İşbu Kişisel Veri Saklama ve İmha Politikası 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Çeşmer Otomotiv Anonim Şirketi tarafından hazırlanmıştır.

Tanımlar

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul: Kişisel Verileri Koruma Kurulu.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlkeler

Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

• Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.

• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

• Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;

- İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,

- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

Veri sahiplerine ait kişisel veriler, Şirket tarafından özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

• Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,

• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

• İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Saklama ve İmha Süreleri

Şirket tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

• Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.

• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

- Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.

- Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Şirket’in meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

- Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Şirket tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’ nın ekinden ulaşabilirsiniz. Saklama süresi dolan kişisel veriler, işbu Politika’ nın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’ da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler

Şirketimizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili ticari, mali, hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Şirketimizin güvenliğinin sağlanması veya Şirketimizin meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler sistemine işlenmektedir. Buna ek olarak dijital kopya şeklinde saklanan tüm veriler Şirket’in bulunan serverına kaydedilmektedir.

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

İdari Tedbirler:

Şirket idari tedbirler kapsamında;

• Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.

• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.

• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.

• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

• Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

Teknik Tedbirler:

Şirket idari tedbirler kapsamında;

• Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.

• Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.

• Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.

• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.

• Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.

• Kişisel verilerin yok edilmesini geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.

• Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.

• Özel nitelikli kişisel verileri üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.

• Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.

• Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.

• Özel nitelikli kişisel verilere uzaktan erişim gereken hallerde en az iki kademeli kimlik doğrulama sistemi sağlar.

• Özel nitelikli kişisel verilerin aktarıldığı durumlarda;

- Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,

- Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,

- Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarmanın sağlanmasını,

- Verilerin kağıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.

Kişisel Verileri Koruma Komitesinin Görev ve Yetkileri

Kişisel Verileri Koruma Komitesi, Politika’nın ilgili iş birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur. Kişisel Verileri Koruma Komitesi kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar ve Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.

Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar

• İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

• Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.

• Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

Kişisel veriler politika'nın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak süre sonunda ise anonim hale getirilecek veya yok edilecektir :

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.

            Kişisel verilerinizin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, veri sorumlusu sıfatıyla Çeşmer Otomotiv Anonim Şirketi tarafından hangi kapsamda işlenebileceği aşağıda açıklanmıştır.

a)Veri Sorumlusu Hakkında

            Kişisel verileriniz, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında Denizli Ticaret odasına kayıtlı 0242098963200001 MERSİS numarasına sahip Mehmet Akif Ersoy, 51/2 sokak no:2B 20030 Denizli Merkezefendi/Denizli adresinde mukim Çeşmer Otomotiv Anonim Şirketi tarafından işlenebilecektir. Kanun kapsamında Çeşmer Otomotiv Anonim Şirketi veri sorumlusu olarak kabul edilmektedir.

b) Kişisel Verilerinizi Toplama Amacımız, Yöntemimiz, Hukuki Sebeplerimiz

            Kişisel verileriniz, KVKK’nin belirlediği genel hukuki ilkeler çerçevesinde KVKK’ nin 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında, şirketimizin ticari politikalarını belirlemek, ticari faaliyetlerimizi sürdürmek, hukuki ve ticari güvenliğimizi sağlamak, şirketimiz ile hukuki ilişkiye giren kişilerin hukuki ve ticari güvenliğini sağlamak amacıyla işbu Aydınlatma Metninde belirtilen amaçlarla da işlenebilmekte ve aktarılabilmektedir.

c) Kişisel Verilerinizi Hangi Amaçlarla Kimlerle Paylaşıyoruz

            Toplanan kişisel verileriniz; KVKK tarafından öngörülen temel ilkelere uygun olarak ve KVKK’ nın 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde Çeşmer Otomotiv Anonim Şirketi tarafından tahdidi olmamak üzere aşağıda yer alan amaçlarla; iş ortaklarımıza, tedarikçilerimize, hissedarlarımıza, kanunen yetkili kamu kurumlarına ve özel kişilere aktarılabilmektedir:

- Orta ve uzun vadede ticari politikalarımızın tespit edilmesi, planlanması, uygulanması

- Yürüttüğümüz ticari faaliyetlerin mevzuata uygun olarak yerine getirilmesini sağlamak

- İş ilişkisi içerisinde bulunduğumuz gerçek kişilerin, ticari ve hukuki emniyetinin sağlanması

- Çeşmer Otomotiv Anonim Şirketi'nin ticari itibarının ve kamuoyu nezdinde oluşturduğu güvenin korunması

- İnsan kaynakları faaliyetlerimizin tasarlanmasına, planlanmasına ve icrasına destek olmak

- İstihdam politikalarımızın yönetilmesi

-Kanunda kişisel veri aktarımın zorunlu kılındığı haller

-Üçüncü kişilerle yaptığımız veya yapabileceğimiz sözleşmelerle

Kişisel verilerinizin paylaşılması halinde mevzuata uygun olarak gerekli idari ve teknik güvenlik önlemleri alınmaktadır.

d) Veri Sahibi Olarak KVKK Madde 11 Kapsamında Sahip Olduğunuz Haklar

Mevzuat gereği, kişisel verilerinizi işleyen veri sorumlusuna karşı aşağıdaki haklara sahipsiniz:

- Kişisel verinizin tarafımızca işlenip işlenmediğini öğrenme

- Kişisel verileriniz tarafımızca işlenmişse buna ilişkin bilgi talep etme

- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme

- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme

- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme

- KVKK' nın 7’nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme

- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme

- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

            Yukarıda belirtilen haklarınızı kullanmak için Çeşmer Otomotiv Anonim Şirketi’ ne yazılı olarak başvurabilir ve söz konusu başvuruyu aşağıda belirtilen adres bilgilerine gönderebilirsiniz. Kişisel Verileri Koruma Kurulu tarafından yeni başvuru yöntemleri belirlenmesi halinde, bu yöntemler Çeşmer Otomotiv Anonim Şirketi tarafından www.cesmer.com internet sitesi üzerinden sizlere duyurulacaktır.

            Bu kapsamda yapacağınız başvurular kanun gereği mümkün olan en kısa zaman diliminde ve en çok 30 gün içerisinde sonuçlandırılacaktır. Tarafımıza yapacağınız başvurular ücretsizdir. Ancak Kişisel Verileri Koruma Kurulu’nun ücret tarifesi belirlemesi durumunda, bu tarifeye uygun olarak ücretlendirme yapılabilecektir.

            Yukarıda sıralanan haklarınıza yönelik başvurularınızı, www.cesmer.com internet adresimizde yer alan örnek formu kullanarak iletebilirsiniz.

e) İletişim Bilgilerimiz

• Telefon: 0532 305 59 20
• E-mail: info@cesmer.com

(d) bendinde sayılan sahip olduğunuz haklarınızı kullanmak için;

-Kimlik Bilgilerinizi

- Kullanmak istediğiniz hakkı

- Talebinizin konusunu anlatan detaylı açıklamalarınızı

içeren internet sitemizdeki başvuru formunu, belirlenen yöntemler ile tarafımıza gönderebilirsiniz.

Şirketimize ait KVKK kapsamında politikamızı da www.cesmer.com adresinden veya tarafımıza yazılı olarak başvurarak temin ederek bilgilenebilirsiniz.

                           KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
BÖLÜM: GİRİŞ
1. KİŞİSEL VERİLERİN KORUNMASININ ÖNEMİ
    Kişisel verilerin korunması, Anayasal bir hak olup, şirketimizin öncelikleri kapsamında yer almaktadır. Nitekim bu amaçla, şirketimizde devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve işbu politika oluşturulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ olarak, genel aydınlatma yükümlülüğünü yerine getirmek ve şirketimiz kişisel veri işleme kurallarının temel esaslarını belirlemek üzere işbu politika yapılmakta ve bu kapsamda müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, stajyer ve öğrencilerimizin, tedarikçi/alt işveren çalışanlarının ve yetkililerinin, şirket hissedarlarımızın ve şirket ortaklarımızın, ziyaretçilerimizin ve diğer verisini işlediğimiz üçüncü kişilerin kişisel verilerinin korunması konusundaki temel esaslar düzenlenmektedir.
 
    Bu Politika ’da belirtilen konuların uygulanmasına yönelik olarak şirket içerisinde gerekli prosedürler düzenlenmekte, kişi kategorilerine özel Kişisel Veri İşleme Envanteri ile uyumlu aydınlatma metinleri oluşturulmakta, kişisel verilere erişimi olan Şirket çalışanları ve üçüncü taraflarla kişisel verilerin korunması ve gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için “ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ “ tarafından gereken idari ve teknik tedbirler alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır.
2.POLİTİKANIN AMACI
    Bu Politikanın temel amacı, “ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ “ tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri şirketimiz tarafından işlenen kişileri Kişisel Verilerin Korunması Kanunu hakkında aydınlatarak ve bilgilendirilerek şeffaflığı sağlamaktır.
3.KAPSAM
    Bu politika; “müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, stajyer ve öğrencilerimiz, tedarikçi/alt işveren çalışanları ve yetkilileri, şirket hissedarlarımız ve şirket ortaklarımız, ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler” başlıkları altında kategorize ettiğimiz kişilerin şirketimiz tarafından otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkin bilgileri kapsamaktadır.

4. POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
    Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

5. ERİŞİM VE GÜNCELLEME
Politika şirketimizin internet sitesinde (www.cesmer.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur ve gerektiğinde şirketimiz tarafından güncellenir.
 
2. BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ
     Şirketimiz, Anayasa’nın 20. maddesine ve KVKK’ nın 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunabilir. Şirketimiz kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri saklamaktadır.
    Şirketimiz, Anayasa’nın 20. ve KVKK’ nın 5. maddeleri gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkin KVKK’ nın 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir.
    Şirketimiz, Borçlar Kanunu’nun 419. maddesi gereğince, 6698 Sy. KVK Kanunu saklı kalmak kaydıyla, çalışanların ve çalışan adaylarının kişisel verilerini, işe yatkınlık ve iş sözleşmesinin ifası amaçlarına dayalı olarak işlemektedir.
    Şirketimiz, Anayasa’nın 20. ve KVKK ’ nın 10. maddelerine uygun olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri ve kanundan doğan haklarını kullanmak üzere başvurmaları durumunda gerekli bilgilendirmeyi yapmakta, başvurulara yasal süresi içinde yanıt vermektedir.
    Şirketimiz KVKK’ nın 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
    Şirketimiz, KVKK’ nın 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen kurallara uymakta ve KVKK Kurulu tarafından alınan karar ve yayınlanan tebliğler ile güvenli ülke listelerini dikkate alarak uygulama yapmaktadır.
2.1.KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKE VE KURALLARA UYGUN OLARAK İŞLENMESİ
 Kişisel Verilerin İşlenmesi İlkeleri
Hukuka ve Dürüstlük Kuralına Uygun İşleme
    Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda şirketimiz, kişisel verilerin işlenmesini gerektirecek hukuksal dayanakları tespit ederek işlem yapmakta, ölçülülük gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamakta, kişilerin bilgisi dışında işleme faaliyeti yapmamaktadır.
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
    Şirketimiz; kişisel veri sahiplerinin temel haklarını ve meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta ve gerekli tedbirleri almaktadır. Bu kapsamda tüm kişi kategorilerine ilişkin veriler güncel tutulmaya çalışılmaktadır. Müşteri ve potansiyel müşteri verileri özenle güncellenmekte, rızalarına aykırı biçimde pazarlama ve tanıtım amaçlı e-posta ve teklifler gönderilmemektedir.
 
Belirli, Açık ve Meşru Amaçlarla İşleme
    Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin işleneceği amaç işleme faaliyeti öncesi belirlenmekte ve şirketimizce tutulan “Kişisel Veri Envanteri” ne de özenle işlenmektedir.
 
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
    Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu kapsamda süreçler sürekli gözden geçirilmekte, “kişisel verilerin azaltılması ”ilkesi hayata geçirilmeye çalışılmaktadır.
 
 B. Genel Nitelikteki Kişisel Verilerin İşlenmesi Kuralları
    Kişisel verilerin korunması Anayasa’da tanımlanmış bir hak olup, temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimizce, kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenmektedir;
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

    Yukarıdaki şartların bulunmaması halinde Şirketimizce ilgilinin açık, özgür iradeye ve bilgilendirmeye dayalı rızasına başvurulmaktadır. Özellikle İnsan Kaynakları ve çalışma ilişkileri alanında, çalışanın bağımlılık ilişkisi dikkate alınarak verinin öncelikle rıza dışında kalan hukuka uygunluk sebeplerine dayanılması esas tutulmakta, ancak bu sebeplerin söz konusu olmaması durumunda açık rızaya başvurulmaktadır. Buna karşılık pazarlama gibi faaliyetlerde ilgilinin rızası esas alınarak işleme faaliyeti gerçekleştirilmektedir. Ancak her halde kişisel verilerin işlendiği tüm durumlarda kişiler mutlaka “çalışanların aydınlatılmasına’’ dayalı veri işleme faaliyeti gerçekleştirilmektedir.

 C. Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları
    Şirketimiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’ da öngörülen düzenlemelere uygun davranılmaktadır. KVKK’ nın 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. KVKK’ ya uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler, gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
    Kişisel veri sahibinin özel nitelikli kişisel verileri, kanunlarda öngörülen hallerde veya kişisel veri sahibinin açık rızası var ise buna dayalı olarak,
    Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (KVKK m. 4)
    Özel nitelikli verilerin korunması ile ilgili olarak ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ “ Kişisel Verilerin Korunması ve İşlenmesi Politikası ” yürürlüğe konulmuş olup, iş birimlerimizde bu politika hükümlerine göre hareket edilmekte ve gereken tedbirler alınmaktadır.
 
D. Verisi İşlenen İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi
    Şirketimiz, KVKK’ nın 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda verisi işlenen ilgili kişiye kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel verisi işlenen ilgili kişinin hakları konusunda aydınlatma yapılmaktadır. İlgili kişilere;
Şirketimizin unvanını ve varsa temsilcimizin kimliğini
ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ tarafından kişisel verilerin hangi amaçla işleneceği
ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ tarafından işlenen kişisel verilerin kimlere ve hangi amaçla aktarabileceği
Kişisel veri toplamamın yöntemi ve hukuki sebebi
İlgili kişinin hakları, konusunda bilgi vermekle kanunen yükümlüyüz.

2.2. KİŞİSEL VERİLERİN AKTARILMASI
    Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verisi işlenen ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirketimiz bu doğrultuda KVKK’ nın 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

Kişisel Verilerin Aktarılma Esasları
    Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanunun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel ve özel nitelikli kişisel verileri üçüncü kişilere aktarabilmektedir:
 
-Kişisel verisi işlenen ilgili kişinin açık rızası var ise buna dayalı olarak veya
-Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
-Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
-Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
-Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş ise,
-Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
-Kişisel verisi işlenen ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise aktarılmaktadır.
Hangi nedene dayanırsa dayansın, tarafımızca aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkeler göz önüne alınarak uygunluk sağlanmaktadır (KVKK m. 4).
Özel Nitelikli Kişisel Verilerin Aktarılması
    Şirketimiz gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVKK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
İlgili kişinin açık rızası var ise buna dayalı olarak veya
İlgili kişinin açık rızası yok ise;
    Kişisel ilgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
    İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

    Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (KVKK m. 4).

Kişisel Verilerin Yurtdışına Aktarılması
    Şirketimiz hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak işlediği kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere aktarabilmektedir. Şirketimiz bu doğrultuda KVKK’ nın 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
    Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin açık rızası var ise veya kişisel verisi işlenen ilgili kişinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere ve GDPR ‘a uygunluk sağlamış ülkelere aktarabilmektedir:
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
Kişisel verisi işlenen ilgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel verisi işlenen ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş ise,
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

2.3. KİŞİSEL VERİ KATEGORİZASYONLARI
Şirketimizde verisi işlenen kişiler ve bu kapsamda işlenen veriler aşağıdaki şekilde kategorize edilmektedir;

Çalışan Adayı :   Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler
Çalışan    Şirketimizde çalışan gerçek kişiler
 
Potansiyel Müşteri :  Hizmetlerimizi kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler
 
Tedarikçi Çalışanı :   Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan gerçek kişiler
 
Tedarikçi Yetkilisi :   Şirketimizin iş ilişkisi içerisinde bulunduğu kurumların hissedarları ve yetkilileri gerçek kişiler
 
 
Müşteri :    
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu hizmetleri kullanan veya kullanmış olan gerçek kişiler
 
Ziyaretçi :   Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler
 
 
DİĞER :   Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. Aile Bireyleri ve yakınlar)
 
Kimlik Verileri :   Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan bilgiler
 
İletişim Verileri :   Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail gibi bilgiler

Lokasyon Verileri :    
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibinin hizmetlerimizi kullanımı sırasında veya çalışanlarımız ile işbirliği içerisinde olduğumuz kurumların çalışanlarının Şirketimizin araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler
 
Özlük Verileri :    
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
 
 
 
Hukuki İşlem ve Uyum Verileri :  Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz
 
Müşteri işlem Verileri:  Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler
Fiziksel Mekân Güvenlik Verileri : Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler
 
İşlem Güvenlik Verileri : Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; faaliyetler yürütülürken teknik, idari, hukuki ve ticari güvenliğin sağlaması için işlenen kişisel veriler.
 
Risk Yönetim Verileri :    
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler
 
Finansal Veriler :   Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler
 
Performans ve Kariyer Gelişim Verileri :    
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler
 
Pazarlama Verileri :    
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler

Görsel ve İşitsel Veriler :    
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik bir şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen kişisel veridir; Ör: fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler

Özel Veriler, (Sağlık, Cinsel Hayat) :    
Sağlık ve cinsel hayata ilişkin veriler
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
 
    3. BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI VE AMAÇLARI
3.1.KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI
Genel İlkeler
    Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4.maddesinde genel ilkelere uygun olarak hareket edilmektedir. Buna göre; her türlü veri işlemesinde
Hukuka ve dürüstlük kurallarına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işlenme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkeleri göz önünde tutulmaktadır.
Hukuka Uygunluk Sebepleri
    Kişisel Veri Sahibinin Açık Rızasının Bulunması
    Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Kanunlarda Açıkça Öngörülmesi
    Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
Örneğin, Kimlik Bildirme Mevzuatı uyarınca Çalışanlarımızın kimliklerinin yetkili mercilere bildirilmesi.
Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
    Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, baygınlık geçiren çalışanın kan grubu bilgisinin hekim ile paylaşılması.
Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
    Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin, iş sözleşmesinin kurulması için adaydan CV alınması, sözleşme kapsamında tebligat yapılabilmesi için adres alınması.
Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
    Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Asgari Geçim İndiriminden Çalışanı yararlandırmak için, aile bilgisinin işlenmesi.

Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
    Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir. Örneğin, Şirketimiz müşterilerinin internet üzerinde herkese açık bir platformda şikâyet, talep veya önerilerini sunması halinde bu müşteriler ilgili bilgilerini alenileştirmiş olur. Bu durumda Şirketimiz yetkilisi tarafından, şikâyet, talep veya önerilere cevap verme amacıyla sınırlı olmak kaydıyla verilerin işlenmesi mümkündür.
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
    Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
    Örnek olarak; ispat niteliği olan verilerin (satış sözleşmesinin, faturanın) saklanması ve gerekli olduğu anda kullanılması durumu
Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
    Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Şirketin güvenlik kamerası ile hırsızlığa karşı veya iş güvenliği amacıyla kritik noktalarının izlenmesi.
 
Özel Nitelikli Kişisel Verilerin İşlenmesi ve Hukuka Uygunluk Sebepleri
    ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ tarafından özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ancak kanunlarda öngörülen hallerde işlenebilir. Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır.
 
3.2. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
    ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ 6698 Sayılı Kişisel Verilerin Korunması Kanunun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel veriler işlemektedir. Veri işleme sürecinde yukarıda belirtilen hukuki dayanaklar dikkate alınmakta, diğer hukuka uygunluk sebepleri bulunmuyor ise ilgilinin rızası talep edilmektedir. Burada da 4. Madde kapsamında genel ilkeler denetimi yapılmakta, her şeyden önce veri işleme faaliyetinin genel olarak hukuka uygunluk ilkelerine uyumlu olması aranmaktadır. İlgilinin rızası ise "açık, bilgilendirmeye ve özgür iradeye dayalı biçimde" alınmaktadır. Kişisel verilerin işlenme amaçları ayrıca Şirketimizin “Kişisel Veri Envanteri”nde de belirtilmektedir.
 
    Şirketimiz birimlerinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir;
    İşveren olarak iş sözleşmesinden doğan karşılıklı yükümlülüklerin yerine getirebilmesi için çalışanların kişisel verilerinin işlenmesi gerekmektedir. Çalışanların kişisel verileri; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlenmekte ve saklanmaktadır. Bu kapsamda, çalışanların kanunlara uygun olarak çalıştırılabilmesi için gerekli olan amaçlar doğrultusunda, iş sözleşmesinin kurulması, ifası ve sona ermesi süreçlerinin hukuka uygun şekilde yürütülmesi, temel hak ve özgürlüklere aykırı olmamak koşuluyla Şirketin meşru menfaatleri, kanunda açık olarak öngörülen durumlar, çalışan istihdamına bağlı hukuki yükümlülüklerin yerine getirilmesi, yasal takip durumlarında hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması durumları ve bunların dışında kalan durumlarda çalışanlardan talep edilecek açık, bilgilendirmeye dayanan ve çalışanların özgür iradesi ile açıklayacağı rızası, kişisel veri işlemesinin hukuki dayanaklarını oluşturmaktadır.
    Şirketin iştigal konusunun gerektirdiği faaliyetler kapsamında, işverenin meşru menfaatleri çalışanların kişisel verilerinin işlenmesini gerekli kılmaktadır. Nitekim suiistimallerin önlenmesi, hırsızlığın engellenmesi, genel güvenlik veya iş sağlığı ve güvenliğinin sağlanması gibi nedenlerle çalışanların kişisel verilerini işleme faaliyeti yapılabilmektedir. Ancak, bu durumda da çalışanların temel hak ve özgürlüklerine zarar verilmemesine büyük bir özen gösterilmektedir.
    İşlenmekte olan çalışanların kişisel verilerinin büyük bir çoğunluğu çalışanlar tarafından şirkete verilen bilgilerden elde edilmektedir. Yine bazı durumlarda, Şirket yöneticileri gibi iç kaynaklardan veya çalışanların referanslarından veya çalışma hayatı gereklilikleri nedeniyle kamu kurum ve kuruluşları tarafından tesis edilmiş olan sistemlerdeki verilerden de çalışanların kişisel verileri şirkete gelebilmektedir.
    İşlenmekte olan çalışanların kişisel verileri, başvuru formaları ve çalışanların referansları, iş sözleşmeleri ve değişiklikleri, çalışanların iletişim bilgileri, bordro için gerekli olan bilgiler, acil durumlarda iletişim kurulacak kişiler gibi aile veya yakın bilgileri, çalışanların eğitim kayıtları, performans değerlendirme kayıtları, disiplin kayıtları, kamera kayıtları gibi bilgilerden oluşmaktadır.
    Çalışanların kişisel bilgilerinin işlenmesi ile ilgili olarak, birçok Şirket politika ve prosedüründe kurallar bulunmaktadır. Bu konuda özellikle Şirketin web sitesinde bulunan “Kişisel Verilerin Korunması ve İşlenmesi Politikası” incelenebilir. Yine şirketin İnsan Kaynakları Birimi’nden alınabilmektedir.
    Çalışanların sağlık bilgileri de işlenen kişisel veriler arasında yer almaktadırBu kapsamda, çalışanların sağlık verileri ve bunlarla ilgili detaylar kural olarak işyeri hekiminde ve sağlık biriminde bulunmaktadır.
    “Çalışan” statüsüne geçildikten sonra (çalışan adaylığı kategorisinde talep edilmemektedir) çalışanın sendikaya üye olması durumunda sendika üyeliği de yasal mevzuatın gerekliliklerinin yapılabilmesi için kanunun açık hükümleri gereği işlenebilmektedir. Bunun dışında çalışanların, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet ile biyometrik ve genetik verileri kural olarak kanunda açıkça öngörülmüş olmadığı sürece, işlenen kişisel veriler arasında yer almamakta, istisnai bir uygulamaya gidilecek ise, kişisel veriler işlenmeden önce gereklilikler özenle değerlendirilmektedir.
    Şirketin bilgi iletişim araçları (telefon, mobil telefonlar, bilgisayarlar ve internet) üzerinde denetim ve gözetimleri söz konusudur. 5651 sayılı Kanun ve Şirketimizin meşru menfaatleri söz konusu uygulamaların hukuki dayanaklarını oluşturmaktadır.
    Şirketimiz araçlarında "güvenlik, araçların ve personelin daha etkili bir biçimde yönetimi" gerekçeleriyle araç takip sistemi uygulanabilmektedir. Söz konusu faaliyet de şirketimizin meşru menfaatlerine dayanmakla birlikte çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirilmektedir.
    Şirketimizin insan kaynakları politikalarının yürütülmesinin sağlanması amacı doğrultusunda; Şirketimizin insan kaynakları politikalarına uygun şekilde açık pozisyonlara uygun personel temini, Şirketimizin insan kaynakları politikalarına uygun şekilde insan kaynakları operasyonlarının yürütülmesi, çalışan adayı seçimi, özlük işlerinin yönetilmesi, eğitim ve kariyer planlarının belirlenmesi, iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması kişisel verilerin işlenme amaçlarını oluşturmaktadır.
    Tedarikçi / alt işveren çalışanlarının kişisel verileri de şirketimizce işlenebilmektedir. Nitekim 6331 sayılı Kanunda asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlar ile ilgili olarak kontrol edilmesi gereken belgeler ve bilgiler belirtilmiş bulunmaktadır. Aynı şekilde 4857 sayılı iş kanununda ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nda da alt işveren işçileri ve geçici işçiler ile ilgili asıl işverene yükümlülükler getirilmiş ve bu kapsamda kontrol edilmesi gereken hususlar belirtilmiştir. Buna göre tedarikçi ve başka işverene bağlı olarak işyerimizde çalışan işçilerin kişisel verilerinin işlenmesi başta söz konusu yasal düzenlemeler olmak üzere şirketimizin meşru menfaatlerine dayanmaktadır.
Kişisel veriler, ayrıca:
Acil durum yönetimi süreçlerinin yürütülmesi
Bilgi güvenliği süreçlerinin yürütülmesi
Denetim/etik faaliyetlerinin yürütülmesi
Eğitim faaliyetlerinin yürütülmesi
Erişim yetkilerinin yürütülmesi
Faaliyetlerin mevzuata uygun yürütülmesi
Finans ve muhasebe işlerinin yürütülmesi
Firma/hizmetlere bağlılık süreçlerinin yürütülmesi
Fiziksel mekân güvenliğinin temini
Görevlendirme süreçlerinin yürütülmesi
Hukuk işlerinin takibi ve yürütülmesi
İç denetim/soruşturma/istihbarat faaliyetlerinin yürütülmesi
İletişim faaliyetlerinin yürütülmesi
Hizmet ve operasyon süreçlerinin yürütülmesi
Müşteri ilişkileri süreçlerinin yürütülmesi
Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi
Organizasyon ve etkinlik yönetimi
Pazarlama analiz çalışmalarının yürütülmesi
Performans değerlendirme süreçlerinin yürütülmesi
Reklam/kampanya/promosyon süreçlerinin yürütülmesi
Risk yönetimi süreçlerinin yürütülmesi
Saklama ve arşiv faaliyetlerinin yürütülmesi
Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi
Sözleşme süreçlerinin yürütülmesi
Sponsorluk faaliyetlerinin yürütülmesi
Stratejik planlama faaliyetlerinin yürütülmesi
Talep / şikâyetlerin takibi
Taşınır mal ve kaynakların güvenliğinin temini
Tedarik zinciri yönetimi süreçlerinin yürütülmesi
Hizmetlerin pazarlama süreçlerinin yürütülmesi
Veri sorumlusu operasyonlarının güvenliğinin temini
Yabancı personel çalışma ve oturma izni işlemleri
Yatırım süreçlerinin yürütülmesi
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
Yönetim faaliyetlerinin yürütülmesi
Ziyaretçi kayıtlarının oluşturulması ve takibi amacıyla İlgili Birimlerimizde işlenmektedir.
    İş sağlığı ve güvenliği, genel güvenlik, ürün güvenliği amaçlarıyla işyerinde kamera ile izleme faaliyeti, Şirketin meşru menfaatleri dikkate alınarak, ziyaretçilerimizin, bu kapsamda verisi işlenen kişilerin ve özellikle çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirilmektedir.
 
4. BÖLÜM: KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ

    Şirketimiz, Türk Ceza Kanunu’nun 138. maddesinde ve KVKK’ nın 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilmektedir.
 
4.1.KİŞİSEL VERİLERİN SAKLANMASI VE SAKLAMA SÜRELERİ
    Şirketimiz, ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte, hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
 
4.2.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
    Türk Ceza Kanunu’nun 138. Maddesinde ve KVK Kanunu’nun 7. Maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinmekte, yok edilmekte veya anonim hâle getirilmektedir. Bu kapsamda Şirketimiz ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.
 
A. Kişisel Verilerin Silinmesi
 
Kişisel Verilerin Silinmesi İşlemi
    Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimizce, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü tedbir alınmaktadır.
 
Kişisel Verilerin Silinmesi Süreci
    Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
•    Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
•    Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi.
•    İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
•    İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.
 
Kişisel Verilerin Silinmesi Yöntemleri
    Kişisel veriler kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle silinmektedir.

B. Kişisel Verilerin Yok Edilmesi
 
Kişisel Verilerin Yok Edilmesi İşlemi
    Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri yok edebilir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.
 
Kişisel Verilerin Yok Edilmesi Yöntemleri
    Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemler ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ tarafından yok edilir.
 
C. Kişisel Verilerin Anonim Hale Getirilmesi
 
Kişisel Verilerin Anonimleştirilmesi İşlemi
    Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. Kişisel veriler, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi suretiyle anonimleştirilmesi gerçekleştirilmektedir. Şirketimiz, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır.
 
    Kişisel Verilerin Korunması Kanunu’nun 28. maddesine uygun olarak anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kişisel Verilerin Korunması Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
 
Kişisel Verilerin Anonimleştirilmesi Yöntemleri
    Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Uygulama sonucunda elde edilen verilerin kişiyi tanımlayamaz olması gerekmektedir.

5. BÖLÜM: İLGİLİ KİŞİLERİN HAKLARI
 
5.1.İLGİLİ KİŞİLERİN HAKLARININ KAPSAMI VE BU HAKLARIN KULLANILMASI
 
A. İlgili Kişilerin Hakları
Şirketimizce kişisel verisi işlenen kişiler aşağıda yer alan haklara sahiptir:
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
 
6. BÖLÜM: KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
 
6.1.VERİ GÜVENLİĞİNİE İLİŞKİN YÜKÜMLÜLÜKLERİMİZ
    “ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ” olarak kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla aşağıda örnekseme yöntemi ile sayılan idari ve teknik tedbirlere başvurulacaktır.
6.2.VERİ GÜVENLİĞİ TEDBİRİ
    Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere(yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Sızma testi uygulanmaktadır.
Şifreleme yapılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.

6.3.KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI
    ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
 
A. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
    Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
    Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
    Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
    Kişisel verilerin saklanmasını sağlamak için hukuka uygun bir biçimde tüm gerekli altyapılar kullanılmaktadır.
 
B . Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
    Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
    Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda bilgilendirilmektedirler.
    Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmekte ve bu konuda Şirketin “Üçüncü Taraflarla İlişkilerde Kişisel Verilerin Korunması Esasları” Politikasındaki hükümlere göre hareket edilmektedir.
 
6.4.EĞİTİM
    Şirketimiz, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve KVKK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verilmektedir.
    Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilmektedir.
    Şirketimiz çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirketimiz ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verilmektedir.
 
6.5.DENETİM
A. İş Birimlerinin Kişisel Verilerin Korunması Ve İşlenmesi Konusunda Farkındalıklarının Arttırılması Ve Denetimi
    ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bildirimlerin yapılmasını sağlamaktadır.
 
B. İş Ortakları Ve Tedarikçilerin Kişisel Verilerin Korunması Ve İşlenmesi Konusundaki Farkındalıklarının Arttırılması Ve Denetimi
    Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına gerekli bilgilendirmeler yapmaktadır.
C. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
    ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ, işbu Politika ve KVKK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re ’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında değerlendirilir ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
 
    Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler:
Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.

• Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gerekli bilgilendirmenin yapılması için KVKK 12. Maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
• Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirketimize iletmeleri durumunda Şirketimiz talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde, Şirketimiz tarafından KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
• Kişisel verinizin tarafımızca işlenip işlenmediğini öğrenme
• Kişisel verileriniz tarafımızca işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• KVKK' nın 7 nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
• Bu kapsamda ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini (m. 11.), öncelikle veri sorumlusuna iletmeleri zorunludur. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür.
• İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.
• İlgili kişinin talebinin 30 gün içerisinde veri sorumlusu tarafından cevaplandırılması gerekmektedir. Başvurusu reddedilen veya verilen cevabı yetersiz bulan yahut süresinde başvurusuna cevap verilmeyen ilgililer Kurula şikâyet hakkını kullanabilecektir.
• Veri sahibi başvuru formunda başvuru koşulları yazılı olarak, kayıtlı elektronik imza ile ve faks yolu ile olmak üzere sınırlandırılmıştır. Bu yollardan biri ile şirkete yapılan başvurular veri sorumlusu tarafından değerlendirilir.
• Veri ilgilisinin bu hakkı her şeyden önce Anayasal bir koruma altındadır ve günün sonunda veri sorumlusu usulüne uygun yapılmış olmak kaydıyla kendisine yönelen talepleri hukuka uygun bir şekilde cevaplandırmalıdır. Bu nedenle veri sorumlusunun cevap verme yükümlülüğünden kaçınması mümkün değildir.

Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ madde 6’ya göre veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. Buna göre veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder. veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

Cevap yazısının;

Veri sorumlusu veya temsilcisine ait bilgileri,

Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,

Talep konusunu,

ç)     Veri sorumlusunun başvuruya ilişkin açıklamalarını,

İçermesi zorunludur

• Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir.
•  İlgili kişinin talebinin kabul edilmesi hâlinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.

KANUNA AYKIRI ELDE EDİLEN KİŞİSEL VERİLER OLDUĞUNDA VERİ KORUMA KURUMU VE VERİ SAHİBİ NASIL BİLGİLENDİRİLMELİDİR?

Şirketimiz, KVKK m. 12’ye uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.

1.    Başvuru Hakkınıza İlişkin Genel Bilgilendirme

•    6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“6698 sayılı Kanun”) 11. maddesi uyarınca veri sahibi olarak ÇEŞMER OTOMOTİV ANONİM ŞİRKETİ  (“Şirket”) başvurarak aşağıda yer verilen taleplerde bulunabilirsiniz:
•    Kişisel verilerinizin işlenip işlenmediğini öğrenmek,
•    Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etmek,
•    Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
•    Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenmek,

BAŞVURU YÖNTEMİ    Yazılı Olarak Başvuru    Kayıtlı Elektronik Posta (KEP) Yoluyla    Telefon Yoluyla Başvuru
BAŞVURU ADRESİ    Mehmet Akif Ersoy Mahallesi, 51/2 Sokak No: 2B 20030 Merkezefendi/Denizli
cesmerotomotiv@hs04.kep.tr +90 532 305 5920
BAŞVURUDA GÖSTERİLECEK BİLGİ    Zarfın/tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.    E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.    Talebin üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
•    Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
•    6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
•    İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etmek,
•    Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etmek.

Şirketimiz 6698 sayılı Kanun’un 13. maddesine dayanarak başvurunuzu talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandıracaktır.

2.    Başvuru Yöntemi

İşbu haklarınız kapsamındaki taleplerinizi 6698 sayılı Kanun’un 13. maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. maddesi gereğince; yazılı olarak, önceden Şirketimize bildirmiş olduğunuz ve sistemimizde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle ya da faks yoluyla Şirketimize iletebilirsiniz. Veri Sahibi tarafından başvuru yapılması esnasında aşağıdaki açıklamalara dikkat edilmelidir.

3.    Kimlik ve İletişim Bilgileriniz

Lütfen sizinle iletişime geçebilmemiz ve kimliğinizi doğrulayabilmemiz adına aşağıdaki alanları doldurunuz.

Ad-Soyadı :

T.C. Kimlik Numarası / Diğer Ülke Vatandaşları için Pasaport Numarası :

Tebligata Esas Yerleşim Yeri Adresi / İş Yeri Adresi :

Telefon Numarası :

Faks Numarası :

 E-posta Adresi :

Şirketimizle İlişkiniz :


4.    Talep Konusu
Kişisel verilerinize ilişkin talebinizi aşağıda açıkça yazmanızı rica ederiz. Talebinize ilişkin bilgi ve belgeler başvurunuza eklenmelidir. Bu kapsamda, Talebinizi yazarken Şirketimiz içerisinde temas etmiş olduğunuz departmanları belirtebilirseniz size daha hızlı destek olabiliriz.


Yukarıda belirttiğim talepler doğrultusunda, Şirketinize yapmış olduğum başvurumun 6698 sayılı Kanun’un 13. maddesi uyarınca değerlendirilerek tarafıma bilgi verilmesini rica ederim.

İşbu başvuruda tarafınıza sağlamış olduğum bilgi ve belgelerimin doğru ve güncel olduğunu, Şirketinizin başvurumu sonuçlandırabilmek adına ilave bilgi talep edebileceğini ve ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen ücreti ödemem gerekebileceği hususunda aydınlatıldığımı beyan ve taahhüt ederim.

Başvuruda Bulunan İlgili Kişi (Veri Sahibi) Adı Soyadı :
Başvuru Tarihi :
İmza :