticari ve/veya iş stratejilerinin planlanması ve icrası, Epsan’ın ve Epsan ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini amaçlarıyla yasal zorunluluk gereği bu verileri talep etmeye yetkili olan kamu kurum veya kuruluşlar, faaliyetlerimiz gereği anlaşmalı olduğumuz yurt içindeki ve dışındaki kurumlar (tedarikçi/müşteri), iştiraklerimize ve iş ortaklarımıza 6698 sayılı Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde www.epsan.com internet adresinden kamuoyu ile paylaşılmış olan Epsan Plastik Sanayi Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikasında belirtilen amaçlarla sınırlı olarak aktarılabilecektir

4. Kişisel Verilerin İşlenmesinde Hukuki Sebepler

Kişisel verileriniz, şirketimiz Epsan tarafından  iş ortakları, iştirakleri, tedarikçileri, servis sağlayıcıları tarafından da kullanılmak üzere, ticari/mali/hukuki sorumlulukların yerine getirilebilmesi ve/veya temel hak ve özgürlüklerinize zarar vermemek kaydı ile hukuken meşru menfaatler için gereken veya zorunlu olan durumlarda işlenebilecektir.

Şayet daha önceden alınmış rıza ve izniniz mevcut değilse; yukarıda belirtilen ve Kanunun madde 5’in 2 fıkrasında yer alan hukuka uygunluk sebeplerinden birine girmeyen kişisel verileriniz için yasal zorunluluk gereği rızanızı talep edeceğiz.

Epsan, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler başta aşağıdaki kanun ve yönetmelikler kapsamında ve bu Aydınlat Metni’nin ikinci ve üçüncü maddeler kapsamında işlenebilmekte ve aktarılabilmektedir.

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4857 sayılı İş Kanunu,
• 2828 sayılı Sosyal Hizmetler Kanunu
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

5. Kanun Kapsamındaki Haklarınız

Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi www.epsan.com internet adresinden kamuoyu ile paylaşılmış olan Epsan Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda ve Veri Sahibi Başvuru Prosedürü’nde düzenlenen yöntemlerle (Veri Sahibine Başvuru Usulleri Tebliği esas alınmıştır) ve başvurunuzu aynı web adresinde yayınlanan kişisel veri başvuru formunu doldurmak veya başvuru formunda yazılı zorunlu bilgilerinizi içerir başka bir belge veya e-posta içeriği suretiyle yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Epsan’a daha önce bildirilen ve Epsan’ın sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla kimliğiniz teyit edilebilir bir biçimde Epsan’a iletmeniz durumunda Epsan, talebin niteliğine göre talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Epsan tarafından Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır. Bu kapsamda kişisel veri sahipleri;

1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6. 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Kişisel verilerinizle ilgili kapsamlı bilgi için www.epsan.com yer alan EPSAN KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI’nı inceleyebilirsiniz.

EPSAN PLASTİK TİCARET VE SANAYİ A.Ş.

VERİ SORUMLUSU

Demirtaş Org. San. Bölgesi Ali Osman Sönmez Cd.

No:16 Osmangazi Bursa

Telefon: +90 (224) 261 20 20

Fax: +90 (224) 261 27 18

www.epsan.com

kvkk@epsan.com

Mersis No: 0336056388500030

 

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“6698 sayılı Kanun”) 11. maddesi uyarınca veri sahibi olarak Epsan Plastik Sanayi Ve Ticaret Anonim Şirketi’ne (“Şirket”) başvurarak aşağıda yer verilen taleplerde bulunabilirsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenmek,
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etmek,
• Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
• Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenmek,
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
• 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
• İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etmek,
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etmek.

Şirketimiz 6698 sayılı Kanun’un 13. maddesine dayanarak başvurunuzu talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandıracaktır.

2. Başvuru Yöntemi

İşbu haklarınız kapsamındaki taleplerinizi 6698 sayılı Kanun’un 13. maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. maddesi gereğince; yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da önceden Şirketimize bildirmiş olduğunuz ve sistemimizde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle Şirketimize iletebilirsiniz.

Veri Sahibi tarafından başvuru yapılması esnasında aşağıdaki açıklamalara dikkat edilmelidir.

BAŞVURU YÖNTEMİ	Yazılı Olarak Başvuru	Kayıtlı Elektronik Posta (KEP) Yoluyla	Sistemimizde Bulunan Elektronik Posta Adresi ile Başvuru	Faks Yoluyla Başvuru
BAŞVURU ADRESİ	Demirtaş Org. San. Blg. A.O.Sönmez Cd. No:16 16369 Bursa / TR	epsan@hs01.kep.tr	kvkk@epsan.com	+90 224 261 2718
BAŞVURUDA GÖSTERİLECEK BİLGİ	Zarfın/tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.	E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.	E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.	Talebin üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.

