KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

GİRİŞ

LİDER KOZMETİK SAN. VE TİC. A.Ş. (bundan sonra “Şirket” olarak anılacaktır.) işbu Veri Koruma Politikası (bundan sonra “Politika” olarak anılacaktır.) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu, 30286 sayılı Veri Sorumluları Hakkında Yönetmelik, 30242 sayılı Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe (bundan sonra ilgili mevzuat olarak anılacaktır.) uygun olarak, Bu Politika ile kişisel verilerin işlenmesi ve korunması konusunda ŞİRKET tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır.

Şirket hukuki ve sosyal sorumluluğunun bir parçası olarak, kendi bünyesindeki Kişisel Veriler bakımından bu Politikaya ve bu Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.

AMAÇ

Bu Politikanın temel amacı, Xxxxxx tarafından Kişisel Verilerin korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.

KAPSAM

I. Bu Politika, Şirketin işlemekte olduğu Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.

II. Bu Politika, Kişisel Veri niteliği taşımayan verilere uygulanmaz.

III. Bu Politika, Kişisel verilerin korunması hakkındaki düzenlemelerinin gerektirmesi halinde yahut Şirketin Veri Sorumlusu Temsilcisi gerekli gördüğü hallerde zaman zaman yönetim kurulu onayı ile değiştirilebilir.

TANIMLAR

Bu Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder;

“Xxxx Xxxx” Veri Öznesinin Kişisel Verilerinin işlenmesine dair bilgilendirilmeye dayalı olarak ve özgür iradeyle açıkladığı rızayı ifade eder.

“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

“Anonim Hale Getirilmiş Veri” Gerçek kişi ile hiçbir şekilde ilişkisinin kurulması mümkün olmayan veriyi ifade eder.

“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Veriler”i de kapsayacaktır).

“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,

depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade eder.

“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder.

“Kurum” Kişisel Verileri Koruma Kurumunu ifade eder. “KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.

“KVK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.

“KVK Prosedürleri” Yönetim Kurulu tarafından onaylanarak yürürlüğe giren ve Şirketin, çalışanların, Komitenin ve Veri Sorumlusu Temsilcisinin işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.

“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

“Silme veya Silinme” Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

“Veri Envanteri” Şirketin Kişisel Veri İşleme faaliyetlerine yönelik olarak Kişisel Veri İşleme süreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifade eder.

“Veri İşleyen” Xxxx Xxxxxxxxx tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder.

“Veri Öznesi” Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade eder.

“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.

“Veri Sorumlusu Temsilcisi” Komite içerisinden seçilen ve Şirketin Kurum ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan çalışanı ifade eder.

“Yok Etme” Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve kullanılamaz hale getirilmesi işlemidir.

1. Veri Koruma Politikasının Kapsamı ve Tadili

1.1 İşbu Politika, Şirketin ve kontrolü altındaki iştiraklerinin tamamına uygulanmakta ve kişisel verinin işlenmesi amacıyla tatbik edilmektedir.

1.2 İşbu Politika, Şirketin ve kontrolü altındaki iştiraklerinin gerçek kişi müşterilerine ve Şirket ve kontrolü altındaki iştirakleri ile belirli bir çerçeve sözleşmesi olmayan diğer gerçek kişilere de uygulanmaktadır. Bu Politikada yer alan ifadeler Şirket ve kontrolü altındaki iştiraklerini de kapsayacaktır.

1.3 İstatistiki değerlendirmeler veya çalışmalar için elde edilen veriler gibi anonim hale gelmiş ve tanımlanamayan veri ve tüzel kişilere ilişkin veriler kişisel veri olarak kabul edilmemektedir ve işbu Politika ’ya tabi değildir.

1.4 İşbu Politika zaman içinde güncellenebilir. Bu nedenle, Politikanın en güncel hali xxx.xxxxxxxxxx.xxx adresinde bulunabilir.

2. Kişisel verilerin işlenmesi ile ilgili İlkeler

2.1 Hukuka ve dürüstlük kurallarına uygun olma: Kişisel verilerin işlenmesi sırasında, veri sahiplerinin hakları korunmalıdır. Kişisel veri, hukuka ve dürüstlük kurallarına uygun bir şekilde toplanmalı ve işlenmelidir.

2.2 Belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı sınırlı ve ölçülü olma: Kişisel veri, yalnızca veri toplanmadan önce belirlenmiş olan amaca hizmet

etmek için işlenebilir.

2.3 Şeffaflık: Veri sahibi, verilerinin nasıl kullanıldığı konusunda bilgilendirilmelidir. Kişisel Verilerin elde edilmesi sırasında, veri sahibi aşağıdakilerin farkında veya bunlar hakkında bilgilendirilmiş olmalıdır:

▪ Veri Sorumlusunun ve varsa temsilcisinin kimliği,

▪ Kişisel Veri işlemenin amacı;

▪ Kişisel Verilerin kimlere ve hangi amaçlarla aktarılabileceği;

▪ Kişisel Veri toplamanın yöntemi ve hukuki sebebi;

▪ Veri sahibinin hakları.

2.4 İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme: Kişisel verilerin işlendikleri amaç ve çıkarları için gerekli addedildiği, düzenleyici otoriteler ve /veya ilgili kanun ve yönetmelikler tarafından zorunlu

kılındığı sürece Şirket ve kontrolü altındaki iştirakleri ve varsa sahibinden xxxx xxxx alınarak veri alınan veya veri iletilen üçüncü kişiler; işbu Politika tarafından ortaya koyulan amaçlara uygun olarak kişisel verileri işlemeye ve muhafaza etmeye devam edecektir.

2.5 Bilgilerin Doğruluğu; Verilerin Güncelliği: İşlenmiş kişisel verilerin doğru, eksiksiz olması ve gerekiyorsa güncel tutulması gerekmektedir. Doğru olmayan veya eksik olan verilerin silinmesi, düzeltilmesi, tamamlanması veya güncellenmesi için uygun adımlar atılacaktır.

2.6 Gizlilik ve veri güvenliği: Kişisel veri, veri gizliliğine tabidir. Kişisel düzeyde gizli olarak değerlendirilmeli ve yetkisiz erişim, hukuka aykırı olarak işleme veya dağıtımın yanı

sıra kazara kayıp, değişiklik veya tahribatın önlenmesi ve Kişisel Verilerin

muhafazasının sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirler alınacaktır.

3. Veri işleme kapsamı

3.1 Şirketin hizmetlerinin kullanıldığı süre boyunca ve akdi ilişkinin sona ermesinin ardından Şirket, işbu Politikanın 7’nci maddesinde belirtilen amaçlara uymak

suretiyle, bir veri sahibinin bilgilerini, kişisel veri dâhil olmak üzere, işleme hakkına sahip olacaktır.

3.2 Şirket tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik

gerçekleştirilen her türlü eylemi kapsar. Daha iyi bir ifadeyle kişisel veri işleme; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla işbu Politikada belirtilen veri sahibi Şirket,

kontrolü altındaki iştirakleri ve varsa sahibinden xxxx xxxx alınarak veri alınan veya veri iletilen üçüncü kişilerden veri alınması, toplanması, kaydedilmesi, fotoğraflanması,

video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline

getirilmesi, geri alınması veya açıklanması, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan

yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi (işbu Politikada belirtilen amaçlara uymak suretiyle daha sonra veriyi işleyecek olan, işbu Politikada belirtilen üçüncü taraflara bilgi transfer edilmesi ve/veya açıklanması dâhil olmak üzere) anlamına gelir.

3.3 Şirket, kontrolü altındaki iştirakleri ve varsa sahibinden xxxx xxxx alınarak veri alınan veya veri iletilen üçüncü kişiler, veri sahibinin veya veri sahibi tarafından belirlenmiş üçüncü kişilerin verilerini işler. Veri işleme ayrıca, Şirketin talimatlarıyla ve/veya Şirketin veri işleyen olduğu ve bir üçüncü kişinin (veri sorumlusu) lehine ve onun talimatlarıyla hareket ettiğinde üçüncü taraflarca veri işlemeyi kapsar ancak bununla sınırlı değildir.

İşbu Politikanın belirlediği amaçlara uygun olarak, aşağıdaki kişisel veriler dâhil olmak ancak bunlarla sınırlı olmamak üzere kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin işlenmesi ve/veya aktarımı veya açıklanması:

a. Veri sahibinin adı ve soyadı;

b. Kişisel kimlik numarası ve/veya elektronik kimlik kartında bulunan özgün özellik;

c. Kayıtlı olunan ve/veya ikamet edilen adres;

d. Telefon/cep telefonu numarası;

e. E-posta adresi;

f. İşverenle ilgili veri, ayrıca istihdam koşullarıyla ilgili bilgi (çalışma yeri, ücret, çalışma saatleri, vb.)

g. Fiziksel, fizyolojik, psikolojik, ekonomik, kültürel veya sosyal özelliklerine göre veya yukarıda anılan veya sıralanan işlemle ilgili faaliyetler kullanılarak veri sahibini tespit

etmeyi ve / veya karakterize etmeyi ve/veya gruplamayı sağlayan diğer her türlü veri.

Yukarıda anılan kişisel veriler anonim hale geldiği takdirde kişisel veri kapsamına dâhil olmayacaktır.

Şirket hizmetlerinden faydalanmak amacıyla veri sahibi, Şirkete (fotoğraf, kimlik bilgileri ve benzeri bilgileri burada sayılanlarla sınırlı olmamak üzere) ve Politika ’da Şirket’in hizmetleri amacıyla üçüncü kişilere ilgili bilgileri verirse ve Şirket, hizmetleri amacıyla bu kişisel verileri işlerse, veri sahibi ilgili üçüncü kişilerden ilgili kişisel verinin Şirket tarafından işlenmesi için rıza alma konusunda şahsen sorumlu olacaktır.

Veri sahibi, Şirkete veya yetkili personeline söz konusu bilgiyi verirse, veri sahibinin gerekli

rızayı aldığı varsayılır ve Şirketin bu rızayı kendisi alma zorunluluğu ortadan kalkmış olur. Veri sahibi, üçüncü tarafların rızasının alınması yükümlülüğüne uymaması veya bu yükümlüğü tam anlamıyla yerine getirmemesi durumunda Şirketin uğrayabileceği her türlü zarardan şahsen sorumlu olur. Veri sahibi, bu vesileyle, veri sahibinin yapacağı böyle bir ihlalin sonuçlarından dolayı Şirketin uğrayacağı her türlü zarara/kayba (netice kabilinden doğan zararlar dâhil, ancak bununla sınırlı olmamak üzere), şikâyete, giderlere (Şirketin yasal

haklarını kullanmasından dolayı uğrayacağı giderler dâhil, ancak bununla sınırlı olmamak üzere), yasal süreçlere ve diğer yükümlülüklere karşı Şirketi tazmin etmeye ve korumaya muvafakat eder ve mutabık kalır.

6. Veri işlemenin Temelleri

6.1 Veri sahibi, bu vesileyle, Şirketin hizmetlerinin kullanımı süresince ve sözleşmeden doğan ilişkisi veya hukuki ilişkisi sona erse bile, Şirket aşağıdaki amaçlarla veri

sahibiyle ilgili veya veri sahibi tarafından belirtilen üçüncü kişilerle ilgili bilgileri işlemesinin gerekli olduğunu kabul eder:

a. Veri sahibine yönelik bir hizmetin verilebilmesi ve/veya uygulanması,

b. Şirketin ve/veya üçüncü tarafların hukuki çıkarlarının korunması ve/veya veri sorumlusunun meşru menfaatlerinin kullanılması ya da korunması amacıyla veri işlemenin zorunlu olması;

c. Hukuki düzenlemeler çerçevesinde Şirketin yükümlülüklerinin yerine getirilmesi;

d. Veri sahibi ile Şirket arasında bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, veri sahibine ait kişisel verilerin işlenmesinin gerekli olması,

e. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f. Veri sahibinin muvafakat ettiği diğer hususlar,

g. Mevzuatta açıkça öngörülen diğer hususlar.

6.2 Veri Sahibinin vermiş olduğu muvafakatname, veri sahibinin Politikayı ve hükümlerini kabul ettiği, anlamına gelecektir.

7. Veri İşleme Amaçları

7.1 Şirket ve/veya işbu Politikada belirtilen üçüncü kişiler, aşağıdakiler dâhil olmak ancak bununla sınırlı olmamak üzere, veri sahibinin veya veri sahibi tarafından belirtilen üçüncü kişilerin kişisel verilerini:

a. Güvenliğin sağlanmasının yanı sıra diğer suç teşkil eden faaliyetlerin tespit edilmesi ve/veya önlenmesi;

b. Veri Sahibinin şikâyet, soru ve taleplerinin karşılanması;

c. Veri Sahibinin kimlik bilgilerinin doğrulanması;

d. Mülkiyet ve güvenliğin sağlanması;

e. Veri sahibi ile akdedilen sözleşmelerin gereğinin yerine getirilmesi,

f. İlgili mevzuatta öngörülen diğer amaçları gerçekleştirmesi amacıyla işleyebilir.

