Protection of Personal Data

Home/Protection of Personal Data

Protection of Personal Data

Home/Protection of Personal Data

1. PURPOSE AND SCOPE

Kemahlıoğlu, who has adopted the utmost care in compliance with the legal order, establishes systems for the execution of all kinds of activities necessary in terms of compliance with the legislation on the processing and protection of personal data.

Kemahlıoğlu Personal Data Processing and Protection Policy (“Kemahlıoğlu KVK Policy”) regulates the principles adopted by Kemahlıoğlu in the protection and processing of personal data.

In line with the importance Kemahlıoğlu attaches to the protection of personal data, the basic principles regarding the compliance of Kemahlıoğlu KVK Policy and the activities carried out by Kemahlıoğlu Company with the regulations in the Personal Data Protection Law No. 6698 (“KVK Law”) are determined and in this context, Kemahlıoğlu Company replaces It sets out what needs to be brought. With the implementation of Kemahlıoğlu KVK Policy regulations, the data security principles adopted by Kemahlıoğlu will be made sustainable.

2. TARGET

Kemahlıoğlu, in line with the goal of creating unity within the community; should establish the necessary system for raising awareness on the protection of personal data within the company and establish the necessary order to ensure compliance of its internal operations with the legislation on the protection and processing of personal data.

Kemahlıoğlu KVK Policy aims to guide the implementation of the regulations set forth by the KVK Law and the relevant legislation by the Kemahlıoğlu Companies. With the Kemahlıoğlu KVK Policy, it is aimed to ensure that the compliance process with the KVK Law, which is given importance by Kemahlıoğlu, is adopted and carefully carried out by each Group Company.

3. DEFINITIONS

The definitions used and important in the Kemahlıoğlu KVK Policy are as follows:

Open Consent: Consent on a particular subject, based on information and expressed with free will.

Anonymization : Making personal data incapable of being associated with an identified or identifiable natural person under any circumstances, even by matching it with other data.

Communiqué on the Procedures and Principles to be Followed in Fulfilling the Obligation of Lighting: Communiqué on the Procedures and Principles to be Followed in Fulfilling the Disclosure Obligation, which was published in the Official Gazette dated March 10, 2018 and numbered 30356.

Employee KVK Policy: “Kemahlıoğlu Plastik Ambalaj Sanayi Ticaret A.Ş. Employees Personal Data Protection and Processing Policy”.

Regulation on the Processing of Personal Health Data: Regulation on the Processing of Personal Health Data and Ensuring Privacy, published in the Official Gazette dated October 20, 2016 and numbered 29863.

Personal Health Data: All kinds of information about the physical and mental health of an identified or identifiable natural person, and information about the health service provided to the person.

Personal Data: Any information relating to an identified or identifiable natural person

Personal Data Owner: The natural person whose personal data is processed. For example; Customers and employees.

Personal Data Protection Unit: The unit that will provide the necessary coordination within the Company within the scope of ensuring, maintaining and maintaining compliance with the personal data protection legislation by Kemahlıoğlu Plastik.

Processing of Personal Data: Obtaining, recording, storing, preserving, changing, rearranging, disclosing, transferring, taking over, making available, classifying or using personal data in whole or in part by automatic or non-automatic means provided that it is a part of any data recording system. Any operation performed on the data, such as blocking.

KVK Law: The Law on Protection of Personal Data No. 6698, dated March 24, 2016, published in the Official Gazette dated 7 April 2016 and numbered 29677.

KVK Board: Personal Data Protection Board.

KVK Institution: Personal Data Protection Authority.

Special Qualified Personal Data: Data on race, ethnicity, political thought, philosophical belief, religion, sect or other beliefs, dress, association, foundation or union membership, health, sexual life, criminal conviction and security measures, and biometric and genetic data.

Kemahlıoğlu Plastik /Company : KEMAHLIOĞLU PLASTIC PACKAGING INDUSTRY AND TRADE INC.

Kemahlıoğlu Plastic Business Partners: Parties with which Kemahlıoğlu Plastik has established business partnerships for various purposes while carrying out its commercial activities.

Kemahlıoğlu Plastik KVK Policy: Kemahlıoğlu Plastik Ambalaj San. Trade Inc. Personal Data Protection and Processing Policy.

