GİRİŞ Kişisel verilerinin korunması müşterilerimiz, potansiyel müşterilerimiz, Şirket çalışanlarımız, Şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kişi ve kurumlar için yüksek önem taşımaktadır. Bu bilinç ile kişisel verilerin doğru işlenmesi ve korunması önceliklerimiz arasında yer almakta ve bu kapsamda en üst düzeyde hassasiyet gösterilmektedir. Şirketimiz, işbu Politika ile kişisel verilerin işlenmesine yönelik temel kuralları belirlemekte ve hayata geçirmektedir. 1. POLİTİKANIN AMACI VE KAPSAMI Bu Politika’nın temel amacı, kişisel verilerini işlemekte olduğumuz müşterilerimiz, potansiyel müşterilerimiz, çalışan adaylarımız, işbirliği içinde olduğumuz kurumların çalışanları ve kişisel verileri Şirketimiz tarafından işlenen diğer kişilerin; Şirketimiz’in kişisel veri işleme faaliyetleri, bu kapsamda alınan önlemler, veri sahiplerinin hakları ve bu hakların kullanılma yöntemleri gibi konularda bilgilendirilmesidir. Bu Politika’nın kapsamı, müşterilerimizin, potansiyel müşterilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının ve verilerini işlemekte olduğumuz diğer kişilerin işlenen tüm kişisel verileridir. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, mevzuat hükümleri öncelikli olarak uygulanacaktır. Bu temel Politika’nın dışında daha özel amaçlar için aynı konuda oluşturulan başka politika veya düzenleme bulunması halinde, öncelikle özel hükümler içeren maddeler uygulanır. Diğer politika ve dokümanların bu Politika ve ilgili mevzuat ile çelişen hükümleri uygulanmaz. 2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN KURALLAR A. KİŞİSEL VERİLERİN MEVZUATA UYGUN İŞLENMESİ Şirketimiz, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) ve ilgili mevzuatta getirilen hüküm ve kurallara uygun olarak kişisel veri işlemektedir. KVKK’da kişisel veri işleme usulü belirlenmiştir. Şirketimiz her veri işleme faaliyetinde bu usule uygun hareket etmektedir. a. Hukuka ve Dürüstlük Kuralına Uygun İşleme: Şirketimiz; kişisel verilerin işlenmesinde dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verileri koruma 2 mevzuatı ve ilgili mevzuat ile getirilen kurallara uygun olarak işlemekte ve veri sahiplerine duyurulan amaçlar dışındaki amaçlarla kişisel veri işlememektedir. b. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Şirketimiz; işlediği kişisel verilerin doğru ve güncel olmasını sağlamak için gerekli tedbirleri almaktadır. Örneğin, Şirketimiz tarafından veri sahiplerinin kişisel verilerine erişmelerine ve bunları düzeltmelerine imkan verilmektedir. c. Belirli, Açık ve Meşru Amaçlarla İşleme: Şirketimiz, yalnızca meşru amaçlarla kişisel veri işlemektedir. Şirketimiz veri işleme faaliyetine başlamadan önce kişisel veri işleme amaçlarını belirlemekte ve veri sahiplerinin kişisel verilerinin elde edilmesi sırasında kendilerine bu amaçları açıkça duyurmaktadır. Şirketimiz’in kişisel veri işleme amaçlarının değişmesi halinde Politika güncellenmekte ve değişikliğin mümkün olan farklı kanallardan da veri sahiplerine duyurulması için çaba gösterilmektedir. d. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Kişisel veriler, Şirketimiz tarafından belirlenen amaçların gerçekleştirilmesi ile sınırlı olarak işlenmekte ve amacın gerçekleştirilmesiyle bağlantılı olmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Veri sahiplerinden yalnızca belirlenen amaçların gerçekleştirilmesi için gerekli olan veriler toplanmaktadır. e. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak kişisel verileri muhafaza etmektedir. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Şirketimiz kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. B. KİŞİSEL VERİLERİ İŞLEME ŞARTLARI Şirketimiz tarafından kişisel veriler, KVKK’da belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmektedir. Şirketimiz kişisel verileri KVKK’da getirilen düzenlemelere uygun olarak işlemektedir. KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ ŞARTLAR: Kişisel veri sahibinin açık rızası var ise, 3 Kanunlarda kişisel verinin işleneceğine ilişkin açık bir düzenleme var ise; Kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınan kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise; Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin işlenmesi gerekli ise; Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri işlenmesi zorunlu ise; Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise; Kişisel veri işlenmesi bir hakkın tesisi, kullanılması veya korunması için zorunlu ise; Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri işlenmesi zorunlu ise; Ayrıca KVKK’da özel nitelikli kişisel verilerin işlenmesi için Kurul tarafından özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda ileride Kurul tarafından belirlenebilecek önlemler alınacaktır. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ ŞARTLAR: Kişisel veri sahibinin açık rızası var ise; Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde; Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından. C. KİŞİSEL VERİLERİN AKTARILMASI a. Kişisel Verilerin Üçüncü Kişilere Aktarılması: Şirketimiz, kişisel veri işleme amaçları doğrultusunda işlemekte olduğu kişisel verileri üçüncü kişilere aktarabilmektedir. Veri aktarımı yapılan veya yapılması mümkün olan üçüncü kişiler kategorik olarak aşağıda sıralanmaktadır. 4 Şirketimiz kişisel veri paylaşırken KVKK’da getirilen düzenlemelere uygun hareket etmektedir. Şirketimiz kişisel verilerin işlenebileceği şartlardan bir veya birkaçına dayanarak kişisel verileri üçüncü kişilere aktarabilmektedir. Şirketimiz, Kurul tarafından öngörülen önlemleri ve gerekli güvenlik tedbirlerini alarak ve azami özen göstererek; özel nitelikli verileri, özel nitelikli kişisel verilerin işlenebileceği şartların bulunması halinde (bkz. Bölüm 2.B.) üçüncü kişilere aktarabilmektedir. b. Kişisel Verilerin Yurtdışına Aktarılması: Şirketimiz gerekli güvenlik tedbirlerini alarak işlemekte olduğu kişisel verileri yurt dışında yerleşik üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır. Kişisel verilerin aktarılabileceği üçüncü kişiler kategorik olarak aşağıda sıralanmaktadır. Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kurul tarafından öngörülen önlemleri ve gerekli güvenlik tedbirlerini alarak, kişisel verilerin işlenebileceği şartlar ve/veya özel nitelikli kişisel verilerin işlenebileceği şartlardan birinin varlığı durumunda, kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir. D. KİŞİSEL VERİ SAHİBİNİN BİLGİLENDİRİLMESİ Şirketimiz, KVKK’da yer alan aydınlatma yükümlülüğü ile uyumlu olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini kişisel verilerinin ne şekilde işleneceği konusunda bilgilendirmektedir. Bu kapsamda Şirketimiz, veri sahiplerini asgari olarak aşağıdaki hususlarda bilgilendirmektedir. a. Şirket ve varsa temsilcisinin kimliği, b. Kişisel verilerin hangi amaçla işleneceği, c. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, d. Kişisel veri toplamanın yöntemi ve hukuki sebepleri, e. Kişisel veri sahibinin sahip olduğu haklar. 5 3. KİŞİSEL VERİLERİN MUHAFAZA EDİLMESİ, SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ Şirketimiz, KVKK’da yer alan prensiplere uygun olarak işlemekte olduğu kişisel verileri mevzuatta öngörülen süre boyunca saklamaktadır. Mevzuatta ilgili kişisel veri tiplerinin saklanması için belirli bir süre öngörülmemişse, kişisel veriler işlendikleri amaç sona erene kadar muhafaza edilmektedir. Mevzuatta ilgili kişisel veri tiplerinin saklanması için belirli bir süre öngörülmediği durumda, her veri işleme amacına özgü olarak muhafaza süreleri belirlenmektedir. Bu kapsamda muhafaza süreleri, Şirketimizin uygulamaları ve ticari yaşamın teamülleri dikkate alınarak belirlenmektedir. Kişisel veriler; işleme amacı dışında olası hukuki uyuşmazlıklarda delil teşkil etmesi, kişisel veri ile ispat edilebilecek bir hakkın ileri sürülebilmesi, savunmanın tesis edilmesi ve yetkili kamu kuruluşlarından gelen bilgi taleplerinin yanıtlandırılması amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile aynı konularda Şirket tecrübesi dikkate alınmaktadır. Şirketimiz, belirtilen süreler sona erdiğinde ilgili kişisel verileri silmekte veya anonim hale getirmektedir. Ayrıca kişisel veri sahibinin talebi üzerine kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Anonim hale getirilmiş olan veriler, “kişisel veri” olarak kabul edilmeyeceği için KVKK kapsamı dışındadır. 4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI Şirketimiz, KVKK’nın 12. maddesine uygun olarak, kendi bünyesinde kişisel verilerin güvenliğinin sağlanması, kişisel verilere hukuka aykırı olarak erişilmesinin ve bu verilerin hukuka aykırı olarak işlenmesinin önlenmesi için gerekli teknik ve idari önlemleri almaktadır. Şirketimiz aynı zamanda kendi bünyesinde ve kendisi adına veri işleyen dış hizmet sağlayıcılar bünyesinde, kişisel verilerin hukuka uygun işlenmesi ve kişisel verilerin güvenliğinin sağlanması ve KVKK’nın diğer hükümlerinin uygulanmasının sağlanması amacıyla denetim yaptırabilmektedir. Denetim sonuçları, ilgili iç birimler ile paylaşılmakta ve alınan tedbirlerin iyileştirilmesi ve riskli süreçlerin düzeltilmesi için gerekli faaliyetler yürütülmektedir. Şirketimiz tarafından, özel nitelikli kişisel verilerin korunması hususunda azami özen gösterilmektedir. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan 6 teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır. Şirketimiz, işlediği kişisel verilerin yasal olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlamak için azami özeni göstermektedir. 5. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASINA İLİŞKİN KURALLAR A. KİŞİSEL VERİ SAHİBİNİN HAKLARI Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler: a. Kişisel veri işlenip işlenmediğini öğrenme, b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, f. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, h. Kişisel verilerin mevzuata aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme. B. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI Kişisel veri sahipleri KVKK’da yer alan ve yukarıda alıntılanan haklarına ilişkin taleplerini Şirketimize iletebileceklerdir. Başvuru yapmak için, www.betalojistik.com.tr adresinde bulunan Başvuru Formu’nu doldurup iletebilirsiniz. Kural olarak Şirketimiz, veri sahiplerinin başvurularını 7 ücretsiz olarak yerine getirmektedir. Ancak talep edilen işlemin ayrıca bir maliyeti olması halinde, Kurul tarafından belirlenen tarifedeki ücretler başvuran veri sahibinden talep edilebilecektir. Eksik başvuru formları Şirketimiz tarafından işleme alınmayacaktır. Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını teyit etmek için veya formun içeriğinden talebin niteliği anlaşılmamakta ise talebi netliğe kavuşturmak amacıyla başvuruda bulunan veri sahibinden ek bilgi ve belge talep edebilmektedir. Kişisel veri sahibi adına üçüncü bir kişinin başvuruda bulunabilmesi için kişisel veri sahibi tarafından ilgili üçüncü kişi adına noterde düzenlenmiş özel vekaletname bulunmalıdır. Başvuru formunun ne şekilde doldurulması gerektiğine ilişkin açıklama formun içinde yer almaktadır. C. ŞİRKETİMİZ’İN BAŞVURULARA CEVAP VERMESİ Veri sahibinin, bu bölümün 5.B. başlıklı kısmında belirtilen şekilde başvuru formunu Şirketimize iletmesi durumunda, Şirketimiz formda yer alan talebin niteliğine göre talebi mümkün olan en kısa sürede ve en geç otuz gün içinde yanıtlamaktadır. Başvuruda bulunan veri sahibinin talebi, talebin KVKK ile uyumluluğu ve Şirketimizin mevzuat gereği uyması gereken yükümlülükler bakımından değerlendirilerek mümkün olduğu ölçüde yerine getirilmektedir. Değerlendirme sonucu talebin yerine getirilmesinin mümkün olmadığına karar verilirse, veri sahibinin başvurusu gerekçeli olarak yanıtlandırılmaktadır. Kişisel veri sahibi KVKK’nın 14. maddesi gereğince başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvurusuna cevap verilmemesi hâllerinde; Şirketimizin cevabını öğrendiği tarihten itibaren otuz gün ve her hâlükârda başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir. 6. ŞİRKETİMİZİN VERİ İŞLEME SÜREÇLERİ ÖZELİNDE BİLGİLENDİRME A. ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİ TİPLERİ Şirketimiz nezdinde, KVKK’nın 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak ve Şirketimizin meşru amaçları doğrultusunda hukuka ve dürüstlük kurallarına uygun olarak kişisel veri işlenmektedir. 8 Şirketimiz tarafından KVKK’da belirtilen ilke ve yükümlülüklere uygun olarak işlenen kişisel veri kategorileri aşağıda sayılmaktadır. Kimlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan tüm bilgiler. İletişim Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail gibi bilgiler. Konum Verisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibinin ürün ve hizmetlerimizi kullanımı sırasında veya çalışanlarımız ile işbirliği içerisinde olduğumuz kurumların çalışanlarının Şirketimizin araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler. Müşteri Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler. Aile Bireyleri ve Yakın Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; sunduğumuz ürün ve hizmetlerle ilgili veya Şirketin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler. Müşteri İşlem Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler. Fiziksel Mekân Güvenlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler. İşlem Güvenliği Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz 9 Risk Yönetimi Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler. Finansal Bilgi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler. Özlük Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri. Çalışan Adayı Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimizin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler. Çalışan İşlem Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin işle ilgili gerçekleştirdiği her türlü işleme ilişkin işlenen kişisel veriler. Çalışan Performans ve Kariyer Gelişim Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler Yan Haklar ve Menfaatler Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlara veya Şirketimizle çalışma ilişkisi içerisinde 10 olan diğer gerçek kişilere sunduğumuz ve sunacağımız yan haklar ve menfaatlerin planlanması, işlenen kişisel verileriniz. Hukuki İşlem ve Uyum Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz. Denetim ve Teftiş Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimizin kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel verileriniz. Özel Nitelikli Kişisel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVKK’nın 6ıncı maddesinde belirtilen veriler. Pazarlama Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler. Talep/Şikayet Yönetimi Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimize yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler. Şirketimizce işlenen kişisel veri kategorilerinin hangi veri sahibi kategorisi ile ilişkili olduğunu aşağıda bulabilirsiniz. Kimlik Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi İletişim Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi 11 Konum Verisi: Müşteri, Çalışan, İşbirliği İçinde Olduğumuz Kurumların Çalışanları Müşteri Bilgisi: Müşteri Aile Bireyleri ve Yakın Bilgisi: Müşteri, Ziyaretçi, Çalışan Adayı, Üçüncü Kişi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri Müşteri İşlem Bilgisi: Müşteri Fiziksel Mekan Güvenlik Bilgisi: Ziyaretçi, Şirket Yetkilileri, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri İşlem Güvenliği Bilgisi: Müşteri, Ziyaretçi, Üçüncü Kişi, Şirket Yetkilileri, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri Risk Yönetimi Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi Finansal Bilgi: Müşteri, Çalışan, Şirket Hissedarı, Şirket Yetkilisi, Şirket Hissedarı, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri Özlük Bilgisi: İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri Çalışan Adayı Bilgisi: Çalışan Adayı, İşbirliği İçinde Olduğumuz Kurumların Çalışanları Çalışan İşlem Bilgisi: İşbirliği İçinde Olduğumuz Kurumların Çalışanları Çalışan Performans ve Kariyer Gelişim Bilgisi: İşbirliği İçinde Olduğumuz Kurumların Çalışanları Yan Haklar ve Menfaatler Bilgisi: İşbirliği İçinde Olduğumuz Kurumların Çalışanları Hukuki İşlem ve Uyum Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi Denetim ve Teftiş Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi Özel Nitelikli Kişisel Veri: Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri Pazarlama Bilgisi: Müşteri, Potansiyel Müşteri 12 Talep/Şikayet Yönetimi Bilgisi: Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi B. ŞİRKET TARAFINDAN KİŞİSEL VERİ İŞLEME AMAÇLARI Kişisel verilerin işlenebileceği şartlar ve/veya özel nitelikli kişisel verilerin işlenebileceği şartlar yukarıda sayılmaktadır (bkz. Bölüm 2.B.). Bu şartlardan birisi kişisel veri sahibinin açık rızasının alınmasıdır. Diğer şartların varlığı halinde ise açık rıza aranmamakta ve kişisel veriler kişisel veri sahibinden açık rıza alınmadan işlenmektedir. Şirketimiz tarafından kişisel veri sahibinin verilerin işlenebileceği amaçlar genel olarak aşağıda sıralanmaktadır. Bu amaçlar zaman zaman değişebilecektir. Şirket faaliyetlerinin Şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası İş faaliyetlerinin planlanması ve icrası Kurumsal yönetim faaliyetlerin planlanması ve icrası İş sürekliğinin sağlanması faaliyetlerinin planlanması ve icrası İnsan kaynakları süreçlerinin ve ihtiyaçlarının planlanması ve icrası Ürün ve hizmetlerin satış ve pazarlaması faaliyetlerinin planlanması ve icrası Ürün veya hizmetlerin satış süreçlerinin planlanması ve icrası Satış sonrası destek hizmetleri Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası Müşteri talep ve/veya şikayetlerinin takibi Müşteri memnuniyeti süreçlerinin planlanması ve/veya takibi Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi Şirketin finansal risk süreçlerinin planlanması ve/veya icrası Finans ve/veya muhasebe işlerinin takibi Risk yönetiminin gerçekleştirilmesi Ücret yönetimi 13 Şirket denetim faaliyetlerinin planlanması ve icrası Yetkili kişi ve/veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi Hukuk işlerinin takibi Kurumsal iletişim faaliyetlerinin planlanması ve icrası Tedarikçi veya iş ortağı yönetimi süreçlerinin planlanması ve icrası Operasyon süreçlerinin planlanması ve icrası Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi Personel istihdamına ilişkin süreçlerinin yürütülmesi Mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası Çalışanların performans değerlendirme süreçlerinin planlanması ve takibi Yetenek- kariyer gelişimi faaliyetlerinin planlanması ve icrası Çalışanlara yönelik kurumsal iletişim/sorumluluk/etkinlik projelerinin planlanması ve/veya icrası Çalışanların iş faaliyetlerinin takibi ve/veya denetimi Şirket dışı veya şirket içi eğitim faaliyetlerinin planlanması ve icrası Çalışan memnuniyetinin ve/veya bağlılığı süreçlerinin planlanması ve icrası Ziyaretçi kayıtlarının oluşturulması ve takibi Acil durum yönetimi süreçlerinin planlanması ve icrası Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi Şirket yerleşkesinin, demirbaşlarının ve kaynaklarının güvenliğinin temini Şirketin operasyonel risk süreçlerinin planlanması ve icrası gibi amaçlar. Bu amaçlar, somut olayın özelliklerine göre açık rıza gerektiren süreçler olabilmektedir. Bu durumda kişisel veri sahiplerinden, KVKK’ya uygun açık rızaların alınması süreçleri uygulanmaktadır. Kişisel veri sahibinin açık rızasını vermemesi durumunda, ilgili kişinin verileri 14 ancak KVKK’da sayılan açık rıza alınmadan kişisel verilerin işlenebileceği şartlar kapsamında ve bu şartlara uygun amaçlarla işlenebilmektedir. C. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI Şirketimiz KVKK’nın 8. ve 9. maddelerine uygun olarak müşterilerin kişisel verilerini üçüncü kişilere aktarabilmektedir. Aktarımda bulunulan üçüncü kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir. İş ortağı ile iş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla, Tedarikçi ile Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla, Şirketimizin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmek amacıyla, Şirketimizin ticari faaliyetlerine ilişkin stratejilerinin planlanması ve denetim amaçlarıyla, Hissedarlarımız ile ilgili mevzuat hükümlerine göre Şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla, Hukuken yetkili kamu kurum ve kuruluşları ile ilgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla, Hukuken yetkili özel hukuk kişileri ile ilgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla, Her halükârda yukarda 6.B. hüküm kapsamında belirtilen amaçlar kapsamında paylaşılabilmektedir. 7. ŞİRKET TESİSLERİ İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ÜZERİNDEN YAPILAN VERİ İŞLEME FAALİYETLERİ A. ŞİRKET TESİSLERİ İÇERİSİNDE KAMERA İLE İZLEME Şirketimiz tarafından güvenliğin sağlanması amacıyla, Şirketimizin binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyetinde bulunulabilmektedir. Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Anayasa, KVKK, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Şirketimiz, güvenlik kamerası ile izleme faaliyeti 15 kapsamında; şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamak, sunulan hizmetin kalitesini artırmak ve güvenilirliğini sağlamak ile müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Şirketimiz, genel hususlara ilişkin olarak yaptığı aydınlatmanın yanı sıra izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmasını sağlamakta ve tesis içerisine yerleştirilmiş kameraların yanlarına uyarı levhaları yerleştirmektedir. Böylelikle, kişisel verileri işlenen veri sahiplerinin haklarının korunması ve kişisel veri işlenmesinde şeffaflığın sağlanması amaçlanmaktadır. Güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Güvenlik amaçlarını aşan şekilde kişinin mahremiyetine müdahale sonucu doğurabilecek alanlar izlemeye tabi tutulmamaktadır. Kişisel verilerin işlenmesinde öngörülen güvenliğe, muhafaza etmeye ve silinmeye ilişkin kurallar kamera kayıtları açısından da aynen uygulanmaktadır. Kamera kayıtlarına yalnızca idari işler ekibimiz erişebilmektedir. Bunun haricinde, müşteriler tarafından bir şikayet, şirket içi bir disiplin süreci, yürüyen bir hukuki uyuşmazlığa ilişkin bilgi talebi ve benzeri durumlarda kamera kayıtları üçüncü kişilerle paylaşılmaktadır. B. ŞİRKET TESİSLERİNE GİRİŞ YAPAN MİSAFİRLERİN TAKİBİ Şirketimiz tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirket binalarında ve tesislerinde misafir giriş çıkışları takip edilebilmektedir. Misafir olarak Şirket binalarına gelen kişilerin isim ve soyadları elde edilirken Şirket içerisindeki bilgilendirme panoları, misafirlerin erişimine sunulan metinler veya diğer şekillerde söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler kaydedilmektedir. Misafir giriş çıkışlarına ilişkin veriler, muhafaza sürelerinin sona ermesi ardından silinmektedir. C. ŞİRKET MİSAFİRLERİNE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI Şirketimiz tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; misafirlerin tesislerimiz içerisinde kaldığı süre boyunca internet erişimlerine ilişkin log kayıtları 5651 Sayılı 16 Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınabilmektedir. Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirketimiz çalışanının erişimi bulunmaktadır. Bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmekte ve üçüncü kişilerle paylaşılmaktadır. D. İNTERNET SİTESİ ZİYARETÇİLERİ Şirketimiz sahibi olduğu internet sitelerinde; ziyaret eden kişilerin site üzerindeki hareketlerini takip etmek, ziyaretlerini uygun bir şekilde gerçekleştirmelerini temin etmek, kendilerine özelleştirilmiş içerikler gösterebilmek ve çevirim içi reklamcılık faaliyetlerinde bulunabilmek gibi maksatlarla teknik vasıtalar (Örn. çerez-cookie gibi) kullanabilmektedir. 8. ŞİRKET KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK ORGANİZASYONEL TEDBİRLER Şirketimiz Kişisel Verilerin Korunması ile İşlenmesi Politikası’nın yürürlüğünü sağlamak için bir yönetim yapısı oluşturmaktadır. Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere komite kurulmaktadır. Kurulacak komitenin görevleri aşağıda belirtilmektedir. Komite, bu görevlerin dışında üst yönetimin vereceği diğer görevleri de yerine getirilir. Komite tüm faaliyetlerini üst yönetimin onayı ile gerçekleştirmektedir. Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve gerekli olması halinde bu politikalar üzerinde yapılacak değişiklikleri hazırlamak, Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek, Şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve bu hususların uygulanmasını sağlamak, Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin işbirliği yaptığı kurumlar nezdinde farkındalık yaratmak ve bu kapsamda eğitimler düzenlemek, 17 Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak, Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek ve gerekli aksiyonları almak, 9. YÜRÜRLÜK VE GÜNCELLENEBİLİRLİK Şirketimiz tarafından düzenlenen bu Politika 30.06.2020 tarihlidir. Politika’nın tamamının veya bir kısmının güncellemeler yapılabilir. Politika Şirketimizin internet sitesinde (www.betalojistik.com.tr) yayınlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. 10. TANIMLAR Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Anonim Hale Getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Örneğin, maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi. Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin, müşteriler ve çalışanlar. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin, ad-soyad, T.C. Kimlik No., e-posta, adres, doğum tarihi, kredi kartı numarası vb. Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 18 Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, bir şirketin müşteri verilerini saklayan bilişim firması. Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.