8. Başvuru Sahiplerinin Veya Çalışanların Verilerinin İşlenmesi

8.1 Hizmet sözleşmesi akdetmek, ifa etmek, sürdürmek ve feshetmek amacıyla kişisel

verilerin işlenmesi: Hizmet sözleşmesinden doğan özlük haklarının yerine getirilmesi ve bunların kesintisiz olarak sürdürülmesi, çalışanlara sağlanacak sağlık sigortası da dâhil olmak üzere her türlü sigorta hizmeti, iş sağlığı ve güvenliği hizmeti, çalışma izni işlemlerinin yerine getirilmesi, kişisel iş başvurularının değerlendirilmesi, araştırma ve diğer işe alım süreçlerinin yürütülmesi performans değerlendirmesi ve takibi, eğitim faaliyetleri, sağlık hizmetlerinin verilmesi, çalışma koşullarının iyileştirilmesi, kişisel

gelişim süreçlerinin yürütülmesi gibi insan kaynakları ve eğitim süreçlerinin yerine getirilmesi gibi amaçlarla Şirket, ilgili kişinin iş ve/veya staja başlaması sebebiyle açıkladığı kişisel bilgilerini işleme hakkına sahiptir.

8.2 Başvuru sürecinde, üçüncü kişilerden başvuru sahibiyle ilgili bilgi toplanması

gerekirse, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine uyulmalıdır.

8.3 İş ilişkisiyle ilgili olan ancak ilk başta iş akdinin ifasının bir parçası olmayan kişisel verinin işlenmesi için yasal bir yetkilendirme olması gerekir. Bunlar arasında:

a. Yasal zorunluluklar,

b. Başvuru sahibinin rızası (elektronik ve elektronik olmayan yollarla) veya

c. Şirket veya üçüncü tarafın meşru çıkarı ve

d. İşbu Politikanın 6 ve7 no’lu fıkrasında belirtilen amaçlar yer alabilir.

9. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel Nitelikli veriler, ırk ve etnik köken, siyasi düşünceler, dinsel veya felsefi inançlar, mezhep ve diğer inançları, vakıf ya da sendika üyeliği, sağlık ve cinsel yaşam, ceza mahkûmiyeti ve

güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Özel Nitelikli kişisel veriler, yalnızca başvuru sahibinin (veri sahibinin) açık muvafakatiyle işlenebilir.

10. Veri sorumlusu ve işleyenin yükümlülüğü

İşbu Politikanın hükümlerine istinaden; Şirket, bazı kişisel veri türlerini işlerken, veri işleyen olup işbu Politikada belirtilen üçüncü kişiler dâhil olmak üzere veri sorumlusu adına hareket edebilir veya veri sorumlusu olduğu bazı kişisel veri türleri için ilgili üçüncü kişiler veri işleyen olabilir. Buna bağlı olarak, böyle bir ilişkinin taraflarından her biri (veri işleyenin yanı sıra veri sorumlusu ve onun alt yüklenicisi), mevcut veri koruma mevzuatına tam uymak ve aşağıda sıralanan hükümlere harfiyen uymak zorundadır:

a. Kişisel veriler, ilgili mevzuatta yer alan ilkelere uygun olarak işlenmelidir. Veri sahibinin muvafakatinin alınması ve gerekli bilgilendirmenin yapılması gerekmektedir.

b. Taraflardan birinden diğerine iletilen verinin işlenmesi, hiçbir sınırlama olmaksızın, işbu Politikanın 6 ve/veya 7 no’lu fıkrasında belirtilen amaçlara ulaşmak için

gerçekleştirilmelidir.

c. Sürecin özgüllüğüne bağlı olarak, veri işlenmesi esnasında taraflardan biri veri

işleyeni ve diğeri veri sorumlusunu temsil ediyorsa, veri işleyen şunları yapmakla yükümlüdür:

• İşbu Politikanın hükümleriyle tanımlandığı ve ilgili mevzuatın izin verdiği ölçü ve kapsama uyarak veya düzenleyici bir otoritenin talebiyle, taraflardan

diğerinin ilettiği/açıkladığı verinin işlenmesi;

• Veri sorumlusu tarafından iletilmiş/açıklanmış verilerin yetkisiz işlenmesi, kaybı, tahribatı, hasara uğraması, yetkisiz değişiklik yapılmasını veya

açıklamasını önlemek için, makul her türlü teknik ve diğer türdeki tedbirin uygulanması ve gerekli işlemin yapılması ve veri sorumlusunun bu kapsamda alınan her tedbirden haberdar edilmesi

• Şirket, yetkili personeli aracılığıyla veri güvenliği amacıyla veri işleyen tarafından uygulanan tedbirleri ve uygulamaları denetleyebilir.

• Aşağıdakilerin gerçekleşmesi halinde veri sorumlusunun en kısa sürede ve en geç otuz (30) gün içerisinde veri sahibine bildirimde bulunulması:

❖ Veri sahibi tarafından kendi kişisel verileriyle ilgili bilgiler hususunda bir talepte bulunulması;

❖ Veri sorumlusunun mevzuatın getirdiği zorunluluklara uyumu ile ilgili bir şikâyet veya beyanın iletilmesi;

• Veri İşleyen tarafından aşağıdakiler dâhil olmak üzere, Şirket tarafından

iletilen/açıklanan bir şikâyet veya beyanın incelenmesi konusunda Şirket ile işbirliği yapmak ve Şirkete destek olmak:

❖ Xxxxxx tarafından veri işleyene iletilen/açıklanan, veri sahibi hakkında

veriler dâhil olmak üzere, şikâyet ve beyan durumuyla ilgili detaylı bilginin talep tarihinden itibaren beş (5) iş günü içerisinde Şirkete sağlanması;

❖ Yukarıda anılan süre içerisinde, veri işleyenin elinde bulunan veriye, Şirketin erişiminin sağlanması (elektronik veri dâhil);

❖ Yukarıda anılan süre içerisinde, Şirkete konuyla alakalı bilgi sağlanması;

❖ Veri İşleyen tarafından Avrupa Birliği Ekonomik Bölgesinin bir parçası olmayan ve kişisel verilerin korunması için yeterli seviyede olan ülkeler listesinde olmayan yahut veri sahibinin ya da Kişisel Verileri Koruma

Kurulu’nun aktarılmasına izin vermediği bir ülkeye ve/veya uluslararası kuruluşa veri işleme (transferi) faaliyetine engel olunması.

❖ Şirketin önceden yazılı rızası olmaksızın; verilerin üçüncü kişilere transfer edilmemesi /açıklanmaması. Şirketin önceden yazılı rızası olduğu

durumlarda dahi; veri işleyen yazılı bir sözleşme uyarınca veriyi transfer etme/ açıklamakla yükümlüdür. Sözü edilen yazılı sözleşme çerçevesinde üçüncü kişi ve onun alt yüklenicileri, verinin yetkisiz işlenmesi, kaybı, tahribatı, hasar görmesi, yetkisiz değiştirilmesi veya açıklanmasının

önlenmesi için gerekli her türlü teknik ve diğer türdeki tedbiri almakla yükümlüdür.

❖ Veri işleyenin (Politika ve mevzuat uyarınca) gerekli önlemleri almaması veya söz konusu önlemleri tam olarak yerine getirememesinden dolayı

Şirketin uğrayacağı her türlü zarar/kaybın tazmin edilmesi. Veri işleyen, bu vesileyle, veri işleyenin ihlali sonucunda, Şirketin uğrayabileceği her türlü zarar/kayıp (netice kabilinden doğan zararlar dâhil, ancak bununla sınırlı olmamak üzere), şikâyet, giderler (Şirketin yasal haklarını kullanmasından dolayı uğrayacağı giderler dâhil, ancak bununla sınırlı olmamak üzere), yasal süreçler ve diğer yükümlülüklere karşı Şirkete tazmin etmeye ve korumaya muvafakat eder ve mutabık kalır.

11. Üçüncü kişiler(l)e/kişilerden bilgi aktarımı/paylaşımı

Şirketin veri sahibine gerektiği gibi hizmet edebilmesi ve 6 ve 7 fıkrasındaki amaçlara uygun olarak veri işleme kapsamında, veri sahibiyle ve/veya veri sahibinin işaret ettiği üçüncü taraflarla ilgili verilerin işbu Politikada belirtilen üçüncü kişiler(l)e/kişilerden aktarımı/paylaşımı gereklidir.

Bu amaçlara uygun olarak; veri sahibi, Şirkete kişisel verilerinin gerek Şirket birimleri, gerekse iştirakleri, kamu kurum ve kuruluşları ile Şirketin faaliyetlerinin tamamlayıcısı veya uzantısı niteliğindeki hizmetleri aldıkları kişiler, kamu kurum ve kuruluşları, anlaşmalı kuruluşlar ve destek hizmeti kuruluşları aracılığıyla verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi haklarını vermektedir.

