SHIP GLOBAL LOJİSTİK A.Ş
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
- GİRİŞ
Veri sorumlusu olarak Alsancak Mahallesi 1476 Sok. No.2/62 Kordon/İZMİR adresinde mukim SHIP GLOBAL LOJİSTİK A.Ş (“Şirket”) için çalışanları ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması büyük önem arz etmektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Politika ve Şirketimiz bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen gaye; çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.
Bu kapsamda, 6698 sayılı Kanun ve ilgili mevzuat gereğince kişisel verilerin işlenmesi ve korunması için Şirketimiz tarafından gereken idari ve teknik tedbirler alınmaktadır.
Bu politika kapsamında kişisel verisi işlenen gerçek kişiler, İlgili Kişi olarak ifade edilmiştir.
Bu Politika’ da kişisel verilerin işlenmesi süreçleri için KVKK md. 4’te de yer aldığı üzere Şirketimiz’in benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:
- Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
- Kişisel verileri doğru ve gerektiğinde güncel tutma,
- Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
- Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
- Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
- İlgili kişileri aydınlatma ve bilgilendirme,
- İlgili kişilerin haklarını kullanması için gerekli altyapıyı oluşturma,
- Kişisel verilerin korunması için gerekli tedbirleri alma,
- Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
- Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi.
- POLİTİKA’NIN AMACI
Bu Politika’ nın temel amacı, Şirketimiz tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda çalışanlarımızı, çalışan adaylarımızı, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, ziyaretçi ve iş birliği içinde olduğumuz diğer kişileri bilgilendirerek şeffaflık sağlamaktır.
- POLİTİKA’NIN KAPSAMI
Bu Politika; müşterilerimizin, çalışanlarımızın, çalışanlarımızı, çalışan adaylarımızı, stajyerlerimizi, ziyaretçilerimizi ve iş birliği içinde olduğumuz kurumların hissedar ve çalışanlarını ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
|
İLGİLİ KİŞİ KATEGORİLERİ
|
AÇIKLAMA
|
|
Hissedar/Ortak
|
Şirket’in Paydaşı gerçek kişilerdir.
|
|
Potansiyel Ürün veya Hizmet Alıcısı / Yetkilisi
|
Şirket’in iş ilişkisi içerisinde bulunma potansiyeli taşıdığı gerçek ve tüzel kişilerin paydaşları ve yetkilileri dâhil olmak üzere tüm gerçek kişilerdir
|
|
Potansiyel Ürün veya Hizmet Alıcısı Çalışanı
|
Şirket’in iş ilişkisi içerisinde bulunma potansiyeli taşıdığı gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir.
|
|
Ürün veya Hizmet Alıcısı / Yetkilisi
|
Şirket’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin paydaşları ve yetkilileri dâhil olmak üzere tüm gerçek kişilerdir
|
|
Ürün veya Hizmet Alıcısı Çalışanı
|
Şirket’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir.
|
|
Tedarikçi Yetkilisi
|
Şirket’in ticari faaliyetlerini yürütürken, Şirket emir ve talimatlarına uygun olarak, sözleşme temelli olarak, Şirket’e hizmet sunan taraflar. Şirket’in tedarik hizmetini gören gerçek ve tüzel kişiler, bunların paydaşları ve yetkilileri gerçek kişilerdir.
|
|
Tedarikçi Çalışanı
|
Şirket’in tedarik hizmetini gören gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir.
|
|
Çalışan/Stajyer
|
Şirkette iş sözleşmesi ile hizmet ifa eden gerçek kişilerdir.
|
|
Çalışan Adayı
|
Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişilerdir.
|
|
Ziyaretçi
|
Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir.
|
|
Üçüncü Kişi
|
Yukarıda yer verilen İlgili Kişi kategorileri ile Şirket çalışanları hariç gerçek kişilerdir.
|
|
Şirket Yetkilisi
|
SHIP GLOBAL A.Ş 'nin yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler.
|
İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:
|
TERİM
|
TANIM
|
|
Alıcı Grubu
|
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
|
|
Açık Rıza
|
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
|
|
Anonim hâle getirme
|
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
|
|
Aydınlatma
|
Veri sorumlusu ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin diğer haklarının neler olduğu konusunda kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişiye yapılan bilgilendirme
|
|
Aydınlatma Yükümlülüğü
|
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
· Veri sorumlusunun ve varsa temsilcisinin kimliği,
· Kişisel verilerin hangi amaçla işleneceği,
· İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
· Kişisel veri toplamanın yöntemi ve hukuki sebebi,
· Kanun’un 11 inci maddesinde sayılan diğer hakları,
konusunda bilgi verme yükümlülüğü
|
|
Elektronik Ortam
|
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
|
|
Elektronik Olmayan Ortam
|
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
|
|
Hizmet Sağlayıcı
|
ŞİRKET ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
|
|
İlgili Kişi
|
Kişisel verisi işlenen gerçek kişi
|
|
İlgili Kullanıcı
|
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişi
|
|
İmha
|
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
|
|
İrtibat Kişisi
|
Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişi
|
|
Kanun
|
6698 sayılı Kişisel Verilerin Korunması Kanunu
|
|
Kayıt Ortamı
|
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
|
|
Kişisel Veri
|
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
|
|
Kişisel Veri İşleme Envanteri
|
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri
|
|
Kişisel Verilerin İşlenmesi
|
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
|
|
Kurul
|
Kişisel Verileri Koruma Kurulu
|
|
Kurum
|
Kişisel Verileri Koruma Kurumu
|
|
KVKK
|
6698 sayılı Kişisel Verilerin Korunması Kanunu
|
|
KVK Komitesi
|
ŞİRKET Kişisel Verileri Koruma Komitesi
|
|
Özel Nitelikli Kişisel Veri
|
Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
|
|
Periyodik İmha
|
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
|
|
Politikalar
|
ŞİRKET Kişisel Verileri Saklama ve İmha Politikası, ŞİRKET Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası
|
|
Şirket
|
SHIP GLOBAL A.Ş
|
|
Veri İşleyen
|
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
|
|
Veri kayıt sistemi
|
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini
|
|
Veri Sorumlusu
|
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi
|
|
Veri Sorumluları Sicil Bilgi Sistemi
|
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
|
|
VERBİS
|
Veri Sorumluları Sicil Bilgi Sistemi
|
|
YÖNETMELİK
|
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
|
- İLGİLİ KİŞİLERİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirketimiz; KVKK’ nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirketimiz, veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu haklar konusunda ilgili kişinin niteliğine ve veri işleme sürecine göre aydınlatma yapmaktadır. Şirketimiz web sitesinde bu Politika ile birlikte aydınlatma metinleri, çerez politikası, başvuru formu da yayınlanmıştır.
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz nezdinde, Şirketimiz’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVKK’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere, KVKK’nda belirtilen genel ilkelere ve KVKK’nda düzenlenen tüm yükümlülüklere uyularak ve işbu Politika kapsamındaki ilgili kişilerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
Şirketimiz, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları ve saklama süreleri yer almaktadır. Bu kapsamda Şirketimiz kişisel veri envanteri içerisinde aşağıda sayılanlarla sınırlı olmamak kaydıyla belirtilen veri kategorileri bulunmaktadır.
