Kişisel Verilerin Korunması ve Gizlilik Politikası

    GİRİŞ VE POLİTİKANIN AMACI

Ash Plus Yapı Malzemeleri San. ve Tic. A.Ş.  (“Ash Plus” veya "Şirket”)    olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca “veri sorumlusu” sıfatıyla kişisel verilerinizin gizliliği ve güvenliğine önem veriyoruz. Bu kapsamda, iş ilişkilerimizi yürütürken müşterilerimiz, çalışanlarımız, çalışan adaylarımız, tedarikçilerimiz, iş ortaklarımız, bunların çalışanları ve yetkilileri, ziyaretçilerimiz ve diğer tüm üçüncü kişilere ait elde ettiğimiz kişisel verileri nasıl işlediğimiz, hangi amaçlarla kullandığımız ve bu bilgileri nasıl koruduğumuz hakkında sizleri bilgilendirmek isteriz.

İşbu bildirimde kullanılan tüm kavram ve ifadeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve sair mevzuatta kendilerine atfedilen anlamı ifade edecektir. Bu Politikada ki “siz” ifadesi şahsınızı ifade etmektedir.

İşbu Politika ile Şirket’in “şirket faaliyetlerinin şeffaflık içinde yürütülmesi ilkesi”nin sürdürülebilirliği amaçlanmaktadır. Bu kapsamda, Şirket veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler belirlenmekte ve Şirket tarafından yerine getirilen uygulamalar açıklanmaktadır.

Politika, Şirket tarafından otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verileri işlenen gerçek kişilere yöneliktir.

Şirket, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar.

Şirketimize ilettiğiniz kişisel verilerin, doğru, eksiksiz ve güncel olmalarını sağlamak, sizlerin sorumluluğundadır. Bunun ötesinde, başka kişilerin verilerini bizimle paylaşırsanız, bu tür verileri yerel yasal gerekliliklerle uyumlu olarak toplamak yine sizlerin sorumluluğunuzda olacaktır.

TANIMLAR

Şirket

Ash Plus Yapı Malzemeleri San. ve Tic. A.Ş.

Grup Şirketleri

Batıbeton Sanayi A.Ş., Batıliman Liman İşletmeleri A.Ş., Batısöke Söke Çimento Sanayii T.A.Ş., ASH PLUS Enerji Elektrik Üretim A.Ş., ASH PLUS Enerji Toptan Satış A.Ş., Batıçim Batıanadolu Çimento Sanayi A.Ş.

Kişisel Veri/Veriler

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Kişisel Verilerin İşlenmesi

Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,  açıklanması,  aktarılması,  devralınması,  elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel Veri Sahibi/İlgili Kişi

Şirket Paydaşlarını ve Çalışanlarını, Şirket İş Ortaklarını, Şirket Yetkililerini, Çalışan Adaylarını, Ziyaretçileri, Şirket ve Grup Şirket Müşterilerini, Potansiyel Müşterileri, Üçüncü Kişileri ve kişisel verisi şirket tarafından işlenen kişileri ifade eder.

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.

İrtibat Kişisi

Şirket’in Kanun ve Kanun’a dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Veri Sorumluları Sicili’ne kayıt esnasında bildirilen gerçek kişiyi ifade eder.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Veri Koruma Kurulu

Şirketin yürürlükteki Kişisel Verileri koruma mevzuatına ve düzenlemelerine uyumunu denetlemek, periyodik imha süreçlerini yönetmek, veri ihlali vb. durumlarda alınacak aksiyonları tespit etmek üzere oluşturulan kurulu ifade eder.

Veri Saklama ve İmha Politikası

Şirket tarafından Kişisel Verilerin saklanması,  silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 30224 sayılı ve 28 Ekim 2017 tarihli Resmi Gazete’de yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve yürürlükteki ilgili mevzuat uyarınca ile getirilen yükümlülüklerini yerine getirirken uyacağı esasları belirlemek amacıyla oluşturulan kişisel veri saklama ve imha politikasını ifade eder

Anonim Hale Getirme

Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

KVK Kurulu

Kişisel Verileri Koruma Kurulu’dur.

 

HANGİ KİŞİSEL VERİLERİ İŞLEYEBİLİYORUZ?

ASH PLUS ile aranızdaki hukuki-ticari-sözleşmesel ilişkilere bağlı olarak aşağıda belirtilen verilerinizin birini veya bir kaçını, ilişkinin türüne, mevzuata ve iş ihtiyacına göre işleyebiliyoruz. İşlediğimiz kişisel veriler, aramızdaki iş ilişkisinin türüne (Örn. müşteri, tedarikçi, iş ortağı vb.) ve bizimle iletişime geçme yönteminize (Örn. telefon, e-posta, web sitesi üzerinden, basılı evrak vb.) göre değişmektedir.

 

KİŞİSEL VERİ KATEGORİLERİ

DETAYLAR

 

Kimlik Bilgisi

 

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait; Ad-soyad, T.C. kimlik numarası, doğum yeri, doğum tarihi, cinsiyet, nüfus cüzdanı ve pasaport no, vergi numarası,imza, SGK numarası, vb. bilgiler.

 

İletişim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait; telefon numarası, adres, e-mail adresi, faks numarası, gibi bilgiler.

 

Lokasyon Bilgisi

 

İlgili Kişi’nin Şirket’in iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Şirket araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler; GPS konum verisi.

İşlem Güvenliği Bilgisi

Veri ilgilisine ait Ip adresi, Bilgisayar şifresi, internet erişim kayıtları gibi veriler.

 

Fiziksel Mekan Güvenlik Bilgisi

 

Şirkete ait fiziksel mekanlara girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar vb.

 

 

Finansal Bilgi

 

Şirket’in İlgili Kişi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, malvarlığı verisi, gelir bilgisi gibi veriler.

 

Görsel/İşitsel Bilgi

 

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olan; fotoğraf ve kamera kayıtları, çağrı merkezi vasıtasıyla alınan ses kayıtlarından ibaret veriler.

 

Özlük Bilgisi

 

Şirket ile kurduğu hizmet akdi uyarınca personel sıfatıyla çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri.

Eğitim ve Meslek Verileri

Çalışanların, adayların, ve müşterilerin iş geçmişi ve eğitim geçmişine ait bilgilerdir.

 

Hukuki İşlem Bilgisi

 

Şirket’in hukuki süreçlerinin takibi, alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri kapsamında işlenen veriler.

 

Müşteri İşlem Bilgisi

Ürün ve hizmetlerin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler.

 

Pazarlama Verisi

Ürün ve hizmetlerin İlgili Kişinin alış veriş geçmişine göre özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler.

 

Özel Nitelikli Kişisel Veri

Kanun’un 6. maddesinde belirtilen ve mahiyetleri itibariyle işlenmesi ve korunması daha özel şartlara bağlanan verilerdir (örn. sağlık verileri, sendika üyeliği vb).

 

Performans Bilgisi

Bu veri kategorisi, iç denetim ve işlerliği arttırma amacı ile şirket içinde personel için, şirket dışında ise iş ortaklarının performans denetimi amacı ile işlenen verilerin tümüdür.

NE ZAMAN KİŞİSEL VERİ TOPLARIZ?

Kişisel verilerinizi temel olarak aşağıdaki durumlarda toplarız:

  • Ürün ve hizmetlerimizi satın aldığınızda veya kullandığınızda,
  • İş başvurusu yaptığınızda ve/veya işe giriş yaptığınızda
  • Bize mal sattığınızda ya da hizmet sunduğunuzda,
  • Şirketimizle sözleşme imzaladığınızda veya teklifler sunduğunuzda/teklifler aldığınızda
  • Müşterilerimize ve tedarikçilerimize yönelik hazırlanmış olan elektronik uygulama ve sayfaları ziyaret ettiğinizde veya kullandığınızda
  • Bizimle web sitemiz üzerinden ya da telefon yoluyla bizimle iletişime geçtiğinizde,
  • Şirket etkinlik ve organizasyonlarımıza katıldığınızda,
  • Potansiyel müşteri/tedarikçi/iş ortağı/alt işveren olarak herhangi bir amaçla bizimle iletişime geçtiğinizde.

KİŞİSEL VERİ İŞLEME İLKELERİMİZ NELERDİR?

Şirketimiz tarafından işlenen tüm kişisel veriler, KVKK ve ilgili mevzuat uyarınca işlenmektedir. Şirketimiz, KVKK 4. maddesi uyarınca kişisel verilerinizi işlerken dikkat ettiğimiz temel ilke ve prensipler aşağıda açıklanmıştır:

  • Hukuka ve Dürüstlük Kuralına Uygun İşleme: Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
  • Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamak için elinden gelen tüm gayreti göstermektedir.
  • Belirli, Açık ve Meşru Amaçlarla İşleme: Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu ürün ve hizmetler ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir.
  • İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
  • İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından imha edilmektedir.

İLGİLİ KİŞİ KATEGORİLERİ NELERDİR?

AÇIKLAMA

Müşteri

ASH PLUS tarafından sunduğu hizmetlerden yararlanan gerçek veya tüzel kişileri ifade etmektedir.

Potansiyel Müşteri

ASH PLUS'ın sunduğu hizmetleri kullanma ilgisini gösteren, müşteriye dönüşme potansiyeli olan web sitesinden veya diğer kanallarla hizmetlerden yararlanma iradesini ortaya koyan, teklif talep eden gerçek veya tüzel kişileri ifade etmektedir.

Ziyaretçi

Şirkete ait tüm iş yerlerini ve internet sitesini ziyaret eden gerçek kişileri ifade etmektedir.

Çalışan Adayı

ASH PLUS'a CV göndererek, başvuru formu doldurarak veya başka yöntemlerle iş başvurusu yapan gerçek kişileri ifade etmektedir.

Çalışan

ASH PLUS bünyesinde iş sözleşmesi ile hizmet ifa eden gerçek kişileri ifade etmektedir.

Üçüncü Kişiler

Yukarıda yer verilen İlgili Kişi kategorileri ile  ASH PLUS çalışanları hariç gerçek kişileri ifade etmektedir.

İş ortakları/Tedarikçiler ve Bunların Çalışanları

ASH PLUS’ın ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı veya tedarik süreçleri kurduğu ve bu kapsamda sözleşme temelli olarak ASH PLUS'a mal veya hizmet sunan taraflar ve bu tarafların çalışanlarını ifade etmektedir.

Şirket Ortağı

Şirket’in ortağı gerçek kişileri ifade etmektedir.

