KİŞİSEL VERİLERİN KORUMASI POLİTİKASI

Kişisel Verilerin
Korunması Politikası

L'ORÉAL

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

Kişisel Verilerin
Korunması Politikası

5.5.1.

Şirket, Kişisel Verileri amaca uygun olarak gerektiği kadar muhafaza eder.
Şirketin, KVK Düzenlemelerinde öngörülen veya Kişisel Veri İşleme amacının
gerektirdiği süreden daha uzun bir süreyle Kişisel Verileri muhafaza etmek
istemesi halinde, Şirket KVK Düzenlemelerinde belirtilen yükümlülüklere
uygun davranır.

5.5.2.

Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel
Veriler Silinir, Yok Edilir veya Anonim Hale Getirilir. İşbu halde, Şirketin
Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok
Etmesi yahut Anonim Hale Getirmesi sağlanır.

5.5.3.

Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri
Sorumlusu Temsilcisi ve Komite sorumludur. Bu kapsamda gerekli prosedür
Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.

6.1.1.

Kişisel Veriler, Veri Öznelerine Aydınlatma Yükümlülüğünün yerine getirilmesi
çerçevesinde yapılacak bilgilendirme sonrası ve Veri Öznelerinin Açık Rıza
vermesi halinde işlenir.

6.1.2.

Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri
Öznelerine hakları bildirilir.

6.1.3.

Veri Öznesinin Açık Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır.
Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri
kapsamında gereken süre ile muhafaza edilir.

6.1.4.

Veri Sorumlusu Temsilcisi ve Komite, tüm Kişisel Veri İşleme süreçleri
bakımından Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde
Açık Rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür. Kişisel Veri
İşleyen tüm departman çalışanları Veri Sorumlusu Temsilcisi ve Komitenin
talimatlarına, işbu Politika’ya ve bu Politika’nın eki olan KVK Prosedürlerine
uymakla yükümlüdür.

6.2.1.

KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin
İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2 ve Madde 6.3), Şirket
Veri Öznesinin Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel
Verilerin bu şekilde işlenmesi durumunda Şirket KVK Düzenlemelerinin çizdiği
sınırlar çerçevesinde Kişisel Verileri İşler. Bu kapsamda:

6.2.1.1.

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Öznesinin ve/veya Veri Öznesi dışındaki bir kişinin hayatının veya beden bütünlüğünün korunması için Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.

6.2.1.2.

Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla
doğrudan doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin
taraflarına ait Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan
Şirket tarafından işlenebilir.

6.2.1.3.

Kişisel Verilerin İşlenmesi Şirketin hukuki yükümlülüğünü yerine
getirmesi için zorunluysa, Kişisel Veriler Veri Öznelerinin Açık
Rızaları olmadan Şirket tarafından işlenebilir.

6.2.1.4.

Veri Öznesi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza
alınmaksızın Şirket tarafından işlenebilir.

6.2.1.5.

Kişisel Verilerin Açık Rıza alınmadan işlenmesi bir hakkın tesisi,
kullanılması veya korunması için tek mümkün yol ise Kişisel Veriler
Açık Rıza alınmaksızın Veri Sorumlusu Temsilcisinin bilgisi
dâhilinde Şirket tarafından işlenebilir.

6.2.1.6.

Veri Öznesinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,
Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması
halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın
işlenebilir.

7.1

Özel Nitelikli Kişisel Veriler yalnızca Veri Öznesinin Açık Rızasının bulunması yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.

7.2

Sağlık ve cinsel hayata ilişkin Kişisel Veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla Açık Rıza almaksızın işlenebilir. Dolayısıyla KVK Düzenlemelerinde aksi öngörülene dek kişisel sağlık verileri ve cinsel hayat verileri yalnızca Açık Rıza kapsamında yahut sır saklama yükümlülüğü altında olan Şirket hekimi tarafından işlenebilir.

7.3

Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler alınır.

7.4

Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından Veri Sorumlusu Temsilcisi bilgilendirilir.

75

Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından Veri Sorumlusu Temsilcisinden görüş alınır.

8.1

Kişisel Verinin İşlenmesine yönelik meşru amaç ortadan kalktığında, ilgili Kişisel Veriler
Silinir, Yok Edilir yahut Anonim Hale Getirilir. Kişisel Verilerin Silinmesi, Yok Edilmesi
yahut Anonim Hale Getirilmesi gereken durumlar, Veri Sorumlusu Temsilcisi ve Komite
tarafından takip edilir.

8.2

Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu
Temsilcisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu
Temsilcisi ve Komite tarafından oluşturulur.

8.3

Şirket Kişisel Verileri gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.

9.1.1

Kişisel Veriler, KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai
hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası
alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü
kişilere Şirket tarafından aktarılabilir.

9.1.2

Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK
Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve Veri
Sorumlusu Temsilcisi müteselsilen sorumludur.

9.2.1

Kişisel Veriler, KVKK Madde 5.2 ve Madde 6.3’de belirlenen istisnai hallerde
Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak
şartı ile (KVKK Madde 5.1 ve Madde 6.2) yurt dışında bulunan üçüncü kişilere
Şirket tarafından aktarılabilir.

9.2.2

Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın
aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki
koşullardan birinin varlığı gerekir:

9.2.3

Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın
bulunduğu ülkeler statüsünde olması (liste için lütfen Kurul’un güncel listesini
takip edin),

9.2.4

Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler
listesinde yer almaması halinde Şirketin ve ilgili ülkedeki Veri Sorumlularının
yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin
alması.

9.2.5

Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVK Düzenlemelerine
uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Temsilcisi
müteselsilen sorumludur.

10.1.

Şirket, KVKK’nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesinden önce
Veri Öznelerini aydınlatır. Bu kapsamda Şirket, Kişisel Verilerin elde edilmesi sırasında
Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri
Öznelerine yapılacak olan bildirim sırasıyla şu unsurları içerir:

10.1.1.

Veri Sorumlusunun ve varsa temsilcisinin kimliği,

10.1.2.

Kişisel Verilerin hangi amaçla işleneceği,

10.1.3.

İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,

10.1.4.

Kişisel Veri toplamanın yöntemi ve hukuki sebebi,

10.1.5.

Veri Öznelerinin hakları.

10.2.

Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’nın 11. Maddesine uygun
olarak Veri Öznesinin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.

10.3.

Veri Özneleri tarafından talep edilmesi halinde Şirket Veri Öznesinin işlediği Kişisel
Verilerini Veri Öznesine bildirir.

10.4.

Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine
getirilmesini sağlamaktan ilgili süreci takip eden çalışan ve Veri Sorumlusu Temsilcisi
müteselsilen sorumludur. Bu kapsamda her bir yeni işleme sürecinin Veri Sorumlusu
Temsilcisine raporlanması amacı ile gerekli KVK Prosedürü Veri Sorumlusu Temsilcisi
ve Komite tarafından oluşturulur.

10.5.

Veri İşleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda
belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşlemeye
başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirkete
Kişisel Veri aktardığı durumlarda sözleşmelere eklenecek madde Veri Sorumlusu
Temsilcisinden temin edilir. Her bir çalışan Şirkete üçüncü bir kişi tarafından Kişisel Veri
aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri
Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verileri aktaran üçüncü kişinin
değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu
Temsilcisine bildirir.

11.1.

Şirket Kişisel Verisini elinde bulundurduğu Veri Öznelerinin aşağıda belirtilen
kendileriyle ilgili taleplerine KVK Düzenlemelerine uygun şekilde cevap verir:

11.1.1.

Şirket tarafından Kişisel Veri işlenip işlenmediği öğrenme,

11.1.2.

Kişisel Verilerinin işlenmesi halinde buna ilişkin bilgi talep etme,

11.1.3.

Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

11.1.4.

Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,

11.1.5.

Kişisel Verilerin Şirket tarafından eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme,

11.1.6.

Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel
Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket
tarafından Kişisel Verilerin Silmesini, Yok Edilmesini veya Anonim Hale
Getirilmesini isteme,

11.1.7.

11.1.5 ve 11.1.6. maddeler kapsamında yapılan işlemlerin, kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,

11.1.8.

İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi durumunda Veri Öznesinin aleyhine bir sonucun ortaya çıkması halinde
bu sonuca itiraz etme,

11.1.9.

Kişisel Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Veri Öznesinin
zarara uğraması hâlinde zararın giderilmesini talep etme.

11.2.

Veri Öznelerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirkete
iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz
olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin
ayrıca bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulunca belirlenen
tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir. Veri Sorumlusu talebi
kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak
veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde Veri
Sorumlusunca gereği yerine getirilir. Başvurunun Veri Sorumlusunun hatasından
kaynaklanması halinde alınan ücret ilgiliye iade edilir.

12.1.

Şirket, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu
Politikanın uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak ve
denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Veri Sorumlusu
Temsilcisi atar ve Komite oluşturur.

12.2.

Kişisel Verilerin işbu Politika ve KVK Prosedürlerine uygun şekilde korunmasından ilgili
sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.

12.3.

Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama
maliyetine göre teknik sistemlerle denetlenmektedir.

12.4.

Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam
edilmektedir.

12.5.

Şirket çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine
yönelik olarak bilgilendirilmekte ve eğitilmektedir.

12.6.

Şirkette Kişisel Verilere erişmesi gereken çalışanların söz konusu Kişisel Verilere
erişimini sağlamak adına gerekli KVK Prosedürü oluşturulur ve bunun oluşturulması ve
uygulanmasından Veri Sorumlusu Temsilcisi ve Komite müteselsilen sorumludur.

12.7.

Şirket çalışanları, Kişisel Verilere üzerinde yalnızca kendilerine tanımlanan yetki
dâhilinde ve ilgili KVK Prosedürüne uygun olarak erişebilir. Çalışanın yetkisini aşar
şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı
nedenle feshi sebebidir.

12.8.

Şirket çalışanın Kişisel Verilerin güvenliğinin yeterince sağlanmadığı şüphesinde olması
yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri
Sorumlusu Temsilcisi’ne bildirir.

12.9.

Kişisel Verilerin güvenliğine yönelik detaylı KVK Prosedürü Veri Sorumlusu Temsilcisi
ve Komite tarafından oluşturulur.

12.10.

Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen
cihazlarının güvenliğinden sorumludur.

12.11.

Her Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer
alan fiziki dosyaların güvenliğinden sorumludur.

12.12.

KVK Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek
olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek
güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile
yükümlüdür.

12.13.

Şirkette Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere
uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve
donanımlar kurulmaktadır.

12.14.

Şirkette Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek üzere
yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri
alınmaktadır.

12.15.

Şirkette Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunmaktadır.
Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel
Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak
klasöre taşınmaz, Veri Sorumlusu Temsilcisinin önceden yazılı onayı alınmadan Şirket
bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamaz, Şirket dışına
çıkartılamaz.

12.16.

Komite, Yönetim Kurulu ile birlikte Şirket içerisinde bulunan tüm Kişisel Verilerin
korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri
sürekli takip etmekle ve gerekli KVK Prosedürlerini hazırlayarak Yönetim Kurulu
onayına sunmak, onay akabinde Şirket içerisinde duyurmak ve bunlara uyulmasını
sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve Veri Sorumlusu
Temsilcisi çalışanların farkındalığını artırmak üzere gerekli eğitimleri düzenler.

12.17.

Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman,
Komite tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği hakkında
bilgilendirilir ve ilgili departman Komite talimatlarına uygun hareket ederler. Özel
Nitelikli Kişisel Verilere erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların
listesi ve takibi Komite tarafından yapılır.

12.18.

Şirket içerisinde işlenen Kişisel Verilerin tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.

12.19.

Şirket çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.

13.1.

Şirket, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve ekinde yer alan KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir.

13.2.

Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.

13.3.

Şirket çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.

15.1.

Şirketin her bir çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Komiteye raporlar. Bu kapsamda ilgili ihlale yönelik Komite, işbu Politika ve KVK Prosedürlerine uygun şekilde eylem planı oluşturur.

15.2.

Yapılan bilgilendirmeler sonucunda Komite KVK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri Öznesi veya Kurum’a yapılacak bildirimi hazırlar. Veri Sorumlusu Temsilcisi Kurum ile yapılan yazışma ve iletişimi yürütür.

16.1.

Politika’nın uygulanmasından sorumlu Komite ve Veri Sorumlusun Temsilcisi Şirket yönetim kurulu tarafından yönetim kurulu kararı ile atanır ve bu kapsamda değişiklikler de yine anılan yolla yapılır.

17.1.

Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.

17.2.

Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve Veri Öznelerinin erişimine sunar.

İlgili web adresi: http://www.loreal.com.tr