المؤسسية > Kişisel Veri Saklama ve İmha Politikası

DİVAPAN ENTEGRE AĞAÇ PANEL SANAYİ VE TİCARET A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ

Divapan Entegre Ağaç Panel Sanayi ve Ticaret A.Ş. (“DİVAPAN”)olarak, üzerine yürüttüğü faaliyetlerde kişisel verilerin korunmasınaönem vermekte ve iş ve işlemlerinde öncelikleri arasında kabuletmektedir. DİVAPAN Kişisel Verilerin Korunması ve İşlenmesiPolitikası (“Politika”), 6698 sayılı Kişisel Verilerin KorunmasıKanunu’nca (“Kanun”) belirlenen kişisel veri işleme usul veesaslarının DİVAPAN organizasyon ve iş süreçlerinin uyumuna yöneliktemel düzenlemedir. DİVAPAN bu Politika prensipleri doğrultusunda,üst düzey sorumluluk ve bilinciyle kişisel verileri işlemekte vekorumakta, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığısağlamaktadır.

1.1. Amaç

Bu Politikanın amacı, Kanun ve ilgili diğer mevzuat ile öngörülen usulve esasları, DİVAPAN organizasyon ve süreçlerine uyumlulaştırılarak, faaliyetlerinde etkin bir şekilde uygulanmasını sağlamaktır. DİVAPANkişisel verilerin işlenmesi ve korunması için bu Politika ile her türlü idarive teknik önlemleri almakta, gerekli iç prosedürler oluşturmakta, farkındalığı arttırmakta, bilincin sağlanması için gerekli tüm eğitimleriyapmaktadır. Hissedarlar, yetkililer, çalışanlar ve iş ortaklarının Kanun süreçlerine uyumları için, gerekli tüm önlemler alınmakta, uygun veetkin denetim mekanizmaları kurulmaktadır.

1.2. Kapsam

Politika, DİVAPAN iş süreçlerinde otomatik olan ya da herhangi bir verikayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla eldeedilen bütün kişisel verileri kapsamaktadır.

1.3 . Dayanak

Politika, Kanun ve ilgili mevzuata dayanmaktadır. Kişisel veriler, 635 sayılı KHK, 6948 sayılı Sanayi Sicili Kanunu ve Mevzuatı, 4703 sayılıÜrünlere İlişkin Teknik Mevzuatın Hazırlanması ve UygulanmasıHakkında Kanun, 132 sayılı Türk Standartları Enstitüsü (TSE) KuruluşKanunu, 4562 sayılı Organize Sanayi Bölgeleri (OSB) Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6502 sayılı TüketicininKorunması Hakkında Kanun, 1774 sayılı Kimlik Bildirme Kanununu, 4857 sayılı İş Kanunu, 6331 İş Sağlığı ve Güvenliği Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 4447 sayılıİşsizlik Sigortası Kanunu, 6102 sayılı Türk Ticaret Kanunu, 213 sayılıVergi Usul Kanunu, 5651 sayılı İnternet Ortamında Yapılan YayınlarınDüzenlenmesi Kanunu ve diğer ilgili mevzuattan kaynaklanankaynaklanan yasal yükümlülükleri yerine getirmek için işlenmektedir.

Yürürlükteki mevzuat ve Politika arasında uyumsuzluk olduğu hallerdeyürürlükteki mevzuat uygulanır. İlgili mevzuat tarafından öngörülendüzenlemeler, Politika ile DİVAPAN uygulamalarınadönüştürülmektedir.

1.4 . Tanımlar

Açık rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgüriradeyle açıklanan rızayı ifade eder.
Başvuru Formu	Kişisel veri sahiplerinin haklarını kullanmak için yapacaklarıbaşvuruyu içeren, 6698 sayılı Kişisel Verilerin KorunmasıKanununa ve Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygunolarak hazırlanmış, ilgili kişi (Kişisel Veri Sahibi) tarafından verisorumlusuna yapılacak başvurulara ilişkin başvuru formu.
İlgili kullanıcı	Verilerin teknik olarak depolanması, korunması veyedeklenmesinden sorumlu olan kişi ya da birim hariç olmaküzere veri sorumlusu organizasyonu içerisinde veya verisorumlusundan aldığı yetki ve talimat doğrultusunda kişiselverileri işleyen kişilerdir.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıtsisteminin parçası olmak kaydıyla otomatik olmayan yollarlaişlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlübilgi.
Kişisel verilerin işlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıylaotomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yenidendüzenlenmesi, açıklanması, aktarılması, devralınması, eldeedilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasınınengellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel verilerin anonim hale getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyleilişkilendirilemeyecek hâle getirilmesi.
Kişisel veri sahibi	Kişisel verileri DİVAPAN tarafından veya adına işleme sokulangerçek kişi.
Kişisel verilerin silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar içinhiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel verilerin yok edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul	Kişisel Verileri Koruma Kurulu
Kurum	Kişisel Verileri Koruma Kurumu
Özel nitelikli kişisel veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf yada sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti vegüvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik imha	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamınınortadan kalkması durumunda kişisel verileri saklama ve imhapolitikasında belirtilen ve tekrar eden aralıklarla re’sengerçekleştirilecek silme, yok etme veya anonim hale getirmeişlemi.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adınakişisel veri işleyen gerçek ve tüzel kişi.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarakişlendiği kayıt sistemi.
Veri sahibi / İlgili kişi	Kişisel verisi işlenen gerçek kişi.
Veri sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, verikayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olangerçek veya tüzel kişi.
Veri Temsilcisi	Kanun uyarınca Veri Sorumlusunun ilgili kanun maddelerikapsamındaki görevlerini yerine getirmek üzere atanmış gerçekkişi.
Yönetmelik	28 Ekim 2017 tarihinde Resmi Gazete’ de yayımlanan KişiselVerilerin Silinmesi, Yok Edilmesi veya Anonim Hale GetirilmesiHakkında Yönetmelik

2. KİŞİSEL VERİLERİN KORUNMASI KONULARI

2.1. Kişisel Verilerin Güvenliğinin Sağlanması

DİVAPAN, kişisel verilerin hukuka aykırı açıklanmasını, erişimini, aktarılmasını veya başka şekillerde oluşabilecek güvenlik sorunlarınıönlemek için, kişisel verinin niteliğine göre, Kanun’un 12. maddesindeöngörülen gerekli önlemleri almaktadır. DİVAPAN, Kişisel VerileriKoruma Kurumu tarafından yayımlanmış olan rehberlere uygun olarak gerekli kişisel veri güvenlik seviyesini sağlamak için tedbirleralmakta, denetimler gerçekleştirmektedir.

2.2. Özel Nitelikli Kişisel Verilerin Korunması

Özel nitelikte olan, kişilere ait ırk, etnik köken, siyasi düşünce, felsefiinanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf yada sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti, güvenliktedbirleriyle ilgili veriler ile biyometrik ve genetik verilerin korunmasınayönelik alınan önlemler özenle uygulanmakta ve gerekli denetimleryapılmaktadır.

2.3. Kişisel Verilerin Korunması ve İşlenmesi Bilincinin Geliştirilmesi

DİVAPAN, kişisel verilerin hukuka uygun işlenmesini, erişilmesini, verilerin muhafazası ve hakları kullanmaya yönelik bilincingeliştirilmesi için ilgililere gerekli eğitimleri verir.

Çalışanların kişisel verileri koruma bilincini arttırmak için, DİVAPANgerekli iş süreçlerini oluşturur, ihtiyaç duyulması halindedanışmanlardan destek alır. Uygulamada karşılaşılan eksiklikler veeğitimlerin sonucu DİVAPAN yönetimi tarafından değerlendirilir.Yapılan bu değerlendirmeler ile ilgili mevzuattaki değişikliklere bağlıihtiyaç duyulması halinde yeni eğitimler düzenlenir.

3. KİŞİSEL VERİLERİN İŞLENMESİ

3.1. Kişisel Verilerin Mevzuata Uygun İşlenmesi

Kişisel veriler aşağıda sayılan ilkeler doğrultusunda mevzuata uygun işlenir.

i. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel veriler, iş süreçlerinin gerektirdiği ölçüde, bunlarlasınırlı, kişilerin temel hak ve özgürlüklerine zarar vermeden,hukuka ve dürüstlük kuralına uygun olarak işlenir.

ii. Kişisel Verilerin Güncel ve Doğru ve Olmasını Sağlama

İşlenen kişisel veriler, güncel ve doğru tutmak için gerekliönlemler alınmakta ve plan ve programlı çalışılmaktadır.

iii. Belirli, Açık ve Meşru Amaçlarla İşleme

Kişisel veriler, yürütülen iş süreçlerinde belirlenen veaçıklanan meşru amaçlara bağlı işlenmektedir .

iv. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler, iş süreçlerinin gerektirdiği nitelik ve ölçüdetoplamakta, belirlenen amaçlara bağlı, sınırlı işlenmektedir.

v. Gerekli Olan Süre Kadar Muhafaza Etme

Kişisel veriler, ilgili mevzuatta öngörülen ve kişisel verileriişleme amacı için gerekli olan en az süre kadar muhafazaedilmektedir. Öncelikle, ilgili mevzuatta kişisel verilerinsaklanması için bir süre öngörülmüş ise bu süreye, öngörülmemişise kişisel veriler işlendikleri amaç için gerekli olan süre kadarmuhafaza edilmektedir. Kişisel veriler saklama sürelerininsonunda periyodik imha sürelerine veya veri sahibi başvurusunauygun olarak, uygun yöntemlerle (silme, yok etme veyaanonimleştirme) imha edilmektedir.

3.2. Kişisel Verilerin İşlenme Şartları

Kişisel veri, sahibinin açık rıza vermesi veya aşağıda belirtilen diğer birveya birden fazla şarta dayanarak işlenir.

i. Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenmesi veri sahibinin açık rızasıylayapılır. Kişisel veri sahibinin açık rızası: belirli bir konudabilgilendirilerek ve özgür iradesi alınarak gerçekleşir.

ii. Kişisel Veri Sahibinin Açık Rızasının Bulunmaması

Aşağıda sıralanan şartlarından herhangi birinin bulunmasıdurumunda veri sahibinin açık rızasına gerek kalmaksızın kişiselveriler işlenebilir.

a. Kanunlarda Açıkça Düzenlenmesi

Kanunlarda kişisel verilerin işlenmesine ilişkin açık birdüzenleme bulunması halinde kişisel veriler, veri sahibininrızası alınmadan işlenebilir.

b. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle, rızasını açıklayamayacakdurumda olan veya rızasına geçerlilik tanınamayacak olankişinin, kendisinin ya da başka bir kişinin hayatı veya bedenbütünlüğünü korumak için, kişisel verisinin işlenmesi zorunluolması durumunda veri sahibinin kişisel verileri işlenebilir.

c. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Kişisel verilerin işlenmesi, veri sahibinin taraf olduğu birsözleşmenin kurulması veya ifasıyla doğrudan ilgiliyse verisahibinin kişisel verileri işlenebilir.

d. Hukuki Yükümlülüğün Yerine Getirilmesi

DİVAPAN hukuki yükümlülükleri yerine getirirken,kişisel veri işleme zorunlu olması halinde veri sahibinin kişiselverileri işlenebilir.

e. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Kişisel verisini alenileştiren veri sahiplerine ait kişiselveriler, alenileştirme amacıyla sınırlı olarak, kişisel verileriişlenebilir.

f. Bir Hakkın Tesisi veya Korunması için Zorunlu Veri İşleme

Veri işleme bir hakkın tesisi, kullanılması veya korunmasıiçin zorunlu ise veri sahibinin kişisel verileri işlenebilir.

g. Meşru Menfaat için Zorunlu Veri İşleme

Kişisel veri sahibinin temel hak ve özgürlüklerine zararvermemek koşuluyla, DİVAPAN meşru menfaatleri için veriişlemenin zorunlu olması durumunda veri sahibinin kişiselverileri işlenebilir.

3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi

DİVAPAN özel nitelikli kişisel verileri, Kanun ve Politika’da belirlenenilkelere uygun, Kurul’un belirlediği yöntemlerle gerekli her türlü idari veteknik önlemleri alarak, aşağıdaki hallerde işler:

a. İlgili kişinin açık rızasının olması,

b. Kanunlarda açıkça öngörülmesi,

c. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdabulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya bedenbütünlüğünün korunması için zorunlu olması,

d. İlgili kişinin alenileştirdiği kişisel verilere ilişkin vealenileştirme iradesine uygun olması,

e. Bir hakkın tesisi, kullanılması veya korunması için zorunluolması,

f. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkilikurum ve kuruluşlarca, kamu sağlığının korunması, koruyucuhekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerininyürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi vefinansmanı amacıyla gerekli olması,

g. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyalhizmetler ve sosyal yardım alanlarındaki hukukiyükümlülüklerin yerine getirilmesi için zorunlu olması,

h. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygunolmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilereaçıklanmamak kaydıyla; mevcut veya eski üyelerine vemensuplarına veyahut bu kuruluş ve oluşumlarla düzenliolarak temasta olan kişilere yönelik olması.

3.4. Kişisel Veri Sahibinin Aydınlatılması

DİVAPAN, kişisel veri sahiplerini, hangi amaçlarla kişisel verilerininişlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerletoplandığı, hukuki sebebi ve veri sahiplerinin kişisel verilerininişlenmesinde sahip olduğu hakları konularında, ilgili mevzuata uygunşekilde bilgilendirir. Bu bakımdan kişisel verilerinin korunmasını,Politika’daki esaslar çerçevesinde hazırlanan diğer politika belgeleri veaydınlatma metinlerine bağlı yürütülmektedir.

3.5. Kişisel Verilerin Aktarılması

DİVAPAN, kişisel veri işleme amaçları doğrultusunda, gerekli güvenlikönlemlerini alarak, kişisel verileri ve özel nitelikli kişisel verileri üçüncükişilere hukuka uygun olarak aktarabilir. DİVAPAN aktarma işlemlerini, Kanun’un 8. maddesinde öngörülen düzenlemelere uygun şekildeişlemleri gerçekleştirir.

i. Kişisel Verilerin Aktarılması

Kişisel verilerin akratılması için kişisel veri sahibinin açık rızasıaranmakla birlikte, aşağıda belirtilen koşulların bir ya da birkaçınadayanılarak, Kurul tarafından öngörülen yöntemler de dahilgerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncükişilere aktarılabilir.

a. Kanunlarda açıkça öngörülmesi,

b. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruyailgili ve gerekli olması,

c. DİVAPAN’ın hukuki yükümlülüğünü yerine getirebilmesi içinzorunlu olması,

d. Veri sahibi tarafından kişisel verileri alenileştirilmiş olmasışartıyla, alenileştirme amacıyla sınırlı,

e. DİVAPAN’ın veya veri sahibinin veya üçüncü kişilerinhaklarının tesisi, kullanılması veya korunması için zorunluolması,

f. Veri sahibinin temel hak ve özgürlüklerine zarar vermemekkaydıyla DİVAPAN meşru menfaatlerinin sağlanması içinzorunlu olması,

g. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdabulunan veya rızasına hukuki geçerlilik tanınmayan kişininkendisinin ya da bir başkasının hayatı veya beden bütünlüğünükoruması için zorunlu olması.

Kurul tarafından yeterli korumaya sahip olduğu belirlenen, “YeterliKorumaya Sahip Yabancı Ülke” olarak ilan edilen yabancı ülkestatüsündekilere, yukarıda sayılan durumların herhangi birine bağlıkişisel veriler aktarılabilir. Yeterli koruma bulunmayan, Türkiye veyabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olaraktaahhüt eden ve Kurul’un izninin bulunduğu “Yeterli KorumayıTaahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke” statüsündekilere, mevzuatta öngörülen şartlara göre kişisel verileraktarılabilir. Yeterlilik kararı bulunmaması halinde yurt dışına veriaktarımı yapılacak ülke, uluslararası kuruluş veya ülke içerisindesektörler hakkında yeterlilik kararı bulunmaması halinde KişiselVerilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar HakkındaYönetmelik’in 10. maddesinde düzenlenen uygun güvencelerden birininveri aktarımının tarafları arasında tesis edilmesi gerekmektedir. Bu kapsamda Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul veEsaslar Hakkında Yönetmelik uyarınca uygun güvenceler şu şekildedir:

a. Bağlayıcı şirket kuralları

b. Standart sözleşme hükümleri

c. Taahhütname

ii. Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel veriler, Politika’da belirlenen ilkelere uygunolarak, Kurul’un belirleyeceği yöntemler de dahil olmak üzere,gerekli her türlü idari ve teknik tedbirler alınarak aşağıdabelirlenen koşullarla aktarılabilir:

a. İlgili kişinin açık rızasının olması,

b. Kanunlarda açıkça öngörülmesi,

d. İlgili kişinin alenileştirdiği kişisel verilere ilişkin vealenileştirme iradesine uygun olması,

e. Bir hakkın tesisi, kullanılması veya korunması için zorunluolması,

g. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyalhizmetler ve sosyal yardım alanlarındaki hukukiyükümlülüklerin yerine getirilmesi için zorunlu olması,

Kurul tarafından yeterli korumaya sahip olduğu belirlenen, “YeterliKorumaya Sahip Yabancı Ülke” olarak ilan edilen yabancı ülkestatüsündekilere, yukarıda sayılan durumların herhangi birine bağlı özelnitelikli kişisel veriler aktarılabilir. Yeterli koruma bulunmayan, Türkiyeve yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılıolarak taahhüt eden ve Kurul’un izninin bulunduğu “Yeterli KorumayıTaahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke” statüsündekilere, mevzuatta öngörülen şartlara göre özel nitelikli kişiselveriler aktarılabilir. Yeterlilik kararı bulunmaması halinde yurt dışınaveri aktarımı yapılacak ülke, uluslararası kuruluş veya ülke içerisindesektörler hakkında yeterlilik kararı bulunmaması halinde KişiselVerilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar HakkındaYönetmelik’in 10. maddesinde düzenlenen uygun güvencelerden birininveri aktarımının tarafları arasında tesis edilmesi gerekmektedir. Bu kapsamda Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul veEsaslar Hakkında Yönetmelik uyarınca uygun güvenceler şu şekildedir:

