K.V.K.K.

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

BİRİNCİ BÖLÜM

1.1. Giriş

TUBA HOLDİNG A.Ş. (“Şirket”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle, gerek aydınlatma yükümlülüğünü yerine getirmek gerekse de kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildirmek adına işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız.

1.2. Politikanın Amacı

İşbu Politika’nın temel amacı, hukuka ve Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, ilgili kişileri bilgilendirmek, kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan kaynaklanan tüm haklarının korunmasıdır.

1.3. Politikanın Kapsamı ve Kişisel Veri Sahipleri

İşbu Politika; otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Şirket Hissedarları, Şirket Yetkilileri, Çalışanlar, Çalışan Yakını, Ziyaretçiler, Doğrudan ya da Dolaylı Şirket Müşterileri, Şirket Tedarikçileri, Potansiyel Müşteriler başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişiler için hazırlanmıştır. Politika kapsamında hiçbir şekilde tüzel kişilere ait veriler yer almamaktadır.

Politika kapsamındaki kişisel veri sahipleri aşağıdaki şekildedir :

   
Şirket Hissedarı Şirket’te hisse sahibi gerçek kişileri ifade etmektedir.
Şirket Yetkilisi Şirket’in yönetim kurulu üyesi ve diğer yetkili gerçek kişilerdir.
Şirket Tedarikçileri Şirket’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin çalışanları, hissedarları ve yetkilileri dâhil olmak üzere, tüm gerçek kişileri ifade etmektedir.
Çalışan Şirket ile iş akdi kapsamında ilişki olan gerçek kişileri ifade etmektedir.
Çalışan Yakını
Şirket ile iş akdi kapsamında ilişki olan gerçek kişiler tarafından bilgileri paylaşılan birinci derece yakınlarını ifade etmektedir.
Potansiyel Müşteri Şirket’in ürün ve hizmetlerini kullanma talebinde veya ilgisinde bulunmuş gerçek kişileri ifade etmektedir.
Ziyaretçi Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini herhangi bir amaç ile ziyaret eden tüm gerçek kişileri ifade etmektedir.
Şirket Müşterileri Şirket ile doğrudan ve/veya dolaylı sözleşmesel ilişki kapsamında, Şirket’in sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişileri ifade etmektedir.

1.4.Tanımlar


İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:

   
Veri Sorumlusu
Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade eder.
Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Özel Nitelikli Kişisel Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kişisel Veri Sahibi/İlgili Kişi
Şirket Hissedarları, Şirket Yetkilileri, Çalışan Adayları, Çalışanlar, Çalışan Yakını, Ziyaretçiler, Şirket Müşterileri, Şirket Tedarikçileri, Potansiyel Müşteriler
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini ifade eder.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
Açık Rıza
Kişisel Veri Sahibi/ İlgili kişinin belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade ile açıkladığı rızasını ifade eder.
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
KVK Kurulu
Kişisel Verileri Koruma Kurulu’dur.
 

1.5. Politikanın Yürürlüğü

Şirket tarafından düzenlenerek işbu Politika, Şirket’in internet sitesinde (www.tubagrup.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.


İKİNCİ BÖLÜM

2. KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI


2.1. Kişisel Verilerin İşlenmesinde Genel İlkeler

Şirket tarafından Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun şekilde işlenir. Şirket, Kişisel Verileri işlerken aşağıdaki ilkelere uygun şekilde hareket eder:

  • Kişisel Veriler, ilgili hukuk kurallarına ve dürüstlük kuralının gereklerine uygun olarak işlenir.
  • Kişisel Verilerin doğru ve güncel olması sağlanır. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır.
  • Kişisel Veriler; belirli, açık ve meşru amaçlarla işlenir. Amacın meşru olması, Şirketin işlediği Kişisel Verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir.
  • Kişisel Veriler, Şirket tarafından belirlenen amaçların gerçekleştirilebilmesi için amaçla bağlantılı olup, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verilerin işlenmesinden kaçınılır. Şirket, işlediği verileri yalnızca amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Bu kapsamda işlenen Kişisel Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.
  • İlgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde, bu sürelere uyum gösterilir. Süre bulunmaması durumda Kişisel Veriler, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. İşlenen Kişisel Verilerin daha fazla muhafaza edilmesi için geçerli bir sebebin kalmaması halinde ise, söz konusu veriler silinir, yok edilir veya anonim hale getirilir.


2.2. Kişisel Verilerin Toplamanın Yöntemi ve Hukuki Sebebi

Kanun’un amacını düzenleyen 1. Madde ile Kanun’un kapsamını düzenleyen 2. Madde’ye uygunluğunun denetimi amacıyla, Kişisel Veriler; her türlü sözlü, yazılı, elektronik ortamda; teknik ve sair yöntemlerle, Şirket internet sitesi gibi muhtelif yollardan, Politika’da yer verilen amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde, kanundan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirket veya Şirket tarafından görevlendirilen veri işleyenler tarafından işlenir.

