EKİP KALIP APARAT MAKİNE İMALATI TİC. LTD. ŞTİ. LTD. ŞTİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
Güncellenme Tarihi: 24.05.2024
İÇİNDEKİLER
BÖLÜM:GİRİŞ
Kişisel verilerin korunması, Anayasal bir hak olup, Şirketimizin öncelikleri kapsamında yer almaktadır. Nitekim bu amaçla, Şirketimizde devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve işbu politika oluşturulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, Veri Sorumlusu sıfatıyla EKİP KALIP APARAT MAKİNE İMALATI TİC. LTD. ŞTİ..( Orhangazi . Çalı Mah. 7. Sk. Çalı sanayi bölgesi No:6, 16120 Nilüfer/BURSA).”nin (Şirket),genelaydınlatmayükümlülüğünüyerinegetirmekveŞirketimizkişiselveriişlemekurallarınıntemel esaslarını belirlemek üzere işbu Politika yapılmakta ve bu kapsamda müşterilerimizin, potansiyel müşterilerimizin,çalışanlarımızın,çalışanadaylarımızın,stajyerveöğrencilerimizin,tedarikçi/altişveren çalışanlarınınveyetkililerinin,şirkethissedarlarımızınveşirketortaklarımızın,ziyaretçilerimizinvediğer verisini işlediğimiz üçüncü kişilerin kişisel verilerinin korunması konusundaki temel esaslar düzenlenmektedir.
BuPolitika’dabelirtilenkonularınuygulanmasınayönelikolarakŞirketiçerisindegerekliprosedürler düzenlenmekte, kişi kategorilerine özel Kişisel Veri İşleme Envanteri ile uyumlu aydınlatma metinleri oluşturulmakta,kişiselverilereerişimiolanŞirketçalışanlarıveüçüncütaraflarlakişiselverilerinkorunması vegizliliksözleşmeleriyapılmakta,görevtanımlarırevizeedilmekte,kişiselverilerinkorunmasıiçinEkip Kalıp Aparat Makine İmalatı Tic. Ltd. Şti Ltd. Şti.” tarafındangerekenidarivetekniktedbirleralınmakta,bukapsamdagerekli denetimleryapılmaktaveyayaptırılmaktadır.KişiselVerilerinKorunmasıkonusuüstyönetimtarafındanda sahiplenilmekte,bukonudaözelbirKomiteoluşturulmak(ŞirketKVKKomitesi)suretiylekişiselverilerin korunması süreçleriyönetilmektedir.
BuPolitikanıntemelamacı,Ekip Kalıp Aparat Makine İmalatı Tic. Ltd. Şti tarafındanhukukauygunbirbiçimdeyürütülen kişiselveriişlemefaaliyetivekişiselverilerinkorunmasınayönelikesaslarıortayakoymak,bukapsamda kişiselverilerişirketimiztarafındanişlenenkişileriaydınlatarakvebilgilendirilerekşeffaflığısağlamaktır.
BuPolitika;“müşterilerimiz,potansiyelmüşterilerimiz,çalışanlarımız,çalışanadaylarımız,stajyerve öğrencilerimiz,tedarikçi/altişverençalışanlarıveyetkilileri,şirkethissedarlarımızveşirketortaklarımız, ziyaretçilerimiz,veli/vasi/temsilcivediğerverisiniişlediğimizüçüncükişiler”başlıklarıaltındakategorize ettiğimizkişilerinotomatikolanyadaherhangibirverikayıtsistemininparçasıolmakkaydıylaotomatik olmayanyollarlaişlediğimiztümkişiselverilerineilişkindir.
Kişiselverilerinişlenmesivekorunmasıkonusundayürürlüktebulunanilgilikanunidüzenlemeleröncelikle uygulamaalanıbulacaktır.YürürlüktebulunanmevzuatvePolitikaarasındauyumsuzlukbulunması durumunda,Şirketimizyürürlüktekimevzuatınuygulamaalanıbulacağınıkabuletmektedir.
Politika Şirketimizin internet sitesinde (https://ekipkalip.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur ve gerektiğinde güncellenir.
Şirketimiz,Anayasa’nın20.maddesineveKVKKanunu’nun4.maddesineuygunolarak,kişiselverilerin işlenmesikonusunda;hukukavedürüstlükkurallarınauygun,doğruvegerektiğindegüncel;belirli,açıkve meşruamaçlardoğrultusunda;amaçlabağlantılı,sınırlıveölçülübirbiçimdekişiselveriişlemefaaliyetinde bulunmaktadır.Şirketimizkanunlardaöngörülenveyakişiselveriişlemeamacınıngerektirdiğisürekadar kişisel verilerisaklamaktadır.
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 5. maddeleri gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkin KVK Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir.
Şirketimiz, Borçlar Kanunu’ nun 419. maddesi gereğince, 6698 sy. KVK Kanunu saklı kalmak kaydıyla, çalışanlarınveçalışanadaylarınınkişiselverilerini,işeyatkınlıkveişsözleşmesininifasıamaçlarınadayalı olarakişlemektedir.
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 10. maddelerine uygun olarak, kişisel veri sahiplerini aydınlatmaktavekişiselverisahiplerininbilgitalepetmelerivekanundandoğanhaklarınıkullanmaküzere başvurmaları durumunda gerekli bilgilendirmeyi yapmakta, başvurulara yasal süresi içinde yanıt vermektedir.
ŞirketimizKVKKanunu’nun6.maddesineuygunolaraközelniteliklikişiselverilerinişlenmesibakımından öngörülendüzenlemelereuygunhareketetmektedir.
Şirketimiz, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanundaöngörülenkurallarauymaktaveKVKKurulutarafındanalınankararveyayınlanantebliğlerile güvenliülkelistelerinidikkatealarakuygulamayapmaktadır.
Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesini gerektirecek hukuksal dayanaklarıtespitederekişlemyapmakta,ölçülülükgerekliliklerinidikkatealmakta,kişiselverileriamacın gerektirdiğidışındakullanmamakta,kişilerinbilgisidışındaişlemefaaliyetiyapmamaktadır.
Şirketimiz;kişiselverisahiplerinintemelhaklarınıvekendimeşrumenfaatlerinidikkatealarakişlediğikişisel verilerindoğruvegüncelolmasınısağlamakta,budoğrultudagereklitedbirlerialmaktadır.Bukapsamda tümkişikategorilerineilişkinverilergünceltutulmayaçalışılmaktadır.Özelliklemüşterivepotansiyel müşteriverileriözenlegüncellenmekte,kişilererızalarınaaykırıbiçimdepazarlamavetanıtımamaçlı eposta ve tekliflergönderilmemektedir.
Şirketimiz,meşruvehukukauygunolankişiselveriişlemeamacınıaçıkvekesinolarakbelirlemektedir. Şirketimiz,kişiselverilerisunmaktaolduğuhizmetlebağlantılıvebunlariçingerekliolankadarişlemektedir. Şirketimiztarafındankişiselverilerinişleneceğiamaçişlemefaaliyetiöncesibelirlenmekteve“KişiselVeri Envanteri”ne de işlenmektedir.
Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerinişlenmesinden kaçınmaktadır. Bu kapsamda süreçler sürekli gözden geçirilmekte, “kişisel verilerin azaltılması”ilkesihayatageçirilmeyeçalışılmaktadır.
İlgiliMevzuattaÖngörülenveyaİşlendikleriAmaçiçinGerekliOlanSüreKadarMuhafazaEtme Şirketimiz,kişiselverileriancakilgilimevzuattabelirtildiğiveyaişlendikleriamaçiçingerekliolansürekadar muhafazaetmektedir.Bukapsamda,Şirketimizöncelikleilgilimevzuattakişiselverilerinsaklanmasıiçinbir süreöngörülüpöngörülmediğinitespitetmekte,birsürebelirlenmişsebusüreyeuygundavranmakta,bu kapsamdahukukvecezazamanaşımısürelerinidikkatealmaktavekişiselverileriişlendikleriamaçiçin gerekliolansürekadarsaklamaktadır.Süreninbitimiveyaişlenmesinigerektirensebeplerinortadan kalkmasıhalindekişiselverilerŞirketimizin“KişiselVerilerinSaklanmasıveSilinmesi”politikasınagöre silinmekte,yokedilmekteveyaanonimhalegetirilmektedir.
KişiselverilerinkorunmasıAnayasalbirhakolup,temelhakvehürriyetler,özlerinedokunulmaksızın yalnızcaAnayasa’nınilgilimaddelerindebelirtilensebeplerebağlıolarakveancakkanunlasınırlanabilir. Anayasa'nın20.maddesininüçüncüfıkrasıgereğince,kişiselverilerancakkanundaöngörülenhallerdeveya kişininaçıkrızasıylaişlenebilecektir.Şirketimizce,kişiselverilerinişlenmesindeancakaşağıdakişartlarvarsa ilgilikişininaçıkrızasıaranmaksızınkişiselverileriişlenmektedir;a)Kanunlardaaçıkçaöngörülmesi,
Fiiliimkânsızlıknedeniylerızasınıaçıklayamayacakdurumdabulunanveyarızasınahukukigeçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunluolması,
Birsözleşmeninkurulmasıveyaifasıyladoğrudandoğruyailgiliolmasıkaydıyla,sözleşmenintaraflarına aitkişiselverilerinişlenmesiningerekliolması,
Ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgilikişininkendisitarafındanalenileştirilmişolması,
Birhakkıntesisi,kullanılmasıveyakorunmasıiçinveriişlemeninzorunluolması,
İlgilikişinintemelhakveözgürlüklerinezararvermemekkaydıyla,verisorumlusununmeşrumenfaatleri içinveriişlenmesininzorunluolması
YukarıdakişartlarınbulunmamasıhalindeŞirketimizceilgilininaçık,özgüriradeyevebilgilendirmeyedayalı rızasınabaşvurulmaktadır.ÖzellikleİnsanKaynaklarıveçalışmailişkilerialanında,çalışanınbağımlılıkilişkisi dikkatealınarakverininönceliklerızadışındakalanhukukauygunluksebeplerinedayanılmasıesas tutulmakta,ancakbusebeplerinsözkonusuolmamasıdurumundaaçıkrızayabaşvurulmaktadır.Buna karşılık pazarlama gibi faaliyetlerde ilgilinin rızası esas alınarak işleme faaliyeti gerçekleştirilmektedir. Ancak herhaldekişiselverilerinişlendiğitümdurumlardakişilermutlaka“aydınlatılarak”veriişlemefaaliyeti gerçekleştirilmektedir.
Şirketimiztarafından,KVKKanunuile“özelnitelikli”olarakbelirlenenkişiselverilerinişlenmesinde,KVK Kanunu’ndaöngörülendüzenlemelereuygundavranılmaktadır.KVKKanunu’nun6.maddesinde,hukuka aykırıolarakişlendiğindekişilerinmağduriyetineveyaayrımcılığasebepolmariskitaşıyanbirtakımkişisel veri“özelnitelikli”olarakbelirlenmişolupbuverilerinişlenmesindedikkatvehassasiyetgösterilmesi gerekmektedir.Bunlar;ırk,etnikköken,siyasidüşünce,felsefiinanç,din,mezhepveyadiğerinançlar,kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyleilgiliverilerilebiyometrikvegenetikverilerdir.KVKKanunu’nauygunbirbiçimdeŞirketimiz tarafından; özel nitelikli kişisel veriler, gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Kişiselverisahibininsağlığıvecinselhayatıdışındakiözelniteliklikişiselveriler,kanunlardaöngörülen hallerdeveyakişiselverisahibininaçıkrızasıvarisebunadayalıolarak,
Kişiselverisahibininsağlığınavecinselhayatınailişkinözelniteliklikişiselverileriseancakkamu sağlığınınkorunması,koruyucuhekimlik,tıbbiteşhis,tedavivebakımhizmetlerininyürütülmesi,sağlık hizmetleriilefinansmanınınplanlanmasıveyönetimiamacıyla,sırsaklamayükümlülüğüaltında bulunankişilerveyayetkilikurumvekuruluşlartarafındanveyakişiselverisahibininaçıkrızasıile işlenmektedir.
Hanginedenedayanırsadayansın,işlemesüreçlerindedaimagenelveriişlemeilkeleridikkate alınmaktavebuilkelereuygunluksağlanmaktadır(KVKKanunum.4;bkz.yukarıda2.Bölüm,I,1).
Özelnitelikliverilerinkorunmasıileilgiliolarakşirketimizde“ÖzelVerilerinKorunmasıPolitikası”yürürlüğe konulmuşolup,işbirimlerimizdebupolitikahükümlerinegörehareketedilmektevegerekentedbirler alınmaktadır.
Şirketimiz,KVKKanunu’nun10.maddesineuygunolarak,kişiselverilerineldeedilmesisırasındakişiselveri sahipleriniaydınlatmaktadır.Bukapsamdaverisiişlenenilgilikişiyekişiselverilerinhangiamaçlaişleneceği, işlenenkişiselverilerinkimlerevehangiamaçlaaktarılabileceği,kişiselveritoplamanınyöntemivehukuki sebebiilekişiselverisiişlenenilgilikişininhaklarıkonusundaaydınlatmayapılmakta,Şirketimizinilgili BirimleriŞirketimizin“AydınlatmaEsaslarıPolitikası’nagöre”gerekenişlemleriyerinegetirmektedir.Yine, KVKKanunu’nun11.maddesindekişiselverisiişlenenilgilikişininhaklarıarasında“BilgiTalepEtme”de sayılmışolup,Şirketimizbukapsamda,Anayasa’nın20.veKVKKanunu’nun11.maddelerineuygunolarak kişiselverisiişlenenilgilikişininbilgitalepetmesidurumundagereklibilgilendirmeyapılmakta,bukonuda Şirketimizde“İlgiliKişiBaşvuruProsedürü’negöreişlemyapılmaktadır.
Şirketimizhukukauygunolankişiselveriişlemeamaçlarıdoğrultusundagerekligüvenlikönlemlerinialarak kişisel verisi işlenen ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirketimiz bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareketetmektedir.
ŞirketimizmeşruvehukukauygunkişiselveriişlemeamaçlarıdoğrultusundaaşağıdasayılanKanunun 5.maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilereaktarabilmektedir:
Kişisel verisi işlenen ilgili kişinin açık rızası var ise buna dayalı olarak; veya
Kanunlardakişiselverininaktarılacağınailişkinaçıkbirdüzenlemevarise,
Kişiselverisahibininveyabaşkasınınhayatıveyabedenbütünlüğününkorunmasıiçinzorunluise vekişiselverisahibifiiliimkânsızlıknedeniylerızasınıaçıklayamayacakdurumdaiseveyarızasına hukuki geçerliliktanınmıyorsa;
Birsözleşmeninkurulmasıveyaifasıyladoğrudandoğruyailgiliolmakkaydıylasözleşmenin taraflarınaaitkişiselverininaktarılmasıgerekliise,
Şirketimizinhukukiyükümlülüğünüyerinegetirmesiiçinkişiselveriaktarımızorunluise,
Kişiselveriler,ilgilikişininkendisitarafındanalenileştirilmişise,
Kişiselveriaktarımıbirhakkıntesisi,kullanılmasıveyakorunmasıiçinzorunluise,
Kişiselverisiişlenenilgilikişinintemelhakveözgürlüklerinezararvermemekkaydıyla,Şirketimizin meşrumenfaatleriiçinkişiselveriaktarımızorunluiseaktarılmaktadır.
Hanginedenedayanırsadayansın,aktarımsüreçlerindedaimagenelveriişlemeilkeleridikkatealınmakta vebuilkelereuygunluksağlanmaktadır(KVKKanunum.4;bkz.yukarıda2.Bölüm,I,1).
Şirketimizgerekliözenigöstererek,gerekligüvenliktedbirlerinialarakveKVKKurulutarafındanöngörülen yeterliönlemlerialarak;meşruvehukukauygunkişiselveriişlemeamaçlarıdoğrultusundakişiselverisi işlenenilgilikişininözelnitelikliverileriniaşağıdakidurumlardaüçüncükişilereaktarabilmektedir.
ilgilikişininaçıkrızasıvarisebunadayalıolarakveya
ilgilikişininaçıkrızasıyokise;
Kişiselilgilikişininsağlığıvecinselhayatıdışındakiözelniteliklikişiselverileri(ırk,etnikköken,siyasi düşünce,felsefiinanç,din,mezhepveyadiğerinançlar,kılıkvekıyafet,dernek,vakıfyadasendika üyeliği,cezamahkûmiyetivegüvenliktedbirleriyleilgiliverilerilebiyometrikvegenetikverilerdir), kanunlarda öngörülenhallerde,
İlgilikişininsağlığınavecinselhayatınailişkinözelniteliklikişiselverileriiseancakkamusağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunankişilerveyayetkilikurumvekuruluşlartarafındanişlenebilir.
Hanginedenedayanırsadayansın,aktarımsüreçlerindedaimagenelveriişlemeilkeleridikkatealınmakta vebuilkelereuygunluksağlanmaktadır(KVKKanunum.4;bkz.yukarıda2.Bölüm,I,1).
Şirketimizhukukauygunkişiselveriişlemeamaçlarıdoğrultusundagerekligüvenlikönlemlerialarakişlediği kişiselverileriveözelniteliklikişiselverileriüçüncükişilereaktarabilmektedir.Şirketimiztarafındankişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancıülkedekiverisorumlularınınyeterlibirkorumayıyazılıolaraktaahhütettiğiveKVKKurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır. Şirketimiz bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareketetmektedir.
Şirketimizmeşruvehukukauygunkişiselveriişlemeamaçlarıdoğrultusundakişiselverisiişlenenilgilikişinin açıkrızasıvariseveyakişiselverisiişlenenilgilikişininaçıkrızasıyokiseaşağıdakihallerdenbirininvarlığı durumundakişiselverileriYeterliKorumayaSahipveyaYeterliKorumayıTaahhütEdenVeriSorumlusunun Bulunduğu Yabancı Ülkelereaktarabilmektedir:
Kanunlardakişiselverininaktarılacağınailişkinaçıkbirdüzenlemevarise,
Kişiselverisiişlenenilgilikişininveyabaşkasınınhayatıveyabedenbütünlüğününkorunmasıiçin zorunlu ise ve kişisel verisi işlenen ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaiseveyarızasınahukukigeçerliliktanınmıyorsa;
Birsözleşmeninkurulmasıveyaifasıyladoğrudandoğruyailgiliolmakkaydıylasözleşmenin taraflarınaaitkişiselverininaktarılmasıgerekliise,
Şirketimizinhukukiyükümlülüğünüyerinegetirmesiiçinkişiselveriaktarımızorunluise,
Kişiselveriler,ilgilikişininkendisitarafındanalenileştirilmişise,
Kişiselveriaktarımıbirhakkıntesisi,kullanılmasıveyakorunmasıiçinzorunluise,
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleriiçinkişiselveriaktarımızorunluise.
Şirketimizin faaliyet ve kuruluş amaçlarının yerine getirilmesini sağlamak, Şirketimizin tedarikçiden dış kaynaklıolarakteminettiğiveŞirketimizinticarifaaliyetleriniyerinegetirmekiçingereklihizmetlerin Şirketimizesunulmasınısağlamak,Şirketimizininsankaynaklarıveistihdampolitikalarınınyürütülmesini sağlamak,Şirketimizinişsağlığıvegüvenliğiçerçevesindeyükümlülüklerinyerinegetirilmesivegerekli tedbirlerinalınmasınısağlamakgibiamaçlarlaveriaktarımıgerçekleştirilmektedir.
ŞirketimizKVKKanunu’nun8.ve9.maddelerineuygunolarakkişiselverileriaşağıdabelirtilenkişi kategorilerineaktarılabilir:
YETKİLİ KAMU KURULUŞLARI |
Şirketimizdenbilgivebelgealmaya yetkilikamukurumvekuruluşları |
İlgili mevzuat hükümlerine göre veri paylaşımı yapılmaktadır. |
YETKİLİ ÖZEL HUKUK KİŞİLERİ |
Şirketimizdenbilgivebelgealmaya yetkiliözelhukukkişileri |
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak veri paylaşımı yapılmaktadır. |
İŞTİRAKLER |
Şirketimizin hissedarı olduğu şirketler |
Şirketimizin iştiraklerin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak veri paylaşımı yapılmaktadır. |
HİSSEDAR |
Şirketimizin Hissedarları |
Şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak veri paylaşımı yapılmaktadır. |
İŞ ORTAKLARI |
Şirketimizin ticari faaliyetlerini yürütürken şirketimizin ürünve hizmetlerininsatışı,tanıtımıve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar |
İşortaklığınınkurulmaamaçlarının yerinegetirilmesini teminetmekamacıylasınırlıolarak veripaylaşımıyapılmaktadır. |
TEDARİKÇİ |
Şirketimizin ticari faaliyetlerini yürütürkenŞirketimizehizmetsunan taraflar |
Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak veri paylaşımı yapılmaktadır. |
Şirketimiz tarafından gerçekleştirilen aktarımlarda işbu Politika’da düzenlenmiş ilke ve kurallara uygun olarak hareket edilmektedir.
Şirketimizdeverisiişlenenkişilervebukapsamdaişlenenverileraşağıdakişekildekategorizeedilmektedir;
ÇALIŞAN ADAYI |
Şirketimizeherhangibiryollaişbaşvurusunda bulunmuşyadaözgeçmişveilgilibilgilerini şirketimizin incelemesine açmış olan gerçek kişiler |
ÇALIŞAN |
Şirketimizde çalışan gerçek kişiler |
HİSSEDAR/ORTAK |
Şirketimizin hissedarı ve ortağı gerçek kişiler |
POTANSİYEL MÜŞTERİ |
Ürünvehizmetlerimizekullanmatalebindeveya ilgisindebulunmuşveyabuilgiyesahipolabileceği ticariteamülvedürüstlükkurallarınauygunolarak değerlendirilmiş gerçek kişiler |
STAJYER/ÖĞRENCİ |
ŞirketimizdestajyapanveÇMEK'natabiolarakçalışan kişiler |
TEDARİKÇİ ÇALIŞANI |
Şirketimizinhertürlüişilişkisiiçerisindebulunduğu kurumlarda(işortağı,tedarikçigibi,ancakbunlarla sınırlıolmaksızın)çalışangerçekkişiler |
TEDARİKÇİ YETKİLİSİ |
Şirketimizinişilişkisiiçerisindebulunduğukurumların hissedarlarıveyetkililerigerçekkişiler |
MÜŞTERİ |
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler |
VELİ/VASİ/TEMSİLCİ |
Veli,vasiyadatemsilcisıfatıilekişiselverisiişlenen gerçekkişiler. |
ZİYARETÇİ |
Şirketimizinsahipolduğufizikselyerleşkelereçeşitli amaçlarlagirmişolanveyainternetsitelerimizi ziyaret eden gerçek kişiler |
DİĞER |
Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerinhaklarınıkorumakvemenfaatteminetmek üzerebukişilerleilişkiliolanüçüncütarafgerçek kişiler (Örn. Aile Bireyleri ve yakınlar) |
VERİ KATEGORİZASYONU
KİMLİK BİLGİSİ |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatikolmayanşekildeişlenen;Ehliyet,NüfusCüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlardayeralanbilgiler |
İLETİŞİM BİLGİSİ |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail gibi bilgiler |
LOKASYON BİLGİSİ |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeait olduğuaçıkolan;kısmenveyatamamenotomatik şekildeveyaverikayıtsistemininbirparçasıolarak otomatikolmayanşekildeişlenen;kişiselverisahibininürün ve hizmetlerimizi kullanımı sırasında veyaçalışanlarımız ile işbirliği içerisinde olduğumuz kurumların çalışanlarının Şirketimizin araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler |
ÖZLÜK BİLGİSİ |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamenotomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Şirketimizleçalışmailişkisiiçerisindeolangerçekkişilerin özlükhaklarınınoluşmasınatemelolacakbilgilerinelde edilmesine yönelik işlenen her türlü kişisel veri |
HUKUKİ İŞLEM VE UYUM BİLGİSİ |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu açıkolan,kısmenveyatamamenotomatikşekildeveyaveri kayıtsistemininbirparçasıolarakotomatikolmayanşekilde işlenen;hukukialacakvehaklarımızıntespiti,takibive borçlarımızınifasıilekanuniyükümlülüklerimizve şirketimizinpolitikalarınauyumkapsamındaişlenenkişisel verileriniz |
MÜŞTERİ İŞLEM BİLGİSİ |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu açıkolanveverikayıtsistemiiçerisindeyeralan;ürünve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürünvehizmetlerikullanımıiçingerekliolantalimatlarıve talepleri gibibilgiler |
FİZİKSEL MEKAN GÜVENLİK BİLGİSİ |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu açıkolanveverikayıtsistemiiçerisindeyeralan;fiziksel mekânagirişte,fizikselmekanıniçerisindekalışsırasında alınankayıtlarvebelgelereilişkinkişiselveriler |
İŞLEM GÜVENLİĞİ BİLGİSİ |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu açıkolanveverikayıtsistemiiçerisindeyeralan;faaliyetler yürütülürkenteknik,idari,hukukiveticarigüvenliğin sağlaması için işlenen kişisel veriler. |
RİSK YÖNETİMİ BİLGİSİ |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu açıkolanveverikayıtsistemiiçerisindeyeralan;ticari, teknikveidaririsklerimiziyönetebilmemiziçinbualanlarda genelkabulgörmüşhukuki,ticariteamülvedürüstlük kuralınauygunolarakkullanılanyöntemlervasıtasıyla işlenen kişisel veriler |
FİNANSAL BİLGİ |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu açıkolan,kısmenveyatamamenotomatikşekildeveyaveri kayıtsistemininbirparçasıolarakotomatikolmayanşekilde işlenen;şirketimizinkişiselverisahibiilekurmuşolduğu hukukiilişkinintipinegöreyaratılanhertürlüfinansal sonucugösterenbilgi,belgevekayıtlarailişkinişlenen kişisel veriler |
PERFORMANS VE KARİYER GELİŞİM BİLGİSİ (MESLEKİ DENEYİM BİLGİSİ) |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeait olduğuaçıkolan,kısmenveyatamamenotomatik şekildeveyaverikayıtsistemininbirparçasıolarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Şirketimizleçalışmailişkisiiçerisindeolangerçekkişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin şirketimizin insan kaynakları politikası kapsamında planlanmasıveyürütülmesiamacıylaişlenenkişiselveriler |
PAZARLAMA BİLGİSİ |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeait olduğuaçıkolan,kısmenveyatamamenotomatik şekildeveyaverikayıtsistemininbirparçasıolarak otomatikolmayanşekildeişlenen;ürünvehizmetlerimizin kişiselverisahibininkullanımalışkanlıkları,beğenisive ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasınayönelikişlenenkişiselverilervebuişleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler |
GÖRSEL/İŞİTSEL BİLGİ |
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu açıkolan;kısmenveyatamamenotomatikbirşekildeveya verikayıtsistemininbirparçasıolarakotomatikolmayan şekildeişlenenkişiselveridir;Örn:fotoğrafvekamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlarhariç),seskayıtlarıilekişiselveriiçerenbelgelerin kopyasıniteliğindekibelgelerdeyeralanveriler |
ÖZEL VERİLER I (SAĞLIK/CİNSEL HAYAT) |
Sağlık ve cinsel hayata ilişkin veriler |
ÖZEL VERİLER II |
ırk,etnikköken,siyasidüşünce,felsefiinanç,din,mezhep veyadiğerinançlar,kılıkvekıyafet,dernek,vakıfyada sendikaüyeliği,cezamahkûmiyetivegüvenliktedbirleriyle ilgiliverilerilebiyometrikvegenetikveriler |
Şirketimiztarafındankişiselverilerinişlenmesineyönelikhukukidayanaklarfarklılıkgöstersedehertürlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4.maddesinde genel ilkelere uygun olarak hareket edilmektedir.Bunagöre;hertürlüveriişlemesinde
Hukukavedürüstlükkurallarınauygunolma,
Doğruvegerektiğindegüncelolma,
Belirli,açıkvemeşruamaçlariçinişlenme,
İşlendikleriamaçlabağlantılı,sınırlıveölçülüolma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmegenel ilkeleri göz önündetutulmaktadır.
Kişiselverilerinişlenmeşartlarındanbirisahibininaçıkrızasıdır.Kişiselverisahibininaçıkrızasıbelirlibir konuyailişkin,bilgilendirilmeyedayalıolarakveözgüriradeyleaçıklanmalıdır.
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
Örneğin,KimlikBildirmeMevzuatıuyarıncaÇalışanlarımızınkimliklerininyetkilimercilerebildirilmesi.
Fiiliimkânsızlıknedeniylerızasınıaçıklayamayacakdurumdaolanveyarızasınageçerliliktanınamayacak olankişininkendisininyadabaşkabirkişininhayatıveyabedenbütünlüğünükorumakiçinkişiselverisinin işlenmesininzorunluolmasıhalindeverisahibininkişiselverileriişlenebilecektir.Örneğin,baygınlıkgeçiren çalışanınkangrububilgisininhekimilepaylaşılması.
Birsözleşmeninkurulmasıveyaifasıyladoğrudandoğruyailgiliolmasıkaydıyla,sözleşmenintaraflarınaait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin, iş sözleşmesinin kurulması için adaydan CV alınması, sözleşme kapsamında tebligat yapılabilmesi için adres alınması.
Şirketimizinverisorumlusuolarakhukukiyükümlülükleriniyerinegetirmesiiçinişlemeninzorunluolması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Asgari Geçim İndiriminden Çalışanı yararlandırmakiçin,ailebilgisininişlenmesi.
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.Örneğin, Şirketimiz müşterilerinin internet üzerinde herkese açık bir platformda şikâyet, talepveyaönerilerinisunmasıhalindebumüşterilerilgilibilgilerinialenileştirmişolur.Budurumda Şirketimiz yetkilisi tarafından, şikâyet, talep veya önerilere cevap verme amacıyla sınırlı olmak kaydıyla verilerin işlenmesimümkündür.
Birhakkıntesisi,kullanılmasıveyakorunmasıiçinveriişlemeninzorunluolmasıhalindeverisahibininkişisel verileri işlenebilecektir. Örneğin, ispat niteliği olan verilerin (satış sözleşmesinin, faturanın) saklanması ve gerekliolduğuandakullanılması.
KişiselverisahibinintemelhakveözgürlüklerinezararvermemekkaydıylaŞirketimizinmeşrumenfaatleri içinveriişlemesininzorunluolmasıhalindeverisahibininkişiselverileriişlenebilecektir.Örneğin,Şirketin güvenlikkamerasıilehırsızlığakarşıveyaişgüvenliğiamacıylakritiknoktalarınınizlenmesi.
Şirketimiztarafındanözelniteliklikişiselverilerkişiselverisahibininaçıkrızasıyokiseancak,KVKKurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ancak kanunlarda öngörülen hallerde işlenebilir.Kişiselverisahibininsağlığınavecinselhayatınailişkinözelniteliklikişiselverileriiseancakkamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleriilefinansmanınınplanlanmasıveyönetimiamacıyla,sırsaklamayükümlülüğüaltındabulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Hangi nedene dayanırsa dayansın, işleme süreçlerindedaimagenelveriişlemeilkeleridikkatealınmaktavebuilkelereuygunluksağlanmaktadır(KVK Kanunum.4;bkz.yukarıda2.Bölüm,I,1).
Şirketimiz6698SayılıKişiselVerilerinKorunmasıKanunun5.maddesinin2.fıkrasındave6.maddenin3. fıkrasındabelirtilenkişiselveriişlemeşartlarıiçerisindekiamaçlarlavekoşullarlasınırlıolarakkişiselveriler işlemektedir.Veriişlemesürecindeyukarıdabelirtilenhukukidayanaklardikkatealınmakta,diğerhukuka uygunluksebepleribulunmuyoriseilgilininrızasıtalepedilmektedir.Buradada4.Maddekapsamındagenel ilkelerdenetimiyapılmakta,herşeydenönceveriişlemefaaliyetiningenelolarakhukukauygunluk ilkelerine uyumlu olması aranmaktadır. İlgilinin rızası ise "açık, bilgilendirmeye ve özgür iradeye dayalı biçimde"alınmaktadır.KişiselverilerinişlenmeamaçlarıayrıcaŞirketimizin“KişiselVeriEnvanteri”ndede belirtilmektedir.
Şirketimiz birimlerinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir;
İşveren olarak iş sözleşmesinden doğan karşılıklı yükümlülüklerin yerine getirebilmesiiçin çalışanların kişisel verilerinin işlenmesi gerekmektedir. Çalışanların kişisel verileri; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar doğrultusunda;amaçlabağlantılı,sınırlıveölçülübirbiçimdeişlenmektevesaklanmaktadır.Bu kapsamda, çalışanların kanunlara uygun olarak çalıştırılabilmesi için gerekli olan amaçlar doğrultusunda,işsözleşmesininkurulması,ifasıvesonaermesisüreçlerininhukukauygunşekilde yürütülmesi,temelhakveözgürlüklereaykırıolmamakkoşuluylaŞirketinmeşrumenfaatleri, kanundaaçıkolaraköngörülendurumlar,çalışanistihdamınabağlıhukukiyükümlülüklerinyerine getirilmesi,yasaltakipdurumlarındahakkıntesisi,kullanılmasıvekorunmasıiçinveriişlemenin zorunluolmasıdurumlarıvebunlarındışındakalandurumlardaçalışanlardantalepedilecekaçık, bilgilendirmeye dayanan ve çalışanların özgür iradesi ile açıklayacağı rızası, kişisel veri işlemesinin hukuki dayanaklarınıoluşturmaktadır.
Şirketiniştigalkonusunungerektirdiğifaaliyetlerkapsamında,işvereninmeşrumenfaatleri çalışanların kişisel verilerinin işlenmesini gerekli kılmaktadır. Nitekim, suistimallerinönlenmesi, hırsızlığınengellenmesi,genelgüvenlikveyaişsağlığıvegüvenliğininsağlanmasıgibinedenlerle çalışanlarınkişiselverileriniişlemefaaliyetiyapılabilmektedir.Ancak,budurumdadaçalışanların temelhakveözgürlüklerinezararverilmemesinebüyükbirözengösterilmektedir.
İşlenmekteolançalışanlarınkişiselverilerininbüyükbirçoğunluğuçalışanlartarafındanŞirkete verilenbilgilerdeneldeedilmektedir.Yinebazıdurumlarda,Şirketyöneticilerigibiiçkaynaklardan veya çalışanların referanslarından veya çalışma hayatı gereklilikleri nedeniyle kamu kurumve
kuruluşları tarafından tesis edilmiş olan sistemlerdeki verilerden de çalışanların kişisel verileri Şirkete gelebilmektedir.
İşlenmekteolançalışanlarınkişiselverileri,başvuruformalarıveçalışanlarınreferansları,iş sözleşmelerivedeğişiklikleri,çalışanlarıniletişimbilgileri,bordroiçingerekliolanbilgiler,acil durumlardailetişimkurulacakkişilergibiaileveyayakınbilgileri,çalışanlarıneğitimkayıtları, performans değerlendirme kayıtları, disiplin kayıtları, kamera kayıtları gibi bilgilerden oluşmaktadır.
Çalışanlarınkişiselbilgilerininişlenmesiileilgiliolarak,birçokŞirketpolitikaveprosedüründe kurallarbulunmaktadır.BukonudaözellikleŞirketinwebsitesindebulunan“KişiselVeriPolitikası” incelenebilir.YineŞirketinintranetsistemindendesözkonusudokümanaulaşılabilir,ayrıca kağıt/hardcopyortamındadaİnsanKaynaklarıBirimi’ndenalınabilmektedir.
Çalışanlarınsağlıkbilgilerideişlenenkişiselverilerarasındayeralmaktadır.Çalışanlarınsağlıkve cinselhayatlarınailişkinbilgilerkuralolarakkamusağlığınınkorunması,koruyucuhekimlik,tıbbi teşhis,tedavivebakımhizmetlerininyürütülmesi,sağlıkhizmetleriilefinansmanınınplanlanması veyönetimiamacıyla,sırsaklamayükümlülüğüaltındabulunankişilerveyayetkilikurumve kuruluşlar tarafından işlenmektedir. Bu kapsamda, çalışanların sağlık verileri ve bunlarla ilgili detaylarkuralolarakişyerihekimindevesağlıkbirimindebulunmaktadır.
“Çalışan”statüsünegeçildiktensonra(çalışanadaylığıkategorisindetalepedilmemektedir) çalışanınsendikayaüyeolmasıdurumundasendikaüyeliğideyasalmevzuatıngerekliliklerinin yapılabilmesiiçinkanununaçıkhükümlerigereğiişlenebilmektedir.Bunundışındaçalışanların,ırk, etnikköken,siyasidüşünce,felsefiinanç,din,mezhepveyadiğerinançlar,kılıkvekıyafetile biyometrikvegenetikverilerikuralolarakkanundaaçıkçaöngörülmüşolmadığısürece,işlenen kişisel veriler arasında yer almamakta, istisnai bir uygulamaya gidilecek ise, kişisel veriler işlenmedenöncegerekliliklerözenledeğerlendirilmektedir.
Şirketinbilgiiletişimaraçları(telefon,mobiltelefonlar,bilgisayarlarveinternet)üzerindedenetim vegözetimlerisözkonusudur.5651sayılıKanunveŞirketimizinmeşrumenfaatlerisözkonusu uygulamalarınhukukidayanaklarınıoluşturmaktadır.
Şirketimiz araçlarında "güvenlik, araçların ve personelin daha etkili bir biçimde yönetimi" gerekçeleriylearaçtakipsistemiuygulanabilmektedir.Sözkonusufaaliyetdeşirketimizinmeşru menfaatlerinedayanmaklabirlikteçalışanlarıntemelhakveözgürlüklerinezararvermemek kaydıylagerçekleştirilmektedir.
Şirketimizin insan kaynakları politikalarının yürütülmesinin sağlanması amacı doğrultusunda; Şirketimizininsankaynaklarıpolitikalarınauygunşekildeaçıkpozisyonlarauygunpersoneltemini, Şirketimizin insan kaynakları politikalarına uygun şekilde insan kaynakları operasyonlarının yürütülmesi, çalışan adayı seçimi, özlük işlerinin yönetilmesi, eğitim ve kariyer planlarının belirlenmesi, iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerinalınmasıkişiselverilerinişlenmeamaçlarınıoluşturmaktadır.
Tedarikçi / alt işveren çalışanlarının kişisel verileri de Kurumumuzca işlenebilmektedir.Nitekim 6331 sayılı Kanunda asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlarileilgiliolarakkontroledilmesigerekenbelgelervebilgilerbelirtilmişbulunmaktadır. Aynışekilde4857sayılıişkanunundave5510sayılıSosyalSigortalarveGenelSağlıkSigortası Kanunu’ndadaaltişverenişçilerivegeçiciişçilerileilgiliasılişvereneyükümlülüklergetirilmişve bukapsamdakontroledilmesigerekenhususlarbelirtilmiştir.Bunagöretedarikçivebaşka işverenebağlıolarakişyerimizdeçalışanişçilerinkişiselverilerininişlenmesibaştasözkonusuyasal düzelmelerolmaküzereişletmemizinmeşrumenfaatlerinedayanmaktadır.
Kişisel veriler,ayrıca:
Acildurumyönetimisüreçlerininyürütülmesi
Bilgi güvenliği süreçlerininyürütülmesi
Denetim/etik faaliyetlerininyürütülmesi
Eğitim faaliyetlerininyürütülmesi
Erişim yetkilerininyürütülmesi
Faaliyetlerin mevzuata uygunyürütülmesi
Finansvemuhasebeişlerininyürütülmesi
Firma/ürün/hizmetlerebağlılıksüreçlerininyürütülmesi
Fiziksel mekan güvenliğinintemini
Görevlendirme süreçlerininyürütülmesi
Hukukişlerinintakibiveyürütülmesi
İçdenetim/soruşturma/istihbaratfaaliyetlerininyürütülmesi
İletişim faaliyetlerininyürütülmesi
Mal/hizmet/üretimveoperasyonsüreçlerininyürütülmesi
Müşteri ilişkileri süreçlerininyürütülmesi
Müşterimemnuniyetineyönelikaktivitelerinyürütülmesi
Organizasyon ve etkinlikyönetimi
Pazarlamaanalizçalışmalarınınyürütülmesi
Performansdeğerlendirmesüreçlerininyürütülmesi
Reklam/kampanya/promosyon süreçlerininyürütülmesi
Risk yönetimi süreçlerininyürütülmesi
Saklamavearşivfaaliyetlerininyürütülmesi
Sosyalsorumlulukvesiviltoplumaktivitelerininyürütülmesi
Sözleşme süreçlerininyürütülmesi
Sponsorluk faaliyetlerininyürütülmesi
Stratejikplanlamafaaliyetlerininyürütülmesi
Talep/şikayetlerintakibi
Taşınırmalvekaynaklarıngüvenliğinintemini
Tedarikzinciriyönetimisüreçlerininyürütülmesi
Ürün/hizmetlerinpazarlamasüreçlerininyürütülmesi
Verisorumlusuoperasyonlarınıngüvenliğinintemini
Yabancıpersonelçalışmaveoturmaizniişlemleri
Yatırım süreçlerininyürütülmesi
Yetkilikişi,kurumvekuruluşlarabilgiverilmesi
Yönetim faaliyetlerininyürütülmesi
ZiyaretçikayıtlarınınoluşturulmasıvetakibiamacıylaİlgiliBirimlerimizdeişlenmektedir.
İşsağlığıvegüvenliği,genelgüvenlik,ürüngüvenliğiamaçlarıylaişyerindekameraileizleme faaliyeti,Şirketinmeşrumenfaatleridikkatealınarak,ziyaretçilerimizin,bukapsamdaverisiişlenen kişilerin ve özellikle çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirilmektedir.
Şirketimiz, Türk Ceza Kanunu’nun 138.maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgilikanunhükümlerineuygunolarakişlenmişolmasınarağmen,işlenmesinigerektirensebeplerinortadan kalkmasıhâlindeŞirketimizinkendikararınaistinadenveyakişiselverisahibinintalebiüzerinekişiselveriler silinir,yokedilirveyaanonimhâlegetirilmektedir.
Şirketimiz,ilgilikanunlardavemevzuattaöngörülmesidurumundakişiselverileriilgilimevzuattabelirtilen süreboyuncasaklanmaktadır.Kişiselverilerinnekadarsüreboyuncasaklanmasıgerektiğineilişkin mevzuattabirsüredüzenlenmemişse,kişiselverilerşirketimizinoveriyiişlerkensunduğuhizmetlerlebağlı olarakŞirketimizinuygulamalarıveticariyaşamınınteamülleriuyarıncaişlenmesinigerektirensürekadar işlenmekte,dahasonrasilinmekte,yokedilmekteveyaanonimhalegetirilmektedir.Kişiselverilerinişlenme amacısonaermiş,ilgilimevzuatveşirketinbelirlediğisaklamasürelerinindesonunagelinmişse;kişisel verileryalnızcaolasıhukukiuyuşmazlıklardadelilteşkiletmesiveyakişiselveriyebağlıilgilihakkınileri sürülebilmesiveyasavunmanıntesisedilmesiamacıylasaklanabilmektedir.Buradakisürelerintesisinde bahsigeçenhakkınilerisürülebilmesineyönelikzamanaşımısüreleriilezamanaşımısüreleriningeçmesine rağmendahaönceaynıkonulardaŞirketimizeyöneltilentaleplerdekiörnekleresasalınaraksaklama süreleribelirlenmektedir.Budurumdasaklanankişiselverilereherhangibirbaşkaamaçlaerişilmemekteve ancakilgilihukukiuyuşmazlıktakullanılmasıgerektiğizamanilgilikişiselverilereerişimsağlanmaktadır. Buradadabahsigeçensüresonaerdiktensonrakişiselverilersilinmekte,yokedilmekteveyaanonimhale getirilmektedir.
TürkCezaKanunu’nun138.MaddesindeveKVKKanunu’nun7.maddesindedüzenlendiğiüzereilgilikanun hükümlerineuygunolarakişlenmişolmasınarağmen,işlenmesinigerektirensebeplerinortadankalkması hâlindeŞirketimizinkendikararınaistinadenveyakişiselverisahibinintalebiüzerinekişiselveriler silinmekte,yokedilmekteveyaanonimhâlegetirilmektedir.BukapsamdaŞirketimizilgiliyükümlülüğünü bubölümdeaçıklananyöntemlerleyerinegetirmektedir.
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesinigerektiren sebeplerinortadankalkmasıhâlindekendikararınaistinadenveyakişiselverisahibinintalebiüzerinekişisel verilerisilenebilir.Kişiselverilerinsilinmesi,kişiselverilerinilgilikullanıcılariçinhiçbirşekildeerişilemezve tekrarkullanılamazhalegetirilmesiişlemidir.Şirketimizce,silinenkişiselverilerinilgilikullanıcılariçin erişilemezvetekrarkullanılamazolmasıiçingereklihertürlüteknikveidaritedbirleralınmaktadır.
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
Silmeişleminekonuteşkiledecekkişiselverilerinbelirlenmesi.
Erişimyetkivekontrolmatrisiyadabenzerbirsistemkullanarakherbirkişiselveriiçinilgilikullanıcıların tespitedilmesi.
İlgilikullanıcılarınerişim,gerigetirme,tekrarkullanmagibiyetkilerininveyöntemlerinintespitedilmesi.
İlgilikullanıcılarınkişiselverilerkapsamındakierişim,gerigetirme,tekrarkullanmayetkiveyöntemlerinin kapatılması ve ortadankaldırılması.
Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle silinmektedir.
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesinigerektiren sebeplerinortadankalkmasıhâlindekendikararınaistinadenveyakişiselverisahibinintalebiüzerinekişisel verileriyokedebilir.Kişiselverilerinyokedilmesi,kişiselverilerinhiçkimsetarafındanhiçbirşekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, kişisel verilerin yokedilmesiyleilgiligereklihertürlüteknikveidaritedbirlerialmaktadır.
Kişiselverilerinyokedilmesiiçin,verilerinbulunduğutümkopyalartespitedilirveverilerinbulunduğu sistemlertektekyokedilir.
Kişiselverilerinanonimleştirilmesi,kişiselverilerinbaşkaverilerleeşleştirilerekdahihiçbirsurettekimliği belirliveyabelirlenebilirbirgerçekkişiyleilişkilendirilemeyecekhâlegetirilmesidir.Şirketimiz,hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.Kişiselveriler,verisorumlusuveyaalıcıgruplarıtarafındangeridöndürülmesi ve/veyaverilerinbaşkaverilerleeşleştirilmesigibikayıtortamıveilgilifaaliyetalanıaçısındanuygun tekniklerinkullanılmasıyoluyladahikimliğibelirliveyabelirlenebilirbirgerçekkişiyleilişkilendirilemezhale getirilmesi suretiyle anonimleştirilmesi gerçekleştirilmektedir. Şirketimiz, kişisel verilerin anonim hale getirilmesiiçingereklihertürlüteknikveidaritedbirlerialmaktadır.
KVKKanunu’nun28.maddesineuygunolarakanonimhalegetirilmişolankişiselverileraraştırma,planlama veistatistikgibiamaçlarlaişlenebilir.ButürişlemelerKVKKanunukapsamıdışındaolup,kişiselveri sahibinin açık rızasıaranmayacaktır.
Anonimhalegetirme,birverikümesindekitümdoğrudanve/veyadolaylıtanımlayıcılarınçıkartılarakyada değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalıkiçinde ayırtedilebilirolmaözelliğini,birgerçekkişiyleilişkilendirilemeyecekşekildekaybetmesidir.Buözelliklerin engellenmesiveyakaybedilmesisonucundabellibirkişiyeişaretetmeyenveriler,anonimhalegetirilmiş veri sayılır. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olanveya olmayangruplama,maskeleme,türetme,genelleştirme,rastgelehalegetirmegibiyöntemlerleyürütülen bağkoparmaişlemlerininhepsineanonimhalegetirmeyöntemleriadıverilir.Buyöntemlerinuygulanması sonucundaeldeedilenverilerinbelirlibirkişiyitanımlayamazolmasıgerekmektedir.
Şirketimizce kişisel verisi işlenen kişiler aşağıda yer alan haklara sahiptir:
Kişiselveriişlenipişlenmediğiniöğrenme,
Kişiselverileriişlenmişsebunailişkinbilgitalepetme,
Kişiselverilerinişlenmeamacınıvebunlarınamacınauygunkullanılıpkullanılmadığınıöğrenme,
Yurtiçindeveyayurtdışındakişiselverilerinaktarıldığıüçüncükişileribilme,
Kişiselverilerineksikveyayanlışişlenmişolmasıhâlindebunlarındüzeltilmesiniistemevebu kapsamdayapılanişleminkişiselverilerinaktarıldığıüçüncükişilerebildirilmesiniisteme,
KVKKanunuveilgilidiğerkanunhükümlerineuygunolarakişlenmişolmasınarağmen,işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenenverilerinmünhasıranotomatiksistemlervasıtasıylaanalizedilmesisuretiylekişininkendisi aleyhinebirsonucunortayaçıkmasınaitirazetme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talepetme.
İlgiliKişilerinKVKKanunu’nun13.maddesinin1.fıkrasıgereğinceyukarıdabelirtilenhaklarınıkullanmakla ilgilitaleplerini,aşağıdakiyöntemlerleŞirketimizeiletmesigerekliveyeterlidir;
Başvuru Yöntemi |
Başvurunun Yapılacağı Adres |
Başvuru Gönderiminde Belirtilecek Bilgi |
Şahsen Başvuru
(Başvuru sahibinin |
Çalı Mah. 7. Sk. Çalı sanayi bölgesi No:6, 16120 Nilüfer/BURSA |
Zarfın üzerine “Kişisel |
Bizzat gelerek Kimliğinitevsik Edicibelgeile Başvurması) |
Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” Yazılacaktır. |
|
Noter vasıtasıyla Tebligat |
Çalı Mah. 7. Sk. Çalı sanayi bölgesi No:6, 16120 Nilüfer/BURSA |
Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır |
“Güvenli Elektronik imza” |
......@hso3.kep.tr |
E-postanın konu kısmına |
İle imzalanarak |
“Kişisel Verilerin Korunması |
|
Kayıtlı Elektronik |
Kanunu Bilgi Talebi” |
|
Posta (KEP) Yoluyla |
Yazılacaktır. |
Başvuruda;
Ad,soyadavebaşvuruyazılıiseimza,T.C.vatandaşlarıiçinT.C.KimlikNumarası,yabancılariçinuyruğu, pasaportnumarasıveyavarsakimliknumarası,tebligataesasyerleşimyeriveyaişyeriadresi,varsa bildirimeesaselektronikpostaadresi,telefonvefaksnumarası,talepkonusu,bulunmasızorunludur. Konuyailişkinbilgivebelgelerdebaşvuruyaeklenir.
Kişiselverisahipleriadınaüçüncükişilertarafındantaleptebulunulmasımümkündeğildir.Kişiselveri sahibininkendisidışındabirkişinintaleptebulunmasıiçinkonuyailişkinolarakkişiselverisahibitarafından başvurudabulunacakkişiadınadüzenlenmişözelvekâletnamebulunmalıdır.Kişiselverisahibiolaraksahip olduğunuzveyukarıdabelirtilenhaklarınızıkullanmakiçinyapacağınızvekullanmayıtalepettiğinizhakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konununşahsınızileilgiliolmasıveyabaşkasıadınahareketediyorisenizbukonudaözelolarakyetkili olmanızveyetkinizibelgelendirilmesi,başvurununkimlikveadresbilgileriniiçermesivebaşvuruya kimliğinizitevsikedicibelgelerineklenmesigerekmektedir.
Kişiselverisahipleriadınaüçüncükişilertarafındantaleptebulunulmasımümkündeğildir.Kişiselveri sahibininkendisidışındabirkişinintaleptebulunmasıiçinkonuyailişkinolarakkişiselverisahibitarafından başvurudabulunacakkişiadınadüzenlenmişözelvekâletnamebulunmalıdır.
Veri sahiplerine ilişkin başvuru formu, Şirketimizin web sitesinde mevcut bulunmaktadır.
Kişisel veri sahibinin, talebini öngörülen usule uygun olarak Şirketimize iletmesi durumunda Şirketimiz talebinniteliğinegöreenkısasüredeveengeçotuzgüniçindeilgilitalebiücretsizolaraksonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından başvuru sahibinden KVK Kuruluncabelirlenentarifedekiücretalınacaktır.Şirketimiz,başvurudabulunankişininkişiselverisahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirketimiz, kişisel veri sahibinin başvurusundayeralanhususlarınetleştirmekadına,kişiselverisahibinebaşvurusuileilgilisoruyöneltebilir. BaşvurularŞirketimizin“İlgiliKişiBaşvuruProsedürü"negöreŞirketimiziçindeyönetilmektedir.
KİŞİSELVERİLERİNHUKUKAUYGUNİŞLENMESİNİSAĞLAMAKİÇİNALINANTEKNİKVEİDARİ TEDBİRLER
Şirketimiz,kişiselverilerinhukukauygunişlenmesinisağlamakiçingereklitümteknikveidaritedbirler almaktadır. Bukapsamda,
ŞirketimizkapsamındaVERBİSsistemineuyumluVeriEnvanteriçıkarılmakta(DataMapping),burada hukukaveamacauygunlukdenetimleriyapılmaktadır.
Şirketimizinilgilikişilereaitaydınlatmayükümlülüğününeksiksizolarakvedoğrubiçimdeyerine getirilebilmesiiçin“KişiselVerilerinİşlenmesindeAydınlatmaEsaslarıPolitikası”yürürlüğekonulmuş bulunmaktadır.
Çalışanlar,kişiselverilerinkorunmasıhukukuvekişiselverilerinhukukauygunolarakişlenmesi konusundabilgilendirilmektedir.
Şirketimizinyürütmüşolduğutümfaaliyetlerdetaylıolaraktümişbirimleriözelindeanalizedilerek,bu analizneticesindeilgiliişbirimleriningerçekleştirmişolduğufaaliyetlerözelindekişiselveriişleme faaliyetleri ortayakonulmaktadır.
Şirketimizinişbirimlerininyürütmüşolduğukişiselveriişlemefaaliyetleri;bufaaliyetlerin6698Sayılı Kanun’unaradığıkişiselveriişlemeşartlarınauygunluğunsağlanmasıiçinyerinegetirilecekolan gerekliliklerherbirişbirimiveyürütmüşolduğudetayfaaliyetözelindebelirlenmektedir.
Şirketimizileçalışanlararasındakihukukiilişkiyiyönetensözleşmevebelgelere,Şirketintalimatlarıve kanunlagetirilenistisnalardışında,kişiselverileriişlememe,ifşaetmemevekullanmamayükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
ŞirketimizileŞirketimizinsorumluolduğuverileriişleyenüçüncütaraflararasındakihukukiilişkiyi yönetensözleşmevebelgelere,Şirketintalimatlarıvekanunlagetirilenistisnalardışında,kişiselverileri işlememe,ifşaetmemevekullanmamayükümlülüğügetirenkayıtlarkonulmaktavebukonuda“Üçüncü Taraflarla Gizlilik Ve Kişisel Verilerin Korunması Esasları Politikası” yürürlüğe konulmuş bulunulmaktadır.
KVK Kanunu ile bir takım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığasebepolmariskinedeniyleözelönematfedilmiştir.Buveriler;ırk,etnikköken,siyasidüşünce, felsefiinanç,din,mezhepveyadiğerinançlar,kılıkvekıyafet,dernek,vakıfyadasendikaüyeliği,sağlık, cinselhayat,cezamahkûmiyetivegüvenliktedbirleriyleilgiliverilerilebiyometrikvegenetikverilerdir. Şirketimiztarafından,KVKKanunuile“özelnitelikli”olarakbelirlenenvehukukauygunolarakişlenenözel niteliklikişiselverilerinkorunmasındahassasiyetledavranılmaktadır.Bukapsamda,Şirketimiztarafından, kişiselverilerinkorunmasıiçinalınanteknikveidaritedbirler,özelniteliklikişiselverilerbakımındanözenle uygulanmaktavegereklidenetimlersağlanmaktadır.Bukapsamda;
Özelniteliklikişiselverileringüvenliğineveişlenmeesaslarınailişkinolarak“ÖzelVerilerinİşlenmesi Politikası”hazırlanmıştır.
Özelniteliklikişiselverilerinişlenmesisüreçlerindeyeralançalışanlarayönelik,Kanunvebunabağlı yönetmeliklerileözelniteliklikişiselverigüvenliğikonularındadüzenliolarakeğitimlerverilmekte, gizliliksözleşmeleriyapılmakta,verilereerişimyetkisinesahipkullanıcıların,yetkikapsamlarıvesüreleri netolaraktanımlanmakta,yetkikontrollerigerçekleştirilmekte,görevdeğişikliğiolanyadaiştenayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve bu kapsamda, veri sorumlusutarafından kendisinetahsisedilenenvanteriadealınmaktadır.
Özelniteliklikişiselverilerinişlendiği,muhafazaedildiğive/veyaerişildiğiortamlar,elektronikortam iseverilerkriptografikyöntemlerkullanılarakmuhafazaedilmektedir.Kriptografikanahtarlargüvenlive farklı ortamlarda tutulmakta veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarakloglanmakta,verilerinbulunduğuortamlaraaitgüvenlikgüncellemeleritakipedilmektevegerekli güvenliktestleriyapılmakta,testsonuçlarıkayıtaltınaalınmaktadır.
Verilerebiryazılımaracılığıileerişilmesidurumundabuyazılımaaitkullanıcıyetkilendirmeleri yapılmakta,buyazılımlarıngüvenliktestleridüzenliolarakyapılmakta,testsonuçlarıkayıtaltına alınmaktadır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fizikselortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, bu ortamların fiziksel güvenliği sağlanarakyetkisizgirişçıkışlarengellenmektedir.
Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarakkurumsale-postaadresiyleveyaKayıtlıElektronikPosta(KEP)hesabıkullanılarakaktarılması sağlanmaktadır.
ÖzelVeriler,Bellek,CD,DVDgibiortamlaryoluylaaktarılmasıgerekiyorsakriptografikyöntemlerle şifrelenmektevekriptografikanahtarfarklıortamdatutulmaktadır.
Özelverilerin,farklıfizikselortamlardakisunuculararasındaaktarmagerçekleştiriliyorsa,sunucular arasındaVPNkurularakveyasFTPyöntemiyleveriaktarımıgerçekleştirilmektedir.Özelverilerinkâğıt ortamıyoluylaaktarımıgerekiyorsaevrakınçalınması,kaybolmasıyadayetkisizkişilertarafından
görülmesigibirisklerekarşıgerekliönlemleralınmaktaveevrak“gizlilikderecelibelgeler”formatında gönderilmektedir.
YukarıdabelirtilenönlemlerinyanısıraKişiselVerileriKorumaKurumununinternetsitesinde yayımlananKişiselVeriGüvenliğiRehberindebelirtilenuygungüvenlikdüzeyiniteminetmeyeyönelik teknikveidaritedbirlerdedikkatealınmaktadır.
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasınıveya başkaşekillerdekitümhukukaaykırıerişimiönlemekiçinteknikveidaritedbirleralmaktadır.
Şirketimiztarafındankişiselverilerinhukukaaykırıerişiminiengellemekiçinalınanbaşlıcatekniktedbirler aşağıdasıralanmaktadır:
Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta ancak tedbirler bununlasınırlıbırakılmamaktadır.Güvenlikduvarıveağgeçidigibitedbirleralınmaktadır.Kullanılmayan yazılımveservislercihazlardankaldırılmaktadır.
Yamayönetimiveyazılımgüncellemeleriileyazılımvedonanımlarındüzgünbirşekildeçalışmasıve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır.
Kişiselveriiçerensistemlereerişimdesınırlandırılmaktadır.Bukapsamdaçalışanlara,yapmaktaoldukları işvegörevlerileyetkivesorumluluklarıiçingerekliolduğuölçüdeerişimyetkisitanınmaktavekullanıcıadı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken,kişiselbilgilerleilişkilivekolaytahminedilecekrakamyadaharfdizileriyerinebüyükküçük harf,rakamvesembollerdenoluşacakkombinasyonlarıntercihedilmesisağlanmaktadır.Bunabağlıolarak, erişimyetkivekontrolmatrisioluşturulmaktadır.
Güçlüşifreveparolakullanımınınyanısıra,şifregirişidenemesayısınınsınırlandırılması,düzenliaralıklarla şifreveparolalarındeğiştirilmesininsağlanması,yöneticihesabıveyönetimyetkisininsadeceihtiyaçolduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişiminsınırlandırılması yapılmaktadır.
Kötüamaçlıyazılımlardankorunmakiçinayrıca,bilgisistemağınıdüzenliolaraktarayanvetehlikeleritespit edenantivirüs,antispamgibiürünlerkullanılmakta,ayrıcabunlargünceltutularakgerekendosyalardüzenli olaraktaranmaktadır.Farklıinternetsitelerive/veyamobiluygulamakanallarındankişiselveritemin edilecekse,bağlantılarınSSLyadadahagüvenlibiryolilegerçekleştirilmesisağlanmaktadır.
Bilişimağlarındahangiyazılımveservislerinçalıştığınınkontroledilmesi,
Bilişimağlarındasızmaveyaolmamasıgerekenbirhareketolupolmadığınınbelirlenmesi,
Tümkullanıcılarınişlemhareketlerikaydınındüzenliolaraktutulması(logkayıtlarıgibi),
Güvenliksorunlarınınmümkünolduğuncahızlıbirşekilderaporlanması,
Gerçekleştirilmekte,çalışanlarınsistemveservislerdekigüvenlikzafiyetleriniyadabunlarıkullanan tehditleribildirmesiiçinresmibirraporlamaprosedürüoluşturulmaktadır.
Bilişimsistemininçökmesi,kötüniyetliyazılım,servisdışıbırakmasaldırısı,eksikveyahatalıverigirişi,gizlilik vebütünlüğübozanihlaller,bilişimsistemininkötüyekullanılmasıgibiistenmeyenolaylardadeliller toplanmaktavegüvenlibirşekildesaklanmaktadır.
Kişiselveriler,verisorumlularınınyerleşkelerindeyeralancihazlardayadakâğıtortamındasaklanıyorise, bucihazlarınvekağıtlarınçalınmasıveyakaybolmasıgibitehditlerekarşıfizikselgüvenlikönlemleri alınmaktadır.Kişiselverilerinyeraldığıfizikselortamlarındışrisklere(yangın,selvb.)karşıuygun yöntemlerlekorunmaktavebuortamlaragiriş/çıkışlarkontrolaltınaalınmaktadır.
Kişiselverilerelektronikortamdaise,kişiselverigüvenliğiihlaliniönlemekiçinağbileşenleriarasındaerişim sınırlandırılabilmekteveyabileşenlerinayrılmasısağlanmaktadır.
AynıseviyedekiönlemlerŞirketyerleşkesidışındayeralanveŞirketeaitkişiselveriiçerenkâğıtortamları, elektronikortamvecihazlar(dizüstübilgisayar,ceptelefonu,flaşbellekler)içindealınmaktadır.Elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir.
Çalışanlarınşahsielektronikcihazlarıilebilgisistemağınaerişimsağlamasıdurumundabunlariçindeyeterli güvenlik tedbirlerialınmaktadır.
Kişiselveriiçerencihazlarınkaybolmasıveyaçalınmasıgibidurumlarakarşıerişimkontrolyetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadeceyetkilikişilerinerişebileceğiortamdasaklanmaktaveyetkisizerişimönlenmektedir.
Kişiselveriiçerenkâğıtortamındakievraklardakilitlibirşekildevesadeceyetkilikişilerinerişebileceği ortamlardasaklanmakta,sözkonusuevraklarayetkisizerişimönlenmektedir.
Kişiselverilerinbuluttadepolanmasıuygulamalarınadagerektiğindebaşvurulabilmektedir.Budurumda, bulutdepolamahizmetisağlayıcısıtarafındanalınangüvenlikönlemlerinindeyeterliveuygunolup olmadığınınŞirkettarafındandeğerlendirilmesigerekmektedir.Bukapsamda,KVKKurulununrehberve tavsiyelerindebelirtilenönlemlerdikkatealınmaktadır.
Şirkettarafındanyenisistemlerintedariki,geliştirilmesiveyamevcutsistemleriniyileştirilmesiileilgili ihtiyaçlarbelirlenirkengüvenlikgereksinimlerigözönünealınmaktadır.
Kişiselverilerinherhangibirsebeplezarargörmesi,yokolması,çalınmasıveyakaybolmasıgibihallerde Şirketyedeklenenverilerikullanarakenkısasüredefaaliyetegeçmeyisağlamaktadır.Yedeklenenkişisel verilersadecesistemyöneticisitarafındanerişilebilirolup,verisetiyedekleriağdışındatutulmaktadır.
Şirketimiztarafındankişiselverilerinhukukaaykırıerişiminiengellemekiçinalınanbaşlıcaidaritedbirler aşağıdasıralanmaktadır:
Çalışanlar,kişiselverilerehukukaaykırıerişimiengellemekiçinalınacaktekniktedbirlerkonusunda bilgilendirilmekte veeğitilmektedir.
Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağıveişlemeamacıdışındakullanamayacağıvebuyükümlülüğüngörevden
ayrılmalarındansonradadevamedeceğikonusundabilgilendirilmektevebudoğrultudakendilerinden gerekli taahhütleralınmaktadır.
Kişisel Veri Güvenliği Politikalarının ve Prosedürler belirlenmekte, politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte, geliştirilmesi gerekenhususlarbelirlenmektedir.Yine,herkişiselverikategorisiiçinortayaçıkabilecekrisklerile güvenlikihlallerininnasılyönetileceğideaçıkçabelirlenmektedir.
KişiselVerilerinMümkünOlduğuncaAzaltılması:Kişiselveriler,doğruvegüncelolmalı,ilgili mevzuattaöngörülenveyaişlendikleriamaçiçingerekliolansürekadarmuhafazaedilmelidir.Ancak, doğruolmayan,güncelliğiniyitirmişveherhangibiramacahizmetetmeyenverilerehalaihtiyaçolup olmadığınındeğerlendirilmekteveihtiyaçduyulmayankişiselverilerisekişiselverisaklamaveimha politikasıilesilinmekte,yokedilmekteveyaanonimhalegetirilmektedir.
VeriİşleyenlerileİlişkilerinYönetimi:ŞirketBTihtiyacınıkarşılamakiçinveriişleyenlerdenhizmet aldığızaman,hizmetalırkensözkonusuveriişleyenlerinkişiselverilerkonusundaenazkendileri tarafından sağlanan güvenlik seviyesini sağlandığından emin olarak işlem yapılmaktadır. Bu kapsamda, veriişleyenileimzalanansözleşmelerekişiselverilerinkorunmasıileilgilikoruyucudüzenlemeler getirilmektedir.
Şirketimiz,kişiselverileringüvenliortamlardasaklanmasıvehukukaaykırıamaçlarlayokedilmesini, kaybolmasınıveyadeğiştirilmesiniönlemekiçinteknolojikimkânlarveuygulamamaliyetinegöregerekli teknikveidaritedbirlerialmaktadır.
Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
Saklanmaalanlarınayönelikteknikgüvenliksistemlerikurulmakta,alınanteknikönlemlerperiyodik olarakŞirketimizcebelirlenendenetimmekanizmasıtarafındandenetlenmekte,riskteşkiledenhususlar yenidendeğerlendirilerekgerekliteknolojikçözümüretilmektedir.
Kişiselverileringüvenlibirbiçimdesaklanmasınısağlamakiçinhukukauygunbirbiçimdetümgerekli altyapılarkullanılmaktadır.
Şirketimiztarafındankişiselverileringüvenliortamlardasaklanmasıiçinalınanbaşlıcaidaritedbirleraşağıda sıralanmaktadır:
Çalışanlar,kişiselverilerin güvenlibir biçimde saklanmasını sağlamak konusundabilgilendirilmektedirler.
Şirketimiztarafındankişiselverilerinsaklanmasıkonusundateknikgerekliliklersebebiyledışarıdanbir hizmetalınmasıdurumunda,kişiselverilerinhukukauygunolarakaktarıldığıilgilifirmalarileakdedilen sözleşmelere;kişiselverilerinaktarıldığıkişilerin,kişiselverilerinkorunmasıamacıylagerekligüvenlik tedbirlerinialacağınavekendikuruluşlarındabutedbirlereuyulmasınısağlanacağınailişkinhükümlere yerverilmektevebukonudaŞirketin“ÜçüncüTaraflarlaİlişkilerdeKişiselVerilerinKorunmasıEsasları” Politikasındakihükümleregörehareketedilmektedir.
Şirketimiz,KişiselVerilerinkorunmasıkonusundaçalışanlarınaPolitikaveKVKProsedürleriileKVKK Düzenlemelerikapsamındagereklieğitimleriverilmektedir.
EğitimlerdeÖzelNitelikliKişiselVerilerintanımlarınavekorunmasınayönelikuygulamalaraözellikle değinilmektedir.
ŞirketimizçalışanıKişiselVerilerefizikselolarakveyabilgisayarortamındaerişiyorsa,Şirketimizilgili çalışanınabuerişimlerözelinde(örneğinerişilenbilgisayarprogramı)eğitimverilmektedir.
İşBirimlerininKişiselVerilerinKorunmasıVeİşlenmesiKonusundaFarkındalıklarının Arttırılması VeDenetimi
Şirketimiz,kişiselverilerinhukukaaykırıolarakişlenmesini,verilerehukukaaykırıolarakerişilmesini önlemeyeveverilerinmuhafazasınısağlamayayönelikfarkındalığınartırılmasıiçinişbirimlerinegerekli bildirimlerin yapılmasınısağlamaktadır.
Şirketimizkişiselverilerinhukukaaykırıolarakişlenmesininönlenmesi,verilerehukukaaykırıolarak erişilmesininönlenmesiveverilerinmuhafazasınısağlamayayönelikfarkındalığınartırılmasıiçiniş ortaklarına gerekli bilgilendirmeleryapmaktadır.
Şirketimiz,işbuPolitikaveKVKDüzenlemelerineŞirketintümçalışanları,departmanlarıveyüklenicilerinin uygunhareketettiğinidüzenliolarakhiçbirönbildirimdebulunmaksızınherzamanvere’sendenetleme hakkınıhaizdirvebukapsamdagereklirutindenetimleriyapmaktaveyayaptırmaktadır.Budenetim sonuçlarıŞirketiniçişleyişikapsamındadeğerlendirilirvealınantedbirleriniyileştirilmesiiçingerekli faaliyetleryürütülmektedir.
KişiselVerilerinYetkisizBirŞekildeİfşasıDurumundaAlınacakTedbirlerŞirketimiz,KVKKanunu’nun12. maddesineuygunolarakişlenenkişiselverilerinkanuniolmayanyollarlabaşkalarıtarafındaneldeedilmesi halindebudurumuenkısasüredeilgilikişiselverisahibineveKVKKurulu’nabildirilmesinisağlayansistemi yürütmektedir.