ZWILLING J.A. HENCKELS MUTFAK VE GÜZELLİK ÜRÜNLERİ LTD. ŞTİ. KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

Yayım tarihi: 27.10.2022

Sayfa: 1/17

1. AMAÇ

Zwilling J. A. Henckels Mutfak ve Güzellik Ürünleri Ltd. Şti., (“Zwilling”) kişisel verilerin korunmasına ilişkin olarak Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve sair mevzuat tarafından getirilmiş ilke ve kurallara uymayı ve kişisel verilerini işlediği ilgili kişilerin hak ve özgürlüklerini korumayı taahhüt etmektedir. Bu doğrultuda Zwilling, kişisel verilerinin korunması ve işlenmesine ilişkin yasal yükümlülüklerinin yerine getirilmesinde izlenecek usul ve esasların belirlenmesi amacıyla uygulanmak ve geliştirilmek üzere işbu Kişisel Veri Koruma Politikası’nı (“Politika”) benimsemiştir.

İşbu Politika ile Zwilling’in kişisel verilerin yönetiminde kendi standartlarını oluşturması ve bunları gerçekleştirmesinin sağlanması, bu kapsamda organizasyonel hedef ve yükümlülüklerin belirlenmesi ve desteklenmesi, Zwilling’in kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin temel hak ve özgürlüklerinin güvenli bir şekilde korunması hedeflenmektedir.

2. TANIMLAR

İşbu Politika’da yer verilen kavramların tanımları aşağıdaki gibidir:  

Açık rıza	: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,
Anonim hale getirme	: Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,
Elektronik ortam	: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar,
Fiziki ortam	: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb.diğer ortamlar,
İlgili kişi/Veri sahibi	: Kişisel verisi işlenen gerçek kişi,
İmha	: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,
Kişisel veri	: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
Özel nitelikli (hassas) kişisel veri	: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
Kişisel verilerin işlenmesi	: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,
KVKK	: 6698 sayılı Kişisel Verilerin Korunması Kanunu,
KVK Kurulu	: Kişisel Verileri Koruma Kurulu,
KVK Kurumu	: Kişisel Verileri Koruma Kurumu,
Veri işleyen	: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi,
Veri kayıt sistemi	: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi,
Veri sorumlusu	: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

3. KAPSAM

Politikanın kapsamı aşağıdaki şekilde belirlenmiştir:

1. 1. Konu bakımından kapsam

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgiler bu Politikanın uygulanması bakımından kişisel veri olarak kabul edilir. Yasal düzenlemelerdeki özel hükümler saklı kalmak üzere, elektronik ya da fiziksel ortamdaki her türlü kişisel verinin korunması, işlenmesi, kullanılması bu Politikanın konu bakımından kapsamını oluşturmaktadır. Zwilling, kişisel verilerin korunması mevzuatı ve veri koruma ilkelerine uyacaktır.

Zwilling’in benimsediği prensipler özellikle şunları içermektedir:

• Bireylerin mahremiyetine ve özel hayatın gizliliğine saygı göstermek,
• Kişisel verileri yalnızca meşru kurumsal amaçlar bakımından açıkça gerekli olması halinde işlemek,
• Bu amaçlar için gerekli asgari ölçekte kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek,
• Bireylere kişisel verilerinin kimler tarafından ve ne şekilde kullanıldığı konusunda bilgi vermek,
• Yalnızca kullanım amacı ile ilgili ve kullanım amacına uygun kişisel verileri işlemek,
• Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek,
• Kişisel verileri doğru ve gerektiğinde güncel tutmak,
• Kişisel verileri yalnızca yasal düzenlemelerin, Zwilling’in hukuki yükümlülükleri veya meşru kurumsal menfaatlerinin gerektirdiği süre kadar saklamak,
• Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak,
• Kişisel verileri sıkı bir güvenlik ve gizlilik içinde tutmak,
• Kişisel verileri yurtdışına, yalnızca yeterli korumanın bulunması halinde veya diğer yasal koşulların yerine getirilmesi halinde transfer etmek,
• İşbu Politika’nın uygulanmasıyla ilgili özel yetki ve sorumluluklara sahip personeli belirlemek.

1. 2. Kişi bakımından kapsam

Zwilling’in yöneticileri; hizmet akdi ve diğer özel hukuk sözleşmeleri ile ilişki içinde bulunduğu çalışanlar, çalışan adayları; hizmet sağlayıcıları, ziyaretçiler ve aşağıda sayılan diğer 3.kişiler, gerçek kişi olarak bu Politikanın kapsamındadır.

1. 3. Zaman bakımından kapsam

Politika belirli bir süre ile sınırlı olmaksızın yürürlükte kalır. Yasal düzenlemelere ve uygulamada ortaya çıkan gereksinimlere paralel olarak Politika’da değişiklik ve/veya güncelleme yapma hakkı saklıdır.  

4. Veri Koruma İlkeleri

Tüm kişisel veri işleme faaliyetleri aşağıdaki veri koruma ilkeleriyle uyumlu olarak yapılmalıdır. Zwilling’in politika ve prosedürleri bu ilkelerle uyumluluğu sağlamayı amaçlamaktadır:

• Hukuka ve dürüstlük kurallarına uygun olma

Zwilling, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alır; diğer bir ifade ile ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket eder.

• Doğru ve gerektiğinde güncel olma

Zwilling, ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutar. Kişisel verilerin doğru ve güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynaklar belirlidir, kişisel verilerin toplandığı kaynağın doğru olmasına özen gösterilir, kişisel verilerin doğru olmamasından kaynaklı talepler dikkatle incelenir ve bu kapsamda makul önlemler alınır. Personele ilişkin tutulan verilerin doğruluğu ve güncelliği, ilgili personelin kendi sorumluluğundadır.

• Belirli, açık ve meşru amaçlar için işlenme

Zwilling, veri işleme amaçlarını açık ve kesin olarak belirlemiş olup; bu amaçların meşru olduğunu teyit eder. Kişisel veriler, ilgili kişiye belirtilen amaçlar dışında kullanılmaz. 

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Zwilling, işlenen kişisel verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olduğunu, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verileri işlemediğini taahhüt etmektedir.

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Zwilling, kişisel verilerin işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesini sağlamak üzere gerekli idari ve teknik tedbirleri alır.

Buna göre Zwilling, ilgili kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye uyacak; eğer böyle bir süre öngörülmemişse verileri ancak işlendikleri amaç için gerekli olan süre kadar saklayacaktır. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek veya anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.

5. Veri İşleme Amaçları

Zwilling bünyesinde kişisel veri işleme amaçları veri koruma ilkelerine uygun bir şekilde belirlenmiş olup; kişisel verilerin belirlenen amaçlar dışında kullanılması ve ayrımcılık yapılması amacıyla işlenmesi kesinlikle yasaktır.

Zwilling bünyesinde kişisel verilerin işlenme amaçları şu şekildedir:

• Bilgi güvenliği süreçlerinin yürütülmesi,
• Çalışan adayı/stajyer/öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,
• Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
• Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
• Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
• Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
• Denetim/etik faaliyetlerinin yürütülmesi,
• Eğitim faaliyetlerinin yürütülmesi,
• Erişim yetkilerinin yürütülmesi,
• Faaliyetlerin mevzuata uygun yürütülmesi,
• Finans ve muhasebe işlerinin yürütülmesi,
• Fiziksel mekan güvenliğinin temini,
• Görevlendirme süreçlerinin yürütülmesi,
• Hukuk işlerinin takibi ve yürütülmesi,
• İletişim faaliyetlerinin yürütülmesi,
• İnsan kaynakları süreçlerinin planlanması,
• İş faaliyetlerinin yürütülmesi/denetimi,
• İş sağlığı/güvenliği faaliyetlerinin yürütülmesi,
• İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
• Mal/hizmet satın alım süreçlerinin yürütülmesi,
• Mal/hizmet satış sonrası destek hizmetlerinin yürütülmesi,
• Mal/hizmet satış süreçlerinin yürütülmesi,
• Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
• Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
• Organizasyon ve etkinlik yönetimi,
• Pazarlama analiz çalışmalarının yürütülmesi,
• Performans değerlendirme süreçlerinin yürütülmesi,
• Risk yönetimi süreçlerinin yürütülmesi,
• Reklam, kampanya, promosyon süreçlerinin yürütülmesi,
• Saklama ve arşiv faaliyetlerinin yürütülmesi,
• Sözleşme süreçlerinin yürütülmesi,
• Stratejik planlama faaliyetlerinin yürütülmesi,
• Talep/ şikayetlerin takibi,
• Taşınır mal ve kaynakların güvenliğinin temini,
• Ücret politikasının yürütülmesi,
• Yabancı personel çalışma ve oturum izni işlemleri,
• Yatırım süreçlerinin yürütülmesi,
• Yetenek, kariyer gelişimi faaliyetlerinin yürütülmesi,
• Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
• Ziyaretçi kayıtlarının oluşturulması ve takibi.

6. Veri İşleme Araçları

Veri işleme araçları fiziksel ya da elektronik kaydetme, muhafaza etme ve işlenmesi için kullanılan fiziksel ortam ve bilgi işlem sistemleridir.

Bu politikanın uygulanması bakımından, veri işleme amacı olmaksızın şirketimize fiziki ya da elektronik ortamda iletilen sözleşme, yazışma vb. belgelerde ya da eklerinde yer alan kişisel veri niteliğindeki bilgiler, herhangi bir amaçla asıl belge bütünlüğünden alınarak, ayrılarak fiziki ya da elektronik ortamda bir işleme tabi tutulduğu andan itibaren bu politika hükümlerine tabi olacaktır.

7. İşlenen Kişisel Veri Kategorileri

Kimlik Bilgisi	: Nüfus cüzdanı, pasaport, ehliyet, ikametgah ilmühaberi vb. kimlik belgelerinde yer alan bilgiler.
İletişim Bilgisi	: Telefon numarası, adres, e posta adresi bilgileri.
Aile Yakını Bilgisi	: Veri sahiplerinin aile bireyleri ve yakınları bilgileri.
Özlük Bilgisi	: Çalışanların özlük haklarına ilişkin bilgiler.
Hukuki İşlem Bilgisi	: Adli ve idari makamlarla olan yazışmalar, dava ve icra dosyalarındaki bilgiler.
Müşteri İşlem Bilgisi	: Fatura, senet, çek bilgileri.
Fiziksel Mekan Güvenliği Bilgisi	: Çalışan ve diğer 3.kişi ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları, kart okuma sistemi aracılığıyla giriş çıkış kayıtları.
İşlem Güvenliği Bilgisi	: IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri.
Risk Yönetimi Bilgisi	: Ticari risklerin yönetilmesi için işlenen bilgiler.
Finansal Bilgi	: Veri sahibinin banka hesap bilgileri.
Mesleki Deneyim Bilgisi	: Diploma bilgileri ve gidilen kurslar.
Pazarlama Bilgisi	: Veri sahibinin tercih, beğeni, ihtiyaç ve alışkanlıklarına ilişkin veriler.
Görsel ve İşitsel Kayıtlar	: Kamera görüntüleri ve fotoğraf gibi.
Felsefi inanç, din, mezhep ve diğer inançlar	: Kimlik fotokopisinin zorunlu olarak alındığı süreçlerde kimlikte yer alan din bilgisi.
Kılık ve Kıyafet Bilgisi	: Ayakkabı ve kıyafet temin edilen personel için beden bilgisi.
Dernek ve vakıf üyeliği	: Dernek ve vakıf üyeliği.
Sağlık Bilgisi	: Kişisel sağlık bilgileri ile engellilik durumuna ait bilgiler.
Ceza Mahkumiyeti ve Güvenlik Tedbirleri Bilgisi	: Ceza mahkumiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler.

8. Kişisel Veri Sahipleri

İş Ortağı	: Zwilling’in her türlü iş ilişkisi içerisinde bulunduğu gerçek kişilerdir.
Çalışanlar	: Zwilling bünyesinde hizmet akdi ve diğer özel hukuk sözleşmeleri ile çalışan gerçek kişilerdir.
Çalışan adayı	: Zwilling’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketlerin incelemesine açmış olan gerçek kişilerdir.
Stajyer	: Zwilling bünyesinde stajyer olarak faaliyet gösteren gerçek kişilerdir.
Ürün veya hizmet alıcısı	: Zwilling ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın şirketlerin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir.
Potansiyel ürün veya hizmet alıcısı	: Zwilling ile ürün ve hizmetlerini kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş olan gerçek kişilerdir.
Tedarikçi çalışanı ve yetkilisi	: Zwilling’e ham madde, ürün vb. sağlayan gerçek kişiler ile tüzel kişilerin gerçek kişi çalışan ve yetkililerdir.
Ziyaretçi	: Zwilling’in fiziksel yerleşkelerine çeşitli amaçlarla giren veya internet sitelerini ya da sosyal medya hesaplarını herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir.
Diğer: Yönetim kurulu üyesi(üyeleri), çalışanın aile bireyleri, bayi çalışanı ve bayi yetkilisi	: Zwilling’in yönetim kurulu üyeleri ile diğer yetkilileri, Zwilling bünyesinde faaliyet gösteren personellerin aile bireyleri, Yetkili satıcı ve servislerinin yetkilileri ile çalışanları.

9. Kişisel Verilerin Aktarıldığı Alıcılar

Paylaşılan Taraf Kategorisi	Tanımı	Paylaşım Amacı
Bayiler	: Bir sözleşme ilişkisi çerçevesinde şirketimizin mal ve hizmetlerini pazarlayan yetkili satıcı ve servisler.	Yetkili satıcı ve servislerin faaliyetlerini sürdürebilmek için paylaşılması zorunlu olan kişisel verilerle sınırlı olarak.
Gerçek kişiler veya özel hukuk tüzel kişileri	: Zwilling’in sözleşmesel ilişki içerisinde olduğu gerçek kişiler veya özel hukuk tüzel kişileri.	İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak.
Herkese açık	: Tüm gerçek ve tüzel kişileri	Zwilling tarafından aleni şekilde paylaşılması amacıyla sınırlı olarak.
Hissedarlar	: Zwilling’in hissedarları.	Zwilling’in hissedarlarının da katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak.
İş Ortakları ve Tedarikçiler	: Veri işleme amaçları doğrultusunda kendisinden mal ve hizmet tedarik edilen ya da kendisine mal ve hizmet sunulan 3.kişi konumundaki gerçek ve tüzel kişiler.	Zwilling’in iş ortakları ve tedarikçileri ile olan ticari faaliyetlerini sürdürebilmek için paylaşılması zorunlu olan kişisel verilerle sınırlı olarak.
İştirakler ve bağlı ortaklıklar	: Zwilling’in ortaklık ilişkisi kurduğu kişiler.	Zwilling’in iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak.
Yetkili Kamu Kurum ve Kuruluşları	: İlgili kurum ve kuruluşlar tarafından istenilen bilgi ve belge taleplerinin cevaplanması.	İlgili kamu kurum ve kuruluşlarının hukuki yetkileri dahilinde talep ettiği amaçla sınırlı olarak.

10. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6.maddesi hükümleri saklı kalmak üzere, özel nitelikli kişisel veriler, ilgilinin açık rızası olmaksızın işlenemez. Özel nitelikli kişisel verilerin işlenmesi, konunun hassasiyetine binaen ve verdiğimiz önem gereği, söz konusu verilerin işlenmesinde yeterli önlemleri alabilmek adına “Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası”nda ayrıca düzenlenmektedir.

11. Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi

Kişisel veriler, Zwilling web sitesi aracılığıyla ya da çeşitli şekillerde elektronik ya da fiziki ortamda toplanmakta ve KVKK’nın 4. maddesinde sayılan genel ilkelere uygun olarak ve devamında 5. ve 6. maddelerinde belirtilen kişisel veri işlenme şartları dahilinde bu Politika’nın 4. maddesinde sayılan veri işleme amaçları kapsamında işlenir.

12. Açık Rıza

KVKK’nın 5. ve 6. maddelerinde sayılan veri işleme şartlarından herhangi birisi söz konusu değilse ancak o takdirde ilgili kişiden açık rıza alınması yoluna gidilebilir. Zwilling, veri sahibi tarafından belirli veri işleme faaliyetlerine ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle, hakkında veri işlenmesine ilişkin iradeyi ortaya koyan, yazılı/sözlü beyan veya açık doğrulayıcı eylemle açıklanan rızayı açık rıza olarak kabul etmektedir. Açık rıza veri sahibi tarafından her zaman geri çekilebilir.

Açık rıza, açık rıza metninin veri sahibine imzalatılarak veya veri sahibiyle yapılacak sözleşme veya elektronik formda bu şablonda yer alan unsurlara yer verilmesi suretiyle alınabilir.

 Açık rızaya dayanan veri işleme faaliyetinin süreklilik arz edecek veya tekrarlanacak olması halinde ilgili birimce tek bir liste halinde açık rızası alınmış kişilerin listesi tutulur.  Bu listenin güncelliği ve doğruluğu ilgili birimin sorumluluğundadır. Açık rızaya dayanan veri işleme faaliyetine ilişkin açık rıza formları veya diğer ilgili ispat araçları ilgili birimce saklanır.

13. Kişisel verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verileri resen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel verilerin silinmesi ile bu veriler hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre; kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel verilerin yok edilmesi ise bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

Zwilling, kişisel verilerin saklanması ve imhasında özellikle aşağıdaki ilkeleri kabul etmektedir:

• Zwilling, her halukarda KVKK’nın 4. maddesinde yer alan genel ülkelere uyacaktır,
• Zwilling, bu Politika’nın hazırlanmış olmasının tek başına kişisel verilerin mevzuata uygun olarak imha edildiği anlamına gelmediğinin bilincindedir,
• Zwilling, kişisel verilerin imha edilmesi sırasında başta KVKK’nın 12. maddesinde yer alan güvenlik tedbirleri olmak üzere mevzuat hükümlerine, Kurul kararlarına ve bu Politika ile bu Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygun hareket edeceğini taahhüt eder,
•   Zwilling, kişisel verilerin imha edilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve bu kayıtları diğer hukuki yükümlülükleri hariç olmak üzere en az üç (3) yıl süre ile saklar.

14. Kişisel Verilerin İlgili Kişinin Talebi Doğrultusunda İmha Edilmesi

İlgili kişi, KVKK’nın 13. maddesine istinaden Zwilling’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde aşağıdaki kurallar uygulanır:

• Kişisel veri işleme şartlarının tamamı ortadan kalkmışsa; Zwilling, talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Zwilling, ilgili kişnini talebini en geç otuz (30) gün içerisinde sonuçlandırır ve ilgili kişiye bilgi verir.
• Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa; ek olarak Zwilling, bu durumu üçüncü kişilere bildirir ve üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
• Kişisel veri işleme şartlarının tamamı ortadan kalkmamışsa; bu talep Zwilling tarafından KVKK’nın m. 13/3 uyarınca gerekçesi açıklanarak reddedilir ve ret cevabı ilgili kişiye en geç otuz (30) gün içinde yazılı olarak bildirilir.

15. Kişisel Verilerin İşlendikleri Amaçlar İçin Gerekli Olan Azami Süre

Şirketimizce yürütülen ticari iş ve işlemlerle ilgili olan kişisel veriler, yasal ya da sözleşmesel yükümlülükler daha uzun bir süreyi gerektirmediği sürece, Türk Ticaret Kanunu’nun 82. maddesine uygun olarak prensip olarak 10 yıl süreyle saklanır.

Bunun dışındaki iş ve eylemlerde Türk Borçlar Kanunu’nun 146. maddesi ile belirlenen 10 yıllık genel zamanaşımı süresi esas alınır.

Zwilling personellerinin kişisel verileri genel zamanaşımı süresi boyunca muhafaza edilmekteyken; özel nitelikli kişisel veri olarak kabul edilen sağlık bilgisi kategorisine giren kişisel verileri ise iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacıyla 15 yıllık süreyle saklanır.

Zwilling’in açık pozisyonlarına başvuru yapan çalışan adaylarına ait kişisel veriler, kişisel verilerin doğru ve güncel olması ilkesi uyarınca 1 yıllık süreyle saklanır.

Mali, hukuki ya da cezai bir uyuşmazlıkta delil olarak kullanılabilecek kişisel veriler ise, olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla, ilgili yasal düzenlemelerde öngörülen zamanaşımı süreleri gözetilerek muhafaza edilecektir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır.

Yukarıda belirtilenlere ek olarak kişisel veriler her halukarda azami saklama süresi boyunca saklanmakta ve bu sürenin sonunda mevzuata uygun bir biçimde imha edilmektedir. Kişisel verilerin saklanmasına ilişkin süreler Zwilling bünyesinde oluşturulmuş olan saklama süresi tablosu ile takip edilmektedir.

16. İmha Süreleri

Periyodik imha süresi, yılda en az iki kez olmak koşuluyla, 6 ay olarak belirlenmiştir. Yukarıda yer verilen 12. madde kapsamında, en geç saklama sürelerinin bitimini takip eden ilk periyodik imha süresinde, imha işlemleri gerçekleştirilecektir.