 

3. Kimlik ve İletişim Bilgileriniz

Lütfen sizinle iletişime geçebilmemiz ve kimliğinizi doğrulayabilmemiz adına aşağıdaki alanları doldurunuz.

Ad-Soyadı		:
T.C. Kimlik Numarası / Diğer Ülke Vatandaşları için Pasaport Numarası		:
Tebligata Esas Yerleşim Yeri Adresi / İş Yeri Adresi		:
Telefon Numarası		:
Faks Numarası		:
E-posta Adresi		:
Şirketimizle İlişkiniz	:	Müşteri	İş Ortağı
		Ziyaretçi                  Çalışan Adayı
		Çalışan                    Eski Çalışan
		Diğer

 

4. Talep Konusu

 

Kişisel verilerinize ilişkin talebinizi aşağıda açıkça yazmanızı rica ederiz. Talebinize ilişkin bilgi ve belgeler başvurunuza eklenmelidir. Bu kapsamda, Talebinizi yazarken Şirketimiz içerisinde temas etmiş olduğunuz birimleri belirtebilirseniz size daha hızlı destek olabiliriz.

No	Talep Konusu	Seçiminiz
1	Şirketinizin hakkımda kişisel veri işleyip işlemediğini öğrenmek istiyorum.
2	Eğer Şirketiniz hakkımda kişisel veri işliyorsa bu veri işleme faaliyetleri hakkında bilgi talep ediyorum. Kişisel Verilerin Korunması Kanunu Mad 11/1 (b)
3	Eğer Şirketiniz hakkımda kişisel veri işliyorsa bunların işlenme amacını ve işlenme amacına uygun kullanılıp kullanmadığını öğrenmek istiyorum. Kişisel Verilerin Korunması Kanunu Mad 11/1 (c)
4	Eğer kişisel verilerim yurtiçinde veya yurtdışında üçüncü kişilere aktarılıyorsa, bu üçüncü kişileri bilmek istiyorum. Kişisel Verilerin Korunması Kanunu Mad 11/1 (ç)
5	Kişisel verilerimin eksik veya yanlış işlendiğini düşünüyorum ve bunların düzeltilmesini istiyorum. Düzeltilmesini istediğiniz kişisel verinizi "Seçiminiz" alanına yazınız ve doğru ve tamamlayıcı bilgilerini gösteren belgeleri ek olarak gönderiniz. (Nüfus cüzdanı fotokopisi, ikametgâh, gibi) Kişisel Verilerin Korunması Kanunu Mad 11/1 (d)	Düzeltilecek Veri;
6	Kişisel verilerimin kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalktığını düşünüyorum ve bu çerçevede kişisel verilerimin; a) Silinmesini talep ediyorum. b) Anonim hale getirilmesini talep ediyorum. Kişisel Verilerin Korunması Kanunu Mad 11/1 (e )	Sadece birini seçiniz   a)   b)
7	Eksik ve yanlış işlendiğini düşündüğüm kişisel verilerimin (Talep No 5) aktarıldığı üçüncü kişiler nezdinde de düzeltilmesini istiyorum. Düzeltilmesini istediğiniz kişisel verinizi "Seçiminiz" alanına yazınız ve doğru ve tamamlayıcı bilgilerini gösteren belgeleri ek olarak gönderiniz. (Kimlik fotokopisi, ikametgâh, gibi) Kişisel Verilerin Korunması Kanunu Mad 11/1 (f)	Düzeltilecek veri;
8	Kişisel verilerimin kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalktığını düşünüyorum (Talep No 6) ve bu çerçevede kişisel verilerimin aktarıldığı üçüncü kişiler nezdinde de; a) Silinmesini talep ediyorum. b) Anonim hale getirilmesini talep ediyorum. Kişisel Verilerin Korunması Kanunu Mad 11/1 (f)	Sadece birini seçiniz   a)   b)
9	Şirketiniz tarafından işlenen kişisel verilerimin münhasıran otomatik sistemler vasıtasıyla analiz edildiğini ve bu analiz neticesinde şahsım aleyhine bir sonuç doğduğunu düşünüyorum. Bu sonuca itiraz ediyorum. Aleyhinize olduğunu düşündüğünüz analiz sonucunu "Seçiminiz" alanına yazınız ve itirazınızı destekleyenbelgeleri ek olarak gönderiniz. Kişisel Verilerin Korunması Kanunu Mad 11/1 (g)	Analiz Sonucu Ortaya Çıkan Veri;
10	Kişisel verilerimin kanuna aykırı işlenmesi nedeniyle zarara uğradım. Bu zararın tazminini talep ediyorum. Kanuna aykırılığa konu olan hususu "Seçiminiz" alanına yazınız ve destekleyici belgeleri ek olarak gönderiniz. (Mahkeme kararı, Kurul kararı, Maddi zararın tutarını gösteren belgeler,gibi) Kişisel Verilerin Korunması Kanunu Mad 11/1 (h)	Kanuna Aykırılığa Konu Olan Husus;

 

Detaylı Açıklama:

 

Yukarıda belirttiğim talepler doğrultusunda, Şirketinize yapmış olduğum başvurumun 6698 sayılı Kanun’un 13. maddesi uyarınca değerlendirilerek tarafıma bilgi verilmesini rica ederim.

İşbu başvuruda tarafınıza sağlamış olduğum bilgi ve belgelerimin doğru ve güncel olduğunu, Şirketinizin başvurumu sonuçlandırabilmek adına ilave bilgi talep edebileceğini ve ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen ücreti ödemem gerekebileceği hususunda aydınlatıldığımı beyan ve taahhüt ederim.

Yanıtın 3üncü bölümde sağlamış olduğum posta adresime gönderilmesini istiyorum.

Yanıtın 3üncü bölümde sağlamış olduğum elektronik posta adresime gönderilmesini istiyorum.

Yanıtın 3üncü bölümde sağlamış olduğum faks numarama gönderilmesini istiyorum

Başvuruda Bulunan İlgili Kişi (Veri Sahibi)

Adı Soyadı	:
Başvuru Tarihi	:
İmza	:

 

1.1 Giriş

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması

Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Epsan Plastik San. Ve Tic A.Ş. (“Epsan” ya da “Şirket”) tarafından hazırlanmıştır.

1.2 Kapsam

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimiz çalışanlar, tedarikçi çalışanları ve herhangi bir nedenle Epsan nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin Korunması ve İşlenmesi Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

1.3 Tanımlar

Kısaltma	Tanımlar
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun/KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul	Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik	28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

 

2. BÖLÜM – İLKELER

Epsan tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

1. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. Maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken ve işbu 5.bölümde belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu

Politikaya tamamen uygun hareket edilmektedir.

2. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler

Epsan tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanmaktadır.

3. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
4. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Epsan tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Epsan’a başvurulması halinde;
5. İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,
6. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
7. BÖLÜM – KAYIT ORTAMLARI

Epsan nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır.

Eletronik Ortamlar	·         Sunucular (Etki alanı, yedekleme, e posta, veritabanı, web, dosya paylaşım, vb.) ·         Yazılımlar (Ofis yazılımları, ERP yazılımları, İK Yazılımlar, Epsan Yazılımları ) ·         Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb. ) ·         Kişisel bilgisayarlar (Masaüstü, dizüstü) ·         Mobil cihazlar (telefon, tablet vb.) ·         Optik diskler (CD, DVD vb.) ·         Çıkartılabilir bellekler (USB, Hafıza Kart vb.) ·         Yazıcı, tarayıcı, fotokopi makinesi
Matbu Ortamlar	·         Kağıt ·         Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri vb.) ·         Yazılı, basılı, görsel ortamlar
Bulut Ortamı	Epsan bünyesinde yer almamakla birlikte, Epsan’ın kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.

 

4. BÖLÜM – SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Epsan tarafın, çalışanlar, çalışan adayları, ziyaretçiler, hizmet sağlayıcı çalışanları, tedarikçi çalışanları, müşteri çalışanları, potansiyel müşteri çalışanları ve diğer üçüncü kişilere ait kişisel veriler, Epsan tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası ile (iv) müşteri ilişkilerinin yönetilebilmesi,  (v) pazarlama faaliyetlerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

4.1 Saklamaya İlişkin Açıklamalar

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Epsan’ın faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

4.1.1 Saklamayı Gerektiren Hukuki Sebepler

Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4857 sayılı İş Kanunu,
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• Arşiv Hizmetleri Hakkında Yönetmelik
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Epsan’ın meşru menfaatleri için saklanmasının zorunlu olması,
• Kişisel verilerin Epsan’ın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

4.1.2 Saklamayı Gerektiren İşleme Amaçları

Epsan, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

• Şirket'in İnsan Kaynakları Politikaları ve Süreçlerinin Planlanmasının ve İcra Edilmesi
• Kurumsal iletişimi sağlamak.
• Şirket'in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası
• Kurum güvenliğini sağlamak,
• İstatistiksel çalışmalar yapabilmek.
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
• Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
• Yasal raporlamalar yapmak.
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek.
• Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi
• Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini

4.2 İmhayı Gerektiren Sebepler

Kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Epsan tarafından kabul edilmesi,
• Epsan’ın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Epsan tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

5. BÖLÜM – TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesi ve Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Epsan tarafından teknik ve idari tedbirler alınır.

İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

5.1 Teknik Tedbirler

Epsan tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

• Sızma (Penetrasyon) testleri ile Epsan’ın bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
• Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
• Epsan içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• Epsan, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Epsan tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
• Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

5.2 İdari Tedbirler

Epsan idari tedbirler kapsamında;

• Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

6.KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

Epsan tarafından Kanun ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Epsan tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

6.1 Kişisel Verilerin Silinmesi

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medyada ortamında bulunan verilerin uygun yazılımlar kullanılarak da silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

− Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

− Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

Fiziksel ortamda tutulan kişisel verilerden saklanma süresi sonuna gelenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

6.2 Kişisel Verilerin Yok Edilmesi

Kişisel veriler, Epsan tarafından aşağıda verilen yöntemlerle yok edilir.

De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir. Dikkat edilmelidir ki bu yöntemle yok etme başarılı olmaz ise ancak medyanın fiziksel olarak yok edilmesi ile yok etme işlemi tamamlanmış olabilecektir.

Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir

Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.

Yukarıda sayılan durumlar gerçekleşmesi sırasında Epsan ; Kanun, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

6.3 Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Değişkenleri çıkarma	:	İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.
Bölgesel gizleme	:	Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Genelleştirme	:	Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Alt ve üst sınır kodlama / Global kodlama	:	Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir.
Mikro birleştirilme	:	Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.
Veri karma ve bozma	:	Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

 

7. SAKLAMA VE İMHA SÜRELERİ

Epsan tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

• Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
• Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
• Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Epsan tarafından yerine getirilir.

7.1 Saklama Süreleri

VERİ SAHİBİ	VERİ KATEGORİSİ	VERİ SAKLAMA SÜRESİ
Çalışan	İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri	Hizmet akdinin devamında ve hitamından itibaren de 10(on) yıl müddetle muhafaza edilir.
Çalışan	İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri	Hizmet akdinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on) yıl müddetle muhafaza edilir.
Çalışan	İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler	Hizmet akdinin devamında ve hitamından itibaren 15(onbeş) yıl müddetle muhafaza edilir.
İş Ortağı/Çözüm Ortağı/Danışman	İş Ortağı/Çözüm Ortağı/Danışman ile Epsan arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri	İş Ortağı/Çözüm Ortağı/Danışmanın, Epsan'la olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.
Ziyaretçi	Epsan’a ait fiziki mekana girişte alınan Ziyaretçi'ye ait ad, soyad, T.C.K.N., araç plakası ile  kamera kayıtları, telefon aramalarında alınan ses kayıtları	2 yıl süre ile saklanır.
İnternet Sitesi Ziyaretçisi	İnternet Sitesi Ziyaretçisi'ne ait ad, soyad, e-posta adresi, gezinme hareketleri bilgileri	2 yıl süre ile saklanır.
Çalışan Adayı	Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler	En fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır.
Stajyer(öğrenci)	Stajyer'e ait staj dosyasında yer alan bilgiler	Staj ilişkisinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on) yıl müddetle muhafaza edilir.
Müşteri Çalışanı	Müşteri'ye ait ad, soyad, T.C.K.N., iletişim bilgileri, ödeme bilgileri ve yöntemleri, gezinme hareketleri bilgileri,  telefon aramalarında alınan ses kayıtları, ürün/hizmet tercihleri, işlem geçmişi, özel gün bilgileri	Müşteri'nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.
Müşteri	Kamera görüntüleri, araç plaka bilgisi	2 yıl süre ile saklanır.
Potansiyel Müşteri	Potansiyel Müşteri ile Epsan arasındaki ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları	2 yıl süre ile saklanır.
Epsan’ın İşbirliği İçinde Olduğu Kurum/Firmalar  (Tedarikçi, Fason Üretici, Bayi/Franchise	Epsan’ın İşbirliği İçinde Olduğu Kurum/Firmalar ile Epsan arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, Epsan’ın İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri	Epsan’ın İşbirliği İçinde Olduğu Kurum/Firmaların, Epsan'la olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.

 

7.1 İmha Süreleri

Epsan, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, Kanunun 13’ncü maddesine istinaden Epsan’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Epsan talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.  Epsan’ın talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Epsan, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Epsan tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

8.Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Epsan işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

Epsan, Yönetmeliğin 11 inci maddesi gereğince Kurum, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

9. Sorumluluk ve Görev Dağılımı

Epsan’ın tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.

Personel	Görev	Sorumluluk
İnsan Kaynakları Müdürü	İnsan Kaynakları Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Bilgi İşlem Sorumlusu	Bilgi Teknolojileri Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Mali İşler Müdürü	Mali İşler Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Araştırma ve İnovasyon Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Bakım Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Depo ve Lojistik Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
İhracat Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Kalite Kontrol Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Kalite Yönetim Sistemleri Temsilcisi	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Üretim Planlama Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Satınalma Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Üretim Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Fabrika Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi
Yurtiçi Satış Müdürü	- Kişisel veri saklama ve imha politikası uygulama sorumlusu	Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

 

9. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır.

10.POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.