ara
Gizlilik Politikamız
Burda Bebek
Gizlilik ve Güvenlik Politikamız
KİŞİSEL VERİLERİ KORUMA POLİTİKASI
AMAÇ
Burda Bebek Ürünleri San. Ve Tic. A.Ş. (bundan sonra “ŞİRKET” ya da “BURDA BEBEK” olarak geçecektir) üst yönetimi, kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve sair mevzuat tarafından getirilmiş ilke ve kurallara uymayı ve Şirket tarafından verileri işlenen bireylerin hak ve özgürlüklerini korumayı taahhüt etmektedir. Üst Yönetim bu amaçla, uygulanmak ve geliştirilmek üzere yazılı bir kişisel veri koruma politikası ve sistemi benimsemiştir.
KAPSAM
Politika hükümleri, Şirketin faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, kontratları, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır.
Bu politika Şirketin tüm birimlerini, destek hizmeti veren firma personellerini, ziyaretçileri, üçüncü kişileri, stajyer ve sözleşmeli personeli kapsamaktadır.
VERİ KORUMA İLKELERİ
Şirket, kişisel verilerin korunması mevzuatı ve veri koruma ilkelerine uyacaktır. Şirketin benimsediği veri koruma ilkeleri şunları içermektedir:
a. Kişisel verileri yalnızca meşru kurumsal amaçlar bakımından açıkça gerekli olması halinde işlemek;
b. Bu amaçlar için gerekli asgari ölçekte kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek;
c. Bireylere kişisel verilerinin kimler tarafından ve ne şekilde kullanıldığı konusunda açık bilgi vermek;
d. Yalnızca ilgili ve uygun kişisel verileri işlemek;
e. Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek;
f. Şirket tarafından işlenen kişisel veri kategorilerinin envanterini tutmak;
g. Kişisel verileri doğru ve gerektiğinde güncel tutmak;
h. Kişisel verileri yalnızca yasal düzenlemeler, Şirketin hukuki yükümlülükleri veya meşru kurumsal menfaatlerinin gerektirdiği süre kadar saklamak;
i. Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak;
j. Tüm kişisel verileri güvenli tutmak;
k. Kişisel verileri yurtdışına, yalnızca yeterli korumanın bulunması halinde transfer etmek;
l. Mevzuat uyarınca izin verilen istisnaları uygulamak;
m. Politikanın uygulanması için kişisel veri koruma sistemini tesis etmek ve uygulamak;
n. Gerektiğinde kişisel veri koruma sistemine taraf olan iç ve dış paydaşları ve bunların Şirketin kişisel veri koruma sistemine ne ölçüde dahil olduklarını belirlemek;
o. Kişisel verilerin korunması sistemiyle ilgili özel yetki ve sorumluluklara sahip personel(leri) belirlemek.
VERİ SAHİPLERİNİN HAKLARI
Veri sahipleri haklarındaki Şirket nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak aşağıdaki haklara sahiptir:
• Kişisel verisinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• KVKK veya bu politika uyarınca işlenmesi için hukuka uygun bir gerekçe veya dayanak bulunmayan kişisel verilerin silinmesini veya yok edilmesini isteme,
• İsteği üzerine yapılan düzeltme veya silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri sahipleri, kişisel verilerine erişme ve yukarıda sayılan haklarını kullanma talebinde bulunabilirler. Bu talepler İrtibat Sorumlusu/Kişisel Verileri Koruma Komitesine iletilir ve Komite tarafından 30 gün içerisinde cevap verme işlemi yerine getirilir. Taleplerin alınması, iletilmesi ve sonuçlandırılmasına ilişkin süreçler talep yönetim prosedürü uyarınca gerçekleştirilir.
Veri sahipleri taleplerini KVKK Başvuru Formunu doldurmak suretiyle “Burda Bebek Ürünleri San. ve Tic. A.Ş. | Genel Müdürlük, Merdivenköy Mh. Dikyol Sk.No:2/1 B Blok Kat:17 (D.170-171-172) Business İstanbul 34732 Kadıköy, İstanbul” adresine noter vasıtasıyla veya iadeli taahhütlü mektup vasıtasıyla kimlik teyidi yapmak suretiyle veya “kvkk@burdabebek.com” adresine e-posta adresi üzerinden iletebilirler.
Şirketin tüm personeli, görev tanımı ne olursa olsun kendisine yönelmiş veri sahibi erişim taleplerine yönelik olarak doğru başvuru yöntemi konusunda veri sahiplerini yönlendirmekle yükümlüdür. Şirket personeli, veri sahiplerinden gelecek talepler konusunda nasıl hareket etmeleri konusunda bilgilendirilmeli ve eğitilmelidir.
Veri sahiplerinin taleplerini yöneltebilmesi için aydınlatma metinleri/gizlilik bildirimlerinde ve Şirketin web adresinde, İrtibat Kişisi/Komitenin iletişim bilgilerine yer verilir.
AÇIK RIZA ALINMASI
Şirket, veri sahibi tarafından belirli veri işleme faaliyetlerine ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle, hakkında veri işlenmesine ilişkin iradeyi ortaya koyan, yazılı/sözlü beyan veya açık doğrulayıcı eylemle açıklanan, rızayı açık rıza olarak kabul etmektedir. Hassas veriler bakımından açık rıza mutlaka yazılı olarak alınır. Açık rıza veri sahibi tarafından her zaman geri alınabilir.
Açık rıza, açık rıza formu şablonu veri sahibine imzalatılarak veya veri sahibiyle yapılacak sözleşme veya elektronik formda bu şablonda yer alan unsurlara yer verilmesi suretiyle alınabilir. Personeller, personel adayları ve müşterilere ilişkin rutin olarak işlenen kişisel veriler bakımından açık rıza, ilgili sözleşme veya formlar aracılığıyla alınır.
Açık rızaya dayanan veri işleme faaliyetinin süreklilik arz edecek veya tekrarlanacak olması halinde ilgili birimce tek bir liste halinde açık rızası alınmış kişilerin listesi tutulur. Bu listenin güncelliği ve doğrulu ilgili birimin sorumluluğundadır. Açık rızaya dayanan veri işleme faaliyetine ilişkin açık rıza formları veya diğer ilgili ispat araçları ilgili birimce saklanır.
VERİ GÜVENLİĞİ
• Tüm personel, Şirket tarafından işlenen ve kendi sorumluluklarında olan kişisel verilerin güvenli olarak tutulmasını sağlamakla yükümlüdür.
• Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmelidir. Erişimler, Erişim Yönetimi Prosedürü uyarınca sağlanır.
• Kişisel verilerin güvenliği, Şirketin KVK Politikası ve buna bağlı dokümanlar uyarınca sağlanır.
• Kişisel verilere ilişkin bilgi güvenliği olayları Kişisel Verileri Koruma Komitesince en kısa süre içerisinde KVK Kuruluna ve ilgili kişiye bildirilir.
VERİ PAYLAŞIMI
• Kişisel veriler ancak hukuka ve hakkaniyete uygun olarak üçüncü kişilerle paylaşılabilir. Buna göre kişisel verilerin paylaşılabilmesi için aşağıdaki koşullardan birinin bulunması aranır:
§ Veri sahibin açık rızasının alınmış olması.
§ Kanunlarda açıkça öngörülmesi.
§ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
§ Şirketin taraf olduğu ya da olacağı bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
§ Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
§ İlgili kişinin kendisi tarafından alenileştirilmiş olması.
§ Şirketin haklarının tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
§ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması.
• Kişisel veriler, ancak yukarıdaki koşulların sağlanması ve hedef ülkede yeterli korumanın bulunması ve veri sahibinin bu aktarım konusunda açık rızasının alınması koşuluyla yurtdışına aktarılabilir.
• Kişisel verilerin yurtdışına aktarılmasında KVK Kurulu tarafından belirlenen yeterli korumanın bulunduğu ülkeler listesi dikkate alınır.
• Kişisel verilerin yurtdışına aktarılması söz konusu olduğunda KVKK ve ilgili mevzuat uyarınca Kişisel Verileri Koruma Komitesi KVK Kurulu nezdinde gerekli izin ve bildirimleri sağlar.
• Eğer yeterlilik kararı bulunmuyorsa, yurt dışına kişisel veri aktarımı ancak aşağıdaki güvencelerden birinin sağlanmasıyla yapılabilir:
§ Standart sözleşme: Kişisel verilerin aktarılacağı ülke ile yapılacak sözleşme, veri sorumlusu veya veri işleyen tarafından imzalandıktan sonra beş iş günü içinde KVKK'ya bildirilmelidir.
§ Bağlayıcı şirket kuralları: Şirketler arası anlaşmalarla veri güvenliği tedbirlerinin belirlenmiş olması ve bunların KVKK tarafından onaylanması gereklidir.
§ Taahhütname: Yeterli güvence sağlayacak yazılı bir taahhütname ile KVKK tarafından veri aktarımına izin verilmesi gerekir.
• KVKK Taahhütnamesi minimumda şunları içerir:
§ Paylaşımın amacı veya amaçları;
§ Potansiyel üçüncü kişi alıcılar veya alıcı türü ve erişim hakkı koşulları;
§ Paylaşılacak veri kategorilerinin neler olduğu (bu amaçlarınız için gerekli minimum düzeyde tutulmalıdır);
§ Verinin işlenmesine ilişkin genel ilkeler;
§ Veri güvenliği tedbirleri;
§ Paylaşılan verilerin tutulma süresi;
§ Veri sahibinin hakları, erişim talepleri, başvuru ve şikâyetlere cevap verme prosedürleri;
§ Paylaşım sözleşmesinin yürürlüğünün sona erdirilmesinin gözden geçirilmesi ve
§ Sözleşmeye uyulmaması veya personelin bireysel ihlalinden dolayı sorumluluk ve yaptırımlar.
KAYITLARIN YÖNETİMİ
Kişisel veriler, işlenme amaçları için gerekli süreden fazla tutulamaz. Kişisel veri içeren kayıtların sınıflandırılması ve bunlara ilişkin saklama süreleri Saklama ve İmha Politikası uyarınca belirlenir.
İşlenme amaçları için gerekli süresi dolan veya veri sahibinin haklı talebi üzerine kişisel veriler, veri sahibi gerçek kişi tespit edilemeyecek şekilde ve İmha Prosedürü uyarınca anonimleştirilir veya silinir veya imha edilir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
AMAÇ
Özel Nitelikli Kişisel Veri İşleme Politikası’nın (“Politika”) amacı, Burda Bebek Ürünleri San. Ve Tic. A.Ş. (bundan sonra “ŞİRKET” ya da “BURDA BEBEK” olarak anılanacaktır.) mevcut ve potansiyel müşterileri, iş ortakları, ziyaretçileri, pay sahipleri, şirket yöneticileri, personel adayları, personelleri ve yetkilileri ile ilgili üçüncü kişilere ait özel nitelikli kişisel verilerin aktarılması, depolanması, imha edilmesi ve saklanması gibi her türlü veri işleme faaliyetlerindeki prensiplerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’Kanun’’) ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 Sayılı Kararının belirttiği usul ve esaslara göre belirlenmesidir.
KAPSAM
Politika hükümleri, BURDA BEBEK’in faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, kontratları, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır.
Bu politika BURDA BEBEK adına çalışan bir üçüncü tarafın, mevcut ve potansiyel müşterileri, iş ortakları, ziyaretçileri, pay sahipleri, BURDA BEBEK yöneticileri, personelleri, personel adayları ve ilgili üçüncü tarafları ve üçüncü taraf personelleri ile yetkililerini kapsamaktadır.
TANIMLAR
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
KVK: Şirket organizasyonunun denetimi için Genel Müdür tarafından atanan Kişisel Verileri Korunma Komitesini,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel nitelikli (hassas) kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
KVK: Kişisel verilerin korunması,
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
KVK Kurulu: Kişisel Verileri Koruma Kurulunu,
KVK Kurumu: Kişisel Verileri Koruma Kurumunu,
KVK Temsilcisi: Şirket organizasyonunun denetimi için Genel Müdür tarafından atanan Kişisel Verilerin Korunması Temsilcisini,
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
VERİ GÜVENLİĞİ
Tüm personel, BURDA BEBEK tarafından işlenen ve kendi sorumluluklarında olan verilerin güvenli olarak tutulmasını ve KVK Taahhütnamesi imzalamadıkça hiçbir üçüncü tarafa açıklanmamasını sağlamakla yükümlüdür.
Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmelidir. Erişimler, erişim yönetimi prosedürü uyarınca sağlanır.
Veri güvenliği, BURDA BEBEK’in KVK Politikası (KV.PO.01 Kişisel Verilerin Korunması Politikası) ve buna bağlı dokümanlar uyarınca sağlanır.
Kişisel verilere ilişkin bilgi güvenliği olayları Kişisel Verileri Koruma Komitesince en kısa süre içerisinde KVK Kuruluna ve ilgili kişiye bildirilir.
Özel nitelikli kişisel verilerin işlenmesi söz konusu olduğunda ayrıca KVKK tarafından belirlenen yeterli güvenlik önlemlerinin veri sorumlusu olan BURDA BEBEK tarafından yerine getirilmesi gerekmektedir.
PERSONELLERE YÖNELİK GÜVENLİK ÖNLEMLERİNİN ALINMASI
İnsan Kaynakları, İdari İşler birimi gibi özel nitelikli kişisel veri işlemek suretiyle iş süreçlerini yürüten iş birimlerinde bulunan personeller hakkında;
a. Gizlilik sözleşmeleri yapılmalı ve bu sözleşmenin ekinde Özel Nitelikli Kişisel Veri Politikası da bulunmalıdır.
b. Yukarıda sayılan ilgili birimlere yılda bir kişisel verilerin güvenliği konusunda eğitimlerin verilmesi,
c. Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması ve periyodik olarak yetki kontrollerinin gerçekleştirilmesi gerekir.
d. Görev değişikliği olan ya da işten ayrılan personellerin bu alandaki yetkilerinin derhal kaldırılması, mevcut hesaplarının derhal kapatılması gerekmektedir. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen kişisel veri barındıran envanterlerin (bilgisayar, harddisk, dosya, klasör vb.) iade alınması sağlanmalıdır.
ELEKTRONİK ORTAMLARDA GÜVENLİK ÖNLEMLERİNİN ALINMASI
Söz konusu verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
a. Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
d. Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
f. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekmektedir.
FİZİKİ ORTAMLARDA GÜVENLİK ÖNLEMLERİNİN ALINMASI
Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziki ortam ise;
a. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerekmektedir.
VERİ PAYLAŞIMI
Özel Nitelikli Kişisel Veriler ancak ilgili kişinin açık rızası veya 6698 sayılı kanunun 6. maddesinin 3. fıkrasında bulunan istisnalar kapsamında hukuka ve hakkaniyete uygun olarak üçüncü kişilerle paylaşılabilir.
Buna göre özel nitelikli kişisel verilerin paylaşılabilmesi için aşağıdaki koşullardan birinin bulunması aranır:
• Veri sahibin açık rızasının alınmış olması,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
• İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
• Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.
Özel nitelikli kişisel verilerin paylaşıldığı aşağıda belirtilen önlemleri alacak ve bu kapsamda aktarım faaliyetlerini yerine getirecektir;
Özel Nitelikli Kişisel Verilerin;
a. E-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalıdır,
b. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması gerekir,
c. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi gerekir,
d. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.