You are here:
  1. Home
  2. Policies

POLICIES

  • We shall inspire strategy-bound corporate management and leadership to all our employees,
  • We shall support personal improvement of our employees with continuous training and increase their productivities and motivations,
  • We shall ensure follow up of all processes by measurable value management and developing self-evaluation-based strategies in achieving strategic targets,
  • By adopting process and continuous improvement approach in our management system with risk-based thinking; we shall ensure and increase sustainability of our productivity, efficiency of our system, our market share, our profitability and competition power,
  • We shall comply with applicable primary and secondary legislation conditions,
  • We shall perform studies to develop quality awareness of our suppliers,
  • We shall meet the needs and expectations of relevant parties in compliance with the conditions of quality management system,
  • We shall offer innovative solutions to engineering plastic world with products and techniques we develop,
  • We shall exist and maintain in international markets to increase customer satisfaction by improving our innovation and agility skills.
  • We shall not harm the ecological balance and ensure avoiding pollution with all our activities,
  • We shall consider environmental impacts in new product and product development studies,
  • We shall conduct studies to raise environmental consciousness of relevant parties,
  • We shall provide minimizing wastes at the resource and reusing and recycling them whenever possible and destroying non-recovered wastes by appropriate methods,
  • We shall provide using energy, raw materials and natural resources efficiently,
  • We shall comply with our legal obligations, applicable environmental legislations and conditions of the associations we are a member of,
  • While offering innovative solutions for our customers’ needs in international markets, we shall consider their impacts on the environment,
  • We shall suit all our processes to environmental management system with a risk-based mindset by adopting continuous improvement approach.

We at Epsan and group companies consider people as the most important assets in all the activities we carry out. Therefore, aiming to create awareness of occupational health and safety for all employees, we constantly improve ourselves and act in accordance with the following principles;

  • Minimize any type of loss as a priority business purpose by means of providing a more secure and healthier working environment,
  • Comply with all the laws and regulations on Occupational Health and Safety,
  • Organize training activities that are intended to create and enhance awareness of occupational health and safety for all employees,
  • Make the culture of occupational health and safety a lifestyle,
  • Allocate resources for activities carried out for occupational health and safety,
  • Provide and ensure use of personal protective equipment required to be used in working environments,
  • Identify any factor that may cause occupational accidents and diseases at earlier stages by means of adopting the target for zero occupational accident and disease and, eliminate all the respective risks by means of taking required measures,
  • Ensure that each employee, supplier, intern, and visitor complies with the OHS rules.

In order to ensure that these principles are efficiently applied, risks are analyzed and, measures are taken to minimize the risks identified accordingly. All types of equipment are checked and, all periodic tests and measurements are carried out in due time to eliminate all possible dangers and risks at source.

Annual training activities concerning the applications of occupational health and safety are repeated each year, which creates continuous improvement, development and personal awareness among employees.

We believe that human resources are our greatest power to achieve our strategic targets and, manage the growth under the ever-changing competition conditions. We believe that PEACE AT WORK created by respect, understanding, and environment of trust in the working life relationships affects the loyalty and professional success of our employees and, make great efforts to maintain it.

We aim to employ such human resources that are open to innovations and changes and, that are dynamic aiming to continuously improve themselves and, respecting ethical values, and we are committed to keeping the satisfaction and motivation of our employees at the highest levels through the Human Resources Management Processes.

With the awareness of social responsibility and, without making any discrimination of religion, language, race, gender, civil status, physical disability, region etc., during the selection of human resources needed by our group companies;

  • We Recruit people among those who have such knowledge and skills that meet the requirements of the respective position,
  • Have a great potential for improvement,
  • Adopt and sustain the values of our company and, attach importance to ethical values,
  • And are above 18 as per the Regulations on Heavy and Dangerous Works, considering the principle of equal opportunities.

In accordance with the globalization vision of our company that is continuously growing and improving, we give priority to our internal resources, i.e. existing employees in order to meet the requirements for human sources in vacant locations and positions.

We carry out an efficient Career Management through changes of positions vertically and horizontally due to training and competence management systems that are intended to increase the personal and professional competencies of our employees.

  1. Section
       
    • Introduction
Protection of personal data is among the most important precedences of Epsan Plastik San. Tic. A.Ş. (“Epsan” or “Company”) and it decisively strives to comply with all the legislation in force in this regard. Within the framework of this Personal Data Protection and Processing Policy of Epsan Plastik Sanayi Ticaret Anonim Şirketi (“Policy”), the principles adopted in the conduct of personal data processing activities carried out by our Company and the basic principles adopted in terms of the compliance of our Company’s data processing activities with the regulations contained in the Personal Data Protection Law No. 6698 (“Law”) are explained, and thus, our Company ensures the necessary transparency by informing the data subjects.  Being fully aware of our responsibility in this context, your personal data is processed and protected within the scope of this Policy.  
  • Scope
This Policy applies to all personal data of persons other than the employees of our Company, which are processed by completely or partially automated or non-automated ways provided that they are part of any data recording system. Detailed information about said data subjects can be accessed from the document ANNEX 2 (“ANNEX 2- Data Subjects“) to this Policy. The activities carried out by Epsan regarding the protection of the personal data of our employees are managed under Personal Data Protection and Processing Policy for Epsan Plastik Sanayi Ticaret Anonim Şirketi Employees, which is written in parallel with the principles in this Policy.   Details of the personal data processing activities carried out by our company for Epsan employee candidates or Epsan employees, can be accessed respectively from the Personal Data Protection and Processing Policy for Epsan Plastik San. Tic. A.Ş. Employee Candidates and the Personal Data Protection and Processing Policy for Epsan Plastik San. Tic. A.Ş. Employees at http://epsan.com.tr/kvkk/.  
  • Implementation of the Policy and Relevant Legislation
The relevant legal regulations in force regarding the processing and protection of personal data shall be implemented. If there is incompatibility between the legislation in force and the Policy, our Company agrees that the legislation in force shall be implemented. The policy regulates the rules set forth by the relevant legislation by materializing them within the scope of Company practices.  
  • Definitions and Abbreviations
 