17. Sorumluluk ve Görev Dağılımları

Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları aşağıdaki gibidir:

Birim/Unvan	Görev
KVK Komitesi	Kişisel verilerin korunması mevzuatına uyum kapsamında gerekli tüm düzenlemelerin takibi, Politika’nın uygulanmasının sağlanması, gerekli güncellemelerin takibi, mevzuat kapsamında iyileştirmeye yönelik önerilerin sunulması.
Yönetim Kurulu	KVKK uyum sürecinin yürütülmesi.
Bilgi Teknolojileri Birimi	Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulması ve uygulanması.
İK, Hukuk, Mali İşler	Görevlerine uygun olarak Politika’nın yürütülmesi.

18. Kişisel Veri Aktarımı

Şirketimizce toplanan kişisel verilerden, veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınması şartıyla ve söz konusu faaliyetin yerine getirebilmesi için aktarılması zorunlu olan kişisel verilerle sınırlı olmak koşuluyla, yukarıda sayılan alıcılar ile yurt dışındaki iş ortaklarımıza, veri aktarımı mümkündür.

19. Veri Güvenliğine İlişkin Alınan Tedbirler

Zwilling, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel veriler’in hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik ve kişisel verilerin hukuka uygun olarak imha edilmesi için gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

Zwilling, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgili Kişisel Veri Sahibi’ne ve İhlal Bildirim Formu kullanılmak suretiyle KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.

Bu kapsamda alınan idari ve teknik tedbirler aşağıda belirtilmektedir:

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Anahtar yönetimi uygulanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim loğları düzenli olarak tutulmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya alınmıştır.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel antivirüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kağıt yolu ile aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Mevcut risk ve tehditler belirlenmektedir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir.
• Veri kaybı önleme yazılımları kullanılmaktadır.

Bu önlemlere ek olarak kişisel verilerin hukuka uygun bir biçimde imha edilebilmesi için alınmış olan teknik güvenlik önlemleri de şu şekildedir:

• Kişisel verilerin imhasına ilişkin teknolojik açıdan gerekli ve en güncel sistemlerin kullanması ve bu sistemlerin sıkı bir biçimde gizlilik ve bilgi güvenliği tedbirleri içermesi,
• İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması, ortadan kaldırılması ve silinmiş verileri geri getirme yetkisinin kaldırılması,
• Bulut sistemler ile merkezi sunucuda yer alan kişisel verilerin silme komutu verilerek geri döndürülemeyecek şekilde silinmesi,
• Belirtilenler dışında teknik kayıt ortamlarından uygun olanlar için yok etme (fiziksel de-manyetize etme, üzerine yazma) ya da anonimleştirme yöntemlerinden kişisel verinin niteliğine uygun olanın tercih edilmesi,
• Teknik olmayan kayıt ortamlarında bulunan kişisel verilerin imhası için silme (karartma vb.) ve yok etme (fiziksel yok etme, öğütme, yakma vb.) yöntemlerinin uygulanması.

20. Kayıt Ortamları

Kişisel veri kayıt ortamları fiziki ya da elektronik ortamlar ve kamera kayıtları şeklinde görsel ortamlar olabilmektedir. Bu kapsamda; elektronik ortamlar olarak sunucular (e-posta, veritabanları vb); yazılımlar; bilgi güvenliği cihazları (güvenlik duvarı, antivirüs vb.); kişisel bilgisayarlar (masaüstü, dizüstü); mobil cihazlar (telefon) ve fiziki ortamlar olarak dosyalar, klasörler, kağıt, yazılı, basılı ve görsel ortamlar (kameralar) kişisel verilerin bulunduğu kayıt ortamlarıdır.

21. Kişisel Verileri İmha Teknikleri

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, resen veya veri sahibinin talebi üzerine Kanun hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

1. 1. Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı	Açıklama
Sunucularda yer alan kişisel veriler	Sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortamda yer alan kişisel veriler	Veri tabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamda yer alan kişisel veriler	İlgili birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

1. 2. Kişisel Verilerin Yok Edilmesi

Veri Kayıt Ortamı	Açıklama
Fiziksel ortamda yer alan kişisel veriler	Kağıt öğütme makinelerinde geri döndürülemeyecek şekilde yok edilir.

1. 3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

22. Politika’nın Yayınlanması

Bu Politika, Zwilling’in web sitesinde yayınlanmıştır.

23. Politika’nın Güncellenmesi ve Yürürlüğü

Politika, düzenli olarak gözden geçirilir ve gerekli görülmesi halinde güncellenir. Yapılan her güncelleme yayınlanmasıyla birlikte yürürlüğe girmiş kabul edilir.