|
KİŞİSEL VERİ KATEGORİZASYONU
|
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMASI
|
|
Kimlik
|
Ad Soyad, Anne - Baba Adı, Anne Kızlık Soyadı, Doğum Tarihi, Doğum Yeri, Medeni Hali, Nüfus Cüzdanı Seri Sıra No, Tc Kimlik No Gibi
|
|
İletişim
|
Adres No, E-Posta Adresi, İletişim Adresi, Kayıtlı Elektronik Posta Adresi (KEP), Telefon No Gibi
|
|
Özlük
|
Bordro Bilgileri, Disiplin Soruşturması, İşe Giriş-Çıkış Belgesi Kayıtları, Mal Bildirimi Bilgileri, Özgeçmiş Bilgileri, Performans Değerlendirme Raporları Gibi
|
|
Hukuki İşlem
|
Adli Makamlarla Yazışmalardaki Bilgiler, Dava Dosyasındaki Bilgiler Gibi
|
|
Müşteri İşlem
|
Çağrı Merkezi Kayıtları, Fatura, Senet, Çek Bilgileri, Gişe Dekontlarındaki Bilgiler, Sipariş Bilgisi, Talep Bilgisi Gibi
|
|
Fiziksel Mekan Güvenliği
|
Çalışan Ve Ziyaretçilerin Giriş Çıkış Kayıt Bilgileri, Kamera Kayıtları Gibi
|
|
İşlem Güvenliği
|
Ip Adresi Bilgileri, İnternet Sitesi Giriş Çıkış Bilgileri, Şifre Ve Parola Bilgileri Gibi
|
|
Risk Yönetimi
|
Ticari, Teknik, İdari Risklerin Yönetilmesi İçin İşlenen Bilgiler Gibi
|
|
Finans
|
Bilanço Bilgileri, Finansal Performans Bilgileri, Kredi Ve Risk Bilgileri, Malvarlığı Bilgileri Gibi
|
|
Mesleki Deneyim
|
Diploma Bilgileri, Gidilen Kurslar, Meslek İçi Eğitim Bilgileri, Sertifikalar, Transkript Bilgileri Gibi
|
|
Görsel Ve İşitsel Kayıtlar
|
Görsel Ve İşitsel Kayıtlar
|
|
Sağlık Bilgileri
|
İsg Kapsamında Alınan Sağlık Raporları Ve Belgeleri,Sağlık Ve Doğum İzni Raporları, İş Kazası Raporları
|
|
Biyometrik Veri
|
Parmak İzi
|
|
Ceza Mahkumiyeti Ve Güvenlik Tedbirleri(Adli Sicil Kaydı
|
İşe Giriş İle Çalışana Ait Elde Edilen Bilgiler
|
Şirketimiz, veri işleme faaliyetleri kapsamında ve şirket içinde kullanılan veri türlerini esas alarak oluşturduğu Şirketimiz Kişisel Veri Envanteri’nde; yukarıda gösterilen tabloda gösterilmiştir.
- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
6.1. Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi Şirket ile İlgili Kişi arasındaki ticari, hukuki, sözleşmesel veya bir başka surette kurulan ilişki kapsamında; aşağıda detaylı olarak belirtilen amaçlar çerçevesinde ve 6698 sayılı Kanun’un 5. Maddesinin 2. Fıkrası ve devamındaki hukuka uygunluk sebeplerine istinaden veya böyle bir sebep bulunmaması halinde açık rızaya istinaden; Kişisel Veriler, Şirket tarafından doğrudan ilgili kişiden elektronik veya fiziksel ortamlarda toplanmakta ve işlenebilmektedir. Bu hususta gerekli detaylar her bir İlgili Kişi için ayrıca hazırlanmış olan aydınlatma metinlerinde belirtilmiş ve İlgili Kişilere fiziki ve elektronik ortamlarda sunulmuştur (Tedarikçi aydınlatma metni, Müşteri Aydınlatma Metni, Çalışan / Stajyer/ Çalışan Adayı aydınlatma metni, Ziyaretçi Aydınlatma metni vb). veri işlemenin hukuki dayanağı olarak aşağıdaki hususlardan en az biri kabul edilmektedir.
- Şirket’in tabi olduğu mevzuatta öngörülmüş olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, talep edilen ürün ve hizmetleri sunabilmek veya akdedilen sözleşmelerin gereğinin yerine getirilmesi,
- Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için veri işlemenin zorunlu olması,
- İlgili kişi tarafından alenileştirilmiş olması,
- Şirket’in mevzuat veya iç uygulayışı gereği bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlemenin gerekli olması,
- İlgili Kişinin açık rızası.
İlgili kişinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca biridir. Açık rıza dışında, kanunda belirtilen şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
|
İşlenme Şartları
|
Kapsamı
|
Örnek
|
|
Kanun Hükmü
|
Vergi Mevzuatı, İş Mevzuatı, Ticaret Mevzuatı vb.
|
Çalışana ait özlük bilgilerinin mevzuat gereği tutulması gerekir.
|
|
Sözleşmenin İfası
|
İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser Sözleşmesi vb.
|
Teslimat yapılması için şirketin adres bilgilerinin kaydedilmesi.
|
|
Fiili İmkânsızlık
|
Fiili imkânsızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi.
|
Bilinci kapalı kişinin iletişim veya adres bilgisi
|
|
Veri Sorumlusunun Hukuki Sorumluluğu
|
Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı Regülâsyonlarla Uyum.
|
Bankacılık, Enerji, Sermaye Piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması.
|
|
Aleniyet Kazandırma
|
İlgili kişinin kendisine ait bilgileri umumun bilgisine sunması.
|
Kişinin, acil durumlarda ulaşılması için iletişim bilgisini ilan etmesi.
|
|
Hakkın Tesisi, Korunması, Kullanılması
|
Dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler.
|
İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması.
|
|
Meşru Menfaat
|
İlgili Kişinin temel haklarına zarar gelmemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması halinde veri işlenebilir.
|
Çalışan bağlılığını artıran ödül ve primler uygulanması amacıyla veri işlenmesi.
|
Şirketimiz, Anayasa’nın 20. maddesine ve KVKK’nun 4. Maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
6.2. Kişisel Veri İşleme Kriterleri
Şirketimiz, KVKK’nun 10. Maddesine uygun olarak ilgili kişileri aydınlatmakta ve rıza alınması gereken durumlarda veri ilgililerinden rızalarını talep etmekte, bu kişisel verileri aşağıda belirtilen kriterleri esas alarak işlemektedir.
- Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirketimiz, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca Şirketimiz veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaktadır.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel verilerin doğru ve güncel bir şekilde tutulması, Şirketimiz açısından ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında Şirketimiz’in aktif özen yükümlülüğü bulunmaktadır. Bu sebeple Şirketimiz tarafından ilgili kişinin bilgilerinin doğru ve güncel olarak tutulması için bütün iletişim kanalları açıktır.
- Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar kişisel veriyi işlemektedir.
ç. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz kişisel verileri, iştigal konusu ile ilgili ve işinin yürütülmesi için gerekli olan amaçlar dahilinde işlemektedir. Bu sebeple Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda; Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan ve Şirketimiz şirketler topluluğunun yayınladığı Küresel Saklama Politikasında belirtilen süre kadar saklamaktadır. Şirketimiz kişisel veri envanterindeki saklama sürelerini esas almakta olup, burada belirtilen süreler sonunda Kanun kapsamındaki yükümlülükler çerçevesinde kişisel veriler, verinin niteliğine ve kullanım amacına göre silinmekte, yok edilmekte veya anonimleştirilmektedir.
- ŞİRKETİMİZ BİNASI GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Şirketimiz tarafından güvenliğin sağlanması amacıyla, Şirketimiz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Şirketimiz tarafından kişisel veri işleme faaliyeti yapılmaktadır. Her iki faaliyetin de dayanağı, Kanun’un 5. Maddesinin 2. Fıkrasında belirtilen Meşru Menfaat ilkesidir.
Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Şirketimiz tarafından KVKK’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
7.1. Şirketimiz Binasında, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
Şirketimiz tarafından fiziksel mekân güvenliğinin sağlanması amacı ve bu Politika’ da belirtilen diğer amaçlarla, Şirketimiz binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Şirketimiz binalarına gelen kişilerin adı ve soyadı bilgisi elde edilirken ya da Şirketimiz nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
|
KV İŞLEME AMAÇLARI
|
|
1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi
2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
3. Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
5. Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
6. Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
7. Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
8. Denetim / Etik Faaliyetlerinin Yürütülmesi
9. Eğitim Faaliyetlerinin Yürütülmesi
10. Erişim Yetkilerinin Yürütülmesi
11. Faaliyetlerin Mevzuata Uygun Yürütülmesi
12. Finans Ve Muhasebe İşlerinin Yürütülmesi
13. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
14. Fiziksel Mekan Güvenliğinin Temini
15. Görevlendirme Süreçlerinin Yürütülmesi
16. Hukuk İşlerinin Takibi Ve Yürütülmesi
17. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
18. İletişim Faaliyetlerinin Yürütülmesi
19. İnsan Kaynakları Süreçlerinin Planlanması ve Yürütülmesi
20. İş Faaliyetlerinin Yürütülmesi / Denetimi
21. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
22. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
23. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
24. Lojistik Faaliyetlerinin Yürütülmesi
25. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
26. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
|
27. Mal / Hizmet Satış Süreçlerinin Yürütülmesi
28. Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
29. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
30. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
31. Organizasyon Ve Etkinlik Yönetimi
32. Pazarlama Analiz Çalışmalarının Yürütülmesi
33. Performans Değerlendirme Süreçlerinin Yürütülmesi
34. Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
35. Risk Yönetimi Süreçlerinin Yürütülmesi
36. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
37. Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
38. Sözleşme Süreçlerinin Yürütülmesi
39. Sponsorluk Faaliyetlerinin Yürütülmesi
40. Stratejik Planlama Faaliyetlerinin Yürütülmesi
41. Talep / Şikayetlerin Takibi
42. Taşınır Mal Ve Kaynakların Güvenliğinin Temini
43. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
44. Ücret Politikasının Yürütülmesi
45. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
46. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
47. Yatırım Süreçlerinin Yürütülmesi
48. Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
49. Yönetim Faaliyetlerinin Yürütülmesi
50. Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
|
- KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel ilgili kişinin kişisel verilerini üçüncü kişilere aktarabilmektedir. Aktarım sebepleri aşağıda açıklanmıştır:
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Şirketimiz’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimiz’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
- İlgili kişinin açıı rızası alınmış ise
- ŞİRKETİMİZ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Şirketimiz, KVKK’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını ilgili kişiye bildirmektedir.
Şirketimiz, KVKK’nun 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan paydaş kategorilerine aktarılabilir:
|
VERİ AKTARIMI YAPILABİLECEK KİŞİLER
|
TANIMI
|
VERİ AKTARIM AMACI
|
|
İş Ortağı
|
Şirket’in, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar
|
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak kullanabilir.
|
|
Tedarikçi
|
Şirket’in ticari faaliyetlerinin yürütülmesi kapsamında, Şirket’in emir ve talimatlarına uygun ve sözleşme temelli olarak Şirket’e hizmet sunan taraflar
|
Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak kullanabilir. Banka, Sigorta şirketi, Seyahat Acentası, Etkinlik Ajansı, Servis, Kargo, Eğitim Firmaları gibi
|
|
İştirakler
|
Şirket’in hissedarı olduğu şirketler
|
Şirket’in iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak kullanabilir.
|
|
Şirket Paydaşları
|
Şirket’in hissedarları
|
Şirket’in şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçları ile sınırlı olarak kullanılabilir.
|
|
Şirket Yetkilileri
|
Şirket’in imzaya yetkili gerçek kişileri
|
Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak kullanılabilir.
|
|
Hukuken Yetkili Kamu Kurum ve Kuruluşları
|
İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları
|
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kullanılabilir.
|
|
Hukuken Yetkili Özel Hukuk Kişileri
|
İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri
|
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kullanılabilir.
|
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz; KVKK’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
12.1. Kişisel Verilerin Hukuka Uygun İşlenmesini ve Korunmasını Sağlamak için Alınan Tedbirler
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini ve korunmasını sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
12.1.1. Teknik Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
- Sızma (Penetrasyon) testleri ile ŞİRKETİMİZ bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
- ŞİRKET’in bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- ŞİRKET içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- ŞİRKET, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için ŞİRKET tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- ŞİRKET internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak şifrelenmektedir.
- Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
12.1.2. İdari Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesi ve korunması için alınan idari tedbirler:
- Şirketimiz çalışanları kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
- Şirketimiz’in yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
- Şirketimiz bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, Şirketimiz tarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Şirketimiz bünyesindeki bölümlerin kişisel veri güvenliği ile ilgili denetim ve yönetimi, Bilgi Güvenliği / KVK Komiteleri tarafından organize edilmektedir. İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmektedir.
- Şirketimiz ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmıştır.
- Kişisel veri barındıran fiziksel ortamlara erişim yetkileri sınırlandırılmaktadır.
- Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri düzenli olarak denetlenmektedir.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. Gizlilik taahhütnameleri yapılmaktadır.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
12.1.3. Kişisel Verilere Hukuka Aykırı Erişimin Engellenmesi için Alınan Teknik ve İdari Tedbirler
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz kişiler tarafından açıklanmasını, erişimini, aktarılmasını, Şirketimiz sistemleri nezdinde veri sızıntıları olmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için; korunacak verinin sınıfı, niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
12.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirketimiz bünyesinde KVKK Komitesi bulunmaktadır. KVKK Komitesi, veri sorumlusu olan Şirketimiz adına, Kanun’un 12. maddesinden kaynaklanan görevi gereği, kendi kurum veya kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre, tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar gerekli birimlere bildirilmekte ve bu birimler, bu hususlar nezdinde gereken tedbirleri aldırmaktadır. Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler içeren ek sözleşmeler yapılmaktadır.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
KVKK ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.
Bu kapsamda, Şirketimiz bünyesinde çalışmaya başlayacak kişilerden ve yasal sorumluluklarımızın yerine getirilmesi ve operasyonel süreçlerin denetlenmesini sağlamak amacıyla sağlık verileri, adli sicil kaydı verileri ve yine bünyemizde çalışan kişilerin çalışılan ofise girişini sağlayabilmesi için alınan parmak izi kayıtları işlenmektedir. Bu özel nitelikli kişisel verilere erişebilen personele gerekli eğitimler verilmekte, bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.
Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece ilgili personelinin erişebildiği alanlarda saklanmaktadır.
- ŞİRKETİMİZ ÇALIŞANLARININ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDAKİ EĞİTİMLERİ
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışanlarına, bayi ve yetkili servislerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
- İLGİLİ KİŞİLERİN HAKLARI VE TALEPLERİ
Şirketimiz, KVKK’n 13. maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu olarak, kişisel veri envanterinin eki mahiyetindeki Kişisel Veri Başvuru ve Yanıt Prosedürü ve Kanunda belirtilen başvuru koşullarını taşımayan başvurular için yazılı şablona yönlendirme prosedürleri oluşturulmuştur. Bu prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar yapılmıştır. Şirketimiz bünyesinde bu prosedürün uygulanmasını sağlayacak sistemsel altyapı mevcuttur.
Kişisel veri sahiplerinin aşağıda sıralanan haklarına ilişkin taleplerini; kimlik ibrazı ile şahsi başvuru ile, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Şirketimiz’ya daha önce bildirilen ve Şirketimiz’nın sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle Şirketimiz’e kimlikleri teyit edilebilir bir biçimde iletmeleri durumunda Şirketimiz, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak cevaplandıracaktır. Bu hususta detaylı açıklama aşağıda, bu Politikanın 16. maddesinde yapılmıştır.
Kişisel veri sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile kendilerine ait kişisel verilerin tüm işlenme süreçleri, amaçları ve aktarım bilgileri de dahil Kanun’un ilgili maddesindeki tüm hakları talep edebileceklerdir.