a. Bağlayıcı şirket kuralları

b. Standart sözleşme hükümleri

c. Taahhütname

4. KİŞİSEL VERİ ENVANTER PARAMETRELERİ

DİVAPAN Yönetim, İdari İşler, İnsan Kaynakları, Satın Alma, Bilgi İşlem, Muhasebe, Finans, Satış-Pazarlama, Üretim, Kalite Kontrol, Depo ve Bakım iş süreçlerinde, çalışan adayı, çalışan, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçiyetkilisi, ürün veya hizmet alan kişi, veli/vasi/temsilci, aile bireyi veyakını ve ziyaretçiden oluşan kişisel veri sahipliklerine ait verikategorileri ve kişisel verileri (Ek-1), kişisel veri işleme amaçlarına (Ek-2) bağlı işlenmektedir. Veri kategorilerine göre işlenme amaçları ile verikonusu kişi grupları detayları DİVAPAN’ın verbis.kvkk.gov.tr adresindeki alanında bildirilmektedir.

Kişisel veri işleme amaçları kişisel veri kategorilerine göre, Kanun’un10. maddesi ve diğer mevzuat uyarınca ilgili kişileri bilgilendirmek,Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarındanen az birine dayalı ve sınırlı olarak, kişisel verilerin işlenmesine ilişkinKanun’un 4. maddesinde belirtilen ilkeler başta olmak üzere, Kanun’dabelirtilen genel ilkelere uygun gerçekleştirmek için belirlen amaçlaragöre işlenmektedir.

Kişisel veriler Politika “3.5. Kişisel Verilerin Aktarılması” bölümündebelirlenen esaslarla: Gerçek kişiler veya özel hukuk tüzel kişileri, hissedarlar, iştirakler ve bağlı ortaklıklar, tedarikçiler, topluluk şirketleri, müşteriler, yetkili kamu kurum ve kuruluşları, sözleşmeli hizmetaldığımız, işbirliği yaptığımız kuruluşlar ile belirlenen amaçlarla (Ek-3)paylaşılabilmektedir. Yabancı ülkelerle kişisel bilgi aktarımı söz konusudeğildir.

5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN ÖNLEMLER

DİVAPAN, Kanunda belirlenen usul ve esaslarla işlemekte olduğukişisel verilerin korunması için gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta, bilinçlendirme ve eğitimfaaliyetlerini gerçekleştirmektedir.

İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasınarağmen, kanuni olmayan yollarla üçüncü kişiler tarafından elegeçirilmesi durumunda, DİVAPAN bu durumu mümkün olan en kısasüre içerisinde ilgili kişi ve birimlere haber verir.

6. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

DİVAPAN, kişisel verileri işleme amacı için gerekli olan süre ile ilgilimevzuatta öngörülen en az süre kadar muhafaza eder. DİVAPAN,öncelikle ilgili mevzuatta bir süre belirlenmiş ise bu süreye uygun; yasalbir süre öngörülmemiş ise kişisel verilerin işlenme amacı için gereklisüre kadar kişisel verileri saklar. Kişisel veriler belirlenen saklamasürelerinin sonunda, periyodik imha sürelerine veya veri sahibibaşvurusuna uygun olarak, belirlenen yöntem (silme, yok etme veyaanonimleştirme) ile imha edilir.

7. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARINKULLANILMASI

7.1. Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri Kanundan kaynaklanan aşağıda belirtilen haklara sahiptirler:

i. Kişisel veri işlenip işlenmediğini öğrenme,

ii. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

iii. Kişisel verilerin işlenme amacını ve bunların amacına uygunkullanılıp kullanılmadığını öğrenme,

iv. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

v. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunlarındüzeltilmesini isteme ve bu kapsamda yapılan işlemin kişiselverilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

vi. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmişolmasına rağmen, işlenmesini gerektiren sebeplerin ortadankalkması hâlinde kişisel verilerin silinmesini veya yok edilmesiniisteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığıüçüncü kişilere bildirilmesini isteme,

vii. İşlenen verilerin münhasıran otomatik sistemler aracılığı ileanaliz edilmesi suretiyle kişinin kendisi aleyhine bir sonucunortaya çıkmasına itiraz etme,

viii. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zararauğraması hâlinde zararın giderilmesini talep etme.

7.2. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri 6.1. maddede sayılan haklara ilişkin taleplerini,Kurul’un belirlediği yöntemlerle DİVAPAN’a iletebilir. Kişisel verisahipleri ve adlarına başvuru hakkı bulunanlar “Veri Sahibi BaşvuruFormu” (Ek-4) doldurularak, DİVAPAN’a başvurabilir.

7.3. Başvurulara Cevap Verilmesi

DİVAPAN, kişisel veri sahibi tarafından yapılan başvuruları Kanun vediğer mevzuata uygun sonuçlandırır. Usule uygun şekilde DİVAPAN’ailetilen talepler, en kısa sürede ve en geç 30 (otuz) gün içinde, ücretsizolarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesihalinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilir.

7.4. Kişisel Veri Sahibinin Başvurusunun Reddedilmesi

DİVAPAN, başvuruda bulunan kişinin isteğini, aşağıda yer alandurumlarda, gerekçesini açıklayarak reddedebilir:

i. Kişisel verilerin resmi istatistik ile anonim hâle getirilmeksuretiyle araştırma, planlama ve istatistik gibi amaçlarlaişlenmesi,

ii. Kişisel verilerin millî savunmayı, millî güvenliği, kamugüvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatıngizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkiletmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarlaya da ifade özgürlüğü kapsamında işlenmesi,

iii. Kişisel verilerin millî savunmayı, millî güvenliği, kamugüvenliğini, kamu düzenini veya ekonomik güvenliği sağlamayayönelik olarak kanunla görev ve yetki verilmiş kamu kurum vekuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarifaaliyetler kapsamında işlenmesi,

iv. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infazişlemlerine ilişkin olarak yargı makamları veya infaz mercileritarafından işlenmesi,

v. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suçsoruşturması için gerekli olması,

vi. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmişkişisel verilerin işlenmesi,

vii. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarakgörevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumuniteliğindeki meslek kuruluşlarınca, denetleme veya düzenlemegörevlerinin yürütülmesi ile disiplin soruşturma veyakovuşturması için gerekli olması,

viii. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkinolarak Devletin ekonomik ve mali çıkarlarının korunması içingerekli olması,

ix. Kişisel veri sahibinin talebinin diğer kişilerin hak veözgürlüklerini engelleme ihtimali olması,

x. Orantısız çaba gerektiren taleplerde bulunulmuş olması,

xi. Talep edilen bilginin kamuya açık bir bilgi olması.

7.5. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı

Kanun’un 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; DİVAPAN’ın cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.

7.6. Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edilebilecek Bilgiler

DİVAPAN, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. DİVAPAN, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

8. YÜRÜTME

Politika Yönetim Kurulu tarafından onaylanmış ve yürürlülüğekonulmuştur. Politika’nın teknik yürütümü “Kişisel Veri Saklama veİmha Politikası” (Ek-5) ile sağlanmaktadır.

İş süreçlerinde, taraflar nezdinde Politikanın yürütümü “MüşteriAydınlatma Metni”, “Kurumsal Gizlilik Sözleşmesi”, “ÇalışanAydınlatma Metni”, “Çalışan Adayı Aydınlatma Metni”, “ÇerezAydınlatma Metni”, “Kamera Aydınlatma Metni” , “TaşıyanAydınlatma Metni” ile gerçekleştirilmektedir.

Kanun ve Politika’nın yürütülmesinden ve gerektiğindegüncellenmesinden Yönetim Kurulu, bu kapsamdaki tüm iş veişlemlerin takibinden, koordinasyon ve denetiminden DİVAPAN KişiselVerileri Koruma Komitesi sorumludur.

9. YÜRÜRLÜK ve İLANI

Politika yayımı tarihi itibariyle yürürlüğe girmiştir. Politika’da meydanagelecek değişiklikler DİVAPAN’ın internet sitesinde(www.divapan.com.tr) yayımlanarak kişisel veri sahiplerinin, ilgilikişilerin erişimine sunulur. Politika değişiklikleri ilan edildiği tarihteuygulamaya girer.

EKLER

Ek 1- Veri Kategorileri ve Kişisel Verileri

Ek 2- Kişisel Veri İşleme Amaçları

Ek 3- Kişisel Verilerin Aktarıldığı Kişiler ve Aktarılma Amaçları

Ek 4- Veri Sahibi Başvuru Formu

Ek 5- Kişisel Veri Saklama ve İmha Politikası

EK 1- Veri Kategorileri ve Kişisel Veriler

Veri Kategorileri	Kişisel Veri
Kimlik	Ad, Soyad
	Anne- Baba Adı
	Doğum Tarihi
	Doğum Yeri
	Medeni Hali
	TC Kimlik No
	Pasaport Numarası
	Cinsiyet Bilgisi
	TC Kimlik Kartı
	Sürücü Belgesi
	Tabiyet
İletişim	Adres
	E Posta Adresi
	İletişim Adresi
	Kayıtlı Elektronik Posta Adresi (KEP)
	Telefon No
Lokasyon	Bulunduğu yerin konum bilgileri v.b.
Özlük	Bordro Bilgileri
	Disiplin Soruşturması
	İşe Giriş- Çıkış Belgesi Kayıtları
	Özgeçmiş Bilgileri
	Askerlik Durumu
Hukuki İşlem	Adli makamlarla yazışmalardaki bilgiler, dava dosyasındakibilgiler vb.
Müşteri İşlem	Çağrı Merkezi Kayıtları
	Fatura
	Senet
	Çek Bilgileri
	Sipariş Bilgisi
	Randevu Bilgisi
	Talep Bilgisi
Fiziksel Mekân Güvenliği	Çalışan Giriş Çıkış Kayıt Bilgileri
	Ziyaretçilerin Giriş Çıkış Kayıt Bilgileri
	Kamera Sistemi Görüntü Kaydı
İşlem Güvenliği	IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre veparola bilgileri
	IP Adres Bilgileri
	İnternet Sitesi Giriş Çıkış Bilgileri
Risk Yönetimi	Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler
Finans	Bilanço Bilgileri
	Finansal Performans Bilgileri
	Kredi ve Risk Bilgileri
	Banka Hesap Numarası
	IBAN Numarası
Mesleki Deneyim	Diploma Bilgileri
	Gidilen Kurslar
	Meslek İçi Eğitim Bilgileri
	Sertifikalar
	Transkript Bilgileri
	Son Çalışılan Şirket Bilgileri
	Referans
Pazarlama	Alışveriş Geçmişi Bilgileri
	Anket
	Çerez Kayıtları
	Kampanya Çalışmasıyla Elde Edilen Bilgiler
Görsel Ve İşitsel Kayıtlar	Kamera Kayıtları
	Fotoğraf
ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Sağlık Bilgileri	Engellilik Durumuna Ait Bilgiler
	Kan Grubu Bilgisi
	Kişisel Sağlık Bilgileri
	Kullanılan Cihaz ve Protez Bilgileri
	Laboratuvar ve Görüntüleme Sonuçları
	Test Sonuçları
	Muayene Verileri
Ceza Mahkûmiyeti Ve GüvenlikTedbirleri	Ceza Mahkumiyetine İlişkin Bilgiler
DİĞER KİŞİSEL VERİLER
Aile Bilgileri	Çocuk Sayısı
	Vukuatlı Nüfus Kayıt Örneği
	Eş Çalışma Bilgileri
	Çocuk Eğitim ve Yaş Bilgileri
	Doğum ve Ölüm Bilgileri
Çalışma Verileri	Şube-Departman
	Çalışma Şekli
	Mesleği
	Meslek Kartı Bilgileri
İmza Bilgileri	Kişisel veri niteliği taşıyan belgeler üzerinde bulunan ıslakveya elektronik imza, parmak izleri, özel işaretler
Web Sitesi Kullanım Verileri	Başvuru Formu Doldurulma Tarihi
	Siteye Login Olma Sıklığı/Zamanları
	Son Login Tarihi
	IP Adresi
	Tarayıcı Bilgileri
Talep/Şikayet Yönetimi Bilgisi	Anket Verileri
	DİVAPAN’a yöneltilmiş olan her türlü talep veya şikayetinalınması ve değerlendirilmesine ilişkin kişisel veriler
İtibar Yönetimi Bilgisi	DİVAPAN’ın ticari itibarını korumak maksatlı toplananbilgiler ve buna ilişkin oluşturulan değerlendirme raporlarıile alınan aksiyonlarla ilgili bilgiler
Olay Yönetimi Bilgisi	DİVAPAN’ın ticari hak ve menfaatleri ile müşterilerinin hakve menfaatlerini korumak maksatlı gelişen olaylara karşıgerekli hukuki, teknik ve idari tedbirlerin alınmasına yönelikolarak işlenen kişisel veriler
Sigorta Bilgileri	Otomatik Katılımlı BES
	Sosyal Güvenlik Kurumu Verileri
Araç Bilgileri	Araç plakası, marka, model, model yılı, motor şasi numarası, ruhsat tescil tarihi, ruhsat örneği, hasarsızlık bilgileri
Uyum Bilgileri	Uyum kapsamında işlenen kişisel veriler
Denetim ve Teftiş Bilgileri	Firmanın iç veya dış denetim faaliyetleri sırasında işlenenkişisel veriler

EK 2- Kategorik Kişisel Veri İşleme Amaçlar

Acil Durum Yönetimi Süreçlerinin Yürütülmesi

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

Denetim / Etik Faaliyetlerinin Yürütülmesi

Eğitim Faaliyetlerinin Yürütülmesi

Erişim Yetkilerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi

Finans Ve Muhasebe İşlerinin Yürütülmesi

Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

Fiziksel Mekan Güvenliğinin Temini

Görevlendirme Süreçlerinin Yürütülmesi

Hukuk İşlerinin Takibi Ve Yürütülmesi

İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

İletişim Faaliyetlerinin Yürütülmesi

İnsan Kaynakları Süreçlerinin Planlanması

İş Faaliyetlerinin Yürütülmesi / Denetimi

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

Lojistik Faaliyetlerinin Yürütülmesi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

Organizasyon Ve Etkinlik Yönetimi

Pazarlama Analiz Çalışmalarının Yürütülmesi

Performans Değerlendirme Süreçlerinin Yürütülmesi

Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

Risk Yönetimi Süreçlerinin Yürütülmesi

Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Stratejik Planlama Faaliyetlerinin Yürütülmesi

Talep / Şikayetlerin Takibi

Taşınır Mal Ve Kaynakların Güvenliğinin Temini

Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

Ücret Politikasının Yürütülmesi

Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

Yatırım Süreçlerinin Yürütülmesi

Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Yönetim Faaliyetlerinin Yürütülmesi

Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

EK 3 –Kişisel Verilerin Aktarıldığı Kişiler ve Aktarılma Amaçları

DİVAPAN Kanun’un 8. ve 9. maddelerine uygun olarak gerçek kişilerveya özel hukuk tüzel kişileri, hissedarlar, iştirakler ve bağlı ortaklıklar, tedarikçiler, topluluk şirketleri, yetkili kamu kurum ve kuruluşları vesözleşmeli hizmet aldığımız, işbirliği yaptığımız kuruluşlar ile kişiselverilerini aşağıda sıralanan kişi kategorilerine aktarabilir:

Veri AktarımıYapılabilecek Kişiler	Tanımı	Veri Aktarım Amacı ve Kapsamı
Gerçek kişiler veya özelhukuk tüzel kişileri	DİVAPAN faaliyetleri gereği ilişkide bulunduğu, işlem gerçekleştirdiği gerçek veya tüzel kişiler	Gerçekleştirilen iş ve işlem ilesınırlı
Hissedarlar	DİVAPAN ile ortaklık ilişkisi kurmuş gerçek kişiler	DİVAPAN’ın ticari faaliyetlerine ilişkin stratejilerin planlanması yürütümü ve denetimi amacıyla sınırlı
Iştirakler ve BağliOrtakliklar	DİVAPAN‘a ait iştirakler vebağlı ortaklıklar	İştiraklik ve bağlı ortaklığıngerektirdiği faaliyetlerinyürütülmesi ve denetimi amacıylasınırlı
Topluluk Şirketleri	DİVAPAN’ın aynı yapı içerisinde bulunduğu topluluk şirketleri	DİVAPAN’la aynı toplulukiçerisinde bulunan şirketlerle olanilişkinin yürütülmesi amacıylasınırlı
Yetkili Kamu Kurum veKuruluşları	Sosyal Güvenlik Kurumu, Vergi Daireleri vb. ilgilimevzuat hükümlerine gore DİVAPAN’dan bilgi ve belgealmaya yetkili kamu kurum vekuruluşları	İlgili kamu kurum ve Kuruluşlarınınkanuni yetkisine bağlı talep ettiğiamaçla sınırlı
Hizmet alınan, işbirliğiyapılan kuruluşlar	Sözleşmeli hizmet alınan, işbirliği yapılan kuruluşlar	Sözleşme ve işbirliği protokolesasları ile sınırlı
Tedarikçiler	DİVAPAN’a veri işleme amaç ve istekleri doğrultusunda hizmet sunan taraflar	DİVAPAN’ın dış kaynaktan ticari faaliyetlerini yerine getirmek için mal ve hizmetlerin tedarik edilmesi amacıyla sınırlı
Müşteriler	DİVAPAN hizmet alan kurumveya kuruluşlar	Müşteri ilişkisinin yürütülmesiamacıyla ve sözleşme esasları ilesınırlı

DIVAPAN ENTEGRE AĞAÇ PANEL SANAYI VE TICARET A.Ş.