Kemahlıoğlu Plastic Suppliers: Parties providing services to Kemahlıoğlu Plastik on a contractual basis

Kemahlıoğlu Plastic Data Owner Application Form: Data owners, in Article 11 of the KVK Law, the application they will benefit from when using their applications regarding their rights.

form.

Kemahlıoğlu Company Employee KVK Policy: “Kemahlıoğlu Plastik Employees Personal Data Protection and Processing Policy”, which regulates the principles adopted in the protection and processing of the personal data of the employees of the companies within the Kemahlıoğlu Plastik.

Kemahlıoğlu Company KVK Policy: Kemahlıoğlu Company Personal Data Protection and Processing Policy.

Constitution of the Republic of Turkey: Published in the Official Gazette dated 9 November 1982 and numbered 17863; The Constitution of the Republic of Turkey, dated 7 November 1982 and numbered 2709.

Turkish Penal Code: Published in the Official Gazette dated October 12, 2004 and numbered 25611; Turkish Penal Code No. 5237 dated September 26, 2004

Data Processor: A natural or legal person who processes personal data on behalf of the data controller, based on the authority given by the data controller.

Data Controller: The person who determines the purposes and means of processing personal data and manages the place where the data is kept in a systematic way.

Communiqué on Application Procedures and Principles to Data Controller: Communiqué on the Procedures and Principles of Application to Data Controller, published in the Official Gazette dated March 10, 2018 and numbered 30356.

Data Controllers Registry: Data Controllers Registry, which is open to the public and kept at the Presidency of the Personal Data Protection Authority under the supervision of the KVK Board Data Controllers Registry

About Regulation: Data Controllers Registry, which entered into force on 1 January 2018, published in the Official Gazette dated 30 December 2017 and numbered 30286

About Regulation.

4. ROLES AND RESPONSIBILITIES

Kemahlıoğlu Board of Directors will be the source of advice and guidance in the implementation of the regulations, procedures, guides, standards and training activities prepared in accordance with the Kemahlıoğlu KVK Policy. All of our employees, stakeholders, guests, visitors and related third parties across Kemahlıoğlu are obliged to cooperate with Kemahlıoğlu in preventing legal risks and imminent danger, together with compliance with the Kemahlıoğlu KVK Policy. All organs and departments of Kemahlıoğlu are responsible for observing the compliance with the Kemahlıoğlu Company KVK Policy.

5. POLICY PRINCIPLES

5.1. FUNDAMENTAL PRINCIPLES APPROVED BY KEMAHLIOĞLU

The following basic principles should be adopted by Kemahlıoğlu Company in order to comply with and maintain compliance with the personal data protection legislation:

5.1.1. Processing personal data in accordance with the law and honesty rules

Kemahlıoğlu Company should carry out their personal data processing activities in accordance with the law and the rule of good faith, in accordance with the legislation on the protection of personal data, especially the Constitution of the Republic of Turkey.

5.1.2. Ensuring the accuracy and up-to-dateness of the personal data processed

Kemahlıoğlu Company should ensure the accuracy and up-to-dateness of the personal data they process, take the necessary administrative and technical measures within this framework, and carry out the necessary processes. In this context, if personal data of personal data owners are inaccurate, mechanisms should be established to correct them and confirm their accuracy.

5.1.3. Processing personal data in a limited and measured way in connection with the purpose

Kemahlıoğlu Company should process personal data in connection with data processing conditions and as necessary for the realization of these services. In this context, it requires that the purpose of processing personal data be determined before starting the personal data processing activity. In other words, personal data should not be processed with the assumption that it can only be used in the future (preserving personal data is also a data processing activity). In this framework, Kemahlıoğlu Company should consider the fundamental rights of data owners and their own legitimate interests.

5.1.4. Keeping personal data for as long as required by the relevant legislation or for the purpose for which they are processed.

Kemahlıoğlu Company should keep personal data for a limited period of time stipulated in the relevant legislation or required by the data processing purpose. Accordingly, they must comply with the time limit arising from Article 138 of the Turkish Penal Code and Articles 4 and 7 of the KVK Law. Kemahlıoğlu Company should delete, destroy or anonymize personal data in the event that the period stipulated in the legislation expires or the reasons requiring the processing of personal data disappear.

5.2. TO THE DATA PROCESSING CONDITIONS OF PERSONAL DATA PROCESSING ACTIVITIES

SUITABLE PERFORMANCE

Kemahlıoğlu Company should act in accordance with the data processing conditions determined in the 5th and 6th articles of the KVK Law and the Regulation on the Processing of Personal Health Data, provided that they comply with the basic principles. In this direction, it should determine whether the said data processing conditions exist in terms of personal data processing activities; personal and data processing activity they should not.

