EKİP
KALIP APARAT MAKİNE İMALATI TİC. LTD. ŞTİ. LTD. ŞTİ
KİŞİSEL
VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
Güncellenme Tarihi: 24.05.2024
1
İÇİNDEKİLER
BÖLÜM:GİRİŞ
KİŞİSELVERİLERİNKORUNMASININÖNEMİ
Kişisel verilerin korunması,
Anayasal bir hak olup, Şirketimizin öncelikleri kapsamında yer
almaktadır. Nitekim bu amaçla, Şirketimizde devamlı olarak
güncellenen bir sistem kurulması amaçlanmış ve işbu politika
oluşturulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu
kapsamında, Veri Sorumlusu sıfatıyla EKİP KALIP APARAT MAKİNE
İMALATI TİC. LTD. ŞTİ..(
Orhangazi . Çalı Mah.
7. Sk. Çalı sanayi bölgesi No:6, 16120 Nilüfer/BURSA).”nin
(Şirket),genelaydınlatmayükümlülüğünüyerinegetirmekveŞirketimizkişiselveriişlemekurallarınıntemel esaslarını belirlemek üzere işbu Politika yapılmakta
ve bu kapsamda müşterilerimizin, potansiyel müşterilerimizin,çalışanlarımızın,çalışanadaylarımızın,stajyerveöğrencilerimizin,tedarikçi/altişveren
çalışanlarınınveyetkililerinin,şirkethissedarlarımızınveşirketortaklarımızın,ziyaretçilerimizinvediğer verisini işlediğimiz üçüncü kişilerin kişisel
verilerinin korunması konusundaki temel esaslar düzenlenmektedir.
BuPolitika’dabelirtilenkonularınuygulanmasınayönelikolarakŞirketiçerisindegerekliprosedürler düzenlenmekte, kişi kategorilerine özel
Kişisel Veri İşleme Envanteri
ile uyumlu aydınlatma metinleri oluşturulmakta,kişiselverilereerişimiolanŞirketçalışanlarıveüçüncütaraflarlakişiselverilerinkorunması
vegizliliksözleşmeleriyapılmakta,görevtanımlarırevizeedilmekte,kişiselverilerinkorunmasıiçinEkip
Kalıp Aparat Makine İmalatı Tic. Ltd. Şti Ltd. Şti.”
tarafındangerekenidarivetekniktedbirleralınmakta,bukapsamdagerekli
denetimleryapılmaktaveyayaptırılmaktadır.KişiselVerilerinKorunmasıkonusuüstyönetimtarafındanda
sahiplenilmekte,bukonudaözelbirKomiteoluşturulmak(ŞirketKVKKomitesi)suretiylekişiselverilerin korunması süreçleriyönetilmektedir.
POLİTİKANINAMACI
BuPolitikanıntemelamacı,Ekip Kalıp Aparat Makine
İmalatı Tic. Ltd. Şti tarafındanhukukauygunbirbiçimdeyürütülen kişiselveriişlemefaaliyetivekişiselverilerinkorunmasınayönelikesaslarıortayakoymak,bukapsamda kişiselverilerişirketimiztarafındanişlenenkişileriaydınlatarakvebilgilendirilerekşeffaflığısağlamaktır.
KAPSAM
BuPolitika;“müşterilerimiz,potansiyelmüşterilerimiz,çalışanlarımız,çalışanadaylarımız,stajyerve
öğrencilerimiz,tedarikçi/altişverençalışanlarıveyetkilileri,şirkethissedarlarımızveşirketortaklarımız,
ziyaretçilerimiz,veli/vasi/temsilcivediğerverisiniişlediğimizüçüncükişiler”başlıklarıaltındakategorize
ettiğimizkişilerinotomatikolanyadaherhangibirverikayıtsistemininparçasıolmakkaydıylaotomatik olmayanyollarlaişlediğimiztümkişiselverilerineilişkindir.
POLİTİKANINVEİLGİLİMEVZUATINUYGULANMASI
Kişiselverilerinişlenmesivekorunmasıkonusundayürürlüktebulunanilgilikanunidüzenlemeleröncelikle
uygulamaalanıbulacaktır.YürürlüktebulunanmevzuatvePolitikaarasındauyumsuzlukbulunması durumunda,Şirketimizyürürlüktekimevzuatınuygulamaalanıbulacağınıkabuletmektedir.
ERİŞİM VEGÜNCELLEME
Politika Şirketimizin internet sitesinde (https://ekipkalip.com)
yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili
kişilerin erişimine sunulur ve gerektiğinde güncellenir.
BÖLÜM:KİŞİSELVERİLERİNİŞLENMESİ
Şirketimiz,Anayasa’nın20.maddesineveKVKKanunu’nun4.maddesineuygunolarak,kişiselverilerin işlenmesikonusunda;hukukavedürüstlükkurallarınauygun,doğruvegerektiğindegüncel;belirli,açıkve meşruamaçlardoğrultusunda;amaçlabağlantılı,sınırlıveölçülübirbiçimdekişiselveriişlemefaaliyetinde
bulunmaktadır.Şirketimizkanunlardaöngörülenveyakişiselveriişlemeamacınıngerektirdiğisürekadar
kişisel verilerisaklamaktadır.
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 5. maddeleri
gereğince, kişisel verileri, kişisel verilerin işlenmesine
ilişkin KVK Kanunu’nun 5. maddesindeki şartlardan bir veya
birkaçına dayalı olarak işlemektedir.
Şirketimiz, Borçlar Kanunu’ nun 419. maddesi gereğince, 6698 sy.
KVK Kanunu saklı kalmak kaydıyla, çalışanlarınveçalışanadaylarınınkişiselverilerini,işeyatkınlıkveişsözleşmesininifasıamaçlarınadayalı olarakişlemektedir.
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 10. maddelerine
uygun olarak, kişisel veri sahiplerini aydınlatmaktavekişiselverisahiplerininbilgitalepetmelerivekanundandoğanhaklarınıkullanmaküzere başvurmaları durumunda gerekli bilgilendirmeyi
yapmakta, başvurulara yasal süresi içinde yanıt vermektedir.
ŞirketimizKVKKanunu’nun6.maddesineuygunolaraközelniteliklikişiselverilerinişlenmesibakımından öngörülendüzenlemelereuygunhareketetmektedir.
Şirketimiz, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak,
kişisel verilerin aktarılması konusunda kanundaöngörülenkurallarauymaktaveKVKKurulutarafındanalınankararveyayınlanantebliğlerile güvenliülkelistelerinidikkatealarakuygulamayapmaktadır.
KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKE VE KURALLARA
UYGUN OLARAK İŞLENMESİ
KişiselVerilerinİşlenmesiİlkeleri
HukukaveDürüstlükKuralınaUygunİşleme
Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle
getirilen ilkeler ile dürüstlük kuralına uygun hareket
etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesini
gerektirecek hukuksal dayanaklarıtespitederekişlemyapmakta,ölçülülükgerekliliklerinidikkatealmakta,kişiselverileriamacın
gerektirdiğidışındakullanmamakta,kişilerinbilgisidışındaişlemefaaliyetiyapmamaktadır.
KişiselVerilerinDoğruveGerektiğindeGüncelOlmasınıSağlama
Şirketimiz;kişiselverisahiplerinintemelhaklarınıvekendimeşrumenfaatlerinidikkatealarakişlediğikişisel
verilerindoğruvegüncelolmasınısağlamakta,budoğrultudagereklitedbirlerialmaktadır.Bukapsamda tümkişikategorilerineilişkinverilergünceltutulmayaçalışılmaktadır.Özelliklemüşterivepotansiyel
müşteriverileriözenlegüncellenmekte,kişilererızalarınaaykırıbiçimdepazarlamavetanıtımamaçlı
eposta ve tekliflergönderilmemektedir.
Belirli,AçıkveMeşruAmaçlarlaİşleme
Şirketimiz,meşruvehukukauygunolankişiselveriişlemeamacınıaçıkvekesinolarakbelirlemektedir. Şirketimiz,kişiselverilerisunmaktaolduğuhizmetlebağlantılıvebunlariçingerekliolankadarişlemektedir. Şirketimiztarafındankişiselverilerinişleneceğiamaçişlemefaaliyetiöncesibelirlenmekteve“KişiselVeri Envanteri”ne de işlenmektedir.
İşlendikleriAmaçlaBağlantılı,SınırlıveÖlçülüOlma
Şirketimiz, kişisel verileri belirlenen amaçların
gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve
amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç
duyulmayan kişisel verilerinişlenmesinden kaçınmaktadır. Bu kapsamda süreçler
sürekli gözden geçirilmekte, “kişisel
verilerin azaltılması”ilkesihayatageçirilmeyeçalışılmaktadır.
İlgiliMevzuattaÖngörülenveyaİşlendikleriAmaçiçinGerekliOlanSüreKadarMuhafazaEtme Şirketimiz,kişiselverileriancakilgilimevzuattabelirtildiğiveyaişlendikleriamaçiçingerekliolansürekadar
muhafazaetmektedir.Bukapsamda,Şirketimizöncelikleilgilimevzuattakişiselverilerinsaklanmasıiçinbir süreöngörülüpöngörülmediğinitespitetmekte,birsürebelirlenmişsebusüreyeuygundavranmakta,bu
kapsamdahukukvecezazamanaşımısürelerinidikkatealmaktavekişiselverileriişlendikleriamaçiçin
gerekliolansürekadarsaklamaktadır.Süreninbitimiveyaişlenmesinigerektirensebeplerinortadan
kalkmasıhalindekişiselverilerŞirketimizin“KişiselVerilerinSaklanmasıveSilinmesi”politikasınagöre silinmekte,yokedilmekteveyaanonimhalegetirilmektedir.
GenelNiteliktekiKişiselVerilerinİşlenmesiKuralları
KişiselverilerinkorunmasıAnayasalbirhakolup,temelhakvehürriyetler,özlerinedokunulmaksızın yalnızcaAnayasa’nınilgilimaddelerindebelirtilensebeplerebağlıolarakveancakkanunlasınırlanabilir. Anayasa'nın20.maddesininüçüncüfıkrasıgereğince,kişiselverilerancakkanundaöngörülenhallerdeveya
kişininaçıkrızasıylaişlenebilecektir.Şirketimizce,kişiselverilerinişlenmesindeancakaşağıdakişartlarvarsa
ilgilikişininaçıkrızasıaranmaksızınkişiselverileriişlenmektedir;a)Kanunlardaaçıkçaöngörülmesi,
Fiiliimkânsızlıknedeniylerızasınıaçıklayamayacakdurumdabulunanveyarızasınahukukigeçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya
beden bütünlüğünün korunması için zorunluolması,
Birsözleşmeninkurulmasıveyaifasıyladoğrudandoğruyailgiliolmasıkaydıyla,sözleşmenintaraflarına aitkişiselverilerinişlenmesiningerekliolması,
Ç) Veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması,
İlgilikişininkendisitarafındanalenileştirilmişolması,
Birhakkıntesisi,kullanılmasıveyakorunmasıiçinveriişlemeninzorunluolması,
İlgilikişinintemelhakveözgürlüklerinezararvermemekkaydıyla,verisorumlusununmeşrumenfaatleri içinveriişlenmesininzorunluolması
YukarıdakişartlarınbulunmamasıhalindeŞirketimizceilgilininaçık,özgüriradeyevebilgilendirmeyedayalı
rızasınabaşvurulmaktadır.ÖzellikleİnsanKaynaklarıveçalışmailişkilerialanında,çalışanınbağımlılıkilişkisi
dikkatealınarakverininönceliklerızadışındakalanhukukauygunluksebeplerinedayanılmasıesas
tutulmakta,ancakbusebeplerinsözkonusuolmamasıdurumundaaçıkrızayabaşvurulmaktadır.Buna
karşılık pazarlama gibi faaliyetlerde ilgilinin rızası esas
alınarak işleme faaliyeti gerçekleştirilmektedir. Ancak herhaldekişiselverilerinişlendiğitümdurumlardakişilermutlaka“aydınlatılarak”veriişlemefaaliyeti gerçekleştirilmektedir.
ÖzelNitelikliKişiselVerilerinİşlenmesiKuralları
Şirketimiztarafından,KVKKanunuile“özelnitelikli”olarakbelirlenenkişiselverilerinişlenmesinde,KVK
Kanunu’ndaöngörülendüzenlemelereuygundavranılmaktadır.KVKKanunu’nun6.maddesinde,hukuka
aykırıolarakişlendiğindekişilerinmağduriyetineveyaayrımcılığasebepolmariskitaşıyanbirtakımkişisel
veri“özelnitelikli”olarakbelirlenmişolupbuverilerinişlenmesindedikkatvehassasiyetgösterilmesi gerekmektedir.Bunlar;ırk,etnikköken,siyasidüşünce,felsefiinanç,din,mezhepveyadiğerinançlar,kılık
ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel
hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyleilgiliverilerilebiyometrikvegenetikverilerdir.KVKKanunu’nauygunbirbiçimdeŞirketimiz tarafından; özel nitelikli kişisel veriler,
gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda
işlenmektedir:
Kişiselverisahibininsağlığıvecinselhayatıdışındakiözelniteliklikişiselveriler,kanunlardaöngörülen
hallerdeveyakişiselverisahibininaçıkrızasıvarisebunadayalıolarak,
Kişiselverisahibininsağlığınavecinselhayatınailişkinözelniteliklikişiselverileriseancakkamu sağlığınınkorunması,koruyucuhekimlik,tıbbiteşhis,tedavivebakımhizmetlerininyürütülmesi,sağlık
hizmetleriilefinansmanınınplanlanmasıveyönetimiamacıyla,sırsaklamayükümlülüğüaltında bulunankişilerveyayetkilikurumvekuruluşlartarafındanveyakişiselverisahibininaçıkrızasıile
işlenmektedir.
Hanginedenedayanırsadayansın,işlemesüreçlerindedaimagenelveriişlemeilkeleridikkate
alınmaktavebuilkelereuygunluksağlanmaktadır(KVKKanunum.4;bkz.yukarıda2.Bölüm,I,1).
Özelnitelikliverilerinkorunmasıileilgiliolarakşirketimizde“ÖzelVerilerinKorunmasıPolitikası”yürürlüğe konulmuşolup,işbirimlerimizdebupolitikahükümlerinegörehareketedilmektevegerekentedbirler
alınmaktadır.
VerisiİşlenenİlgiliKişilerinAydınlatılmasıveBilgilendirilmesi
Şirketimiz,KVKKanunu’nun10.maddesineuygunolarak,kişiselverilerineldeedilmesisırasındakişiselveri
sahipleriniaydınlatmaktadır.Bukapsamdaverisiişlenenilgilikişiyekişiselverilerinhangiamaçlaişleneceği, işlenenkişiselverilerinkimlerevehangiamaçlaaktarılabileceği,kişiselveritoplamanınyöntemivehukuki sebebiilekişiselverisiişlenenilgilikişininhaklarıkonusundaaydınlatmayapılmakta,Şirketimizinilgili
BirimleriŞirketimizin“AydınlatmaEsaslarıPolitikası’nagöre”gerekenişlemleriyerinegetirmektedir.Yine, KVKKanunu’nun11.maddesindekişiselverisiişlenenilgilikişininhaklarıarasında“BilgiTalepEtme”de sayılmışolup,Şirketimizbukapsamda,Anayasa’nın20.veKVKKanunu’nun11.maddelerineuygunolarak
kişiselverisiişlenenilgilikişininbilgitalepetmesidurumundagereklibilgilendirmeyapılmakta,bukonuda
Şirketimizde“İlgiliKişiBaşvuruProsedürü’negöreişlemyapılmaktadır.
KİŞİSEL VERİLERİNAKTARILMASI
Şirketimizhukukauygunolankişiselveriişlemeamaçlarıdoğrultusundagerekligüvenlikönlemlerinialarak kişisel verisi işlenen ilgili kişinin kişisel
verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere
aktarabilmektedir. Şirketimiz bu doğrultuda KVK Kanunu’nun 8.
maddesinde öngörülen düzenlemelere uygun hareketetmektedir.
KişiselVerilerinAktarılmaEsasları
ŞirketimizmeşruvehukukauygunkişiselveriişlemeamaçlarıdoğrultusundaaşağıdasayılanKanunun 5.maddesinde belirtilen kişisel veri işleme
şartlarından bir veya birkaçına dayalı ve sınırlı olarak
kişisel verileri üçüncü kişilereaktarabilmektedir:
Kişisel verisi işlenen ilgili kişinin açık rızası var ise buna
dayalı olarak; veya
Kanunlardakişiselverininaktarılacağınailişkinaçıkbirdüzenlemevarise,
Kişiselverisahibininveyabaşkasınınhayatıveyabedenbütünlüğününkorunmasıiçinzorunluise vekişiselverisahibifiiliimkânsızlıknedeniylerızasınıaçıklayamayacakdurumdaiseveyarızasına
hukuki geçerliliktanınmıyorsa;
Birsözleşmeninkurulmasıveyaifasıyladoğrudandoğruyailgiliolmakkaydıylasözleşmenin taraflarınaaitkişiselverininaktarılmasıgerekliise,
Şirketimizinhukukiyükümlülüğünüyerinegetirmesiiçinkişiselveriaktarımızorunluise,
Kişiselveriler,ilgilikişininkendisitarafındanalenileştirilmişise,
Kişiselveriaktarımıbirhakkıntesisi,kullanılmasıveyakorunmasıiçinzorunluise,
Kişiselverisiişlenenilgilikişinintemelhakveözgürlüklerinezararvermemekkaydıyla,Şirketimizin meşrumenfaatleriiçinkişiselveriaktarımızorunluiseaktarılmaktadır.
Hanginedenedayanırsadayansın,aktarımsüreçlerindedaimagenelveriişlemeilkeleridikkatealınmakta vebuilkelereuygunluksağlanmaktadır(KVKKanunum.4;bkz.yukarıda2.Bölüm,I,1).
ÖzelNitelikliKişiselVerilerinAktarılması
Şirketimizgerekliözenigöstererek,gerekligüvenliktedbirlerinialarakveKVKKurulutarafındanöngörülen yeterliönlemlerialarak;meşruvehukukauygunkişiselveriişlemeamaçlarıdoğrultusundakişiselverisi işlenenilgilikişininözelnitelikliverileriniaşağıdakidurumlardaüçüncükişilereaktarabilmektedir.
Hanginedenedayanırsadayansın,aktarımsüreçlerindedaimagenelveriişlemeilkeleridikkatealınmakta vebuilkelereuygunluksağlanmaktadır(KVKKanunum.4;bkz.yukarıda2.Bölüm,I,1).
KişiselVerilerinYurtdışınaAktarılması
Şirketimizhukukauygunkişiselveriişlemeamaçlarıdoğrultusundagerekligüvenlikönlemlerialarakişlediği kişiselverileriveözelniteliklikişiselverileriüçüncükişilereaktarabilmektedir.Şirketimiztarafındankişisel veriler; KVK Kurulu tarafından yeterli korumaya
sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya
Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması
durumunda Türkiye’deki ve ilgili yabancıülkedekiverisorumlularınınyeterlibirkorumayıyazılıolaraktaahhütettiğiveKVKKurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli
Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”)
aktarılmaktadır. Şirketimiz bu doğrultuda KVK Kanunu’nun 9.
maddesinde öngörülen düzenlemelere uygun hareketetmektedir.
Şirketimizmeşruvehukukauygunkişiselveriişlemeamaçlarıdoğrultusundakişiselverisiişlenenilgilikişinin açıkrızasıvariseveyakişiselverisiişlenenilgilikişininaçıkrızasıyokiseaşağıdakihallerdenbirininvarlığı
durumundakişiselverileriYeterliKorumayaSahipveyaYeterliKorumayıTaahhütEdenVeriSorumlusunun Bulunduğu Yabancı Ülkelereaktarabilmektedir:
Kanunlardakişiselverininaktarılacağınailişkinaçıkbirdüzenlemevarise,
Kişiselverisiişlenenilgilikişininveyabaşkasınınhayatıveyabedenbütünlüğününkorunmasıiçin
zorunlu ise ve kişisel verisi işlenen ilgili kişi fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumdaiseveyarızasınahukukigeçerliliktanınmıyorsa;
Birsözleşmeninkurulmasıveyaifasıyladoğrudandoğruyailgiliolmakkaydıylasözleşmenin taraflarınaaitkişiselverininaktarılmasıgerekliise,
Şirketimizinhukukiyükümlülüğünüyerinegetirmesiiçinkişiselveriaktarımızorunluise,
Kişiselveriler,ilgilikişininkendisitarafındanalenileştirilmişise,
Kişiselveriaktarımıbirhakkıntesisi,kullanılmasıveyakorunmasıiçinzorunluise,
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, Şirketimizin meşru menfaatleriiçinkişiselveriaktarımızorunluise.