2.3. Kişisel Verilerin İşlenme Şartları

Şirket, ilgili kanun gereği kişisel verileri veri sahibinin rızası ile işleyebilir. Aşağıdaki şartların birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın kişisel veriler işlenebilecektir.

  • Şirket, kişisel verileri kanunlarda açıkça öngörülen hallerde işleyebilir.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan veri sahibi kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması hallerinde işleyebilir.
  • Şirket tarafından bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler işlenebilecektir.
  • Şirket, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirebilmek için zorunlu olması halinde işleyebilir.
  • Şirket tarafından Kişisel Veri Sahipleri’nin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan Kişisel Veriler işlenebilir.
  • Şirket, hukuken meşru bir hakkın kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde işleyebilir.
  • Şirket, Kişisel Veri Sahipleri’nin Kanun ve Politika kapsamında korunan temel hak ve özgürlerine zarar vermemek kaydıyla, meşru menfaatlerinin temini için Kişisel Veriler’in işlenmesinin zorunlu olduğu durumlarda işleyebilir.
  • Şirket, Kişisel Veriler’in korunmasına ilişkin temel ilkelere uyulması ve Kişisel Veri Sahipleri’nin menfaat dengesinin gözetilmesi konusunda gerekli hassasiyeti göstermektedir.

2.4. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirket, Özel Nitelikli Kişisel Veriler’i, ilgili kanun gereği veri sahibinin açık rızası ile işleyebilir. Ancak sağlık ve cinsel hayat dışındaki Kişisel Veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rıza aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler, Şirket tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis ve tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunduğumuz koşullarda ilgili kişinin açık rızası aranmaksızın işlenebilir. Şirket, Özel Nitelikteki Kişisel Veriler’in işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütmektedir.

2.5. Kişisel Verilerin Aktarılma Şartları

Şirketimiz Kişisel Verileri işleme amaçları doğrultusunda gerekli gizlilik ve güvenlik önlemlerini alarak Kanunda öngörülen düzenlemelere uygun hareket etmek suretiyle aktarmaktadır. Bu kapsamda Şirketimiz meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda aşağıda sayılan, Kanunun 5. maddesinde belirtilen Kişisel Veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak Kişisel Verileri üçüncü kişilere:

  • Kişisel Veri sahibinin açık rızası olması halinde,
  • Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme olması halinde,
  • Kişisel Veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu durumların varlığı halinde,
  • Kişisel Veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyor ise,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel Verinin aktarılması gerekli ise,
  • Şirketimizin hukuki yükümlülüğünün yerine getirilmesi için Kişisel Veri aktarımı zorunlu ise,
  • Kişisel Veriler, Kişisel Veri sahibi tarafından alenileştirilmiş ise,
  • Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • Kişisel Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için Kişisel Veri aktarımı zorunlu ise, kişisel verileri aktarabilir.


2.6. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları

Şirket, ilgili kanun ve KVK Kurul tarafından verilen kararlar doğrultusunda, azami özeni göstererek, güvenlik tedbirlerini alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda, Kişisel Veri Sahibi’nin Özel Nitelikli Kişisel Veriler’ini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.

Kişisel Veri Sahibi’nin açık rızası olması halinde,

Ya da aşağıdaki şartların varlığı halinde, Kişisel Veri Sahibi’nin açık rızası aranmaksızın;

Kişisel Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılabilir.


ÜÇÜNCÜ BÖLÜM
3. KİŞİSEL VERİLERİN SINIFLANDIRILMASI, İŞLENME VE AKTARILMA AMAÇLARI, AKTARILACAĞI KİŞİLER


3.1. Kişisel Verilerin Sınıflandırılması

Bu kategorilerde işlenen kişisel verilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili olduğu bu bölümde belirtilmiştir.

KİŞİSEL VERİ KATEGORİZASYONU

KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMASI

Kimlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir. Örneğin; Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi ve benzeri bilgiler.

İletişim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler.

İşlem Güvenliği Bilgisi

Şirket’in faaliyetlerini yürütürken, gerek Kişisel Veri Sahibi’nin gerekse de Şirket’in teknik, idari, hukuki ve ticari güvenliğine ilişkin işlenen kişisel veriler.

Aile Bireyleri ve Yakın Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde ürün ve hizmetlerle ilgili veya Şirket’in ve Kişisel Veri Sahibi’nin hukuki ve diğer menfaatlerini korumak amacıyla Kişisel Veri Sahibi’nin aile bireyleri (örn. Eş, anne, baba, çocuk), yakınları hakkındaki bilgiler.

Fiziksel Mekan Güvenlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekana girişte,