Coşkun Hazır Giyim Anonim Şirketi (“SÜVARİ”) olarak kişisel verilerin güvenliği hususuna hassasiyet göstermekte olup ürün ve hizmetlerimizden faydalanan müşterilerimiz ve iş bağlantılarımız dâhil olmak üzere, Şirketimiz ile ilişkili tüm şahıslara ait her türlü kişisel verinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olarak işlenmesi ve saklanması önceliklerimizdendir.

İşbu “Kişisel Verileri Saklama ve İmha Politikası” (“Politika”) ile SÜVARİ tarafından kişisel verilerin korunması,saklanması ve imhasında benimsenen temel ilke ve prensipler düzenlenmekte ve Şirket politikası olarak uygulamaya alınarak sürdürülebilir hale getirilmektedir.

Bu Politikanın amacı, SÜVARİ tarafından işbu Politika’nın dayanağı olan yasal mevzuata uygun bir biçimde yürütülen kişisel verilerin işlenmesi, korunması, saklanması ile işlenen kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesine ilişkin usul ve esasları belirlemek ve verileri SÜVARİ tarafından işlenen gerçek kişileri bu hususta bilgilendirmektir.

Bu Politika; müşterilerimizin, mal ve hizmet tedarikçilerimizin, çalışanlarımızın, çalışan adaylarımızın, çalışanların aile üyelerinin, şirket yetkililerimizin, hissedarlarımızın, ziyaretçilerimizin, ticari faaliyetlerimiz esnasında işbirliği içerisinde bulunduğumuz ve destek aldığımız iş bağlantılarımızın (finansal kuruluşlar ve benzeri iş ilişkisinde bulunduğumuz kurumların yetkili, hissedar ve çalışanlarının), ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

Bu kapsamda yukarda belirtilen kişisel veri sahipleri gruplarına, işbu Politika’nın tamamı uygulanabileceği gibi,sadece birtakım hükümleri de uygulanabilecektir.

Bu Politika 6698 sayılı Kişisel Verilerin Korunması Kanunu, 30286 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik dayanak alınarak hazırlanmıştır.

Kişisel verilerin işlenmesi, korunması ve imhası konusunda yürürlükte bulunan ilgili düzenlemeler öncelikle uygulama alanı bulacaktır. Mevzuat ile Politika arasında uyumsuzluk bulunması halinde ise SÜVARİ yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

SÜVARİ tarafından düzenlenen bu Politika, SÜVARİ web sitesinde yayınlanarak 31.12.2020 tarihinde yürürlüğe girmiştir. Politika, yasal değişiklikler, SÜVARİ’nin kişisel verileri işleme süreçlerinde meydana gelecek değişiklikler veya sair sebeplerle zaman zaman güncellenebilir.

Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Politika Şirketimizin internet sitesinde (https://www.suvari.com.tr/) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

Bu Politika’nın uygulanmasında kullanılan tanımlar aşağıda yer almaktadır:

Bu Politika’da yer almayan tanımlar için KVKK tanımları geçerlidir.

SÜVARİ, kişisel veri işleme faaliyetlerini kişisel verileri koruma mevzuatında ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu bağlamda; kişisel veri işleme faaliyetleri ancak aşağıda yer alan veri işleme şartlarının varlığı halinde gerçekleşmektedir:

Özel nitelikli kişisel veriler, yalnızca ilgili kişinin açık rızasının bulunması şartıyla işlenebilmektedir. Ancak cinsel hayat ve kişisel sağlık verileri dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla açık rıza almaksızın işlenebilir. Dolayısıyla KVKK uyarınca aksi öngörülene dek kişisel sağlık verileri yalnızca açık rıza kapsamında ve sır saklama yükümlülüğü altında olan Şirket hekimi tarafından işlenebilmektedir.

SÜVARİ, özel nitelikli kişisel verilerin işlenmesi ve korunmasına ilişkin olarak Kurul tarafından belirlenen önlemleri almaktadır. SÜVARİ, özel niteliklikişisel verilerin korunması ve güvenliği hususuna azami hassasiyet göstermekte olupözel nitelikli kişisel verilerin korunmasına ilişkin alınan teknik ve idari önlemleri özenle uygulanmakta ve SÜVARİ bünyesinde gerekli denetimler yapılmaktadır.

SÜVARİ, kişisel veri işleme amaçları doğrultusunda ve varsa açık rıza, yoksa hukuki sebeplerle sınırlı olarak gerekli güvenlik önlemlerini almak suretiyleilgili kişinin kişisel ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. SÜVARİ bu kapsamda Kanun’un 8. ve 9.maddelerinde öngörülen kişisel veri aktarım şartlarına uygun hareket etmektedir.

SÜVARİ tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri kategorileri ve açıklamaları aşağıda düzenlenmiştir:

Aşağıda, işbu Politika kapsamında yer alan müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, iş bağlantılarımızın (tedarikçive benzeri iş ilişkisinde bulunduğumuz kurumların yetkili, hissedar ve çalışanlarının)ve üçüncü kişilerin tanımlama ve açıklamalarına yer verilmektedir.

Aşağıdaki tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve işleme faaliyeti kapsamındaki kişisel veri kategorileri eşleştirilerek detaylandırılmaktadır:

SÜVARİ, kişisel veri işleme faaliyetini aşağıda yer alan amaçlar doğrultusunda yürütmektedir. Kişisel veri işleme amaçları, iş süreçleri ve kişisel veri kategorilerinin ilişkilendirilmesiyle her iş birimi ve süreci bazında açık ve detaylı olarak belirlenmiş ve SÜVARİKişisel Veri Envanterine işlenmiştir.

• Kurum güvenliğini sağlamak;
• İlgili kişilerden gelen talep, öneri ve şikâyetlerin takibi, değerlendirilmesi, müşteri memnuniyeti yönetimi;
• Tedarikçiler ve benzeri iş ilişkisinde bulunan firmalar ile olan ilişkilerin yönetimi, iş ve ticari ilişkilerin yürütülmesi;
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu kapsamında çalışan ve tedarikçi çalışanlarının iş sahalarında güvenliklerinin sağlanması, Şirket’in faaliyetlerine ilişkin görevlendirilecekleri işlere uygun olup olmadıklarının tespiti, düzenli kontrollerin yapılması;
• SÜVARİ ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini (SÜVARİ tarafından sağlanan hizmetlere yönelik idari operasyonların planlanması, müşteri/tedarikçi (yetkili veya çalışanları) değerlendirme ve denetim süreçleri, hukuki uyum süreci gibi.);
• Yasal hakların kullanılması, hukuki ilişkinin sona ermesinden sonra işlem geçmişine ilişkin bilgilerin uyuşmazlık halinde delil olarak kullanılması;
• SÜVARİ’nin ticari, hukuki ve iş stratejilerinin belirlenmesi ve uygulanması;
• SÜVARİ’nin mali işlere ilişkin politikalarının yürütülmesi;
• SÜVARİ’nin insan kaynakları politikalarının ve işe alım süreçlerinin yürütülmesi, çalışanların kontrol ve denetimi ile çalışan haklarının düzenlenmesi, iş ilişkisinden doğan yasal yükümlülüklerin yerine getirilmesi;
• Bilgi güvenliği süreçlerinin planlanması, denetimi ve yürütülmesi, bilgi teknolojileri altyapısının yönetimi;
• SÜVARİ’nin faaliyetleri kapsamında planlama, raporlamave benzeri incelemelerin yapılması;
• Yurtiçi ilgili mevzuata uyum sağlanması, kamu kurum ve kuruluşları tarafından talep edilen bilgilerin temini, raporlama yükümlülüklerinin yerine getirilmesi.
• Mal/hizmet satın alım ve satış süreçlerinin yürütülmesi
• Eğitim faaliyetlerinin yürütülmesi
• Performans değerlendirme süreçlerinin yürütülmesi
• Sözleşme süreçlerinin yürütülmesi
• Lojistik faaliyetlerinin yürütülmesi
• Müşteri ilişkileri ve memnuniyeti yönetimi süreçlerinin yürütülmesi
• Reklam/Kampanya/Promosyon süreçlerinin yürütülmesi ve Pazarlama analiz çalışmalarının yapılması
• Finans ve muhasebe süreçlerinin yürütülmesi

SÜVARİ, veri sahiplerine ait kişisel verileri,

• Basılı ve elektronik formlar dahil sair iletişim yöntemleri kanalıyla,
• SÜVARİ iş faaliyetleri kapsamında imzalanan sözleşmeler, sunulan ticari teklifler, basılı ve elektronik formlar, belgeler, yazışmalar aracılığıyla,
• Yapılan iş görüşmeleri kapsamında elde edilen kartvizit ve sair belgeler aracılığıyla,
• SÜVARİ’ın iş bağlantıları veya hizmet/ürün tedarik ettiği firmalar gibi üçüncü kişiler kanalıyla; sözlü, yazılı veya elektronik ortamda olmak kaydıyla, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan çeşitli yöntemler ile toplamaktadır.

Bu yöntemler doğrultusunda toplanan kişisel veriler, işbu Politika’nın 2. Bölümünde yer alan veri işleme şartlarına uygun olarak ve yukarıda listelenen kişisel veri işleme amaçları doğrultusunda, KVKK ve diğer mevzuatta zorunlu kılınan sürelere uygun kalmak ve gerekli tüm idari ve teknik tedbirleri almak suretiyle muhafaza edilmektedir.

SÜVARİ, KVKK’ya uygun olarak işbu Politika kapsamında yer alan kişisel verileri aşağıda sıralanan alıcı gruplarına belirtilen amaçlar ile aktarabilmektedir. Kişisel verilerin aktarıldığı alıcı grupları ve aktarım amaçları, kişisel veri kategorilerinin ilişkilendirilmesiyle açık ve detaylı olarak belirlenmiş ve SÜVARİ Kişisel Veri Envanterine işlenmiştir.

SÜVARİ tarafından gerçekleştirilen kişisel veri aktarımlarında Politika’nın 2. Bölümünde düzenlenmiş hususlara uygun olarak hareket edilmektedir.

Kanun birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin işlenmesi kanuni hallerle sınırlı tutulmakta ve korunmasına SÜVARİ tarafından azami hassasiyet gösterilmektedir.

SÜVARİ, özel nitelikli kişisel verilerin güvenliğihususuna azami özenle yaklaşmakta ve bu konuda Şirket bünyesinde gerekli denetimleri sağlamaktadır.

SÜVARİ, kişisel veri sahiplerinin Politika ve Kanunun uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. Kişisel veri sahiplerinin hakları ile ilgili ayrıntılı bilgiye işbu Politika’nın 6. bölümünde yer verilmiştir.

SÜVARİ tarafından işlenen kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak farklı ortamlarda kaydedilebilmektedir. Bu kapsamda veri sahiplerine ait kişisel veriler, SÜVARİ tarafından aşağıda listelenen ortamlarda, başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır.

Elektronik ortamlar:

• Sunucular: Merkezi sunucu, veri merkezi sunucuları
• Yazılımlar: Bulut altyapısında üçüncü taraf yazılımları, veri işleme amaçlarına göre farklı yazılımlar, vb.
• Veri tabanları
• Elektronik Cihazlar: Ağ Cihazları, Bilgisayarlar, Dizüstü Bilgisayarlar, Taşınabilir Medya Cihazları (flash bellek, hard disk, vb.), Yazıcılar, Mobil Telefonlar

Fiziksel ortamlar:

• Birim dolapları
• Fiziksel arşiv

SÜVARİ kişisel verileri ilgili mevzuatta belirtildiği ya da işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede SÜVARİ öncelikle ilgili mevzuatta kişisel verilerin ne kadar süre saklanması gerektiği ifade edilmiş ise bu süreye uygun davranmakta, ifade edilmemiş ise o veriyi işlerken sunduğu hizmetlerle bağlı olarak işlenmesini gerektiren süre kadar saklamaktadır. Sürenin bitimi, veri sahibi İlgili Kişinin talebi veya verinin işlenmesini gerektiren amacın ortadan kalkması halinde, kişisel veriler SÜVARİ tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. SÜVARİ tarafından işlenen kişisel verilerin saklama süreleri ile ilgili detaylı bilgi işbu Politika’nın Ek-1’nde yer almaktadır.

Kişisel verilerin işlenme amacının sona ermesi, veri sahibi İlgili Kişinin talebi ve/veya ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmesi halinde kişisel veriler,

• Olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi vb. yasal sorumlulukların yerine getirilmesi amacıyla kanunlarda öngörülen ölçülere ve/veya belirtilen sürelere uygun olarak saklanabilmektedir. Bu hususa ilişkin sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır.
• Silme, yok etme veya anonimleştirme yolu ile imha edilecek veriler ise en geç bir sonraki periyodik imha tarihine kadar saklanabilmektedir.

Yukarıda bahsi geçen süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

SÜVARİ, saklamakta olduğu kişisel verileri

• Kişisel verilerin işlenmesini gerektiren tüm amaçların ve saklanmasını gerektiren sebeplerin ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, veri sahibi İlgili Kişinin rızasını geri alması,
• Veri sahibi İlgili Kişinin KVKK kapsamında yer alan ve işbu Politika’nın 6.Bölümünde belirtilen haklarını kullanarak kişisel verilerinin imha edilmesini talep etmesi ve yapılan başvurununSÜVARİ tarafından kabul edilmesi veya bu talebin reddi üzerine Kurul’a şikâyet sonucu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş̧ olmasına rağmenkişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında imha etmektedir.

SÜVARİ, işlediği kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojinin imkân verdiği ölçüde gerekli teknik ve idari tedbirleri almaktadır. Kişisel veri güvenliğine ilişkin detaylı bilgiye işbu Politika’nın 4. Bölümünde “Kişisel Verilerin Korunmasına Dair Hususlar” başlığı altında yer verilmektedir.

Kişisel verilerin saklanması özelinde ele alındığında; SÜVARİ tarafından alınan başlıca teknik tedbirler aşağıda listelenmiştir:

• Kişisel verilerin güvenli ortamlarda saklanması için veri güvenliğini sağlayacak yazılım ve sistemler kurulmakta ve kullanılmaktadır.
• Saklama alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
• SÜVARİ tarafından kişisel verilerin korunmasına ilişkin olarak teknolojinin imkân verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler güncellenmektedir, alınan önlemlerin uygulanmasına yönelik düzenli aralıklar ile denetim yapılmaktadır.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde teknolojik gelişmelere uygun sistemler ve yedekleme programları kullanılmaktadır.
• Kişisel verilerin saklandığı ortamlara erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmektedir.

Kişisel verilerin saklanması özelinde ele alındığında; SÜVARİ tarafından alınan başlıca idari tedbirler aşağıda listelenmiştir:

• SÜVARİ çalışanları, kişisel verilerin korunması, saklanması ve hukuka uygun olarak işlenmesi konusunda düzenli olarak bilgilendirilmekte ve eğitilmektedir.
• Üçüncü taraflar ile imzalanan sözleşme ve belgelere, kişisel verilerin hukuka uygun olarak işlenmesi, saklanması ve veri güvenliğini sağlamak amacıyla hükümler eklenmiş, tarafların gerekli güvenlik önlemlerini alacaklarına dair sorumlulukları açıkça düzenlenerek hukuka ve sözleşmeye aykırı veri işleme faaliyetleri için yaptırım getiren hükümler uygulanmıştır.

Kişisel verilerin imhasına yönelik, SÜVARİ tarafından alınan başlıca teknik ve idari tedbirler aşağıda listelenmiştir:

• Kişisel veri imha işlemi, teknik uzmanın yanı sıra kişisel veri koruma komitesinden yetkili bir kişi gözetiminde gerçekleştirilmektedir.
• Kişisel veri koruma komitesi, saklama ve veri imha süreleri bazında kişisel veri envanterini değerlendirip takip etmek ve iş birimlerini koordine etmek ile görevlendirilmiştir.
• SÜVARİ, çalışanlarına kişisel verilerin periyodik ve usulüne uygun imha edilmesi konusunda bilgilendirmekte ve eğitim vermektedir.
• Konuya ilişkin denetimler yapılmakta ve raporlanmaktadır.
• Üçüncü taraflar ile imzalanan sözleşme ve belgelere, kişisel verilerin hukuka uygun olarak işlenmesi, saklanması ve işleme amacının ortadan kalkması, saklama süresinin bitmesi veya verisahibi İlgili Kişinin talep etmesi üzerine imha edilmesine ilişkin hükümler eklenmiş, tarafların konuya ilişkin sorumlulukları açıkça düzenlenerek hukuka ve sözleşmeye aykırı veri işleme faaliyetleri için yaptırım getiren hükümler uygulanmıştır.

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, kişisel verilerin işlenmesini ve saklanmasını gerektiren amacın ortadan kalkması hâlinde kişisel veriler, re ’sen veya veri sahibi İlgili Kişinin talebi üzerine SÜVARİ tarafından silme, yok etme veya anonim hâle getirme suretiyle imha edilir.

SÜVARİ, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde yukarıda belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politika’ya uygun olarak hareket etmektedir.SÜVARİ tarafından kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Kurul tarafından aksine bir karar alınmadıkça, SÜVARİ, kişisel verilerin imhasına ilişkin silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmektedir. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçmekte ve uygulamaktadır.

SÜVARİ, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.

SÜVARİ’nin periyodik imha süresi 6 aydır; ancak SÜVARİ, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, Kurul’un bu madde ve imha süreleri tablosunda belirlenen süreleri kısaltabileceğini kabul etmektedir.

Kişisel verileri saklama ve imha süreçlerinin yürütülmesi ve bu Politika uyarınca gerekli aksiyonların alınması amacıyla SÜVARİ nezdinde “Kişisel Verileri Koruma Komitesi” kurulmuştur. Bu konuya ilişkin detaylı bilgiye işbu Politika’nın 7.Bölümünde yer verilmektedir.

Kişisel Verileri Koruma Komitesinde yer alan ilgili kişiler, işbu Politika’da düzenlenen kişisel verilerin saklanması ve imha süreçlerine ilişkin tüm yükümlülüklerini eksiksiz ifa etmekle sorumludurlar.

Kişisel veri sahibi İlgili Kişinin, KVKK’nın 11. maddesi uyarınca SÜVARİ’ye başvurarak kendisiyle ilgili;

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış̧ işlenmiş̧ olması hâlinde bunların düzeltilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş̧ olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Kişisel veri sahibi İlgili Kişiler, KVKK’nın 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, bu konularda 6.1.’de sayılan haklarını ileri süremezler:

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş̧ kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVKK’nın 28. maddesinin 2. fıkrası uyarınca ise, aşağıdaki hallerde veri sahibi İlgili Kişi zararın giderilmesini talep etme hakkı hariç bu Politika’nın 6.1 maddesinde belirtilen haklarını kullanamaz:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş̧ kişisel verilerin işlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Türkiye Cumhuriyeti’nin ekonomik ve mali çıkarlarının korunması için gerekli olması.

İlgili kişi, işbu Politika’nın 6.1 maddesinde belirtilen haklarını, Şirket’in ortak platformlarında yer alan başvuru formunu doldurup ıslak imzalı olarak veya kayıtlı elektronik posta adresi, güvenli elektronik imza, mobil imza veya SÜVARİ’ye daha önce bildirilen ve sistemlerde kayıtlı olan elektronik posta adresi vasıtasıyla iletmek suretiyle kullanabilmektedir. Yukarıda adresi sağlanan “Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru Formu”nda yapılacak başvurunun yöntemi ayrıntılı bir şekilde açıklanmaktadır.

İlgili Kişinin bu hakkını vekili aracılığıyla kullanmak istemesi durumunda, yetkili makamlar tarafından düzenlenmiş veya onaylanmış kimliğini tevsik edici belgelerin, varsa talebi destekleyici belgelerin, başvuru formunun ekinde SÜVARİ’ye iletilmesi gerekmektedir.

SÜVARİ, kendisine yöneltilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracaktır. Taleplerin yerine getirilmesi sebebiyle bir maliyet doğması hâlinde Kurulca belirlenen tarifedeki ücretleri talep edilebilecektir.