ŞirketimizTarafındanKişiselVerilerinAktarılmaAmaçlarıveAktarmaYapılanKişiKategorileri
Veri AktarımAmaçları
Şirketimizin faaliyet ve kuruluş amaçlarının yerine
getirilmesini sağlamak, Şirketimizin tedarikçiden dış kaynaklıolarakteminettiğiveŞirketimizinticarifaaliyetleriniyerinegetirmekiçingereklihizmetlerin
Şirketimizesunulmasınısağlamak,Şirketimizininsankaynaklarıveistihdampolitikalarınınyürütülmesini sağlamak,Şirketimizinişsağlığıvegüvenliğiçerçevesindeyükümlülüklerinyerinegetirilmesivegerekli
tedbirlerinalınmasınısağlamakgibiamaçlarlaveriaktarımıgerçekleştirilmektedir.
Verilerin
AktarıldığıKişiler
ŞirketimizKVKKanunu’nun8.ve9.maddelerineuygunolarakkişiselverileriaşağıdabelirtilenkişi
kategorilerineaktarılabilir:
YETKİLİ KAMU KURULUŞLARI
|
Şirketimizdenbilgivebelgealmaya
yetkilikamukurumvekuruluşları
|
İlgili mevzuat hükümlerine
göre veri paylaşımı yapılmaktadır.
|
YETKİLİ ÖZEL HUKUK
KİŞİLERİ
|
Şirketimizdenbilgivebelgealmaya
yetkiliözelhukukkişileri
|
İlgili özel hukuk
kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla
sınırlı olarak veri paylaşımı
yapılmaktadır.
|
İŞTİRAKLER
|
Şirketimizin hissedarı
olduğu şirketler
|
Şirketimizin iştiraklerin
de katılımını gerektiren ticari faaliyetlerinin yürütülmesini
temin etmekle sınırlı
olarak veri
paylaşımı yapılmaktadır.
|
HİSSEDAR
|
Şirketimizin Hissedarları
|
Şirketimizin ticari
faaliyetlerine
ilişkin stratejilerin
tasarlanması ve denetim amaçlarıyla sınırlı olarak
veri paylaşımı
yapılmaktadır.
|
İŞ ORTAKLARI
|
Şirketimizin ticari
faaliyetlerini yürütürken şirketimizin ürünve hizmetlerininsatışı,tanıtımıve
pazarlanması, satış
sonrası desteği, ortak müşteri bağlılığı programlarının
yürütülmesi gibi
amaçlarla iş ortaklığı
kurduğu taraflar
|
İşortaklığınınkurulmaamaçlarının
yerinegetirilmesini
teminetmekamacıylasınırlıolarak
veripaylaşımıyapılmaktadır.
|
TEDARİKÇİ
|
Şirketimizin ticari
faaliyetlerini yürütürkenŞirketimizehizmetsunan
taraflar
|
Şirketimizin tedarikçiden
dış kaynaklı olarak temin ettiği ve Şirketimizin ticari
faaliyetlerini
yerine getirmek için
gerekli hizmetlerin Şirketimize
sunulmasını sağlamak
amacıyla sınırlı olarak veri paylaşımı
yapılmaktadır.
|
Şirketimiz tarafından gerçekleştirilen aktarımlarda işbu
Politika’da düzenlenmiş ilke ve kurallara uygun olarak hareket
edilmektedir.
KİŞİSEL VERİ
KATEGORİZASYONLARI
Şirketimizdeverisiişlenenkişilervebukapsamdaişlenenverileraşağıdakişekildekategorizeedilmektedir;
KİŞİ KATEGORİZASYONU
-
-
ÇALIŞAN ADAYI
|
Şirketimizeherhangibiryollaişbaşvurusunda bulunmuşyadaözgeçmişveilgilibilgilerini
şirketimizin
incelemesine açmış olan gerçek kişiler
|
ÇALIŞAN
|
Şirketimizde çalışan
gerçek kişiler
|
HİSSEDAR/ORTAK
|
Şirketimizin hissedarı
ve ortağı gerçek kişiler
|
POTANSİYEL MÜŞTERİ
|
Ürünvehizmetlerimizekullanmatalebindeveya ilgisindebulunmuşveyabuilgiyesahipolabileceği
ticariteamülvedürüstlükkurallarınauygunolarak
değerlendirilmiş gerçek
kişiler
|
STAJYER/ÖĞRENCİ
|
ŞirketimizdestajyapanveÇMEK'natabiolarakçalışan kişiler
|
TEDARİKÇİ ÇALIŞANI
|
Şirketimizinhertürlüişilişkisiiçerisindebulunduğu kurumlarda(işortağı,tedarikçigibi,ancakbunlarla
sınırlıolmaksızın)çalışangerçekkişiler
|
TEDARİKÇİ YETKİLİSİ
|
Şirketimizinişilişkisiiçerisindebulunduğukurumların hissedarlarıveyetkililerigerçekkişiler
|
MÜŞTERİ
|
Şirketimizle herhangi
bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın
Şirketimizin sunmuş olduğu
ürün ve hizmetleri
kullanan veya kullanmış
olan gerçek kişiler
|
VELİ/VASİ/TEMSİLCİ
|
Veli,vasiyadatemsilcisıfatıilekişiselverisiişlenen gerçekkişiler.
|
ZİYARETÇİ
|
Şirketimizinsahipolduğufizikselyerleşkelereçeşitli amaçlarlagirmişolanveyainternetsitelerimizi
ziyaret eden gerçek
kişiler
|
DİĞER
|
Şirketimizin yukarıda
bahsi geçen taraflarla arasındaki ticari işlem güvenliğini
sağlamak veya bahsi geçen
kişilerinhaklarınıkorumakvemenfaatteminetmek
üzerebukişilerleilişkiliolanüçüncütarafgerçek
kişiler (Örn. Aile
Bireyleri ve yakınlar)
|
VERİ
KATEGORİZASYONU
-
-
KİMLİK BİLGİSİ
|
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan;
kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak
otomatikolmayanşekildeişlenen;Ehliyet,NüfusCüzdanı,
İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı
gibi dokümanlardayeralanbilgiler
|
İLETİŞİM BİLGİSİ
|
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan;
kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde
işlenen; telefon numarası, adres, e-mail gibi bilgiler
|
LOKASYON BİLGİSİ
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeait olduğuaçıkolan;kısmenveyatamamenotomatik şekildeveyaverikayıtsistemininbirparçasıolarak
otomatikolmayanşekildeişlenen;kişiselverisahibininürün ve hizmetlerimizi kullanımı sırasında veyaçalışanlarımız
ile işbirliği
içerisinde olduğumuz kurumların çalışanlarının
Şirketimizin araçlarını kullanırken bulunduğu yerin
konumunu tespit eden bilgiler
|
ÖZLÜK BİLGİSİ
|
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan,
kısmen veya tamamenotomatik
şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde
işlenen; çalışanlarımızın veya Şirketimizleçalışmailişkisiiçerisindeolangerçekkişilerin
özlükhaklarınınoluşmasınatemelolacakbilgilerinelde
edilmesine yönelik
işlenen her türlü kişisel veri
|
HUKUKİ İŞLEM VE
UYUM BİLGİSİ
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu
açıkolan,kısmenveyatamamenotomatikşekildeveyaveri kayıtsistemininbirparçasıolarakotomatikolmayanşekilde işlenen;hukukialacakvehaklarımızıntespiti,takibive
borçlarımızınifasıilekanuniyükümlülüklerimizve şirketimizinpolitikalarınauyumkapsamındaişlenenkişisel verileriniz
|
MÜŞTERİ İŞLEM
BİLGİSİ
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu
açıkolanveverikayıtsistemiiçerisindeyeralan;ürünve hizmetlerimizin kullanımına yönelik kayıtlar ile
müşterinin ürünvehizmetlerikullanımıiçingerekliolantalimatlarıve talepleri gibibilgiler
|
FİZİKSEL MEKAN GÜVENLİK
BİLGİSİ
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu
açıkolanveverikayıtsistemiiçerisindeyeralan;fiziksel
mekânagirişte,fizikselmekanıniçerisindekalışsırasında alınankayıtlarvebelgelereilişkinkişiselveriler
|
İŞLEM
GÜVENLİĞİ BİLGİSİ
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu
açıkolanveverikayıtsistemiiçerisindeyeralan;faaliyetler
yürütülürkenteknik,idari,hukukiveticarigüvenliğin
sağlaması için işlenen
kişisel veriler.
|
RİSK YÖNETİMİ BİLGİSİ
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu
açıkolanveverikayıtsistemiiçerisindeyeralan;ticari,
teknikveidaririsklerimiziyönetebilmemiziçinbualanlarda
genelkabulgörmüşhukuki,ticariteamülvedürüstlük
kuralınauygunolarakkullanılanyöntemlervasıtasıyla
işlenen kişisel veriler
|
FİNANSAL BİLGİ
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu
açıkolan,kısmenveyatamamenotomatikşekildeveyaveri kayıtsistemininbirparçasıolarakotomatikolmayanşekilde işlenen;şirketimizinkişiselverisahibiilekurmuşolduğu
hukukiilişkinintipinegöreyaratılanhertürlüfinansal
sonucugösterenbilgi,belgevekayıtlarailişkinişlenen
kişisel veriler
|
PERFORMANS VE KARİYER
GELİŞİM BİLGİSİ (MESLEKİ DENEYİM
BİLGİSİ)
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeait olduğuaçıkolan,kısmenveyatamamenotomatik şekildeveyaverikayıtsistemininbirparçasıolarak
otomatik olmayan şekilde
işlenen; çalışanlarımızın veya Şirketimizleçalışmailişkisiiçerisindeolangerçekkişilerin
performanslarının ölçülmesi ile kariyer gelişimlerinin
şirketimizin insan kaynakları politikası kapsamında
planlanmasıveyürütülmesiamacıylaişlenenkişiselveriler
|
PAZARLAMA BİLGİSİ
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeait olduğuaçıkolan,kısmenveyatamamenotomatik şekildeveyaverikayıtsistemininbirparçasıolarak
otomatikolmayanşekildeişlenen;ürünvehizmetlerimizin
kişiselverisahibininkullanımalışkanlıkları,beğenisive
ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının
yapılmasınayönelikişlenenkişiselverilervebuişleme
sonuçları neticesinde
yaratılan rapor ve değerlendirmeler
|
GÖRSEL/İŞİTSEL BİLGİ
|
Kimliğibelirliveyabelirlenebilirbirgerçekkişiyeaitolduğu
açıkolan;kısmenveyatamamenotomatikbirşekildeveya verikayıtsistemininbirparçasıolarakotomatikolmayan
şekildeişlenenkişiselveridir;Örn:fotoğrafvekamera
kayıtları (Fiziksel
Mekan Güvenlik Bilgisi kapsamında giren kayıtlarhariç),seskayıtlarıilekişiselveriiçerenbelgelerin
kopyasıniteliğindekibelgelerdeyeralanveriler
|
ÖZEL VERİLER I
(SAĞLIK/CİNSEL HAYAT)
|
Sağlık ve cinsel hayata
ilişkin veriler
|
ÖZEL VERİLER II
|
ırk,etnikköken,siyasidüşünce,felsefiinanç,din,mezhep
veyadiğerinançlar,kılıkvekıyafet,dernek,vakıfyada sendikaüyeliği,cezamahkûmiyetivegüvenliktedbirleriyle ilgiliverilerilebiyometrikvegenetikveriler
|
3. BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ
DAYANAKLARI VE AMAÇLARI
KİŞİSELVERİLERİNİŞLENMESİNİNHUKUKİDAYANAKLARI
Genelİlkeler
Şirketimiztarafındankişiselverilerinişlenmesineyönelikhukukidayanaklarfarklılıkgöstersedehertürlü kişisel veri işleme faaliyetinde 6698 sayılı
Kanun’un 4.maddesinde genel ilkelere uygun olarak hareket
edilmektedir.Bunagöre;hertürlüveriişlemesinde
Hukukavedürüstlükkurallarınauygunolma,
Doğruvegerektiğindegüncelolma,
Belirli,açıkvemeşruamaçlariçinişlenme,
İşlendikleriamaçlabağlantılı,sınırlıveölçülüolma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza edilmegenel ilkeleri göz önündetutulmaktadır.
Hukuka UygunlukSebepleri
KişiselVeriSahibininAçıkRızasınınBulunması
Kişiselverilerinişlenmeşartlarındanbirisahibininaçıkrızasıdır.Kişiselverisahibininaçıkrızasıbelirlibir konuyailişkin,bilgilendirilmeyedayalıolarakveözgüriradeyleaçıklanmalıdır.
Kanunlarda
AçıkçaÖngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi
halinde hukuka uygun olarak işlenebilecektir.
Örneğin,KimlikBildirmeMevzuatıuyarıncaÇalışanlarımızınkimliklerininyetkilimercilerebildirilmesi.
FiiliİmkânsızlıkSebebiyleİlgilininAçıkRızasınınAlınamaması
Fiiliimkânsızlıknedeniylerızasınıaçıklayamayacakdurumdaolanveyarızasınageçerliliktanınamayacak olankişininkendisininyadabaşkabirkişininhayatıveyabedenbütünlüğünükorumakiçinkişiselverisinin işlenmesininzorunluolmasıhalindeverisahibininkişiselverileriişlenebilecektir.Örneğin,baygınlıkgeçiren
çalışanınkangrububilgisininhekimilepaylaşılması.
SözleşmeninKurulmasıveyaİfasıylaDoğrudanİlgiOlması
Birsözleşmeninkurulmasıveyaifasıyladoğrudandoğruyailgiliolmasıkaydıyla,sözleşmenintaraflarınaait kişisel verilerin işlenmesinin gerekli olması halinde
kişisel verilerin işlenmesi mümkündür. Örneğin,
iş sözleşmesinin
kurulması için adaydan CV alınması, sözleşme kapsamında
tebligat yapılabilmesi için adres alınması.
ŞirketinHukukiYükümlülüğünüYerineGetirmesi
Şirketimizinverisorumlusuolarakhukukiyükümlülükleriniyerinegetirmesiiçinişlemeninzorunluolması
halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin,
Asgari Geçim İndiriminden Çalışanı yararlandırmakiçin,ailebilgisininişlenmesi.
KişiselVeriSahibininKişiselVerisiniAlenileştirmesi
Veri sahibinin, kişisel verisini kendisi tarafından
alenileştirilmiş olması halinde ilgili kişisel veriler
işlenebilecektir.Örneğin,
Şirketimiz müşterilerinin internet üzerinde herkese açık bir
platformda şikâyet, talepveyaönerilerinisunmasıhalindebumüşterilerilgilibilgilerinialenileştirmişolur.Budurumda
Şirketimiz yetkilisi
tarafından, şikâyet, talep veya önerilere cevap verme amacıyla
sınırlı olmak kaydıyla verilerin
işlenmesimümkündür.
BirHakkınTesisiveyaKorunmasıiçinVeriİşlemeninZorunluOlması
Birhakkıntesisi,kullanılmasıveyakorunmasıiçinveriişlemeninzorunluolmasıhalindeverisahibininkişisel verileri işlenebilecektir. Örneğin,
ispat niteliği olan verilerin (satış sözleşmesinin, faturanın)
saklanması ve gerekliolduğuandakullanılması.
ŞirketimizinMeşruMenfaatiiçinVeriİşlemeninZorunluOlması
KişiselverisahibinintemelhakveözgürlüklerinezararvermemekkaydıylaŞirketimizinmeşrumenfaatleri içinveriişlemesininzorunluolmasıhalindeverisahibininkişiselverileriişlenebilecektir.Örneğin,Şirketin
güvenlikkamerasıilehırsızlığakarşıveyaişgüvenliğiamacıylakritiknoktalarınınizlenmesi.
ÖzelNitelikliKişiselVerilerinİşlenmesiveHukukaUygunlukSebepleri
Şirketimiztarafındanözelniteliklikişiselverilerkişiselverisahibininaçıkrızasıyokiseancak,KVKKurulu
tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla
ancak kanunlarda öngörülen hallerde işlenebilir.Kişiselverisahibininsağlığınavecinselhayatınailişkinözelniteliklikişiselverileriiseancakkamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleriilefinansmanınınplanlanmasıveyönetimiamacıyla,sırsaklamayükümlülüğüaltındabulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenebilir. Hangi nedene dayanırsa dayansın, işleme süreçlerindedaimagenelveriişlemeilkeleridikkatealınmaktavebuilkelereuygunluksağlanmaktadır(KVK Kanunum.4;bkz.yukarıda2.Bölüm,I,1).
KİŞİSELVERİLERİNİŞLENMEAMAÇLARI
Şirketimiz6698SayılıKişiselVerilerinKorunmasıKanunun5.maddesinin2.fıkrasındave6.maddenin3. fıkrasındabelirtilenkişiselveriişlemeşartlarıiçerisindekiamaçlarlavekoşullarlasınırlıolarakkişiselveriler işlemektedir.Veriişlemesürecindeyukarıdabelirtilenhukukidayanaklardikkatealınmakta,diğerhukuka uygunluksebepleribulunmuyoriseilgilininrızasıtalepedilmektedir.Buradada4.Maddekapsamındagenel
ilkelerdenetimiyapılmakta,herşeydenönceveriişlemefaaliyetiningenelolarakhukukauygunluk ilkelerine uyumlu olması aranmaktadır. İlgilinin
rızası ise "açık, bilgilendirmeye ve özgür iradeye dayalı
biçimde"alınmaktadır.KişiselverilerinişlenmeamaçlarıayrıcaŞirketimizin“KişiselVeriEnvanteri”ndede
belirtilmektedir.
Şirketimiz birimlerinde kişisel veriler özellikle aşağıdaki
amaçlarla işlenmektedir;
İşveren olarak iş sözleşmesinden doğan karşılıklı
yükümlülüklerin yerine getirebilmesiiçin çalışanların kişisel verilerinin işlenmesi
gerekmektedir. Çalışanların kişisel verileri; hukuka ve
dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel;
belirli, açık ve meşru amaçlar doğrultusunda;amaçlabağlantılı,sınırlıveölçülübirbiçimdeişlenmektevesaklanmaktadır.Bu kapsamda, çalışanların kanunlara uygun olarak
çalıştırılabilmesi için gerekli olan amaçlar doğrultusunda,işsözleşmesininkurulması,ifasıvesonaermesisüreçlerininhukukauygunşekilde yürütülmesi,temelhakveözgürlüklereaykırıolmamakkoşuluylaŞirketinmeşrumenfaatleri,
kanundaaçıkolaraköngörülendurumlar,çalışanistihdamınabağlıhukukiyükümlülüklerinyerine getirilmesi,yasaltakipdurumlarındahakkıntesisi,kullanılmasıvekorunmasıiçinveriişlemenin zorunluolmasıdurumlarıvebunlarındışındakalandurumlardaçalışanlardantalepedilecekaçık, bilgilendirmeye dayanan ve çalışanların özgür
iradesi ile açıklayacağı rızası, kişisel veri işlemesinin
hukuki dayanaklarınıoluşturmaktadır.
Şirketiniştigalkonusunungerektirdiğifaaliyetlerkapsamında,işvereninmeşrumenfaatleri çalışanların kişisel verilerinin işlenmesini
gerekli kılmaktadır. Nitekim, suistimallerinönlenmesi, hırsızlığınengellenmesi,genelgüvenlikveyaişsağlığıvegüvenliğininsağlanmasıgibinedenlerle çalışanlarınkişiselverileriniişlemefaaliyetiyapılabilmektedir.Ancak,budurumdadaçalışanların temelhakveözgürlüklerinezararverilmemesinebüyükbirözengösterilmektedir.
İşlenmekteolançalışanlarınkişiselverilerininbüyükbirçoğunluğuçalışanlartarafındanŞirkete verilenbilgilerdeneldeedilmektedir.Yinebazıdurumlarda,Şirketyöneticilerigibiiçkaynaklardan veya çalışanların referanslarından veya
çalışma hayatı gereklilikleri nedeniyle kamu kurumve
kuruluşları tarafından tesis edilmiş olan sistemlerdeki
verilerden de çalışanların kişisel verileri Şirkete
gelebilmektedir.
İşlenmekteolançalışanlarınkişiselverileri,başvuruformalarıveçalışanlarınreferansları,iş
sözleşmelerivedeğişiklikleri,çalışanlarıniletişimbilgileri,bordroiçingerekliolanbilgiler,acil
durumlardailetişimkurulacakkişilergibiaileveyayakınbilgileri,çalışanlarıneğitimkayıtları,
performans değerlendirme kayıtları, disiplin kayıtları, kamera
kayıtları gibi bilgilerden oluşmaktadır.
Çalışanlarınkişiselbilgilerininişlenmesiileilgiliolarak,birçokŞirketpolitikaveprosedüründe
kurallarbulunmaktadır.BukonudaözellikleŞirketinwebsitesindebulunan“KişiselVeriPolitikası”
incelenebilir.YineŞirketinintranetsistemindendesözkonusudokümanaulaşılabilir,ayrıca
kağıt/hardcopyortamındadaİnsanKaynaklarıBirimi’ndenalınabilmektedir.
Çalışanlarınsağlıkbilgilerideişlenenkişiselverilerarasındayeralmaktadır.Çalışanlarınsağlıkve cinselhayatlarınailişkinbilgilerkuralolarakkamusağlığınınkorunması,koruyucuhekimlik,tıbbi
teşhis,tedavivebakımhizmetlerininyürütülmesi,sağlıkhizmetleriilefinansmanınınplanlanması veyönetimiamacıyla,sırsaklamayükümlülüğüaltındabulunankişilerveyayetkilikurumve kuruluşlar tarafından işlenmektedir. Bu kapsamda,
çalışanların sağlık verileri ve bunlarla ilgili detaylarkuralolarakişyerihekimindevesağlıkbirimindebulunmaktadır.
“Çalışan”statüsünegeçildiktensonra(çalışanadaylığıkategorisindetalepedilmemektedir) çalışanınsendikayaüyeolmasıdurumundasendikaüyeliğideyasalmevzuatıngerekliliklerinin yapılabilmesiiçinkanununaçıkhükümlerigereğiişlenebilmektedir.Bunundışındaçalışanların,ırk,
etnikköken,siyasidüşünce,felsefiinanç,din,mezhepveyadiğerinançlar,kılıkvekıyafetile biyometrikvegenetikverilerikuralolarakkanundaaçıkçaöngörülmüşolmadığısürece,işlenen
kişisel veriler arasında yer almamakta, istisnai bir uygulamaya
gidilecek ise, kişisel veriler işlenmedenöncegerekliliklerözenledeğerlendirilmektedir.
Şirketinbilgiiletişimaraçları(telefon,mobiltelefonlar,bilgisayarlarveinternet)üzerindedenetim vegözetimlerisözkonusudur.5651sayılıKanunveŞirketimizinmeşrumenfaatlerisözkonusu uygulamalarınhukukidayanaklarınıoluşturmaktadır.
Şirketimiz araçlarında "güvenlik, araçların ve personelin
daha etkili bir biçimde yönetimi" gerekçeleriylearaçtakipsistemiuygulanabilmektedir.Sözkonusufaaliyetdeşirketimizinmeşru menfaatlerinedayanmaklabirlikteçalışanlarıntemelhakveözgürlüklerinezararvermemek kaydıylagerçekleştirilmektedir.
Şirketimizin insan kaynakları politikalarının yürütülmesinin
sağlanması amacı doğrultusunda; Şirketimizininsankaynaklarıpolitikalarınauygunşekildeaçıkpozisyonlarauygunpersoneltemini,
Şirketimizin insan kaynakları politikalarına uygun şekilde insan
kaynakları operasyonlarının yürütülmesi, çalışan adayı
seçimi, özlük işlerinin yönetilmesi, eğitim ve kariyer
planlarının belirlenmesi, iş sağlığı ve güvenliği
çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli
tedbirlerinalınmasıkişiselverilerinişlenmeamaçlarınıoluşturmaktadır.
Tedarikçi / alt işveren çalışanlarının kişisel verileri de
Kurumumuzca işlenebilmektedir.Nitekim 6331 sayılı Kanunda asıl işverene iş sağlığı
ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlarileilgiliolarakkontroledilmesigerekenbelgelervebilgilerbelirtilmişbulunmaktadır. Aynışekilde4857sayılıişkanunundave5510sayılıSosyalSigortalarveGenelSağlıkSigortası
Kanunu’ndadaaltişverenişçilerivegeçiciişçilerileilgiliasılişvereneyükümlülüklergetirilmişve bukapsamdakontroledilmesigerekenhususlarbelirtilmiştir.Bunagöretedarikçivebaşka işverenebağlıolarakişyerimizdeçalışanişçilerinkişiselverilerininişlenmesibaştasözkonusuyasal düzelmelerolmaküzereişletmemizinmeşrumenfaatlerinedayanmaktadır.
Kişisel veriler,ayrıca:
Acildurumyönetimisüreçlerininyürütülmesi
Bilgi güvenliği
süreçlerininyürütülmesi
Denetim/etik
faaliyetlerininyürütülmesi
Eğitim
faaliyetlerininyürütülmesi
Erişim yetkilerininyürütülmesi
Faaliyetlerin
mevzuata uygunyürütülmesi
Finansvemuhasebeişlerininyürütülmesi
Firma/ürün/hizmetlerebağlılıksüreçlerininyürütülmesi
Fiziksel mekan
güvenliğinintemini
Görevlendirme
süreçlerininyürütülmesi
Hukukişlerinintakibiveyürütülmesi
İçdenetim/soruşturma/istihbaratfaaliyetlerininyürütülmesi
İletişim
faaliyetlerininyürütülmesi
Mal/hizmet/üretimveoperasyonsüreçlerininyürütülmesi
Müşteri ilişkileri
süreçlerininyürütülmesi
Müşterimemnuniyetineyönelikaktivitelerinyürütülmesi
Organizasyon ve
etkinlikyönetimi
Pazarlamaanalizçalışmalarınınyürütülmesi
Performansdeğerlendirmesüreçlerininyürütülmesi
Reklam/kampanya/promosyon
süreçlerininyürütülmesi
Risk yönetimi
süreçlerininyürütülmesi
Saklamavearşivfaaliyetlerininyürütülmesi
Sosyalsorumlulukvesiviltoplumaktivitelerininyürütülmesi
Sözleşme
süreçlerininyürütülmesi
Sponsorluk
faaliyetlerininyürütülmesi
Stratejikplanlamafaaliyetlerininyürütülmesi
Talep/şikayetlerintakibi
Taşınırmalvekaynaklarıngüvenliğinintemini
Tedarikzinciriyönetimisüreçlerininyürütülmesi
Ürün/hizmetlerinpazarlamasüreçlerininyürütülmesi
Verisorumlusuoperasyonlarınıngüvenliğinintemini
Yabancıpersonelçalışmaveoturmaizniişlemleri
Yatırım
süreçlerininyürütülmesi
Yetkilikişi,kurumvekuruluşlarabilgiverilmesi
Yönetim
faaliyetlerininyürütülmesi
ZiyaretçikayıtlarınınoluşturulmasıvetakibiamacıylaİlgiliBirimlerimizdeişlenmektedir.
İşsağlığıvegüvenliği,genelgüvenlik,ürüngüvenliğiamaçlarıylaişyerindekameraileizleme faaliyeti,Şirketinmeşrumenfaatleridikkatealınarak,ziyaretçilerimizin,bukapsamdaverisiişlenen kişilerin ve özellikle çalışanların temel hak
ve özgürlüklerine zarar vermemek kaydıyla
gerçekleştirilmektedir.
BÖLÜM:KİŞİSELVERİLERİNSAKLANMASI,SİLİNMESİ,YOKEDİLMESİVEANONİMLEŞTİRİLMESİ
Şirketimiz, Türk Ceza Kanunu’nun 138.maddesinde ve KVK Kanunu’nun
7. maddesinde düzenlendiği üzere ilgilikanunhükümlerineuygunolarakişlenmişolmasınarağmen,işlenmesinigerektirensebeplerinortadan kalkmasıhâlindeŞirketimizinkendikararınaistinadenveyakişiselverisahibinintalebiüzerinekişiselveriler
silinir,yokedilirveyaanonimhâlegetirilmektedir.
KİŞİSELVERİLERİNSAKLANMASIVESAKLAMASÜRELERİ
Şirketimiz,ilgilikanunlardavemevzuattaöngörülmesidurumundakişiselverileriilgilimevzuattabelirtilen
süreboyuncasaklanmaktadır.Kişiselverilerinnekadarsüreboyuncasaklanmasıgerektiğineilişkin
mevzuattabirsüredüzenlenmemişse,kişiselverilerşirketimizinoveriyiişlerkensunduğuhizmetlerlebağlı olarakŞirketimizinuygulamalarıveticariyaşamınınteamülleriuyarıncaişlenmesinigerektirensürekadar
işlenmekte,dahasonrasilinmekte,yokedilmekteveyaanonimhalegetirilmektedir.Kişiselverilerinişlenme amacısonaermiş,ilgilimevzuatveşirketinbelirlediğisaklamasürelerinindesonunagelinmişse;kişisel
verileryalnızcaolasıhukukiuyuşmazlıklardadelilteşkiletmesiveyakişiselveriyebağlıilgilihakkınileri sürülebilmesiveyasavunmanıntesisedilmesiamacıylasaklanabilmektedir.Buradakisürelerintesisinde bahsigeçenhakkınilerisürülebilmesineyönelikzamanaşımısüreleriilezamanaşımısüreleriningeçmesine
rağmendahaönceaynıkonulardaŞirketimizeyöneltilentaleplerdekiörnekleresasalınaraksaklama
süreleribelirlenmektedir.Budurumdasaklanankişiselverilereherhangibirbaşkaamaçlaerişilmemekteve ancakilgilihukukiuyuşmazlıktakullanılmasıgerektiğizamanilgilikişiselverilereerişimsağlanmaktadır.
Buradadabahsigeçensüresonaerdiktensonrakişiselverilersilinmekte,yokedilmekteveyaanonimhale
getirilmektedir.
KİŞİSELVERİLERİNSİLİNMESİ,YOKEDİLMESİVEANONİMLEŞTİRİLMESİ
TürkCezaKanunu’nun138.MaddesindeveKVKKanunu’nun7.maddesindedüzenlendiğiüzereilgilikanun hükümlerineuygunolarakişlenmişolmasınarağmen,işlenmesinigerektirensebeplerinortadankalkması hâlindeŞirketimizinkendikararınaistinadenveyakişiselverisahibinintalebiüzerinekişiselveriler
silinmekte,yokedilmekteveyaanonimhâlegetirilmektedir.BukapsamdaŞirketimizilgiliyükümlülüğünü
bubölümdeaçıklananyöntemlerleyerinegetirmektedir.
Kişisel VerilerinSilinmesi
Kişisel Verilerin Silinmesiİşlemi
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesinigerektiren sebeplerinortadankalkmasıhâlindekendikararınaistinadenveyakişiselverisahibinintalebiüzerinekişisel verilerisilenebilir.Kişiselverilerinsilinmesi,kişiselverilerinilgilikullanıcılariçinhiçbirşekildeerişilemezve tekrarkullanılamazhalegetirilmesiişlemidir.Şirketimizce,silinenkişiselverilerinilgilikullanıcılariçin
erişilemezvetekrarkullanılamazolmasıiçingereklihertürlüteknikveidaritedbirleralınmaktadır.
Kişisel Verilerin SilinmesiSüreci
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç
aşağıdaki gibidir:
Silmeişleminekonuteşkiledecekkişiselverilerinbelirlenmesi.
Erişimyetkivekontrolmatrisiyadabenzerbirsistemkullanarakherbirkişiselveriiçinilgilikullanıcıların
tespitedilmesi.
İlgilikullanıcılarınerişim,gerigetirme,tekrarkullanmagibiyetkilerininveyöntemlerinintespitedilmesi.
İlgilikullanıcılarınkişiselverilerkapsamındakierişim,gerigetirme,tekrarkullanmayetkiveyöntemlerinin kapatılması ve ortadankaldırılması.
Kişisel
Verilerin SilinmesiYöntemleri
Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden
kayıt ortamlarına uygun yöntemlerle silinmektedir.
KişiselVerilerinYokEdilmesi
KişiselVerilerinYokEdilmesiİşlemi
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesinigerektiren sebeplerinortadankalkmasıhâlindekendikararınaistinadenveyakişiselverisahibinintalebiüzerinekişisel verileriyokedebilir.Kişiselverilerinyokedilmesi,kişiselverilerinhiçkimsetarafındanhiçbirşekilde
erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Şirketimiz, kişisel verilerin yokedilmesiyleilgiligereklihertürlüteknikveidaritedbirlerialmaktadır.
KişiselVerilerinYokEdilmesiYöntemleri
Kişiselverilerinyokedilmesiiçin,verilerinbulunduğutümkopyalartespitedilirveverilerinbulunduğu
sistemlertektekyokedilir.
KişiselVerilerinAnonimHaleGetirilmesi
Kişisel Verilerin
Anonimleştirilmesiİşlemi
Kişiselverilerinanonimleştirilmesi,kişiselverilerinbaşkaverilerleeşleştirilerekdahihiçbirsurettekimliği belirliveyabelirlenebilirbirgerçekkişiyleilişkilendirilemeyecekhâlegetirilmesidir.Şirketimiz,hukuka
uygun olarak işlenen kişisel verilerin işlenmesini gerektiren
sebepler ortadan kalktığında kişisel verileri
anonimleştirebilmektedir.Kişiselveriler,verisorumlusuveyaalıcıgruplarıtarafındangeridöndürülmesi
ve/veyaverilerinbaşkaverilerleeşleştirilmesigibikayıtortamıveilgilifaaliyetalanıaçısındanuygun
tekniklerinkullanılmasıyoluyladahikimliğibelirliveyabelirlenebilirbirgerçekkişiyleilişkilendirilemezhale
getirilmesi suretiyle anonimleştirilmesi gerçekleştirilmektedir.
Şirketimiz, kişisel verilerin anonim hale getirilmesiiçingereklihertürlüteknikveidaritedbirlerialmaktadır.
KVKKanunu’nun28.maddesineuygunolarakanonimhalegetirilmişolankişiselverileraraştırma,planlama
veistatistikgibiamaçlarlaişlenebilir.ButürişlemelerKVKKanunukapsamıdışındaolup,kişiselveri sahibinin açık rızasıaranmayacaktır.
Kişisel
Verilerin AnonimleştirilmesiYöntemleri
Anonimhalegetirme,birverikümesindekitümdoğrudanve/veyadolaylıtanımlayıcılarınçıkartılarakyada değiştirilerek, ilgili kişinin kimliğinin
saptanabilmesinin engellenmesi veya bir grup veya kalabalıkiçinde ayırtedilebilirolmaözelliğini,birgerçekkişiyleilişkilendirilemeyecekşekildekaybetmesidir.Buözelliklerin
engellenmesiveyakaybedilmesisonucundabellibirkişiyeişaretetmeyenveriler,anonimhalegetirilmiş veri sayılır. Anonim hale getirmedeki amaç,
veri ile bu verinin tanımladığı kişi arasındaki bağın
kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt
sistemindeki kayıtlara uygulanan otomatik olanveya olmayangruplama,maskeleme,türetme,genelleştirme,rastgelehalegetirmegibiyöntemlerleyürütülen bağkoparmaişlemlerininhepsineanonimhalegetirmeyöntemleriadıverilir.Buyöntemlerinuygulanması sonucundaeldeedilenverilerinbelirlibirkişiyitanımlayamazolmasıgerekmektedir.
BÖLÜM:İLGİLİKİŞİLERİNHAKLARI
İLGİLİKİŞİLERİNHAKLARININKAPSAMIVEBUHAKLARINKULLANILMASI
İlgili KişilerinHakları
Şirketimizce kişisel verisi işlenen kişiler aşağıda yer alan
haklara sahiptir:
Kişiselveriişlenipişlenmediğiniöğrenme,
Kişiselverileriişlenmişsebunailişkinbilgitalepetme,
Kişiselverilerinişlenmeamacınıvebunlarınamacınauygunkullanılıpkullanılmadığınıöğrenme,
Yurtiçindeveyayurtdışındakişiselverilerinaktarıldığıüçüncükişileribilme,
Kişiselverilerineksikveyayanlışişlenmişolmasıhâlindebunlarındüzeltilmesiniistemevebu kapsamdayapılanişleminkişiselverilerinaktarıldığıüçüncükişilerebildirilmesiniisteme,
KVKKanunuveilgilidiğerkanunhükümlerineuygunolarakişlenmişolmasınarağmen,işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
kişisel verilerin silinmesini veya yok edilmesini isteme ve bu
kapsamda yapılan işlemin kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
İşlenenverilerinmünhasıranotomatiksistemlervasıtasıylaanalizedilmesisuretiylekişininkendisi aleyhinebirsonucunortayaçıkmasınaitirazetme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle
zarara uğraması hâlinde zararın giderilmesini talepetme.
İlgiliKişilerinHaklarınıKullanması
İlgiliKişilerinKVKKanunu’nun13.maddesinin1.fıkrasıgereğinceyukarıdabelirtilenhaklarınıkullanmakla ilgilitaleplerini,aşağıdakiyöntemlerleŞirketimizeiletmesigerekliveyeterlidir;
-
-
Başvuru
Yöntemi
|
Başvurunun
Yapılacağı
Adres
|
Başvuru
Gönderiminde Belirtilecek
Bilgi
|
Şahsen
Başvuru
(Başvuru sahibinin
|
Çalı
Mah. 7. Sk. Çalı sanayi bölgesi No:6, 16120 Nilüfer/BURSA
|
Zarfın üzerine
“Kişisel
|
Bizzat gelerek Kimliğinitevsik
Edicibelgeile
Başvurması)
|
Verilerin Korunması
Kanunu Kapsamında Bilgi Talebi” Yazılacaktır.
|
Noter
vasıtasıyla Tebligat
|
Çalı
Mah. 7. Sk. Çalı sanayi bölgesi No:6, 16120 Nilüfer/BURSA
|
Tebligat zarfına
“Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi
Talebi” yazılacaktır
|
“Güvenli
Elektronik
imza”
|
......@hso3.kep.tr
|
E-postanın konu kısmına
|
İle imzalanarak
|
“Kişisel Verilerin
Korunması
|
Kayıtlı Elektronik
|
Kanunu Bilgi Talebi”
|
Posta (KEP)
Yoluyla
|
Yazılacaktır.
|
Başvuruda;
Ad,soyadavebaşvuruyazılıiseimza,T.C.vatandaşlarıiçinT.C.KimlikNumarası,yabancılariçinuyruğu,
pasaportnumarasıveyavarsakimliknumarası,tebligataesasyerleşimyeriveyaişyeriadresi,varsa bildirimeesaselektronikpostaadresi,telefonvefaksnumarası,talepkonusu,bulunmasızorunludur. Konuyailişkinbilgivebelgelerdebaşvuruyaeklenir.
Kişiselverisahipleriadınaüçüncükişilertarafındantaleptebulunulmasımümkündeğildir.Kişiselveri sahibininkendisidışındabirkişinintaleptebulunmasıiçinkonuyailişkinolarakkişiselverisahibitarafından başvurudabulunacakkişiadınadüzenlenmişözelvekâletnamebulunmalıdır.Kişiselverisahibiolaraksahip olduğunuzveyukarıdabelirtilenhaklarınızıkullanmakiçinyapacağınızvekullanmayıtalepettiğinizhakka ilişkin açıklamalarınızı içeren başvuruda; talep
ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz
konununşahsınızileilgiliolmasıveyabaşkasıadınahareketediyorisenizbukonudaözelolarakyetkili
olmanızveyetkinizibelgelendirilmesi,başvurununkimlikveadresbilgileriniiçermesivebaşvuruya
kimliğinizitevsikedicibelgelerineklenmesigerekmektedir.
Kişiselverisahipleriadınaüçüncükişilertarafındantaleptebulunulmasımümkündeğildir.Kişiselveri sahibininkendisidışındabirkişinintaleptebulunmasıiçinkonuyailişkinolarakkişiselverisahibitarafından başvurudabulunacakkişiadınadüzenlenmişözelvekâletnamebulunmalıdır.
Veri sahiplerine ilişkin başvuru formu, Şirketimizin web sitesinde
mevcut bulunmaktadır.
Başvurulara CevapVerilmesi
Kişisel veri sahibinin, talebini öngörülen usule uygun olarak
Şirketimize iletmesi durumunda Şirketimiz talebinniteliğinegöreenkısasüredeveengeçotuzgüniçindeilgilitalebiücretsizolaraksonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti
gerektirmesi hâlinde, Şirketimiz tarafından başvuru sahibinden
KVK Kuruluncabelirlenentarifedekiücretalınacaktır.Şirketimiz,başvurudabulunankişininkişiselverisahibi olup olmadığını tespit etmek adına ilgili kişiden
bilgi talep edebilir. Şirketimiz, kişisel veri sahibinin
başvurusundayeralanhususlarınetleştirmekadına,kişiselverisahibinebaşvurusuileilgilisoruyöneltebilir.
BaşvurularŞirketimizin“İlgiliKişiBaşvuruProsedürü"negöreŞirketimiziçindeyönetilmektedir.
6. BÖLÜM: KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
KİŞİSELVERİLERİNHUKUKAUYGUNİŞLENMESİNİSAĞLAMAKİÇİNALINANTEKNİKVEİDARİ
TEDBİRLER
Şirketimiz,kişiselverilerinhukukauygunişlenmesinisağlamakiçingereklitümteknikveidaritedbirler
almaktadır. Bukapsamda,
ŞirketimizkapsamındaVERBİSsistemineuyumluVeriEnvanteriçıkarılmakta(DataMapping),burada hukukaveamacauygunlukdenetimleriyapılmaktadır.
Şirketimizinilgilikişilereaitaydınlatmayükümlülüğününeksiksizolarakvedoğrubiçimdeyerine
getirilebilmesiiçin“KişiselVerilerinİşlenmesindeAydınlatmaEsaslarıPolitikası”yürürlüğekonulmuş
bulunmaktadır.
Çalışanlar,kişiselverilerinkorunmasıhukukuvekişiselverilerinhukukauygunolarakişlenmesi
konusundabilgilendirilmektedir.
Şirketimizinyürütmüşolduğutümfaaliyetlerdetaylıolaraktümişbirimleriözelindeanalizedilerek,bu
analizneticesindeilgiliişbirimleriningerçekleştirmişolduğufaaliyetlerözelindekişiselveriişleme
faaliyetleri ortayakonulmaktadır.
Şirketimizinişbirimlerininyürütmüşolduğukişiselveriişlemefaaliyetleri;bufaaliyetlerin6698Sayılı Kanun’unaradığıkişiselveriişlemeşartlarınauygunluğunsağlanmasıiçinyerinegetirilecekolan gerekliliklerherbirişbirimiveyürütmüşolduğudetayfaaliyetözelindebelirlenmektedir.
Şirketimizileçalışanlararasındakihukukiilişkiyiyönetensözleşmevebelgelere,Şirketintalimatlarıve kanunlagetirilenistisnalardışında,kişiselverileriişlememe,ifşaetmemevekullanmamayükümlülüğü
getiren kayıtlar konulmakta ve bu konuda çalışanların
farkındalığı yaratılmakta ve denetimler yürütülmektedir.
ŞirketimizileŞirketimizinsorumluolduğuverileriişleyenüçüncütaraflararasındakihukukiilişkiyi
yönetensözleşmevebelgelere,Şirketintalimatlarıvekanunlagetirilenistisnalardışında,kişiselverileri işlememe,ifşaetmemevekullanmamayükümlülüğügetirenkayıtlarkonulmaktavebukonuda“Üçüncü Taraflarla
Gizlilik Ve Kişisel Verilerin Korunması Esasları Politikası”
yürürlüğe konulmuş bulunulmaktadır.
ÖZELNİTELİKLİVERİLERİNİŞLENMESİNDEALINANTEKNİKVEİDARİTEDBİRLER
KVK Kanunu ile bir takım kişisel verilere, hukuka aykırı olarak
işlendiğinde kişilerin mağduriyetine veya ayrımcılığasebepolmariskinedeniyleözelönematfedilmiştir.Buveriler;ırk,etnikköken,siyasidüşünce,
felsefiinanç,din,mezhepveyadiğerinançlar,kılıkvekıyafet,dernek,vakıfyadasendikaüyeliği,sağlık, cinselhayat,cezamahkûmiyetivegüvenliktedbirleriyleilgiliverilerilebiyometrikvegenetikverilerdir.
Şirketimiztarafından,KVKKanunuile“özelnitelikli”olarakbelirlenenvehukukauygunolarakişlenenözel niteliklikişiselverilerinkorunmasındahassasiyetledavranılmaktadır.Bukapsamda,Şirketimiztarafından, kişiselverilerinkorunmasıiçinalınanteknikveidaritedbirler,özelniteliklikişiselverilerbakımındanözenle
uygulanmaktavegereklidenetimlersağlanmaktadır.Bukapsamda;
Özelniteliklikişiselverileringüvenliğineveişlenmeesaslarınailişkinolarak“ÖzelVerilerinİşlenmesi
Politikası”hazırlanmıştır.
Özelniteliklikişiselverilerinişlenmesisüreçlerindeyeralançalışanlarayönelik,Kanunvebunabağlı
yönetmeliklerileözelniteliklikişiselverigüvenliğikonularındadüzenliolarakeğitimlerverilmekte,
gizliliksözleşmeleriyapılmakta,verilereerişimyetkisinesahipkullanıcıların,yetkikapsamlarıvesüreleri netolaraktanımlanmakta,yetkikontrollerigerçekleştirilmekte,görevdeğişikliğiolanyadaiştenayrılan çalışanların bu alandaki yetkilerinin derhal
kaldırılmakta ve bu kapsamda, veri sorumlusutarafından kendisinetahsisedilenenvanteriadealınmaktadır.
Özelniteliklikişiselverilerinişlendiği,muhafazaedildiğive/veyaerişildiğiortamlar,elektronikortam
iseverilerkriptografikyöntemlerkullanılarakmuhafazaedilmektedir.Kriptografikanahtarlargüvenlive
farklı ortamlarda tutulmakta veriler üzerinde gerçekleştirilen
tüm hareketlerin işlem kayıtları güvenli olarakloglanmakta,verilerinbulunduğuortamlaraaitgüvenlikgüncellemeleritakipedilmektevegerekli güvenliktestleriyapılmakta,testsonuçlarıkayıtaltınaalınmaktadır.
Verilerebiryazılımaracılığıileerişilmesidurumundabuyazılımaaitkullanıcıyetkilendirmeleri yapılmakta,buyazılımlarıngüvenliktestleridüzenliolarakyapılmakta,testsonuçlarıkayıtaltına alınmaktadır. Verilere uzaktan erişim gerekiyorsa
en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği
ve/veya erişildiği ortamlar, fizikselortam ise, özel nitelikli kişisel verilerin bulunduğu
ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik
kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı)
alınmakta, bu ortamların fiziksel güvenliği sağlanarakyetkisizgirişçıkışlarengellenmektedir.
Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta
yoluyla aktarılması gerekiyorsa şifreli olarakkurumsale-postaadresiyleveyaKayıtlıElektronikPosta(KEP)hesabıkullanılarakaktarılması sağlanmaktadır.
ÖzelVeriler,Bellek,CD,DVDgibiortamlaryoluylaaktarılmasıgerekiyorsakriptografikyöntemlerle şifrelenmektevekriptografikanahtarfarklıortamdatutulmaktadır.
Özelverilerin,farklıfizikselortamlardakisunuculararasındaaktarmagerçekleştiriliyorsa,sunucular arasındaVPNkurularakveyasFTPyöntemiyleveriaktarımıgerçekleştirilmektedir.Özelverilerinkâğıt ortamıyoluylaaktarımıgerekiyorsaevrakınçalınması,kaybolmasıyadayetkisizkişilertarafından
görülmesigibirisklerekarşıgerekliönlemleralınmaktaveevrak“gizlilikderecelibelgeler”formatında gönderilmektedir.
KİŞİSELVERİLERİNHUKUKAAYKIRIERİŞİMİNİENGELLEMEKİÇİNALINANTEKNİKVEİDARİ
TEDBİRLER
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak
açıklanmasını, erişimini, aktarılmasınıveya başkaşekillerdekitümhukukaaykırıerişimiönlemekiçinteknikveidaritedbirleralmaktadır.
KişiselVerilerinHukukaAykırıErişiminiEngellemekiçinAlınanTeknikTedbirler
Şirketimiztarafındankişiselverilerinhukukaaykırıerişiminiengellemekiçinalınanbaşlıcatekniktedbirler aşağıdasıralanmaktadır:
Siber GüvenliğinSağlanması
Kişisel veri güvenliğinin sağlanması için öncelikle siber
güvenlik ürünleri kullanılmakta ancak tedbirler bununlasınırlıbırakılmamaktadır.Güvenlikduvarıveağgeçidigibitedbirleralınmaktadır.Kullanılmayan yazılımveservislercihazlardankaldırılmaktadır.
Yazılımgüncellemeleri
Yamayönetimiveyazılımgüncellemeleriileyazılımvedonanımlarındüzgünbirşekildeçalışmasıve
sistemler için alınan güvenlik tedbirlerinin yeterli olup
olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır.
ErişimSınırlamaları
Kişiselveriiçerensistemlereerişimdesınırlandırılmaktadır.Bukapsamdaçalışanlara,yapmaktaoldukları işvegörevlerileyetkivesorumluluklarıiçingerekliolduğuölçüdeerişimyetkisitanınmaktavekullanıcıadı ve şifre kullanılmak suretiyle ilgili sistemlere erişim
sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken,kişiselbilgilerleilişkilivekolaytahminedilecekrakamyadaharfdizileriyerinebüyükküçük harf,rakamvesembollerdenoluşacakkombinasyonlarıntercihedilmesisağlanmaktadır.Bunabağlıolarak, erişimyetkivekontrolmatrisioluşturulmaktadır.
Şifreleme
Güçlüşifreveparolakullanımınınyanısıra,şifregirişidenemesayısınınsınırlandırılması,düzenliaralıklarla
şifreveparolalarındeğiştirilmesininsağlanması,yöneticihesabıveyönetimyetkisininsadeceihtiyaçolduğu durumlarda kullanılması için açılması ve veri
sorumlusuyla ilişikleri kesilen çalışanlar için zaman
kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması
gibi yöntemlerle erişiminsınırlandırılması yapılmaktadır.
Anti
VirüsYazılımları
Kötüamaçlıyazılımlardankorunmakiçinayrıca,bilgisistemağınıdüzenliolaraktarayanvetehlikeleritespit edenantivirüs,antispamgibiürünlerkullanılmakta,ayrıcabunlargünceltutularakgerekendosyalardüzenli olaraktaranmaktadır.Farklıinternetsitelerive/veyamobiluygulamakanallarındankişiselveritemin edilecekse,bağlantılarınSSLyadadahagüvenlibiryolilegerçekleştirilmesisağlanmaktadır.
Kişisel
Veri GüvenliğininTakibi
Bilişimağlarındahangiyazılımveservislerinçalıştığınınkontroledilmesi,
Bilişimağlarındasızmaveyaolmamasıgerekenbirhareketolupolmadığınınbelirlenmesi,
Tümkullanıcılarınişlemhareketlerikaydınındüzenliolaraktutulması(logkayıtlarıgibi),
Güvenliksorunlarınınmümkünolduğuncahızlıbirşekilderaporlanması,
Gerçekleştirilmekte,çalışanlarınsistemveservislerdekigüvenlikzafiyetleriniyadabunlarıkullanan
tehditleribildirmesiiçinresmibirraporlamaprosedürüoluşturulmaktadır.
Bilişimsistemininçökmesi,kötüniyetliyazılım,servisdışıbırakmasaldırısı,eksikveyahatalıverigirişi,gizlilik
vebütünlüğübozanihlaller,bilişimsistemininkötüyekullanılmasıgibiistenmeyenolaylardadeliller
toplanmaktavegüvenlibirşekildesaklanmaktadır.
KişiselVeriİçerenOrtamlarınGüvenliğininSağlanması
Kişiselveriler,verisorumlularınınyerleşkelerindeyeralancihazlardayadakâğıtortamındasaklanıyorise,
bucihazlarınvekağıtlarınçalınmasıveyakaybolmasıgibitehditlerekarşıfizikselgüvenlikönlemleri alınmaktadır.Kişiselverilerinyeraldığıfizikselortamlarındışrisklere(yangın,selvb.)karşıuygun yöntemlerlekorunmaktavebuortamlaragiriş/çıkışlarkontrolaltınaalınmaktadır.
Kişiselverilerelektronikortamdaise,kişiselverigüvenliğiihlaliniönlemekiçinağbileşenleriarasındaerişim sınırlandırılabilmekteveyabileşenlerinayrılmasısağlanmaktadır.
AynıseviyedekiönlemlerŞirketyerleşkesidışındayeralanveŞirketeaitkişiselveriiçerenkâğıtortamları,
elektronikortamvecihazlar(dizüstübilgisayar,ceptelefonu,flaşbellekler)içindealınmaktadır.Elektronik posta ya da posta ile aktarılacak kişisel
verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak
gönderilmektedir.
Çalışanlarınşahsielektronikcihazlarıilebilgisistemağınaerişimsağlamasıdurumundabunlariçindeyeterli güvenlik tedbirlerialınmaktadır.
Kişiselveriiçerencihazlarınkaybolmasıveyaçalınmasıgibidurumlarakarşıerişimkontrolyetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması
yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadeceyetkilikişilerinerişebileceğiortamdasaklanmaktaveyetkisizerişimönlenmektedir.
Kişiselveriiçerenkâğıtortamındakievraklardakilitlibirşekildevesadeceyetkilikişilerinerişebileceği ortamlardasaklanmakta,sözkonusuevraklarayetkisizerişimönlenmektedir.
Kişisel
Verilerin BuluttaDepolanması
Kişiselverilerinbuluttadepolanmasıuygulamalarınadagerektiğindebaşvurulabilmektedir.Budurumda, bulutdepolamahizmetisağlayıcısıtarafındanalınangüvenlikönlemlerinindeyeterliveuygunolup olmadığınınŞirkettarafındandeğerlendirilmesigerekmektedir.Bukapsamda,KVKKurulununrehberve tavsiyelerindebelirtilenönlemlerdikkatealınmaktadır.
İ) Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
Şirkettarafındanyenisistemlerintedariki,geliştirilmesiveyamevcutsistemleriniyileştirilmesiileilgili ihtiyaçlarbelirlenirkengüvenlikgereksinimlerigözönünealınmaktadır.
J) Kişisel Verilerin Yedeklenmesi
Kişiselverilerinherhangibirsebeplezarargörmesi,yokolması,çalınmasıveyakaybolmasıgibihallerde
Şirketyedeklenenverilerikullanarakenkısasüredefaaliyetegeçmeyisağlamaktadır.Yedeklenenkişisel
verilersadecesistemyöneticisitarafındanerişilebilirolup,verisetiyedekleriağdışındatutulmaktadır.
KişiselVerilerinHukukaAykırıErişiminiEngellemekiçinAlınanİdariTedbirler
Şirketimiztarafındankişiselverilerinhukukaaykırıerişiminiengellemekiçinalınanbaşlıcaidaritedbirler aşağıdasıralanmaktadır:
Çalışanlar,kişiselverilerehukukaaykırıerişimiengellemekiçinalınacaktekniktedbirlerkonusunda
bilgilendirilmekte veeğitilmektedir.
Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu
hükümlerine aykırı olarak başkasına açıklayamayacağıveişlemeamacıdışındakullanamayacağıvebuyükümlülüğüngörevden
ayrılmalarındansonradadevamedeceğikonusundabilgilendirilmektevebudoğrultudakendilerinden gerekli taahhütleralınmaktadır.
Kişisel Veri Güvenliği Politikalarının ve Prosedürler
belirlenmekte, politika ve prosedürler kapsamında; düzenli olarak
kontroller yapılmakta, yapılan kontroller belgelenmekte,
geliştirilmesi gerekenhususlarbelirlenmektedir.Yine,herkişiselverikategorisiiçinortayaçıkabilecekrisklerile güvenlikihlallerininnasılyönetileceğideaçıkçabelirlenmektedir.
KişiselVerilerinMümkünOlduğuncaAzaltılması:Kişiselveriler,doğruvegüncelolmalı,ilgili
mevzuattaöngörülenveyaişlendikleriamaçiçingerekliolansürekadarmuhafazaedilmelidir.Ancak, doğruolmayan,güncelliğiniyitirmişveherhangibiramacahizmetetmeyenverilerehalaihtiyaçolup
olmadığınındeğerlendirilmekteveihtiyaçduyulmayankişiselverilerisekişiselverisaklamaveimha
politikasıilesilinmekte,yokedilmekteveyaanonimhalegetirilmektedir.
VeriİşleyenlerileİlişkilerinYönetimi:ŞirketBTihtiyacınıkarşılamakiçinveriişleyenlerdenhizmet aldığızaman,hizmetalırkensözkonusuveriişleyenlerinkişiselverilerkonusundaenazkendileri
tarafından sağlanan güvenlik seviyesini sağlandığından emin
olarak işlem yapılmaktadır. Bu kapsamda, veriişleyenileimzalanansözleşmelerekişiselverilerinkorunmasıileilgilikoruyucudüzenlemeler getirilmektedir.
KİŞİSELVERİLERİNGÜVENLİORTAMLARDASAKLANMASI
Şirketimiz,kişiselverileringüvenliortamlardasaklanmasıvehukukaaykırıamaçlarlayokedilmesini,
kaybolmasınıveyadeğiştirilmesiniönlemekiçinteknolojikimkânlarveuygulamamaliyetinegöregerekli teknikveidaritedbirlerialmaktadır.
KişiselVerilerinGüvenliOrtamlardaSaklanmasıiçinAlınanTeknikTedbirler
Şirketimiz tarafından kişisel verilerin güvenli ortamlarda
saklanması için alınan başlıca teknik tedbirler aşağıda
sıralanmaktadır:
Kişisel verilerin güvenli ortamlarda saklanması için teknolojik
gelişmelere uygun sistemler kullanılmaktadır.
Saklanmaalanlarınayönelikteknikgüvenliksistemlerikurulmakta,alınanteknikönlemlerperiyodik olarakŞirketimizcebelirlenendenetimmekanizmasıtarafındandenetlenmekte,riskteşkiledenhususlar yenidendeğerlendirilerekgerekliteknolojikçözümüretilmektedir.
Kişiselverileringüvenlibirbiçimdesaklanmasınısağlamakiçinhukukauygunbirbiçimdetümgerekli
altyapılarkullanılmaktadır.
KişiselVerilerinGüvenliOrtamlardaSaklanmasıiçinAlınanİdariTedbirler
Şirketimiztarafındankişiselverileringüvenliortamlardasaklanmasıiçinalınanbaşlıcaidaritedbirleraşağıda sıralanmaktadır:
Çalışanlar,kişiselverilerin güvenlibir
biçimde saklanmasını
sağlamak konusundabilgilendirilmektedirler.
Şirketimiztarafındankişiselverilerinsaklanmasıkonusundateknikgerekliliklersebebiyledışarıdanbir hizmetalınmasıdurumunda,kişiselverilerinhukukauygunolarakaktarıldığıilgilifirmalarileakdedilen sözleşmelere;kişiselverilerinaktarıldığıkişilerin,kişiselverilerinkorunmasıamacıylagerekligüvenlik tedbirlerinialacağınavekendikuruluşlarındabutedbirlereuyulmasınısağlanacağınailişkinhükümlere yerverilmektevebukonudaŞirketin“ÜçüncüTaraflarlaİlişkilerdeKişiselVerilerinKorunmasıEsasları”
Politikasındakihükümleregörehareketedilmektedir.
EĞİTİM
Şirketimiz,KişiselVerilerinkorunmasıkonusundaçalışanlarınaPolitikaveKVKProsedürleriileKVKK
Düzenlemelerikapsamındagereklieğitimleriverilmektedir.
EğitimlerdeÖzelNitelikliKişiselVerilerintanımlarınavekorunmasınayönelikuygulamalaraözellikle değinilmektedir.
ŞirketimizçalışanıKişiselVerilerefizikselolarakveyabilgisayarortamındaerişiyorsa,Şirketimizilgili
çalışanınabuerişimlerözelinde(örneğinerişilenbilgisayarprogramı)eğitimverilmektedir.
DENETİM
İşBirimlerininKişiselVerilerinKorunmasıVeİşlenmesiKonusundaFarkındalıklarının
Arttırılması VeDenetimi
Şirketimiz,kişiselverilerinhukukaaykırıolarakişlenmesini,verilerehukukaaykırıolarakerişilmesini
önlemeyeveverilerinmuhafazasınısağlamayayönelikfarkındalığınartırılmasıiçinişbirimlerinegerekli bildirimlerin yapılmasınısağlamaktadır.
İşOrtaklarıVeTedarikçilerinKişiselVerilerinKorunmasıVeİşlenmesiKonusundaki
FarkındalıklarınınArttırılmasıVeDenetimi
Şirketimizkişiselverilerinhukukaaykırıolarakişlenmesininönlenmesi,verilerehukukaaykırıolarak
erişilmesininönlenmesiveverilerinmuhafazasınısağlamayayönelikfarkındalığınartırılmasıiçiniş ortaklarına gerekli bilgilendirmeleryapmaktadır.
KişiselVerilerinKorunmasıKonusundaAlınanTedbirlerinDenetimi
Şirketimiz,işbuPolitikaveKVKDüzenlemelerineŞirketintümçalışanları,departmanlarıveyüklenicilerinin uygunhareketettiğinidüzenliolarakhiçbirönbildirimdebulunmaksızınherzamanvere’sendenetleme
hakkınıhaizdirvebukapsamdagereklirutindenetimleriyapmaktaveyayaptırmaktadır.Budenetim sonuçlarıŞirketiniçişleyişikapsamındadeğerlendirilirvealınantedbirleriniyileştirilmesiiçingerekli faaliyetleryürütülmektedir.
KişiselVerilerinYetkisizBirŞekildeİfşasıDurumundaAlınacakTedbirlerŞirketimiz,KVKKanunu’nun12. maddesineuygunolarakişlenenkişiselverilerinkanuniolmayanyollarlabaşkalarıtarafındaneldeedilmesi halindebudurumuenkısasüredeilgilikişiselverisahibineveKVKKurulu’nabildirilmesinisağlayansistemi yürütmektedir.