Kemahlıoğlu Company should establish the necessary mechanisms in its internal systems for the legal processing of personal data, create internal awareness regarding the protection of personal data, and implement the necessary control mechanisms. Within the scope of processing personal data, Kemahlıoğlu Company must comply with the rules set forth in the Turkish Criminal Code, the Turkish Criminal Code, the KVK Law and other relevant legislation, as well as the Kemahlıoğlu KVK Policy, in particular the Constitution of the Republic of Turkey.

5.3. IN ACCORDANCE WITH THE DATA TRANSFER TERMS OF PERSONAL DATA TRANSFER

REALIZATION

In personal data transfers to be carried out by Kemahlıoğlu Company (actively sharing personal data with third parties or making personal data accessible to third parties), the personal data transfer conditions regulated in Articles 8 and 9 of the KVK Law must be complied with.

5.4. ENSURING THE SECURITY OF PERSONAL DATA

Kemahlıoğlu should take all necessary measures, within the bounds of possibility, according to the nature of the data to be protected, in order to prevent the unlawful disclosure or transfer of personal data, the unlawful access to personal data, or the security deficiencies that may occur in other ways. In this context, necessary administrative and technical measures should be taken by Kemahlıoğlu Company, an audit system should be established within the company, and the measures stipulated in the KVK Law should be taken in case of disclosure of personal data by illegal means.

5.4.1. Administrative Measures to be Taken by Kemahlıoğlu Company to Ensure Legal Processing of Personal Data and to Prevent Unlawful Access to Personal Data

– Kemahlıoğlu Company should train and raise awareness of its employees regarding the protection of personal data.

– In cases where personal data is subject to transfer, Kemahlıoğlu Company should add records to the contracts concluded with the persons to whom the personal data is transferred, indicating that the party to which the personal data is transferred will fulfill its obligations to ensure data security. In this context, the transferred party should be committed to take all necessary measures to protect personal data and to ensure that these measures are implemented in its own organization.

– The processes carried out by Kemahlıoğlu Company should be examined in detail, and the personal data processing activities carried out within the scope of the process should be determined for each unit. In this context, the steps to be taken to ensure that the data processing activities carried out comply with the personal data processing conditions stipulated in the KVK Law should be determined.

– Kemahlıoğlu Company should determine the practices that must be followed in order to ensure compliance with the KVK Law according to the company structures, and regulate these practices with internal policies.

5.4.2. Technical Measures to be Taken by Kemahlıoğlu Company to Ensure Legal Processing of Personal Data and to Prevent Unlawful Access to Personal Data

– Regarding the protection of personal data, technical measures should be taken as far as technology allows, and the measures taken should be updated and improved in parallel with the developments.

– In technical matters, expert personnel should be employed.

– Audits should be carried out at regular intervals for the implementation of the measures taken.

– Software and systems to ensure security should be installed.

– Access to personal data processed by Kemahlıoğlu Company should be limited to the relevant company employee in line with the specified processing purpose.

5.4.3. Kemahlıoğlu Company Conducting Audit Activities Regarding the Protection of Personal Data

The compliance, functioning and effectiveness of the technical measures, administrative measures and practices taken by Kemahlıoğlu Company within the scope of protection and security of personal data with the relevant legislation, policies, procedures and instructions should be audited by the Kemahlıoğlu Company. Kemahlıoğlu Company can carry out the said audit activity by means of its own organization or it can have it outsourced audit firms. When deemed necessary, Kemahlıoğlu Company may carry out the said audit activity in Kemahlıoğlu Company directly through its own organization. The results of the audit activities performed should be reported to the Kemahlıoğlu Company. It is the primary responsibility of the process owners to regularly monitor the planned actions regarding the audit results. Kemahlıoğlu Company should follow up the actions within the scope of this report, verify tests and audits. Without being limited to the audit results, the activities that will ensure the development and improvement of the measures taken regarding the protection of data should be carried out by the relevant executive units at Kemahlıoğlu Company.

5.4.4. Measures to be Taken in Case of Unlawful Disclosure of Personal Data

Kemahlıoğlu Company, the personal data they are processing is against the law. In the event that it is obtained by unauthorized persons, they must immediately notify the KVK Board and the relevant data owners. The internal structure required to fulfill this obligation should be established.

5.5. OBLIGATIONS REGARDING PERSONAL DATA PROCESSING ACTIVITY

Kemahlıoğlu Company must comply with the obligations stipulated by the KVK Law for data controllers. In this context, the main issues that Kemahlıoğlu Company is obliged to comply with are listed below:

5.5.1. Obligation to Register and Notify the Data Controllers Registry

Kemahlıoğlu Company must register with the Data Controllers Registry in accordance with Article 16 of the KVK Law and the procedures and principles of the Regulation on the Data Controllers Registry. The information to be submitted to the Data Controllers Registry in the registration application is as follows:

1. Identity of the Group Company in the status of data controller and its representative, if any

information and addresses,

2. Purpose of processing personal data,

3. Data subject groups and categories of personal data processed by these persons

information about,

4. Persons or groups of persons to whom personal data can be transferred,

5. Personal data that can be transferred abroad,

6. Measures taken to ensure the security of the personal data processed,

7. The maximum retention period required for the purpose of processing personal data.

5.5.2. Obligation to Inform the Data Owner

Kemahlıoğlu Company should carry out the necessary processes to ensure that the data owners are informed during the acquisition of personal data, in accordance with Article 10 of the KVK Law and the Communiqué on the Procedures and Principles to be Complied with in Fulfilling the Obligation of Disclosure. The information to be submitted to the data owners within the scope of the disclosure obligation is as follows:

1. Identity of the data controller and its representative, if any,

2. The purpose for which personal data will be processed,

3. To whom and for what purpose the processed personal data can be transferred,

4. The method and legal reason for collecting personal data,

5. Data owner’s rights;

– To learn whether personal data is processed or not,

– To request information about personal data if it has been processed,

– To learn the purpose of processing personal data and whether they are used in accordance with the purpose,

– To know the third parties to whom personal data is transferred in the country or abroad,

– Requesting correction of personal data in case of incomplete or incorrect processing and requesting that the transaction be notified to the third parties to whom the personal data has been transferred,

– Requesting the deletion or destruction of personal data within the framework of the stipulated conditions and requesting that the transaction be notified to the third parties to whom the personal data has been transferred,

– Objecting to the emergence of a result against the person himself by analyzing the processed data exclusively through automated systems,

– To request the compensation of the damage in case of damage due to the unlawful processing of personal data.

5.5.3. Obligation to Ensure the Security of Personal Data

Kemahlıoğlu Company is aware of the importance of ensuring the security of personal data and observing the fundamental rights and freedoms of data owners in accordance with Article 12 of the KVK Law;

1. To prevent the unlawful processing of personal data,

2. To prevent unlawful access to personal data and

3. In order to ensure the protection of personal data, they should take all necessary technical and administrative measures to ensure the appropriate level of security.

Kemahlıoğlu Company is also obliged to make or have the necessary audits done within the scope of the operation of the mechanisms to ensure data security.

5.5.4. Obligation to Fulfill the Decisions Made by the KVK Board

Kemahlioglu Company; They must act in accordance with the decisions taken by the KVK Board, which is the executive body of the KVK Institution, which operates in order to ensure that personal data is processed in accordance with fundamental rights and freedoms.

5.5.5. Obligation to Respond to Data Owner Applications

As a data controller, Kemahlıoğlu Company, in accordance with Article 13 of the KVK Law, must finalize the requests of data owners regarding their personal data as soon as possible and within thirty (30) days at the latest, depending on the nature of the request. Data owners should make their requests regarding their personal data in line with the Communiqué on Application Procedures and Principles to the Data Controller. Pursuant to Article 11 of the KVK Law, personal data owners can apply to the data controllers and make requests regarding the following issues:

1. To learn whether personal data is processed or not,

2. To request information on personal data if it has been processed,

3. To learn the purpose of processing personal data and whether they are used in accordance with the purpose,

4. To know the third parties to whom personal data is transferred in the country or abroad,

5. To request correction of personal data if it is incomplete or incorrectly processed, and To request the notification of the transaction made in this context to the third parties to whom the personal data has been transferred,

6. To request the deletion or destruction of personal data in the event that the reasons requiring processing are eliminated, although it has been processed in accordance with the provisions of the KVK Law and other relevant laws, and to request the notification of the transaction made within this scope to the third parties to whom the personal data has been transferred,

7. Objecting to the emergence of a result against the person himself by analyzing the processed data exclusively through automated systems,

8. To request the removal of the damage in case of loss due to unlawful processing of personal data.

5.5.6. Obligation to Transfer and Obtain Personal Data in Compliance with the Law

Kemahlıoğlu Company must process personal data in accordance with the law and honesty in accordance with Article 4 of the KVK Law. In this context, the activities of obtaining and transferring personal data should also be carried out in accordance with the law.

5.5.7. Obligation to Act in Compliance with the Regulations Regarding the Retention of Personal Data

Kemahlıoğlu Company pursuant to Article 7 of the KVK Law; They should establish the necessary internal systems for the deletion, anonymization or destruction of personal data whose reason for processing has disappeared despite being processed in accordance with the law.

7. REVIEW

This Policy document enters into force from the moment Kemahlıoğlu is approved. Except for the repeal of this Policy, Kemahlıoğlu General Manager has been authorized by the Kemahlıoğlu Board of Directors for the changes to be made in the Policy and how it will be put into effect. With the approval of Kemahlıoğlu General Manager, this Policy may be amended and put into effect.

Implementation rules will be regulated in the form of a regulation, which will be regulated in accordance with this Policy and will specify how the issues specified in this Policy will be carried out for certain issues. The regulations will be published and put into effect with the approval of Kemahlıoğlu CEO.

In any case, this Policy is reviewed once a year, and if there are necessary changes, it is updated by submitting it to the General Manager of Kemahlıoğlu Company for approval. Kemahlıoğlu Company KVK Policy has been published by Kemahlıoğlu on its website and presented to the public. In case of conflict between the applicable legislation, especially the KVK Law, and the regulations included in this Policy, the provisions of the legislation shall apply. Kemahlıoğlu reserves the right to make changes in the KVK Policy of Kemahlıoğlu Company in parallel with the legal regulations. The current version of Kemahlıoğlu Company KVK Policy can be accessed on Kemahlıoğlu’s website (www.kemahliogluplastik.com).

1. AMAÇ VE KAPSAM

Hukuk düzenine uyum konusunda azami özeni göstermeyi geçmişinden bugün benimsemiş olan Kemahlıoğlu, kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır.

Kemahlıoğlu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Kemahlıoğlu KVK Politikası”) ile Kemahlıoğlu tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler düzenlenmektedir.

Kemahlıoğlu’nun, kişisel verilerin korunmasına verdiği önem doğrultusunda, Kemahlıoğlu KVK Politikası ile Kemahlıoğlu Şirketi tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmekte ve bu kapsamda Kemahlıoğlu Şirketi’nin yerine getirmesi gerekenler ortaya konulmaktadır. Kemahlıoğlu KVK Politikası düzenlemelerinin uygulanması ile Kemahlıoğlu’nun benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.

2. HEDEF

Kemahlıoğlu, topluluk içinde birliğin oluşturulması hedefi doğrultusunda; şirket bünyesinde kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemi oluşturmalı ve iç işleyişlerinin kişisel verilerin korunması ve işlenmesi mevzuatına uyumunu temin etmek için gereken düzeni kurmalıdır.

Kemahlıoğlu KVK Politikası, Kemahlıoğlu Şirketleri tarafından KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır. Kemahlıoğlu KVK Politikası ile, Kemahlıoğlu tarafından önem verilen, KVK Kanunu’na uyum sürecinin, her bir Topluluk Şirketi tarafından da benimsenmesinin ve özenle yürütülmesinin temini hedeflenmektedir.

3. TANIMLAR

Kemahlıoğlu KVK Politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:

Açık Rıza :

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme :

Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyleilişkilendirilemeyecek hale getirilmesi.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ :

10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.

Çalışan KVK Politikası:

Kemahlıoğlu Plastik çalışanlarının kişisel verilerinin korunmasına ve işlenmesine ilişkin ilkelerin düzenlendiği “Kemahlıoğlu Plastik Ambalaj Sanayi Ticaret A.Ş. Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası”.

Kişisel Sağlık Verilerinin İşlenmesine ilişkin Yönetmelik:

20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik.

Kişisel Sağlık Verisi :

Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi.

Kişisel Veri :

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri Sahibi :

Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar.

Kişisel Verileri Koruma Birimi :

Kemahlıoğlu Plastik tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan birim.

Kişisel Verilerin İşlenmesi :

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

KVK Kanunu :

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

KVK Kurulu :

Kişisel Verileri Koruma Kurulu.

KVK Kurumu :

Kişisel Verileri Koruma Kurumu.

Özel Nitelikli Kişisel Veri :

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Kemahlıoğlu Plastik /Şirket :

KEMAHLIOĞLU PLASTİK AMBALAJ SANAYİ TİCARET A.Ş.

Kemahlıoğlu Plastik İş Ortakları :

Kemahlıoğlu Plastik’in ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar.

Kemahlıoğlu Plastik KVK Politikası :

Kemahlıoğlu Plastik Ambalaj San. Tic. A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası.

Kemahlıoğlu Plastik Tedarikçileri :

Sözleşme temelli olarak Kemahlıoğlu Plastik’e hizmet sunan taraflar

Kemahlıoğlu Plastik Veri Sahibi Başvuru Formu:

Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru

formu.

Kemahlıoğlu Şirketi Çalışan KVK Politikası:

Sabancı Topluluğu bünyesine dahil şirketlerin çalışanlarının kişisel verilerinin korunmasında ve işlenmesinde benimsenen ilkelerin düzenlendiği “Sabancı Topluluğu Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası”

Kemahlıoğlu Şirketi KVK Politikası :

Kemahlıoğlu Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası.

Türkiye Cumhuriyeti Anayasası :

9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete’de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.

Türk Ceza Kanunu :

12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu

Veri İşleyen:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi

Veri Sorumlusu:

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.

Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ:

10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ.

Veri Sorumluları Sicili :

KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı nezdinde tutulan ve kamuya açık olan Veri Sorumluları Sicili

Veri Sorumluları Sicili

Hakkında Yönetmelik:

30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanan 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili

Hakkında Yönetmelik.

4. ROLLER VE SORUMLULUKLAR

Kemahlıoğlu KVK Politikası’na uygun hazırlanan yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin Kemahlıoğlu bünyesinde uygulanmasında, Kemahlıoğlu Yönetim Kurulu tavsiye kaynağı ve rehber olacaktır. Kemahlıoğlu genelindeki tüm çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler, Kemahlıoğlu KVK Politikası’na uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, Kemahlıoğlu ile iş birliği yapmakla yükümlüdürler. Kemahlıoğlu’nun tüm organ ve departmanları Kemahlıoğlu Şirketi KVK Politikası’na uyulmasını gözetmekle sorumludur.

5. POLİTİKA ESASLARI

5.1. KEMAHLIOĞLU TARAFINDAN BENİMSENEN TEMEL İLKELER

Kemahlıoğlu Şirketi tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmelidir:

5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme

Kemahlıoğlu Şirketi, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütmelidirler.

5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme

Kemahlıoğlu Şirketi, işledikleri kişisel verilerin doğruluğunu ve güncelliğini sağlamalı, bu çerçevede gereken idari ve teknik tedbirleri almalı, gerekli süreçleri yürütmelidirler. Bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurmalıdır.

5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme

Kemahlıoğlu Şirketi, kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlemelidirler. Bu kapsamda, kişisel veri işleme amacının, kişisel veri işleme faaliyetine başlanmadan önce belirlenmesini gerektirmektedir. Diğer bir deyişle, kişisel verilerin yalnızca ileride kullanılabileceği varsayımı ile işlenmemesi (kişisel verilerin muhafaza edilmesi de veri işleme faaliyetidir) gerekmektedir. Bu çerçevede, Kemahlıoğlu Şirketi, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurmalıdırlar.

5.1.4. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme

Kemahlıoğlu Şirketi, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmelidirler. Bu doğrultuda Türk Ceza Kanunu’nun 138. maddesi ve KVK Kanunu’nun 4. ve 7. maddelerinden kaynaklanan süre sınırına riayet etmelidirler. Kemahlıoğlu Şirketi, mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmeli, yok etmeli veya anonim hale getirmelidirler.

5.2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA

UYGUN OLARAK GERÇEKLEŞTİRİLMESİ

Kemahlıoğlu Şirketi kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVK Kanunu’nun 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik’te belirlenen veri işleme şartlarına uygun hareket etmelidirler. Bu doğrultuda, gerçekleştirilen kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme şartlarının mevcut olup olmadığını tespit etmeli; şartların bulunmaması durumunda kişisel veri işleme faaliyetini

gerçekleştirmemelidirler.

Kemahlıoğlu Şirketi, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları kurgulamalı ve kişisel verilerin korunmasına ilişkin kurum içi farkındalık yaratmalı, gerekli denetim mekanizmalarını yürütmelidirler. Kemahlıoğlu Şirketi, kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, Türk Ceza Kanunu, KVK Kanunu ve ilgili diğer mevzuat ile Kemahlıoğlu KVK Politikası’nda ortaya konulan kurallara uymalıdırlar.

5.3. KİŞİSEL VERİ AKTARIMININ VERİ AKTARIM ŞARTLARINA UYGUN OLARAK

GERÇEKLEŞTİRİLMESİ

Kemahlıoğlu Şirketi tarafından gerçekleştirilecek kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişime açılması) KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmelidir.

5.4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Kemahlıoğlu, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde,bkorunacak verinin niteliğine göre gerekli her türlü tedbiri almalıdırlar. Bu kapsamda Kemahlıoğlu Şirketi tarafından gerekli idari ve teknik tedbirler alınmalı, şirket bünyesinde denetim sistemi kurulmalı ve kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirler alınmalıdır.

5.4.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Kemahlıoğlu Şirketi’nin Alacağı İdari Tedbirler

– Kemahlıoğlu Şirketi, kişisel verilerin korunmasına ilişkin olarak çalışanlarını eğitmeli ve bilinçlendirmelidir.

– Kişisel verilerin aktarıma konu olduğu durumlarda, Kemahlıoğlu Şirketi kişisel verilerin aktarıldığı kişiler ile akdedilmiş sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklemelidir. Bu kapsamda, aktarılan tarafın kişisel verilerin korunması amacıyla gerekli her türlü tedbiri alacağı ve kendi kuruluşunda bu tedbirlerin uygulanmasını temin edeceği taahhüt altına alınmalıdır.

– Kemahlıoğlu Şirketi tarafından gerçekleştirilen süreçler detaylı olarak incelenmeli, süreç kapsamında yürütülen kişisel veri işleme faaliyetleri her birim özelinde tespit edilmelidir. Bu kapsamda, yürütülen veri işleme faaliyetlerinin KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğunun sağlanması için atılması gereken adımlar belirlenmelidir.

– Kemahlıoğlu Şirketi, şirket yapılarına göre KVK Kanunu’na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit etmeli, bu uygulamaları iç politikalar ile düzenlemelidir.

5.4.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Kemahlıoğlu Şirketi’nin Alacağı Teknik Tedbirler

– Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınmalı ve alınan önlemler gelişmelere paralel olarak güncellenmeli ve iyileştirilmelidir.

– Teknik konularda, uzman personel istihdam edilmelidir.

– Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılmalıdır.

– Güvenliği temin edecek yazılım ve sistemler kurulmalıdır.

– Kemahlıoğlu Şirketi tarafından işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili şirket çalışanı ile sınırlandırılmalıdır.

5.4.3. Kemahlıoğlu Şirketi’nin Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütmesi

Kemahlıoğlu Şirketi tarafından kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği Kemahlıoğlu Şirketi tarafından denetlenmelidir. Kemahlıoğlu Şirketi söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi dış kaynaklı denetim firmalarına da yaptırabilir. Kemahlıoğlu Şirketi gerekli gördüğü durumlarda söz konusu denetim faaliyetini Kemahlıoğlu Şirketi’nde doğrudan kendi organizasyonu marifetiyle yerine getirebilir. Gerçekleştirilen denetim faaliyetlerinin sonuçları, Kemahlıoğlu Şirketi’ne raporlanmalıdır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin asli sorumluluğundadır. Kemahlıoğlu Şirketi bu rapor kapsamındaki aksiyonların takibini, doğrulama testlerini ve denetimlerini yapmalıdır. Denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler Kemahlıoğlu Şirketi’nde ilgili icra birimlerince yürütülmelidir.

5.4.4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınması Gereken Tedbirler

Kemahlıoğlu Şirketi, işlemekte oldukları kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybetmeksizin durumu KVK Kurulu’na ve ilgili veri sahiplerine bildirmelidirler. Bu yükümlülüğün yerine getirilmesi için gereken iç yapı kurgulanmalıdır.

5.5. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER

Kemahlıoğlu Şirketi, KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymalıdırlar. Bu kapsamda Kemahlıoğlu Şirketi’nin uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:

5.5.1. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü

Kemahlıoğlu Şirketi KVK Kanunu’nun 16. maddesine ve Veri Sorumluları Sicili Hakkında Yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne kaydolmalıdırlar. Kayıt başvurusunda Veri Sorumluları Sicili’ne sunulması gereken bilgiler aşağıda yer almaktadır:

1. Veri sorumlusu statüsündeki Topluluk Şirketi’nin ve varsa temsilcisinin kimlik

bilgileri ve adresleri,

2. Kişisel verilerin işlenme amacı,

3. Veri sahibi kişi grupları ve bu kişilere ait işlenen kişisel veri kategorileri

hakkında bilgiler,

4. Kişisel verilerin aktarılabileceği kişi veya kişi grupları,

5. Yurt dışına aktarımı yapılabilecek kişisel veriler,

6. İşlenen kişisel verilerin güvenliğini sağlamaya yönelik alınan tedbirler,

7. Kişisel verilerin işlenme amacının gerektirdiği azami muhafaza edilme süresi.

5.5.2. Veri Sahibini Aydınlatma Yükümlülüğü

Kemahlıoğlu Şirketi, KVK Kanunu’nun 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmelidirler. Aydınlatma yükümlülüğü kapsamında veri sahiplerine sunulması gereken bilgiler aşağıda yer almaktadır:

1. Veri sorumlusunun ve varsa temsilcisinin kimliği,

2. Kişisel verilerin hangi amaçla işleneceği,

3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,

5. Veri sahibinin hakları olan;

– Kişisel verilerinin işlenip işlenmediğini öğrenmek,

– Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,

– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,

– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,

– Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

– Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.

5.5.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Kemahlıoğlu Şirketi, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;

1. Kişisel verilerin hukuka aykırı işlenmesini önlemek,

2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve

3. Kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almalıdırlar.

Kemahlıoğlu Şirketi ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimleri yapmak veya yaptırmakla yükümlüdürler.

5.5.4. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü

Kemahlıoğlu Şirketi; kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak adına faaliyette bulunan ve KVK Kurumu’nun icra organı olan KVK Kurulu tarafından verilen kararlara uygun hareket etmelidirler.

5.5.5. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü

Kemahlıoğlu Şirketi veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmalıdırlar. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir. KVK Kanunu’nun 11.maddesi uyarınca, kişisel veri sahipleri veri sorumlularına başvurarak kendileri ile ilgili aşağıda yer alan konularda talepte bulunabilirler:

1. Kişisel verilerinin işlenip işlenmediğini öğrenmek,

2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,

3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,

4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler bilmek,

5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.

5.5.6. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü

Kemahlıoğlu Şirketi, KVK Kanunu’nun 4. maddesi gereğince, kişisel verileri hukuka ve dürüstlük kuralına uygun bir biçimde işlemelidirler. Bu kapsamda, kişisel verilerin elde edilmesi ve aktarılması faaliyetleri de hukuka uygun olarak yürütülmelidir.

5.5.7. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere Uygun Davranma Yükümlülüğü

Kemahlıoğlu Şirketi KVK Kanunu’nun 7. maddesi gereğince; hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik gerekli iç sistemlerini kurmalıdırlar.

7. GÖZDEN GEÇİRME

Bu Politika dokümanı, Kemahlıoğlu onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Kemahlıoğlu Yönetim Kurulu tarafından Kemahlıoğlu Genel Müdürü’ne yetki verilmiştir. Kemahlıoğlu Genel Müdürü’nün onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir.

İşbu Politika’ya bağlı olarak düzenlenecek, bu Politika’nın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları yönetmelik şeklinde düzenlenecektir. Yönetmelikler Kemahlıoğlu CEO’su onayıyla yayımlanarak yürürlüğe konulacaktır.

İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Kemahlıoğlu Şirketi Genel Müdürü’nün onayına sunularak güncellenir. Kemahlıoğlu Şirketi KVK Politikası, Kemahlıoğlu tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Kemahlıoğlu, yasal düzenlemelere paralel olarak Kemahlıoğlu Şirketi KVK Politikasın’da değişiklik yapma hakkını saklı tutar. Kemahlıoğlu Şirketi KVK Politikası’nın güncel versiyonuna Kemahlıoğlu’nun web sitesinden (www.kemahliogluplastik.com) erişilebilir.