12. Veri güncelleme, işleme ve elde tutma dönemi

Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya veri sahibinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

13. Veri sahibinin hakları

Her veri sahibi aşağıdaki haklara sahiptir.

a. Kişisel verilerini işlenip işlenmediğini öğrenme,

b. Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,

c. Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,

d. Kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,

e. Kişisel verilerin eksik veya yanlış işlenmiş ise düzeltilmesini isteme,

f. Kişisel verilerin silinmesini veya yok edilmesini isteme,

g. Kişisel verilerin aktarıldığı üçüncü kişilere yukarıda sayılan (e) ve (f) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,

h. Kişisel verilerin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme ve

i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılmaması halinde zararın giderilmesini talep etme.

14. Veri işlemenin gizliliği

Kişisel veriler, veri güvenliğine tabidir. Şirketin iştiraklerinin ve/veya bağlı ortaklıklarının herhangi bir çalışanının bu verilere yetkisiz şekilde erişmesi, bu verileri işlemesi veya kullanması yasaktır. Şirket’in, iştiraklerinin ve/veya bağlı ortaklıklarının meşru görevi

çerçevesinde yetkilendirilmemiş olan herhangi bir çalışanının bu verileri işlemesi yetkisiz

işlem anlamına gelmektedir. Şirket’in, iştiraklerinin ve/veya bağlı ortaklıklarının çalışanları kişisel bilgilere ancak söz konusu görevlerinin türü ve kapsamı çerçevesinde uygun şekilde erişebilir.

Şirket’in, iştiraklerinin ve/veya bağlı ortaklıklarının çalışanların kişisel verileri özel veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle paylaşması veya başka bir yöntemle bu

verileri erişilebilir hale getirmeleri yasaktır. Yöneticiler, istihdam ilişkisinin başlangıç aşamasında çalışanlarını veri gizliliğini koruma yükümlülüğü hususunda bilgilendirmelidir. Söz konusu yükümlülük istihdamın sona ermesinden sonra da devam edecektir.

15. Veri işleme güvenliği

Kişisel veriler, yetkisiz erişime, yasa dışı veri işleme veya ifşaya ve verilerin kazara kaybına, değiştirilmesine veya imhasına karşı korunmalıdır. İşbu hüküm, veriler ister elektronik

ortamda ister kâğıt üzerinde işlensin, geçerli olacaktır. Yeni veri işleme yöntemleri, bilhassa da yeni bilgi teknolojisi sistemleri ortaya çıkıncaya kadar, kişisel verileri korumaya yönelik teknik ve diğer türdeki tedbirlerin tanımlanıp hayata geçirilmesi gerekmektedir. Söz konusu tedbirler mevcut olan en ileri teknolojiyi, veri işleme risklerini ve verileri koruma

gereksinimini dikkate alarak tasarlanmalıdır.

16. Veri koruma kontrolü

İşbu Veri Koruma Politikasına ve ilgili veri koruma kanunlarına uyulup uyulmadığı hususu, Şirketin ilgili birimlerinde görevli yetkili kişiler tarafından düzenli olarak kontrol edilir.

Sorumlu veri koruma makamı, sair mevzuatta izin verildiği şekilde, Şirketin, iştiraklerinin ve bağlı ortaklıklarının işbu Politikanın hükümlerine uyum durumunu bizzat denetleyebilir.

17. İletişim

Veri Sahibi, bu Politikanın ve ilgili mevzuatın uygulanması ile ilgili taleplerini işbu Politika ’da belirtilen Veri Sorumlusuna aşağıda belirtilen adrese kimliği belirlenebilecek belgeler ile yazılı olarak; postayla, noter kanalıyla ya da elektronik postayla iletir. Veri Sorumlusu başvuruda

yer alan talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içerisinde talebi

ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretler alınır.

Veri Sorumlusu   : LİDER KOZMETİK SAN. VE TİC. A.Ş.

Adres         : Xxxxxxxx Xxxxxxxx Xxxxxx Xxxxxxx 0. Xxxxx Xxx. X-0000 Xxx. No: 12 Dilovası - KOCAELİ

E-Posta Adresi    : xxxx@xxxxxxxxxxxxx.xxx

Form No:İK F61 Yayın Tarihi: 04.10.2019 Xxx.Xx: Rev.Tarihi: