Gizlilik Sözleşmesi
Olarak gGanlayışıyla müşterilerin ilk tercihi olmayı sürdürmek ve sürekli iyileşme içinde kurumsal varlığını geleceğe taşımak temel amacımızdır. Bir taraftan ana faaliyet konularımızda en iyi uygulamalar ile şirketimizi kurumsal bir yapıya kavuşturmak gayesi yanında diğer taraftan idari ve teknik konularda da iyi uygulama örnekleri ile mevzuatın gerektirdiği yeni koşulların yerine getirilmesinin öneminin farkındayız.
Personelimiz, müşterilerimiz, tedarikçilerimiz ve ilişki içerisinde olduğumuz tüm menfaat sahiplerine ilişkin kişisel verilerin hukuka uygun surette işlenmesi, hukuki bir gereklilik olmakla birlikte en iyi yönetim uygulamalarına uyum açısından da kuşkusuz önemli bir yere sahiptir.
Bu bağlamda, faaliyetlerimiz sırasında toplayarak işlediğimiz kişisel verilere ilişkin kapsamlı ve sistematik bir politika belgesinin hazırlanarak Şirket yönetim belgelerimiz arasına konulmasını, personelimizden tedarikçilerimize kadar olan yelpazedeki çözüm ortaklarımız ile karşılıklı güven, etkin iletişim ve ekip çalışması temelinde yükselen, katılımcı ve yatay yönetim anlayışımızın önemli bir bileşeni olarak görmekteyiz.
Bu belge ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil düzenlemeler çerçevesinde hazırladığımız, Şirketimizdeki Kişisel Verileri İşleme ve Koruma Politikası tespit edilmektedir.
Bu politika metninin genel kurulumuzca kabul edilmiş olması, Kişisel Veri Çalışma Komitesinin oluşturulmuş olması, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuattan kaynaklanan hukuki yükümlülüklerimizi yerine getirdiğimiz, kişisel verilerin işlenmesine ilişkin prosedürleri tamamlayarak gerekli belgelendirme sistemini hayata geçirdiğimizin bir göstergesidir.
Bütün bunlara ek olarak, Şirketimizin kişisel verileri işleme politikasının önemli bir bileşeni olan bu politika metnini, mevzuattaki gelişmeler ve ihtiyaçlara bağlı olarak belirli aralıklarla gözden geçirerek ihtiyaçlara cevap veren ve iş/işlemlere ışık tutan niteliğini canlı tutmak adına kararlılığımızın bilinmesini isteriz.
Saygılarımızla.
İÇİNDEKİLER
- GENEL OLARAK KİŞİSEL VERİ İŞLEME VE KORUMA POLİTİKA METNİ
- Politika Metninin Hedefleri
- Teknik İfadeler
- İlkeler
- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
- Genel Olarak
- Özel Nitelikli Kişisel Verilerin İşlenme Şartları
- ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERE İLİŞKİN TEMEL BİLGİLER
- Toplanan Kişisel Veri Kategorileri
- Kimlik Bilgisi
- İletişim Bilgisi
- Lokasyon Bilgisi
- İşlem Güvenliği Bilgisi
- Fiziksel Mekân Güvenliği Bilgisi
- Finans Bilgisi
- Hukuki İşlem Bilgisi
- Biyometrik Bilgi
- Ceza Mahkumiyeti ve Güvenlik Tedbiri Bilgisi
- Mesleki Deneyim Bilgisi
- Sağlık Bilgileri
- Müşteri İşlem Bilgileri
- Özlük Bilgileri
- Kişisel Verilerin Toplanma Yöntemleri
- Toplanan Kişisel Verilerin Sahipleri
- Toplanan Kişisel Verilerin İşlenmesinin Hukuki Nedeni
- Toplanan Kişisel Verilerin Hangi Amaçlarla İşlendiği
- Toplanan Kişisel Veri Kategorileri
- ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN AKTARILMASI VE HUKUKİ DAYANAĞI
- ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN SAKLANMASI VE İMHA EDİLMESİ
- Kişisel Verilerin Saklanması
- Kişisel Verilerin İmhası
- KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
- KİŞİSEL VERİ ÇALIŞMA KOMİTESİ
- POLİTİKA METNİNİN YÜRÜRLÜĞÜ VE REVİZYONU
- GENEL OLARAK KİŞİSEL VERİLERİ İŞLEME VE SAKLAMA POLİTİKA METNİ
Şirketimizin Kişisel Verileri İşleme ve Korunma Politika Metni (“Politika Metni”) ile Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”) ve ilgili mevzuattan kaynaklanan hukuki yükümlülüklerin yerine getirilmesi, Kişisel verilerin işlenmesine ilişkin olarak öngörülen uygulamaların hayata geçirilmesi ve Kişisel verilerin işlenmesi konusunda kurum içi farkındalık oluşturulması ve bunun sürekliliğinin sağlanması amaçlanmakta ve nihayet, bunun Şirketimizin toplam kalite hedefleyen bütüncül perspektifli yönetim anlayışımızın önemli bir bileşeni haline getirilmesi öngörülmektedir.
- Politika Metninin Hedefleri
Politika Metni, Şirketimizde hakim olan yönetim anlayışının, kişisel verilerin korunması hukuku çerçevesinde geliştirilmesi; bu bağlamda, kişisel veriler konusunda Şirketimiz, personel, müşteri, tedarikçi, çalışan ve diğer ilgili kişilerin hak ve yükümlülüklerini, bu konuda Şirketimizce yapılacak iş ve işlemleri, ilgili kişilerin haklarını kullanma esaslarını toplu ve tutarlı ve sistematik bir şekilde ortaya koymaktadır.
Politika Metni, şu hedefleri gerçekleştirmek üzere hazırlanmıştır:
- KVKK ve ilgili mevzuatta yer alan yükümlülüğün yerine getirilmesi,
- Şirketimizin kişisel verilerin işlenmesi ve korunması konusundaki durumumun bütün olarak ortaya konulması,
- Şirketimizin faaliyetlerini sürdürmesi sırasında karşılaşacağı kişisel verilerin işlenmesi hususlarına ilişkin bir rehber oluşturulması,
- Kişisel verilerin işlenmesi ve korunması anlayışının Şirket yönetiminin bir parçası haline getirilmesi,
- Şirket yönetiminin bir parçası haline gelen bu esasların, değişiklik ve yeniliklere uyum sağlayabilmesi için güncellenmesine ilişkin bir düzen getirilmesi.
- Teknik İfadeler
Bu Politika Metninde yer alan hukuki ifadeler KVKK ve ilgili mevzuatta kullanıldıkları kapsam ve içerikte kullanılmıştır.
- İlkeler
Bu Politika Metni, KVKK md.4/2’de yer alan aşağıdaki ilkeler üzerine hazırlanmıştır:
- Hukuka ve dürüstlük kuralına uygunluk,
- Doğruluk ve güncellik,
- Belirli, açık ve meşru amaçlarla işleme,
- Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme,
- Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme.
Şirketimiz, kişisel verilerin işlenmesi konusundaki uygulamalarını, mevzuata ve bu 5 ilkeye dayandırmaktadır. Özellikle mevzuatta açıklık bulunmayan hallerde veya uygulamada tereddüt yaşandığı durumlarda, Şirketimiz, şartların mümkün kıldığı ölçüde gerekli incelemeleri ve araştırmaları yaptıktan sonra, uygulamasına bu ilkeler çerçevesinde yön verecektir.
Şirketimizin yönetim belgeleri içerisinde yer alan Kişisel Veri Saklama ve İmha Politikası Metni Şirketimizin, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak alınan politikayı ortaya koyan bir metin olup, bu Politika Metninin bir tamamlayıcısıdır.
Kısaca imha politikası metni olarak adlandıracağımız bu metne ilişkin ilkeler ise şunlardır:
- İşlenme şartları tamamen ortadan kalkan kişisel veriler re’sen veya ilgili kişinin talebi üzerine imha edilir.
- Kişisel verilerin imhası konusunda KVKK md.5’te yer alan ilkelere, ilgili diğer mevzuat hükümlerine ve imha politikası metninde yer alan esaslara uyulur.
- Kişisel verilerin imhasına ilişkin olarak yapılan bütün işlemler kayıt altına alınır ve bu kayıtlar en az üç yıl süreyle saklanır.
- Kişisel verilerin imha yöntemine ilişkin olarak aksi öngörülmedikçe, Şirketimiz ilgili kişinin varsa talebini de dikkate alarak en uygun yöntemi seçer, gerekçelerini açıklar.
- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
- Genel Olarak
Şirketimiz bulundurduğu kişisel verileri, KVKK md.5’te yer alan aşağıdaki şartlar dahilinde işleyecektir:
- Şirketimizce toplanan kişisel veriler, kural olarak ilgili kişinin açık rızası var ise işlenir. Ancak Şirketimizin bulundurduğu kişisel veriler ilgili kişinin açık rızası olmasa dahi, KVKK md. 5/2’de sayılan şu hallerde işlenebilir.
- Kanunlarda açıkça öngörülmesi.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Özel nitelikli kişisel verilerin işlenme şartları Özel nitelikli kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınması şarttır. Ancak şu hallerde özel nitelikli kişisel veriler açık rıza aranmaksızın şirketimizce işlenebilir:
- Sağlık ve cinsel hayat dışındaki kişisel veriler söz konusu olduğunda kanunlarda öngörülen hâllerde.
- Sağlık ve cinsel hayata ilişkin kişisel veriler söz konusu olduğunda ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
KVKK md.6/1’de özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kapsamak üzere şekilde sınırlı olarak sayılmıştır.
Şirketimiz ana faaliyet konularına ilişkin normal işleyişinde özel nitelikli kişisel verilerin işlenmesi çok nadir karşılaşılan bir durumdur. Bununla birlikte, bu tür kişisel verilerin işlenmesinin gerekebileceği istisnai hallerde de bu esaslara riayet edilmektedir.
Özel nitelikli kişisel verilerin işlenmesinde, Kişisel Veri Koruma Kurumu (“KVK Kurumu”) tarafından belirlenen önlemlerin de alınacağı tabiidir.
- ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERE İLİŞKİN TEMEL BİLGİLER
- Toplanan Kişisel Veri Kategorileri
Şirketimizde aşağıdaki 12 kategori altında kişisel veri toplanmaktadır:
- Kimlik Bilgisi
Her ticari işletmede olduğu gibi, Kimlik Bilgisi kategorisine giren kişisel veriler, Şirketimiz tarafından çok çeşitli amaçlarla yoğun olarak toplanmakta ve işlenmektedir. Şirketimizde çalışan adayı ve referansı, çalışan, çalışan yakın bilgisi, ürün veya hizmet alan kişi, potansiyel ürün veya hizmet alıcısı, tedarikçi veya yetkilisi veya çalışanlarının kimlik bilgisi verileri toplanmakta ve işlenmektedir.
- İletişim Bilgisi
İletişim bilgileri kategorisindeki kişisel veriler, doğrudan Şirketimiz faaliyetlerinin sürdürülmesi için her aşamada büyük önemi haiz olan kişisel verilerdir. Bu bilgilerin sağlıklı ve güncel olması gereklidir. Çalışan adayı, çalışan, çalışan yakın bilgisi, ürün veya hizmet alan kişi, potansiyel ürün veya hizmet alıcısı, tedarikçi veya yetkilisi veya çalışanlarına ait olan bu veriler, Şirketimiz faaliyetleri esnasında çok çeşitli amaçlarla toplanmakta ve işlenmektedir.
- İşlem Güvenliği Bilgisi
Şirketimizde, ürün veya hizmet alan kişi ve potansiyel ürün veya hizmet alıcısı kişilerin web sitesine erişim imkânı sağlanmaktadır. Bu imkânı kullanan kişisel veri sahiplerinin IP adresleri, web sitesi giriş-çıkış bilgileri, parola ve kimlik doğrulama bilgileri faaliyetlerin mevzuata uygun yürütülmesi, iş faaliyetlerinin yürütülmesi ve denetimi, mal ve hizmet satış süreçlerinin yürütülmesi amacıyla toplanmakta ve işlenmektedir.
- Fiziksel Mekân Güvenliği Bilgisi
Şirketimizde fiziksel mekân güvenliğinin temini için, mevcut kamera güvenlik sistemi üzerinden yönetim ofisi ve mağazalara giriş çıkış yapan kişilere ilişkin olarak kişisel veri toplanmaktadır.
- Finans Bilgisi
Bilindiği üzere, ticari faaliyet sırasında ödemelerin öngörülebilir ve kesintisiz bir şekilde sürmesini sağlamak işlerin sürdürülebilirliği için en önemli unsurdur. Şirketimiz, çalışan, ürün veya hizmet alan kişi ve tedarikçilerinden finans bilgileri toplamakta ve bunları işlemektedir. Şirketimiz bu finans bilgilerini şu amaçlarla işlemektedir: Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, görevlendirme süreçlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi/denetimi, mal/hizmet satış süreçlerinin yürütülmesi, mal ve hizmet satış sonrası destek hizmetlerinin yürütülmesi.
- Hukuki İşlem Bilgisi
Şirketimizde, çalışan adaylarının başvuru süreçlerinin yürütülmesi amacıyla hukuki işlem bilgileri toplanmakta ve işlenmektedir.
- Ceza Mahkumiyeti ve Güvenlik Tedbiri Bilgisi
Ceza Mahkumiyeti ve Güvenlik Tedbiri kategorisine giren kişisel veriler özel nitelikli kişisel verilerdir. Şirketimizde, çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, faaliyetlerin mevzuata uygun yürütülmesi, görevlendirme faaliyetlerinin yürütülmesi ve yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amacıyla çalışanlarımızın ceza mahkumiyeti ve güvenlik tedbiri bilgileri fiziki olarak toplanmakta ve işlenmektedir. Bu kategorideki kişisel bilginin işlenmesi için veri sahibinin açık muvafakati alınmaktadır.
- Mesleki Deneyim Bilgisi
Şirketimizde çalışan adaylarının başvuru süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, görevlendirme süreçlerinin yürütülmesi, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi, insan kaynakları süreçlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatlerin süreçlerinin yürütülmesi ve yetenek/kariyer gelişimi faaliyetlerinin yürütülmesi amacıyla, çalışan adaylarının ve çalışanlarımızın mesleki deneyim bilgileri toplanmakta ve işlenmektedir.
- Sağlık Bilgileri
Sağlık Bilgileri kategorisine giren kişisel veriler özel nitelikli kişisel verilerdir. Şirketimizde çeşitli amaçlarla sadece çalışan adaylarının ve çalışanlarımızın sağlık bilgileri toplanmakta ve işlenmektedir. Şirketimizde sağlık bilgilerinin toplanma ve işlenme amaçlarını şöyle sıralayabiliriz: Çalışan adaylarının başvuru süreçlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi, faaliyetlerin mevzuata uygun yürütülmesi, görevlendirme süreçlerinin yürütülmesi, finans ve muhasebe işlemlerinin yürütülmesi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi amacıyla sağlık bilgileri açık muvafakat alınmak suretiyle işlenmektedir.
- Müşteri İşlem Bilgileri
Şirketimizde, faaliyetlerin mevzuata uygun yürütülmesi, iş faaliyetlerinin yürütülmesi ve denetimi ve mal ve hizmet satış süreçlerinin yürütülmesi amacıyla, müşterilerimizin müşteri işlem bilgileri toplanmakta ve işlenmektedir.
- Özlük Bilgileri
Şirketimizde çalışanlarımızın özlük bilgileri toplanmakta ve işlenmektedir. Özlük bilgileri gibi geniş ve önemli bir kategorideki kişisel veriler doğal olarak, çok farklı amaçlarla işlemektedir. Bu amaçlar, çalışanlarımız için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlarımız için yan haklar ve menfaatleri süreçlerinin yürütülmesi, faaliyetlerimizin mevzuata uygun yürütülmesi, şirketimiz finans ve muhasebe işlerinin yürütülmesi, performans değerlendirme süreçlerinin yürütülmesidir.
- Yakın Bilgisi
Çalışan adayları ve çalışanlarımızın yakınlarına ait kişisel veriler çalışan adaylarının başvuru süreçlerinin yürütülmesi,çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlarımız için yan haklar ve menfaatleri süreçlerinin yürütülmesi, faaliyetlerimizin mevzuata uygun yürütülmesi, şirketimiz finans ve muhasebe işlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi ile iletişim faaliyetlerinin yürütülmesi amacıyla işlenebilmektedir.
- Kişisel Verilerin Toplanma Yöntemleri
Şirketimizde aşağıda sayılan 3’ü ana olmak üzere toplam 7 yöntem ile kişisel veri toplanmaktadır:
- Fiziki
- Form oluşturulması
- Kartvizit
- Bilgi Sistemleri (Elektronik)
- Bilgisayar girişi
- Özel Yazılım
- Web sitesi
- CCTV
- Toplanan Kişisel Verilerin Sahipleri
Şirketimizce toplanan kişisel verilerin sahipleri aşağıda sıralanmıştır:
- Çalışan
- Çalışan Adayı
- Tedarikçi Yetkilisi/Çalışanı
- Ürün veya Hizmet Alan Kişi
- Potansiyel ürün veya Hizmet Alıcısı
- Toplanan Kişisel Verilerin İşlenmesinin Hukuki Nedeni
Şirketimizce toplanan kişisel veriler KVKK md.5’te sayılan şartlardan aşağıda yer verilen hukuki nedenlere dayanarak işlenmektedir. Bunlar:
- Kişisel veri sahibinin açık rızası.
- Kanunlarda açıkça öngörülmesi.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
söz konusu kişisel verilerin işlenmesinin gerekli olması.
- Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.
Şirketimiz tarafından işlenen özel nitelikli kişisel veriler ise KVKK md.6’ya uygun şekilde veri sahibinin açık rızası ve kanunlarda yer alan hallere münhasır olarak işlenmektedir.
- Toplanan Kişisel Verilerin Hangi Amaçlarla İşlendiği
Yukarıda kişisel veri kategorileri altında bunlarla ilişkilendirdiğimiz Şirketimizin kişisel veri işleme amaçlarını aşağıda saymak suretiyle belirtiyoruz;
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Görevlendirme Süreçlerinin Yürütülmesi
- Hukuk İşlerinin Takibi ve Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- Yabancı Personel çalışma ve Oturma İzni İşlemleri
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- İş Sağlığı ve Güvenliği Faaliyetlerinin Yürütülmesi
- Yetenek/Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
- Mal ve Hizmet Satın Alım Süreçlerinin Yürütülmesi
- İş Faaliyetlerinin Yürütülmesi ve Denetimi
- Yönetim Faaliyetlerinin Yürütülmesi/Denetimi
- Denetim ve Etik Faaliyetlerinin Yürütülmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Mal ve Hizmet Satış Süreçlerinin Yürütülmesi
- Reklam Kampanya Promosyon Süreçlerinin Yürütülmesi
- Mal ve hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Ürün ve Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Lojistik Faaliyetlerin Yürütülmesi
- Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
- ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN AKTARILMASI VE HUKUKİ DAYANAĞI
Yukarıda detaylı olarak ortaya konulduğu üzere, Şirketimizce 15 kategori altında kişisel veri toplanmaktadır. Bu kişisel verilerin aktarılma durumları şu şekildedir:
- Şirketimizce işlenen hiçbir kişisel veri yurt dışına aktarılmamaktadır.
- Özel nitelikli kişisel veri haricindeki kişisel veriler ile özel nitelikli kişisel veri olan çalışanlarımıza ve çalışan adaylarına ait, adli sicil raporu, sağlık bilgileri/raporu, ölüm raporu, engellilik durumu, parmak izi ve istirahat raporları yalnızca hissedarlarımıza, kanunen yetkili kamu kurumlarına ve özel kurumlara aktarılmaktadır. Özel nitelikli kişisel verilerin bu çerçevede işlenmesi için alınması gerekli açık rıza veri sahiplerinden alınmaktadır.
Bu kişisel veriler KVKK md.8’in yollaması ile, md.5/2 ve 6/3’ye sayılan hukuki gerekçelerden aşağıdakilere dayanarak aktarılmaktadır:
- Kanun Md. 5/1: Açık Rızanın Alınması
- Kanun Md. 5/2-a: Kanunlarda Açıkça Öngörülmesi
- Kanun Md. 5/2-c: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
- Kanun Md. 5/2-ç: Hukuki Yükümlülüğünün Yerine Getirilmesi
- Kanun Md. 5/2-e: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- Kanun Md. 5/2-f: Veri Sorumlusunun Meşru Menfaati
- Kanun Md. 6/3: Kamu Sağlığının Korunması, Koruyucu Hekimlik, Tıbbî Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi, Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi
- Kanun Md. 6/3: Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesinin Kanunlarda Açıkça Öngörülmesi
- ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN SAKLANMASI VE İMHA EDİLMESİ
- Kişisel Verilerin Saklanması
Şirketimiz yalnızca mevcut gerçek bir veri işleme gerekçesinin mevcudiyetine bağlı olarak kişisel veriler işlenmektedir. Şirketimiz, KVKK md.7/3 uyarınca KVK Kurumu tarafından çıkarılarak 28/10/2017 tarih ve 30224 sayılı Resmi Gazete’de yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik md.5/1 uyarınca bir Kişisel Veri Saklama ve İmha Politikası hazırlayarak kabul etmiştir.
Genel olarak bahsetmek gerekirse, Şirketimizde bulunan kişisel veriler,
- Ticari faaliyetlerin sürdürülebilmesi,
- Hukuki yükümlülüklerin yerine getirilebilmesi,
- Çalışan haklarının ve yan haklarının planlanması ve ifası ile özlük dosyası oluşturulması
- Müşteri ilişkilerinin yönetilebilmesi,
- Finans ve muhasebe işlerinin yürütülmesi
amaçlarıyla KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
KVKK md.12 uyarınca Şirketimiz;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almıştır.
Şirketimiz, bulundurduğu kişisel verilerin güvenliğini temel olarak güvenli fiziki mekân belirlenmesi, uygun yetkilendirme esaslarına işlerlik kazandırılması ve elektronik ortamdaki kişisel verilere ilişkin alınan önlemler sayesinde mevzuata ve halin gerekliliklerine uygun şekilde sağlamaktadır.
İdari Tedbirler ve Teknik Tedbirler olarak iki başlık altında sınıflandırılan bu tedbirler şöyledir:
- İdari Tedbirler
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Teknik Tedbirler
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştirilirken, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmektedir
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Periyodik olarak yetki kontrolleri gerçekleştirilmektedir
- Şifreleme yapılmaktadır.
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmıştır.
Şirketimizde bulunan kişisel verilerden çalışan adayları ve referanslarına ilişkin kişisel veriler en fazla 6 ay, kamera kayıtları üzerinden edinilen kişisel veriler 20 gün bilişim sistemi üzerinden edinilen kişisel veriler ile diğer kişisel veriler mevzuatla belirlenen süre veya Şirketimizin meşru menfaatinin mevcudiyeti süresince saklanmaktadır.
Şirketimizde bulunan kişisel verilerin fiziki güvenliği için de gerekli tedbirler alınmıştır. Şirketimizdeki kişisel verilerden fiziki varlığa bağlanmış olanlar Genel Müdür Odası, Genel Müdürlük Arşivi, İnsan Kaynakları Arşivi, Muhasebe Arşivi, Operasyon Arşivi, Satın Alma Arşivi’nde uygun güvenlik önlemleri alınmış bir halde saklanmaktayken, fiziki varlığa bağlanmayan bilişim sistemi üzerinden elde edilen kişisel veriler uygun güvenlik tedbirleri ile korunmaya alınmış sunucular ve bulut yazılımları üzerinde saklanmaktadır.
- Kişisel Verilerin İmhası
Türk Ceza Kanunu md.138. ve KVKK md.7 çerçevesinde bulundurulan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde veri sahibinin talebi ile veya re’sen söz konusu kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Şirketimiz KVKK ve ikincil mevzuata uygun olarak ve bu Politika Metninde yer aldığı şekliyle sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da re’sen Kişisel Veri Saklama ve İmha Politikasına uygun surette belirtilen süreler içinde siler, yok eder veya anonim hale getirir.
Kişisel verilerin Şirketimizce imhasına ilişkin silme, yok etme ve anonim hale getirme teknikleri ve bu konularda uygulanacak prosedürler Kişisel Veri Saklama ve İmha Politikasında detaylı olarak yer almaktadır.
- VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
KVKK md.11 uyarınca herkes, Şirketimize başvurarak kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
Veri sahibinin bu haklarını etkin bir şekilde kullanmasını sağlamak üzere, Şirketimizde, bu başvuruların sonuçlandırılmasına ilişkin kurumsal yapı oluşturulmuş ve gerek ilgililerden alınan açık rıza metinlerinde gerekse Şirketimiz web sitesinde, bu hakların neler olduğuna ve nasıl kullanılacağına ilişkin bilgi ve imkân sağlanmıştır. KVKK md.13 uyarınca veri sahibinden gelecek bu yöndeki başvurular değerlendirilerek, Şirketimizce en geç 30 gün içerisinde muhataplara olumlu veya olumsuz olarak dönüş yapılmaktadır. Bu işlemler için prensip olarak muhataplardan ücret talep edilmemekte, maliyet gerektiren istisnai durumlarda Kurumun belirlediği tarifeye uygun olarak ücret alınmamaktadır.
- KİŞİSEL VERİ ÇALIŞMA KOMİTESİ
Şirketimizde, kişisel verilerin işlenmesi, kişisel verilerin işlenmesine ilişkin konulardaki mevzuat değişikliklerinin izlenmesi, yönetime değerlendirmelerin sunulması, Şirketimiz çalışanlarında kişisel verilerin işlenmesi konusundaki farkındalığın artırılması ve bunun kurum kültürünün bir parçası haline getirilmesi için yapılabilecek faaliyetler konusunda çalışma yapılması, kişisel verilerin işlenmesi konusunda yürürlüğe konulan yönetim belgelerinde gerekli değişiklik ve düzenlemelerin yapılması amacıyla 3 personel (bilgi işlem, insan kaynakları ve mali işler) ve 1 yöneticiden oluşan Kişisel Veri Çalışma Komitesi ihdas edilmiştir.
Bu komite, 01/01/2022 tarihinden itibaren bir yıllık dönemler itibariyle 15 gün içerisinde bir önceki döneme ilişkin varsa çalışma ve sonuçları hakkında genel müdüre yazılı veya sözlü bir rapor sunar.
- POLİTİKA METNİNİN YÜRÜRLÜĞÜ VE REVİZYONU
Şirketimiz, KVVK ve ilgili mevzuata uyum için gerekli işlemleri yapmış ve yükümlülüklerini yerine getirmiştir. Bunun yanında, bu Politika Metni Şirketimiz Yönetim Kurulunca XX/XX/XXXX tarihinde kabul edilerek XX/XX/XXXX tarihi itibariyle yürürlüğe konulmuştur.
Bu Politika Metninde yapılması gerekli görülen revizyon teklifleri, Kişisel Veri Çalışma Komitesi tarafından en kısa sürede genel müdüre sunulur.