Electrolux veri ve veri imha politikası

ELECTROLUX DAYANIKLI TÜKETİM MAMÜLLERİ SAN.VE TİC. A.Ş.

VERİ POLİTİKASI

1. AMAÇ

Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi kişisel verilerin işlenmesine ilişkin politikası Electrolux Dayanıklı Tüketim Mamülleri San.ve Tic. A.Ş.’nin (“Electrolux” veya “Şirket”) en önemli öncelikleri arasındadır. Bu nedenle kişisel verilerin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü ve etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz.

Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde, ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini almakta ve aldığımız tedbirleri güncel tutmaktayız. İşbu Veri Politikası (“Politika”), faaliyetlerimiz sırasında toplanan kişisel verilerin KVKK’da anılan ilkeler çerçevesinde işlenmesine (örneğin saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine) dair izlediğimiz yöntemleri açıklamaktadır.

(1) Kişisel Verilerin Saklama ve İmha Politikası, yürürlükteki 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanuna dayalı olarak çıkartılacak yönetmelik, tebliğ ve ilke/kurul kararları gibi ikincil düzenlemeler çerçevesinde Şirketimiz tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

(2) Şirketimiz, hukuki ve sosyal sorumluluğunun bir parçası olarak, çalışan, hissedar/ortaklar, potansiyel ürün veya hizmet alıcısı, tedarikçi çalışanı, tedarikçi temsilcisi, ürün veya hizmet alıcısı (müşteriler) ve veli/vasi/temsilci veri sahibi kategorilerine ait kişisel verileri T.C. Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuatlara uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını bir öncelik olarak belirlemiştir.

(3) Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler Şirket tarafından bu doğrultuda hazırlanmış olan iş bu politikaya uygun olarak gerçekleştirilir.

2. KAPSAM

(1) Şirketimiz müşterileri (ürün ve hizmet alıcısı), potansiyel müşterileri (potansiyel ürün ve hizmet alıcısı), çalışanları, çalışan adayları, hissedar/ortak, tedarikçi çalışanları, tedarikçi temsilcileri ve veli/vasi/temsilcilere ait verilere bu politika uygulanır.

(2) Şirketimiz tarafından yukarıda sayılan veri sahibi sınıfları itibariyle kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar, din bilgisi, sağlık bilgileri, ceza mahkumiyet ve güvenlik tedbirleri, biyometrik veri kategorilerindeki kişisel veriler işlenmektedir.

(3) Çalışanların, 6698 sayılı Kanun ve ikincil düzenlemeler kapsamında veri kayıt sistemi niteliği taşımayan, Şirketimiz tarafından tahsis edilmeyen kişisel kullanımına ait telefon, bilgisayar veya diğer her türlü elektronik cihazlar nezdinde işlenen kendilerine ya da Şirketimiz müşterisi olsa dahi üçüncü kişilere ait kişisel veriler bu Politika kapsamında değildir.

(4) Çalışanlar, bu Politika kapsamında yer alan kişisel verileri kendi kişisel kullanımlarına ait elektronik veya elektronik olmasa dahi bir veri kayıt sistemi özelliği taşıyan ortamlarda saklayamaz, herhangi bir şekilde işleyemez. Bu hükme aykırı davranışlar nedeniyle Şirketimizin karşı karşıya kalacağı her türlü zarar, ziyan veya idari yaptırıma ilişkin olarak Şirket ilgili personele rücu hakkını saklı tutar.

Politikamız, Şirket bünyesindeki kişisel verilerle alakalı bütün işleme faaliyetleri için uygulanmakta olup, KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası standartlar gözetilerek ele alınmış ve hazırlanmıştır.

3. TANIMLAR VE KISALTMALAR

TANIMLAR

• Şirket: Electrolux Dayanıklı Tüketim Mamülleri San.ve Tic. A.Ş.

• Üst Yönetim: Yönetim Kurulu ve Genel Müdür,

• Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu,

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi,

• Kişisel Veri Sahibi: Kanunda ‘ilgili kişi’ olarak belirtilen kişisel verisi işlenen gerçek kişiyi,

• Kişisel Verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması yada kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

• Veri Sorumlusu: Kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak için güvenlik önlemlerini almakla yükümlü tutulan tüzel kişiyi,

• İrtibat Kişisi: Kişisel Verileri Koruma Kurumu ile yapılacak iletişim için irtibata geçilmek üzere atanan ve veri envanterinin VERBİS’e girişi ve güncellenmesiyle sorumlu olan gerçek kişiyi,

• Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının sicile başvuru ve sicille ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu tarafından oluşturulan ve yönetilen bilişim sistemini,

• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

• Kişisel verilerin silinmesi/silme; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

• Kişisel verilerin yok edilmesi: kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

• Anonim Hale Getirme: Kişisel Verilerin başka veriler ile eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

• Kişisel Veri İşleme Envanteri: Şirketin iş süreçlerine bağlı olarak kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlenme amaçları, işlemenin hukuki dayanağı, işlendikleri amaçlar için gerekli olan azami süreyi ve veri güvenliğine ilişkin alınan tedbirleri açıkladığı gerekmesi halindeki mevzuat kapsamındaki envanteri,

• İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

• Periyodik İmha: Kişisel verilerin işlenme şartlarının ortadan kalkması durumunda politikada belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

• Kurul: Kişisel Veri Koruma Kurulu

• Kurum: Kişisel Verileri Koruma Kurumu

• Veri Kategorileri: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını,

• Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Formu”.

• Çalışan Adayı: Kuruma herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Kurumun incelemesine açmış olan gerçek kişiler.

• İş birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi ve hangi ad ve nam altında olursa olsun bu örneklerle sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.

• İş Ortağı: Kurumun ticari faaliyetlerini yürütürken bizzat veya ileride olası topluluk şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak/vermek gibi amaçlarla iş ortaklığı kurduğu taraflar.

• Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

• Müşteri: Şirketimiz tarafından hizmetlerin sunulduğu, pazarlama faaliyetlerinde kullanılabilmesi, hizmet teklifi, modelleme, raporlama, skorlama, risk izleme, istihbarat, mevcut veya yeni rapor çalışmaları ve potansiyel müşteri tespiti gibi amaçlar için Şirketi faaliyet konusu kapsamında kalan tüm hizmetler ile ilgili olarak iletişime geçilen tüm kişileri,

• Şirket Hissedarı: Şirketimizin hissedarı gerçek kişiler

• Şirket Yetkilisi: Şirketimiz yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.

• Tedarikçi/Teknik Servis/Bayi: Şirketimizin ticari faaliyetlerini yürütürken Şirketimiz emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirketimize, müşterilerimize hizmet sunan taraflar.

• Üçüncü Kişi: Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri Politika kapsamında işlenen gerçek kişiler (Örn. eski çalışanlar).

• Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. Örneğin, Şirketimiz verilerini tutan/depolayan bulut bilişim firması, dış kaynak destek hizmeti veren 3.kişiler vb.

• Ziyaretçi: Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Şirketimiz internet sitelerini, mobil ve dijital uygulamalarını ziyaret eden gerçek kişiler.

KISALTMALAR

• KVK Kanunu: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu

• KVK Kurulu: Kişisel Verileri Koruma Kurulu

• KVK Kurumu: Kişisel Verileri Koruma Kurumu

• Politika: Şirket Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikasını

• Türk Ceza Kanunu (“TCK”): 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu

4. ROL VE SORUMLULAR

Şirket bünyesinde, Kanun’a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla bir Kişisel Verilerin Korunması Sorumlusu (“Sorumlu”) atanmıştır. Bu Sorumlu’nun başlıca görevleri;

• Şirket bünyesinde Veri ile ilgili politika ve prosedürleri hazırlamak, gerekmesi halinde revize etmek ve yürürlüğe konulması için gerekli aksiyonları almak,

• Politika ve prosedürlerin uygulanması için bünyede gerekli görev dağılımını yapmak ve ilgili aksiyonların alındığının takibinin gerçekleştirmek,

• Kanun’un 12. maddesi uyarınca yapılacak denetimlerin takibini yapmak,

• Kanun’un uygulaması ile ilgili Şirket bünyesinde farkındalığı arttırmak için alınacak aksiyonları belirlemek, aksiyonlara ilişkin gerekli görev dağılımını yapmak,

• Kanun ve/veya politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek soru ve sorunların çözümü için gerekli aksiyonların alınmasını sağlamak,

• Gereken hallerde veri sahibi başvurularının çözümü için gerekli aksiyonları almak,

• Kişisel Verileri Koruma Kurumu ile olan ilişkileri yürütmektir.

5. HUKUKİ YÜKÜMLÜLÜKLER

Veri sorumlusu olarak Veri kapsamındaki hukuki yükümlülüklerimiz aşağıda sıralanmaktadır:

a. Aydınlatma Yükümlülüğümüz

Veri sorumlusu olarak kişisel verileri toplarken;

● Kişisel verilerin hangi amaçla işleneceği,

● Ticari unvanımıza ilişkin bilgiler,

● İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

● Verileri toplama yöntemimiz ve hukuki sebebi, ve

● KVKK’dan doğan hakları

hususlarında İlgili Kişi’yi aydınlatma yükümlülüğümüz bulunmaktadır.

Şirket olarak, kamuoyuna açık olan işbu Politika’nın anlaşılır ve kolay erişilebilir olmasına özen göstermekteyiz. Aydınlatma yükümlülüğümüzü, internet sitemiz üzerinden veya fiziki yerleşkelerimizde yer alan panolar veya ilgili kişi gruplarına ait bilgilendirme metinleri aracılığıyla yerine getirmekteyiz.

b. Veri güvenliğini sağlama yükümlülüğümüz

Veri sorumlusu olarak işlediğimiz kişisel verilerin güvenliğini sağlamak için mevzuatta öngörülen idari ve teknik tedbirleri almaktayız. Veri güvenliğine ilişkin yükümlülükler ve alınan tedbirler işbu Politika’da detaylı şekilde açıklanmıştır.

6. KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI, AKTARILMASI VE GÜVENLİĞİ

KAYIT ORTAMLARI

(1) Kişisel veriler Şirket nezdinde elektronik ortamlar ve elektronik olmayan ortamlarda olmak üzere 2 (iki) temel şekilde saklanmaktadır. Bunlar elektronik ortamlar ve elektronik olmayan ortamlardır.

(2) Elektronik ortamlar

a. Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım, vb.)

Yazılımlar (ofis yazılımları, müşteri takip yazılımları, portal)

b. Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti – virüs vb.)

c. Kişisel bilgisayarlar (masaüstü, dizüstü)

d. Mobil cihazlar (telefon, tablet vb.)

e. Optik diskler (CD, DVD vb.)

f. Çıkartılabilir bellekler (USB, hafıza kartı vb.)

g. Yazıcı, tarayıcı, fotokopi makinesi

(3) Elektronik olmayan ortamlar

a. Kağıt

b. Manuel veri kayıt sistemleri (anket formları)

c. Yazılı, basılı, görsel ortamlar

7. KİŞİSEL VERİLERİNİZİN İŞLENMESİ VE İMHASI

Şirket çalışan, hissedar/ortaklar, potansiyel ürün veya hizmet alıcısı, tedarikçi çalışanı, tedarikçi temsilcisi, ürün veya hizmet alıcısı (müşteriler) ve veli/vasi/temsilci veri sahibi kategorilerine ait kişisel verileri kanuna uygun olarak saklanır ve imha edilir.

İşleme faaliyetleri

(1) Kişiler veriler Şirket tarafından hukuka uygunluk, dürüstlük, amaç ile sınırlı olma ve ölçülülük kriterleri çerçevesinde, Kanunda öngörülen hukuki dayanaklar kapsamında işlenir.

(2) İşlenen kişisel veriler, işleme amaçları ile bağlantılı, sınırlı ve işleme ile amaçlanan sonucun elde edilmesi ile ölçülüdür.

(3) İşleme, ilgili kişisel verinin işlenmesi için tabi olunan mevzuatta bir süre belirlenmiş ise bu süre; eğer mevzuatta bu yönde bir belirleme yapılmamış ise bu durumda işleme amacı için geçerli süre kadar devam edecektir.

(4) Bu kapsamda kişiler veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,

• 4857 sayılı İş Kanunu,

• 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,

• 6098 sayılı Türk Borçlar Kanunu,

• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

• 6502 sayılı Tüketicinin Korunması Hakkında Kanun,

• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

• 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun,

• 4982 Sayılı Bilgi Edinme Kanunu,

• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,

• 213 sayılı Vergi Usul Kanunu,

• 5520 sayılı Kurumlar vergisi Kanunu

ile bu kanunlara dayalı olarak çıkartılan yönetmelik, tebliğ, ilke kararı ya da adı her ne olursa olsun yükümlü olduğu mevzuat başta olmak üzere ŞİRKET tarafından faaliyetlerinin devamı süresince uymak zorunda olduğu her türlü yasal düzenleme kapsamında saklanması gereken zorunlu süre ile sınırlı olarak saklanacak/işlenecektir.

Kişisel Verileri İşleme İlkeleri

Kişisel verileri aşağıda yer alan ilkeler uyarınca işlemekteyiz.

• Hukuka ve dürüstlük kurallarına uygun işleme

Kişisel verileri dürüstlük kurallarına uygun, şeffaf yöntemlerle ve aydınlatma yükümlülüğümüzü yerine getirerek işlemekteyiz. Aydınlatma yükümlülüğünü yerine getirirken mümkünse verinin sizden elde edilmesi anında kısaca işleme amacını açıklıyor ve işlem ile ilgili ayrıntılı olmayan bilgilere ilgili kişinin erişiminizi sağlıyoruz.

• Kişisel verilerin doğruluğunu ve gerektiğinde güncel olmasını sağlama

İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerimizde gerekli idari ve teknik tedbirleri almaktayız. Ancak verilerin önemli bir kısmı İlgili Kişilerin beyanı esas alınarak işlendiği için bu beyanları en doğru şekilde yansıtmakta ve İlgili Kişilere verilerini güncellemesi ve var ise hataları düzeltmesi için başvuruda bulunma olanağı sunmaktayız.

• Belirli, açık ve meşru amaçlarla işleme

Şirket olarak, kişisel verileri kapsamı ve içeriği açıkça belirlenmiş, faaliyetlerimizi mevzuata uygun olarak ve hayatın olağan akışının gerektirdiği çerçevede sürdürmek için belirlenen meşru amaçlarımız dahilinde işlemekteyiz.

• Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması

Kişisel verileri belirlediğimiz amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlemekteyiz.

İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktayız. Bu nedenle, yasal gereklilik olmadığı sürece özel nitelikte kişisel verileri işlememekte veya işlememiz gerektiğinde konuya ilişkin açık rıza almaktayız.

• Kişisel verilerin kanuni düzenlemelerde öngörülen veya meşru menfaatlerimizin gerektirdiği süreler boyunca saklanması

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklamaktayız.

Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda kişisel verileri silmekte, yok etmekte veya anonim hale getirmekteyiz.

İşleme Amaçları

Şirket, yatırım hizmet ve faaliyetleri ile ilgili mevzuatlar kapsamında sunulacak her türlü ürün ve hizmetlerde kullanılmak, gerçekleştirilecek her türlü iş ve işlemin sahibini ve muhatabını belirlemek üzere bilgilerini tespit için kimlik, adres, vergi numarası ve diğer bilgilerini kaydetmek, kâğıt üzerinde veya elektronik ortamda gerçekleştirilecek iş ve işlemlere dayanak olacak bilgi ve belgeleri düzenlemek, ilgili mevzuat uyarınca adli ve idari tüm yetkili mercilerce öngörülen bilgi saklama, raporlama ve bilgilendirme yükümlülüklerine uymak, ilerde doğabilecek hukuki uyuşmazlıklarda delil ve ispat yükümlülüğü amacıyla kişisel verileri işlemektedir.

İşlemenin Hukuki Dayanağı

(1) İşleme faaliyetinin hukuki dayanağı temelde ilgili veri sahibinin söz konusu işleme eylemine göstermiş olduğu rızadır. Bu rızanın ilgili veri sahibinin, işleme faaliyetine ve sonuçlarına ilişkin her türlü bilgi ile ve iradesini fesada uğratabilecek her türlü etkiden uzak, özgür iradesi ile verilmesi gerekir.

(2) Ancak aşağıda sayılan durumların varlığı halinde ilgili veri, veri sahibinin rızasına ihtiyaç olmaksızın da işlenebilir.

a. Kanunlarda açıkça öngörülmesi

b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

d. Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

e. İlgili kişinin kendisi tarafından alenileştirilmiş olması

f. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

g. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Kişisel verileriniz Şirketimiz tarafından Kanun’da belirtilen temel ilkelere uygun olarak kişisel veri işleme şartları çerçevesinde aşağıda belirtilen amaçlarla işlenebilecektir:

1) Şirketimiz tarafından e-ticaret sitemiz, mağaza veya bayilerimiz aracılığı ile ürün ve hizmetlerimize yönelik alışverişlerinizde kişisel verilerinizin işlenmesi

Kişisel Veri

İşlenme Amacı

Hukuki Sebebi

• Kimlik Bilgileriniz (isim, soy isim bilgisi, TCKN Bilgisi)

• İletişim Bilgisi (e-posta, telefon numarası, adres bilgisi)

• Finansal Bilgi (kredi kartı veya banka kartı bilgileri)

• Müşteri İşlem Bilgisi (satın alınan ürün bilgisi, sipariş tamamlanma bilgisi, iade/değişik bilgisi, önceki siparişler bilgisi, fatura ve ödeme bilgileri, kurulum bilgisi, garanti bilgisi, yetkili servis hizmeti bilgisi, alışveriş yapılan bayi bilgisi)

• Şirketimiz tarafından sunulan ürün ve hizmetlerin satışının gerçekleştirilmesi,

• Ürün ve hizmetlerimizin satış sonrası teslim, kurulum, bakım veya onarım gibi hizmetlerinin sunumu,

• Satın alınan ürünlerimizin garanti işlemlerinin gerçekleştirilmesi,

• Satın alınan ürün ve hizmetlere ilişkin yetkili servis hizmetinin sunumu.

• Kişisel verileriniz Şirketimiz ürün veya hizmetlerine ilişkin gerçekleştirmiş olduğunuz alışveriş kapsamında satış sözleşmesi uyarınca gerekli yükümlülüklerin (ürün teslimi, kurulum, vb.) yerine getirilmesi ile

• Ürünlerimizin satış sonrası kurum, garanti, bakım veya onarım gibi hizmetlerinin sunulması kapsamında kişisel verilerin işlenmesi ise hukuki yükümlülüklerimiz (ör. 6502 sayılı Tüketici Kanunu) kapsamında olmasına binaen kişisel verileriniz hukuki yükümlülük şartı kapsamında işlenmektedir.

2) İnternet sitemize gerçekleştirilen üyelikler kapsamında kişisel verilerinizin işlenmesi:

Kişisel Veri

İşlenme Amacı

Hukuki Sebebi

• Kimlik Bilgileriniz (isim, soyisim bilgisi, doğum tarihi, )

• İletişim Bilgisi (e-posta, telefon numarası, adres bilgisi)

• Müşteri İşlem Bilgisi (satın alınan ürün bilgisi, sipariş tamamlanma bilgisi, iade/değişik bilgisi, önceki siparişler bilgisi, kurulum bilgisi, garanti bilgisi, yetkili servis hizmeti bilgisi, alışveriş yapılan bayi bilgisi)

• İşlem Güvenliği Bilgisi (üyelik şifre bilgisi)

• Tercihe bağlı olarak profil için fotoğraf palaşılması halinde fotoğraf bilgisi

• Cihaz kullanımı kapsamında ev IP, log, adresleme bilgileri

• İnternet sitemize üye olunması,

• Üyelik iptali işlemlerinin gerçekleştirilmesi,

• Üyelik kapsamında alınan bilgi güncelleme işlemlerinin gerçekleştirilmesi,

• E-posta veya telefon numarası doğrulama işlemlerinin yürütümü.

• Kişisel verileriniz Şirketimiz internet sitemize üye olunması ile sizlere sunulan avantajlardan faydalanmanız amacıyla üyelik sözleşmesi uyarınca işlenmektedir.

3) Müşteri ilişkileri yönetimi ile dijital asistan ve çağrı merkezi hizmetlerimiz kapsamında kişisel verilerinizin işlenmesi:

Kişisel Veri

İşlenme Amacı

Hukuki Sebebi

• Kimlik Bilgileriniz (isim, soy isim bilgisi)

• İletişim Bilgisi (e-posta, telefon numarası, adres bilgisi)

• İnternet sitemizden erişim sağlanan veya mesajlaşma uygulamaları vasıtası ile müşterilerimizin talep ve şikayetlerinin alınması ile değerlendirilmesi

• Müşterilerimizin talep veya şikâyetlerinin alınması ve yerine getirilmesi ile müşteri ilişkileri yönetimi,

• Müşteri talep ve şikâyetlerinin şirket içi raporlamalarının gerçekleştirilmesi ile iş süreçlerinin iyileştirilmesi,

• İş ortaklarımızın müşterilerimize yönelik sunduğu kampanya veya fırsatlardan faydalanılması halinde kimlik doğrulama işlemlerinin gerçekleştirilmesi.

• Kanun’un 5 inci maddesi uyarınca veri sorumlusunun meşru menfaatinin varlığı halinde ilgili kişilerin temel hak ve özgürlüklerine zarar vermemek kaydı ile kişisel veriler işlenebilecektir. Bu doğrultuda müşteri memnuniyetinin sağlanması devamlılığın sağlanması, müşteri kaybının önlenmesi ve yeni müşteri kazanımının- önemine binaen Şirketimizin meşru menfaati doğrultusunda kişisel veriler işlenmektedir.

4) Electrolux olarak hukuki yükümlüklerimizin yerine getirilmesi ve ticari faaliyetlerin gerçekleştirilmesi kapsamında kişisel verilerinizin işlenmesi

Kişisel Veri

İşlenme Amacı

Hukuki Sebebi

• Kimlik Bilgileriniz (isim, soy isim bilgisi)

• İletişim Bilgisi (e-posta, telefon numarası, adres bilgisi)

• Şirket dışarı açılan kapı önleri ve showroom'ların güvenlik kameraları ile izlenmesi

• Mevzuattan kaynaklı yükümlülüklerimizin yerine getirilmesi.

• Resmi kurum veya kuruşlara bilgi verilmesi, talep edilen bilgi ve belgelerin sunulması

• Muhasebe ve finans süreçlerinin yürütülmesi

• Bilgi güvenliği süreçlerinin yürütülmesi

• Satış doğrulama işlemlerinin gerçekleştirilmesi

• Fiziksel Mekan Güvenliğinin Temini

• Kanun’un 5 inci maddesinde belirtilen kanunlarda açıkça öngörülme şartı (ör. faturada hangi verilerin olması gerektiği Vergi Usul Kanunu uyarınca belirlenmiştir),

• Kanun’un 5 inci maddesinde belirtilen hukuki yükümlülük (ör. Kanun uyarınca veri sorumlularının veri güvenliğini sağlama yükümlülükleri bulunmaktadır),

• Kanun 5 inci maddesinde belirtilen bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması (ör. Herhangi bir hukuki uyuşmazlığa konu olması halinde delil niteliğine haiz olması durumu),

• Kanun’un 5 inci maddesi uyarınca veri sorumlusunun meşru menfaatinin varlığı halinde ilgili kişilerin temel hak ve özgürlüklerine zarar vermemek kaydı ile kişisel veriler işlenebilecektir. Bu doğrultuda Şirketimizin ticari faaliyetleri kapsamında kişisel verilerin işlenmesi ilgili kapsamda değerlendirilmektedir.

8. KİŞİSEL VERİLERİN PAYLAŞILMASI[U1]

Kişisel verileriniz Kanun’un kişisel verilerin aktarımına ilişkin maddesinde belirtilen şartlara uygun şekilde, aşağıdaki kişilere belirtilen amaçlar doğrultusunda aktarılabilecektir.

• Ürün ve hizmetlerimizin satış ve satış sonrası teslim, kurulum, bakım veya onarım hizmetlerimizden faydalanmanız amacıyla bayilerimiz ve yetkili servislerimiz;

• Bilgi teknolojileri kapsamında yazılım, bakım, güvenlik ve kişisel verileri barındırma konularında hizmet alınan tedarikçilerimiz;

• Çağrı merkezi hizmeti almış olduğumuz tedarikçimiz;

• Kargo ve lojistik hizmeti kapsamında ürün teslimatını gerçekleştirebilmemiz amacıyla hizmet alınan tedarikçilerimiz;

• Gerekmesi halinde hukuki destek aldığımız iş ortaklarımıza,

• İş geliştirme ve projelerin yürütülmesi amacıyla hizmet alınan iş ortağı danışmanlık şirketleri;

• Müşteri şikayetlerinin çözümü; müşteri memnuniyetinin sağlanması kapsamında ziyaretlerin organize edilmesi veya ticari ve operasyonel faaliyetlerimizin gerçekleştirilmesi için yalnızca hizmet alınan iş ortaklarımıza,

• İş ortaklarımızın müşterilerimize yönelik sunduğu kampanya veya fırsatlardan faydalanılması halinde kimlik doğrulama işlemlerinin gerçekleştirilmesi amacıyla iş ortaklarımız,

• Müşteri memnuniyetinin sağlanması kapsamında ziyaretlerin organize edilmesi amacıyla yalnızca ilgili iş ortaklarımız,

• Hukuki yükümlülüklerimiz kapsamında kanunen yetkili kamu kurumları ile kanunen yetkili özel kurumlar.

9. AÇIK RIZANIZIN VARLIĞI HALİNDE KİŞİSEL VERİLERİNİZİN İŞLENMESİ VE PAYLAŞIMI

Kanun kapsamında bazı amaçlar dâhilinde kişisel verilerin işlenebilmesi için ilgilinin açık rızasının alınmış olması gerekmektedir. Kanun’daki kişisel veri işleme şartları doğrultusunda hareket eden Şirketimiz aşağıda yer alan kişisel veri işleme amaçları doğrultusunda kişisel verilerinizi ancak onay vermiş olmanız halinde,

• Ürün ve hizmetlerimizin sizlerin beğenilerinize, kullanım alışkanlıklarınıza ve ihtiyaçlarınıza göre özelleştirilerek sizlere önerilmesi; analiz, segmentasyon veya hedefleme çalışmalarının yürütülmesi; size özel ürün veya hizmet tekliflerinin, yeni ürün duyurularının, kampanyaların, promosyonların sunumu ile diğer pazarlama aktivitelerinin yürütülmesi; anket ve müşteri memnuniyet ölçümü çalışmalarının gerçekleştirilmesi ve bu kapsamda sizlerle elektronik yollarla iletişime geçilmesi amaçları ile işlenebilecek ve amaçlar doğrultusunda hizmet aldığımız üçüncü kişi tedarikçilerimizle paylaşılabilecektir.

10. İMHAYI GEREKTİREN SEBEPLER

(1) Kişisel veriler;

a. İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

b. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

c. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

d. Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,

e. Şirketin İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

f. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

11. ÖZEL NİTELİKTEKİ KİŞİSEL VERİLERE İLİŞKİN ÖZEL HÜKÜMLER

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikteki kişisel verilerin işlenmesi ve aktarılmasında da temel işlemi dayanağı ilgili veri sahibinin rızasıdır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(3) Şirket veri kayıt sistemlerinde özel nitelikteki kişisel veri olarak din bilgisi, sağlık verileri, ceza mahkumiyeti ve güvenlik tedbirleri ile biyometrik veri tutulmaktadır. Sağlık verisi, ceza mahkumiyeti ve güvenlik tedbirleri ile biyometrik veriler ise sadece çalışanlar açısından tutulmaktadır. Bu verilerin işleme amaçları, sağlık verileri ile ceza mahkumiyeti ve güvenlik tedbirleri veri kategorisi açısından kanunlarda işlemenin açıkça zorunlu tutulması; biyometrik veri açısından ise Şirketin meşru menfaati hukuki dayanakları ile işlenmektedir.

(4) Özel nitelikteki verilerin işleme amaçları, işleme ve silme/imha etme/anonimleştirme süreleri açısından da işbu Politikanın ilgili maddeleri uygulanır.

(5) Şirket özel nitelikteki kişisel verilerin işlenmesinde;

a. Özel nitelikli kişisel verilerin işlendiği süreçlerde yer alan çalışanlara yönelik olarak Kanun, ikincil mevzuat ve Kurul’un yayımlayacağı her tür karar ve rehber ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitim verilir,

b. Özel nitelikteki kişisel verilere erişimi bulunan çalışanlar ile gizlilik sözleşmesi yapılmıştır,

c. Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve sürelerini net olarak tanımlanmıştır

d. Periyodik olarak yetki kontrolleri gerçekleştirilmektedir

e. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması, bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.

(6) Elektronik ortamda saklanan özel nitelikli kişisel verilere ilişkin olarak;

a. Veriler kriptografik yöntemler kullanılarak muhafaza edilir,

b. Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,

c. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının denetim izleri tutulur ve söz konusu denetim izlerinin güvenliği sağlanır,

d. Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılmakta olup, test sonuçlarının kayıt altına alınması ve tespitlere ilişkin aksiyon planları oluşturulmuştur,

e. Yazılım aracılığı ile erişilen özel nitelikteki kişisel verilere ilişkin olarak ilgili yazılıma ait uygun kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testlerinin düzenli olarak gerçekleştirilir, test sonuçlarının kayıt altına alınması ve tespitlere ilişkin aksiyon planlarının oluşturulmuştur,

f. Verilere uzaktan erişim gerektiğinde özellikle dışarıdan hizmet alınan kuruluşlara Sistemde erişebilecek alan tanımlaması yapılmakta, erişim sağlanan IP numaralarının logları tutulmakta, uzaktan erişim ile gerçekleştirilen işlemler görsel olarak da takip edilmektedir.

(7) Çalışan özlük dosyalarında fiziken saklanan özel nitelikli kişisel verilere ilişkin olarak yetkisiz erişimin engellenmesi amacıyla gerekli güvenlik önlemleri alınmış olup, dosyalar insan kaynakları yöneticisi kontrolünde olmak üzere kilitli dolaplar içerisinde tutulmaktadır. Söz konusu dolapların anahtarları insan kaynakları birim yöneticisi kontörlünde ve giriş – çıkışlar kayıt altındadır. Özlük dosyalarının arşivlendiği bölüm elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı gerekli önlemler alınmıştır.

12. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ

(1) İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından resen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

(2) Kişisel verilerin silinmesi, kişisel verilerin bulunduğu elektronik ya da fiziki ortamlar itibariyle ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Bunlar,

a. Sunucularda Yer Alan Kişisel Veriler: İşlenme süresi sona eren ya da işleme amacı ortadan kalkan veriler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

b. Elektronik Ortamda Yer Alan Kişisel Veriler: İşlenme süresi sona eren ya da işleme amacı ortadan kalkan kişisel veriler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

c. Fiziksel Ortamda Yer Alan Kişisel Veriler: İşlenme süresi sona eren ya da işleme amacı ortadan kalkan kişisel veriler evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

d. Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden işlenme süresi sona eren ya da işleme amacı ortadan kalkan kişisel veriler sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

(3) Kişisel verilerin yok edilmesi kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bunlar;

a. Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden İşlenme süresi sona eren ya da işleme amacı ortadan kalkan kişisel verilerin bulunduğu dokümanlar kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

b. Optik / Manyetik Medyada Yer Alan Kişisel Veriler: İşlenme süresi sona eren ya da işleme amacı ortadan kalkan kişisel veriler eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

(4) Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirmeyecek hale getirilmesidir. Örneğin; TCKN, Ad-Soyad vb. verilerin hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirmeyecek hale getirilerek kullanılması.

(5) Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

13. SAKLAMA VE İMHA SÜRELERİ

(1) Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak aşağıda belirtilen saklama sürelerine bağlı kalarak saklama işlemini yapacağı saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi de kurumumuz tarafından yerine getirilir. Saklama ve İmha süreleri aşağıda süreç bazlı tabloda gösterilmiştir.

Tablo 1: Süreç bazında saklama ve imha süreleri tablosu

Süreç	Saklama Süresi	İmha Süresi[EI2]
Şirket faaliyetleri	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçleri	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takip Sistemi	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi	2 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları	2 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finansal Belgeler	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket giriş-çıkış kayıtları	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri Verileri	Hizmet Alındığı veya Üyeliğin Sona Erme tarihinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çağrı Merkezi Telefon Kayıtları	Görüşme tarihinden itibaren …. Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

14. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel verilerin yurt içine aktarımı

Şirket olarak, kişisel verilerin aktarılması konusunda KVKK’da öngörülen düzenlemelere ve KVK Kurulu tarafından alınan kararlara uygun bir şekilde hareket etmekteyiz.

Mevzuatta yer alan hukuka uygunluk nedenleri saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli veriler İlgili Kişi’nin açık rızası olmadan üçüncü kişilere aktarılmaz.

Kişisel Verilerin Yurt Dışına Aktarımı

Kişisel veriler kural olarak İlgili Kişi’nin açık rızası olmaksızın yurt dışına aktarılamaz.

Bununla birlikte, işbu Politika’da yer alan hukuka uygunluk nedenlerinden birisinin varlığı varlığı ve yurt dışına aktarım yapılacak olan üçüncü kişinin:

I. KVK Kurulu tarafından güvenli kabul edilen ülkelerden birinde yerleşik olması,

II. KVK Kurulu tarafından güvenli kabul edilen ülkelerden birinde yerleşik olmaması halinde ise, Şirket ve güvenli olmayan ülkedeki veri sorumlusunun, yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun ilgili yurt dışı aktarımına izninin bulunması,

hallerinde kişisel veriler açık rızaya bağlı olmaksızın yurt dışına aktarılabilecektir.

