CRAFIST® KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
1. Amaç
KAROPAK END.SAN.TİC.A.Ş. ( “Karopak”, “Şirket” veya “Crafist” olarak söz edilebilir) olarak, “Crafist® Kişisel Verilerin Korunması Politikası” ile çalışanlarımıza, ortaklarımıza, yetkililerimize, müşterilerimize, potansiyel müşterilerimize, web sitemizin (www.crafist.com) ziyaretçilerine ve üçüncü şahıslar olmak üzere gerçek ve tüzel kişilere kişisel verilerin korunması süreçleri hakkında bilgi verme amacındayız. Şirketimizin yürütmekte olduğu ticari etkinliklerimiz esnasında farklı kaynaklardan elde ettiğimiz kişisel veriler, Genel Veri Koruma Yönetmeliği ve 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında olarak, yasal ihtiyaçları karşılayacak şekilde hukuka uygun şekilde işlenir ve korunur. Bu husustaki yönetimsel ve teknik bilgiler, politikamızın içeriğinde sizlere sunulmaktadır.
2. Kimlik
İstanbul Ticaret Sicil Müdürlüğü nezdinde;
Veri Sorumlusu: KAROPAK END. SAN.TİC.A.Ş.
Sicil numarası: İZMİR-113138
MERSİS numarası: 0524122854200001
Merkez Adres: Ataşehir Mahallesi, 8229/2 Sok. No:17, 35620 Çiğli/İzmir
3. Kapsam
Bu politika, Crafist® olarak ticari etkinliklerimizi yürüttüğümüz tüm fiziksel lokasyonlarımızdaki ve dijital platformlarımızdaki çalışanlarımızın, hissedarlarımızın, yetkililerimizin, müşterilerimizin, potansiyel müşterilerimizin, beraber çalıştığımız kuruluşların çalışanlarının, hissedarlarının ve yetkililerinin, web sitemizin ziyaretçilerinin ve üçüncü şahısların her türlü otomatik ya da otomatik olmayan şekilde kaydedilen tüm kişisel veri kayıtlarını kapsar.
• Fiziksel Lokasyonlar :
1) Karopak Merkez Ofis: Ataşehir Mahallesi, 8229 / 2 Sok. No:17, 35620 Çiğli-İZMİR
2) Karopak İstanbul Ofisi: İnönü Caddesi Sümer Sok. Sümko Sitesi I-3 Blok No:2, Kozyatağı-Kadıköy-İSTANBUL
3) Karopak Eskişehir Ofisi: Çamlıca Mahallesi Behçet Necatigil Sok. No:7/11,
Tepebaşı-ESKİŞEHİR
• Dijital Platformlar : Karopak® varlık envanterindeki tüm dijital platformlarla beraber,
 crafist.com
 karopak.com
 karopak.net
 lapex.com
 Yerel sunucular
 Bulut ortam sunucuları
 Kullanıcı bilgisayarları
 Veri barındırma ve taşıma ortamları
4. Yasal Dayanak
Şirketimizce hazırlanan bu politika, Genel Veri Koruma Yönetmeliği(GDPR) ve kişisel verilerin korunması kapsamındaki yasal düzenlemelerin hükümlerine uymak amacıyla hazırlanmıştır. Bu hususta meydana gelebilecek herhangi bir kanun ve yönetmelik değişikliğinde, Crafist® olarak tüm değişiklikleri önemseyeceğimizi ve gerekli yenilemeleri en kısa sürede uygulayacağımızı belirtiriz.
5. Crafist®’de Kişisel Verilerin Korunmasına İlişkin Usul ve Esaslar
5.1. Crafist®’de Kişisel Verilerin İşlenmesine İlişkin İlkeler
Crafist® olarak kişisel verileri, Kişisel Verilerin Korunması Kanunu(KVKK) ‘nu ve ilgili yasal düzenlemeleri esas alarak işleriz. Böylece, Kişisel Verilerin Korunması Kanunu(KVVK) kapsamındaki tüm ilkelere tamamıyla uyarız.
• Hukuka ve dürüstlük kurallarına uygun olma
Crafist® olarak tüm işleme süreçlerimizi, Anayasa’nın ve Kişisel Verilerin Korunması Kanunu(KVVK)’nun kapsamındaki tüm dürüstlük kurallarına gereken sınırlarda uyarak yürütürüz.
• Doğru ve gerektiğinde güncel olma
Crafist® olarak, işlediğimiz tüm verilerin doğruluğu ve güncelliği için tüm gereken önlemleri alırız. İşlediğimiz verilerin gerçekliğini sağlamak amacıyla bilgilendirmeler yaparız ve veri sahiplerine gereken fırsatları tanırız.
• Belirli, açık ve meşru amaçlar için işlenme
Crafist® olarak, sadece açık ve kesin şekilde belirlenmiş yasal amaçlarla verileri işleriz ve bu amaçlar dışında herhangi bir veri işleme eyleminde bulunmayız. Buna dayanarak, yalnızca veri sahipleriyle kurduğumuz iş ilişkileri bağlamında ve gerekli olması durumunda kişisel verileri işleriz.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
Crafist® olarak, kişisel verileri belirtilen amaçların gerçekleştirilmesine uygun şekilde işleriz. Herhangi bir amaç dışı ya da ihtiyaç duyulmayan kişisel veri işlemesi gerçekleştirmeyiz. Sonradan ortaya çıkabileceği düşünülen, olası ihtiyaç karşılanmasına dair hiçbir kişisel veri işlemesi gerçekleştirmeyiz.
• İlgili mevzuatta öngörülen veya ilgilendikleri amaç için gerekli olan süre kadar muhafaza etme
Crafist® olarak, kişisel verileri, sadece ilgili anayasada belirtilen veya işlenen amaç için gereken süre kadar muhafaza ederiz. Buna dayanarak, öncelikle kişisel verilerin saklanmasıyla ilgili anayasada herhangi bir süre belirtilip belirtilmediğini tespit ederiz. Eğer bir süre belirtilmiş ise, o süreye uygun şekilde kişisel verileri saklarız. Herhangi bir süre belirtilmediği durumlarda ise, kişisel verileri, işlendikleri amaç doğrultusunda gereken süre kadar saklı tutarız. Süre bittiğinde ya da verilerin işlenmesi gereken sebepler ortadan kalktığında, şirketimiz kaydedilen kişisel verileri siler, yok eder veya anonim haline getirir. Gelecekte kişisel verileri kullanma ihtimalini düşünmeyiz ve belirtilen süre dışında hiçbir kişisel veriyi saklamayız.
         5.2 Crafist®’de Kişisel Veri Grupları
Crafist® olarak kişisel veri işlenme sürecindeki kişi gruplarını, resmi gazetede 30 Aralık 2017 tarihinde yayımlanan 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik içeriğine bağlı kalarak aşağıda belirttiğimiz şekilde tanımlarız.
Veri Konusu Kişi Grupları ve Açıklamaları:
Çalışan Personel: Şirketimiz bünyesinde iş kanunu kapsamına göre istihdam ettiğimiz gerçek kişiler.
Aday Personel: Şirketimiz bünyesinde istihdam edilmek amacıyla başvurusunu aldığımız veya 3. taraf olan insan kaynağı şirketleri / platformları tarafından sağladığımız gerçek kişiler.
Stajyer: Şirketimiz bünyesinde mesleki olarak pratik bilgiyi ve teorik eğitimleri desteklemek amaçlı kısmi zamanlı şekilde istihdam ettirdiğimiz gerçek kişiler.
Ortaklar: Şirketimizin maddi varlığını oluşturan hisselerin sahibi olan gerçek kişiler.
Hissedar: Şirketimizin hisselerini almak amacıyla şirkete paydaş olan gerçek kişiler.
Yöneticiler: Şirketimizin yönetiminde görevli olan gerçek kişiler.
Kamu Görevlisi: Şirketimizin resmi kurum ve kuruluşları ile olan ilişkilerden (Denetim, yargılama, soruşturma vb.) sorumlu olan gerçek kişi.
Tedarikçi: Şirketimizin etkinliklerini yürütmek amacı ile dışarıdan sağladığımız hizmetleri arz eden gerçek ve tüzel kişiler.
Tedarikçi Adayı: Şirketimizin etkinliklerini yürütmek amacı ile dışarıdan sağladığımız hizmetleri arz edebilmesi için değerlendirdiğimiz gerçek ve tüzel kişiler.
Tedarikçi Personeli: Şirketimizin ilişkisi dahilinde olan tedarikçiye veya tedarikçi adayına bağlı olarak çalışan gerçek kişi.
Çevrimiçi Ziyaretçi: Üyelik kaydı oluşturmadan ya da herhangi bir ürün satın almadan web sitemizin içeriğini ve elektronik ortamdaki diğer satış kanallarımızı ziyaret eden gerçek kişiler.
Çevrimiçi Üye: Üyelik kaydı oluşturarak web sitemizin içeriğini ve elektronik ortamdaki diğer satış kanallarımızı ziyaret eden gerçek kişiler.
Müşteri: Web sitemizin veya elektronik ortamdaki diğer satış kanallarımızın üzerinden ürün satın alan gerçek kişiler.
Ziyaretçi: Herhangi bir sözleşmeye tabi tutulmadan, şirketimizin fiziksel lokasyonlarını ziyaret eden gerçek kişiler.
Başvuru Sahibi: Herhangi bir sözleşmeye tabi tutulmadan şirketimize talep, istek ve şikayetlerini ileten gerçek kişiler.
        5.3 Crafist®’ de İşlenen Verilerin Kategorileri
Crafist® olarak ticari faaliyetlerimizi yürütmek amacıyla; çalışanlarımızın, tedarikçilerimizin, müşterilerimizin bazı kişisel ve özel nitelikli verilerini size sunduğumuz bu politikada belirtilen esaslara göre işleriz.
Crafist® olarak veri işlemesini, aşağıda belirttiğimiz veri kategorisine göre gerçekleştiririz.
Veri Kategorisi Açıklaması:
Kimlik Verisi: Nüfus cüzdanı, ehliyet, pasaport, evlilik cüzdanı, ikametgah gibi belgelerdeki ihtiyacımız dahilindeki bilgiler.
İletişim Verisi: Telefon numarası, cep telefonu numarası, e-posta adresi, adres gibi kişiye ulaşabileceğimiz bilgiler.
Lokasyon Verisi: Web sitemizi kullanan veri sahibinin konumunu tespit etmek amacındaki veriler.
Müşteri Verisi: Ürün ve hizmetlerimizden yararlanan müşterilerimizden aldığımız müşteri numarası, meslek bilgisi gibi bilgiler.
Müşteri İşlem Verisi: Ürün ve hizmetlerimizden yararlanan müşterilerimizin gerçekleştirdiği sipariş bilgileri, talepler, sepet bilgileri gibi her türlü işleme dayalı olan bilgiler.
Fiziksel Mekan Güvenlik Verisi: Fiziksel lokasyonlarımıza girişte ve fiziksel lokasyonlarımızda kalış süresi içindeki kamera kayıtları, ziyaret bilgileri, giriş çıkış logları gibi alınan kayıtlar ve bilgiler.
İşlem Güvenliği Verisi: Şirketimiz ve taraflarımız arasındaki hukuki, teknik, idari ve ticari güvenliği sağlamak amacıyla web sitesi şifresi ve parolası gibi işlediğimiz kişisel veriler.
Risk Yönetimi Verisi: Şirketimizin idari, teknik ve ticari risklerini yönetebileceğimiz IP adresi, MAC adresi gibi işlenen kişisel veriler.
Finansal Veri: Veri sahibinin gerçekleştirdiği finansal işlemleri gösteren bilgi ve fatura gibi işlenen kişisel veriler.
Özlük Verisi: Şirketimizdeki çalışanlarımızdan ve tedarikçilerimizden edindiğimiz, kanunen özlük dosyasına girmesi gereken her türlü kişisel bilgi ve belge.
Çalışan Adayı Verisi: Şirketimize iş başvurusu yaparken adayın paylaştığı ve bizim de başvuru sürecinde değerlendirdiğimiz özgeçmiş, kişilik testi, mülakat notları gibi kişisel veriler.
Çalışan İşlem Verisi: Şirketimizin çalışanlarının ve tedarikçilerinin işe dair gerçekleştirdiği her türlü işleme ilişkin iş seyahatleri, işe giriş-çıkış kayıtları, toplantı notları, mail trafiğinin izlenmesi, araç kullanımı, şirkete ait kartın harcanma durumu gibi kişisel veriler.
Çalışan Performans ve Kariyer Gelişim Verisi: Şirketimizdeki çalışanlarımızın performans değerlendirme verileri, mülakat değerlendirme verileri, insan kaynakları politikası kapsamındaki kariyer gelişimlerine dair uygulanan eğitim verileri gibi işlenen kişisel veriler.
Yan Haklar ve Menfaatler Verisi: Şirketimizdeki çalışanlarımıza sunduğumuz özel sağlık sigortası, araç tahsisi gibi yan hakların ve menfaatlerinin takibinin yapılmasına ve çalışanlarımızın bu haklardan yararlanmasına yönelik işlediğimiz kişisel veriler.
Pazarlama Verisi: Şirketimizin pazarlama faaliyetlerinde kullanmak amacıyla topladığı; kişinin alışkanlıklarını ve beğenilerini gösteren raporlar, hedef belirleme bilgileri, cookie kayıtları gibi veriler.
Hukuki İşlem ve Uyum Verisi: Hukuki alacaklarımızın ve haklarımızın takibi ve tespitini ilgilendiren mahkeme ve idari merci kararlarında yer alan veriler gibi kanuni yükümlülüklerin ifası amacındaki işlediğimiz kişisel veriler.
Denetim ve Teftiş Verisi: Şirketimizin şirket politikalarına ve kanuni yükümlülüklere uyumu çerçevesinde işlediğimiz denetim raporları, teftiş raporları, ilişkili görüşme kayıtları gibi kişisel veriler.
Özel Nitelikli Kişisel Veri: Şirketimizle ilgili kişilerin ırkı, kökeni, siyasi fikri, dini, mezhebi, inancı, kılık ve kıyafeti, sendika ya da dernek üyeliği, sağlığı, cinsel hayatı, ceza alıp almama durumları, güvenlik tedbirlerine ilişkin verileri, biyometrik ve genetik verileri.
Talep / Şikayet Yönetimi Verisi: Şirketimize ulaşan taleplere, şikayetlere ve bu taleplere ve şikayetlerle ilgili raporlara ilişkin işlediğimiz kişisel veriler.
Görsel ve İşitsel Veri: Şirketimizle ilgili kişilerin kamera kayıtları, ses kayıtları, fotoğrafları gibi işlediğimiz görsel ve işitsel veriler.
5.4 Crafist®’de Kişisel Verilerin İşlenme Amaçları
Crafist® olarak size sunduğumuz bu politikamızda açıkladığımız veri kategorisine göre verilerin işlenmesini sağlarız. Kişisel verileri, kanun gereğince veri sahibinin açık rızası dahilinde işleriz.
Veri işlemelerimiz; İş Kanunu, Borçlar Kanunu, Ticaret Kanunu, Vergi Kanunu gibi devlet kanunlarının yükümlülüklerini yerine getirmek amacındadır. Bununla birlikte; Crafist® olarak kişisel verileri işleme amaçlarımızı aşağıdaki gibi açıklarız.
• Ticari amaçlarımıza uyarak iş gereksinimlerimizi gerçekleştirmek.
• Çalışanlarımızın iş kanunu çerçevesindeki yükümlülüklerini yerine getirmek.
• Çalışanlarımızın yan haklarını ve menfaatlerini planlamak ve gerçekleştirmek.
• Çalışanlarımızın, tedarikçilerimizin, kullanıcılarımızın, müşterilerimizin kişisel verilerini korumak amacıyla gerekli yetkilendirme çalışmalarını gerçekleştirmek.
• Muhasebe ve finans alanındaki işlerimizi ve işlemlerimizi yürütmek.
• Hukuksal işlerimizi ve işlemlerimizi yürütmek.
• Şirketimizdeki iş süreçlerini iş faaliyetleri çerçevesinde işletmek ve sürdürülebilirliğini sağlamak.
• Şirketimizin fiziksel güvenliğini ve bilgi güvenliğini sağlamak.
• Kurumsal iletişimi ve yönetimsel faaliyetlerimizi gerçekleştirmek, işletmek ve sürdürülebilirliğini sağlamak.
• Depolama, lojistik, ulaşım ve ulaştırma faaliyetlerimizi gerçekleştirmek, işletmek ve sürdürülebilirliğini sağlamak.
• Müşteri ilişkilerinin yönetim işleyişini planlamak, işletmek ve sürdürülebilirliğini sağlamak.
• Müşterilerimizin memnuniyet durumlarını takip edebilmek için anket çalışmalarını gerçekleştirmek.
• Müşterilerimizin beklentilerini ve taleplerini karşılayabilmek.
• Çağrı merkezi faaliyetlerimizi planlamak, gerekleştirmek ve sürdürebilmek.
• Müşterilerimizden gelen talep ve şikayetleri değerlendirmek ve müşterilerimizin memnuniyetini arttırmak.
• Kurumsal devamlılığımızı sağlamak ve hizmetlerimizi sürdürmek.
• Kurum personelimizin iş sözleşmesi veya yönetmelikten kaynaklanan yükümlülüklerini yerine getirmek.
• Denetim faaliyetlerimizi planlamak ve gerçekleştirmek.
• Kurum içindeki ve kurum dışındaki eğitim faaliyetlerimizi planlı ya da plansız şekilde gerçekleştirmek.
• Bilgi teknolojilerini kullanmak ve sistem güvenliğini sağlamak.
• Kurum operasyonlarımızı gerçekleştirmek ve devamını sağlamak.
• Hukuki talepleri veya sözleşme süreçlerini değerlendirebilmek.
• Tedarik zinciri yönetim sürecindeki faaliyetlerimizi gerçekleştirebilmek ve devamını sağlayabilmek.
• Ürün ve hizmetlerimizin pazarlanması için pazar araştırma faaliyetlerimizi planlamak ve devamını sağlamak.
• Ürün tanıtımlarımızı yapabilmek.
• Ürünlerimizin reklam ve tanıtım faaliyetlerini sosyal medya platformlarında gerçekleştirebilmek.
• Pazarlama ve satış stratejilerimizi oluşturabilmek için müşterilerimizin web sitesi hareketlerini otomatik yollarla kayıt altına alarak değerlendirme ve analiz yapabilmek.
• Yurtdışındaki müşterilerimize ürünlerimizi taahhüt ettiğimiz sürede ulaştırabilmek.
• Müşterilerimiz tarafından ürün iade ve iptal süreçlerini nakit şekilde gerçekleştirebilmek ve sürdürebilmek.
• Ürün ödemelerimizi Türkiye Cumhuriyeti Devleti yasalarına ve dünyadaki ödeme sistemine uygun olarak alabilmek.
• Verileri doğru ve güncel kılabilmek.
• Yetkili kuruluşlara karşı yönetmeliğe dayanan talepleri yerine getirebilmek.
• Kurumumuzu ziyaret eden ziyaretçilerimizin kayıtlarını oluşturmak ve takip edebilmek.
• Kullanılan web sitemizin müşteri yönetimini daha etkin şekilde yönetebilmek.
• Farklı ihtiyaçlar doğrultusunda kurumsal uygulamalarımızı güncellemek ya da yeni modül oluşturmak ve oluşturulan modüllerin testlerini yapabilmek.
• Veritabanı güvenliğini sağlayabilmek.
• Sistem ve network güvenliğini sağlayabilmek.
• Hizmet yavaşlatma ya da sızma ve penetrasyon testlerini gerçekleştirebilmek.
• Güvenli yazılım ihtiyaçlarını test edebilmek.
6. Crafist®’de Kişisel Verilerin Güvenliğinin Sağlanması
Crafist® olarak, kişisel verilerin korunması ile ilgili yasalara uygun şekilde işlediğimiz kişisel verilerin hukuka aykırı şekilde erişilmesini önlemek ve verileri uygun şekilde muhafaza etmek amacıyla gerekli güvenlik sistemini sağlamak için teknik ve idari tedbirleri alırız. Bu kapsamda, gerekli denetimleri yaparız ve yaptırırız.
• Teknik Tedbirler
1. Teknolojik gelişmelere uygun olan teknik tedbirleri alırız ve aldığımız tedbirleri düzenli olarak güncelleriz.
2. Sistemi yavaşlatma veya ele geçirebilecek saldırılar gibi sisteme zarar verebilecek her türlü saldırıyı önlemek ve virüs korumak amacıyla gereken güvenlik duvarlarını, yazılımları ve donanımları uygularız.
3. Kurduğumuz sistemler niteliğinde, gerekli iç kontrolleri yaparız.
4. Kurduğumuz sistemler niteliğinde, bilgi teknoloji risk değerlendirmesini yaparız ve iş analizinin gerçekleştirilmesi için süreçleri yürütürüz.
5. Kişisel verilerin şirketimiz dışına sızmasını engellemek ya da gözlemlemek amacıyla teknik altyapıyı temin ederiz ve ilgili matrislerin ortaya çıkmasını sağlarız.
6. Düzenli periyotlarda ve herhangi bir ihtiyaç halinde sızma testi hizmeti alırız. Böylece, sistem zafiyetlerini kontrol etmiş oluruz.
7. Güvenlik kamera sistemleri ile fiziksel bölgelere giriş çıkışları takip ederiz.
8. Önemli veri işleme alanlarında, kart okuyucu sistemler ve parmak okuma sistemleri kurulmuştur.
9. TS/ISO 27001 Bilgi Güvenliği Yönetim Sistemleri Güvenlik standartlarından faydalanırız.
10. Bilgi teknolojileri birimlerinde çalışan personellerimiz, kişisel verilere erişme yetkilerini kontrol altında tutarlar.
11. Sadece belirlenen yetkili kişiler dijital ortamlardan sağlanan verilere erişebilir ve verileri işleyebilirler.
12. Kişisel verileri yok ettiğimizde, veriler geri dönüştürülemez ve geriye denetim izi bırakamaz .
13. Kişisel Verilerin Korunması Kanunu(KVVK)’na uyarak kişisel verileri sakladığımız her türlü dijital platformu, bilgi güvenliğini sağlayarak şifreli veya kriptografik metotlarla koruruz.
14. İnternet ortamındaki yayınların düzenlenmesi ve işlenen suçlarla mücadele edilmesine yönelik kanun esaslarına göre gerekli loglama işlemlerini gerçekleştiririz.
15. Kullandığımız bilişim sistemlerimizle düzenli periyotlarda ‘Sızma Testler’ini ve ‘Zafiyet Testleri’ni yaparız. Oluşabilecek herhangi bir riskli duruma karşı iyileştirme çalışmalarımızı ivedilikle gerçekleştiririz.
• İdari Tedbirler
1. Sakladığımız kişisel verilere, sadece iş tanımındaki görevden dolayı bu işle görevlendirilen personelimiz erişim sağlayabilir. Verinin nitelik özelliğini ve önem derecesini dikkate alarak sınırlandırma yaparız.
2. Eğer işlediğimiz kişisel veriler hukuka uygun olmayan şekilde başkaları tarafından elde edilirse, derhal ilgili yetkiliye ve kurula bildiririz.
3. Kişisel verilerini paylaşan şahıslarla, kişisel verilerin korunması ve veri güvenliği hususunda sözleşme imzalarız veya mevcut sözleşmeye eklenmiş olan yeni hükümler ile veri güvenliğini sağlarız.
4. Kişisel verilerin işlenmesi ile ilgili bilgi ve deneyim sahibi personelleri istihdam ederiz. Kişisel verilerin korunması ve veri güvenliği hakkında personellerimize gerekli eğitimleri sağlarız.
5. Crafist® olarak, kendi tüzel kişiliğimizin gözetiminde, kanun hükümlerini uygulamak amacıyla gerekli denetimleri yaparız ve yaptırırız.
6. Crafist® olarak bizim ve bizimle beraber çalışan tüm tedarikçilerimiz arasında tüm yasal iş sözleşmeleri, ek taahhütnameler ve bilgi güvenliği ile ilgili tüm gizlilik sözleşmeleri imzalanır.
7. Crafist® olarak bizim ve yurt dışındaki veri paylaşımı yaptığımız tüm şirketler arasında, şirket bazında tüm yasal iş sözleşmeleri, taahhütnameler ve gizlilik sözleşmeleri imzalanır.
8. Crafist®, olarak şirketimiz ve çalışan personellerimiz veya hizmet aldığımız tedarikçiler olmak üzere 3. taraflar arasında iş sözleşmeleri, taahhütnameler ve gizlilik sözleşmeleri imzalanır.
9. Müşterilerimizden gelen talepleri, kişisel verilerin geçerli yasal süreler bağlamında korunması ile ilgili yönetmelik gereğince karşılayarak işleme tabi tutarız ve başvuru sahibine dönüş yaparız.
10. Crafist® çatısı altındaki birimlere ait tüm süreçler belirlenmiştir. Süreçlerin risk değerlendirmeleri yapılarak gereken idari ve teknik önlemler alınmıştır.
11. Crafist® olarak personellerimize, kişisel verilerin hukuka aykırı şekilde erişimlerinin engellenmesi hususunda gerekli eğitimleri sağlarız.
12. Crafist® olarak, fiziksel ortamlardaki kişisel verileri içeren evrak ve dokümanların imhasını ve yok edilmesini kağıt öğütme makineleri aracılığı ile sağlarız.
• Özel Nitelikteki Kişisel Veriler için Güvenliğin Sağlanması
Özel nitelikli kişisel veriler olarak kabul edilen veriler; ırk, etnik köken, siyasi fikir, inanç, din, mezhep, kılık ve kıyafet, sağlık, cinsel hayat, herhangi bir dernek veya sendika üyeliği, ceza mahkumiyeti ve güvenlik önlemlerine ilişkin biyometrik ve genetik verilerdir.
Crafist® olarak, kişisel verilerin korunması ile ilgili politikamızda belirttiğimiz özel nitelikli kişisel verileri hukuka uygun olarak idari ve teknik önlemler alarak korumaktayız.
7. Crafist®’de Kişisel Verilerin İmha Usulleri
Crafist® olarak kişisel verileri, kişisel verilerin korunması ile ilgili yasal yükümlere uygun olarak işleriz. İşlediğimiz verilerin işleme gerekleri ortadan kalkarsa, kişisel veriler resmen veya ilgili kişinin isteği doğrultusunda veri sorumlumuz tarafından silinir, anonim hale getirilir ya da yok edilir.
Silinmesi, anonim hale getirilmesi veya yok edilmesi gereken kişisel verilerin araştırmasını ve taramalarını 6 ayda bir düzenli şekilde yaparız. Otomatik yolla veya manuel olarak gerçekleştirdiğimiz silme, anonim hale getirme ya da yok etme işlemlerine ilişkin log kayıtlarını 3 yıl süre ile saklarız.
Crafist® olarak kişisel verilerin imha usullerini aşağıda açıkladığımız şekilde gerçekleştiririz.
7.1 Fiziksel Ortamda Bulunan Kişisel Verilerin Silinmesi veya Yok Edilmesi
Kişisel veriler bazen otomatik olmayan yollarla işlenebilir. Otomatik olmayan yollarla işlenen kişisel verileri silerken veya yok ederken, kişisel verileri sonradan tekrar kullanmayacak şekilde fiziksel olarak yok ederiz.
Dijital ortamlarımızda işlenen kişisel verileri yok etmek gerektiğinde, teknik uzmanlarımız ilgili fiziksel donanım ve cihazları tamamen kullanılamaz hale getirir.
Faaliyetlerini sona erdirdiğimiz, veri sahiplerinin talebi doğrultusunda sona erdirdiğimiz ya da yasaların öngördüğü saklama süresi sona eren kağıt üzerindeki kişisel verileri kağıt öğütücü makineler ile tamamen yok ederiz.
7.2 Kişisel Verilerin Uygulama Yazılımları ve Veri Tabanlarından Silinmesi ya da Yok Edilmesi
Crafist® olarak etkinliklerimizi yürütebilmek amacıyla, çeşitli dijital platformlarda farklı uygulama yazılımları kullanarak, kişisel verilerin korunması politikamıza göre veri toplayıp işleriz.
Uygulama yazılımlarında tuttuğumuz kişisel verilerin bulunduğu veri tabanlarında envanter çalışmaları yaparız. Kişisel verilerin bulunduğu veritabanlarında, bu veri tabanlarına ilişkin tablolarda ve bu tabloların hangi alanlarda tutulduğuna dair envanter hazırlarız. Hazırladığımız envanterde, doğrudan kişisel veri içermeyen, fakat eşleştirme yapıldığında herhangi bir kişi ile eşleşme olasılığı olan tablolar ve alanları da belirtiriz.
Veri sahibi kişilerin veri silinmesini talep ettiği zamanlar olabilir. Böyle zamanlarda, yasal hükümlere göre belirlenmiş ve şirketimizin politikasında belirtilmiş olan saklama süreleri dolmayan gruplardaki kişisel veriler dışında kalan tüm kişisel verileri ilgili tablolardan sileriz.
Ancak, kişisel verileri silme işlemi sırasında diğer verilere sistem içinde ulaşamadığımız ya da verileri kullanamadığımız durumlar yaşanabilir. Bu gibi durumlarda, bazı koşulların sağlanması şartıyla, verileri kişiyle ilişkilenmeyecek hale getirip arşivleriz ve arşivlediğimiz verileri de silmiş sayarız. Bu koşullar;
 Diğer herhangi bir kuruluşun veya kişinin erişimine kapalı olması.
 Kişisel verilere sadece yetkili kişilerin ulaşabilmesini sağlayacak her türlü idari ve teknik tedbirlerin alınması.
Dijital platformlardaki ekipmanların yok edilmelerini demanyetize etme, fiziksel şekilde yok etme ve üzerine yazma yöntemleriyle gerçekleştiririz.
• Demanyetize Etme: Manyetik şekilde depolanan medyaların üzerindeki verileri, yüksek manyetik alana maruz bırakarak okunamayacak biçimde bozulmasını sağlarız. Bu şekilde başarılı olamazsak, medyanın fiziksel yok edilmesi yöntemiyle işlemi tamamlarız.
• Fiziksel Yok Etme: Otomatik olmayan yollarla kaydedilen kişisel verileri, sonradan kullanamayacak biçimde fiziksel şekilde yok ederiz. Kağıt veya basılı kopya şeklindeki verileri ancak bu şekilde yok edebiliriz.
• Üzerine Yazma: Eski verinin kullanılabilmesini ve okunabilmesini, manyetik veya yeniden yazılabilen optik medya üzerinden özel bir yazılım ile imkansız hale getiririz.
Bazı durumlarda, Crafist® olarak kişisel verilerin silinmesini sağlamak için, gereken gizlilik ve tedarikçi sözleşmelerini yaptığımız teknik bir uzmanla anlaşırız. Teknik uzmanlar tarafından güvenli şekilde silinen kişisel veriler bir daha kullanılamaz hale gelir.
7.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verileri anonim hale getirirken maskeleme, değişken çıkarma ve veri değiştirme yöntemleri olmak üzere üç yöntemden yararlanırız.
7.3.1 Maskeleme
Kişisel verilerin formatını değiştirmeden sadece değerleri değiştiririz ve bu değişimi hiçbir zaman tespit edilmeyecek ve geri dönüşümü olmayacak şekilde sağlarız.
7.3.2 Değişken Çıkarma
Kişisel verileri ve özel nitelikteki kişisel verileri sakladığımız veri tabanı tablolarındaki tanımlayıcılığı yüksek olan bir ya da birden fazla sütunu çıkartırız.
7.3.3 Veri Değiştirme
Veri tabanı tablolarında sakladığımız, aynı cinsten sütunlarda yer alan kişisel verilerin veya özel nitelikteki kişisel verilerin satırlarının yerlerini rastgele değiştiririz.
8. Crafist®’de İlgili Kişi (Veri Sahibi)’nin Hakları
Crafist® olarak size sunduğumuz kişisel verilerin korunması ile ilgili politikamızda bahsi geçen veri sahiplerinin haklarını aşağıdaki gibi açıklarız.
• Kişisel verilerin işlenip işlenmediğini öğrenmek.
• İşlenen kişisel verilere dair bilgi talep etmek.
• İşlenen kişisel verilerin amaçlarını ve amaçlara uygunluğunu öğrenmek.
• Kişisel verilerin iletildiği yurt içindeki veya yurt dışındaki üçüncü kişileri bilmek.
• İşlenen kişisel veriler eksik veya yanlışsa, kusurların düzeltilmesini istemek ve bu çerçevede uygulanan işlemin verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek.
• İşlenen kişisel verilerin özellikle otomatik sistemler ile analiz edilmesi şartıyla, kişinin aleyhte bir sonuç çıkarmasına itiraz etmek.
• Kişisel veriler kanuna uygun olmayan şekilde işlenirse ve zarara uğrarsa, zararın telafi edilmesini istemek.
Crafist® olarak, gelen talepleri en geç 30(otuz) gün içinde ücretsiz şekilde sonuçlandırırız. Ancak, sonuçlandırdığımız taleplere dair bir maliyet ortaya çıkarsa, Kişisel Verileri Koruma Kurulu’nun belirlediği ücretleri talep edebiliriz. Kişisel verilerin açık rıza ile işlendiği durumlarda açık rıza geri alınırsa, kişiler açık rızaya dayanan işlemin gerektirdiği üyelik sisteminden çıkarılır ve o tarihten itibaren yararlandıkları avantajlardan yararlanamaz duruma getirilir.
Kişisel verilerle ilgili yönetmelik ve politikamız çerçevesindeki değişimleri web sitemizden takip edebilirsiniz.
Çalışma Saatleri: Hafta içi 09.00-18.00
Veri Sorumlusu: KAROPAK ENDÜSTRİYEL SANAYİ TİCARET ANONİM ŞİRKETİ
Adres : Ataşehir Mahallesi, 8229/2 Sok. No:17, 35620 Çiğli/İzmir
Kişisel verileriniz ile ilgili talepleriniz için e-posta: kvkk@karopak.com
Müşteri İletişim Merkezi: +90 539 599 19 79
Veri İrtibat Kişisi:Ebru Fatma Göçmen
Adres: İnönü Caddesi Sümer Sk. Sümko Sitesi I-3 blok No:2 Kozyatağı – Kadıköy – İstanbul
E-Posta: crafist@crafist.com
Tarafımıza ulaştırdığınız talepleri veri irtibat kişimiz değerlendirir ve gelen talebin niteliğine göre en geç 30 gün içinde ilgiliye belirttiğimiz iletişim kanallarımızdan ulaşarak bilgi verir.
Diğer konulardaki destek ve bilgi talepleriniz için e-posta: info@karopak.com