Gizlilik Sözleşmesi

Giriş

Kişisel Verilerin Korunması (“Politika”) AROMA BURSA MEYVE SULARI VE GIDA SANAYİİ ANONİM ŞİRKETİ (“AROMA”) tarafından 7 Nisan 2016 tarihli Resmi Gazete de yayınlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili Yönetmelik ve Tebliğleri ile kişisel verilerin toplanması, işlenmesi, güvenliği ve korunması hususunda getirilen yükümlülüklere uygun teknik ve idari alt yapı, süreç ve prosedürlerin belirlenmesi amacıyla oluşturulmuştur.

Bu Politika’da belirtilen birçok hüküm hali hazırda şirketimiz tarafından uygulanmakta, veri güvenliğine azami önem verilmektedir. Politika ile birlikte çalışanlarımız, müşterilerimiz, tedarikçilerimiz de dahil olmak üzere gerçek kişilere ait olup şirketimiz tarafından işlenen tüm verilerin korunması ve bunların KVKK ve ilgili Yönetmelik ve Tebliğlerinde belirtilen yükümlülüklere uyumunun sağlanması için AROMA ailesinin kabul edip uyguladığı prensipler ile hüküm ve koşullar belirlenmiştir.

Politika’da belirtilen hüküm ve koşullara uygun hareket edildiğini periyodik olarak denetleyen Şirketimiz, bu hüküm ve koşulları yasal zorunluluk ve ihtiyaçlar nispetinde güncelleyerek yayınlamakta ve suretle Politika’nın güncelliğini sağlamaktadır. Politika’mızın değişen hüküm ve koşulları resmi internet sitemizde ilan edilecek ve ilan tarihi itibariyle yürürlüğe girecektir. Politika’mızın güncel halini internet sitemizden takip ederek kişisel verilerinizin Şirketimiz nezdinde tabi olduğu hüküm ve koşulların güncel halini görebilirsiniz.

AROMA BURSA MEYVE SULARI VE GIDA SANAYİİ ANONİM ŞİRKETİ

İçindekiler

I. Tanımlar	3
II. Amaç	3
III. Kapsam ve Değişiklikler	3
IV. Kişisel verilerin işlenmesinde uygulanacak ilkeler	4
a. Hukuka ve dürüstlük kurallarına uygunluk	4
b. Amaca özel kısıtlama	4
c. Şeffaflık ve aydınlatma	4
d. Kişisel Veri azaltma ve veri ekonomisi	4
e. Kişisel verilerin silinmesi	4
f. Doğruluk ve veri güncelliği	4
g. Gizlilik ve veri güvenliği	4

V. Kişisel Veri işleme amaçları	5
a. Müşteri ve iş ortaklarına ait kişisel verilerin işlenmesine ilişkin prensipler	5
Sözleşmesel ilişki için veri işleme	5
Reklam amaçlı veri işleme	5
Yasal yükümlülüklerimiz veya kanunda açıkça öngörülmesi sebebiyle yapılan veri işlemleri	5
Kişisel Verilerin işlenmesinde meşru menfaat ilkesi	5
Özel nitelikli verilerin işlenmesi	5
Münhasıran otomatik sistemler vasıtasıya işlenen veriler	5
Kullanıcı bilgileri ve internet	5

b. Çalışanlara ait kişisel verilerin işlenmesine ilişkin prensipler	6
Kanunda açıkça öngörülen ve yasal yükümlülükler sebebiyle yapılan veri işlemleri	6
Meşru menfaate uygun olarak verilerin işlenmesi	7
Özel nitelikli verilerin işlenmesi	7
Münhasıran otomatik sistemler vasıtasıyla işlenen veriler	7
Telekomünikasyon ve internet	7

VI. Kişisel Verilerin Aktarılması Prensipleri	8
VII. Veri Sahibinin Hakları	8
VIII. Gizlilik	9
IX. Güvenlik	9
X. Kontrol ve Denetimler	9
XI. Veri ihlalleri yönetimi	9
XII. Veri Sorumluları Siciline Kaydolma Yükümlülüğü	10

I.Tanımlar

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir.
Özel Nitelikte Kişisel Veri	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
Kişisel Verinin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde dilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul	Kişisel Verileri Koruma Kurulu
Politika	AROMA BURSA MEYVE SULARI VE GIDA SANAYİİ ANONİM ŞİRKETİ Kişisel Verilerin Korunması Ve İşlenmesi Politikası’dır
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
Veri Sorumlusu	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.

II.Amaç

Bu Politika; AROMA BURSA MEYVE SULARI VE GIDA SANAYİİ ANONİM ŞİRKETİ’nin (“AROMA”) 7 Nisan 2016 tarihli Resmi Gazete de yayınlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlularına getirilen yükümlülüklere uyumun sağlanmasında benimsenecek temel ilkeler ve uygulama prensiplerinin belirlenmesi amacıyla oluşturulmuştur.

Politikaya uyum iç denetim birimlerimizce denetlenmekte, Şirketimiz kişisel verilerinin güvenliği için teknik ve idari tüm tedbirleri almaktadır.

III.Kapsam ve Değişikler

KVKK’ya uygun olarak hazırlanan bu Politika mevcut ve potansiyel müşteri ve çalışanlarımız ile işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü şahısların otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. AROMA’nın KVKK ve ilgili yönetmelikte yapılacak değişikler doğrultusunda, Protokol’de değişiklik yapma hakkı saklıdır.

IV.Kişisel Verilerin İşlenmesinde Uygulanacak İlkeler

AROMA kişisel verilen toplanması, işlenmesi ve analiz edilmesinde aşağıdaki ilkeleri benimsemiştir.

a. Hukuka ve Dürüstlük Kurallarına Uygun Faaliyette Bulunma

AROMA veri sahiplerinin haklarının korunması için kişisel verileri hukuka uygun ve adil bir şekilde toplayarak, işleyecektir. Bu faaliyetlerin yürütülmesinde orantılılık ve gereklilik ilkeleri göz önünde bulundurulacaktır.

b. Amaca Özel Kısıtlama

Kişisel veri yalnızca verilerin toplanmasından önce tanımlanmış amaçlar için işlenebilir. Amaca ilave değişimler yalnızca sınırlı ölçüde ve gerekçelendirmeyle mümkündür.

c. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

AROMA kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda; AROMA öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan ve AROMA Kişisel Veri Politikasında belirtilen süre kadar saklamaktadır. AROMA kişisel veri envanterindeki saklama sürelerini esas almakta olup, burada belirtilen süreler sonunda Kanun kapsamındaki yükümlülükler çerçevesinde kişisel veriler, verinin niteliğine ve kullanım amacına göre silinmekte, yok edilmekte veya anonimleştirilmektedir.

d. Şeffaflık ve Aydınlatma

Veri sahipleri, kişisel verilerinin toplanması ve işlenmesi öncesinde detaylı olarak bilgilendirilmelidir. Verilerin toplanması öncesinde hak sahipleri aşağıdaki hususlarda bilgilendirilmelidir:

Veri sorumlusunun ve varsa temsilcisinin kimliği
Kişisel verilerin işlenme amacı
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarıldığı
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Kişisel verisi işlenen kişinin KVKK madde 11 uyarınca hakları.

e. Veri Ekonomisi

Kişisel verinin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenmelidir. Amacın kabul edilebilir ve orantılı olduğu durumda anonim ya da istatistiki veri kullanılabilir.

f. Kişisel Verilerin Silinmesi

İlgili kanunlarda kayıt saklama yükümlülükleri ve ispat için gerekli kayıt tutma işlemleri için öngörülen sürelerin sona ermesinden sonra artık gerekli olmayan kişisel veri silinmekte veya yok edilmekte veya anonim hale getirilmektedir.

g. Doğruluk ve Veri Güncelliği

Kişisel verilerin doğru, tam ve biliniyor olması halinde güncel olması zorunludur. Doğru

olmayan veya eksik olan verilerin silinmesi, düzeltilmesi, tamamlanması veya güncellenmesi sağlanmalıdır.

h. Gizlilik ve veri güvenliği

Kişisel veri gizli bilgi olarak saklanmalı ve muhafaza edilmelidir. Kişisel Veriler yetkisiz erişimi, yasal olmayan işlemleri, paylaşımı, yanlışlıkla kaybolmayı, değiştirilmeyi veya tahrip edilmeyi engellemek için gerekli idari ve teknik tedbirler alınarak korunmalı ve kişisel seviyede gizli tutulmaktadır.

V.Kişisel Veri İşleme Amaçları

Kişisel verilerin toplanması ve işlenmesi Aydınlatma Metni ve aşağıda belirtilen amaçlar dâhilinde gerçekleştirilecektir.

a. Müşteri ve iş ortakları verisi

Sözleşmesel ilişki için veri işleme: Mevcut ve potansiyel müşteri ve iş ortaklarına (iş ortağının tüzel kişi olması halinde iş ortağı yetkilisine) ait kişisel veri ayrıca onay alınmadan bir sözleşmenin kurulması, uygulanması ve sonlandırılması için işlenebilir. Sözleşme öncesinde sözleşmeye başlama aşamasında kişisel veriler; teklif hazırlamak, satın alma formu hazırlamak ya da veri sahibinin sözleşmenin uygulanmasıyla ilgili taleplerini karşılamak amacıyla işlenebilir. Sözleşme hazırlanma sürecinde veri sahipleriyle sağladıkları bilgiler ışığında iletişime geçilebilir.
Reklam amaçlı veri işleme: Kişisel veriler reklam ya da pazar ve kamuoyu araştırmaları için ancak bu bilgilerin toplanma amacının söz konusu amaçlara uygun olması durumunda işlenmektedir. Veri sahibi bilgilerinin reklam amaçlı kullanılacağı hususunda bilgilendirilmektedir. Veri sahipleri reklam amaçlı kullanılacağı bildirilen verilerini vermekten veya bunların işlenmesine muvafakat etmekten imtina edebilirler. Reklam amaçlı işlenen veriler için veri sahibinin açık rızasının alınması gereklidir. Veri sorumlusu, veri sahibinin bu yöndeki açık rızasını elektronik onay, posta, elektronik posta veya telefon aracılığı ile edinebilecektir. Veri sahibinin açık rızası olmaksızın, kişisel verilerin reklam amacıyla kullanılması engellenmektedir.
Yasal yükümlülüklerimiz veya kanunda açıkça öngörülmesi sebebiyle yapılan veri işlemleri: Kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
Kişisel Verilerin işlenmesinde meşru menfaat ilkesi: Kişisel veriler, AROMA’nın meşru bir menfaati için gerekli olduğunda da ayrıca onay alınmadan işlenebilir. Meşru menfaatler genellikle yasal menfaatlerdir.
Özel nitelikli verilerin işlenmesi: Özel nitelikli kişisel veriler, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ve KVKK hükümleri çerçevesinde işlenmektedir. Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, açık rızası, açık rızanın bulunmaması halinde ise KVKK’da öngörülen istisnalar kapsamında işlenmektedir. Kişilerin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise açık rızanın bulunmadığı hallerde ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.
Münhasıran otomatik sistemler vasıtasıyla işlenen veriler: Otomatik sistemler vasıtasıyla elde edilen kişisel verilerin işlenmesi, bu verilerin kişisel veri sahibini olumsuz anlamda etkileyen iş ve işlemelerde kullanılmasını haklı ve hukuka uygun hale getirmeyecektir. Kişisel veri sahibi işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkına sahiptir. Kişisel veri sahibinin talebi doğrultusunda AROMA tarafından gerekli tedbirlerin alınmasına gayret gösterilecektir.
Kullanıcı bilgileri ve internet: Internet sitesi veya uygulamalarda kişisel verilerin toplanması, işlenmesi ve kullanılması durumunda kişisel veri sahibi kullanıcılar, siteye kaydettikleri bilgilerin kullanımı, gizlilik bildirimi, çerezler hakkında bilgilendirilmelidir. Gizlilik bildirimi ve çerez bilgileri, ilgili kişi için kolay tanımlanabilecek, doğrudan erişilebilecek ve sürekli uygun olacak şekilde bütünleştirilmektedir.

b. Çalışanlara ait kişisel verilerin işlenmesine ilişkin prensipler

İş sözleşmesinin kurulması, uygulanması ve sonlandırılmasına kadar geçen süreçte çalışanlara ait kişisel verilerin toplanması ve işlenmesi zorunludur. Bunlar için çalışanların ayrıca açık rızaları alınmayabilir. Potansiyel çalışan adaylarının da kişisel verileri iş başvurularında işlenmektedir. Adayın iş başvurusunun reddi halinde, başvuru sırasında elde edilen kişisel verileri sonraki bir seçim aşaması için uygun veri saklama süresi kadar muhafaza edilmekte, bu sürenin sonunda silinmekte, yok edilmekte veya anonim hale getirilmektedir. Çalışanlara ilişkin kişisel verilerin işlenmesinde aşağıdaki prensipler göz önünde bulundurulmalıdır.

Kanunda açıkça öngörülen ve yasal yükümlülükler sebebiyle yapılan veri işlemleri: Çalışana ait kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işlenebilir.
Meşru menfaate uygun olarak verilerin işlenmesi: Çalışanlara ait kişisel veriler, AROMA’nın meşru bir menfaatinin bulunduğu hallerde ayrıca onay alınmadan işlenebilmektedir. Meşru menfaatler genellikle yasal ya da ekonomik nitelikte menfaatlerdir. Çalışanların menfaatlerinin korunması gerektiği kişisel durumlarda kişisel veriler meşru menfaat amaçları için işleme alınmamaktadır. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmektedir. Çalışanlara ait verilerin AROMA’nın meşru menfaatine dayanılarak işlenmesi halinde bu işlemenin ölçülü olup olmadığı incelenmeli, meşru menfaatinin ilgili çalışanın korunması gereken bir hakkını ihlal etmediği kontrol edilmelidir.
Özel nitelikli verilerin işlenmesi: Özel nitelikli kişisel veriler sadece belli koşullar altında işlenmektedir. Irk ve etnik köken, siyasi düşünce, din, felsefi inanç, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veri olarak tanımlanmıştır. Özel nitelikli kişisel veriler ancak çalışanın açık rızası olması halinde ve gerekli idari ve teknik tedbirler alınarak işlenebilir. Aşağıdaki haller bu hükmün istisnasını oluşturmakta olup, belirtilen hallerde çalışanın açık rızası bulunmasa da özel nitelikli kişisel veriler işlenebilecektir.
- Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
- Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
Münhasıran otomatik sistemler vasıtasıyla işlenen veriler: Çalışanlara ait kişisel veriler, iş ilişkisinin bir parçası olarak, münhasıran otomatik sitemler vasıtasıyla işleniyor ise, çalışan, bu veriler kullanılarak kendisi aleyhine bir sonucun ortaya çıkmasına veya ortaya çıkan sonuca itiraz etme hakkına sahiptir.
Telekomünikasyon ve internet: Telefon donanımları, e-posta adresleri, şirket içi ağlar ile birlikte intranet ve internet, AROMA tarafından öncelikli olarak işle ilgili görevler için sağlanmaktadır. Bunlar, çalışma araçları ve AROMA kaynaklarıdır. Bu araçlar yasal düzenlemelere ve AROMA iç yönetmeliklerine uygun olarak kullanılmalıdır. Telefon ve e-posta iletişimi veya intranet ve internet kullanımı ile ilgili genel denetleme olmamaktadır. BT altyapısına veya bireysel kullanıcılara karşı saldırıları önlemek için AROMA ağına geçişlerde, teknik açıdan zararlı içerikleri bloke eden veya saldırıların modellemesini analiz eden koruyucu önlemler alınmaktadır. Telefon donanımlarının, e-posta adreslerinin, intranetin/ internetin ve/veya şirket içi sosyal ağların kullanımı, güvenlik nedenlerinden dolayı sınırlı bir süre saklanmaktadır. Bu verilerin kişiyle ilgili değerlendirmeleri ancak somut bir şüphenin var olması halinde yapılmaktadır. Bu kontroller ilgili departmanlar tarafından sadece ölçülülük prensibinin korunması şartıyla yerine getirilmektedir.
Güvenlik kameraları ve Ses Kaydı: Şirketimize ait işyerleri ve eklentilerinde güvenliğin sağlanması adına kamera ile kayıt ve izleme sistemi bulunmaktadır. Ayrıca belirli birimlerde iş kalitesinin ve görüşme standartlarının temin edilmesi ve işin uygun ifasının denetlenebilmesi adına ses kaydı alınabilmektedir. Söz konusu kayıtlar Şirket tarafından saklanmakta, izlenmekte ve denetlenmektedir. Bu kayıtların yürütülen bir disiplin soruşturması kapsamında uygunsuzluğun tespiti ve ispatı adına kullanılması ihtimal dâhilindedir.
Erişim Yasağı: AROMA yasal yükümlülükler, meşru menfaatleri ve çalışanlarının açık rızaları ile topladığı kişisel verileri, bunların toplanma amaçları ile uygun olarak işlemekte, korumakta ve muhafaza etmekte azami gayreti göstermekte, kişisel verileri yalnızca ilgili çalışanları ile paylaşmaktadır. Çalışanların görev tanımları kapsamında yerine getirdikleri işler ve AROMA’nın açık yazılı yetkilendirmesi olmadığı hallerde erişim izni veya gereği olmayan kişisel veriler ile ilgili olarak gerçekleştirdikleri her türlü iş ve işlem ile ilgili olarak ilgili çalışanın şahsi sorumluluğuna gidilecek bu nedenle yasal tedbirler alınacaktır. Bu nedenle çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması konularında düzenli eğitim almaları sağlanmalı, çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek disiplin süreci oluşturulmalıdır.

VI. Kişisel Verilerin Aktarılması

Kişisel verilerin AROMA dışındaki bir üçüncü kişiye aktarılması Aydınlatma Metni’nde yer alan ve aşağıda belirtilen amaçlar kapsamında gerçekleştirilecektir. Buna göre AROMA kişisel verileri aşağıda belirtilen kişi ve kurumlara belirli amaçlarla aktarabilecektir;

İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak AROMA iş ortaklarına,
AROMA’nın tedarikçiden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine getirebilmesi için gerekli ürün ve hizmetleri sunan tedarikçilerine,
AROMA iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak AROMA iştiraklerine,
KVKK hükümlerine uygun AROMA’nın ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak AROMA hissedarlarına,
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak hukuken yetkili kamu kurum ve kuruluşlarına,
İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak hukuken yetkili özel hukuk kişilerine.

AROMA tarafından işlenen kişisel verileriniz Kurul tarafından yeterli korumaya sahip yabancı ülkeler ilan edildikten sonra bu ülkelere aktarılacaktır. Yeterli korumanın bulunmadığı ilan edilen ülke ve bölgelere ise kişisel veriler ancak, veri sahibinin onay verdiği durumda veya Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurulun izninin bulunduğu durumlarda aktarılabilecektir. AROMA, kişisel verilerinizin işlenmesinde bulut depolama hizmeti de kullanabilir.

VII. Veri Sahibinin Hakları

Kişisel Veri Sahipleri:

Kişisel verilerinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

hak ve yetkilerine haiz olup, bu yöndeki bir talebin AROMA’ya ulaşması halinde, AROMA süresi içinde gelen talebi yanıtlamalıdır. Bu nedenle AROMA yukarıda belirtilen hakların kullanımı ve gelen taleplerin değerlendirilme biçimi hakkında da veri sahiplerine gerekli bilgileri temin edecektir.

Kişisel veri sahiplerine KVKK’da tanınan yukarıdaki hakların istisnaları aşağıda sıralanmış olup, bu hallerde AROMA’nın veri sahiplerinden gelen talepleri cevaplama yükümlülüğü bulunmamaktadır:

Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla göreve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVKK gereğince aşağıdaki hallerde ilgili kişiler zararın giderilmesini talep etme hakkı hariç diğer haklarını aşağıda belirtilen durumlarda ileri süremezler:

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Kişisel veri sahipleri yukarıda belirtilen haklarını www.aroma.com.tr uzantılı internet sitemizde yer alan Kişisel Veri Başvuru Formunu doldurduktan sonra imzalamak ve aslını Yedoğan Osb Mahallesi, Atatürk Caddesi, No: 232/1, 16580 Gürsu, Bursa adresine kimlik fotokopileri ile birlikte elden veya iadeli taahhütlü mektupla AROMA’ya iletebileceklerdir. Kişisel veri sahibinin kendisi dışında bir kişi adına yapacağı başvurularda, hak sahibi kişi tarafından usulüne uygun olarak verilmiş bir vekaletnameye sahip olması gerekmektedir. AROMA, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden ek bilgi talep edebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

AROMA, talebin niteliğine göre talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır.

VIII. Gizlilik

Kişisel veriler gizliliğe tabidir. Çalışanların verileri izinsiz olarak toplaması, işlemesi ya da kullanması yasaktır. Yetkisiz kullanım, çalışanların meşru görevleri dışında gerçekleştirdikleri yetkisiz veri işlemesidir. Bil prensibi geçerlidir: Çalışanlar kişisel verilere sadece söz konusu görevin kapsamı ve mahiyetine uygun olması halinde erişebilirler.

Çalışanların kişisel verileri özel ya da ticari amaçlar için kullanması, yetkisiz kişilere dağıtması ya da başka bir şekilde erişilebilir kılması yasaklanmıştır. Yöneticiler çalışanlarını iş ilişkisinin başladığı sırada veri koruma ile ilgili yükümlülükler hakkında bilgilendirmelidir. Bu yükümlülük, iş ilişkisinin sonlandırılmasından sonra da devam eder.

IX. Güvenlik

AROMA işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbir ve kontrolleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır. Bu husus, veri işlemenin elektronik yolla veya yazılı olarak yapılmasından bağımsız olarak geçerlidir. Özellikle yeni BT sistemlerine geçişte veri işlemenin yeni metotlarına başlamadan önce, kişisel verilerin korunmasına yönelik teknik ve organizasyonel önlemler tanımlanmaktadır ve uygulanmaktadır. Bu önlemler son gelişmelere, işlemin risklerine ve bilgi sınıflandırması süreci ile belirlenen, verinin koruma ihtiyacına dayandırılmıştır. Kişisel verilerin korunmasına ilişkin teknik ve organizasyonel önlemler, şirket bilgi güvenliği yönetiminin bir parçasıdır ve teknik gelişmelere ve organizasyonel değişikliklere sürekli olarak uyarlanmaktadır.

X. Kontrol ve Denetimler

Kişisel Verilerin Korunması ve İşlenmesi Politikasına ve KVKK’ya uygunluk, düzenli veri koruma denetimleri ve diğer kontrollerle sağlanmaktadır.

XI. Veri İhlalleri Yönetimi

AROMA, bu Politika ve KVKK hükümlerine aykırı olarak ele geçirilen kişisel verilerin korunması için gerekli güvenlik tedbirlerini ivedilikle yerine getirecek ve bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirecektir. Bu amaçla kişisel veri sahiplerinin, kişisel verilerine ilişkin talep ve şikayetlerini kendisine en efektif ve kısa süre içinde iletilmesini sağlayan sistem ve başvuru yöntemlerinin oluşturulması AROMA’nın sorumluluğundadır. Kurul tarafından gerek görülmesi halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

XII. Veri Sorumluları Siciline Kaydolma Yükümlülüğü

AROMA, KVKK’nın 16. Maddesi’nde belirtilen Veri Sorumluları Sicili’ne kayıt olmakla yükümlü olup, Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olacaktır. Buna göre sicile kayıt için Kurul’a sunulacak bilgi ve belgeler aşağıdaki gibidir:

Veri sorumlusu olarak AROMA’nın ve varsa temsilcisinin kimlik ve adres bilgileri,
Kişisel verilerin hangi amaçla işleneceği,
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
Yabancı ülkelere aktarımı öngörülen kişisel veriler,
Kişisel veri güvenliğine ilişkin alınan tedbirler,
Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

XIII. Kişisel Verilerin Sınıflandırılması Ve Veri Envanteri

AROMA, işbu Politika kapsamındaki kişisel veri sahiplerine (Bayilere ve Yetkili Servislere gelen müşteriler, müşteriler, çalışanlar, ziyaretçiler, üçüncü kişiler, çalışan adayları, işbirliği içinde olduğumuz kurumların çalışanları) ait kişisel verileri KVKK’nın Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarına ve 4. maddede belirtilen ilkelere riayet etmek suretiyle, aydınlatma yükümlülüğünü de yerine getirerek işlemekte, işlenen verileri de aşağıdaki şekilde kategorize.

AROMA, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları ve saklama süreleri yer almaktadır. Bu kapsamda AROMA kişisel veri envanteri içerisinde aşağıdaki türlerde veri kategorileri bu türlerle sınırlı olmamakla beraber bulunmaktadır.

AROMA Kişisel Veri Envanteri aşağıdaki kişisel veri ve kategorileri dışında koruma yöntemleri, erişim yetkisi olanlar, verilerin aktarıldığı kişiler ve bunların aktarım yöntemleri de dahil muhtelif bilgileri ihtiva etmektedir.

Kişisel VeriKategorizasyonu	Kişisel Veri Kategorizasyonu Açıklama
İletişim Verisi	Kişiye ulaşmak için kullanılabilecek veri grubudur (Telefon, adres, e- posta, Fax numarası, Ip adresi).
Kimlik Verisi	Kişi kimliğine dair bilgilerin bulunduğu veri grubudur (Ad soyad, TCKN, anne adı, baba adı, doğum yeri, doğum tarihi, cinsiyet, cüzdan seri no, kimlik fotokopisi, vergi no, sgk no, uyruk verisi, evlilik cüzdanı fotokopisi/taraması, çalışan kartı).
Sağlık Verisi	Kişinin sağlık bilgilerinin bulunduğu veri grubudur (Kan grubu, medikal geçmiş, check-up sonucu, konsültasyon raporu, diyet formu).
Taşıt Verisi	Kişinin araç bilgilerinin bulunduğu veri grubudur (Plaka no, şase no, motor no, ruhsat bilgisi).
Konum Verisi	Kişiye ait konum verisinin bulunduğu veri grubudur (GPS lokasyonu).
Görsel/İşitsel Veri	Kişiye ait görsel ve işitsel verilerin bulunduğu veri grubudur (Fotoğraf, ses kaydı, kamera kaydı, ehliyet fotokopisi/taraması, kimlik fotokopisi/taraması, pasaport fotokopisi/taraması).
Dijital İz Verisi	Kişiye ait bilgilerin işlenmesi sonucu oluşan dijital izlerin bulunduğu veri grubudur (Log).
Finansal Veri	Kişinin finansal bilgilerinin bulunduğu veri grubudur (Banka hesap no, iban no, kart bilgisi, banka adı, finansal profil, mail order formu, kredi notu).
Biyometrik/GenetikVeri	Kişiye ait biyometrik/genetik verilerin bulunduğu veri grubudur (Parmak izi, genetik bilgi, damar izi).
Mesleki Veriler	Kişinin mesleğine ait bilgilerin bulunduğu veri grubudur (Çalıştığı kurum bilgisi, meslek odası sicili).
Eğitim Verisi	Kişiye ait eğitim verilerinin bulunduğu veri grubudur (Diploma notu, diploma fotokopisi/taraması).
Mal Varlığı Verisi	Kişinin sahip olduğu mal varlıklarının bulunduğu veri grubudur (Tapu fotokopisi/taraması, araç ruhsatı fotokopisi/taraması).
Seyahat Verisi	Kişinin seyahatlerine ait bilgilerin bulunduğu veri grubudur (Uçuş bilgisi, uçuş kartı, tur rotası, mil kart no, konaklama verisi).
Şirket Verisi	Şahıs şirketi verileridir (Şirket adresi).
Irk/Din Bilgisi	Kişinin kökeni ve inancına ait verilerin bulunduğu veri grubudur (Irk/din bilgisi).
Dernek üyelik bilgileri	Kişinin üye ve ilgili olduğu dernek bilgilerinin bulunduğu veri grubudur (Tüm dernek üyelikleri).
İmza Verisi	Kişiye ait imza bilgilerinin bulunduğu veri grubudur (Islak imza, e- imza, imza fotokopisi/taraması).
Vize/Pasaport Verisi	Kişiye ait vize/pasaport bilgilerinin bulunduğu veri grubudur (Vize bilgisi, pasaport fotokopisi/taraması).
Kılık Kıyafet Verisi	Kişinin giyim kuşamına dair ayırt edici özelliklerin bulunduğu veri grubudur (Kılık Kıyafet satın alma geçmişi, giydiği ayırt edici kıyafetler).
Yaptırım Verisi	Kişinin geçmişinde aldığı yaptırımlara ilişkin veri grubudur (Ceza Kovuşturmaları, Adli Sicil Kaydı, Disiplin Kaydı).