KVKK ve Gizlilik Politikası

İşbu belge Ecem Petrol Ticaret Anonim Şirketi’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.

1. GİRİŞ

Kişisel verilerin korunması, Ecem Petrol Ticaret Anonim Şirketi’nin(“Şirket”) en çok önem verdiği konulardan birisidir.Şirketimiz bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.

2. Amaç

Şirket olarak kişisel veri güvenliğinin sağlanmasına ve ilgili kişinin kişisel veriler hukukuna ilişkin haklarının temin edilmesine büyük önem atfetmekteyiz. Bu nedenle ilgili kişinin özel hayat gizliliğinin korunması, düşünce ve inanç özgürlüğü, etkili kanun yollarına başvurma hakkı ve benzeri hakları, işbu Politika hazırlanırken tarafımızca detaylı bir şekilde gözetilmiştir. Politikamızın temel amacı, kişisel verisini elde ettiğimiz ilgili kişinin temel ve hak ve özgürlüklerini koruyabilmektir. 

3. Kapsam

İşbu Politika, Şirket nezdinde tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilen kişisel verilerin işlendiği tüm kayıt ortamlarında ve kişisel veri işlenmesine yönelik faaliyetlerinde uygulanmaktadır.

Şirket çalışanları, çalışan adayları, tedarikçiler, müşteriler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirketin sahip olduğu ya da Şirket tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

4. Tanımlar

İşbu Politika’dayer verilen tanımlı ifadeler, aşağıdaki anlamları ifade eder:

5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

1. Genel

Şirketimiz, Anayasa’nın 20. maddesine ve Kanun’un 4. maddesine uygun olarak kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz, veri sorumlusu sıfatıyla, ilgili mevzuatta kendisi için öngörülen tüm yükümlülüklerini yerine getirmektedir.

1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Şirketimiz, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.

1. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirketimiz, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve söz konusu kişisel verilerin doğru ve güncel kalabilmesine ilişkin gerekli mekanizmaları kurmaktadır.

1. Belirli, Açık ve Meşru Amaçlarla İşleme

Şirketimiz, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve söz konusu kişisel verileri iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.

1. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirketimiz, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemekte, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Şirketimizce, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.

1. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen asgari süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişinin başvurusunun değerlendirilmesi neticesinde ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

1. Kişisel Verilerin İşlenmesi

İlgili kişinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın3.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.

1. İlgili Kişinin Açık Rızasının Bulunması:Kişisel verilerin işlenme şartlarından biri kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.

2. Kanunlarda Açıkça Öngörülmesi:İlgili kişinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.

3. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması:Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması:İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.

5. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi:Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

6. İlgili Kişinin Kişisel Verisini Alenileştirmesi:İlgili kişinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması:Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

8. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

1. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.

• Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.

1. İlgili Kişinin Aydınlatılması

Şirket, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, ilgili kişileri aydınlatmaktadır. Bu kapsamda Şirket, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.

1. Kişisel Verilerin Aktarılması

Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye işbu Politika’nınEK-4 (Şirketimiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları)dokümanından ulaşılması mümkündür.

1. Kişisel Verilerin Aktarılması

İlgili kişinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir:

• Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
• Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
• Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilecektir.

1. Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rızası aranmaksızın aktarılabilecektir. Aksi halde ilgili kişinin açık rızası alınacaktır.

• Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir. Aksi halde ilgili kişinin açık rızası alınacaktır.

Yukarıdakilere ek olarak özel nitelikli kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilecektir.

3. BİNA, TESİS GİRİŞLERİ VE İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile ziyaretçi giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır.

Şirket bina girişlerinde ve bina içerisindeki gerçekleştirdiği güvenlik kamerasıyla izleme faaliyeti kapsamında; Şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak, gerekli denetimi sağlayarak önlem alabilmek ve benzeri amaçlar ile görsel veri toplamaktadır. İzleme faaliyeti, Kanun’a ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve buna ilişkin aydınlatıcı panolar asılarak kişiler aydınlatılmaktadır. Aydınlatıcı panolar izleme faaliyeti başlamadan önce ilgilinin görüş alanındaki herhangi bir yere asılmaktadır. Şirket, Kanun’a uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin korunmasını sağlanmak için gerekli teknik ve idari tedbirler almaktadır.

Şirket, ilgili kişinin görsel kişisel verisinin işlendiğine ilişkin bilgilendirme yükümlülüğünü ayrıyeten Şirket Web Sitesi’nde yayımladığı “Video Kamera İzleme Faaliyetine İlişkin Aydınlatma Metni” aracılığıyla yerine getirmektedir.

Ayrıca; Şirketimiz tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; bina ve tesislerimiz içerisinde kaldıkları süre boyunca talep eden ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda ziyaretçilerin internet erişimlerine ilişkin log kayıtları 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve bu kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta, bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirketimiz içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

Bu çerçevede elde edilen log kayıtları yalnızca sınırlı sayıda yetkilinin erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtlara yalnızca yetkili kamu kurum ve kuruluşlarından gelen talepler doğrultusunda veya denetim süreçlerinde kullanılmak üzere erişmekte ve bu kayıtları hukuken yetkili olan kişilerle paylaşmaktadır.

4. İNTERNET SİTESİ ZİYARETÇİLERİ

Şirketimiz internet siteleri ve uygulamaları içerisinde çerezler kullanabilir. Çerezler, bir web sunucusu tarafından sabit diskinize taşınan ve ardından da ilgilinin bilgisayarında saklanan ufak metin dosyalarıdır. Bazı çerezler müşteri/kullanıcı davranışını daha iyi anlamaya yardımcı olur, internet sitemizin kullanımı ve ziyaret bilgileri ile ilgili bilgi verir, sitemizi geliştirmemize yardımcı olur. Çerezler, ilgili kişiler internet sitesini kullanırken, müşterilerin kişisel bilgilerini hatırlama için de kullanılırlar. Böylece internet sitesinin ve uygulamaların kullanımı kolaylaşır. Bu kapsamda bazı bilgiler, Şirket tarafından otomatik olarak toplanır ve günlük dosyalarında saklanır. Bu bilgiler Internet Protokolü (IP) adreslerini, tarayıcı türünü ve dilini, internet servis sağlayıcısını (ISP), başvuran ve çıkış internet sitelerini ve uygulamalarını, işletim sistemini, tarih ve zaman damgası ile tıklama dizisi verilerini içerir. Çerezler, internet sitesi veya uygulama ziyaretçisinin kullandığı web tarayıcı veya mobil cihaz üzerinden gereken ayarlar yapılarak devre dışı bırakılabilir.

Bu bilgilendirme doğrultusunda Şirketimiz tarafından hazırlanan web sayfalarında, kullanılan teknolojik altyapı gereksinimlerine bağlı olarak ve kullanılan altyapının öngördüğü çerezler kullanılmaktadır. Şirketimiz tarafından özel olarak geliştirilmiş / veri toplayan bilgi toplama teknolojileri ve çerezleri kullanılmamaktadır.

5. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI

Şirketimiz nezdinde, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir. İşbu Politika’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politika’nınEK-3 (Kişisel Veri Kategorileri) dokümanından ulaşılabilecektir.

Söz konusu kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler Politika’nınEK-1 (Kişisel Veri İşleme Amaçları)dokümanında yer almaktadır.

6. KİŞİSEL VERİLERİN SAKLANMASI, İMHASI VE ANONİMLEŞTİRİLMESİ

Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

Bahsi geçen silme, yok etme ve anonim hale getirme işlemleri ilgili mevzuat hükümleri saklı kalmak kaydıyla, Şirkete ait “Kişisel Veri Saklama ve İmha Politikası”kapsamında gerçekleştirilmektedir.Kişisel Veri Saklama ve İmha Politikası’nın tam metnine Şirket Web Sitesi’nden ulaşabilirsiniz.

7. VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

Şirketimiz, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. Bu kapsam Şirketimizin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla aldığı önlemler aşağıda sayılmıştır:

1. İdari Tedbirler

• Şirket, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır.
• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Kişisel verilerin paylaşılması ile ilgili olarak, Şirket, kişisel verilerin paylaşıldığı kişiler ile çerçeve sözleşme imzalar yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar.
• Şirket, kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline gerekli eğitimleriverir.
• Şirket politikalarında veya personellerle imzaladığı sözleşmelerde; personeller tarafından kişisel verilerin hukuka aykırı olarak işlenmesi, aktarılması durumlarında alınacak tedbirlere ve disiplin hükümlerine açıkça yer vermektedir.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Gizlilik taahhütnameleri yapılmaktadır.
• Kişisel veri güvenliği politika ve prosedürler belirlenmiştir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi yapılmakta olup veri güvenliği konusunda farkındalık sağlanmaktadır.

1. Teknik Tedbirler

• Şirket, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli eğitimleri verir.
• Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
• Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
• Kişisel verilerin kurum dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
• Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar.
• Ağ güvenliği, uygulama güvenliği sağlar ve ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanır.
• Çalışanlar için yetki matrisi oluşturur ve erişim loglarını düzenli olarak tutar. Log kayıtlarını kullanıcı müdahalesi olmayacak şekilde tutar.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlar ve uygular.
• Güncel anti-virüs sistemleri kullanılır.
• Güvenlik duvarları kullanır.
• Kullanıcı hesap yönetimi, yetki kontrol sistemi uygular ve bunların takibini sağlar.
• Mevcut risk ve tehditler belirleyerek saldırı tespit ve önleme sistemleri kullanır.
• Siber güvenlik önlemleri alır ve önlemlerin uygulanmasını sürekli olarak takip eder.
• Şifreleme yapar. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler verileri şifreleyerek aktarır.
• Sızma testi uygular.
• Veri kaybı önleme yazılımları kullanır.

8. VERİ SAHİBİNİN HAKLARI

Kanun’un 11.maddesiuyarınca,kişiselverileriişlenençalışan,Şirket’e başvurarak aşağıdaki konulara ilişkin taleplerdebulunabilir:

• Kişisel verilerinin işlenip işlenmediğiniöğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talepetme,
• Kişisel verilerinin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileriöğrenme,
• Kişiselverilerinineksikveyayanlışişlenmişolmasıhalindebunlarındüzeltilmesiniisteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bunların silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesiniisteme,
• İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ilgili kişinin aleyhine bir sonucun ortaya çıkmasına itirazetme,
• Kişiselverilerininkanunaaykırıolarakişlenmesisebebiylezararauğramasıhalindezararın giderilmesini talepetme.

Kanun’dan doğan talepler “Kişisel Veri Sahibi Başvuru Formu” aracılığıyla gerçekleştirecektir. Şirket, Kanun’un 13. maddesine uygun olarak, başvuru taleplerini, talebin niteliğine göre ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Talebin reddedilmesi halinde, ret nedeni/nedenleri yazılı olarak veya elektronik ortamda gerekçelendirilir.

Veri sahibi ilgili kişiler, yukarıda belirtilen haklarını kullanmak için kimliklerini tespit edici gerekli bilgiler ile Kanun’un 11. maddesinde belirtilen haklardan kullanmayı talep ettikleri haklarına yönelik açıklamalarını içeren taleplerini‘’https://www.ecempetrol.com/’’adresinde yer alan Kişisel Veri Sahibi Başvuru Formu’nu doldurarak, formun imzalı bir nüshasını İhsaniye Mahallesi Yahya Çavuş Caddesi No: 33/1 Selçuklu/Konya adresine bizzat elden, noter kanalıyla veya güvenli elektronik imzalı olarak ‘’info@ecempetrol.com’’adresine iletebilir veya Kanun’un 13. maddesi uyarınca Kurul tarafından öngörülecek diğer yöntemler ile gönderebilir.

9. EKLER

İşbu Politika ve ekleri, zaman zaman revize edilebilecek haliyle, ayrılmaz bir bütündür.

• EK-1: Kişisel Veri İşleme Amaçları
• EK-2: Kişisel Veri Sahipleri
• EK-3: Kişisel Veri Kategorileri
• EK-4: Şirketimiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

10. YÜRÜRLÜK

Politika,Şirket Web Sitesi’nde yayınlanarak, üçüncü taraflara ve Şirket çalışanlarına duyurulur.Kanun ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle Kanun ve ilgili diğer mevzuat hükümleri uygulanacaktır.İşbu Politika yılda bir defa, Şirket tarafından gözden geçirilir ve güncellenir.Şirket tarafından hazırlanan işbu Politika 31/12/2019 tarihinde yürürlüğe girmiştir.

EK-1: KİŞİSEL VERİ İŞLEME AMAÇLARI

Şirket, kişisel verileri işbu Politika’da ve Kanun’da belirtilen koşullar ve kapsam dahilinde, aşağıdaki amaçlarla işlemektedir:

• Şirket tarafından sunulan ürün ve hizmetlerden kişisel veri sahiplerini faydalandırmak için gerekli çalışmaların Şirket iş birimleri tarafından yerine getirilmesi amacı doğrultusunda; sözleşme süreçlerinin ve/veya hukuki taleplerin takibi, müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası, satış süreçlerinin planlanması, yürütülmesi ve tamamlanması, müşteri talep ve/veya şikâyetlerinin takibi,

• Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi amacı doğrultusunda; bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası, kurumsal iletişim faaliyetlerinin planlanması ve icrası, lojistik faaliyetlerinin planlanması ve icrası, iş sürekliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi, finans ve/veya muhasebe işlerinin takibi, etkinlik yönetimi, kurumsal sosyal sorumluluk faaliyetlerinin planlanması ve icrası, kurumsal yönetim faaliyetlerin planlanması ve icrası, iş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası, iş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası, iş faaliyetlerinin planlanması ve icrası, araştırma ve geliştirme faaliyetlerinin planlanması ve icrası,

• Şirket’in insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi amacı doğrultusunda; çalışanların ve çalışan adayları ile işbirliği içerisinde olduğumuz kuruluşların çalışanlarının iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, iş faaliyetlerinin yürütebilmesi için ihtiyacı olan ürün ve hizmetlerin temin edilmesi, iş faaliyetlerinin takibi ve/veya denetimi, yan haklar ve menfaatlerin planlanması ve icrası, personel temin süreçlerinin yürütülmesi, performans değerlendirme süreçlerinin planlanması ve takibi, yetenek – kariyer gelişimi faaliyetlerinin planlanması ve icrası, şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası, memnuniyet ve/veya bağlılık süreçlerinin planlanması ve icrası, insan kaynakları süreçlerinin planlanması, üretim için gerekli olan insan kaynakları ihtiyaçlarının planlanması ve icrası, çalışanlara yönelik kurumsal iletişim ve/veya çalışanların katılım sağladığı kurumsal sosyal sorumluluk ve/veya sivil toplum kuruluşları faaliyetlerinin planlanması ve/veya icrası,

• Şirket’in veya Şirket ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda; şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası, acil durum yönetimi süreçlerinin planlanması ve icrası, iş sağlığı ve/veya güvenliği süreçlerinin planlanması ve/veya icrası, yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuk işlerinin takibi, ziyaretçi kayıtlarının oluşturulması ve takibi, şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini, şirket operasyonlarının güvenliğinin temini, şirket denetim faaliyetlerinin planlanması ve icrası, verilerin doğru ve güncel olmasının sağlanması, şirketin finansal risk süreçlerinin planlanması ve/veya icrası,

• Şirket’in ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; şirket dışı eğitim faaliyetlerinin planlanması ve icrası, iş ortakları, bayiler, distribütörler ve/veya tedarikçilerle olan ilişkilerin yönetimi.

EK-2: KİŞİSEL VERİ SAHİPLERİ

EK-3: KİŞİSEL VERİ KATEGORİLERİ

EK-4: ŞİRKETİMİZ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Şirketimiz, Kanun’un 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını ilgili kişilere bildirmektedir. Şirketimiz, Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile yönetilen ilgili kişilerin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilmektedir:

• Şirket İş Ortakları
• Şirket Müşterileri
• Şirket Tedarikçileri
• Şirket Yetkilileri
• Hukuken Yetkili Özel Hukuk Kişileri
• Hukuken Yetkili Kamu Kurum ve Kuruluşları

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir: