Gizlilik ve Kişisel Verilerin Korunması Politikası

Gizlilik ve Kişisel Verilerin Korunması Politikası, KAREL ELEKTRONİK SANAYİ VE TİCARET A.Ş. ("Karel" veya "Şirket"), 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") öngördüğü kişisel verilerin işlenmesine ilişkin genel ilkeler kapsamında; kişisel veri işleme süreçlerine özgü olarak; kişisel verilerin işlenmesi şartları, bu verilerin muhafazası ve güvenliğinin sağlanması, kişisel verilerin aktarılması, işleme şartları ortadan kalan kişisel verilerin imhası, ilgili kişinin (veri sahibi) kişisel verileri üzerindeki hakları ve bu hakların kullanılması yöntemleriyle ilgili olarak veri sahibinin aydınlatılması amacıyla hazırlanmıştır.

1. Politikanın Kapsam ve Amacı

İşbu Gizlilik ve Kişisel Verilerin Korunması Politikası, Karel'in;

Kişisel verilerin toplandığı yöntemler ve hukuki sebepleri,
Hangi kişi gruplarının kişisel verilerinin işlendiğini (Veri Sahibi Kategorizasyonu),
Veri sahiplerinin hangi kategoride kişisel verilerinin işlendiği (Veri Kategorileri) ve örnek veri türleri,
İlgili kişisel verilerin hangi amaçlarla kullanıldığı,
Kişisel verilerin güvenliğini sağlamak amacıyla alınan teknik ve idari tedbirleri,
Kişisel verilerin kimlere hangi amaçlarla aktarılabileceği,
Kamu kurum ve kuruluşları ile resmi makamlar ile gerçekleştirilen kişisel veri paylaşımı,
Veri sahiplerinin kendi kişisel verileri üzerindeki haklarının neler olduğunu ve bu hakları nasıl kullanabileceklerini

ayrıntılı olarak belirtmektedir.

2. Kişisel Verileri Toplama Yöntemleri ve Hukuki Sebepleri

Karel, kişisel verileri web sitesi, e-posta, posta, CCTV, çerezler, idari ve adli makamlardan gelen tebligatlar ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak, KVK Kanunu'nda belirtilen kişisel veri işleme şartlarına uygun olarak ve işbu Gizlilik ve Kişisel Verilerin Korunması Politikası'nda belirtilen hukuki sebepler doğrultusunda toplamaktadır. Bu hukuki sebepler; Müşteri, taşeron ve tedarikçilerle akdedilen sözleşmelere ilişkin olarak; sözleşmenin kurulması ve ifası, Karel'in ilgili kişisel veri işleme sürecinin kanundan kaynaklanması, Karel'in hukuki yükümlülüklerinin yerine getirilmesi, bir hakkın tesisi, kullanılması veya korunması ve istisnai hallerde meşru menfaat olmaktadır.

3. Veri Sahibi Kategorizasyonu

Karel, kişisel verilerini işlediği veri sahiplerini aşağıdaki şekilde gruplamaktadır:

Müşteri (Müşteri Çalışanı, Müşteri Temsilcisi),
Ziyaretçi,
Çevrimiçi Ziyaretçi,
İş Ortağı/Tedarikçi Çalışanı, Tedarikçi Yetkilisi
Taşeron Çalışanı

4. Veri Kategorileri ve Örnek Veri Türleri

No	Veri Sahibi	Veri Kategorisi	Veri Türleri
1.	Müşteri (Müşteri Çalışanı, Müşteri Temsilcisi)	Kimlik Bilgisi	Ad-Soyad, TC Kimlik Numarası
		İletişim Bilgisi	Adres, E-posta, Telefon / Cep Telefonu
		Finansal Bilgi	Banka Hesap Bilgileri, IBAN Numarası, Ödeme Bilgileri
		Müşteri Bilgisi	Müşteri Numarası
		Kurumsal Kimlik Bilgisi	Unvan, Firma Adı
		Hukuki İşlem ve Uyum Bilgisi	İmza sirküleri, imza
		Fiziksel Mekan Güvenliği	CCTV

2.	Ziyaretçi	Kimlik Bilgisi	Ad-Soyad
		Kurumsal Kimlik Bilgisi	Firma Adı
		İletişim Bilgisi	Telefon / Cep Telefonu
		Hukuki İşlem ve Uyum Bilgisi	İmza
		Fiziksel Mekan Güvenliği	Araç Plakası, CCTV

3.	Çevrimiçi Ziyaretçi	Kimlik Bilgisi	Ad-Soyad
		İşlem Güvenliği Bilgisi	Kullanıcı adı, IP Adresi ve trafik bilgisi kapsamına giren diğer veriler
		İletişim Bilgisi	E-posta adresi, telefon numarası

4.	İş Ortağı/Tedarikçi Çalışanı, Tedarikçi Yetkilisi	Kimlik Bilgisi	Ad-Soyad, TC Kimlik Numarası
		Kurumsal Kimlik Bilgisi	Unvan, Firma Adı
		İletişim Bilgisi	Adres, E-posta, Telefon / Cep Telefonu
		Finansal Bilgi	Banka Hesap Bilgileri, IBAN Numarası, Ödeme Bilgileri
		Özlük Bilgisi	CV bilgileri
		Hukuki İşlem ve Uyum Bilgisi	İmza Sirküleri, imza
		Fiziksel Mekan Güvenliği	CCTV

5.	Taşeron/Alt İşveren Çalışanı /Yetkilisi	Kimlik Bilgisi	Ad-Soyad, TC Kimlik Numarası, Doğum Tarihi, Doğum Yeri
		İletişim Bilgisi	Adres, E-posta, Telefon / Cep Telefonu
		Finansal Bilgi	Banka Hesap Bilgileri, IBAN Numarası, Ödeme Bilgileri
		Kurumsal Kimlik Bilgisi	Unvan, Firma Adı
		Özlük Bilgisi	İşe Giriş Bildirgesi, SGK Hizmet Dökümü, CV Bilgileri, Bordro Bilgileri
		Mesleki Deneyim Bilgisi	Aldığı Eğitimler
		Hukuki İşlem ve Uyum Bilgisi	İmza Sirküleri
		Özel Nitelikli Kişisel Veri	Sağlık Bilgisi, Sabıka Kaydı
		Fiziksel Mekan Güvenliği	Araç Plakası, CCTV

5. Kişisel Verilerin Hangi Amaçlarla Kullanıldığı

Kişisel veriler, Karel tarafından aşağıdaki amaçlar ile kullanılmaktadır;

Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimleri Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi
İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası
İş Sürekliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası
Lojistik Faaliyetlerinin Planlanması ve İcrası
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası
Tedarik Zinciri Yönetimi Süreçlerinin Planlanması ve İcrası
Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası
Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi
Şirket Finans ve Muhasebe İşlerinin Takibi
Şirket Operasyon Süreçlerinin Planlanması ve İcrası
Şirket Dışı ve İçi Eğitim Faaliyetlerinin Planlanması ve İcrası
Stratejik Planlama Faaliyetlerinin İcrası
İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi
Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi
Ürün ve/veya Hizmetlerin Satış Süreçlerinin Planlanması ve İcrası
Satış Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası
Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası
Müşteri Talep ve/veya Şikayetlerinin Takibi
Müşteri Memnuniyeti Aktivitelerinin Planlanması ve/veya İcrası
Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası
Ürün ve/veya Hizmetlerin Pazarlama Süreçlerinin Planlanması ve İcrası
Hukuk İşlerinin Takibi ve Hukuki Sorumlulukların Yerine Getirilmesi
Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi
Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası
Şirket Denetim Faaliyetlerinin Planlanması ve İcrası
Şirketin Sunduğu Ürün veya Hizmetlerden En Yüksek Faydanın Elde Edilmesi İçin İlgili Süreçlerin Planlanması ve İcrası
Şirket Yerleşkeleri ve/veya Tesislerinin Güvenliğinin Temini
Şirket Operasyonlarının Güvenliğinin Temini
Şirket Yerleşkelerinin ve Taşınırlarının Temini
Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini
Ziyaretçi Kayıtlarının Oluşturulması

6. Kişisel Verilerin Güvenliğini Sağlamak Amacıyla Alınan Teknik ve İdari Tedbirler

Karel, kişisel verilerinizin gizliliği, bütünlüğü ve güvenliğinin sağlanması için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir. Bu kapsamda, kişisel verilerin hatalı kullanımını, hukuka aykırı olarak işlenmesini, verilere yetkisiz erişimi, verilerin ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek için gerekli önlemleri alır.

Karel, işlediği kişisel verilere hukuka aykırı erişimin engellenmesi, bu verilerin hukuka aykırı işlenmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanmasına ilişkin olarak aşağıdaki teknik ve idari tedbirleri almaktadır:

Anti-Virüs
Karel'in bilgi teknolojileri altyapısında bulunan tüm PC ve Sunucularda periyodik olarak güncellenen anti-virüs uygulaması yüklüdür.
Firewall
Karel sunucularını barındıran Data Center ve Felaket Kurtarma Merkezleri periyodik olarak güncellenen yazılım yüklü firewalllarca korunmakta olup, ilgili firewall tüm personellerin internet bağlantılarını kontrol etmekte ve bu kontrol sırasında virüs ve benzeri tehditlere karşı koruma sağlamaktadır.
Kullanıcı Tanımlamaları ve Need to Know
Karel çalışanlarının sistemlere olan yetkileri sadece iş tanımları ile gerekli olduğu ölçüde sınırlandırılmış olup, herhangi bir yetki ve görev değişikliği söz konusu olması durumunda sistemsel yetkileri de ivedi olarak güncellenmektedir.
Bilgi Güvenliği Tehdit ve Olay Yönetimi
Karel sunucularında ve Firewallarında oluşan olaylar "Bilgi Güvenliği Tehdit ve Olay Yönetimi" (SIEM) sistemine aktarılmaktadır. Bu sistem güvenlik tehdidi oluştuğunda sorumlu personelleri uyarmakta ve ivedi bir şekilde tehdide cevap verilmesi imkânı sağlamaktadır.
Sızma Testi
Periyodik olarak Karel sistemindeki sunuculara sızma testi tedarikçi bir firma tarafından yapılmaktadır. Bu test sonucunda oluşan güvenlik açıkları kapatılarak, ilgili güvenlik açıklarının kapatıldığına dair doğrulama testi yapılmaktadır. Ayrıca Bilgi Güvenliği Tehdit ve Olay Yönetimi sistemi tarafından da otomatik olarak sızma testi yapılmaktadır.
Fishing Email Testler
Karel sistem kullanıcılarının farkındalığını artırmak için düzenli olarak kullanıcılara Fishing e-mailleri gönderilmektedir. Çıkan sonuçlara göre kullanıcılara Karel Kullanıcı Portalı üzerinden eğitim tanımlanmaktadır.
Eğitim Portalı
Karel çalışanlarının çeşitli bilgi güvenliği ihlallerine karşı farkındalıklarını artırmak ve bilgi ihlali olaylarında insan faktörünün etkisini en aza indirmek için Eğitim Portalı'nı aktif olarak kullanmaktadır. Tüm çalışanlar Siber Güvenlik ve Bilgi Güvenliği eğitimini online olarak almışlardır.
Temiz Masa & Temiz Ekran
Karel kuralları uyarınca çalışanlar "Temiz Masa & Temiz Ekran" prensibine uymakla yükümlüdür.
Diğer
Kişisel verilerin alındığı web sitesindeki tüm alanlar SSL ile korur.
Kişisel verilerin doğrudan paylaşımına gerek olmayan tüm hallerde takma adlı veri (Pseudonymization) yöntemini kullanır.
Kağıt ortamdaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlar.
Hizmet alınan üçüncü taraflara ait çerezler aracılığıyla işlenen kişisel veriler, üyelik sona erdiği takdirde üçüncü taraflara ait sistemlerden silinmektedir.
Karel'in gerekli bilgi güvenliği önlemlerini almasına karşın, Karel tarafından işletilen platformlara veya Karel sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, Karel bu durumu derhal ve en geç 72 saat içinde veri sahiplerine ve Kişisel Verileri Koruma Kurulu'na bildirir ve gerekli önlemleri alır.

7. Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği

Karel, kişisel verileri yalnızca işbu Gizlilik ve Kişisel Verilerin Korunması Politikası'nda belirtilen amaçlar doğrultusunda ve Kanun'un 8. Maddesine uygun olarak yurt içindeki üçüncü kişilere aktarmaktadır.

Üçüncü kişilerden alınan hizmetin içeriği ve kapsamına bağlı olarak; veri sahibi kişisel verilerinin aktarımına gerek olmayan tüm hallerde Pseudonymous data (takma adlı veri) kullanılarak aktarım yapılmaktadır.

Yukarıda belirttiğimiz yurt içi aktarıma konu kişisel veriler, güvenliklerini sağlayacak teknik tedbirlerin yanı sıra; hukuki ilişkinin karşı tarafının veri sorumlusu veya veri işleyen olması dikkate alınarak sözleşmelerimizde yer verilen Kanun uyumlu hükümler sayesinde hukuksal olarak da korunmaktadır.

No	Veri Sahibi	Kişisel Veriler Kiminle ve Hangi Amaçla Paylaşılıyor?
1.	Müşteri (Müşteri Çalışanı, Müşteri Temsilcisi)	Sözleşmelerin incelenmesi, yasal işlemlerin takibi amacıyla avukatlarla paylaşılması; Şirket denetimleri sırasında denetim kapsamında ilgili verilerin denetçi firmalar ile paylaşılması, barındırma hizmeti kapsamında tedarikçilerle paylaşılması gibi süreçler söz konusudur.
2.	İş Ortağı/Tedarikçi Çalışanı, Tedarikçi Yetkilisi	Sözleşmelerin incelenmesi, yasal işlemlerin takibi amacıyla avukatlarla paylaşılması; Mevzuatta ve tedarikçi ile akdedilen sözleşmelerde öngörülen yükümlülüklerin yerine getirilmesi ve Şirket denetimleri sırasında denetim kapsamında ilgili verilerin denetçi firmalar ile paylaşılması gibi süreçler söz konusudur.
3.	Ziyaretçi/Çevrimiçi Ziyaretçi	Log kayıtlarının altyapıyı sağlayan internet hizmet sağlayıcı ile paylaşılması ve Şirket denetimleri sırasında denetim kapsamında ilgili verilerin denetçi firmalar ile paylaşılması gibi süreçler söz konusudur.
4.	Taşeron/Alt İşveren Çalışanı /Yetkilisi	İş kazası halinde gerekli tedavinin yapılması amacıyla sağlık kurumları ile paylaşılması; iş sağlığı ve güvenliği mevzuatı kapsamında müşteriler ile paylaşılması, yasal işlemlerin takibi amacıyla avukatlarla paylaşılması; servis hizmetinin sunulması amacıyla tedarikçilerle paylaşılması gibi süreçler söz konusudur.

8. Kamu Kurum ve Kuruluşları ile Resmi Makamlar ile Gerçekleştirilen Kişisel Veri Paylaşımı

No	Veri Sahibi	Kişisel Veriler Kiminle ve Hangi Amaçla Paylaşılıyor?
1.	Müşteri (Müşteri Çalışanı, Müşteri Temsilcisi)	Muhasebe tarafından yapılması gereken yasal bildirimlerin gerçekleştirilmesi amacıyla ilgili kamu kurumları ile kişisel verilerin paylaşılması; Mevzuatta ve müşteri ile akdedilen sözleşmelerde öngörülen yükümlülüklerin yerine getirilmesi amacıyla mevzuat kapsamında resmi kişi, kurum ve kuruluşlarla paylaşılması ve yasal işlemlerin takip edilmesi amacıyla resmi kişi, kurum ve kuruluşlarla paylaşılması gibi süreçler söz konusudur.
2.	Ziyaretçi / Çevrimiçi Ziyaretçi	Log kayıtlarının resmi kurumlar ile paylaşılması; kamera kayıtlarının talep edilmesi durumunda savcılık ve mahkeme gibi resmi kurumlar ile paylaşılması gibi süreçler söz konusudur.
3.	İş Ortağı/Tedarikçi Çalışanı, Tedarikçi Yetkilisi	Muhasebe tarafından yapılması gereken yasal bildirimlerin gerçekleştirilmesi amacıyla ilgili kamu kurumları ile kişisel verilerin paylaşılması; Vergi denetimleri sırasında fatura ve tahsilat makbuzlarının Maliye Bakanlığı temsilcileri ile paylaşılması; Mevcut ticari ilişkiden kaynaklı ödeme yükümlülüğünün yerine getirilebilmesi amacıyla finansal verilerin banka ile paylaşılması; ve Mevzuatta ve tedarikçi ile akdedilen sözleşmelerde öngörülen yükümlülüklerin yerine getirilmesi amacıyla resmi kişi, kurum ve kuruluşlarla paylaşılması gibi süreçler söz konusudur.
4.	Taşeron/Alt İşveren Çalışanı /Yetkilisi	Kamera kayıtlarının talep edilmesi durumunda savcılık ve mahkeme gibi resmi kurumlar ile paylaşılması gibi süreçler söz konusudur.

9. Veri Sahiplerinin Kişisel Verileri Üzerindeki Haklarının Neler Olduğunu ve Bu Hakları Nasıl Kullanabilecekleri

Veri sahiplerinin Kanun Madde 11 uyarınca sahip olduğu haklar aşağıda belirtilmiştir:

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
KVK Kanunu 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi belirtmek ve kişisel verileriniz üzerindeki haklarınızı kullanmak amacıyla; kisisel.veri@karel.com.tr adresi üzerinden iletişime geçebilir veya ilgili-kisi-basvuru-formu.pdf adresinde yer alan başvuru formunda yer alan yöntemlerden birini kullanarak bizimle irtibata geçebilirsiniz. Belirtilen yöntemlerle taleplerinizi bize iletmeniz durumunda, Şirket talebinizin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır.

10. Gizlilik ve Kişisel Verilerin Korunması Politikası'nda Yapılacak Değişiklikler

Karel, işbu Gizlilik ve Kişisel Verilerin Korunması Politikası'nda her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni Gizlilik ve Kişisel Verilerin Korunması Politikası'nın yayınlanmasıyla birlikte derhal geçerlilik kazanır. İşbu Gizlilik ve Kişisel Verilerin Korunması Politikası'ndaki değişikliklerden haberdar olmanız için, sizlere gerekli bilgilendirme uygun kanallardan yapılacaktır.