 Gerçek Kişi İş Ortağı

Şirket’in her türlü iş ilişkisi içerisinde bulunduğu gerçek kişileri ifade etmektedir.

Şirket İş Ortaklarının Paydaşı, Yetkilisi, Çalışanı

Şirket’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin  (bayi, iş ortağı,  tedarikçi gibi)  çalışanları, Paydaşları ve yetkilileri dâhil olmak üzere,  tüm gerçek kişileri ifade etmektedir.

Şirket Yetkilisi

Şirket’in yönetim kurulu üyesi ve diğer yetkili gerçek kişileri ifade etmektedir.

 

KİŞİSEL VERİ TOPLAMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ NELERDİR?

Kişisel verilerinizi KVKK madde 5 uyarınca aşağıdaki hukuki sebepler çerçevesinde işliyoruz. Şirketimizin faaliyet alanı gereği ÇİMENTO üretimi ve toptan satışı işleri için bir çok üretici, bayi-distribütör ve satış noktası ile ticari ilişkiler kurmakta ve bu taraflar arasında ürün tedarik, depolama ve teslim hizmetleri sunmaktadır. Şirket tarafından perakende satış yapmak suretiyle son kullanıcı/gerçek kişi müşteri ile doğrudan bir satış ilişkisi tesis edilmese de, zaman zaman üretici ve garanti sorumlulukları, talep ve şikayetlerin takibi ve müşteri memnuniyeti gibi gerekçelerle doğrudan gerçek kişi müşterilerle de temas edebilmektedir.  Şirketlerimiz operasyonları gereği ticari iş süreçlerinin tamamında Tacir veya Esnaf olarak tabir edilen ticaret erbapları ile ilişkiler kurmaktadır. Kişisel veriler temel olarak, kanunlarda açıkça düzenlenen hususlar saklı olmak üzere, taraflar arasındaki Ticari ilişkilerin ve sözleşmelerin kurulması ve ifası, vergi, borçlar ve ticaret hukuku mevzuatları başta olmak üzere ilgili mevzuat uyarınca yükümlülüklerin yerine getirilmesi ve temel hak ve özgürlüklere zarar vermemek koşuluyla şirketimizin zorunlu meşru menfaatleri hukuki gerekçeleriyle işlenmektedir. Kişisel veri işleme süreçlerimizde, burada belirtilen hukuki gerekçelerin birine girmeyen hususlar olduğunda ayrıca AÇIK RIZA gerekçesini sağlamak üzere veri ilgilisinden izin talep edilmektedir.

ASH PLUS ile aranızdaki ticari, hukuki, sözleşmesel veya bir başka surette kurduğunuz ilişki kapsamında, aşağıda detaylı olarak belirtilen amaçlar çerçevesinde ve 6698 sayılı Kanun’un 5. Maddesinin 2. Fıkrası ve devamındaki hukuka uygunluk sebeplerine istinaden veya böyle bir sebep bulunmaması halinde açık rızanıza istinaden; Kişisel Verileriniz, ASH PLUS tarafından doğrudan sizlerden (sözleşme, sipariş formu, teklif talebi veya formu, e-posta yazışmaları, kartvizit paylaşımı, işe alım süreçleri, web sitesi mesajları, sosyal medya mesajları, çağrı merkezi kayıtları, işyeri ziyaretleri, iş ortaklarımızın paylaşımları gibi alanlardan) toplanmakta ve işlenebilmektedir. İş yerlerimizi ziyaretleriniz sırasında güvenlik gerekçeleri ile kimlik bilgileriniz ve güvenlik kamerası ile görüntünüz kayıt altına alınmakta ve bu operasyonla sınırlı olarak işlenmektedir.

  • ASH PLUS’in tabi olduğu mevzuatta öngörülmüş olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, talep edilen ürün ve hizmetleri sunabilmek veya akdettiğiniz sözleşmelerin gereğinin yerine getirilmesi,
  • ASH PLUS’in  hukuki yükümlülüklerini yerine getirebilmesi için veri işlemenin zorunlu olması,
  • Tarafınızca alenileştirilmiş olması,
  • ASH PLUS’in mevzuat veya iç uygulayışı gereği bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Temel hak ve özgürlüklerinize zarar vermemek kaydıyla, ASH PLUS meşru menfaatleri için veri işlemenin zorunlu olması.

 

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ

ASH PLUS, tüm veri işleme süreçleri için, 6698 sayılı yasa ve ilgili mevzuat uyarınca, kişisel verilerin veri ilgilisinden temin edilmesi aşamasında, süreç bazlı olarak tüm veri ilgililerini bilgilendirmektedir. Bu bilgilendirme kapsamında ve veri ilgilisi ile temas edilen alan özelinde yazılı/basılı veya elektronik yollarla;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Veri ilgisinin hakları

Hususunda bilgi verilmektedir. Bu bilgilendirme yine işin mahiyetine göre detayı olabileceği gibi katmanlı aydınlatma prensibi de esas alınarak zaman zaman işbu politikaya atıf ve yönlendirme yapılmak suretiyle de yerine getirilmektedir.

KİŞİSEL VERİ İŞLEME AMAÇLARIMIZ

ASH PLUS, kişisel veri işleme amaçları bu tabloda genel hatları ile ifade edilmiştir. Aşağıda veri süjesi özelinde özel amaçlar açıklanacaktır.

ANA AMAÇLAR

ALT AMAÇLAR

 

Şirket İç Operasyonlarının Yürütülmesi ve İnsan Kaynakları, Personel Süreçlerinin Yönetimi

  1. Ticari Faaliyetlerin Kurgulanması ve İcrası
  2. Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası
  3. Etkinlik Yönetimi
  4. Çalışanlar için Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  5. Finans ve Muhasebe İşlerinin Takibi
  6. İş Sağlığı ve Güvenliği Süreçlerinin Planlanması ve İcrası
  7. İnsan Kaynakları Süreçlerinin Planlanması ve İcrası
  8. İş Faaliyetlerinin Planlanması ve İcrası
  9. İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve İcrası
  10. Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası
  11. Lojistik Faaliyetlerinin Planlanması ve İcrası
  12. Üretim ve Operasyon Süreçlerinin Planlanması ve İcrası
  13. Denetim ve Güvenlik Faaliyetlerinin Yürütülmesi
  14. Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
  15. Fiziksel Mekan Güvenliğinin Temini
  16. Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
  17. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  18. İnternet Erişimi Sağlanması ve Erişim Güvenliğinin Temini
  19. İlgili mevzuat gereği saklanması gereken bilgilerin muhafazası; bilgi kayıplarının önlenebilmesi için kopyalanması, yedeklenmesi; bilgilerin tutarlılığının kontrolünün sağlanması; veri tabanlarımızın ve bilgilerin güvenliği için gerekli teknik ve idari tedbirlerin alınması

 

Hukuksal, Teknik ve İdari Sonucu Olan Faaliyetler

  1. Acil Durum Yönetimi Süreçlerinin Planlanması ve İcrası
  2. İş Sağlığı ve Güvenliği Süreçlerinin Planlanması ve İcrası
  3. Hukuk İşlerinin Takibi
  4. Yetkili Kuruluşlara Bilgi Verilmesi
  5. Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
  6. Şirketin Üretim ve Operasyonel Risk Süreçlerinin Planlanması ve İcrası
  7. Şirket Operasyonlarının Güvenliğinin Temini
  8. Şirket Yerleşkeleri ve Tesislerinin Güvenliğinin Temini
  9. Taşınır Mal ve Kaynaklarının Güvenliğinin Temini
  10. Şirket Denetim Faaliyetlerinin Planlanması ve İcrası
  11. Şirket Faaliyetlerinin İlgili Mevzuata Uygun Olarak Yürütülmesi Faaliyetlerinin Planlanması ve İcrası
  12. Bilgi ve İşlem güvenliği süreçlerinin yönetimi

Müşteriye Dokunan Süreçler/ Operasyonlar ve Pazarlama Faaliyetleri

  1. Mal ve Hizmet Satın Alma, Satış Süreçlerinin Planlanması ve İcrası
  2. Satış Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve İcrası
  3. Ürün ve Hizmetlerin Satış ve Pazarlama Süreçlerinin Planlanması ve İcrası
  4. Sözleşme Süreçlerinin ve Hukuki Taleplerin Takibi
  5. Finans ve Muhasebe İşlerinin Yürütülmesi
  6. Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası
  7. Reklam, Tanıtım ve Pazarlama Faaliyetlerinin Yürütülmesi
  8. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  9. Fiziksel Mekan Güvenliğinin Temini
  10. Talep / Şikayetlerin Takibi
  11. Yasal Yükümlülüklerin Yerine Getirilmesi
  12. Hukuki Süreçlerin Yürütülmesi
  13. İletişim Faaliyetlerinin Yürütülmesi ve Ticari Elektronik İleti Gönderimi
  14. Üyelik Sözleşmelerinin Kurulması
  15. Bilgi ve İşlem Güvenliği
  16. Yetkili kurum ve kuruluşlara bilgi verilmesi

 

Finansal Operasyonlar

  1. Bankacılık ve Sigorta İşlemleri
  2. Tüm Ödeme Ve Tahsilat İşlemleri
  3. Finans ve Muhasebe işlemleri
  4. Yatırım Süreçleri
  5. Finansal Kiralama İşlemleri
  6. E fatura ve E arşiv işlemleri
  7. Vergi mevzuatından kaynaklı işlemler
  8. İlgili mevzuat gereği saklanması gereken bilgilerin muhafazası; bilgi kayıplarının önlenebilmesi için kopyalanması, yedeklenmesi; bilgilerin tutarlılığının kontrolünün sağlanması;

Strateji Planlama & İş Ortakları/Tedarikçi Yönetimi

  1. Faaliyetlerin Mevzuata Uygun Yürütülmesi
  2. Sözleşme, Sipariş, Tedarik süreçlerinin Yürütülmesi
  3. Finans Ve Muhasebe İşlerinin Yürütülmesi
  4. Fiziksel mekan güvenliğinin sağlanması
  5. Lojistik Faaliyetlerinin Yürütülmesi
  6. Tedarik Zinciri Yönetim Süreçlerinin Yönetilmesi
  7. İlgili mevzuat gereği saklanması gereken bilgilerin muhafazası; bilgi kayıplarının önlenebilmesi için kopyalanması, yedeklenmesi; bilgilerin tutarlılığının kontrolünün sağlanması; veri tabanlarımızın ve bilgilerin güvenliği için gerekli teknik ve idari tedbirlerin alınması

 

Şirketimizin VERİ İLGİLİSİ (VERİ SAHİBİ) kırılımında veri işleme amaçları aşağıda açıklanmıştır.

  1. Müşteriler için;

ASH PLUS, şirket yapısı gereği imalatını ve satışını yaptığı ürünlere ilişkin olarak,  müşterilerle kurulan alım satım ilişkisi uyarınca aşağıda yer alan amaçlar kapsamında veri işleme faaliyeti yürütmektedir:

  • Mal/Hizmet Satın Alma, Üretim ve Satış Süreçlerinin Yürütülmesi
  • Bayi/Distribütör süreçlerinin organizasyonu ve icrası
  • Ürün ve Hizmetler için Araştırma ve Geliştirme faaliyetleri
  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  • Fiziksel Mekân Güvenliğinin Temini
  • Ticari/Sözleşmesel ilişki kapsamında işlem ve faaliyetleri yürütmek ve mali ve hukuki yükümlülükleri yerine getirmek
  • Talep/Şikâyetlerin Takibi
  • Yasal yükümlülüklerin yerine getirilmesi
  • Üretici sorumluluğu kapsamında garanti yükümlülüklerinin yerine getirilmesi
  • Hukuki süreçlerin yürütülmesi
  • Tanıtım ve pazarlama faaliyetleri
  1. Potansiyel Müşteriler için;

Web sitemizi ziyaretleriniz, sipariş ve fiyat teklifi için ilettiğiniz yazılı veya sözlü talepleriniz, gönderdiğiniz e –postalar, kartvizit paylaşımlarınız vasıtasıyla doğrudan sizlerden temin edilen kimlik ve iletişim bilgileriniz; talep edilen ürünler için teklif oluşturulabilmesi, sözleşmenin kurulabilmesi, talep ve şikâyetlerinizin yönetimi için Kanunun 5/2 maddesi uyarınca işlenmektedir.

  1. Çalışan Adayları için;

Şirket tarafından veri sorumlusu sıfatıyla; iş başvuruları kapsamında adaylar tarafından paylaşılan CV’ler veya doldurulan başvuru formu ile alınan, çalışan adaylarına ait kişisel veriler (kimlik, iletişim, eğitim, meslek, ücret, askerlik durumu, iş geçmişi, referanslara ait veriler;) ilgili şirketin otomatik sistemleri veya fiziksel ortamlarında ve şirket yazılı standartlarında, çalışan adaylarıyla iş ilişkisi kurulabilmesi amacıyla işlenmekte ve sınırlı bir süre boyunca saklanmaktadır. Burada amaç bu süre boyunca çalışan adayının yeniden değerlendirmeye alınması ve kurulması muhtemel iş ilişkisi için belirli süre ile sistemde tutulmasıdır. Bu süre içinde aday ile iş ilişkisi kurulmaması durumunda envanterde belirtilen süre sonunda ilk periyodik imha işleminde bu veriler imha edilmektedir. Adayın işe alınması durumuna ise bu bilgiler Özlük dosyasında saklanmaktadır.

ASH PLUS, adaylar tarafından gerek web adresi üzerinden, gerek kariyer sitelerinden, gerek ise şirket merkezinde yapılan iş başvuruları kapsamında paylaşılan CV’ler veya doldurulan başvuru formları ile alınan kişisel verileri kullanmak suretiyle Kanun’un 5. Maddesinde belirtilen; açık rıza hukuki gerekçesine istinaden belirli süre için işlenmekte ve saklanabilmektedir.

Çalışan adaylarına ait genel veri işleme amaçları aşağıda sıralanmıştır:

  • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • İnsan kaynakları operasyonlarının ve özellikle işe alım süreçlerinin yürütülmesi,
  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  1. Çalışanlar için;

ASH PLUS, Çalışanlarına ait kişisel verileri ilgili mevzuattan kaynaklı sebeplerle özlük dosyası oluşturabilmek, tarafınızla hizmet sözleşmesi akdedebilmek ve ASH PLUS’in yönetim hakkı ve meşru menfaati kapsamında, aşağıda yer alan amaçlar dâhilinde veri işleme faaliyeti yürütmektedir:

  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans Ve Muhasebe İşlerinin Yürütülmesi
  • Fiziksel Mekân Güvenliğinin Temini
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi Ve Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  • Performans Değerlendirme Süreçlerinin Yürütülmesi
  • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
  • Sendikal Faaliyetlerin Yürütülmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Resmi Kurumlara Gerekli Yasal Bildirimleri Gerçekleştirmek, Resmi Kurumlar Nezdinde Teşviklerden Yararlanmak, Resmi Kurumları Denetimleri Kapsamında İlgili Makamlara Bildirimde Bulunmak
  • İnsan Kaynakları Operasyonlarının ve Özellikle Özlük Faaliyetinin Yürütülmesi,
  • Çalışan Denetimini Sağlamak ve İşverenin Yönetim Hakkı Kapsamında Gerekli Veri İşleme Faaliyetinde Bulunulması
  1. Tedarikçi/İş Ortakları için;

Şirket tarafından yürütülen ticari faaliyetler kapsamında, ticari veya hukuki ilişki içinde bulunulan, gerçek veya tüzel kişi tacir ve esnaflara ait kişisel bilgiler (Kimlik verisi, İletişim verisi, Finansal veri, İmza verisi) işlenmektedir. Bu veriler Kanun’un 5/2 Maddesinde belirtilen; Sözleşmelerimizin kurulması ve ifası, yasal yükümlülüklerin yerine getirilmesi ve Şirket’in meşru menfaatleri kapsamında Kanun’da öngörülen temel ilkelere uygun olarak ve belirtilen kişisel veri işleme şartları dâhilinde işlenmektedir. Kişisel veriler Şirket tarafından yukarıda sıralanan amaçlar kapsamında fiziksel ve elektronik ortamda Tedarikçi ve İş Ortakları tarafından doğrudan iletilmek yöntemi ile toplanmakta ve işlenmektedir.

Veri işleme amaçları;

  • Sözleşme Süreçlerinin Yürütülmesi
  • Finans Ve Muhasebe İşlerinin Yürütülmesi
  • Mevzuattan Kaynaklanan Sorumlulukların ve Hukuksal Süreçlerin Yürütülmesi ve Takibi
  • Şirket İç Operasyonlarının Yürütülmesi
  • Strateji Planlama & İş Ortakları/Tedarikçi Yönetimi
  • Fiziksel Mekân Güvenliğinin Sağlanması
  • Lojistik Faaliyetlerinin Yürütülmesi
  • Tedarik Zinciri Yönetim Süreçlerinin Yönetilmesi
  • İlgili Mevzuat Gereği Saklanması Gereken Bilgilerinizin Muhafazası; Bilgi Kayıplarının Önlenebilmesi İçin Kopyalanması, Yedeklenmesi; Bilgilerinizin Tutarlılığının Kontrolünün Sağlanması; Veri Tabanlarımızın ve Bilgilerinizin Güvenliği İçin Gerekli Teknik ve İdari Tedbirlerin Alınması
  1. Ziyaretçiler İçin;

Şirketimizi, web sitemizi ve diğer iş yerlerimizi ziyaretleriniz kapsamında, şirketimizin ve sizlerin güvenliğin sağlanmasının yanı sıra yasal yükümlülüklerimizin yerine getirilmesi ve meşru menfaatlerimize bağlı olarak, ana girişlerde ad ve soyadınız, fiziki ortamlarda güvenlik kamerası ile görsel verileriniz, işyerimizi ziyaretiniz sırasında sizlere sunulan internet erişimi kapsamında elde edilen kimlik ve iletişim verileriniz ve dijital izleriniz aşağıdaki amaçlarla işlenmektedir:

  • Denetim ve Güvenlik Faaliyetlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
  • Fiziksel Mekân Güvenliğinin Temini
  • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • İnternet Erişimi Sağlanması ve Erişim Güvenliğinin Temini

ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME ŞARTLARI

Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.

Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.

Şirketimiz, kural olarak veri işleme süreçlerinde özel nitelikli kişisel verilere yer vermeme eğilimindedir. Ancak faaliyet alanımız, işin niteliği ve bazı yasal zorunluluklar dikkate alındığında özel nitelikli kişisel verilerin de işlenmesi gerekebilmektedir. Örneğin İş yerlerinde verilen sağlık hizmetleri veya iş yeri hekimliği faaliyetleri çerçevesinde personelin veya işe alım süreçlerinde personel adayların sağlık beyanları iş yeri hekimi dışında insan kaynakları departmanı tarafından da işlenmek durumunda kalabilmektedir. Bu gibi durumlarda ilgili kişilerden açık rıza talep edilmektedir. İlgili Kişiler’in açık rızalarını yazılı olarak almaktadır Yine iş yerinde mevcut sendikal faaliyetler gereğince çalışanların sendika üyeliğine dair bilgileri zorunlu olarak işlenebilmektedir. İş yerinde mevcut sendikal süreçlerin yönetimi için de kanunlarda düzenlenmiş olması nedeniyle sendika üyeliğine dair veriler işlenebilmektedir. KVKK m. 6/3 uyarınca, KVKK m. 5/2’de belirtilen şartlardan herhangi birinin varlığı durumunda İlgili Kişiler’in açık rızası aranmamaktadır.

Şirketimiz, KVKK’nın 10. maddesine uygun olarak, özel nitelikli kişisel verilerin elde edilmesi sırasında İlgili Kişiler’i aydınlatmaktadır. Özel nitelikli kişisel veriler, KVKK’ya uygun tedbirler alınarak ve gerekli denetimler yapılarak/yaptırılarak işlenmektedir.

Şirketimiz, özel nitelikli kişisel verilerin güvenliğinin sağlanması için özel önlemler almaktadır. Veri minimizasyonu ilkesi gereği, özel nitelikli kişisel veriler, ilgili iş süreci için gerekli olmadığı sürece toplanmamakta ve yalnızca gerekli durumlarda işlenmektedir. Bu çerçevede ve yukarıda ifade edildiği üzere şirketlerimiz gerektiğinde alınan sağlık verisi ve sendika üyeliği verisi dışında özel nitelikli kişisel veri işlememektedir.

KİŞİSEL VERİLERİN AKTARILDIĞI TARAFLAR VE AKTARIM AMAÇLARI

Şirketimiz, kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve Kurul tarafından alınan karar ve ilgili düzenlemelere uygun bir şekilde hareket etmek sorumluluğu altındadır. Şirketimiz, kişisel verileri KVKK’da ve ilgili diğer mevzuatta öngörülen şartlara uygun olarak ve mevzuatta belirtilen tüm güvenlik önlemlerini alarak Türkiye’de bulunan üçüncü kişilere ve BATI ANADOLU GRUBU çatısı altında bulunan ve aşağıda unvanları belirtilen şirketlere aktarabilir.

ASH PLUS kişisel verilerinizi bu Politika’da yer verilen amaçlarla Kanun ve sair mevzuat kapsamında ve aldığımız hizmetlerin yürütülmesi için zorunlu olduğu ölçüde aşağıdaki yurt içi alıcı gruplarına aktarabilecektir

  • Dâhil olduğumuz BATI ANADOLU GRUBU (Batıbeton Sanayi A.Ş., Batıliman Liman İşletmeleri A.Ş., Batısöke Söke Çimento Sanayii T.A.Ş., ASH PLUS Enerji Elektrik Üretim A.Ş., ASH PLUS Enerji Toptan Satış A.Ş., ASH Plus Yapı Malzemeleri Sanayi ve Ticaret A.Ş) şirketleri
  • Hizmet sağlayıcılar ve iş ortakları; Bilgi ve iletişim teknolojisi sağlayıcıları, danışmanlık hizmetleri sağlayıcılar, kargo şirketleri gibi güvenilir üçüncü şahıslar 
  • Malların ve hizmetlerin sunulması, tanıtılması ve benzeri amaçlarla işbirliği yapılan ve/veya hizmet alınan iş ortaklarımız, tedarikçi firmalar ile bankalar, finans kuruluşları
  • Web sitemizin ve sosyal medya hesaplarımızın yönetimi için hizmet aldığımız ajanslar
  • Avukatlar, denetçiler, danışmanlar ve hizmet alınan firmalar
  • Tarafınızca yetki verilmiş olan vekil, vasi ve temsilcileriniz
  • Düzenleyici ve denetleyici kurumlar ile mahkeme ve icra müdürlükleri gibi kişisel verileri talep etmeye yetkili kurum veya kuruluşlar ve bunların belirlediği kişiler

Şirketimiz, kişisel verileri YURT DIŞINA aktarmamaktadır

KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI

Şirket tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dâhilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.

Bu kapsamda Şirket tarafından gerekli her türlü (i) idari ve (ii) teknik tedbirler alınmakta, (iii) şirket bünyesinde denetim sistemi kurulmakta ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirlere uygun olarak hareket edilmektedir.

KİŞİSEL VERİLERİN SAKLANMASI VE  İMHASI

Kişisel verilerinizin saklanma sürelerini belirlerken aşağıdaki kriterleri dikkate alıyoruz:

•  İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,

•  İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,

•  İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,

•  İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

•  Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,

•  Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zaman aşımı süresi.

Şirket tarafından hazırlanmış detaylı kişisel veri işleme envanterinde her bir veri türüne ve sürece ilişkin saklama süreleri ayrıntılı olarak belirtilmiştir.

ASH PLUS kişisel verilerin İmha usullerinin belirlendiği bir KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI hazırlamış ve Şirket içinde yayınlamıştır. Tüm imha süreçleri bu politikaya uygun olarak yürütülmektedir. Kanun’un 7. maddesi gereğince hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler tarafından resen veya İlgili Kişinin talebi üzerine Şirket, bu iş için özel olarak hazırlamış bulunduğu Veri koruma ve İmha Politikasına, mevzuata ve Kurum tarafından yayımlanan rehbere  uygun olarak imha eder.

ASH PLUS tarafından hazırlanan ve tüm veri işleme süreçlerini düzenleyen kişisel veri envanterinde her bir veri türü ve süreç için SAKLAMA SÜRELERİ açıkça belirlenmiş olup, imha süreçlerinde bu süreler esas alınmaktadır.

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

ASH PLUS; KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

ASH PLUS, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre gerekli tüm teknik ve idari tedbirler almaktadır.

Yukarıda belirtilen kişisel verileriniz, Şirketimize ve/veya tedarikçilerimize ait fiziki arşivler ve bilişim sistemlerine nakledilerek, hem dijital hem de fiziki ortamda muhafaza altında tutulabilecektir.

Toplanan kişisel bilgilerin korunması için Secure Socket Layer (SSL) adı verilen standart teknoloji de dahil olmak üzere, genel kabul görmüş standart teknolojileri ve işletme güvenliği yöntemlerini kullanmaktadır. Teknolojinin güncel durumuna, teknolojik uygulamanın maliyetine ve korunacak verilerin niteliğine bağlı olarak, verilerinizin imha, kayıp, tahrifat, izinsiz ifşa veya izinsiz erişim gibi risklerden korumak için teknik ve idari tedbirleri almaktadır. Bu kapsamda birlikte çalıştığımız hizmet sağlayıcılarla veri güvenliğine ilişkin sözleşmeler yapılmaktadır

TEKNİK TEDBİRLER

ASH PLUS tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.  
  • Veri kaybı önleme yazılımları kullanılmaktadır.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
  • ASH PLUS  bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri, düzenli olarak denetlenmektedir.
  • Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
  • Teknik konularda departmanlar kurulmuş olup bu konuda bilgili personel istihdam edilmektedir.
  • Yeni teknolojik gelişmeler takip edilmekte ve özellikle siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
  • ASH PLUS bünyesindeki her bir bölüm özelinde belirlenen hukuksal uyum gereksinimleri çerçevesinde erişim ve yetkilendirme çözümleri devreye alınmaktadır.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Eski çalışanlara erişim kısıtlaması uygulanmakta, hesaplar kapatılmaktadır.
  • ASH PLUS Şirket içi işleyiş gereğince alınan teknik önlemler ilgili kullanıcılara raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
  • Güncel Virüs koruma sistemleri, veri açığı güvenlikleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
  • Teknik konularda uzman personel istihdam edilmektedir.
  • Kişisel verilerin toplandığı uygulamalar da dahil olmak üzere tüm bilgi sistemleri, güvenlik açıklarını saptamak için düzenli olarak dış etki testine tabi tutulmakta ve bu testin sonuçlarına göre bulunan açıkların kapatılması sağlanmaktadır.

İDARİ TEDBİRLER

ASH PLUS tarafından kişisel verilerin hukuka uygun işlenmesi için alınan idari tedbirler:

  • ASH PLUS çalışanları, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
  • ASH PLUS’in yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
  • ASH PLUS bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, ASH PLUS tarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • ASH PLUS bünyesindeki bölümlerin kişisel veri güvenliği ile ilgili denetim ve yönetimi, Bilgi Güvenliği Komiteleri tarafından organize edilmektedir. İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmektedir.
  • ASH PLUS ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmıştır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • ASH PLUS bünyesindeki her bir bölüm özelinde, kişisel veri işleme süreçleri dikkate alınarak hukuki uyum, şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri uygulanmaktadır
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

KİŞİSEL VERİLERE İLİŞKİN HAKLAR NELERDİR?

KVKK m. 11 uyarınca veri sahipleri/veri ilgilileri olarak kişisel verilerinize ilişkin aşağıdaki haklara sahipsiniz:

•  Kişisel verilerinizin Şirketimiz tarafından işlenip işlenmediğini öğrenme,

•  Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

•  Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

•  Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,

•  Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,

•  KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,

•  İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

•  Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde uğradığınız zararın giderilmesini talep etme.

Bu taleplerinizi aşağıda belirtilen yöntemler ile kimliğiniz teyit edilebilir biçimde şirketimize iletebilirsiniz.

İLETİŞİM

( 1 ) ıslak imzalı olarak şirketimizin Ankara Cad. No: 335 Bornova/İzmir adresine elden teslim edebilir veya iadeli taahhütlü posta yoluyla

( 2 )  5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” nızla imzalandıktan sonra baticim@baticim.hs03.kep.tr  adresine kayıtlı elektronik posta yoluyla

( 3 ) şirketimize daha önce iletilmiş olan ve şirketimiz veri tabanlarında kayıtlı bulunan e-posta adresini kullanmak suretiyle kvkk@baticim.com.tr   e-posta adresine elektronik posta ile

Sizin adınıza bir üçüncü kişinin bilgi edinme hakkınızı kullanması için tarafınızca başvuruda bulunacak kişi adına konuya özel olarak düzenlenmiş özel vekâletnamenin ıslak imzalı ve noter onaylı aslı ibraz edilmelidir.

Veri sahiplerinin (İlgili kişilerin) kişisel verilerine ilişkin taleplerini Şirketimize yazılı olarak iletmeleri durumunda, Şirket veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir.

Şirket, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Şirketimiz ayrıca İlgili Kişinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, başvurusu ile ilgili soru yöneltebilir.

İlgili kişinin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumlarda, vtarafından gerekçesi açıklanarak talep reddedilebilecektir.

ŞİRKET’İN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM YAPISI

Şirket tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında her bir Şirket bünyesinde gerekli koordinasyonu sağlayacak olan “Kişisel Verilerin Korunması Komitesi” kurulmuştur. Bu Komite, şirket birimleri arasında birlik sağlanması, yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin yürütülmesi ve iyileştirilmesinden sorumludur. Bu kapsamda, KVK Komitesi’nin temel görevleri aşağıda belirtilmektedir:

  • Şirket içi kişisel verilerinin korunması ve işlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak
  • Şirket içi kişisel verilerinin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede Şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak
  • KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek; uygulanmasını gözetmek ve koordinasyonunu sağlamak
  • Kişisel verilerin korunması ve işlenmesi konusunda Şirket içinde ve işbirliği içerisinde olunan kurumlar nezdinde farkındalığı arttırmak
  • Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını sağlamak; iyileştirme önerilerini sunmak
  • Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak
  • Kişisel veri ilgililerinin başvurularını karara bağlamak
  • Kişisel veri ilgililerinin; Şirket’in kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek
  • Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak
  • Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket operasyonlarında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak
  • Kurum ve Kurul ile olan ilişkileri yönetmek

 

POLİTİKA’NIN YÜRÜRLÜĞÜ

Ash Plus Yapı Malzemeleri San. ve Tic. A.Ş. tarafından düzenlenen bu Politika ……………. 2021 tarihinde yürürlüğe konulmuştur. Bu Politika, ASH PLUS internet sitesinde (www.ashplus.com.tr) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

GÜNCELLEME, UYUM VE DEĞİŞİKLİKLER

Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.

İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.