Explicit Consent Consent to a specific subject, based on information and expressed in free will.
Anonymization Rendering personal data impossible to link with an identified or identifiable natural person, even through matching them with other data.
Employee(s) Epsan Employees
Employee PDP Policy “Employees Personal Data Protection and Processing Policy”, in which the principles regarding the protection and processing of the personal data of Epsan employees are regulated.
Personal Health Data All kinds of information about the physical and mental health of an identified or identifiable natural person and information about the health service provided for the person.
Personal Data Any information about an identified or identifiable natural person.
Data Subject  Natural person whose personal data is processed. For example; customers and employees.
Processing of Personal Data   Means any transaction performed on data such as obtaining , recording, storing, maintaining, modifying, reorganization, disclosure, transferring, acquisition, bringing into be obtained, classification or preventing use of personal data by completely or partially automated or non-automated ways provided that they are part of any data recording system
PDP Law Law No. 6698 on the Protection of Personal Data dated March 24, 2016 and published in Official Gazette No. 29677 of April 7, 2016.
PDP Board: Personal Data Protection Board.
PDP Authority: Personal Data Protection Authority
Special Categories of Personal Data   Data related to race, ethnicity, political opinion, philosophical belief, religion, sect or other beliefs, appearance and clothing, association, foundation or trade union membership, health, sexual life, criminal conviction and security measures, and the biometric and genetic data.
Epsan / Company Epsan Plastik Sanayi ve Ticaret Anonim Şirketi
EPSAN PERSONAL DATA DESTRUCTION POLICY In accordance with the Regulation on the Deletion, Destruction and Anonymization of Personal Data, the “Personal Data Retention and Destruction Policy of Epsan”, which is the basis for determining the maximum period required by Epsan for the purpose for which personal data are processed, as well as for deletion, destruction and anonymization.  
EPSAN PDP Policy Personal Data Protection and Processing Policy of Epsan Plastik Sanayi ve Ticaret Anonim Şirketi.  
Suppliers Parties providing goods and services to Epsan on a contractual basis
Data Controller Application Form The application form that data subjects will benefit from when using their applications regarding their rights under Article 11 of the PDP Law.
Employee PDP Policy Personal Data Protection and Processing Policy For Epsan Plastik San. Tic A.S. Employees
Constitution of the Republic of Turkey The Constitution of the Republic of Turkey No. 2709 dated November 7, 1982, published in the Official Gazette No. 17863 of November 9, 1982.  
Turkish Penal Code   Turkish Penal Code No. 5237 dated September 26, 2004 and published in Official Gazette No. 25611 of October 12, 2004.  
Data Processor The natural or legal person who processes personal data on behalf of the data controller upon his/her authorization.
Data Controller The person who determines the purposes and means of processing personal data and manages the place of storage of data in a systematic manner.
Registry of Data Controller Registry of Data Controller, which is kept under the supervision of the Personal Data Protection Authority under the supervision of the PDP Board and is open to the public.
Communiqué on the Principles and Procedures of Application to the Data Controller Communiqué on the Procedures and Principles of Application to the Data Controller, which was published in the Official Gazette No. 30356 of March 10, 2018 and entered into force.  
 
  • Policy Validity and Current Version
  The date of publication and update of the policy is on the first page. You can access the latest version at http://www.epsan.com.tr.  
  1. SECTION – ISSUES RELATED TO THE PROTECTION OF PERSONAL DATA
 
  • Ensuring the Security of Personal Data
In accordance with Article 12 of the Law, our Company takes the necessary measures according to the nature of the data to be protected in order to prevent the unlawful disclosure, access, transfer or security deficiencies that may occur in other ways. In this context, our Company takes administrative measures, carries out audits or has audits carried out to ensure the necessary level of security in accordance with the guidelines published by the PDP Board.  
  • Protection of Special Categories of Personal Data
  The law attributes special importance to a number of personal data due to the risk of causing victimization or discrimination of individuals when processed unlawfully. These are; data related to race, ethnicity, political opinion, philosophical belief, religion, sect or other beliefs, appearance and clothing, association, foundation or trade union membership, health, sexual life, criminal conviction and security measures, and the biometric and genetic data.   Epsan acts responsibly in the protection of special categories of personal data, which is determined as “in special categories” by PDP Law and processed lawfully. In this context, the technical and administrative measures taken by Epsan for the protection of personal data are carefully applied in terms of special categories of personal data and necessary audits are carried out within Epsan.   Detailed information on the processing of special categories of personal data is provided in section 3.3 (“Processing of Special Categories of Personal Data”) of this Policy. .  
  • Increasing The Awareness of Business Units on The Protection and Processing of Personal Data and Auditing
Epsan provides the necessary trainings for business units to raise awareness to prevent unlawful processing of personal data, unlawful access to personal data and to ensure the retention of data.   In order for Epsan employees to be aware of the protection of personal data, the necessary systems are being established and consultants are being worked with if needed regarding this issue. In this direction, our Company evaluates the participation in the relevant trainings, seminars and information sessions and updates and renews the trainings in parallel with the updates in the relevant legislation.  
  1. SECTION – ISSUES RELATED TO THE PROCESSING OF PERSONAL DATA
 
  • Processing of Personal Data in Accordance with the Principles Stipulated in the Legislation
  3.1.1. Processing In Accordance With the Law and With Good Faith Epsan acts in accordance with the principles introduced by legal regulations and with good faith in the processing of personal data. Within this framework, personal data is processed to the extent required by Epsan’s business activities and limited thereto.   3.1.2. Ensuring That Personal Data Is Accurate and Up to Date When Necessary Epsan takes the necessary measures to ensure that the personal data is accurate and up to date during the processing period and establishes the necessary mechanisms for certain periods to ensure the accuracy and up-to-dateness of the personal data.   3.1.3. Processing For Specific, Explicit and Legitimate Purposes Epsan clearly reveals the purposes of processing personal data and processes them within the scope of the purposes related to these activities in line with its business activities.   3.1.4. Being Relevant with, Limited to and Proportionate to the Purposes For Which They Are Processed Epsan collects personal data only in the nature and to the extent required by its business activities and processes it limited to the determined purposes.   3.1.5. Retaining For the Period Stipulated by Relevant Legislation or the Purpose for Which They Are Processed Epsan keeps personal data for the period required for the purpose for which they are processed and for the minimum period stipulated in the legal legislation to which the relevant activity is subject. In this context, Epsan first confirms whether a period of time is foreseen for the storage of personal data in the relevant legislation and if a period is determined acts in accordance with this period. If there is no legal period, personal data are stored for the period required for the purpose for which they are processed.  Personal data are destroyed at the end of the specified storage periods in accordance with the periodic destruction periods or the application of the data subject and with the determined destruction methods (deletion and/or destruction and/or anonymization).   3.2. Conditions For Processing Personal Data Except for the explicit consent of the data subject, the basis of the personal data processing activity may be only one of the conditions specified below as well as more than one condition may be the basis of the same personal data processing activity. If the processed data is special category data, the conditions in title 3.3 (“Processing of Special Categories of Personal Data”) of this Policy shall apply.   One of the conditions for processing personal data is the explicit consent of the data subject. The explicit consent of the data subject should be declared related to a particular subject, on the basis of information and with free will.   In the presence of the following personal data processing conditions, personal data may be processed without the explicit consent of the data subject.  
  1. Explicit Stipulation in Law
If the personal data of the data subject is explicitly stipulated in the law, in other words, if there is an explicit provision in the relevant law regarding the processing of personal data, the existence of this data processing condition may be in question.  
  1. Failure to Obtain Explicit Consent of the Person Concerned Due to Physical Disability
The personal data of the data subject may be processed if it is mandatory to process the personal data of the person for the protection of the life or physical integrity of the person himself or of any other person, who is unable to express his/her consent due to physical disability or legal validity cannot granted for his/her consent.   iii. Directly Related to the Establishment or Performance of the Agreement Provided that it is directly related to the establishment or performance of an agreement to which the data subject is a party, this condition may be deemed to have been fulfilled if the processing of personal data is necessary.  
  1. Fulfilling the Company’s Legal Obligation
The personal data of the data subject may be processed if processing is mandatory in order for our company to fulfill its legal obligations.  
  1. Data Subject’s Making His / Her Personal Data Public
If the data subject has made his/her personal data public, the relevant personal data may be processed for the purpose of making it public.  
  1. Data Processing Is Mandatory For the Establishment, Exercise or Protection of a Right
If data processing is mandatory for the establishment, exercise or protection of a right, the personal data of the data subject may be processed.   vii. Data Processing is Mandatory for the Legitimate Interest of our Company The personal data of the data subject may be processed if it is mandatory for the legitimate interests of our Company to process data, provided that it does not harm the fundamental rights and freedoms of the data subject.   3.3. Processing of Special Categories of Personal Data   Special categories of personal data are processed by our Company in accordance with the principles set forth in this Policy and by taking all necessary administrative and technical measures, including the methods to be determined by the PDP Board, and in the presence of the following conditions:   (i) Special categories of personal data except for health and sexual life, may be processed without seeking the explicit consent of the data subject if it is explicitly stipulated in the laws, in other words, if there is an explicit provision regarding the processing of personal data in the law to which the relevant activity is subject. Otherwise, the explicit consent of the data subject will be obtained in order to process the special categories of personal data.   (ii) Special categories of personal data concerning health and sexual life, may be processed, without seeking explicit consent, by the persons subject to secrecy obligation or competent public institutions and organizations, for the purposes of protection of public health, operation of preventive medicine, medical diagnosis, treatment and nursing services, planning and management of health-care services as well as their financing. Otherwise, the explicit consent of the data subject will be obtained in order to process the special categories of personal data.   3.4. Clarification of the Data Subject   Epsan makes clarifications to the data subjects in accordance with the article 10 of the PDP Law and the secondary legislation. In this context, as the data controller, Epsan informs the relevant persons about by whom, for what purposes the personal data is processed, for what purposes it is shared with whom, by what methods it is collected and legal reasons regarding thereof and the rights of the data subjects within the scope of the processing of their personal data.   3.5. Transfer of Personal Data Our Company may transfer the personal data and special categories of personal data of the personal data subject to third parties (third party companies, official and private authorities, third real persons) by taking the necessary security measures in line with the personal data processing purposes in accordance with the law. Accordingly, our Company acts in accordance with the regulations stipulated in Article 8 of the PDP. Detailed information on this subject can be found in the document ANNEX 4 (“ANNEX 4- Third Parties to whom Personal Data is Transferred by our Company and the Purposes of Transfer“) to this Policy.   3.5.1 Transfer of Personal Data Even if there is no explicit consent of the data subject, if one or more of the following conditions exist, the personal data may be transferred to third parties by taking the necessary care by our Company and taking all necessary security measures including the methods stipulated by the Board.
  • The relevant activities related to the transfer of personal data are explicitly stipulated in the laws,
  • The transfer of personal data by the Company is directly related to the establishment or performance of an agreement and is necessary,
  • It is necessary for compliance with a legal obligation to which our Company is subject
  • It is transferred by our Company in a limited manner for the purpose of making it public, provided that the personal data is made public by the data subject,
  • The transfer of personal data by the Company is mandatory for the establishment, use or protection of the rights of the Company or the data subject or third parties,
  • The transfer of personal data is mandatory for the legitimate interests of the Company provided that the personal data does not harm the fundamental rights and freedoms of the data subject,
  • When it is inevitable to protect the life or bodily integrity of a person or someone else who is unable to give consent due to actual impossibility or whose consent is legally not valid.
  In addition to the above, personal data may be transferred to foreign countries declared to have adequate protection by the PDP Board in the presence of any of the above conditions. In the absence of adequate protection, in line with the data transfer conditions stipulated in the legislation, it may be transferred to foreign countries where the data controllers in Turkey and the relevant foreign country have undertaken an adequate protection in writing and where the PDP Board has permission.   3.5.2 Transfer of Special Categories of Personal Data   Special categories of personal data may be transferred by our Company in accordance with the principles set forth in this Policy and by taking all necessary administrative and technical measures, including the methods to be determined by the Board, and in the presence of the following conditions:   (i) Special categories of personal data except for health and sexual life, may be transferred without seeking the explicit consent of the data subject if it is explicitly stipulated in the laws, in other words, if there is an explicit provision regarding the processing of personal data in the relevant law. Otherwise, explicit consent of the data subject will be obtained.   (ii) Special categories of personal data concerning health and sexual life, may be transferred, without seeking explicit consent, by the persons subject to secrecy obligation or competent public institutions and organizations, for the purposes of protection of public health, operation of preventive medicine, medical diagnosis, treatment and nursing services, planning and management of health-care services as well as their financing. Otherwise, explicit consent of the data subject will be obtained.   In addition to the above, personal data may be transferred to foreign countries declared to have adequate protection by the PDP Board in the presence of any of the above conditions. In case there is no adequate protection, it may be transferred to foreign countries where the Data Controller Undertaking Adequate Protection and the PDP Board have permission in line with the data transfer conditions stipulated in the legislation.  
  1. SECTION – CATEGORIZATION OF PERSONAL DATA PROCESSED BY OUR COMPANY AND PURPOSES FOR PROCESSING
  In accordance with Article 10 of the Law and secondary legislation, the relevant persons are informed and personal data are processed in accordance with the general principles specified in the Law, especially the principles specified in Article 4 of the Law on the processing of personal data, based on and limited to at least one of the personal data processing conditions specified in Articles 5 and 6 of the Law, in line with the personal data processing purposes of our Company. Within the framework of the purposes and conditions specified in this Policy, detailed information about the categories of processed personal data and categories will be available in the document of ANNEX 3 (“ANNEX 3- Personal Data Categories“) to the Policy.   Detailed information on the purposes of processing said personal data is included in ANNEX 1 (“ANNEX 1- Purposes of Processing Personal Data“) to the Policy.  
  1. SECTION – STORAGE AND DESTRUCTION OF PERSONAL DATA
  Epsan keeps personal data for the period required for the purpose for which they are processed and for the minimum period stipulated in the legal legislation to which the relevant activity is subject. In this context, our Company first confirms whether a period of time is foreseen for the storage of personal data in the relevant legislation and if a period is determined acts in accordance with this period. If there is no legal period, personal data are stored for the period required for the purpose for which they are processed. Personal data are destroyed at the end of the specified storage periods in accordance with the periodic destruction periods or the application of the data subject and with the determined destruction methods (deletion and/or destruction and/or anonymization).  
  1. SECTION – RIGHTS OF DATA SUBJECTS AND EXERCISE OF THESE RIGHTS
  6.1. Data Subject’s Rights Personal data subjects have the following rights: (1) To learn whether the personal data are processed or not, (2) To request information if the personal data are processed, (3) To learn the purpose of the data processing and whether this data is used for intended purposes, (4) To know the third parties to whom his/her personal data is transferred at home or abroad, (5) To request correction of personal data in case of incomplete or incorrect processing and to request the notification of the transaction made within this scope to third persons to whom the personal data are transferred, (6) To request the deletion or destruction of personal data in the event that the reasons requiring their processing are eliminated, and to request the notification of the transaction made within this scope to third persons to whom the personal data are transferred, although it was processed in accordance with the provisions of Law and other relevant laws, (7) To object to the processing of his/her personal data, exclusively by automatic means, which leads to an unfavorable consequence for the person himself/herself, (8) To request compensation for the damage arising from the unlawful processing of the personal data.   6.2. Data Subject’s Exercise of His/Her Rights Data subjects will be able to submit their requests regarding their rights listed in section 6.1 (“Data Subject’s Rights“) to our Company through the methods determined by the PDP Board. In this direction, they can use the “Epsan Data Subject Application Form” which can be accessed at https://www.epsan.com.tr/…KVK-Basvuru-Formu.pdf.   6.3. Our Company’s Response to Applications   Our Company takes the necessary administrative and technical measures to finalize the applications to be made by the data subject in accordance with the PDP Law and secondary legislation.   In the event that the data subject duly submits his/her request regarding the rights specified in section 6.1 (“Data Subject’s Rights“) to our Company, our Company will finalize the relevant request free of charge as soon as possible and within 30 (thirty) days at the latest according to the nature of the request. But if the transaction necessitate a separate cost, the fee in the tariff determined by the Board may be charged.  
  1. SECTION – SPECIAL CASES IN WHICH PERSONAL DATA IS PROCESSED
  7.1. Personal Data Processing Activities Carried Out When Entering the Building, Facility and Within the Building, Facility as well as Website Visitors   In order to ensure security by Epsan, personal data processing activities are carried out in Epsan buildings and facilities with security cameras for monitoring guest entrances and exits.   7.2. Camera Monitoring Activities Carried Out at the Entrances and Within Epsan Buildings, Facilities    In order to ensure security in its buildings and facilities, Epsan carries out camera monitoring activities in accordance with the Law on Private Security Services and related legislation. In order to ensure security in its buildings and facilities, Epsan carries out security camera monitoring activities in accordance with the personal data processing conditions listed in the PDP Law for the purposes stipulated in the relevant legislation in force.   In accordance with Article 10 of the Law, Epsan makes clarification for the data subject with more than one method related to camera monitoring activities. In addition, in accordance with Article 4 of the PDP Law, Epsan processes personal data in a limited and measured manner in connection with the purpose for which they are processed.   The purpose of maintaining the video camera monitoring activity by Epsan is limited to the purposes listed in this Policy. In this direction, the monitoring areas and the number of the security cameras, and the period of monitoring is implemented adequately and to a limited extent in order to achieve the purpose of security. Monitoring is not carried out in areas that may result in interference (e.g. toilets) in a way that violate the privacy of the person or outside the security purposes.   Only a limited number of Epsan employees have access to live camera footage and recorded and stored in digital environment. A limited number of people who have access to the records declare that they will protect the confidentiality of the data they access with an undertaking of confidentiality.   7.3. Follow-up Carried Out at the Entrances and Within Epsan Buildings, Facilities  Epsan carries out personal data processing activities for the purpose of ensuring security and monitoring guest entrances and exits in Epsan buildings and facilities for the purposes specified in this Policy.   The data subjects in question are clarified in this context when obtaining the names and surnames of the persons who visit Epsan buildings as guests or through the texts posted within Epsan or otherwise made available to the guests. Data obtained for the purpose of guest entrance-exit follow-up are processed only for this purpose and the relevant personal data are recorded in data recording system in physical environment.   ANNEX 1 – Purposes of Personal Data Processing  
MAIN PURPOSES (Primary) SUB-PURPOSES (Secondary)
Planning and Execution of the Company’s Human Resources Policies and Processes   Execution of Personnel Procurement Processes  
Employee Request and Complaint Management
Planning of analysis and improvement activities for wage management
Planning and supporting the processes of providing fringe benefits of the employees  
Supporting the planning activities of wage management of its employees
Planning and managing processes to increase the satisfaction and loyalty of employees
Planning and/or Execution of Intern and/or Student Supply, Placement and Operation Processes
Carrying out the Necessary Works by Our Related Business Units for Performing the Commercial Activities of the Company and Executing the Related Business Processes   Event Management
Planning and Execution of Corporate Communication Activities
Planning, Supervision and Execution of Information Security Processes
Establishment and Management of Information Technology Infrastructure
Follow-up of Financial and/or Accounting Affairs
Planning and Execution of Corporate Sustainability Activities
Planning and/or Execution of Activities to Perform Effectiveness/Efficiency and/or Appropriateness Analyses of Business Activities
Planning and Execution of Corporate Management Activities
Planning and Execution of the Company’s Commercial and/or Business Strategies   Management of Relationships with Partners and/or Suppliers  
Execution of Strategic Planning Activities  
Ensuring the legal, technical and commercial-occupational safety of the Company and the relevant persons in business relations with the Company,   Follow-up of Legal Affairs
Creation and Follow-up of Visitor Records
Planning and Execution of the Operational Activities Necessary to Ensure that the Company’s Activities are Carried Out in Accordance with the Company’s Procedures and/or Relevant Legislation
Ensuring the Security of Company’s Fixtures and/or Resources
Ensuring the Security of Company Operations
Providing Information to Authorized Organizations As Per Legislation
Execution of Transactions Regarding Company and Corporations Law
Ensuring Data is Accurate and Up to Date
Ensuring the Security of Company’s Buildings and/or Facilities
Planning and Execution of Company Audit Activities
  ANNEX 2 – Data Subjects  
Data Subject Category Description
Customer Employee Regardless of whether they have any contractual relationship with Epsan, natural persons whose personal data are obtained through the Company’s business relations within the scope of the operations carried out by Epsan’s business units  
Visitor Natural persons who have entered the physical campuses owned by the company for various purposes or who have visited our websites  
Employee Candidate Natural persons who have applied for a job to Epsan or who have opened their resume and related information to Epsan’s review in any way  
Employee(s) Epsan employees whose personal data are processed within the framework of activities carried out by Epsan, activities such as employee satisfaction, human resources, audit, provision of information technology security and infrastructure, legal compliance, etc.  
Family Members and Relatives Spouses, children and relatives of data subjects whose personal data are processed within the scope of this Policy within the framework of the activities carried out by Epsan
Third Party Other natural persons who are not covered by this Policy and Personal Data Protection and Processing Policy for Epsan Employees (e.g. guarantor, accompanying person, former employees)
Supplier Employee Natural persons who are employees, officials or shareholders of the party providing services to Epsan on a contractual basis in accordance with Epsan’s orders and instructions while carrying out Epsan’s business activities
Shareholders of the Company Natural persons who are Epsan shareholders
Company Official Epsan’s board member and other authorized natural persons
Employees, Shareholders and Officials of the Institutions We Cooperate with Natural persons, working in the institutions with which Epsan has any kind of business relationship (including but not limited to business partners, suppliers), including the shareholders and officials of these institutions
  ANNEX 3 – Categories of Personal Data  
PERSONAL DATA CATEGORIZATION  DESCRIPTION OF PERSONAL DATA CATEGORIZATION 
Identification Information Data containing information about the identity of the person such as name-surname, T.R. identity number, nationality information, place of birth, date of birth, gender, workplace information, registration number, tax number, title, biography, information and documents such as driver’s license, professional identity, identity card and passport
Contact Details Telephone number, address, e-mail address, fax number, etc.
Transaction Security Information Your personal data (e.g. logs, IP information, authentication information) processed to ensure our technical, administrative, legal and commercial security during the execution of our activities
Transaction Information Within the framework of the activities carried out by Epsan, data such as survey information, declaration information, shopping information, call center records, membership information, cookie records related to the services provided or processed in order to protect the legal and other interests of the Company and the data subject
Information on Family Members and Relatives Within the framework of the activities carried out by Epsan, information about family members (e.g. information about spouse, mother, father, child), relatives of data subject and other persons who can be reached in case of emergency related to the services provided or in order to protect the legal and other interests of the Company and the data subject
Security Information of Physical Space  Personal data related to the records and documents taken at the entrance to the physical space and during the stay in the physical space; camera records, vehicle information records and records taken at the security point, etc.
Financial Information Personal data processed in relation to information, documents and records showing all kinds of financial results created according to the type of legal relationship established by Epsan with the data subject and data such as bank account number, IBAN number, income information, debit/credit information
Visual/Audio Information   Photographic and camera recordings (except for recordings included in the scope of Security Information of) and audio recordings
Corporate Memory Information Information such as memoirs, interviews, etc. processed within the scope of the activities carried out by Epsan in order to create Epsan’s corporate memory
Special Categories of Personal Data   Data relating to race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, appearance and dress, membership of associations, foundations or trade unions, health, sexual life, criminal convictions and security measures, and biometric and genetic data of the persons
Legal Proceedings and Compliance Information   Personal data processed within the scope of the determination and follow-up of our legal receivables and rights, the performance of our debts and compliance with our legal obligations and the policies of our Company
Audit and Inspection Information Personal data processed in connection with the execution of our Company’s operational, financial, misconduct and compliance audit activities
Request/Complaint Management Information   Personal data related to the receipt and evaluation of any request or complaint addressed to Epsan  
  ANNEX 4 – Third Parties to whom Personal Data is Transferred by Our Company and the Purposes of Transfer In accordance with Articles 8 and 9 of the PDP Law, Epsan may transfer the personal data of the data subjects managed by this Policy to the following categories of persons: (I) Epsan’s business partners, (ii) Epsan’s suppliers, (iii) Epsan’s companies, (iv) Legally authorized public institutions and organizations (v) Legally authorized private legal persons   The scope of the above-mentioned persons to whom the transfer is made and the purposes of data transfer are stated below.  
Persons Eligible for Data Transfer Definition Purpose of Data Transfer
Business Partner It defines the parties with which Epsan establishes business partnerships for purposes such as executing various projects and receiving services while carrying out its commercial activities. Limited to ensure the fulfillment of the purposes for which the business partnership was established
Supplier It defines the parties that provide goods and/or services to Epsan on a contractual basis in accordance with Epsan’s orders and instructions while carrying out its commercial activities. Limited to ensure that the goods and/or services provided by Epsan as outsourced from the supplier and necessary to carry out its commercial activities are provided to Epsan.
Legally Authorized Public Institutions and Organizations Public institutions and organizations authorized to receive information and documents from Epsan in accordance with the provisions of the relevant legislation Limited to the purpose requested by the relevant public institutions and organizations within the scope of their legal authority,
Legally Authorized Private Legal Persons Private legal persons authorized to obtain information and documents from Epsan in accordance with the provisions of the relevant legislation Limited to the purpose requested by the relevant private legal persons within their legal authority.
 
  • 1 GİRİŞ Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir.Kişisel verilerin korunması, Epsan Plastik Sanayi ve Ticaret Anonim Şirketi (“Epsan” veya “Şirket”) için büyük hassasiyet arz etmekte olup Şirketimizin öncelikleri arasındadır. Bu konunun en önemli ayağını ise https://www.epsan.com /KVKK/Epsan-KVK-Islenmesi-Politikasi adresinde yayımlanan Epsan Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda (“KVK Politikası”) belirlenen esaslarla paralel olarak kaleme alınan işbu Epsan Plastik Sanayi ve Ticaret Anonim Şirketi Çalışan Adayları Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) oluşturmaktadır.Şirketimize iş başvurusunda bulunmuş olan çalışan adaylarının (“Çalışan Adayları”) kişisel verilerinin işlenmesi ve korunması hususu da genel hatları ile KVK Politikası kapsamında düzenlenmekle birlikte, konuya ilişkin detaylı açıklama ve düzenlemeler KVK Politikası’nda belirlenen esaslarla paralel olarak kaleme alınan işbu Politika altında yönetilmektedir. Kişisel verilerin işlenmesinde Şirketimizin uygun süreçlere sahip olması, hukuka uygun hareket etmesini sağlayacak ve bu durum tüm ilgili faaliyetleri etkileyecektir.2 POLİTİKA’NIN AMACI İşbu Politika’da Çalışan Adaylarının kişisel verileri işlenirken hangi kurallara uyulacağı düzenlenmektedir. Dolayısıyla bu Politika’nın amacı Çalışan Adaylarının kişisel verilerinin nasıl işleneceğini tespit etmektir. Bu Politika’nın bir diğer amacı da Çalışan Adaylarının kişisel verilerinin işlenmesi konusunda bilgilendirilmesidir.3 POLİTİKA’NIN KAPSAMI Bu Politika, Çalışan Adaylarının kapsamakta ve Çalışan Adaylarının otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ilişkin uygulama alanı bulmaktadır.4 YÜRÜRLÜK VE GÜNCELLENEBİLİRLİK Bu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncelleme yapılması halinde güncel Politika metni https://www.epsan.com/kariyer adresindeki internet sitemiz üzerinden yayımlanacaktır. 5 İŞE ALIM VE YERLEŞTİRME SÜRECİNDE ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ Bu bölüm altında, işe alım sürecinde Çalışan Adaylarının kişisel verilerinin işlenmesine ilişkin özel düzenlemeler yer almaktadır. 5.1 İşe Alım Sürecinde Toplanan ve İşlenen Kişisel Veriler Şirketimiz iş başvurusunda bulunan Çalışan Adaylarının aşağıdaki bilgilerini toplayabilecek ve işleyebilecektir:
    • İsim, adres, doğum tarihi, e-posta adresi, telefon numarası ve diğer iletişim bilgileri,
    • Özgeçmiş, ön yazı, geçmiş veya ilgili iş tecrübesi veya diğer tecrübe, eğitim durumu, transkript, dil test sonuçları veya iş başvurusuna ilişkin destekleyici veya açıklayıcı belgeler,
    • Video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılması durumunda mülakat sırasında elde edilen bilgilerin kayıtları,
    • Önceki işverenlerden alınan referanslar veya aday tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontrol sonucu elde edilen bilgiler veya Şirket tarafından yapılan araştırmalar sonucu elde edilen bilgiler,
    • Yetenek ve kişilik özelliklerini tespit eden işe alım testlerinin sonuçları.
    İşin niteliğine göre Şirket, başvuruda bulunan Çalışan Adayları’ndan özel nitelikli kişisel verilerini (örneğin, sabıka kaydı veya sağlık raporu) talep edebilir. Böyle bir durumda, Çalışan Adayı ilgili özel nitelikli kişisel verinin talep edilme nedeni ve kullanım amacı hakkında başvuru formu veya ayrı bir açıklayıcı not ile bilgilendirilir. 5.2 Çalışan Adaylarının Kişisel Verilerinin Toplanma ve İşlenme Amaçları Şirketimiz tarafından işbu Politika’da belirtilen amaçlar kapsamında iş başvurusunda bulunan Çalışan Adaylarının kişisel verileri aşağıdaki kapsamında toplanabilecek ve işlenebilecektir:
    • Çalışan Adayının niteliğinin, tecrübesinin ve ilgisinin açık pozisyona uygunluğunu değerlendirmek,
    • Gerektiği takdirde, Çalışan Adayının ilettiği bilgilerin doğruluğunun kontrolünü yapmak veya üçüncü kişilerle iletişime geçip Çalışan Adayı hakkında araştırma yapmak,
    • Başvuru ve işe alım süreci hakkında Çalışan Adayı ile iletişime geçmek veya uygun olduğu takdirde, sonradan yurtiçinde veya yurtdışında açılan herhangi bir pozisyon için veya Epsan için Çalışan Adayı ile iletişime geçmek, uygun olabilecek diğer Epsan Şirketleri için yönlendirme yapmak,
    • Herhangi bir mevzuatın gereklerini ya da yetkili kurum veya kuruluşun taleplerini karşılamak,
    • Epsan personel temin süreçlerini geliştirmek ve iyileştirmek.
    5.3 Çalışan Adaylarının Kişisel Verilerinin Toplanma ve İşlenme Yöntemleri İşe alım sürecinde Çalışan Adaylarının kişisel verileri bu Politika’da belirtilen diğer yöntem ve vasıtalarla birlikte veya bu yöntem ve vasıtalara ek olarak aşağıdaki yöntem ve vasıtalarla toplanabilir:
    • Yazılı veya elektronik ortamda yayınlanan dijital başvuru formu aracılığıyla,
    • Çalışan Adaylarının Şirket’e e-posta, kargo, referans ve benzeri yöntemlerle ulaştırdıkları özgeçmişler aracılığıyla,
    • İstihdam veya danışmanlık şirketleri aracılığıyla,
    • Video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılan hallerde, mülakat sırasında,
    • Çalışan Adayları tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontroller ile Şirket tarafından yapılan araştırmalar sırasında,
    • Uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri aracılığıyla.
     5.4 Çalışan Adayları Hakkında Araştırma Yapılması Şirket’e, Şirket’in müşterilerine veya iş ortaklarına ilişkin ciddi ve belirli bir riskin var olması ve gereken bilginin elde edilebilmesi için daha makul bir yöntem olmaması halinde, Çalışan Adayları hakkında araştırma yapılabilir. Yapılacak araştırma genel olarak Çalışan Adaylarının verdiği bilgilerin doğruluğunu tespit etmeye yönelik olacaktır. Ayrıca Çalışan Adaylarının kendileri hakkında sakladıkları ve yukarıda belirtilen risklerin doğmasına sebep olabilecek bilgileri tespit etmek de yapılabilecek araştırmanın amaçları arasında olacaktır. Yapılacak araştırma kapsamında üçüncü kişilerle Çalışan Adayları’na ait kimlik bilgileri, iş ve eğitim tecrübeleri gibi gerekli kişisel veriler paylaşılabilir. Ayrıca Çalışan Adayları hakkında üçüncü kişilerden kişisel veri elde edilebilir. Çalışan Adayları hakkında araştırma yapılması halinde, Şirket mümkün olan hallerde araştırmanın amacı ve kapsamı, kullanılan kişisel veriler ve araştırmanın sonucu hakkında adayı ayrıca bilgilendirir. Çalışan Adayları, kendileri ile ilgili yapılacak araştırma hakkında her zaman Şirket ile irtibat kurabilir. 5.5 Adaylık Sürecinde Toplanan Kişisel Verilerden İşe Alım Halinde İşlenmesine Devam Edilecek Olanlar İşe alım süreçleri boyunca Çalışan Adayları hakkında toplanan ve işlenen tüm kişisel veriler, Çalışan Adayının ilgili açık pozisyonda istihdam edilmesine karar verilmesi halinde özlük dosyasına aktarılır. 5.6 Çalışan Adaylarının Kişisel Verilerinin Güvenliği Şirketin çalışanları ile Şirket’e iş başvurusunda bulunan adayların kişisel verilerinin güvenliği arasında negatif ayrımcılık yapılmaz. 6 ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİNE İLİŞKİN İLKELER   6.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket edilmektedir. Bu kapsamda kişisel veriler işlendikleri amaçla orantılı ve sınırlı olarak işlenir.  6.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama Çalışan Adaylarının meşru menfaatleri dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Şirket bünyesinde oluşturulur. 6.3 Belirli, Açık ve Meşru Amaçlarla İşleme Kişisel veriler açık ve kesin veri işleme amaçlarına dayalı olarak işlenmektedir. Kişisel veriler sadece bu amaçlar için gerekli olduğu kadar işlenmektedir. Verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulur. 6.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma Kişisel veriler belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.  6.5 Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme Şirket kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirketimizin bu yönde uyguladığı politika esaslarına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. 7 ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ ŞARTLARI Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde burada yazan kuralların yanında; aşağıda bu bölüm altında “Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller” Başlığı içerisinde yer alan şartlar uygulanır.  7.1 Çalışan Adaylarının Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi Çalışan Adaylarının kişisel verileri, farklı bir şarta dayalı olarak işlenmediği durumlarda, açık rızaya dayalı olarak işlenmektedir. Çalışan Adayları, işlenen kişisel verilerinin hangileri olduğu, kişisel verilerinin hangi amaçlarla ve hangi sebeplerle işlendiği, kişisel verilerinin hangi kaynaklardan toplandığı, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirilir ve bu şekilde açık rızası alınır. Açık rızanın alınması kişisel verilerin toplandığı kaynak dikkate alınarak her bir veri toplama kaynağına özgü olarak hazırlanır. 7.2 Kanunlarda Açıkça Öngörülmesi Kanunda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, Şirket verisi işlenecek Çalışan Adayının ayrıca açık rızasını almadan kişisel verilerini işler.  7.3 Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan Çalışan Adayının kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde Çalışan Adayının açık rızası alınmaksızın verileri işlenebilir. 7.4 Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması  Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veriler işlenebilir. 7.5 Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi Veri sorumlusu olarak hukuki yükümlülükleri yerine getirmek için işlemenin zorunlu olması halinde açık rıza alınmaksızın Çalışan Adayının verileri işlenebilir.  7.6 Çalışan Adayının Kişisel Verisini Alenileştirmesi Çalışan Adayının, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde de açık rızaya gerek olmaksızın veriler işlenebilir.  7.7 Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde Çalışan Adayının açık rızası alınmaksızın verileri işlenebilir.  7.8 Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi Çalışan Adayının temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için veri işlemenin zorunlu olması halinde Çalışan Adayının açık rızası alınmaksızın verileri işlenebilir. 8 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ HALLER Kişisel verilerin bir kısmı, “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır. Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle, bu verilere özel önem atfedilmiştir.  8.1 Özel Nitelikli Kişisel Verilerin Açık Rızaya Dayalı Olarak İşlenmesi Özel nitelikli kişisel veriler Çalışan Adayının açık rızası olması halinde işlenebilir. Açık rıza özel nitelikli kişisel verinin niteliğine göre bu Politika’da belirtilen ilkeler ve gerekli idari ve teknik tedbirler alınarak işlenebilir. 8.2 Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenebileceği Haller Özel nitelikli kişisel veriler, Çalışan Adayının açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir: (i) Çalışan Adayının sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından, kanunlarda öngörülen hallerde, (ii) Çalışan Adayının sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde. 9 ÇALIŞAN ADAYININ AYDINLATILMASI VE BİLGİLENDİRİLMESİ  Kişisel verilerin elde edilmesi sırasında kişisel veri sahipleri Şirket tarafından bilgilendirilir. Bu kapsamda varsa Şirket temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Çalışan Adaylarının sahip oldukları haklar kendilerine bildirilir. Çalışan Adaylarının, kişisel verilerine ilişkin bilgi talep etmesi halinde, Şirket tarafından gerekli bilgilendirme yapılır.  10 KİŞİSEL VERİLERİN KATEGORİZASYONU  Bu Politika kapsamında, Şirket tarafından Çalışan Adaylarının aşağıda belirtilen kategorilerdeki kişisel verileri işlenmektedir.
    KİŞİSEL VERİ KATEGORİZASYONU KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA
    Kimlik Bilgisi Ad-Soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, kimlik kartı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, v.b. bilgiler
    Çalışan Adayı Bilgisi Çalışan adaylarının işe alım süreçlerinde uygun pozisyon için değerlendirilebilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri (askerlik durum bilgisi, eğitim bilgisi, referans bilgisi dahil).
    İletişim Bilgisi Telefon numarası, adres, e-mail adresi, faks numarası gibi bilgiler
    Fiziksel Mekân Güvenlik Bilgisi Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, güvenlik noktasında alınan kayıtlar v.b.
    Görsel/İşitsel Bilgi Fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler
    Özlük Bilgisi Çalışan Adaylarının özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
    Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
    Talep/Şikâyet Yönetimi Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler
       11 KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR 11.1 Fırsat Eşitliğinin Gözetilmesi Kapsamında Kişisel Verilerinizin İşlenmesi Çalışan Adayları arasında ırk, etnik köken, din, mezhep, engellilik ve cinsel tercihler gibi farklılıklar nedeniyle ayrımcılık yapmamak ve tüm Çalışanlar Adayları arasında fırsat eşitliğini sağlamak amacıyla gerekli olduğu ölçüde, Çalışan Adaylarının kişisel verileri işlenebilir. Fırsat eşitliğinin sağlanması amacıyla öncelikli olarak Şirket Adaylarının anonim verileri kullanılır. Anonim verilerin yeterli olmaması halinde kişisel veri işlenir.  11.2 İnternet Kullanımına İlişkin Kişisel Verilerin İşlenmesi Yasal mevzuatın izin verdiği durumlarda, Çalışan Adaylarının internet kullanımı sırasında kişisel verilerinin elde edilmesi halinde; elde edilen kişisel verilere ilişkin, bu Politikadaki hükümler uygulama alanı bulur.  11.3 Güvenlik Kamerası Uygulamasına ilişkin Kişisel Verilerin İşlenmesi İşyerinde güvenlik veya benzeri amaçlarla kamera kayıtları kullanımı nedeniyle kişisel verilerin elde edilmesi halinde; elde edilen kişisel verileriniz ileride bir şüpheli işlemin araştırılması, uyuşmazlığın çözümü veya şikâyet halinde delil olarak kullanmak gibi amaçlarla veya bu Politikada belirtilen diğer amaçlarla işlenebilir. 12 KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI Kişisel veriler ve özel nitelikli kişisel veriler, işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınarak üçüncü kişilere aktarılabilmektedir. 12.1 Kişisel Verilerin Aktarılması Kişisel veriler, veri işleme amaçları doğrultusunda, veri sahibinin açık rızasının bulunması halinde üçüncü kişilere aktarılabilmektedir. Çalışan Adayının açık rızası yok ise aşağıdaki hallerin varlığı durumunda kişisel veriler üçüncü kişilere aktarabilir:
    • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
    • Çalışan Adayının veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
    • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
    • Şirket’in bir hukuki yükümlülüğünü yerine getirmek için kişisel veri aktarımı zorunlu ise,
    • Kişisel veriler, Çalışan Adayı tarafından alenileştirilmiş ise,
    • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
    • Çalışan Adayının temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
    12.2 Özel Nitelikli Kişisel Verilerin Aktarılması Çalışan Adayının özel nitelikli kişisel verileri aşağıdaki durumlarda üçüncü kişilere aktarabilir.
    • Çalışan Adayının açık rızası var ise veya
    • Çalışan Adayının açık rızası yok ise;
    – Çalışan Adayının sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde, – Çalışan Adayının sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenecek şekilde aktarılabilir. 12.3 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları Kişisel verileriniz aşağıda sıralanan kişi kategorilerine aktarılabilir: (i) Topluluk şirketlerine, (ii) Şirket yetkililerine, (iii) Hukuken yetkili kamu kurum ve kuruluşlarına, (iv) Hukuken yetkili özel hukuk kişilerine. Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
    Veri Aktarımı Yapılabilecek Kişiler Tanımı Veri Aktarım Amacı
    Topluluk Şirketleri   Epsan şirketleri (Epsan Ortaklarının sahip oldukları diğer şirketler) Çalışan Adayının Epsan şirketleri tarafından değerlendirilmesi veya Epsan şirketleri nezdinde referans araştırması yapılması amacı ile sınırlı olarak
    Şirket Yetkilisi Şirket yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler İlgili mevzuat hükümlerine göre Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak
    Hukuken Yetkili Kamu Kurum ve Kuruluşları İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak
    Hukuken Yetkili Özel Hukuk Kişileri   İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak
    İş/Çözüm Ortakları İş başvuru süreci olumlu ilerleyen Çalışan Adaylarının kişilik envanteri, İngilizce testi ve yetenek testi değerlendirmelerinin gerçekleştirilmesi kapsamında test gönderimi için gerekli kişisel veriler anlaşmalı kurumlarla  paylaşılmaktadır. Kişilik envanteri ve yetenek testi değerlendirmelerinin gerçekleştirilmesi amacıyla sınırlı olarak
        13 KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI   Kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilmektedir. 13.1 Kişisel Verilerin Yurtdışına Aktarılması Kişisel veriler, veri işleme amaçları doğrultusunda Çalışan Adayının açık rızası var ise veya Çalışan Adayının açık rızasının olmadığı durumlarda aşağıdaki hallerden birinin varlığı durumunda yurtdışına aktarabilmektedir:
    • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
    • Çalışan Adayının veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
    • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
    • Şirket’in bir hukuki yükümlülüğünü yerine getirmek için kişisel veri aktarımı zorunlu ise,
    • Kişisel veriler, Çalışan Adayı tarafından alenileştirilmiş ise,
    • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
    • Çalışan Adayının temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
    13.2 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması Özel nitelikli kişisel veriler aşağıdaki durumlarda yurtdışına aktarabilmektedir.
    • Çalışan Adayının açık rızası var ise veya
    • Çalışan Adayının açık rızası yok ise;
    – Çalışan Adayının sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde – Çalışan Adayının sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenecek şekilde aktarılabilir. 14 KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirkete yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. 15 KİŞİSEL VERİLERİN GÜVENLİĞİ Kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul önlemler alınmaktadır. Kişisel verilere, erişim yetkisi bulunan kişilerden başkalarının erişmesini engellemek adına gereken her türlü teknik ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, hiç kimsenin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanır. Sağlık verileri gibi özel nitelikli kişisel verilerin güvenliği sağlanırken diğer kişisel verilere göre daha katı önlemler alınır. Yetkilendirilmiş kişiler gereken güvenlik kontrollerinden geçirilir. Ayrıca bu kişiler, görev ve sorumlulukları hakkında eğitilir. Kişisel verilere erişim kayıtları teknik imkânlar elverdiği ölçüde tutulur ve bu kayıtlar düzenli aralıklarla incelenir. Yetkisiz erişim söz konusu olduğunda derhal soruşturma başlatılır. Kişisel verileri işleyen Epsan çalışanları, işlenen verilerin güvenliğinin sağlanması amacıyla aşağıdaki yükümlülüklere uyar:
    • Kişisel verilerin korunmasına ilişkin konularda hukuka uygun ve dürüst davranma,
    • Kişisel verileri doğru, tam ve eksiksiz işleme,
    • Güncelliğini kaybeden kişisel verilerin güncellenmesi amacıyla gerekli çalışmaları yapma,
    • Kişisel verilerin işlenmesinde herhangi bir hukuka aykırılık fark ettiğinde ilgili yöneticiyi bilgilendirme,
    • Kişisel verilere ilişkin kanuni hakların kullanılabilmesi için gerekli yönlendirmeleri yapma.
    16 ÇALIŞAN ADAYLARININ SAĞLIKLARIYLA İLGİLİ TOPLANAN VE İŞLENEN KİŞİSEL VERİLERE İLİŞKİN ÖZEL KURALLAR 16.1 Sağlık Verilerinin Ayrı Saklanması ve Sağlık Verilerini İşlemeye Yetkili Çalışanlar Sağlık verileri, Şirket olanakları elverdiği oranda, yetkisiz erişimlerden korumak ve daha yüksek güvenlik sağlamak adına, diğer kişisel verilerden ayrı olarak saklanmaktadır. Şirket, sağlık verilerini mümkün olan en dar kapsamda işlemeye özen göstermektedir. Sağlık verilerinin işlenmesi gereken durumlarda, bu işlemeyi gerçekleştirmek amacıyla yetkilendirilen kişilerin, bu verilerin hassasiyetini anlamasına ve gerekli önemleri alabilmesine yönelik bilgilendirmeler yapılır. 16.2 Sağlık Verilerinin Özel Nitelikli Kişisel Veri Olarak Muamele Görmesi Çalışan Adaylarının sağlık verileri özel nitelikli kişisel veri olarak kabul edilmektedir. Özel nitelikli kişisel veriler hakkında uygulanan tüm önlemler sağlık verileri için de uygulanır.   16.3 Sağlık Verilerine Erişim Sağlık verilerine erişim sadece gerekli olması durumunda bu konuda yetkilendirilmiş Şirket çalışanları tarafından gerçekleştirilebilecektir. Ayrıca yöneticilere, onların yönetsel rollerini yerine getirebilmeleri için gereken seviyede sağlık verileri açıklanabilir.   17 ÇALIŞAN ADAYLARININ KANUNİ HAKLARI VE BUNLARI KULLANMA YÖNTEMLERİ 17.1 Kişisel Verilere İlişkin Kanuni Haklar Kişisel verilere ilişkin olarak Çalışan Adaylarının kullanabileceği kanuni haklar aşağıda sayılmaktadır:
    1. Kişisel veri işlenip işlenmediğini öğrenme,
    2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
    6. İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
    7. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
      17.2 Kişisel Verilere ilişkin Kanuni Hakların Kullanılmasına ilişkin Esaslar Çalışan Adaylarımız, bölüm 17.1.’de (“Kişisel Verilere İlişkin Kanuni Haklar”) sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketimize iletebileceklerdir. Bu doğrultuda https://www.epsan.com /KVKK/KVK-Basvuru-Formu adresinden ulaşılabilecek “Epsan Veri Sahibi Başvuru Formu”ndan yararlanabileceklerdir.