Kişisel Verilerin Korunması

Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisi ile ilgili kişisel verilerin korunmasını talep etme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsamaktadır.

Söz konusu anayasal hakkın kullanılması kapsamında, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) yayımlanmıştır.

GRAPPA Gıda San. ve Tic. A.Ş., hukuk düzenine uyum konusunda azami özeni göstermeyi geçmişinden bugüne kadar benimsemiş olan bir Şirket olarak, kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır.

GRAPPA Gıda San. ve Tic. A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası (‘’Politika’’) ile Şirketimizin kişisel verilerin korunmasına göstermiş olduğu özen doğrultusunda yürütmekte olduğu faaliyetlerin hukuka uygunluk, dürüstlük ve şeffaflık ilkeleri başta olmak üzere Kanun’da öngörülen ilkelere ve kurallara uygun olarak yürütülmesi hedeflenmektedir.

İşbu Politika ile GRAPPA Gıda San. ve Tic. A.Ş. tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler düzenlenmekte, uygulamada dikkate alınacak hususlar ortaya konmakta, kişisel verilerin korunmasına verdiğimiz önem doğrultusunda Şirketimiz tarafından yürütülen faaliyetlerin Kanun’da yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmekte ve bir şirket politikası haline getirilmektedir.

GRAPPA Gıda San. ve Tic. A.Ş. bünyesinde Kanun’da ve işbu Politika metninde düzenlenen ilkeler doğrultusunda kişisel verilerin işlenmesi ve korunması bakımından teknik ve idari tedbirler alınmaktadır.

Bu kapsamda, GRAPPA Gıda San. ve Tic. A.Ş. iş süreçleri ve bu süreçler kapsamında yürütülen faaliyetlerde, veri sorumlusu olarak gerçek kişilerle ilgili işlenen her türlü kişisel veriye ilişkin iş ve işlemlerde bu politika esas alınır.

POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, GRAPPA Gıda San. ve Tic. A.Ş. yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

Politika, ilgili mevzuat tarafından ortaya konulan kuralların GRAPPA Gıda San. ve Tic. A.Ş. uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.

2. KISALTMALAR VE TANIMLAR

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
Alıcı Grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan	GRAPPA Gıda San. ve Tic. A.Ş. personeli.
Çalışan Adayı	GRAPPA Gıda San. ve Tic. A.Ş. ye iş fırsatları için başvuran, özgeçmişini ileten veya açık pozisyonlarda değerlendirilmek üzere kariyer web sitelerinden/online sistemlerinden bilgisi edinilen kişiler.
Elektronik Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
İlgili Kişi	Kişisel verileri işlenen kişi.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verileri Koruma Komitesi	Kişisel Verilerin Korunması hakkında mevzuata, idari kararlara, yargı kararlarına ve başta işbu Politika olmak üzere iş yeri iç düzenlemelerine tam bir uyumla hareket edilmesi amacıyla, GRAPPA Gıda San. ve Tic. A.Ş. tarafından kurulan şirket içi sorumlu birim.
Kurul	Kişisel Verileri Koruma Kurulu.
Kurum	Kişisel Verileri Koruma Kurumu.
Müşteri	GRAPPA Gıda San. ve Tic. A.Ş. ‘den mal veya hizmet alan gerçek veya tüzel kişi ve kurumlar. Tüzel kişi müşterilerle olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır.
Müşteri Adayı	GRAPPA Gıda San. ve Tic. A.Ş. ‘den mal veya hizmet alması muhtemel olarak öngörülen gerçek veya tüzel kişi ve kurumlar. Tüzel kişi müşteri adaylarıyla olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda bu politikada belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika	Kişisel Verileri Saklama ve İmha Politikası.
Silme	Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Tedarikçi	GRAPPA Gıda San. ve Tic. A.Ş. ne düzenlenen sözleşme çerçevesinde hizmet veya mal sağlayan gerçek veya tüzel kişi ve kurumlar. Tüzel kişi tedarikçilerle olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri ihlali	Kişisel verilerin kanuna aykırı şekilde ele geçirilmesi, toplanması, değiştirilmesi, kopyalanması, dağıtılması veya kullanılmasına dair haklı şüphelerin olduğu olaylar.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yöneltilmesinden sorumlu gerçek veya tüzel kişi.
Vergi Sorumluları Sicil Bilgi Sistemi	Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurum tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi.
Yok Etme	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

3. SORUMLULUKLAR

Kişisel Verilerin Korunması hakkında mevzuata, idari kararlara, yargı kararlarına ve başta işbu Politika olmak üzere kurumsal iç düzenlemelere tam bir uyumla hareket edilmesinin sağlanması ve GRAPPA Gıda San. ve Tic. A.Ş. bünyesinde yürütülen uyum çalışmaları sonucunda oluşturulan Kişisel Verilerin Korunması Yönetim Sisteminin sürdürülebilirliğinin sağlanabilmesi amacıyla, Şirketimiz bünyesinde Kişisel Verileri Koruma Komitesi (Komite) kurulmuştur.

İşbu Politikanın GRAPPA Gıda San. ve Tic. A.Ş. iş süreçlerinde ve bu süreçler kapsamında yürütülen faaliyetlerde uygulanmasında, bu Politikaya uygun olarak hazırlanan talimat, prosedür, kılavuz ve eğitim faaliyetlerinin geliştirilmesi ve uygulanmasında Komite Başkanı koordinatör ve rehber olacaktır.

GRAPPA Gıda San. ve Tic. A.Ş.’nin tüm birimleri ve çalışanları bu Politikanın uygulanmasından ve Politikaya uyulmasını gözetmekten sorumludurlar ve bu konuda Komiteye ve diğer sorumlu birimlere aktif olarak destek verirler.

4. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN OLARAK GRAPPA GIDA SAN. VE TİC. A.Ş. TARAFINDAN BENİMSENEN İLKELER

4.1 Kişisel Veri İşleme Faaliyetlerinin Veri İşleme Şartlarına Uygun Olarak Gerçekleştirilmesi

GRAPPA Gıda San. ve Tic. A.Ş. kişisel verilerin işlenmesi faaliyetlerini yürütürken Kanun’da öngörülen temel ilkelere, kişisel veri işleme şartlarına ve özel nitelikli kişisel veri işleme şartlarına uygun hareket etmektedir.

4.1.1 Kişisel Verilerin İşlenmesine İlişkin İlkeler

GRAPPA Gıda San. ve Tic. A.Ş. tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi kapsamında aşağıda sıralanan temel ilkeler benimsenmekte ve kişisel veriler bu ilkelerle uyumlu olarak işlemektedir.

Hukuka ve Dürüstlük Kurallarına Uygun İşleme

GRAPPA Gıda San. ve Tic. A.Ş., kişisel verileri Türkiye Cumhuriyeti Anayasası başta olmak üzere kişisel verilerin korunması mevzuatına ve dürüstlük kurallarına uygun olarak işlemektedir. Bu çerçevede, kişisel veriler Şirketlerimiz tarafından, iş faaliyetlerinin gerektirdiği ölçüde, sınırlı bilgiler ile işlenmektedir.

Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

GRAPPA Gıda San. ve Tic. A.Ş. tarafından kişisel verilerin işlenmesi faaliyeti yürütülürken, teknik imkanlar dahilinde kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik gerekli her türlü idari ve teknik tedbirler alınmaktadır. İlgili kişinin (veri sahibi) başvurusu üzerine veya tespit halinde verilerin güncellenmesini ve düzeltilmesini temin eder.

Belirli, Açık ve Meşru Amaçlarla İşleme

GRAPPA Gıda San. ve Tic. A.Ş., kişisel verilerin işlenme amaçlarını belirli ve açık bir şekilde ortaya koymakta ve iş süreçlerine ve bu süreçlerde yürütülen faaliyetlerle bağlantılı olarak, meşru amaçlar doğrultusunda işlemektedir.

Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

GRAPPA Gıda San. ve Tic. A.Ş., kişisel verileri veri işleme şartları ile bağlantılı olarak, veri işleme amaçlarının gerçekleştirilmesi için gerektiği ölçüde işlemektedir.

Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Saklanması

GRAPPA Gıda San. ve Tic. A.Ş., kişisel verileri ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Konu ile ilgili esaslara GRAPPA Gıda San. ve Tic. A.Ş. Kişisel Veri Saklama ve İmha Politikasında detaylı olarak yer verilmiştir.

4.1.2 Kişisel Veri İşleme Şartlarına Uygunluk

GRAPPA Gıda San. ve Tic. A.Ş. kişisel veri işleme faaliyetlerini, Kanun’un 5’inci maddesinde düzenlenmiş olan ve aşağıda açıklanan veri işleme şartlarına uygun olarak ve bu şartların varlığı halinde yürütmektedir.

Kişisel Veri Sahibinin Açık Rızasının Varlığı

Aşağıda sayılmış olan diğer işleme şartlarından birinin mevcut olmaması durumunda; ilgili kişinin özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde açık ve sadece belirli bir işleme amacı ile sınırlı olarak rıza göstermesi durumunda kişisel veri işleme faaliyeti yürütülür.

Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması

Veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, GRAPPA Gıda San. ve Tic. A.Ş. tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir.

Fiili İmkânsızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması

İlgili kişinin (veri sahibinin) açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise veri işleme faaliyeti yürütülebilecektir.

Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması

Bir sözleşmenin kurulması veya imzalanmış olan bir sözleşmenin ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise GRAPPA Gıda San. ve Tic. A.Ş. tarafından veri işleme faaliyeti yürütülür.

GRAPPA Gıda San. ve Tic. A.Ş. nin Hukuki Yükümlülüklerini Yerine Getirmesi için Kişisel Veri İşlenmesinin Zorunlu Olması

Hukuka uygunluk konusunda gerekli hassasiyeti göstermeyi Şirket politikası olarak benimsemiş olan GRAPPA Gıda San. ve Tic. A.Ş. nin ortaya çıkan bir hukuki yükümlülüğünün yerine getirilmesi için kişisel veri işleme faaliyeti yürütülür.

Veri Sahibinin Kişisel Verisini Alenileştirmesi

İlgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel veriler alenileştirilme amacına uygun olarak işlenir.

Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, GRAPPA Gıda San. ve Tic. A.Ş. tarafından bu zorunluluk doğrultusunda kişisel veri işleme faaliyet yürütülür.

Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin GRAPPA Gıda San. ve Tic. A.Ş. nin Meşru Menfaatleri için Zorunlu Olması

GRAPPA Gıda San. ve Tic. A.Ş. nin meşru menfaatleri için, kişisel veri işlemenin zorunlu olduğu durumlarda; söz konusu durumun ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi gözetilecek, yapılacak denge değerlendirmesi neticesinde hukuka uygunluk gözetilerek veri işleme faaliyeti yürütülebilecektir.

4.1.3 Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk

GRAPPA Gıda San. ve Tic. A.Ş. tarafından, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel verilerin işlenmesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti yürütülmektedir.

Özel nitelikli kişisel veriler;

İlgili kişinin açık rızası var ise veya,
İlgili kişinin açık rızası yok ise;
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, işlenebilir.

Ayrıca özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin de alınması hususu da gözetilmektedir.

Bu kapsamda,

GRAPPA Gıda San. ve Tic. A.Ş. ne iş başvurusu yapanların engellilik durumuna ilişkin bilgileri, başvuru sahibinin açık rızasının alınması şartına dayanarak toplanır ve herhangi bir alıcı grubuna aktarılmaz.
Personel yönetimi ve iş sağlığı-güvenliği faaliyetleri kapsamında çalışanlardan, alt yüklenici ve iş ortaklarından iş ilişkisinin başlamasıyla birlikte alınan sağlık durumunu bildirir bilgiler, veri sorumlusunun İş Sağlığı ve Güvenliği Kanunu kapsamındaki yükümlülüklerini yerine getirebilmesi ve taraflar arasında akdedilen sözleşmelerin ifası şartına dayanarak toplanır; gerektiğinde işyeri hekimine ve muhasebe hizmet sunucusuna aktarılır.
GRAPPA Gıda San. ve Tic. A.Ş. tarafından verilen iş yeri hekimliği hizmeti sebebiyle işlenen çalışan sağlık verileri, veri sorumlusunun İş Sağlığı ve Güvenliği Kanunu kapsamındaki yükümlülüklerini yerine getirebilmesi ve sözleşmelerin ifası şartına dayanarak toplanır ve talep edilmesi halinde yetkili kamu kurum ve kuruluşlarına aktarılabilir.
Üretim tesislerinde çalışanların üretim alanına girişinde kullanılan ve personel devam durumunun tespitini sağlayan parmak izi okuma ve yüz tanıma sistemi vasıtasıyla işlenen biyometrik veriler, ilgili kişinin (çalışan) açık rızasının alınması şartına dayanarak toplanır ve başkasına aktarılmaz.
Üretim tesislerine ziyaretçilerin girişinde beyan alma yoluyla yapılan sağlık sorgulaması kapsamında toplanan kişisel veriler, gıda güvenliği mevzuatının gereklerinin yerine getirilmesi ve veri sorumlusunun hukuki yükümlülüklerinin yerine getirmesinin sağlanması şartına dayanarak toplanır ve başkasına aktarılmaz.
GRAPPA Gıda San. ve Tic. A.Ş. tarafından işlenen özel nitelikli kişisel verilerin saklama ve imha süreleri Kişisel Veri Saklama ve İmha Politikasında belirtilmiştir.
GRAPPA Gıda San. ve Tic. A.Ş. tarafından işlenen özel nitelikli kişisel veriler yurt dışına aktarılmamaktadır.
Özel nitelikli kişisel verilere yönelik risk ve tehditler belirlenmekte, mümkün olduğunca az sayıda özel nitelikli kişisel veri tutulmakta, bu verilerin saklandığı fiziki dosyalar kilitli ve sadece erişime yetkili personelin erişebildiği alanlarda saklanmakta, yetkisiz kişilerin erişimi engellenmekte, saklama ortamlarının fiziki güvenlik tedbirleri alınmakta, yangın ikaz sistemi ile fiziksel güvenlik artırılmaktadır. Elektronik ortamda saklanan özel nitelikli kişisel veriler için, disk ve dosya şifrelemesi yapılmakta, yönetim yazılımlarına sadece yetki verilmiş personelin erişmesi sağlanmaktadır.

4.2 Kişisel Veri Aktarım Şartlarına Uygunluk

GRAPPA Gıda San. ve Tic. A.Ş. tarafından gerçekleştirilecek kişisel veri aktarımlarında Kanun’un 8 ve 9’uncu maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak hareket edilir.

4.2.1 Kişisel Verilerin Yurt İçinde Aktarılması

GRAPPA Gıda San. ve Tic. A.Ş. nin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanun’un 5’inci maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verilerin üçüncü kişilere aktarabilmesi mümkündür:

Kişisel veri sahibinin açık rızası var ise,
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
GRAPPA Gıda San. ve Tic. A.Ş. nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
Kişisel veriler, ilgili kişi tarafından alenileştirilmiş ise,
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, GRAPPA Gıda San. ve Tic. A.Ş. nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

4.2.2 Özel Nitelikli Kişisel Verilerin Yurt İçinde Aktarılması

GRAPPA Gıda San. ve Tic. A.Ş. gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda işlemekte olduğu özel nitelikli kişisel verileri aşağıdaki durumlarda üçüncü kişilere aktarabilir.

Kişisel veri sahibinin açık rızası var ise veya
Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

4.2.3 Kişisel Verilerin Yurt İçinde Aktarıldığı Kişi Grupları

GRAPPA Gıda San. ve Tic. A.Ş. nin veri sorumlusu olarak işlemekte olduğu kişisel verilerden yurt içinde aktarılanların neler olduğu, hangi alıcı gruplarına ve ne amaçla aktarıldığı; iş süreçlerine bağlı olarak düzenlenmiş bulunan aydınlatma metinleri ile ilgili kişilere yapılan bilgilendirmelerde açık ve net bir şekilde açıklanmaktadır.

Bu kapsamda; kişisel veriler aşağıda sıralanan kişi kategorilerine aktarabilir:

Hukuki uyuşmazlıkların çözülmesi, kanunların öngördüğü yasal zorunlulukların yerine getirilmesi, iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi kapsamında yetkili kamu kurum ve kuruluşlarına,
İşe alım değerlendirmeleri ve performans değerlendirme süreçlerinin yürütülmesi amacıyla Şirket yetkilileri ve hissedarlarına,
Özlük hakları ödeme ve muhasebeleştirme işlemlerinin gerçekleştirilmesi amacıyla muhasebe hizmet sunucusuna,
Ticari mutabakat işlemleri için mevzuatla yetkilendirilmiş mali müşavirlere,
İş sağlığı ve güvenliği hizmetlerinin ve yükümlülüklerinin yürütülmesi için işyeri hekimliği hizmet sunucusuna,
Şirketin ticari sözleşme yükümlülükleri kapsamındaki kalite politikalarının gereklerinin yerine getirilmesi amacıyla ürün ve hizmet alan kişilere.

4.2.4 Kişisel Verilerin Yurtdışına Aktarılması

GRAPPA Gıda San. ve Tic. A.Ş. meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:

Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
GRAPPA Gıda San. ve Tic. A.Ş. ‘nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, GRAPPA Gıda San. ve Tic. A.Ş. ‘nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

4.2.5 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

GRAPPA Gıda San. ve Tic. A.Ş. yabancı ülkelere özel nitelikli kişisel veri aktarımında bulunmaz.

4.3 İlgili Kişilerin (Veri Sahibi) Aydınlatılması

GRAPPA Gıda San. ve Tic. A.Ş., Kanun’un 10’uncu maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişilerin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir.

Bu kapsamda GRAPPA Gıda San. ve Tic. A.Ş. veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişilerin sahip olduğu haklar konusunda veri sahibinin niteliğine ve veri işleme sürecine göre aydınlatma yapmaktadır.

GRAPPA Gıda San. ve Tic. A.Ş. internet sitesinde, veri konusu kişi guruplarına ve iş süreçlerine uygun olarak hazırlanmış olan aydınlatma metinlerine yer verilmektedir.

4.4 İlgili Kişinin (Veri Sahibinin) Hakları ve Bu Hakların Kullandırılması

4.4.1 İlgili Kişinin Hakları

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarılıp aktarılmadığını bilme, aktarılıyorsa aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararı talep etme.

4.4.2 İlgili Kişinin Haklarını Kullanması

GRAPPA Gıda San. ve Tic. A.Ş. nin veri sorumlusu olarak işlemekte olduğu kişisel veriler kapsamında ilgili kişilerin haklarını kullanmak maksadıyla yapacakları başvurulara ilişkin usul ve esaslar Şirketin internet web sitesinde yayımlanmaktadır.

Başvuru Yapılması

Bu kapsamda; yapılacak başvurular için Şirketimiz internet sitesinde yer verilen ‘’Kişisel Verilerin Korunması Başvuru Formu’’ doldurmak suretiyle başvuru yapılır.

Başvuru formu, Kanun’un 13’üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’inci maddesine uygun bir biçimde; yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da önceden Şirketimize bildirilmiş olan ve sistemimizde kayıtlı bulunan elektronik posta adresi kullanılmak suretiyle Şirketimize iletilebilir.

GRAPPA Gıda San. ve Tic. A.Ş., yukarıda belirtilen usul dışındaki bir yöntemle yapılan başvurular için, başvuruyu kabul edip etmeme veya başvuru sahibine doğru usulle başvuru yapılması için hatırlatma yapıp yapmama hakkını saklı tutar.

Başvuruların Cevaplanması

GRAPPA Gıda San. ve Tic. A.Ş., yapılan başvuruları talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre başvuru sahibinden ücret talep edilme hakkı saklıdır.

GRAPPA Gıda San. ve Tic. A.Ş., başvuruda bulunan ilgili kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir; ilgili kişinin başvurusunda yer alan hususları netleştirmek adına yapılan başvuru ile ilgili sorular yöneltebilir.

Başvurularda belirtilen talep, gerekli inceleme yapıldıktan sonra kabul edilebilir veya gerekçesi açıklanarak reddedilebilir. Başvuruya ilişkin cevap, yazılı olarak veya elektronik ortamda ilgili kişiye bildirilir.

Başvuruda yer alan talebin kabul edilmesi hâlinde gereği yerine getirilir. Başvurunun Şirketimiz hatasından kaynaklanması hâlinde alınan ücret var ise iade edilir.

İlgili Kişinin Kurul’a Şikâyette Bulunma Hakkı

Kişisel veri sahibi Kanun’un 14’üncü maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; GRAPPA Gıda San. ve Tic. A.Ş.’nin cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.

5. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

5.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Hukuka Aykırı Erişimi Önlemek için Alınan Teknik ve İdari Tedbirler

GRAPPA Gıda San. ve Tic. A.Ş., Kanun’un 12.maddesine uygun olarak, işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve söz konusu verilerin hukuka uygun olarak saklanmasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alır.

5.1.1 Teknik Tedbirler

GRAPPA Gıda San. ve Tic. A.Ş. tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

• Güncel anti‐virüs sistemleri kullanılmaktadır.

• Güvenlik duvarları kullanılmaktadır.

• Parmak izi açılış sistemine sahip olan Dizüstü bilgisayarlar, parmak izi ile açılmaktadır.

• Kablosuz ağa girişte yetkilendirme yapılmakta, giriş parolaları aylık değiştirilmektedir.

• Kişisel verilerin olduğu yönetim yazılımlarına erişim kontrolü yetkilendirmeyle yapılmaktadır.

• Kişisel verilerin olduğu yönetim yazılımlarının veri tabanlarına erişim kontrolü yetkilendirmeyle yapılmaktadır.

• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

• Elektronik ortamda saklanan özel nitelikli kişisel veriler için, disk ve dosya şifrelemesi yapılmaktadır.

5.1.2 İdari Tedbirler

GRAPPA Gıda San. ve Tic. A.Ş. tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

• Kurum içi periyodik ve rastgele denetimler yapılmaktadır.

• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

• Mevcut risk ve tehditler belirlenmiştir.

• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

• Kişisel veriler mümkün olduğunca azaltılmaktadır.

• Çalışanlarla ve dış ilişkide olunan kişilerle gizlilik taahhütnameleri yapılmaktadır.

• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

• Erişim, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

• Özel nitelikli kişisel veriler kilitli dolapta muhafaza edilmektedir.

5.2 Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

GRAPPA Gıda San. ve Tic. A.Ş., Kanun’un 12’nci maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumun en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir.

Kurul tarafından gerek görülmesi halinde, bu durum, Kurumun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

6. POLİTİKA’NIN YAYINLANMASI ve SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, web sitesinde kamuya açıklanır. Basılı kâğıt nüshası İnsan Kaynakları Birimi ile Kişisel Verileri Koruma Komitesi Başkanlığının ilgili dosyasında saklanır.

7. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, GRAPPA Gıda San. ve Tic. A.Ş.’nin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın ıslak imzalı eski nüshaları İnsan Kaynakları Birimi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile İnsan Kaynakları Birimi tarafından saklanır.

Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile bu Politika arasında çelişki bulunması halinde, GRAPPA Gıda San. ve Tic. A.Ş. yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir.

8. POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Yapılan değişiklikler EK-1’de yer alan güncelleme tablosunda gösterilir.

Ek‐1 Güncelleme Tablosu

Güncelleme Tarihi

Güncellenen Konu