MODERN ÇİKOLATA KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

1. Amaç ve Kapsam:

Bu politika MODERN ÇİKOLATA tarafından yürütülen her türlü faaliyette 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun olarak kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen yöntemleri tarif etmeyi amaçlamaktadır. Kişisel Verilerin Korunması ve İşlenmesi Politikası, kişisel verilerin MODERN ÇİKOLATA tarafından toplanması, kullanılması, paylaşması, saklanması ve imhası süreçlerinde uygulanan prensipleri içerir.

Bu Politika ile MODERN ÇİKOLATA ile ilişiği bulunan ve bulunmayan müşterileri, tedarikçileri, kurum çalışanları, stajyerleri ve ilişiği kesilmiş çalışanların otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kurumumuzun süreçlerinde işlenen tüm kişisel verileri kapsar.

2. Yetki ve Sorumluluklar :

Kurum içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gerekliliklerin yerine getirilmesinde tüm çalışanlar, çözüm ortakları, iş ortakları, dış hizmet sağlayıcıları ve diğer surette kurum nezdinde kişisel veri saklayan ve işleyen herkes bu gereklilikleri yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.

KVK Kurulu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu veri sorumlusu irtibat kişisindedir.

Kurum Bünyesinde;

· Veri Sorumlusu: Modern Çikolata Gıda San. ve Tic. A.Ş

· Veri Sorumlusu İrtibat Kişisi: Oğuzhan TAYYAR

olarak belirlenmiştir.

3. Tanımlar ve Kısaltmalar :

Açık Rıza; Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı; Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha; Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun; KVKK 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı; Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi; Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi; Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi; Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul; Kişisel Verileri Koruma Kurulu.

Özel Nitelikli Kişisel Veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha; Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri Sahibi/İlgili Kişi; Kişisel verisi işlenen gerçek kişi.

Veri İşleyen ; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

4. Kişisel Verilerin İşlenmesi ve Korunması Politikası :

MODERN ÇİKOLATA Kişisel Verileri korunması ve işlenmesi için gerekli tedbirleri ve uygulanan süreci politika ile somut bir şekilde ortaya koymaktadır. İlgili Kanunlar ve yönetmeliklere ile bu politikanın uyumsuz olduğu durumlarda yada güncellenen mevzuatlar doğrultusunda politikanın güncel olmaması halinde MODERN ÇİKOLATA yürürlükteki mevzuata uyacağını kabul etmektedir. Kanunun, yönetmelik ve mevzuatlarda olan değişikliklere göre bu politika güncellenip, MODERN ÇİKOLATA ’in yasal gereklikleri yerine getirmesi için revize edilir.

4.1. Kişisel Verilerin Güvenliğinin Sağlanması

MODERN ÇİKOLATA, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

KVKK ’nın 12. Maddesinin 1. bendinde öngörülen;

· Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

· Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

· Kişisel verilerin muhafazasını sağlamak.

Sartları sağlamak adına gerekli tedbirlerini almaktadır.

MODERN ÇİKOLATA ’in kişisel verilerin güvenliğini sağlamak için uyguladığı tedbirler alt maddelerde detaylandırılmıştır.

4.1.1. Teknik Tedbirler

Teknolojideki gelişmelere uygun teknik önlemler alınmaktadır. Gelişen teknolojiye uygun altyapı yatırımları yapılır. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulmasını sağlar. Kişisel veri barındıran yazılımlar üzerinde erişim, sınırlı yetkilendirme sınırlandırılmıştır. Erişim kontrolleri belirli periyodlarda yapılmaktadır. Personellerin erişim sağladığı ERP uygulamalarında işlem log kayıtları tutulur. Sistemlerinin güncel ve bilinen açıklıklara karşı gerekli güvenlik önlemlerinin alınmış versiyonları kullanılır. Sistemlerin güvenliğinin kontrol edilmesi sonucu elde edilen bilgileri ilgililere raporlar. Risk teşkil eden noktalar tespit edilerek gerekli teknik tedbirler alınır. Kişisel Verilerin güvenliğinin sürdürülebilmesi için teknik tedbirleri sürekli işleyen bir model ile kurum kültürünün bir parçası olması için farkındalığı yaygınlaştırır. Kurum ağının güvenliğinin sağlanması için belirli periyodlarda açıklık ve sızma testleri yapılır. MODERN ÇİKOLATA bünyesinde bulunan tüm donanımlar antivirüs uygulamaları ile korunur. Yetkisiz girişlerin engellenmesi için MODERN ÇİKOLATA‘da alarm sistemleri, parmak okuyucu, güvenlik personeli ve kamera sistemleri ile koruma önlemleri bulunmaktadır. Olası doğal afetlere karşı UPS, yangın söndürme, ısı/sıvı alarm sistemleri ile kritik donanımlar korunmaktadır. Süresi dolan veriler kağıt kıyıcılar ile imha edilir. Kurum genelinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi uygulanmakta ve Türkiye Akreditasyon Kurumu’ndan akredite kurumlar tarafından denetlenmektedir.