SÜVARİ, talebi kabul edebileceği gibi gerekçesini açıklamak suretiyle reddedebilir; cevabını kişisel veri sahibi İlgili Kişi yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde SÜVARİ, talebin gereğini yerine getirir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, SÜVARİ’nin cevabını öğrendiği tarihten itibaren otuz gün ve herhâlde başvuru tarihinden itibaren altmış̧ gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.

SÜVARİ tarafından kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası, sürdürülmesi, yönetilmesi ve geliştirilmesi amacıyla karar alma ve üst yönetime sunma yetkilerine sahip ve bu amaçla SÜVARİbünyesinde gerekli koordinasyonu sağlayan ve farklı birimlerinden yetkililerin katılımıyla oluşan “Kişisel Verileri Koruma Komitesi” kurulmuştur.

Bu komitenin görevleri aşağıda belirtilmektedir:

• SÜVARİ bünyesinde kişisel verilerin işlenmesi, saklanması, korunması ve imhasına ilişkin tüm faaliyetleri iş birimleri bazında koordine etmek ve yönetmek,
• Kişisel verilerin işlenmesi, saklanması, korunması ve imhası ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak.
• Kişisel verilerin işlenmesi, saklanması, korunması ve imhasına ilişkin politikaların uygulanmasını sağlamak, mevzuata ve şirket politikasına uyumluluk sürecini yönetmek ve üst yönetime raporlamak
• SÜVARİ’nin veri sorumlusu sıfatıyla yürütmüş olduğu faaliyetler kapsamında ilgili veri sahipleri ile iletişimi koordine etmek, bu amaçla gerekli organizasyonu sağlamak
• Kurul’un talep, istek, şikâyet ve bildirimleri ile ilgili şirket bünyesinde gerekli faaliyet ve düzenlemeleri yapmak, süreçleri organize etmek
• İlgili kişilerden gelecek talep, istek, şikâyet ve bildirimleri ile ilgili şirket bünyesinde gerekli faaliyet ve düzenlemeleri yapmak, süreçleri organize etmek
• Kişisel veri işleme envanterini güncellemek ve veri işleme faaliyetlerini takip etmek, raporlamak, envantere işlemek ve değişiklik olması halinde VERBİS (Veri Sorumluları Sicil Bilgi Sistemi)’de gerekli güncellemeleri yapmak
• Çalışan farkındalığı için eğitimler organize etmek, eğitimlerin devamlılığını sağlamak, verimliliğini ölçmek
• Kişisel verilerin işlenmesi, saklanması, korunması ve imhası konusunda SÜVARİ içerisinde ve SÜVARİ’nin iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak, bilgilendirmeler yapmak
• Kişisel veri işleme faaliyetlerine ilişkin denetimin ne şekilde yerine getirileceğine karar vermek ve bu kapsamda gerekli koordinasyonu sağlamak
• Kişisel veri işleyen 3. kişilerin veri güvenliğine ilişkin aldığı teknik ve idari tedbirleri belirlemek veya belirlenmesini sağlamak, denetimler yapmak veya yaptırmak
• Kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; aksiyon planları ve iyileştirme önerilerini üst yönetimin onayına sunmak ve icrasını koordine etmek
• KVKK uyumluluğu kapsamında şirket içinde denetimler düzenlemek, dış kaynaklı denetim alınacak ise gerekli düzenlemeleri yapmak, tespit edilen riskler için alınacak önlemlerin belirlenmesini ve değerlendirilmesini sağlamak
• Kişisel Verilerin Korunmasına ilişkin danışman firmalar ile beraber çalışarak değerlendirmelere katılmak, raporlar sunmak
• Kurul duyuruları ve mevzuata ilişkin gelişmeleri takip etmek, ilgili yerlerde uygulamaya alınmasını sağlamak ve gerekli bildirimlerde bulunmak
• Data gizliliği ihlali durumları için süreçleri yönetmek, sorumlu kişi / ekip ve görevlerini belirlemek, raporlama ve düzeltici faaliyetleri yönetmek.

SÜVARİ, Kanun’da yapılan değişiklikler nedeniyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutmaktadır.

İşbu Politika’da yapılan değişiklikler derhal metne işlenmekte ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanmaktadır.