1. BÖLÜM: GİRİŞ

1.1   Kişisel Verilerin Korunmasının Önemi

Kişisel verilerin korunması, Anayasal bir hak olup, Rebul Grup’un öncelikleri kapsamında yer almaktadır. Nitekim bu amaçla, Rebul Grup’ta devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve işbu politika oluşturulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında, Veri Sorumlusu sıfatıyla, Rebul Holding A.Ş., Rebul JCR Kozmetik Pazarlama A.Ş., Rebul Kozmetik Sanayi ve Ticaret A.Ş. ve/veya halihazırda hakim ortağı olduğu ve/veya olacağı tüm iştirakleri, grup şirketlerinin (“Rebul Grup”), genel aydınlatma yükümlülüğünü yerine getirmek ve Rebul Grup’un kişisel veri işleme kurallarının temel esaslarını belirlemek üzere işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) yapılmakta ve bu kapsamda müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, stajyer ve öğrencilerimizin, tedarikçi/alt işveren çalışanlarının ve yetkililerinin, şirket hissedarlarımızın ve şirket ortaklarımızın, ziyaretçilerimizin ve herhangi bir nedenle diğer verisini işlediğimiz üçüncü kişilerin kişisel verilerinin korunması konusundaki temel esaslar düzenlenmektedir.

Bu Politikada belirtilen konuların uygulanmasına yönelik olarak Rebul Grup içerisinde gerekli prosedürler düzenlenmekte, kişi kategorilerine özel aydınlatma metinleri oluşturulmakta, kişisel verilere erişimi olan Rebul Grup çalışanları ve üçüncü taraflarla kişisel verilerin korunması ve gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için Rebul Grup tarafından gereken idari ve teknik tedbirler alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır. Kişisel Verilerin Korunması konusu üst yönetim tarafından da sahiplenilmekte, bu konuda özel bir Komite oluşturulmak (Şirket Kişisel Verilerin Korunması Çalışma Komitesi) suretiyle kişisel verilerin korunması süreçleri yönetilmektedir. 

1.2   Politikanın Amacı

Bu Politikanın temel amacı, Rebul Grup tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri Rebul Grup tarafından işlenen kişileri aydınlatarak ve bilgilendirerek şeffaflığı sağlamaktır. 

1.3         Kapsam

Bu Politika; “müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, stajyer ve öğrencilerimiz, tedarikçi/alt işveren çalışanları ve yetkilileri,  Rebul Grup hissedarlarımız ve Rebul Grup ortaklarımız, ziyaretçilerimiz, , çalışan referansları, çalışan aile ve yakınları, veli/vasi/temsilciler ve kanunda belirtilen herhangi bir nedenle verisini işlediğimiz diğer üçüncü kişiler” başlıkları altında kategorize ettiğimiz kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilerine ilişkindir. 

1.4         Politikanın ve İlgili Mevzuatın Uygulanması

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Rebul Grup yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. 

1.5   Erişim ve Güncelleme

Politika Rebul Grup’un www.rebulgroup.com, www.rebul.com, www.atelierrebul.com internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur ve gerektiğinde güncellenir.

2.       BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ

Rebul Grup, Anayasa’nın 20. maddesine ve Kanun’un 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Rebul Grup kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri saklamaktadır.

Rebul Grup, Anayasa’nın 20. ve Kanun’un 5. maddeleri gereğince kişisel verileri, Kanun’u’n 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir. 

Rebul Grup, Borçlar Kanun’un 419. maddesi gereğince, işbu Kanun saklı kalmak kaydıyla, çalışanların ve çalışan adaylarının kişisel verilerini, işe yatkınlık ve iş sözleşmesinin ifası amaçlarına dayalı olarak işlemektedir.

Rebul Grup, Anayasa’nın 20. ve Kanun’un 10. maddelerine uygun olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri ve kanundan doğan haklarını kullanmak üzere başvurmaları durumunda gerekli bilgilendirmeyi yapmakta, başvurulara yasal süresi içinde yanıt vermektedir.

Rebul Grup Kanun’un 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir. 

Rebul Grup, Kanun’un 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda Kanunda öngörülen kurallara uymakta ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından alınan karar ve yayımlanan tebliğler ile güvenli ülke, güvenli sektör veya güvenli uluslararası kuruluşlar listelerini dikkate alarak uygulama yapmaktadır.

2.1   Kişisel Verilerin Mevzuatta Öngörülen İlke ve Kurallara Uygun Olarak İşlenmesi

2.1.1 Kişisel Verilerin İşlenmesi İlkeleri

A. Hukuka ve Dürüstlük Kuralına Uygun İşleme 

Rebul Grup; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Rebul Grup, kişisel verilerin işlenmesini gerektirecek hukuksal dayanakları tespit ederek işlem yapmakta, ölçülülük gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamakta, kişilerin bilgisi dışında işleme faaliyeti yapmamaktadır. 

B. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama 

Rebul Grup; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta, bu doğrultuda gerekli tedbirleri almaktadır. Bu kapsamda tüm kişi kategorilerine ilişkin veriler güncel tutulmaya çalışılmaktadır. Özellikle müşteri ve potansiyel müşteri verileri özenle güncellenmekte, kişilere rızalarına aykırı biçimde pazarlama ve tanıtım amaçlı e-posta ve teklifler gönderilmemektedir. 

C.Belirli, Açık ve Meşru Amaçlarla İşleme 

Rebul Grup, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Rebul Grup, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olduğu kadarıyla işlemektedir. 

D.İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma 

Rebul Grup, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu kapsamda süreçler sürekli gözden geçirilmekte, “Data Minimisation/Kişisel Verilerin Azaltılması” ilkesi hayata geçirilmeye çalışılmaktadır. 

D.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme 

 Rebul Grup, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Rebul Grup öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bu kapsamda hukuk ve ceza zamanaşımı sürelerini dikkate almakta ve kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Rebul Grup’un “Kişisel Verilerin Saklanması ve İmhası” politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

2.2   Genel Nitelikteki Kişisel Verilerin İşlenmesi Kuralları

Kişisel verilerin korunması Anayasal bir hak olup, temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Rebul Grup’ça, kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenmektedir; 

a) Kanunlarda açıkça öngörülmesi, 

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, 

d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

e) İlgili kişinin kendisi tarafından alenileştirilmiş olması, 

f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, 

g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Yukarıdaki şartların bulunmaması halinde Rebul Grup’ça ilgilinin açık, özgür iradeye ve bilgilendirmeye dayalı rızasına başvurulmaktadır. Özellikle İnsan Kaynakları ve Çalışma İlişkileri alanında, çalışanın bağımlılık ilişkisi dikkate alınarak verinin öncelikle rıza dışında kalan hukuka uygunluk sebeplerine dayanılması esas tutulmakta, ancak bu sebeplerin söz konusu olmaması durumunda açık rızaya başvurulmaktadır. Buna karşılık pazarlama gibi faaliyetlerde ilgili kişinin açık rızası esas alınarak işleme faaliyeti gerçekleştirilmektedir. Ancak her halde kişisel verilerin işlendiği tüm durumlarda kişiler mutlaka “aydınlatılarak” veri işleme faaliyeti gerçekleştirilmektedir.

2.3   Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları

Rebul Grup tarafından, Kanunda “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanun’da öngörülen düzenlemelere uygun davranılmaktadır. Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan birtakım kişisel veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun’a uygun bir biçimde Rebul Grup tarafından kural olarak işlenmese de bu verilerin işlenmesi gerektiği takdirde özel nitelikli kişisel veriler, gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir: 

• İlgili kişinin açık rızasının olması,

• Kanunlarda açıkça öngörülmesi,

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

• İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

• Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması

• Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (Kanun m. 4; bkz. yukarıda 2. Bölüm, I, 1).

Özel nitelikli verilerin korunması ile ilgili olarak Rebul Grupde “Özel Nitelikli Kişisel Verilerin Korunması Prosedürü” yürürlüğe konulmuş olup, iş birimlerimizde bu prosedür hükümlerine göre hareket edilmekte ve gereken tedbirler alınmaktadır.

2.4   Verisi İşlenen İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi

Rebul Grup, Kanun’un 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda verisi işlenen ilgili kişiye kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel verisi işlenen ilgili kişinin hakları konusunda aydınlatma yapılmakta, Rebul Grup’un ilgili birimleri Rebul Grup’un aydınlatma metinlerine göre gereken işlemleri yerine getirmektedir. Yine, Kanun’un 11. maddesinde kişisel verisi işlenen ilgili kişinin hakları arasında “Bilgi Talep Etme” de sayılmış olup, Rebul Grup bu kapsamda, Anayasa’nın 20. ve Kanun’un 11. maddelerine uygun olarak kişisel verisi işlenen ilgili kişinin bilgi talep etmesi durumunda gerekli bilgilendirmeler yapılmakta, bu konuda Rebul Grup ilgili kişilere Kanun’da belirtilen süre ve esaslar çerçevesinde gerekli açıklamaları yapmaktadır.

3.       BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI

Rebul Grup hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verisi işlenen ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Rebul Grup bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

3.1   Kişisel Verilerin Aktarılma Esasları

Rebul Grup meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda Kanun’un 5.maddesinde belirtilen ve aşağıda sayılmakta olan kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir. 

Kişisel verisi işlenen ilgili kişinin açık rızası var ise buna dayalı olarak; veya

• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, 

• İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve  ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa; 

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, 

• Rebul Grup’un hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, 

• Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş ise, 

• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, 

• Kişisel verisi işlenen ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Rebul Grup’un meşru menfaatleri için kişisel veri aktarımı zorunlu ise aktarılmaktadır.

• Rebul Grup’un sunduğu hizmetler kapsamında bu hizmetlere ait tüm kayıtları, ticari belgeleri, kanundan doğan veri saklama yükümlülüğü çerçevesinde saklar ve işler. Rebul Grup ile kullanıcılar arasında bir uyuşmazlık ortaya çıktığında, kullanıcılara ait kişisel bilgiler bu uyuşmazlığın çözülmesi için kullanılabilir, bu verilerin mahkemelere, savcılıklara veya sair adli ve idari makamlara ve alternatif çözüm mercilerine aktarılabilmesi mümkündür.

• Rebul Grup’un veri işleme amaçları kapsamında; Şirket bünyesinde işlenen kişisel verileri bakanlıklar, mahkemeler, icra daireleri, ilgili bağımsız idari otoriteler, vergi idareleri gibi yetkili kamu kurumu veya özel kurum/kuruluşlarla, Rebul Grup’un ana ortaklarıyla, Rebul Grup’un destek hizmeti sağlayıcıları, iş ortakları, danışmanları ve tedarikçileriyle,  yabancı/uluslararası kamu kuruluşlarıyla veya özel kurum ve kuruluşlarla, e-ticaret işlemlerinin gerçekleştirilmesi amacıyla gerekmesi halinde banka ve finans kurumlarına, kanunen yetkili kılınmış kamu tüzel kişilikleri, özel kişiler veya adli makamlarla Kanun'un kişisel verilerin aktarılmasına ilişkin 8. maddesi ve kişisel verilerin yurt dışına aktarılmasına ilişkin 9. maddesinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir. 

 Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (Kanun m. 4; bkz. yukarıda 2. Bölüm, I, 1).

3.2   Özel Nitelikli Kişisel Verilerin Aktarılması

Rebul Grup gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul ve Kanun arafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin özel nitelikli verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir. 

• İlgili kişinin açık rızası var ise buna dayalı olarak veya 

• İlgili kişinin açık rızası yok ise; 

•  İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir ), kanunlarda öngörülen hallerde, 

•  İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarılabilir. 

Özel nitelikli kişisel verilerin aktarılması ile ilgili olarak Rebul Grup’da “Özel Nitelikli Kişisel Verilerin Korunması Prosedürü” yürürlüğe konulmuş olup, iş birimlerimizde bu politika hükümlerine göre hareket edilmekte ve gereken tedbirler alınmaktadır. Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (Kanun m. 4; bkz. yukarıda 2. Bölüm, I, 1).

3.3   Kişisel Verilerin Yurtdışına Aktarılması

Rebul Grup tarafından işlenen kişisel veriler, Kanun’un 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde yurt dışına aktarılabilir.

Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

Bu güvencelerin bulunmaması halinde kişisel veriler, arızi olarak sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına aktarılır:

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.

b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

ç) Aktarımın üstün bir kamu yararı için zorunlu olması.

d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

3.4    Rebul Grup Tarafından Kişisel Verilerin Aktarılma Amaçları ve Aktarma Yapılan Kişi Kategorileri

Veri Aktarım Amaçları

Rebul Grup’un faaliyet ve kuruluş amaçlarının yerine getirilmesini sağlamak, Rebul Grup’un tedarikçiden dış kaynaklı olarak temin ettiği ve Rebul Grup’un ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Rebul Grup’a sunulmasını sağlamak, Rebul Grup’un insan kaynakları ve istihdam politikalarının yürütülmesini sağlamak, Rebul Grup’un iş sağlığı ve güvenliği çerçevesinde yükümlülüklerinin yerine getirilmesi ve gerekli tedbirlerin alınması gibi amaçlarla veri aktarımı gerçekleştirilmektedir. 

Verilerin Aktarıldığı Kişiler

Rebul Grup Kanunu’n 8. ve 9. maddelerine uygun olarak kişisel verileri aşağıda belirtilen kişi kategorilerine aktarılabilir: 

YETKİLİ KAMU KURULUŞLARI

Rebul Grup’tan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları.

İlgili mevzuat hükümlerine göre veri paylaşımı yapılmaktadır.

YETKİLİ ÖZEL HUKUK KİŞİLERİ

Rebul Grup’tan bilgi ve belge almaya yetkili özel hukuk kişileri.

İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak veri paylaşımı yapılmaktadır. 

HİSSEDAR

Rebul Grup’un hissedarları

 Rebul Grup’un ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak veri paylaşımı yapılmaktadır.

İŞ ORTAKLARI

Rebul Grup’un ticari faaliyetlerini yürütürken Rebul Grup’un hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği gibi amaçlarla iş ortaklığı kurduğu taraflar.

İş ortaklığının kurulma amaçlarının yerine getirilmesini

 temin etmek amacıyla sınırlı olarak veri paylaşımı yapılmaktadır.

TEDARİKÇİ

Rebul Grup’un ticari faaliyetlerini yürütürken Rebul Grup’a hizmet sunan taraflar.

Rebul Grup’un tedarikçiden dış kaynaklı olarak temin ettiği ve Rebul Grup’un ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Rebul Grup’a

 sunulmasını sağlamak amacıyla sınırlı olarak veri paylaşımı yapılmaktadır.

YABANCI/ ULUSLARARASI KAMU KURULUŞLARI VEYA ÖZEL KURUM VE KURULUŞLAR

 Rebul Grup’un ticari faaliyetlerini yürütürken Rebul Grup’la birlikte çalışan ve bu kapsamda bilgi ve belge almaya yetkili yabancı veya uluslararası kamu ve kuruluşu veya özel kurum ve kuruluşlar

Rebul Grup’un faaliyet gösterdiği sektörel gerekliliklerin yerine getirilmesi amacıyla sınırlı iş birliği yapılan yabancı veya uluslararası kamu ve kuruluşu veya özel kurum ve kuruluşlarla veri paylaşımı yapılmaktadır. 

Rebul Grup tarafından gerçekleştirilen aktarımlarda işbu Politikada düzenlenmiş ilke ve kurallara uygun olarak hareket edilmektedir.

Rebul Grup’ta verisi işlenen kişiler ve bu kapsamda işlenen veriler aşağıdaki şekilde kategorize edilmektedir;

KİŞİ KATEGORİZASYONU

ÇALIŞAN ADAYI

Rebul Grup’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Rebul Grup’un incelemesine açmış olan gerçek kişiler

ÇALIŞAN

Rebul Grup’ta çalışan gerçek kişiler

HİSSEDAR/ORTAK

Rebul Grup’un hissedarı ve ortağı gerçek kişiler.

POTANSİYEL MÜŞTERİ/MÜŞTERİ

Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler.

STAJYER/ÖĞRENCİ

Rebul Grup’ta staj yapan kişiler, ÇMEK'na tabi olarak staj/eğitim gören öğrenciler. 

TEDARİKÇİ ÇALIŞANI

Rebul Grup’un her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan gerçek kişiler ile alt yükleniciler ve bunların çalışanları.

TEDARİKÇİ YETKİLİSİ

Rebul Grup’un iş ilişkisi içerisinde bulunduğu kurumların hissedarları ve yetkilileri gerçek kişiler

VELİ/VASİ/TEMSİLCİ

Veli, vasi ya da temsilci sıfatı ile kişisel verisi işlenen gerçek kişiler.

ZİYARETÇİ

Rebul Grup’un sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan, bu ziyaret sırasında veya herhangi bir nedenle Rebul’ün hotspotundan internet erişimi sağlamış olan veya internet sitelerimizi ziyaret eden gerçek kişiler.

MÜŞTERİ

Rebul Grup’un satış yaptığı dükkanlardan, kiosklardan, Rebul Grup’a ait websiteleri’nden veya bir diğer deyişle yüz yüze veya mesafeli olarak gerçekleştirilen ticari faaliyet kapsamında satın alım yapan veri sahibi olabilecek hukuk süjeleri.

DİĞER

Rebul Grup’un İnsan Kaynakları ve Hizmet süreçlerinin yürütülmesinde verilerini işlediği kişi kategorileri ve veri işleme süreçleri ile ilgili olan üçüncü taraf gerçek kişiler (Örn. Aile Bireyleri ve Yakınlar, Çalışan Referansları)

VERİ KATEGORİZASYONU

KİMLİK BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi kanunen kimlik yerine geçecek belgelerde yer alan bilgiler.

İLETİŞİM BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-posta adresi gibi bilgiler. 

LOKASYON BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ilgili kişinin ürün ve hizmetlerimizi kullanımı sırasında veya çalışanlarımız ile iş birliği içerisinde olduğumuz kurumların çalışanlarının Rebul Grup’un araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler.

ÖZLÜK BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Rebul Grup’la çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri

HUKUKİ İŞLEM VE UYUM BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Rebul Grup’un politikalarına uyum kapsamında işlenen kişisel verileriniz.

MÜŞTERİ İŞLEM BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler.

FİZİKSEL MEKAN GÜVENLİK BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler.

İŞLEM GÜVENLİĞİ BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; faaliyetle r yürütülürken teknik, idari, hukuki ve ticari güvenliğin sağlaması için işlenen kişisel veriler.

RİSK YÖNETİMİ BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler.

FİNANSAL BİLGİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;  Rebul Grup’un ilgili kişi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler.

PERFORMANS VE KARİYER GELİŞİM BİLGİSİ (MESLEKİ DENEYİM BİLGİSİ)

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Rebul Grup’la çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin Rebul Grup’un insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler

İŞLEM GÜVENLİĞİ

Rebul Grup’un İnternet yoluyla işlenen suçlarla mücadele kapsamında; uyması gereken 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve kanunun ikincil düzenlemelerinden doğan yükümlülüklerimizi yerine getirmek amacıyla işlenen kişisel veriler

PAZARLAMA BİLGİSİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ürün ve hizmetlerimizin ilgili kişinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek (yeni ürün/hizmet tanıtımı, promosyon vb.) pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler

GÖRSEL/İŞİTSEL BİLGİ

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik bir şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen kişisel veridir; Örn: fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler.

ÇALIŞAN YAKINI VE AİLE BİLGİSİ

Çalışanların yakın ve aile üyelerine ilişkin veriler.

REFERANS BİLGİSİ

Çalışan ve adaylarına referans olan kişilere ilişkin veriler.

ÖZEL NİTELİKLİ KİŞİSEL VERİLER (SAĞLIK/CİNSEL HAYAT)

Sağlık ve cinsel hayata ilişkin veriler.

ÖZEL NİTELİKLİ KİŞİSEL VERİLER II 

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

4.       BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI VE AMAÇLARI 

4.1   Kişisel Verilerin İşlenmesinin Hukuki Dayanakları

4.1.1          Genel İlkeler

Rebul Grup tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde Kanun’un 4.maddesinde genel ilkelere uygun olarak hareket edilmektedir. Buna göre; her türlü veri işlemesinde

a) Hukuka ve dürüstlük kurallarına uygun olma,

b) Doğru ve gerektiğinde güncel olma,

c) Belirli, açık ve meşru amaçlar için işlenme, 

d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkeleri göz önünde tutulmaktadır.

• Hukuka Uygunluk Sebepleri

Kişisel İlgili Kişinin Açık Rızasının Bulunması      

Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. 

Kanunlarda Açıkça Öngörülmesi    

İlgili kişinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir. Örneğin, Kimlik Bildirme Mevzuatı uyarınca Çalışanlarımızın kimliklerinin yetkili mercilere bildirilmesi.

 Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması 

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin, baygınlık geçiren çalışanın kan grubu bilgisinin hekim ile paylaşılması.

Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması         

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin, iş sözleşmesinin kurulması için adaydan CV alınması, sözleşme kapsamında tebligat yapılabilmesi için adres alınması.

Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi 

Rebul Grup’un veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin, Asgari Geçim İndiriminden Çalışanı yararlandırmak için, aile bilgisinin işlenmesi.

 İlgili Kişinin Kişisel Verisini Alenileştirmesi           

İlgili kişinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde kişisel veriler işlenebilecektir. Örneğin, Rebul Grup müşterilerinin internet üzerinde herkese açık bir platformda şikâyet, talep veya önerilerini sunması halinde bu müşteriler ilgili bilgilerini alenileştirmiş olur. Bu durumda Rebul Grup yetkilisi tarafından, şikâyet, talep veya önerilere cevap verme amacıyla sınırlı olmak kaydıyla verilerin işlenmesi mümkündür. 

 Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması   

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin, ispat niteliği olan verilerin (satış sözleşmesinin, faturanın) saklanması ve gerekli olduğu anda kullanılması. 

1. Rebul Grup’un Meşru Menfaati için Veri İşlemenin Zorunlu Olması           

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Rebul Grup’un meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin, Şirketin güvenlik kamerası ile hırsızlığa karşı veya iş güvenliği amacıyla kritik noktalarının izlenmesi. 

• Özel Nitelikli Kişisel Verilerin İşlenmesi Ve Hukuka Uygunluk Sebepleri

Rebul Grup tarafından özel nitelikli kişisel veriler ilgili kişinin açık rızası yok ise ancak, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ancak kanunlarda öngörülen hallerde işlenebilir. İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (Kanun m. 4; bkz. yukarıda 2. Bölüm, I, 1).

• Kişisel Verilerin İşlenme Amaçları

Rebul Grup Kanunun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel veriler işlemektedir. Veri işleme sürecinde yukarıda belirtilen hukuki dayanaklar dikkate alınmakta, diğer hukuka uygunluk sebepleri bulunmuyor ise ilgilinin rızası talep edilmektedir. Burada da 4. Madde kapsamında genel ilkeler denetimi yapılmakta, her şeyden önce veri işleme faaliyetinin genel olarak hukuka uygunluk ilkelerine uyumlu olması aranmaktadır. İlgilinin rızası ise "açık, bilgilendirmeye ve özgür iradeye dayalı biçimde" alınmaktadır 

Rebul Grup birimlerinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir;

• İşveren olarak iş sözleşmesinden doğan karşılıklı yükümlülüklerin yerine getirebilmesi için ÇALIŞANLARIN, ÖĞRENCİ VE STAJYERLERİN (geniş anlamda çalışanların) ve bunların VELİ/VASİ TEMSİLCİLERİ’nin kişisel verilerinin işlenmesi gerekmektedir. Çalışanların kişisel verileri; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlenmekte ve saklanmaktadır. Bu kapsamda, çalışanların kanunlara uygun olarak çalıştırılabilmesi için gerekli olan amaçlar doğrultusunda, iş sözleşmesinin kurulması, ifası ve sona ermesi süreçlerinin hukuka uygun şekilde yürütülmesi, temel hak ve özgürlüklere aykırı olmamak koşuluyla Şirketin meşru menfaatleri, kanunda açık olarak öngörülen durumlar, çalışan istihdamına bağlı hukuki yükümlülüklerin yerine getirilmesi, yasal takip durumlarında hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması durumları ve bunların dışında kalan durumlarda çalışanlardan talep edilecek açık, bilgilendirmeye dayanan ve çalışanların özgür iradesi ile açıklayacağı rızası, kişisel veri işlemesinin hukuki dayanaklarını oluşturmaktadır. 

• Şirketin iştigal konusunun gerektirdiği faaliyetler kapsamında, işverenin meşru menfaatleri çalışanların kişisel verilerinin işlenmesini gerekli kılmaktadır. Nitekim, suistimallerin önlenmesi, hırsızlığın engellenmesi, genel güvenlik veya iş sağlığı ve güvenliğinin sağlanması gibi nedenlerle çalışanların kişisel verilerini işleme faaliyeti yapılabilmektedir. Ancak, bu durumda da çalışanların temel hak ve özgürlüklerine zarar verilmemesine büyük bir özen gösterilmektedir.

• “Çalışan” statüsüne geçildikten sonra (çalışan adaylığı kategorisinde talep edilmemektedir) çalışanın sendikaya üye olması durumunda sendika üyeliği de yasal mevzuatın gerekliliklerinin yapılabilmesi için kanunun açık hükümleri gereği işlenebilmektedir. Bunun dışında çalışanların, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet kural olarak kanunda açıkça öngörülmüş olmadığı sürece, işlenen kişisel veriler arasında yer almamakta, istisnai bir uygulamaya gidilecek ise, kişisel veriler işlenmeden önce gereklilikler özenle değerlendirilmekte ve ilgiliden açık rıza alınmaktadır.  Rebul Grup’un bilgi iletişim araçları (telefon, mobil telefonlar, bilgisayarlar ve internet) üzerinde denetim ve gözetimler söz konusudur. 5651 sayılı Kanun, ilgili mevzuatlar ve Rebul Grup’un meşru menfaatleri söz konusu uygulamaların hukuki dayanaklarını oluşturmaktadır. 

• Çalışanlarımızın yanı sıra, ziyaretçilerimiz ile Rebul Grup sisteminden internete bağlanan diğer kişi kategorilerimiz de söz konusu işleme kapsamında yer alabilmektedir. Şirket araçlarında "güvenlik, araçların ve personelin daha etkili bir biçimde yönetimi" gerekçeleriyle araç takip sistemi uygulanabilmektedir. Söz konusu faaliyet de Rebul Grup’un meşru menfaatlerine dayanmakla birlikte çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirilmektedir. 

• ÇALIŞAN YAKIN VE AİLE ÜYELERİ’nin kişisel verileri de acil durum süreçlerinde irtibatın ve iletişimin sağlanması (örneğin bir kaza durumunda haber verilmesi), asgari geçim indirimi gibi hukuki yükümlülüklerin yerine getirilmesi ve çalışan ilişkileri süreçleri ile bağlantılı olarak işlenmektedir. 

• 4857 sayılı İş Kanunu, 6098 sayılı Borçlar Kanunu m.419, Kişisel Verilerin Korunması Hakkındaki 6698 sayılı Kanun ve ilgili mevzuata göre Rebul Grup, iş başvurusunda bulunan ÇALIŞAN ADAYLARI’ nınisim, adres, doğum tarihi, e-posta adresi, telefon numarası ve diğer iletişim bilgileri, özgeçmiş, ön yazı, geçmiş veya ilgili iş tecrübesi veya diğer tecrübe, eğitim durumu, transkript, dil test sonuçları veya iş başvurusuna ilişkin destekleyici veya açıklayıcı belgeler, video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılması durumunda mülakat sırasında elde edilen bilgilerin kayıtları, iş başvurusunda belirtmiş olduğunuz referanslar gibi kişisel bilgileri işleyebilmektedir. Çalışan adaylığı bağlamında, adayın yetkinlikleri ile doğrudan ilgili olmayan herhangi bir kişisel bilgiyi ve özellikle özel (hassas) nitelikli verileri (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleri, biyometrik ve genetik verileri) belirtmekten kaçınması, yazılı olarak verilen CV ve belgelerde ilgili kısımlar varsa karartılarak Şirkete teslimi önemle tavsiye edilmektedir. Ayrıca, adayın özgeçmişinde yer alan ve bu süreçte verisi işlenen REFERANS KİŞİ/KİŞİLERE AİT KİŞİSEL VERİLER (isim, soy isim, telefon, e-posta vb.) için, söz konusu kişinin bilgilendirilmesi ve açık rızası (ları)nın alınmasının adayın sorumluluğunda olduğunu bilerek Şirket’e ulaştırılması gerekmektedir.