4.1.2. İdari Tedbirler

MODERN ÇİKOLATA kişisel verilerin güvenliğini sağlamak amacı ile gerekli idari tedbirleri alır ve uygulanabilirliğinin denetimini gerçekleştirir. Kurum içerisinde Kişisel Verilerin uygun şekilde korunması, işlenmesi, silinmesi, imha edilmesi, anonimleştirilmesi gibi faaliyetlerin güvenli yapılması için ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun hareket edilir. MODERN ÇİKOLATA, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli KVKK eğitimlerini verir. Kurulan sistemler için gerekli iç kontroller yapılır. Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, bilgi güvenliği risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini işletir. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerini ve kurallarını tanımlar. Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmektedir. Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Üçüncü taraflarla kişisel verilerin paylaşılmasıyla ilgili olarak kişisel verilerin paylaşıldığı kişilerle çerçeve sözleşme imzalanır ya da sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar. Verinin paylaşıldığı üçüncü tarafın faaliyetine göre bayi sözleşmelerinde KVKK yaptırımları eklenir. Kişisel veri paylaşılan üçüncü taraflar kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümleri kabul eder. Alınan önlemlere rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği tespit edilmesi halinde veri sorumlusu irtibat kişisi tarafından ilgilisine ve KVK Kuruluna bildirir. Kişisel verinin nasıl başkaları tarafından elde edildiği araştırılır. MODERN ÇİKOLATA tespit ettiği zafiyeti gidermek için gerekli idari tedbirleri uygular, ihtiyaç halinde teknik tedbirleri alır.

4.1.3. Kişisel Verilerin Güvenli Ortamda Saklanması

MODERN ÇİKOLATA elde ettiği kişisel verilerini güvenli ortamlarda saklamak için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. Fiziksel veriler için; yetkili kişilerin erişebileceği arşivler oluşturulmuştur. Kurum içinde kritik verilerin tespiti için bilgi sınıflandırmaları yapılmıştır. Personel verileri sadece yetkili personellerin erişebileceği uygun ortamlarda muhafaza edilmektedir. Kişisel verilerin erişildiği uygulamalara sadece yetkili personel erişimleri mevcuttur.

4.1.4. Kişisel Verilerin Korunmasının Sürdürülebilirliği İçin Yapılan Denetimler

MODERN ÇİKOLATA, Kanunu’nun 12. maddesine uygun olarak, gerekli denetimleri yapar veya yaptırır. Bilgi Güvenliği Yönetim Sistemi’nin sürdürülebilirliğini sağlamak için iç ve dış denetimlerin yapılması sağlar. Sistemlerde oluşabilecek teknik açıklıklar için düzenli olarak sistemlere sızma testlerini gerçekleştirir. Bilgi işlem tarafından sistemler düzenli olarak izlenmektedir. Yönetim sistemleri denetimleri, uyarı sistemlerinin ürettiği veriler ve sistemlerin izlenmesi sonrası bulguların tespit edilmesi sonrası gerekli teknik ve idari tedbirler alınmaktadır. Yapılan denetimlerde kişisel verilerin hukuka aykırı erişilmesi ya da işlenmesi tespit edildiğinde Veri Sorumlusu‘na bilgi verilmektedir.

4.1.5. Kişisel Verilerin Yetkisiz İfşası Durumunda Alınan Tedbirler

MODERN ÇİKOLATA, Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin yetkisiz ifşa olması halinde ilgili kişisel veri sahibine ve KVK Kurulu’na bildirir.

KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilir.

4.1.6. Üçüncü Tarafların Kişisel Verilerin Korunmasını Sağlaması İçin Uygulanan Tedbirler

MODERN ÇİKOLATA, üçüncü taraflar ile yaptığı sözleşmelerde; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik gerekli yaptırım maddelerini karşılıklı olarak bulundurur. Üçüncü taraflar ile bilgi paylaşımı yapılmadan önce gizlilik sözleşmeleri imzalanır. Üçüncü taraflara farkındalığın artırılması için gerekli bilgilendirmeler yapılır.

4.1.7. Özel Nitelikli Kişisel Verilerin Koruması İçin Uygulanan Tedbirler

Özel nitelikli kişisel veriler için gerek nitelikleri itibari ile gerekse kişilerin mağduriyetine veya ayrımcılığa yol açabilmesinden dolayı yeterli önlemlerin alınması gerekmektedir. Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler “Özel Nitelikli” olarak belirlenmiştir.

Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

MODERN ÇİKOLATA, Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında gerekli tedbirleri almaktadır. Kişisel verileri korumak için alınan teknik ve idari tedbirlerde özel nitelikli kişisel veriler için hassasiyet gösterilmektedir.

MODERN ÇİKOLATA işlediği özel nitelikli kişisel verileri KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işlenmektedir. Özel nitelikli kişisel veriler işlenmeden önce veri sahibinin açık rızası alınır. Veri sahibinden açık rızası yok ise aşağıdaki kriterlere uygun olarak kanunların verdiği yetki ile işlenebilmektedir.

· Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,

· Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, aktarılabilmektedir.

4.1.8. Kişisel Verilerin Korunmasının Sağlanması İçin Farkındalığın Yaratılması

Kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bilgilendirmeler yapılmakta, eğitimler düzenlenmekte ve etkinlikleri ölçülmektedir. “Kişisel Verilerin Korunması ve İşlenmesi Politikası” ile ilgili diğer dokümanlar, kurumumuzun web sitesinde yayınlanmıştır. MODERN ÇİKOLATA çalışanları bu politikadan haberdar edilmiştir.

İlgili kanun, yönetmelik ya da mevzuatlarda değişiklik olması halinden politikalar revize edilmekte ve çalışanlara tekrardan duyurulmaktadır.

4.2. Kişisel Verilerin İşlenmesi İçin İlkeler :

Kanun’un 4. maddesi 2. bendinde kişisel verilerin işlenmesi için ilkeler belirlenmiştir. MODERN ÇİKOLATA belirlenen ilkelere uygun şekilde kişisel verileri işlemektedir.

Kişisel verilerin işlenmesi aşağıdaki ilkelere uygun yapılmaktadır;

· Hukuka ve dürüstlük kurallarına uygun olma,

· Belirli, açık ve meşru amaçlar için işlenme,

· İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

· İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

4.3. Kişisel Verinin İşlenmesi Şartları :

MODERN ÇİKOLATA, İlgili Kişiler ‘den aldığı verilerin çoğunluğunu yasal zorunluluklar nedeniyle alıp işlemektedir. Kişisel Verilen Korunması Kanunu ‘nun 5/2 maddesi gereği verinin işlenmesinin:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

e) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yukarıda belirtilen durumlara dışında MODERN ÇİKOLATA ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir.

4.4. Kişisel Verilerin İmhası :

MODERN ÇİKOLATA elde ettiği kişisel verilerini kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar nedeniyle veya kamu düzeninin korunması için kullanması zorunlu değilse imha eder. Veri sahiplerine ait kişisel veriler, vatandaşa hizmetin devam ettirebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması gereklilikleri ortadan kalktığında kurumun alacağı karara istinaden imha edilmektedir. Kişisel verilerin imhasına ilişkin kurallar ve yöntemimiz “Veri Saklama ve İmha Politikasında” detaylandırılmıştır.

4.5. Kişisel Verilerin Yurtiçindeki Kişilere Aktarılması :

MODERN ÇİKOLATA, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, Kanun’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, Kanun’da belirtilen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler; veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir.

Bu durumlar aşağıda belirtilmiştir:

· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

· Veri sahibinin kendisi tarafından alenileştirilmiş olması,

· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

· Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,

· Tedavi ve bakım hizmetlerinin yürütülmesi,

· Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.

Özel nitelikli kişisel verilerin aktarılmasında da, bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.

4.6. Kişisel Verilerin Yurtdışındaki Kişilere Aktarılması :

MODERN ÇİKOLATA bünyesindeki tüm kişisel verilerin yurtdışına aktarımı sadece ihracat sürecinde lojistik operasyonlarının yürütülmesi için ilgili firmalarda çalışan personellerin verileri aktarılmaktadır.

4.7. Kişisel Verilerin Kategorizasyonu :

MODERN ÇİKOLATA tarafından kişisel veriler; “Veri Konusu Kişi Grubu” ve “Veri Tipi” olmak üzere iki grup halinde kategorilere ayrılmıştır.

4.7.1. Veri Konusu Kişi Grubu Kategorileri

Çalışan/Eski Çalışan Kişisel Verileri, Müşteri/Tedarikçi Kişisel Verileri, ARGE, üretim, satış ve destek hizmetlerinin gerçekleştirilmesi amacıyla alınan kişisel verilerdir. Bu verilerin çoğu ilgili kanunların zorunlu kıldığı alınması gereken kişisel verilerdir. Zorunlu olmayan kişisel veriler için açık rızalar alınmaktadır.

4.7.2. Veri Tipi Kategorileri

Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Finans, Mesleki Deneyim, Pazarlama, Görsel Ve İşitsel Kayıtlar, Irk Ve Etnik Köken, Felsefi İnanç, Din, Mezhep Ve Diğer İnançlar, Kılık Kıyafet, Sağlık Bilgileri, Cinsel Hayat, Ceza Mahkumiyeti Ve Güvenlik Tedbirleri, Biyometrik Veri

4.7.3. Basılı Doküman lar

MODERN ÇİKOLATA‘nın tedarikçileri, müşterileri ve çalışanlarına verdiği hizmetler için bazı durumlarda basılı doküman ortamında kişisel veriler toplamaktadır. Bu tarz veriler KVK kanunda belirtilen şartlar doğrultusunda işlenmekte, saklanmakta ve imha edilmektedir.

4.7.4. Kamera Kaydı

MODERN ÇİKOLATA tarafından güvenliğin sağlanması amacıyla, Kurum binalarımızda ve tesislerimizde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Bu kapsamda MODERN ÇİKOLATA, Anayasa, KVK Kanunu ve ilgili diğer mevzuata uygun olarak hareket etmektedir.

Kurumumuzun bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla ziyaretçilerimizin görüntü kayıtları alınmaktadır.

Kurumumuz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, kurumun, personelin, müşterilerin ve diğer kişilerin güvenliğinin sağlaması amaçlanmaktadır.

Kurumumuz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir.

Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda kurum çalışanının erişimi bulunmaktadır. Erişim yetkisi bulunan personeller ile gizlilik ihtiva eden sözleşmeler imzalanmıştır.

Kurumumuz tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

4.7.5. Ziyaretçilerinin Kişisel Verileri

MODERN ÇİKOLATA‘ya gelen ziyaretçilerin güvenliğinin sağlanması amacıyla, gelen bütün ilgili kişilerden kişiyi belirleyici kişisel veri alınmadan sadece ad, soyad bilgisi alınmaktadır.

4.7.6. Biometrik Kişisel Veriler

Personellerden alınan parmak izi verileri, kurumda kritik alanlara giriş kontrolü için barındırılmaktadır. Parmak izi verileri KVK Kanununa uygun olarak işlenmekte, kapalı devre cihaz içerisinde saklanmakta ve veri paylaşımı yapılamaz.

4.8. Kişisel Veri Sahibinin Hakları ve Kurumumuza Başvuru Yöntemleri:

Tam metnine http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf adresinden ulaşabileceğiniz Kişisel verilerin korunması hakkında Kanun’dan kaynaklanan veri sahibi haklarınız ilgili Kanunun 11. Maddesinde sayılmış olup şunlardır:

Madde 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

· Kişisel verinizin işlenip işlenmediğini öğrenme,

· Kişisel verinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

· Yurt içinde veya yurt dışında kişisel verinizin aktarıldığı üçüncü kişileri bilme,

· Kişisel verinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

· Kişisel verinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin, kişisel verinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,

· İşlenen verinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

· Kişisel verinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme,

Kişisel verileriniz ile ilgili kurumumuza başvuru yöntemleri aşağıdaki gibidir;

Başvuru Yöntemi

Başvurunun Yapılacağı Adres

Başvuru Gönderiminde Belirtilecek Bilgi

Posta Yolu ile [PTT üzerinden iadeli taahhütlü olarak resmi adresimize başvurulacak]

Organize Sanayi Bölgesi, 6. Caddesi, 70000 Merkez/Karaman

Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.

Noter Vasıtasıyla Başvuru

Organize Sanayi Bölgesi, 6. Caddesi, 70000 Merkez/Karaman

Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.

Güvenli Elektronik İmza İle Başvuru [Güvenli elektronik imza ile imzalanarak Kayıtlı Elektronik Posta (KEP) yoluyla başvurması]

moderncikolata@hs01.kep.tr

E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.

Ayrıca, Kurul’un belirleyeceği diğer yöntemler duyurulduktan sonra bu yöntemler üzerinden de başvuruların ne şekilde alınacağı şirketimizce duyurulacaktır. Lütfen başvurunuza vereceğimiz yanıtın tarafınıza bildirilme yöntemini belirtiniz.

Tarafımıza iletilmiş olan başvurularınız KVK Kanunu’nun 13’üncü maddesinin 2’inci fıkrası gereğince, talebin niteliğine göre talebinizin bizlere ulaştığı tarihten itibaren otuz gün içinde yanıtlandırılacaktır. Yanıtlarımız ilgili KVK Kanunu’nun 13’üncü maddesi hükmü gereğince yazılı veya elektronik ortamdan tarafınıza ulaştırılacaktır.

4.9. Kurumumuzda Saklanan ve İşlenen Kişisel Veri Sahipler ve Kategorileri:

MODERN ÇİKOLATA olarak çalışan, tedarikçi, iş ortağı ve müşterilerin kişisel verileri barındırılmaktadır. Alınan kişisel verilerin kategorileri aşağıda belirtilmiştir;

Ad Soyad, TC Kimlik No, Adres, Fotoğraf, Doğum Yeri, Doğum Tarihi, Uyruk Bilgisi, Telefon Bilgisi, Nufüs Kayıt Bilgisi, Anne Adı, Baba Adı, Eş Bilgisi, Çocuk Bilgisi, Cinsiyet

Ad Soyad, TC Kimlik No, Kimlik Sıra No, Fotoğraf, Anne Adı Soyadı, Anne TC Kimlik No, Baba Adı Soyadı, Baba TC Kimlik No, Eş Adı Soyadı, Eş TC Kimlik No, Çocuk Adı Soyadı, Çocuk TC Kimlik No, Doğum Yeri, Doğum Tarihi, Nüfusa Kayıt Olduğu Yer, Cilt No, Dini Bilgi, Aile Sıra No, Kütük No, Kan Grubu, Engel Durumu, Sağlık Bilgisi, Eski Soyadı, Cinsiyeti, Bordro Bilgileri, Çalışan Personel Puantaj Kayıtları, Banka Bilgileri, Vergi Muafiyeti Yazısı, Adres Bilgisi, Mail Adresi, Telefon Bilgisi, Adli Sicil Kaydı, Öğrenim Bilgisi, AGİ Formu, Disiplin Kayıtları, Askerlik Bilgisi, SGK Sicil Numarası

Ad Soyadı, Çalıştığı Kurum, Mail Adresi, Telefon, Adres, İmza, TC Kimlik Numarası, Vergi Numarası, Banka Hesap Bilgileri, Araç Plakası, Eğitim Bilgileri, Pasaport Bilgileri.

Ad Soyadı, Çalıştığı Kurum, Mail Adresi, Telefon, Adres, İmza, TC Kimlik Numarası, Vergi Numarası, Banka Hesap Bilgileri, Araç Plakası, Eğitim Bilgileri, Pasaport Bilgileri.

4.10. Aydınlatma ve Bilgilendirme Yükümlülüğü :

Kanun’un 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:

· Veri sorumlusunun ve varsa temsilcisinin kimliği,

· Kişisel verilerin hangi amaçla işleneceği,

· İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

· Kişisel veri toplamanın yöntemi ve hukuki sebebi,

· Kanun’un 11. maddesinde sayılan diğer haklar.

Öte yandan, Kanun’un 28(1). maddesi çerçevesinde, aşağıda sayılan durumlarda aydınlatma yükümlülüğü bulunmamaktadır:

· Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

· Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

· Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

· Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

· Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Veri sahiplerini aydınlatma ve açık rızalarının alınması için MODERN ÇİKOLATA Aydınlatma Beyanı ve KVKK Açık Rıza Metni dokümanları oluşturulmuştur.

4.11. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Şartları :

MODERN ÇİKOLATA elde ettiği kişisel verileri kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar nedeniyle ve kamu düzeninin korunması için kullanması zorunlu değil ise siler, yok eder ya da anonimleştirir. Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesine ilişkin kurallar ve yöntemimiz “Veri Saklama ve İmha Politikasında” detaylandırılmıştır.

5. Referans Dokümanlar

· 6698 Sayılı Kişisel Verilerin Korunması Kanunu,

· Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

PERSONAL DATA PROTECTION POLICY OF MODERN ÇİKOLATA

1. Purpose and Scope:

This policy aims to describe the personal data processing activity and the methods adopted for the protection of personal data in accordance with the Law No. 6698 on the Protection of Personal Data (KVKK) in all activities carried out by MODERN ÇİKOLATA. The Personal Data Protection and Processing Policy includes the principles applied to the collection, use, sharing, storage and disposal of personal data by MODERN ÇİKOLATA.

This Policy covers all personal data that are processed in the processes of our institution by non-automated means such as customers, suppliers, corporate employees, trainees and employees who have been dismissed or who are dismissed from MODERN ÇİKOLATA and are part of any data recording system.

2. Authority and Responsibilities:

All employees, solution partners, business partners, external service providers, and other persons who store and process personal data in the institution, are responsible for fulfilling these requirements in fulfilling the requirements for disposal of data specified in Law, Regulation and Policy. Each business unit is responsible for preserving and protecting the data generated in its business processes.

It is the responsibility of the data responsible person to take the notice or correspondence with the KVK Board on behalf of the data manager or to register and accept the registration.

Within the institution;

• Data Specialist: MODERN ÇİKOLATA Food Industry. and Tic. Inc.

• Contact Person: Oğuzhan TAYYAR

has been determined.

3. Definitions and Abbreviations:

Open Consent; Consent on a specific subject, informed and free.

Related User; Except for the person or unit responsible for the technical storage, protection and back-up of the data, they are the persons who process the personal data in the data responsible organization or in accordance with the authority and instructions received from the data officer.

Destruction; Deletion, destruction or anonymization of personal data.

Law; KVKK Law No. 6698 on the Protection of Personal Data.

Recording Environment; Any environment where personal data is processed by non-automated means, whether fully or partially automated or as part of any data recording system.

Personal Data; Any information relating to an identifiable or identifiable natural person.

Processing of Personal Data; Obtaining or recording, storing, storing, altering, re-arranging, disclosing, transferring, taking over, making available, making, classification or use of personal data in whole or in part automatically or as part of any data logging system. Any transaction performed on data such as blocking.

Making Anonymous Personal Data; Personal data, even when paired with other data, cannot be associated with a specific or identifiable real person.

Deleting Personal Data; Deletion of personal data; making personal data inaccessible and unavailable to Users in any way.

Elimination of Personal Data; The process of making personal data inaccessible, non-retrievable and re-usable by anyone.

Assembly; Personal Data Protection Board.

Personalized Personal Data; Biometric and genetic data of individuals related to race, ethnic origin, political thought, philosophical belief, religious, sect or other beliefs, costume and attire, association, foundation or trade union membership, health, sexual life, criminal conviction and security measures.

Periodic Destruction; The process of deleting, destroying or anonymizing the personal data stored in the Law on the retention and destruction of personal data in the event of an abolition of all personal data.

Data Owner / Contact Person; Personal data processed personal data.

Data Processing; A natural or legal person handling personal data on his behalf on the basis of the authority conferred by the data officer.

Data Responsible; A natural or legal person who is responsible for setting up and managing the data recording system, determining the means and means of processing the personal data.

4. Personal Data Processing and Protection Policy:

MODERN ÇİKOLATA Personal Data sets out the measures required for the protection and processing of the data and the process applied in a concrete way. In the event that the relevant laws and regulations are incompatible with this policy or if the policy is not up to date in accordance with the updated legislation, MODERN ÇİKOLATA agrees to comply with the applicable legislation. According to the changes in the law, regulations and regulations, this policy is updated and revised to ensure that MODERN ÇİKOLATA fulfills the legal requirements

4.1. Securing Personal Data

MODERN ÇİKOLATA takes all necessary technical and administrative measures to ensure the appropriate level of security required for the protection of personal data.

Article 12 (1) of the ICCB

• To prevent unlawful processing of personal data,

• To prevent unlawful access to personal data,

• Maintaining personal data.

It takes necessary measures to ensure the conditions.

The measures implemented by MODERN ÇİKOLATA to ensure the security of personal data are detailed in the sub-clauses.

4.1.1. Technical Measures

Technical measures are taken according to the developments in technology. Infrastructure investments are made suitable for developing technology. Provides installation of software and hardware including virus protection systems and firewalls. Access to software that hosts personal data is restricted by limited authorization. Access controls are performed in certain periods. The transaction log records are kept in the ERP applications provided by the personnel. Used versions of the systems with the necessary safety measures against the current and known openings are used. Reports the information obtained as a result of controlling the security of the systems to the related parties. Risk points are determined and necessary technical measures are taken. In order to maintain the security of the Personal Data, it promotes awareness to be a part of the corporate culture with a continuous functioning technical model. Clearance and penetration tests are performed at certain periods to ensure the security of the corporate network. All equipment in MODERN ÇİKOLATA is protected by antivirus applications. In order to prevent unauthorized access, MODERN ÇİKOLATA offers alarm systems, finger reader, security personnel and camera systems and protection measures. UPS, fire fighting, heat / liquid alarm systems and critical equipment are protected against possible natural disasters. Expired data is destroyed by paper choppers. Institutions throughout the ISO 27001 Information Security Management System is applied and Turkey are audited by accredited institutions from Instution Accreditation.

4.1.2. Administrative Measures

MODERN ÇİKOLATA takes necessary administrative measures to ensure the security of personal data and performs its supervision. In accordance with the ISO 27001 Information Security Management System standard to ensure the proper protection, processing, deletion, destruction and anonymisation of Personal Data within the organization. MODERN ÇİKOLATA employs knowledgeable and experienced persons in order to ensure data security and provides necessary training to its personnel. Internal controls are performed for installed systems. Operates the processes of risk analysis, data classification, information security risk assessment and business impact analysis within the scope of established systems. Identify the authorities and rules of access to personal data of employees in information technology units. Employees are informed that they will not be able to disclose the personal data they have learned to someone else in contravention of the provisions of the Law, cannot use it other than the purpose of the transaction and will continue after the termination of this duty. Necessary commitments are taken from the employees accordingly. With the sharing of personal data with third parties, a framework agreement is signed with the persons to whom personal data is shared or ensures the security of the data with the provisions to be added to the contracts. According to the activity of the third party where the data is shared, KVKK sanctions are added to the dealer contracts. Personal data shared third parties accept the provisions regarding that they will take necessary security measures to protect personal data and ensure that they comply with these measures in their organizations. In the event that it is determined that the personal data processed by others are obtained by others in spite of the measures taken, the data responsible shall inform the related person and the KVK Board by the contact person. How personal data is obtained by others is investigated. MODERN ÇİKOLATA implements the necessary administrative measures to eliminate the weakness it has detected, and takes technical measures when needed.

4.1.3. Securing Personal Data in a Secure Environment

MODERN ÇİKOLATA takes necessary technical and administrative measures according to technological opportunities and application cost in order to store the personal data obtained in safe environments. For physical data; archives created by authorized persons have been created. In order to identify critical data within the organization, information classifications have been made. Personnel data is maintained only in suitable environments accessible to authorized personnel. Access to personal data is only available to authorized personnel.

4.1.4. Audits for the Sustainability of Protection of Personal Data

MODERN ÇİKOLATA shall carry out or make necessary inspections in accordance with Article 12 of the Law. Provides internal and external audits to ensure the sustainability of the Information Security Management System. It performs regular penetration tests for technical openings in the systems. Systems are regularly monitored by computing. Necessary technical and administrative measures are taken after the determination of the findings after the monitoring of the management systems, the data produced by the warning systems and the monitoring of the systems. In case of unlawful access to or processing of personal data, the Data Officer is informed.

4.1.5. Measures taken in case of unauthorized disclosure of personal data

MODERN ÇİKOLATA informs the related personal data holder and KVK Board if the personal data processed in accordance with Article 12 of the Law is unauthorized disclosure.

If deemed necessary by the KVK Board, this may be announced on the website of the KVK Board or by other means.

4.1.6. Measures Applied to Ensure the Protection of Personal Data by Third Parties

MODERN ÇİKOLATA, in his contracts with third parties; it prevents the unlawful processing of personal data, prevention of unlawful access to the data and the necessary sanctions for maintaining the data. Confidentiality agreements are signed with third parties before sharing information. Information is provided to third parties to increase awareness.

4.1.7. Measures for the Protection of Specially Qualified Personal Data

Sufficient measures should be taken for special personal data, either because of their qualifications or because they may lead to victimization or discrimination. In Article 6 of the Law, personal data that are at risk of causing discrimination or discrimination of persons when they are unlawfully committed are designated as olarak Special Qualities ’.

These data; data on race, ethnicity, political thought, philosophical belief, religion, sect or other beliefs, costume and attire, association, foundation or union membership, health, sexual life, criminal conviction and security measures and biometric and genetic data.

MODERN ÇİKOLATA takes the necessary measures to protect the personal data that are designated as korun special kişisel with the Law and that are treated in accordance with the law. The technical and administrative measures taken to protect personal data are sensitive to specific personal data.

The personalized personal data of MODERN ÇİKOLATA are processed with the condition that adequate measures will be taken by the KVK Board. The clear consent of the data holder is obtained before the special personal data is processed. If the data owner does not have clear consent, it can be processed with the authority given by the law in accordance with the following criteria.

• Personal personal data, other than the health and sexual life of the personal data holder, shall be

• The personal and personal data of the personal data owner and his / her sexual life are only for the purpose of planning and managing the health care financing, preventive medicine, medical diagnosis, treatment and care services, planning and management of health services, organizations.

4.1.8. Creating Awareness for the Protection of Personal Data

In order to prevent unlawful access to personal data, to prevent unlawful access to data and to increase awareness of data retention, the business units are informed, trainings are organized and their activities are measured. Other documents related to the sites Personal Data Protection and Processing Policy iler have been published on the website of our institution. MODERN ÇİKOLATA employees are informed about this policy.

Policies are revised and announced to employees in case of changes in relevant laws, regulations or regulations.

4.2. Principles for Processing Personal Data:

In Article 4 (2) of the Law, principles have been defined for the processing of personal data. MODERN ÇİKOLATA processes personal data in accordance with the determined principles.

The processing of personal data is carried out in accordance with the following principles;

• To comply with the rules of law and integrity,

• Being accurate and up-to-date,

• Processing for specific, clear and legitimate purposes,

• Connected, limited and measured,

• Not be maintained for the period stipulated in the relevant legislation or for the purpose for which they were processed.

4.3. Conditions for Processing Personal Data:

MODERN ÇİKOLATA takes the majority of the data received from the Related Persons due to legal obligations. According to Article 5/2 of the Personal Protection Act, the processing of the data:

a) Clearly prescribed in law.

(b) The person who is unable to disclose his consent due to impossibility or whose legal consent is not recognized shall be obligatory for the protection of himself or someone else's life or body integrity.

c) It is necessary to process the personal data of the parties to the contract, provided that it is directly related to the establishment or execution of a contract.

d) The data officer is obliged to fulfill his legal obligation.

e) It is publicized by the person concerned.

f) Data processing is mandatory for the establishment, use or protection of a right.

g) Data is compulsory for the legitimate interests of the data responsible, provided that it does not harm the fundamental rights and freedoms of the person concerned.

Apart from the above mentioned circumstances, MODERN ÇİKOLATA only processes personal data by providing clear consent of the data owners.

4.4. Disposal of Personal Data:

MODERN ÇİKOLATA will dispose of its personal data if it is not compulsory for personal data owners to use it for legal reasons or for the protection of public order. The personal data of the data owners are destroyed according to the decision of the institution when the requirements for the continuation of the service for the citizen, the fulfillment of the legal obligations, and the planning of employee rights and benefits are eliminated. The rules and method for the destruction of personal data are detailed in the “Data Retention and Disposal Policy Kişisel.

4.5. Transfer of Personal Data to Domestic Persons:

MODERN ÇİKOLATA is strictly abiding by the provisions of the Law with regard to the sharing of personal data with third parties without prejudice to the provisions of other laws. In this context, personal data is not transferred to third parties without the express consent of the data holder. However, in the presence of one of the following conditions specified in the Law, personal data; it can also be transferred without the explicit consent of the data holder.

These situations are as follows:

• Clearly prescribed by law,

• the person who is unable to explain his consent due to impossibility or whose legal consent is not recognized, is compulsory for the protection of himself or someone else's life or body integrity.

• It is necessary to process the personal data of the parties to the contract, provided that it is directly related to the establishment or execution of a contract,

• Compliance with the legal liability of the data responsible,

• It is publicized by the data owner itself,

• Data processing is mandatory for the establishment, use or protection of a right,

• It is compulsory to process data for the legitimate interests of the data responsible, without prejudice to the fundamental rights and freedoms of the data holder.

Provided that adequate measures are taken; in terms of the provision of specific personal data other than health and sexual life in the laws, and in terms of personal data relating to health and sexual life,

• Protection of public health,

• preventive medicine,

• Medical diagnosis,

• Carrying out treatment and care services,

• Your personal data can be transferred without explicit consent for purposes such as planning and management of health services and financing.

In the transfer of special personal data, the conditions specified in the processing conditions of these data are complied with.

4.6. Transferring Personal Data to People Abroad:

The transfer of all personal data within the MODERN ÇİKOLATA abroad is only transferred to the data of the personnel working in the relevant companies in order to carry out the logistics operations in the export process.

4.7. Categorization of Personal Data:

Personal data by MODERN ÇİKOLATA; It is divided into two groups as tır Data Subject Person Group grup and ”Data Type“.

4.7.1. Data Subject Contact Group Categories

Employee / Old Employee Personal Data is the personal data received for the purpose of performing Customer / Supplier Personal Data, R & D, production, sales and support services. Most of these data are personal data that are required by the relevant laws. Clear consent is obtained for non-mandatory personal data.

4.7.2. Data Type Categories

Identity, Communication, Location, Personnel, Legal Transaction, Customer Transaction, Physical Space Security, Transaction Security, Finance, Professional Experience, Marketing, Visual and Audio Records, Race and Ethnicity, Philosophical Belief, Religion, Sect and Other Beliefs, Disguise , Health Information, Sexual Life, Criminal Sentence And Security Measures, Biometric Data

4.7.3. Printed Documents

The suppliers, customers and employees of MODERN ÇİKOLATA collects personal data in a printed document environment in some cases for their services. Such data are processed, stored and destroyed in accordance with the conditions specified in the Law.

4.7.4. Camera record

In order to provide security by MODERN ÇİKOLATA, personal data processing activities are carried out for monitoring the guest entry and exit activities with security cameras in our Institution buildings and facilities.

Within this scope, MODERN ÇİKOLATA acts in accordance with the Constitution, KVK Law and other relevant legislation.

The records of our visitors are taken from the premises of our institution through the camera and the camera monitoring system.

In the scope of monitoring activities with our security camera; to improve the quality of the service offered, to ensure the reliability of the institution, staff, customers and other people is intended to provide security.

In order to conduct surveillance activities with the camera for security purposes, we comply with the regulations of KVK Law.

Only a limited number of institution employees have access to records stored and stored in digital media. Contracts with confidentiality are signed with the personnel who have access authorization.

In accordance with Article 12 of the KVK Law, necessary technical and administrative measures are taken to ensure the security of the personal data obtained by the monitoring activity.

4.7.5. Personal Data of Visitors

In order to ensure the safety of the visitors to the MODERN ÇİKOLATA, only the first and last name information is received without any personal data from the person concerned.

4.7.6. Biometric Personal Data

Fingerprint data from staff is hosted for access control of critical areas in the organization. Fingerprint data are processed in accordance with the KVK Law, closed circuit is stored in the device and data sharing cannot be made.

4.8. Rights of the Personal Data Holder and Application Methods to Our Institution:

You can reach the full text of http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf.

Article 11- (1) Everyone is contacted by the data officer;

• Learn whether your personal data has been processed,

• Request personal information if your personal data has been processed,

• To learn the purpose of processing your personal data and whether they are used in accordance with their purpose,

• Knowing third parties in which your personal data is transmitted domestically or abroad;

• Requesting correction of your personal data if it is incomplete or incorrectly processed,

• Request the deletion or destruction of your personal data,

• Request that these transactions be notified to third parties where your personal data is transferred if your personal data is corrected, deleted or destroyed;

• Objection to the emergence of a result against you by analyzing your processed data exclusively through automated systems,

• Requesting that the loss be incurred if you incur losses due to unlawful processing of your personal data,

Application methods for your personal data are as follows;

Application Method

Address Of Application

Information to be Submitted for Application Submission

Post to the official address will be sent via PTT via Post Office

Organize Sanayi Bölgesi, 6. Caddesi, 70000 Merkez/Karaman

In Information Request under the Law of Protection of Personal Data “will be written on the envelope.

Application Notarized by Notary

Organize Sanayi Bölgesi, 6. Caddesi, 70000 Merkez/Karaman

The notification envelope ına Information Request under the Law on the Protection of Personal Data ına will be written.

Secure Electronic Signature Application [Signed by a Secure Electronic Signature] Application via Registered Electronic Mail (KEP)

moderncikolata@hs01.kep.tr

The subject of e-mail will be written in the “Information Request for Personal Data Protection Law E.

In addition, after the announcement of other methods determined by the Board, it will be announced by our company how the applications will be received through these methods. Please indicate the method of notification of your response to your application.

Your applications submitted to us will be replied within thirty days from the date on which your request is received by us in accordance with the second paragraph of Article 13 of the Law on KVK. Our responses will be sent to you in writing or electronically in accordance with the provisions of Article 13 of the Law on the Law.

4.9. Personal Data Owners and Categories Stored and Processed in Our Institution:

MODERN ÇİKOLATA working as the supplier, business partner and customers are hosted personal data. The categories of personal data received are as follows;

• Candidate Employee Data;

Name Surname, ID Number, Address, Photo, Place of Birth, Date of Birth, Nationality, Telephone Information, Population Registration Information, Mother Name, Father Name, Spouse, Child Information, Gender

• Employee / Old Employee Personal Data:

Name Surname, Identity Number, Identity Number Name, Photograph, Mother's Name Surname, Maternal Identity Number, Father Name Surname, Father TC Identity Number, First Name Surname, Spouse TR Identity Number, Child Name Surname, Child Identity Number, Birth Location, Date of Birth, Population Registration Location, Volume No, Religious Information, Family Order Number, Bill Number, Blood Group, Obstacle Status, Health Information, Old Surname, Gender, Payroll Information, Employee Staff Payroll Records, Bank Information, Tax Exemption Letter, Address Information, Mail Address, Telephone Information, Forensic Register, Learning Information, AGİ Form, Discipline Records, Military Information, SGK Registration Number

• Customer / Supplier Personal Data:

Name Surname, Institution, Mail Address, Telephone, Address, Signature, TC Identification Number, Tax Number, Bank Account Information, Car Sticker, Training Information, Passport Information.

• Partner Personal Data:

Name Surname, Institution, Mail Address, Telephone, Address, Signature, TC Identification Number, Tax Number, Bank Account Information, Car Sticker, Training Information, Passport Information.

4:10. Disclosure and Information Obligation:

Under Article 10 of the Act, data owners need to be clarified prior to the acquisition of personal data or at the latest. The information required to be communicated to the data owners within the framework of the said disclosure obligation are as follows:

• the identity of the data responsible and its representative,

• The purpose for which personal data will be processed,

• To whom and for which purpose personal data can be transferred,

• The method and legal reason for collecting personal data,

• Other rights referred to in Article 11 of the Law.

On the other hand, Law 28 (1). There is no obligation of illumination in the following cases:

• the processing of personal data within the scope of activities related to the family members living in the same residence or fully by the natural persons, provided that they are not given to third parties and the obligations related to data security are complied with,

• Processing of personal data for purposes such as research, planning and statistics by making them anonymous with official statistics,

• the processing of personal data within the scope of art, history, literature or scientific purposes or freedom of expression, provided that it does not violate national defense, national security, public security, public order, economic security, privacy of private life or personal rights or constitute a crime.

• Processing of personal data within the scope of preventive, protective and intelligence activities carried out by public institutions and organizations that have been given duties and authority by law in order to provide national defense, national security, public security, public order or economic security.

• Processing of personal data by judicial authorities or enforcement authorities for investigations, prosecutions, proceedings or executions.

MODERN ÇİKOLATA Disclosure Declaration and KVKK Open Consent Document documents were created for the data owners to get their disclosure and clear consent.

4:11. Conditions for Deletion, Destruction and Anonymization of Personal Data:

MODERN ÇİKOLATA deletes, destroys or anonymizes the personal data it has obtained, in accordance with the request of its personal data holders, because of legal obligations and if it is not obligatory to use it for the protection of public order. The rules and method for deleting, destroying and anonymizing personal data are detailed in the leştiril Data Retention and Disposal Policy Kişisel.

5. Reference Documents

• Law No. 6698 on the Protection of Personal Data,

• Regulation on the Deletion, Destruction or Anonymization of Personal Data.