Şirket Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler

Kişisel veriler işbu Politika’da belirtilen kurallar kapsamında aşağıda listelenen kişi kategorilerine aktarılabilir:

1. Yetkili kamu kurum ve kuruluşları

2. Gerçek kişiler veya özel hukuk tüzel kişileri

3. Kamuoyu

Alıcı Grupları	Açıklama	Aktarım Amacı
Yetkili Kamu Kurum ve Kuruluşları	İlgili yasal düzenlemeler kapsamında Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarını ifade eder.	Söz konusu yasal düzenlemenin öngördüğü kapsamda, ● faaliyetlerin mevzuata uygun yürütülmesi, ● hukuk işlerinin takibi ve yürütülmesi, ● yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, ● çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, ● iş faaliyetlerinin yürütülmesi/denetimi ve ● iş sağlığı/güvenliği faaliyetlerinin yürütülmesi amaçlarıyla aktarılabilecektir.
Gerçek kişiler veya özel hukuk tüzel kişileri	Faaliyetlerimiz ve hizmetlerimiz kapsamında Şirket’ten bilgi ve belge almaya yetkili gerçek veya özel hukuk tüzel kişilerini ifade eder.	Söz konusu faaliyeterimiz ve hizmetlerimizin sunulmasında; ● iş faaliyetlerinin yürütülmesi, ● iş sürekliliğin sağlanması, ● tedarik zincirinin yürütülmesi, ● mal/hizmet üretim süreçlerinin planlanması ve yönetimi ● müşteri memnuniyetinin sağlanması amacıyla aktarılabilecektir.
Kamuoyu	Kamuoyu, belli bir konu hakkında bir topluluğun önemli bir bölümünü oluşturan bireyler tarafından benimsenmiş olan görüş, yaklaşım ve inançların toplamıdır.	Söz konusu yasal düzenlemenin öngördüğü kapsamda, kamuoyuna bilgi vermek amacıyla aktarılabilecektir.

15. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12nci maddesinde belirtilen özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

Kişisel Verilerin Hukuka Uygun Olarak Aktarılmasını Sağlamak İçin Aldığımız Tedbirler

15.1. Teknik tedbirler

Kişisel verileri korumak için, aşağıda sayılanlarla sınırlı olmamak üzere, çeşitli tedbirler almaktayız. Bu kapsamda;

1. Ağ güvenliği ve uygulama güvenliğini sağlamakta,

2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanmakta,

3. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamında güvenlik önlemleri almakta,

4. Erişim loglarını düzenli olarak tutmakta ve kullanıcı müdahalesi olmayacak şekilde saklamakta,

5. Güncel anti-virüs sistemleri kullanmakta,

6. Güvenlik duvarları kullanmakta,

7. Kişisel veriler mümkün olduğunca azaltmakta,

8. Kişisel verileri yedeklemekte ve yedeklenen kişisel verilerin güvenliğini de sağlamakta,

9. Kullanıcı hesap yönetimi ile yetki kontrol sistemi uygulanmakta ve bunların takibini de yapmakta,

10. Saldırı tespit ve önleme sistemlerini kullanmakta,

11. Sızma testi uygulamakta ve

12. Siber güvenlik önlemlerini alıp, uygulanmasını sürekli takip etmekteyiz.

15.2. İdari Tedbirler

Kişisel verileri korumak için, aşağıda sayılanlarla sınırlı olmamak üzere, çeşitli tedbirler almaktayız. Bu kapsamda;

1. Çalışanlar için yetki matrisi oluşturmakta,

2. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini kaldırmakta ve

3. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemlerini almaktayız.

16. TEDBİRLER KAPSAMINDA KİŞİSEL VERİLERİN GÜVENLİĞİ

Kişisel verilerin güvenliğine ilişkin yükümlülüklerimiz

Şirket olarak;

● Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

● Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve

● Kişisel verilerin hukuka uygun olarak saklanmasını sağlamak

için teknolojik olanaklar ve uygulama maliyetlerine göre idari ve teknik tedbirler almaktayız.

A. Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesini Önlemek İçin Aldığımız Tedbirler

● Şirket içerisinde gerekli denetimleri yapmakta ve yaptırmakta,

● Çalışanlarımızı kişisel verilerin hukuka uygun olarak işlenmesi hakkında eğitmekte ve bilgilendirmekte,

● Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle işbirliği yapıldığı hallerde, kişisel verileri işleyen şirketler ile yapılan sözleşmelerde gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer vermekte ve

● Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde İlgili Kişi’ye ve KVK Kurulu’na durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeleri yapmakta ve ilgili tedbirleri almaktayız.

B. Kişisel Verilere Hukuka Aykırı Olarak Erişilmesini Engellemek İçin Alınan Teknik Ve İdari Tedbirler

Kişisel verilere hukuka aykırı olarak erişilmesini engellemek için;

● Teknik uzmanlığı olan çalışanlar istihdam etmekte,

● Teknik tedbirleri belirli aralıklarla güncellemekte ve yenilemekte,

● Şirket içerisinde erişim yetkilendirme prosedürleri oluşturmakta,

● Aldığımız teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin usulleri belirlemekte,

● Şirket içerisinde kullanılmakta olan veri kayıt sistemlerini mevzuata uygun şekilde oluşturmakta ve belirli aralıklarla denetimlerini yapmakta,

● Oluşabilecek risklere karşı acil yardım planları oluşturup bunların uygulanmasına ilişkin sistemler geliştirmekte,

● Çalışanlarımızı kişisel verilere erişim, yetkilendirme hususlarında eğitmekte ve bilgilendirmekte,

● Kişisel verilerin işlenmesi, saklanması gibi faaliyetler amacıyla üçüncü kişilerle işbirliği yapıldığı hallerde, kişisel verilere erişim sağlayan şirketler ile yapılan sözleşmelerde; kişisel verilere erişim sağlayan kişiler tarafından gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer vermekte,

● Kişisel verilere hukuka aykırı olarak erişilmesini engellemek üzere teknolojik gelişmeler dahilinde güvenlik sistemleri kurmaktayız.

C. Kişisel Verilerin Hukuka Aykırı İfşası Durumunda Aldığımız Tedbirler

Kişisel verilerin hukuka aykırı ifşasının engellenmesine yönelik idari ve teknik tedbirler almakta ve ilgili prosedürlerimize uygun şekilde bunları güncellemekteyiz. Kişisel verilerin yetkisiz olarak ifşa edildiğini tespit etmemiz halinde bu durumu İlgili Kişi’ye ve KVK Kurulu’na bildirmek için gerekli sistem ve alt yapıları oluşturmaktayız.

Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda, KVK Kurulu tarafından gerek görülmesi halinde bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

17. KANUN KAPSAMINDAKİ HAKLARINIZ

Kanun’un 11. maddesi uyarınca veri sahipleri,

• Kişisel veri işlenip işlenmediğini öğrenme,

• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

Kanun kapsamında, kişisel verilerinizle ilgili başvuruda bulunmak istemeniz halinde;

Now Bomonti, Cumhuriyet Mah. Yeni Yol 1.Sok. No:2/4 B1 34380 Şişli/ İstanbul adresine kimlik teyidinizin yapılması sağlanarak yazılı olarak bizzat veya noter kanalıyla veya;

kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza yoluyla ya da tarafınızca Electrolux’e daha önce bildirilen ve Electrolux’ün sisteminde kayıtlı bulunan e-posta adresinizi kullanmak suretiyle Şirketimizin musteri_hizmetleri@electrolux.com e-posta adresine

başvurularunuz, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Tebliğ”) uyarınca, İlgili Kişi’nin başvurusunda isim, soyisim, başvuru yazılı ise imza, T.C. kimlik numarası, (başvuruda bulunan kişinin yabancı olması halinde uyruğu, pasaport numarası veya varsa kimlik numarası), tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon numarası ve faks numarası ile talep konusuna dair bilgilerin bulunması zorunludur.

İlgili Kişi yukarıda belirtilen hakları kullanmak için yapacağı ve kullanmayı talep ettiği hakka ilişkin açıklamaları içeren başvuruda talep edilen hususu açık ve anlaşılır şekilde belirtmelidir. Başvuruya ilişkin bilgi ve belgelerin başvuruya eklenmesi gerekmektedir.

Başvuru kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması, yanlış/yanıltıcı bilgilerle ya da yetkisiz başvuru yapılması halinde başvurunuz reddedilerek, usulsüz işlem yapan kişi hakkında yasal yollara başvurulacaktır.

Talep konusunun başvuranın şahsı ile ilgili olması gerekmekle birlikte, başkası adına hareket ediliyor ise, başvuruyu yapanın bu konuda özel olarak yetkili olması ve bu yetkinin belgelendirilmesi (noter tasdikli vekaletname veya yetki belgesi) gerekmektedir. Aksi takdirde, yetkisiz üçüncü kişilerin başkası adına yaptığı talepler değerlendirmeye alınmayacaktır. Ayrıca veri sorumlusu olarak üçüncü kişilerin İlgili Kişi başvurusu yaparak kişisel verilere yetkisiz erişimini engellemek ve kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için kimliği doğrulayıcı belgelerin (Nüfus cüzdanı veya sürücü belgesi sureti vb.) eklenmesi gerekmektedir.

17. 1. Başvurunun Değerlendirilmesi

i. Başvurunun Cevaplandırılma Süresi

KVKK’nın 13. maddesinin birinci fıkrası uyarınca; veri sorumlusu sıfatıyla Şirket’e bu taleplere ilişkin olarak yapılacak başvuruların iletilmesi gerekmektedir. Talebiniz Tebliğ’in 6. maddesi uyarınca, tarafımıza ulaştığı tarihten itibaren talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde Tebliğ’in 7. maddesi gereğince ücret alınabilir.

ii. Başvuruyu Reddetme Hakkımız

Kişisel veriler ile ilgili başvurular, sayılanlarla sınırlı olmamakla birlikte aşağıdaki hallerde reddedilebilir:

● Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

● Kişisel verilerin, İlgili Kişi’nin özel hayatının gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

● İlgili Kişi tarafından alenileştirilen kişisel verilerin işlenmesi,

● Başvurunun haklı bir nedene dayanmaması,

● Başvurunun ilgili mevzuata aykırı bir istek içermesi ve

● Başvuru usulüne uyulmaması.

17.2. Başvurunun Değerlendirilme Usulü

İşbu Politika’da yer alan cevaplandırma süresinin başlayabilmesi için başvuruların İlgili Kişi Başvuru Formu aracılığıyla yazılı ve ıslak imzalı olarak elden teslim veya noter aracılığıyla gönderilmesi, elektronik imzalı olarak KEP üzerinden gönderilmesi ya da İlgili Kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresinin kullanılması suretiyle yapılması gerekmektedir.

Talep kabul edilir ise, gerekli işlemler 30 gün içinde uygulanır ve başvuru sahibine yazılı veya elektronik ortamda bildirim yapılır. Talebin reddi halinde ise, gerekçesi açıklanarak yine 30 gün içinde yazılı veya elektronik ortamda başvuru sahibine bildirilir.

17.3. Kişisel Verileri Koruma Kurulu’na Şikayet Hakkı

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin, cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikâyette bulunma hakkı bulunmaktadır.

18. PERİYODİK İMHA SÜRESİ

Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

19. POLİTİKANIN GÜNCELLENME DURUMU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

20. YÜRÜRLÜK

Bu Politika, Yönetim Kurulu Kararı ile yürürlüğe girer.

Son güncelleme tarihi: 17/07/2023