- İLGİLİ KİŞİLERİN HAKLARI; BU HAKLARIN KULLANILMASI
Şirketimiz, KVKK’nun 10. maddesine uygun olarak ilgili kişinin haklarını kendisine bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı konusunda ilgili kişiye yol göstermektedir. Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
16.1. İlgili Kişinin Hakları ve Bu Haklarını Kullanması
16.1.1. İlgili Kişinin Hakları
İlgili Kişiler aşağıda yer alan haklara sahiptirler:
- Kişisel veri işlenip işlenmediğini öğrenme,
b.Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
f. KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
16.1.2. İlgili Kişinin Haklarını Kullanması
6698 sayılı Kanun’un 11. maddesinde belirtilen haklardan kullanmayı talep ettiğiniz hakkınıza yönelik açıklamalarınızı içeren talebinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre web sitemizde bulunan Başvuru Formunu doldurarak ve formda belirtildiği biçimde direkt elden veya hali hazırda kayıtlarımızda bulunan e-posta adresiniz vasıtası ile tarafımıza iletmeniz halinde başvurularınız en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır.
Başvurularda, ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için TC kimlik numarası, yabancılar için uyruğu, pasaport numarası/kimlik numarası, tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirime esas elektronik posta adresi, telefon veya faks numarası ve talep konusu bulunması zorunludur.
Talebin niteliğine ve yöntemine göre şirket, başvurunun gerçekten size ait olup olmadığını anlayabilmek ve haklarınızı korumak adına ilave teyit talep edebilir.
- KİŞİSEL VERİLERİN İMHASI (SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ) ŞARTLARI
Türk Ceza Kanunu’nun 138. maddesinde, KVKK’nun 7. maddesinde ve Kurul tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimiz’in kendi kararına istinaden veya kişisel İlgili Kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Şirketimiz bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır. Bu yönetmelik uyarınca Şirketimiz tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla gerçekleştirilecek periyodik imha için gerekli takvim oluşturulmuştur.
- ŞİRKETİMİZ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
Şirketimiz, işbu belge ile ortaya koyulan esasları, Şirketimiz bünyesindeki diğer veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.
- ŞİRKETİMİZ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU
Şirketimiz tarafından KVKK düzenlemelerine uygun hareket edilmesini ve Kişisel Verilerin Korunması ve İşlenmesi Politikası' nın yürürlüğünü sağlamak için yönetim yapısı kurulmuştur.
Şirketimiz bünyesinde işbu Politika ve bu Politika’ ya bağlı ve ilişkili diğer politikaları yönetmek üzere KVKK Komitesi görevlendirilmiştir.
Bu Komite’nin kişisel verilerin korunması ile ilgili görevleri aşağıda belirtilmektedir:
- Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak ve üst yönetiminin onayına sunmak,
- Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanmasının ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunulması ve koordinasyonun sağlanması hususlarını üst yönetimin onayına sunmak,
- KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve üst yönetimin onayına sunmak, uygulanmasını gözetmek ve koordinasyonunu sağlamak,
- Kişisel verilerin korunması ve işlenmesi konusunda Şirketimiz içerisinde ve Şirketimiz’nın işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
- Şirketimiz’nın kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini üst yönetimin onayına sunmak,
- Kişisel verilerin korunması ve politikaların uygulanması ve yayılımı konusunda, kişisel veri sahiplerinin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilendirilmelerinin sağlanması yönünde eğitimler düzenlenmesini sağlamak,
- Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
- Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek, bu gelişmelere ve düzenlemelere uygun olarak Şirketimiz içinde yapılması gerekenler konusundaki önerilerini almak,
- KVK Kurulu ve Kurumu ile olan ilişkileri yürütmek,
- Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.
- POLİTİKA’NIN YÜRÜRLÜĞÜ ve GÜNCELLENMESİ
Şirketimiz tarafından düzenlenen bu Politika 30/12/2021 tarihinde yürürlüğe girmiştir. Bu Politika, Şirketimiz’nın internet sitesinde yayımlanır ve ilgili kişilerin erişimine sunulur.