1. AMAÇ VE KAPSAM Kişisel Verileri Koruma Kurulu ’nun 07.03.2018 tarihli Resmi Gazetede yayımlanan 31.01.2018 tarihli kararı uyarınca Karacakaya Gıda San. ve Ltd. Şti. (“Veri Sorumlusu Şirket”) , Sicile kayıt yükümlülüğü olan bir veri sorumlusu olarak, bünyesinde bulunan özel nitelikli kişisel verileri; kişisel verileri işleme envanterine uygun bir şekilde saklamakla, bu verilerin güvenliğine yönelik kuralları tanımlamakla ve yönetimini sağlayacağı bütün faaliyetleri kapsayarak, bunu sürdürmek adına uygulanacak bir politika hazırlayarak bu politikaya uygun hareket etmekle yükümlüdür. İşbu politika ile Veri Sorumlusu şirketlerimiz bünyesinde işlenen özel nitelikli kişisel verilerin işlenmesi, saklanması, aktarılması ve güvenliğinin sağlanması hakkında usul ve esasların belirlenmesi amacıyla hazırlanmış olup yürürlük tarihinden itibaren belirli periyodlarla güncellenecektir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu ’nun 6 ncı maddesince kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. 2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ Özel nitelikli kişisel veriler, Veri Sorumlusu Şirket tarafından Kanuna uygun bir şekilde, Kurulca belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlenmektedir: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerin, ilgili kişinin açık rızası ile veya kanunlarda öngörülen haller dahilinde açık rıza aranmaksızın işlenmesi mümkündür. Veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ilgili kişinin açık rızası ile, ilgili kişinin rızası yoksa ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Şirketlerimiz bünyesinde; ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, kılık ve kıyafet bilgisi, sağlık verisi gibi özel nitelikli kişisel veriler aşağıda sayılan, kanunlarca öngörülen işleme amaçları kapsamında ve ilgili kişiden açık rıza alınması suretiyle işlenmektedir. 3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI Özel nitelikli kişisel veriler; Kanunlarda açıkça öngörülmesinin yanında ilgili kişinin hayatı ve beden bütünlüğünün korunması için zorunlu olan hallerde; sözleşmenin kurulabilmesi ve işe yeterliliğin işveren tarafından belirlenebilmesi adına sözleşmenin ifa edilebilirliğinin ölçülebilmesi için, veri sahibinin fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olması, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi ve çalışan adaylarının başvuru süreçlerinin yürütülmesi kapsamında işlenebilmekte olup; Sağlık verileri acil durum yönetimi süreçleri gibi iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi amaçlarıyla birlikte 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve sair kanunlar gereğince iş yeri hekiminden veya verisi işlenen ilgili kişiden yazılı şekilde toplanmaktadır. Söz konusu kişisel veri hukuki ilişkinin bitiminden itibaren 15 yıl süreyle, Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler işe alım süreçlerinde ilgili kişiden fiziki, yazılı veya elektronik ortamlar aracılığı ile toplanmakta ve kurulan hukuki ilişkinin bitiminden itibaren 10 yıl süre ile, Kılık ve kıyafet verileri (beden ölçüsü ör: small, medium, ayakkabı numarası vs.) iş faaliyetleri süresince giysi yardımı faaliyetlerinin yürütülmesi veya iş ekipmanı sağlanabilmesi amacıyla ilgili kişiden yazılı, sözlü veya elektronik ortamlar aracılığı ile toplanmakta ve iş sözleşmesi süresince saklanmaktadır. 4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca Veri Sorumlusu Şirket tarafından aşağıda sayılan önlemler alınmaktadır; -Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. -Gizlilik taahhütnameleri yapılmaktadır. -İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. -Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. -Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. -Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. -Saldırı tespit ve önleme sistemleri kullanılmaktadır. -Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. -Gerektiğinde veri maskeleme önlemi uygulanmaktadır. -Güncel anti-virüs sistemleri kullanılmaktadır. -Güvenlik duvarları kullanılmaktadır. -Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. -Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. -Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. -Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. -Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. -Erişim logları düzenli olarak tutulmaktadır. -Kişisel veriler mümkün olduğunca azaltılmaktadır. -Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. -Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. -Kişisel veri içeren ortamların güvenliği sağlanmaktadır. -Mevcut risk ve tehditler belirlenmiştir. -Kişisel veri güvenliğinin takibi yapılmaktadır. -Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini aşağıdaki şartların varlığı halinde üçüncü kişilere aktarabilmektedir: • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ilgili kişinin açık rızasıyla veya kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır. • Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ilgili kişinin açık rızasının varlığı halinde yetkili kamu kurum ve kuruluşlarına ve diğer topluluk şirketlerimize aktarılabilecektir. • Kılık ve kıyafet bilgisi söz konusu iş ekipmanlarını tedarik eden iş ortaklarıyla ile ilgili kişinin açık rızası alınarak paylaşılabilecektir. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır. 5. ALICI GRUPLARI İlgili kişinin açık rızasının varlığı halinde yukarıda sayılan ve şirket bünyesi altında işlenen özel nitelikli kişisel verileri, yetkili kamu kurum ve kuruluşları, hissedarlar ve iş ortakları ile işbu sayılan amaçlar ve hukuki sebepler ile gerekli hallerde gerçek kişi ve özel hukuk tüzel kişilerle paylaşabilecektir. İşbu politika …./…../….. tarihi itibari ile yürürlüğe girmiş olup, yukarıda belirlenen usul ve esaslar çerçevesinde yıllık periyodlarla güncellenmektedir.