• TEDARİKÇİ/ALT İŞVEREN YETKİLİ VE ÇALIŞANLARI’ nınkişisel verileri de Rebul Grup’ça işlenebilmektedir. Nitekim 6331 sayılı Kanunda asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlar ile ilgili olarak kontrol edilmesi gereken belgeler ve bilgiler belirtilmiş bulunmaktadır. Aynı şekilde 4857 sayılı İş Kanunu’nda ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nda da alt işveren işçileri ve geçici işçiler ile ilgili asıl işverene yükümlülükler getirilmiş ve bu kapsamda kontrol edilmesi gereken hususlar belirtilmiştir. Buna göre tedarikçi ve başka işverene bağlı olarak işyerinde çalışan işçilerin kişisel verilerinin işlenmesi başta söz konusu yasal düzenlemelerin gerekleri ve hukuki yükümlülüklerin yerine getirilmesi olmak üzere Rebul Grup’un meşru menfaatlerine dayanmaktadır. ÜRÜN/HİZMET ALAN KİŞİLER VEYA BUNLARIN YETKİLİLERİNİN verileri de ilgili kişi ile söz konusu olan ticari faaliyet ve hukuki ilişki kapsamında işlenmektedir. 

• Kişisel veriler, ayrıca:

1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi
2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
3. Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
5. Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
6. Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
7. Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
8. Denetim/Etik Faaliyetlerinin Yürütülmesi
9. Eğitim Faaliyetlerinin Yürütülmesi 
10. Erişim Yetkilerinin Yürütülmesi
11. Faaliyetlerin Mevzuata Uygun Yürütülmesi
12. Finans Ve Muhasebe İşlerinin Yürütülmesi
13. Firma/Ürün/Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
14. Fiziksel Mekan Güvenliğinin Temini
15. Görevlendirme Süreçlerinin Yürütülmesi
16. Hukuk İşlerinin Takibi Ve Yürütülmesi
17. İç Denetim/Soruşturma/İstihbarat Faaliyetlerinin Yürütülmesi
18. İletişim Faaliyetlerinin Yürütülmesi
19. İnsan Kaynakları Süreçlerinin Planlanması
20. İş Faaliyetlerinin Yürütülmesi / Denetimi
21. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
22. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
23. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
24. Lojistik Faaliyetlerinin Yürütülmesi
25. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
26. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
27. Mal / Hizmet Satış Süreçlerinin Yürütülmesi
28. Mal/Hizmet/Üretim Ve Operasyon Süreçlerinin Yürütülmesi
29. Müşteri İlişkileri Süreçlerinin Yürütülmesi
30. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
31. Organizasyon Ve Etkinlik Yönetimi
32. Pazarlama Analiz Çalışmalarının Yürütülmesi
33. Performans Değerlendirme Süreçlerinin Yürütülmesi
34. Reklam/Kampanya/Promosyon Süreçlerinin Yürütülmesi
35. Risk Yönetimi Süreçlerinin Yürütülmesi
36. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
37. Sözleşme Süreçlerinin Yürütülmesi
38. Stratejik Planlama Faaliyetlerinin Yürütülmesi
39. Talep / Şikayetlerin Takibi
40. Taşınır Mal ve Kaynakların Güvenliğinin Temini
41. Ücret Politikasının Yürütülmesi
42. Ürün/Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
43. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
44. Yatırım Süreçlerinin Yürütülmesi
45. Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
46. Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
47. Yönetim Faaliyetlerinin Yürütülmesi
48. Ziyaretçi Kayıtlarının Oluşturulması ve Takibi amaçlarıyla ilgili birimlerimizde işlenmektedir.

• İşyerlerimizde iş sağlığı ve güvenliği, genel güvenlik, ürün güvenliği amaçlarıyla işyerinde kamera ile izleme faaliyeti ve Ziyaretçi Kayıtları, Rebul Grup’un meşru menfaatleri dikkate alınarak, ziyaretçilerimizin, bu kapsamda verisi işlenen kişilerin ve özellikle çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirilmektedir.

1. BÖLÜM: KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ

Rebul Grup, Türk Ceza Kanunu’nun 138.maddesinde ve işbu Kanun’un 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Rebul Grup’un kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilmektedir.

5.1         Kişisel Verilerin Saklanması Ve Saklama Süreleri

Rebul Grup, öncelikle ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili mevzuatta belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, ilgili kişi ile bağlantılı hukuki ilişki kapsamında söz konusu olabilecek zamanaşımı/hak düşürücü süreler dikkate alınarak saklama süreleri belirlenmektedir. Kişisel Verilerin Saklanması ile ilgili olarak “Kişisel Verilerin Saklanması ve İmhası” prosedürü yürürlüğe sokulmuş, ve detaylı saklama süreleri belirtilmiş bulunmaktadır.

5.2   Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi

Türk Ceza Kanunu’nun 138. maddesinde ve Kanun’un 7.maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Rebul Grup’un kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel veriler silinmekte, yok edilmekte veya anonim hâle getirilmektedir. Bu kapsamda Rebul Grup ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir. 

• Kişisel Verilerin Silinmesi

1. Kişisel Verilerin Silinmesi İşlemi

Rebul Grup ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri silinebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Rebul Grup’ça, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınmaktadır.

1. Kişisel Verilerin Silinmesi Süreci

Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:

 ● Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.

 ● Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili

 kullanıcıların tespit edilmesi.

 ● İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin

 tespit edilmesi.

 ● İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve

 yöntemlerinin kapatılması ve ortadan kaldırılması.

1. Kişisel Verilerin Silinmesi Yöntemleri

Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle

 silinmektedir.

• Kişisel Verilerin Yok Edilmesi

1. Kişisel Verilerin Yok Edilmesi İşlemi

Rebul Grup ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri yok edebilir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Rebul Grup, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.

1.  Kişisel Verilerin Yok Edilmesi Yöntemleri

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemler tek tek yok edilir.

• Kişisel Verilerin Anonim Hale Getirilmesi

1. Kişisel Verilerin Anonimleştirilmesi İşlemi

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Rebul Grup, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. Rebul Grup, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır. 

Kanun’un 28. maddesine uygun olarak anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanunun kapsamı dışında olup, ilgili kişinin açık rızası aranmayacaktır. 

1. Kişisel Verilerin Anonimleştirilmesi Yöntemleri

Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması gerekmektedir.

6.        BÖLÜM: İLGİLİ KİŞİLERİN HAKLARI

6.1    İlgili Kişilerin Haklarının Kapsamı ve Bu Hakların Kullanılması

• İlgili Kişilerin Hakları

Rebul Grup’ça kişisel verisi işlenen kişiler aşağıda yer alan haklara sahiptir: 

• Kişisel veri işlenip işlenmediğini öğrenme, 
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme. 
• İlgili Kişilerin Haklarını Kullanması
• 
  

İlgili Kişilerin Kanun’un 13. maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarını kullanmakla ilgili taleplerini, aşağıdaki yöntemlerden ve adreslerden birisini tercih ederek Rebul Grup’a iletmesi gerekli ve yeterlidir;

Başvuru

Yöntemi

Başvurunun

 Yapılacağı Adres

Başvuru Gönderiminde Belirtilecek Bilgi

Şahsen Başvuru

(Başvuru sahibinin

 Huzur Mahallesi Sude Sokak No:5, Sarıyer/İstanbul

Zarfın üzerine “KişiselBizzat gelerek

Verilerin Korunması Kanunu

Kimliğini tevsik

Kapsamında Bilgi Talebi”

Edici belge ile

Yazılacaktır.

Başvurması)

Noter vasıtasıyla Tebligat

 Huzur Mahallesi Sude Sokak No:5, Sarıyer/İstanbul

Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır

“Güvenli

Elektronik imza”

E-postanın konu kısmına

İle imzalanarak

jcrkozmetik@hs03.kep.tr

“Kişisel Verilerin Korunması

Kayıtlı Elektronik

Kanunu Bilgi Talebi”

Posta (KEP)

Yazılacaktır.

Yoluyla

Başvuruda;

Ad, soyadı ve başvuru yazılı ise imza, T.C. vatandaşları için T.C. Kimlik Numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenir.

İlgili kişi adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. İlgili kişinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak ilgili kişi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır. İlgili kişi olarak kullanmayı talep edilen hakka ilişkin açıklamaları içeren başvuruda; talep edilen hususun açık ve anlaşılır olması, talep edilen konunun ilgili kişiye ilişkin olması veya başkası adına hareket ediliyor ise bu konuda özel olarak yetkili olunması ve yetkinin belgelendirilmesi, başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin eklenmesi gerekmektedir.

 İlgili Kişi Başvuru Formu, Rebul Grup’un web sitesinde mevcut bulunmaktadır. 

• 
  
• Başvurulara Cevap Verilmesi
• 
  

İlgili kişinin, talebini öngörülen usule uygun olarak Rebul Grup’a iletmesi durumunda, Rebul Grup talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Rebul Grup tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır. Rebul Grup, başvuruda bulunan kişinin ilgili kişi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Rebul Grup, ilgili kişinin başvurusunda yer alan hususları netleştirmek adına, ilgili kişine başvurusu ile ilgili soru yöneltebilir.  

7.        BÖLÜM: KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

7.1    Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Teknik Ve İdari Tedbirler

Rebul Grup, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari tedbirler almaktadır. Bu kapsamda, 

• 
  
• Rebul Grup’un ilgili kişilere ait aydınlatma yükümlülüğünün eksiksiz olarak ve doğru biçimde yerine getirilebilmesi için kişisel verileriyle temas ettiği kimseleri aydınlatmaktadır. 
• 
  
• 
  
• Çalışanlar, kişisel verilerin korunması mevzuatı konusunda bilgilendirilmekte ve eğitilmektedir. 
• 
  
• 
  
• Rebul Grup’un yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme süreçlerinde mevzuata uygunluk sağlanmaktadır.   
• 
  
• 
  
• Rebul Grup’un iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir. 
• 
  
• 
  
• Rebul Grup ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Rebul Grup’un talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir. 
• 
  
• 
  
• Rebul Grup ile Rebul Grup’un sorumlu olduğu verileri işleyen üçüncü taraflar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Rebul Grup’un talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda kişisel verilere ilişkin taahhütname imzalatılmaktadır. 
• 
  

7.1.1          Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınan Teknik Ve İdari Tedbirler

Kanun ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Rebul Grup tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Rebul Grup tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.

Bu kapsamda;

• 
  
• Özel nitelikli kişisel verilerin güvenliğine ve işlenme esaslarına ilişkin olarak “Özel Nitelikli Kişisel Verilerin İşlenmesi Prosedürü” uygulamaya konulmuştur. 
• 
  
• 
  
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmakta, yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.
• 
  
• 
  
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir. Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta, verilerin bulunduğu ortamlara ait güvenlik güncellemeleri takip edilmekte ve gerekli güvenlik testleri yapılmakta, test sonuçları kayıt altına alınmaktadır.
• 
  
• 
  
• Verilere bir yazılım aracılığı ile erişilmesi durumunda bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta, test sonuçları kayıt altına alınmaktadır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
• 
  
• 
  
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
• 
  
• 
  
• Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanmaktadır.
• 
  
• 
  
• Özel Veriler, Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. 
• 
  
• 
  
• Özel verilerin, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Özel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
• 
  
• 
  
• Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
• 
  

7.1.2          Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek İçin Alınan Teknik Ve İdari Tedbirler

Rebul Grup, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için teknik ve idari tedbirler almaktadır. 

Rebul Grup tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır: 

A.       Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta ancak tedbirler bununla sınırlı bırakılmamaktadır. Güvenlik duvarı ve ağ geçidi gibi tedbirler alınmaktadır. Kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır. 

B.       Yazılım güncellemeleri

Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır. 

C.      Erişim Sınırlamaları

Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve kontrol matrisi oluşturulmaktadır.

D.      Şifreleme

Güçlü şifre ve parola kullanımının yanı sıra, şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır.

E.       Anti Virus Yazılımları

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünler kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyalar düzenli olarak taranmaktadır. Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.

F.       Kişisel Veri Güvenliğinin Takibi

• 
  
• Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
• 
  
• 
  
• Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
• 
  
• 
  
• Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
• 
  
• 
  
• Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
• 
  

Gerçekleştirilmekte, çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmaktadır.

Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.

G.      Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır. Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altına alınmaktadır.

Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır. 

Aynı seviyedeki önlemler Rebul Grup yerleşkesi dışında yer alan ve Rebul Grup’a ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar (dizüstü bilgisayar, cep telefonu, flaş bellekler) için de alınmaktadır. Elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir. 

Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de yeterli güvenlik tedbirleri alınmaktadır.

Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir. 

Kişisel veri içeren kâğıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.

H.      Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulutta depolanması uygulamalarına da gerektiğinde başvurulabilmektedir. Bu durumda, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Şirket tarafından değerlendirilmesi gerekmektedir. Bu kapsamda, Kurulun rehber ve tavsiyelerinde belirtilen önlemler dikkate alınmaktadır.

İ.        Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı

Şirket tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

J.       Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde Rebul Grup yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ dışında tutulmaktadır. 

7.1.3          Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek İçin Alınan İdari Tedbirler    

Rebul Grup tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır: 

• 
  
• Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda bilgilendirilmekte ve eğitilmektedir. 
• 
  
• 
  
• Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır. 
• 
  
• 
  
• Kişisel Veri Güvenliği Politikalarının ve Prosedürler belirlenmekte, politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte, geliştirilmesi gereken hususlar belirlenmektedir. Yine, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmektedir.
• 
  
• 
  
• Kişisel Verilerin Mümkün Olduğunca Azaltılması: Kişisel veriler, doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Ancak, doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen verilere hala ihtiyaç olup olmadığının değerlendirilmekte ve ihtiyaç duyulmayan kişisel veriler ise kişisel veri saklama ve imha politikası ile silinmekte, yok edilmekte veya anonim hale getirilmektedir.
• 
  
• 
  
• Veri İşleyenler ile İlişkilerin Yönetimi: Rebul Grup Bilgi Teknolojileri ihtiyacını karşılamak için veri işleyenlerden hizmet aldığı zaman, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağlandığından emin olarak işlem yapılmaktadır. Bu kapsamda, veri işleyen ile imzalanan sözleşmelere kişisel verilerin korunması ile ilgili koruyucu düzenlemeler getirilmektedir.
• 
  

7.2         Kişisel Verilerin Güvenli Ortamlarda Saklanması

Rebul Grup, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. 

• 
  
• Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler        
• 
  

Rebul Grup tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır: 

• 
  
• Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır. 
• 
  
• 
  
• Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak Rebul Grup’ça belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir. 
• 
  
• 
  
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde tüm gerekli altyapılar kullanılmaktadır. 
• 
  
• 
  
• Kişisel verilerden olan kullanıcıların bankalar aracılığıyla gerçekleştirdikleri Türk Lirası transfer verilerinin güvenliği, transferi gerçekleştirdikleri bankaların altyapıları nezdinde sağlanmaktadır ve kişisel verilerin aktarıldığı bağlantılar Şirket nezdinde korunmaktadır.
• 
  

• 
  
• Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler            
• 
  

Rebul Grup tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

• 
  
• Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda bilgilendirilmektedirler. 
• 
  
• 
  
• Rebul Grup tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmekte ve bu konuda Şirketin taahhütnameleri bu kimselere imzalatılmaktadır. 
• 
  

1. 
   
2.  EĞİTİM
3. 
   

• 
  
• Rebul Grup, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verilmektedir.
• 
  
• 
  
• Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilmektedir.
• 
  
• 
  
• Rebul Grup çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Rebul Grup ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verilmektedir.,
• 
  

1. 
   
2. DENETİM
3. 
   

• 
  
• İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
• 
  

Rebul Grup, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bildirimlerin yapılmasını sağlamaktadır. 

• 
  
• İş Ortakları Ve Tedarikçilerin Kişisel Verilerin Korunması ve İşlenmesi Konusundaki Farkındalıklarının Arttırılması ve Denetimi
• 
  

Rebul Grup kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına gerekli bilgilendirmeler yapmakta ve bu kimselerden taahhütname almaktadır. 

• Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Rebul Grup, işbu Politika ve KVK düzenlemelerine Rebul Grup’un tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re ’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Rebul Grup’un iç işleyişi kapsamında değerlendirilir ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler Rebul Grup, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisine ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir.