6698 SAYILI
KİŞİSEL VERİLERİN KORUNMASI
KANUNU ("KVKK") UYARINCA
YELKANAT MOBİLYA İTHALAT İHRACAT İMALAT SANAYİ VE TİCARET ANONİM ŞİRKETİ
KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI
1.GİRİŞ
Kişisel Verileri Saklama, İşleme ve İmha Politikası,
Yelkanat Mobilya İthalat İhracat İmalat SANAYİ VE TİCARET ANONİM ŞİRKETİ
tarafından (“Şirket”) gerçekleştirilmekte olan işleme, saklama ve imha
faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek
amacıyla hazırlanmıştır. Şirket; Stratejik Planda belirlenen misyon, vizyon ve
temel ilkeler doğrultusunda; Şirket çalışanları, hizmet alan
müşteriler, hizmet sağlayıcıları, hizmet sağlayıcı çalışanları, iş yeri hekimi,
iş güvenliği uzmanı, ziyaretçiler, iş ortakları ve diğer üçüncü kişiler,
irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin
çalışanları ve ilgili üçüncü kişileri kapsayacak şekilde tüm şahıslara ait her
türlü kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu
(“KVKK”)’na uygun olarak işlenmesine, korunmasına büyük önem vermekteyiz. Bu
amaçla, şirketimiz yasal düzenleme ve alınan kararlar uyarınca, gerekli her
türlü idari ve teknik tedbirleri almaktadır. İşbu Kişisel Verileri Koruma,
İşleme, Saklama ve İmha Politikası ve ekleri; veri sorumlusu sıfatıyla
“Yelkanat Mobilya İthalat İhracat İmalat SANAYİ VE TİCARET ANONİM ŞİRKETİ”
tarafından hazırlanmıştır.
2.AMAÇ
Şirketimiz tarafından hazırlanmış olan bu politika metni ile
Kişisel Verileri Koruma Kanununa uyum sürecinin tamamlanması bakımından aşağıda
yazılı temel ilkeler doğrultusunda; yukarıda belirtilen ilgili kişilere ait
kişisel verilerin; Kişisel Verileri Koruma Kurumu’nun yayınladığı kararlar,
belirlediği ilkeler ile T.C. Anayasası, Uluslararası Sözleşmeler, 6698 sayılı
Kişisel Verilerin Korunması Kanunu, Kişisel Sağlık Verileri Hakkında
Yönetmelik ve ilgili mevzuata uygun olarak işlenmesi ve ilgili kişilerin
haklarını etkin bir şekilde kullanması amaçlanmıştır. Kişisel verilerin
saklanması ve imhasına ilişkin iş ve işlemler, işbu politikaya uygun olarak
gerçekleştirilmektedir. Şirketimiz tarafından işlenen kişisel veriler, verilen
hizmetlere ve işleme amacına bağlı olarak değişebilmekle birlikte otomatik ya
da otomatik olmayan yöntemlerle toplanmaktadır.
3.KAPSAM
Şirket çalışanları, hizmet alan müşteriler, hizmet sağlayıcıları, hizmet sağlayıcı çalışanları, iş yeri hekimi, iş güvenliği uzmanı, ziyaretçiler ve diğer üçüncü kişiler, irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişileri kapsayacak kişisel veriler ; hazırlanmış olan bu politika kapsamında olup, şirketimiz nezdinde tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla, otomatik olmayan yollarla işlenen, kişisel verilerin bulunduğu her türlü kişisel verilerin işlenmesine yönelik şirket faaliyetlerde işbu politika uygulanmaktadır.
4. HEDEF
Kişisel verilerin işlenme, saklanma ve imha Politikası ile,
Yelkanat Mobilya İthalat İhracat İmalat SANAYİ VE TİCARET ANONİM ŞİRKETİ
bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması
konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri
oluşturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulması
hedeflenmektedir. Bu kapsamda Yelkanat Mobilya İthalat İhracat İmalat SANAYİ VE
TİCARET ANONİM ŞİRKETİ KVK Politikası, KVK Kanunu ve ilgili sair mevzuat ile ortaya
konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır.
5.KISALTMA VE TANIMLAR
Şirket : Yelkanat Mobilya İthalat İhracat İmalat
SANAYİ VE TİCARET ANONİM ŞİRKETİ
Açık Rıza: Belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Alıcı Grubu: Veri sorumlusu tarafından kişisel
verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Anonim Hale Getirme: Kişisel verilerin, başka
verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan: Şirketimiz çalışanlarını kapsamaktadır.
Elektronik Ortam: Kişisel verilerin elektronik
aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve
yazılabildiği ortamlar
Elektronik Olmayan Ortam: Elektronik ortamların
dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
İlgili Kullanıcı: Verilerin teknik olarak
depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç
olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan
aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İlgili Kişi/Kişisel Veri Sahibi: Kişisel verisi
işlenen gerçek kişiyi ifade etmektedir.
İmha: Kişisel verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel sağlık verisi: Kimliği belirli ya da
belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü
bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,
Kişisel Verilerin İşlenmesi: Kişisel verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması
ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: kişisel verilerin
İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel
verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve
tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Veri İrtibat Kişisi: Türkiye’de yerleşik
olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de
yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi
tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler
kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak
amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi
Kanun: 6698 sayılı Kişisel Verilerin Korunması
Kanunu
Kurul: Kişisel Verileri Koruma Kurulu Kurum:
Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı,
etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri
Periyodik İmha: Kanun’da yer alan kişisel
verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel
verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla
resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Veri İşleme, Saklama ve İmha
Genel Politikasını
Veri İşleyen: Veri sorumlusunun verdiği yetkiye
dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi: Kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme
amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve
yönetilmesinden sorumlu gerçek veya tüzel kişi
Veri Sorumluları Sicil Bilgi Sistemi: Veri
sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde
kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından
oluşturulan ve yönetilen bilişim sistemi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede
yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik
6.SORUMLULUK VE GÖREV DAĞILIMI
6698 sayılı KVK Kanunu ve ilgili mevzuat uyarınca, kişisel
verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve
sürdürülmesi kapsamında, şirket bünyesinde gerekli koordinasyonu sağlamak
amacıyla şirket Kişisel Verileri Koruma Komitesi belirlenmiş, görev ve
sorumlulukları tanımlanarak gerekli kararlar alınarak, ilgililere tebliğ
edilmiştir. İşbu politika kapsamında alınan teknik ve idari tedbirlerin
gerektiği şekilde uygulanması, ilgili birim çalışanlarının eğitimi ve
farkındalığının arttırılması, denetimi ile kişisel verilerin hukuka aykırı
olarak işlenmesinin, erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun
saklanmasının sağlanması amacıyla, kişisel veri işlenen tüm ortamlarda veri
güvenliğini sağlamaya yönelik teknik ve idari tedbirler Kişisel Verileri Koruma
Komitesi ve sorumlu birimlerce yerine getirilmektedir.
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce
Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi
uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması,
izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak
işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin
önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla
kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik
ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek
verir.
7.KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLAR
Şirketimizce tutulan kişisel veriler, kişisel
bilgisayarlar, telefon, tablet gibi mobil cihazlar, sunucular-server, donanım,
yazılım programları, optik diskler, çıkarılabilir bellekler, internet sitesinde
kullanılan çerezler, ve kağıt olarak tutulan kişisel veriler,
sunulan hizmet bilgilerinin yer aldığı formlar, özlük dosyaları, iş başvuru
formları, şirket ile üçüncü kişiler arasında yapılan sözleşmeler, manuel veri
kayıt sistemleri, yazılı, basılı, görsel ortamlarda tutulan kişisel veriler,
birim dolapları, arşiv odaları gibi elektronik olmayan fiziksel ortamlarda
kaydedilmektedir.
Kişisel veriler, 6698 sayılı Kişisel Verileri Koruma Kanunu
ve uluslararası veri güvenliği prensiplerine uygun olarak güvenli bir şekilde
saklanmaktadır. Kişisel verileriniz, tamamen veya kısmen, otomatik olarak
veyahut herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla elde edilerek, kaydedilerek, depolanarak, değiştirilerek,
yeniden düzenlenerek, kişisel verileriniz üzerinde gerçekleştirilen her türlü
işleme konu olarak, şirketimiz tarafından işlenmektedir
8.KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER
8.1.Gizlilik İlkesi
İşbu politikada açıklandığı üzere, şirketimiz ile irtibatlı
kişisel veri sahibi olan ilgili tüm kişilerin verileri gizlidir. Bu politika ve
alınan tedbirler kapsamda, kanunda belirtilen haller dışında, hiç kimse başkaca
hiçbir amaç için kişilerin verilerini başka amaçla kullanamaz, çoğaltamaz,
kopyalayamaz, başkalarına aktaramaz ve politikalarla belirlenen amaçlar dışında
kullanılamaz., Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu, Türk Ticaret
Kanunu, İş Kanunu, İş Sağlığı Ve Güvenliği Kanunu, Kişisel Verilerin
Korunması Kanunu İle Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale
Getirilmesi Hakkında Yönetmelik ve ilgili mevzuat uyarınca gizlilik ilkesine
uygun uygun olarak işlenmektedir.
8.2.Temel İlkeler
Şirketimiz tarafından işlenmekte olan Kişisel Veriler, 6698
sayılı KVK Kanunu’nun 4. maddesinde belirtilen ilkelere uygun işlenmektedir.
Şirket, Kişisel Verilerin işlenmesi, korunması, silinmesi ve imha süreçlerinde
aşağıda yazılı ilkelere göre, kanunda öngörülen usul ve esaslara uygun olarak
işlenmektedir:
▪ Hukuka ve dürüstlük kurallarına uygun
olması.
Şirketimiz yasal dayanağı olan işleme faaliyeti kapsamında
veri işlerken, ilgili kişinin çıkarlarını dikkate almaktadır. Buna binaen
dayanak yapılan hukuk kuralının amacı esas alınarak şirketimiz tarafından en az
miktarda veri toplanmaktadır. Hangi kişisel verinin ne oranda gerektiği
somut olaya göre belirlenerek şirketimiz tarafından asgari miktarda veri
toplanmaktadır. Şirketimiz, kişisel verilerin işlenmesinde orantılılık
gerekliliklerini dikkate almaktadır, kişisel verileri amacın dışında
kullanmamaktadır.
▪ Doğru ve gerektiğinde güncel olması.
Şirketimiz; kişisel veri sahiplerinin temel haklarını ve
kendi yasal menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve
güncel olmasını sağlayacak gerekli önlemleri almaktadır. Kişisel verilerin
yanlış işlendiği anlaşıldığı anda gerekli tedbirler alınmakta ve
düzeltilmektedir. Ancak verinin arşiv vs. herhangi bir meşru amaçla tutulması
yönünde şirketimiz tarafından meşru ve makul gerekçeler varsa verinin yanlış
olduğu belirtilerek tutulmaya devam edilebilmektedir.
▪ Belirli, açık ve meşru amaçlar için işlenmesi.
Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Kurumumuz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Kurumumuz tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan bildirilmektedir.
▪ İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü
olması.
Şirketimiz, kişisel verileri belirlenen amaçların
gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın
gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin
işlenmesinden kaçınmaktadır. Örneğin sonradan ortaya çıkması muhtemel
ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti
yürütülmemektedir. Toplanan kişisel verilerle alakalı veri işleme amacı ile
bağdaşmayan yeni bir işleme amacı ortaya çıkması halinde verilerin ilk defa
toplanması halinde gerekli olan şartlar yeniden sağlanmaktadır.
▪ Mevzuatta öngörülen veya işlendikleri amaç
için gerekli olan süre kadar muhafaza edilmesi.
Şirketimiz, kişisel verileri ancak ilgili mevzuatta
belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza
etmektedir. Bu kapsamda, şirketimiz öncelikle ilgili mevzuatta kişisel
verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte,
bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse
kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.
Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde
kişisel veriler Kurumumuz tarafından silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
9.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirketimiz tarafından işlenen kişisel veriler, 6698
sayılı Kanunun 5. Ve 6. Maddesine uygun olarak işlenmektedir. Kural olarak
kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, aşağıda
belirtmiş olduğumuz ilkelerden birinin varlığı hâlinde, ilgili kişinin açık
rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
▪ Kanunlarda açıkça öngörülmesi. Kanunilik ilkesi
▪ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin
ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu
olması. Fiili imkânsızlık.
▪ Bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması. Sözleşmenin ifası.
▪ Veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması. Hukuki yükümlülük.
▪ İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Aleniyet.
▪ Bir hakkın tesisi, kullanılması veya korunması için veri
işlemenin zorunlu olması. Zorunluluk.
▪ İlgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin
zorunlu olması. Meşru menfaat.
10.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI
Şirketimiz tarafından işlenen Özel Nitelikli Kişisel
Veriler, 6698 sayılı Kanunun 6. maddesine uygun olarak işlenmektedir. Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli
kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu
kanun maddesi ile düzenlenmiştir. Buna göre, ilgili kişinin açık rızası
olmaksızın Özel Nitelikli Kişisel Veriler işlenemez. Ancak, kanun maddesinde
yazılı olduğu üzere; Kanunun 6/1. fıkrasında sayılan sağlık ve cinsel hayat
dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık
rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel
veriler ise ancak;
▪ Kamu sağlığının korunması, ▪ Koruyucu hekimlik, ▪
Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, ▪ Sağlık hizmetleri
ile finansmanının planlanması ve yönetimi amacıyla, ▪ Sır saklama yükümlülüğü
altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından İlgilinin
açık rızası aranmaksızın işlenebilir.
Şirketimiz Özel nitelikli kişisel verilerin işlenmesinde,
6698 sayılı Kişisel Verilerin Korunması Kanunu, ve ilgili yasal mevzuata uygun
olarak ve ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli
önlemler alınarak işlenmektedir.
11.KİŞİSEL VERİLERİN TOPLANMASI VE HUKUKİ SEBEPLERİ:
Kişisel verileriniz; sunduğumuz hizmetler, yukarıda
belirtilen kişisel veri işleme amaçları doğrultusunda; elektronik posta
kanallarıyla, , matbu formların düzenlenmesi, sözleşmeden kaynaklanan teslim,
hizmet ve sair yükümlülüklerin yerine getirilmesi, şirket hizmet işleyici,
özlük dosyalarının oluşturulması, sözleşmelerin düzenlenmesi, ifası, muhasebe,
finans, mali, hukuki işlem bilgilerinin işlenmesi suretiyle, tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla kişisel verileriniz işlenmekte ve toplanmaktadır.
Kişisel verileriniz ve özel nitelikli kişisel verileriniz; şirketimizin tabi
olduğu yasal düzenlemelere uygun olarak, ilgili kişinin açık rızasına dayalı
olarak işlenmektedir. Ayrıca, açık rıza aranmaksızın aşağıda yazılı hukuki
sebeplere bağlı olarak kişisel verileriniz işlenmektedir. Buna göre; kişisel
verileriniz,
▪ Kanunlarda açıkça öngörülmesi sebebiyle,
▪ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin
ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu
olması.
▪ Şirketimiz ile gerçek ve tüzel kişiler arasındaki
sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
▪ Kişisel verinin, ilgili kişinin kendisi tarafından
alenileştirilmiş olması,
▪ Bir hakkın tesisi, kullanılması veya korunması için veri
işlemenin zorunlu olması,
▪ İlgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin
zorunlu olması sebepleriyle, Kişisel Verilerin Korunması Kanununun 5. ve 6.
Maddeleri ile sınırlı olarak işlenmekte, toplanmakta ve aktarılmaktadır.
Kişisel verileriniz şirket faaliyetleri kapsamında ilgili mevzuatlarda yazılı
süre kadar muhafaza edilerek saklanmaktadır.
11.1.Kişisel Verilerin İşlenmesi
▪Kimlik Bilgileri (Ad-soyad, doğum tarihi,
doğduğu ülke, doğduğu şehir, cinsiyet, medeni durumu, TC kimlik kartı
bilgileri, SGK sicil numarası, baba adı, anne adı, nüfusa kayıtlı olduğu il ,
vergi kimlik no ve sizi tanımlayabileceğimiz diğer kimlik verileriniz)
▪İletişim bilgileri (Telefon numaralarınız,
iletişim adresi, elektronik posta adresiniz, ev adresi, işyeri adresi, izinde
bulunacağınız adres ve sair iletişim verileriniz, tarafımıza iletişime
geçtiğinizde elde edilen sair kişisel verileriniz.)
▪Özlük Bilgileri (Çalışanlar bakımından
doldurulan sözleşmeler üzerindeki kişisel bilgiler, eğitim, diploma bilgileri,
sertifika bilgisi, sosyal güvenlik sicil numarası bilgisi, genel sağlık
sigortası, özel sağlık sigorta bilgileri, SGK işe giriş, çıkış bildirgesi,
bakmakla yükümlü olduğu kişiler, eş, çocuk yakınlık bilgisi, aile bireylerinin
nüfus kayıt bilgileri, işin niteliğine göre alınan zimmet belgesi,
çalışma belgesi, istifa, fesih, kıdem ve ihbar tazminatı bordrosu, maaş bordro
bilgileri, disiplin soruşturması bilgileri, hizmet dökümü, özgeçmiş bilgileri,
izin bilgileri, personel performans değerlendirme raporları, meslek ve iş
kazası bilgileri, banka hesap bilgileri, IBAN numarası bilgisi iş sağlığı
ve güvenliği kapsamında alınan kişisel bilgiler, askerlik bilgisi, personel
devam kontrol sistemi, ilgili birimlere giriş çıkış işlemlerinin sağlanması
amacıyla personel kartları vasıtasıyla alınan kişisel bilgiler, iş başvuru
formunda yer alan bilgiler)
▪ Finans Bilgileri (Faturalandırma ve
ödeme bilgileri, banka hesap numarası, IBAN numarası, kredi kartı bilgileri,
SGK ve yetkili kurum ve kuruluşlara yapılacak bildirimler kapsamında alınan
finansal bilgiler, maaş bordrosu, masraf avans bilgileri, vergi kimlik numarası,
vergi dairesi bilgisi, fatura, sevk irsaliyeleri, teslim tesellüm belgeleri
üzerinde yer alan kişisel bilgiler, üçüncü kişiler ile yapılan sözleşme
eklerinde yer alan bilgiler)
▪ Hukuki İşlem Bilgileri (İlgili
kişiler ile olan hukuki irtibat ve sunulan hizmetler, hukuki uyuşmazlıklar
kapsamında mahkemeler, savcılıklar, arabulucular, hakem heyetleri, adli
makamlarla yapılan yazışmalardaki kişisel bilgiler, hukuki uyuşmazlık ve sair
durumlarda tutulan tutanaklarda, formlarda yer alan kişisel bilgiler,)
▪ Mesleki
deneyim bilgileri (Eğitim durum bilgisi, okul, diploma bilgileri,
çalışma hayatı, staj, seminer, meslek içi eğitim bilgileri, sertifikalar,
bildirilen formlardaki diğer bilgiler, unvan, görev bilgileri)
▪ Görsel ve İşitsel Kayıtlar (Şirket
faaliyetleri kapsamında düzenlenen sağlık raporları, belgeler üzerinde yer alan
fotoğraflarınız, iş başvuru formları, elektronik ve fiziki ortamlarda
doldurulan, basılı formlar, evrak ve resmi kimlik belgeleriniz üzerinde yer
alan fotoğraf bilgisi, videolar/kamera kayıtlarındaki görüntüleriniz)
▪ Fiziksel Mekân Güvenliği Bilgileri (Görüntü
alan kamera kayıt bilgileriniz, güvenlik çıkış defter bilgileri, tutulan
formlardaki bilgiler, araç plaka bilgileri)
▪ Şirket faaliyetleri kapsamında, yapılan iş sözleşmesi ve
şirketin meşru menfaatleri uyarınca, tanıtım, reklam ve bilgilendirme amaçlı
olarak, çalışanlara ait mesleki deneyim, bilgilendirme, özgeçmiş ve fotoğraf
bilgisi,
▪ Talep ve Şikayet Bilgisi (İlgili kişilerin, elektronik ve
fiziki ortamlardan toplanan bilgiler ve kayıtlar, internet ve online sistem
üzerinden gelen talep ve şikayetleri ile ilgili değerlendirme, yönetim sürecine
dair bilgiler)
▪ Ürün teslimat (sipariş edilen ürünlerle alakalı teslimat
bilgileri)
▪ Müşteri İşlem Bilgisi (Üyelik Bilgileri)
▪ Ceza Mahkûmiyeti Ve Güvenlik Tedbirlerine dair
bilgiler (Sabıka kaydı, hükümlülük, mahkumiyet bilgisi, adli durum bilgileri),
▪ Sağlık Bilgileri (İş göremezlik, istirahat raporu,
muayene, hasta tanı, teşhis doktor analiz ve yorumları, sağlık raporları, iş
başvuru formunda yazılı sağlık durum bilgileri, çalışanlar için sağlık
raporları, kişisel sağlık ve fiziksel engellilik durum bilgileri, sağlık kurulu
raporları, her türlü kişisel sağlık verileri)
olmak üzere veri sorumlusu olan şirketimiz tarafından,
Anayasa’nın 20. maddesine ve Kişisel Verileri Koruma Kanununun 4. Maddesi,
Kişisel Sağlık Verileri Hakkında Yönetmelik hükümlerine uygun olarak, yukarıda
yazılı amaç ve hukuki sebeplere istinaden kişisel verileriniz işlenmekte ve
korunmaktadır.
Hizmet alan Müşterilere veya Müşteri Çalışanlarına Ait
Kişisel Veriler Bakımından
Şirket işlemlerinin yapılması ve Şirket tarafından sunulan
hizmetlere ilişkin yasal bildirimlerin gerçekleştirilmesi ile Şirket içi
süreçlerin yürütülebilmesi amaçlarıyla; müşterilerin veya müşteri
çalışanlarının ad, soyad, TC kimlik numarası, imza, kişiyi tanımaya ve
kimliğini teşhis etmeye yönelik sair kişisel verileri,
Müşteri veya müşteri çalışanlarına ilişkin olarak yetkili
kurum ve kuruluşlara yapılması gereken kanuni bildirimlerin yerine getirilmesi
amacıyla kullanılan kişisel veriler,
İletişimin sağlanabilmesi ve ilgili iş süreçlerin
yürütülmesi amacıyla telefon, adres, e-posta adresi bilgileri, vergi dairesi,
vergi kimlik numarası bilgileri,
Ürün/mal teslimi yapılması ve denetimi, iş faaliyetlerinin
yürütülmesi amacıyla araç bilgisi, araç plaka bilgisi, araç sigorta bilgileri
Faturalama işlemlerinin yapılabilmesi amacıyla banka
bilgileri , sair finansal verileri ,teslimat için iletişim ve adres verilerini
gerek şirket içi işlemlerin gerekse sözleşmesel ilişkiler ve kanuni
yükümlülükler çerçevesinde sigorta şirketleri, kargı firmaları, banka, Sosyal
Güvenlik Kurumu, Gümrük ve Ticaret Bakanlığı ve bağlı kuruluşlarına yapılacak
bildirimlerin yerine getirilmesi,
İlgili kişiler tarafında herhangi bir şikayet, bildirim veya
soru yöneltilmesi halinde bunların takibinin sağlanabilmesi ve gerekli
süreçlerin yürütülebilmesi için yazılı yolla iletişime geçilmesi halinde ilgili
fiziki veya elektronik yazılı evraklar,
şirket tarafından işlenebilecektir.
Ziyaretçilere Ait Kişisel Veriler Bakımından
Şirket içi düzen ve güvenliğin sağlanabilmesi amacıyla
gerçekleştirilen kamera ile görüntüleme ve kayıt faaliyetleri çerçevesinde
şirketi ziyaret eden kişilerin görüntü kayıtları,
Şirket güvenliğinin sağlanması amacıyla otoparka giriş yapan
araçların kamera ile görüntüleyerek kaydının yapılması ve plaka verilerinin
kaydedilmesi.
Çalışanlara Ait Kişisel Veriler Bakımından
Şirket içi düzen ve güvenliğin sağlanabilmesi amacıyla
kamera ile görüntüleme kaydı yapılması,
Şirket içerisinde iş akışları kapsamında ve ayrıca
performans değerlendirmelerinin yapılabilmesi amacıyla ilgili programların
kullanılması, işe giriş ve çıkış saatlerinin kayıt altına alınması,
İş sağlığı ve güvenliğine ilişkin mevzuat gereği sağlık
taramaları yapılması, iş kazası halinde kanuni bildirimlerin yerine getirilmesi
ile kamu sağlığının korunması amacıyla gerekli tetkik ve takiplerin
yapılabilmesi,
İlgili mevzuat ve iş akdi gereği doğmuş olan borç ve
yükümlülüklerin yerine getirilebilmesi,
İlgili mevzuat kapsamında kamu kurum ve kuruluşlarına ve
yetkili tüm kamu/özel tüzel kişilerine bildirimlerin yapılabilmesi ile
denetimlerde gerekli belgelerin sağlanabilmesi amaç ve yöntemleri doğrultusunda
kimlik bilgisi, özlük bilgisi, banka hesap bilgisi, iletişim bilgisi, irtibat
bilgisi, sağlık bilgisi ve sair kişisel verileriniz işlenebilmektedir.
12.KİŞİSEL VERİ SAKLAMA VE İMHASINA İLİŞKİN ESASLAR
Şirketimiz tarafından oluşturulan bu politika ile
çalışanlarımız, müşteriler, müşteri çalışanları, tedarikçiler, hizmet
sağlayıcıları ile yönetici ve çalışanları, iş/çözüm ortakları, şirket
ortakları, işyeri hekimleri, irtibatlı olduğumuz kamu kurum ve kuruluşları ile
özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel
veriler; ilgili mevzuata, usul ve yasaya uygun olarak saklanır ve imha edilir.
Saklama ve imhaya ilişkin ayrıntılı açıklamalar aşağıda belirlenmiştir.
12.1.Kişisel Verilerin Saklanması
6698 Sayılı Yasanın 3.maddesinde kişisel verilerin işlenmesi
tanımlanmış, 4. madde işlenen kişisel verinin işlendikleri amaçla bağlantılı,
sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç
için gerekli süre kadar muhafaza edilmesi gerektiği düzenlenmiş olup, 6698
sayılı yasanın 5. ve 6. maddelerde kişisel verilerin işleme şartları
sayılmıştır. Buna ilişkin ayrıntılı açıklamalar yukarıda işbu politika metninde
yazılı olup, şirket faaliyetleri kapsamında kişisel veriler, ilgili mevzuatlarda
öngörülen veya işleme amaçlarımıza uygun olarak gerekli süre kadar idari ve
teknik tedbirler alınmak suretiyle saklanmaktadır. İlgili kanun hükümlerine
uygun olarak işlenmiş olmasına rağmen, saklama süresi dolan, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya
ilgili kişinin talebi üzerine mevzuata uygun olarak kişisel veriler silinir,
yok edilir veya imha edilir. Yapılan işlemler, Kişisel Sağlık Verileri Hakkında
Yönetmelik ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik ve ilgili yasal düzenlemelerde belirtilen
sürelere, usul ve esaslara uygun olarak yerine getirilmektedir. Kişisel
verilerin silinmesi, imha edilmesine dair tüm işlemler kayıt altına alınarak,
gerekli yasal yükümlülüklere uygun olarak saklanır.
12.2.Kişisel Verileri Saklamayı Gerektiren Hukuki
Sebepler
İşbu politika ile şirketimiz faaliyetleri kapsamında işlenen
kişisel veriler, ilgili mevzuatlarda yazılı süre kadar muhafaza edilerek
saklanmaktadır. Yukarıda sayılan ve şirket faaliyetleri kapsamında kişilerin
tabi oldukları kanunlarda öngörülen süreler ve ikincil düzenlemeler
çerçevesinde yazılı saklama süreleri ve kanunlarda öngörülen suçların tabi
olduğu zamanaşımı süreleri kadar kişisel veriler saklanmaktadır. Şirketimizin
faaliyetleri kapsamında tabi olduğu yasal mevzuatta öngörülen zamanaşımı
süreleri ile şirketin hukuki irtibat içerisinde olduğu üçüncü kişiler ile olan
veya oluşabilecek uyuşmazlıklar, şirket kurumsal hafızası ve ticari iş ve
faaliyetleri dikkate alınarak, kanunlarda öngörülen süreler dışında, şirketin
meşru menfaati ve ilgili veri sahipleri ile yapmış olduğu veya yapacağı
sözleşmelerin kurulması ve ifa süreçleri dikkate alınarak, kişisel verilerin
saklama ve imha süreleri kurumsal karar olarak işbu politika ile
belirlenmiştir.
12.3.Kişisel Verileri Saklamayı Gerektiren İşleme
Amaçları
Şirket, işlemekte olduğu kişisel verileri aşağıdaki
amaçlar doğrultusunda, şirket faaliyetleri ile sınırlı olmak üzere ilgili
mevzuata uygun olarak saklamaktadır. Buna göre; kişisel verileri saklamayı
gerektiren işleme amaçları aşağıda maddeler halinde belirlenmiştir.
▪ Tabi olduğumuz ilgili mevzuat uyarınca edindiğimiz kişisel
verileri Sosyal Güvenlik Kurumu ve ilgili diğer kamu kurum ve kuruluşları ile
paylaşmak, kurumların taleplerine yanıt vermek, ilgili kamu kurum ve
kuruluşlarına gerekli bildirimlerde bulunmak, yasal yükümlülükleri yerine
getirmek,
▪ Sunmuş olduğumuz hizmet ve şirket faaliyetleri kapsamında
mevzuat gereği saklanması gereken verilerin muhafaza edilmesini sağlamak,
▪ Kimliğinizi teyit etmek, sunulan hizmet kapsamında
anlaşmalı kurumlarla hukuki irtibatınızın teyit edilmesi, faturalandırma ve
finansal mutabakatın sağlanması, ilgili kurum ve kuruluşlara mevzuattan
kaynaklanan bildirimlerde bulunmak,
▪ Talep ve şikayet süreçlerinin takibi, sunulan hizmetlerin
gereği olan inceleme ve değerlendirmelerin yapılması,
▪ Şirket hizmetlerini geliştirmek, kurumsal gelişim
faaliyetlerinin sürdürülmesi, pazarlama faaliyetlerinin sürdürülmesi, şirketin
finans ve muhasebe, idari, hukuki, teknik iş süreçlerini sürdürmek, risk
yönetimi ve kalite geliştirme süreçlerinin yerine getirilmesi,
▪ İnsan kaynakları süreçlerinin planlanması ve icra
edilmesi, çalışma başvuru süreçlerinin yerine getirilmesi, çalışanlar
bakımından özlük dosyalarının oluşturulması, mali yükümlülüklerin yerine
getirilmesi, şirket ücret politikasının belirlenmesi,
▪ Şirketimiz, müşteriler, müşteri çalışanları, tedarikçiler,
hizmet sağlayıcıları, çalışanlar ve hukuki ilişki içinde bulunduğu danışmanlar,
ilgili kurum ve kuruluşlar, üçüncü kişiler arasında yapılan veya yapılacak
sözleşmelerin kurulması ve ifasının sağlanması,
▪ Şirketin üçüncü kişilerle olan hukuki uyuşmazlıklarda
delil olarak ispat yükümlülüğü,
▪ Şirketimiz ile ilgili kişi ve kuruluşlar arasındaki
iletişimi sağlamak, fiziksel formları doldurmanız için gerekli süreçlerin
sürdürülmesi, ilgili kişilerin işlem güvenliğinin sağlanması,
▪ Düzenleyici ve
denetleyici resmi kurumlara, özel hukuk tüzel kişilerine gerekli bilgilerin
sağlanması,
▪ Sunulan hizmetler ile ilgili faturalandırma, ödeme
ve teslim işlemlerinin yapılmasını sağlamak;
▪ Kamera kayıt sistemi vasıtasıyla, hizmet sağlanan
müşterilerin, ziyaretçilerin, çalışanların ve ilgili üçüncü kişilerin
güvenliğinin takibi, hukuki, teknik ve ticari iş güvenliğinin sağlanması,
şirket bina ve eklentileri ile çevresinin fiziksel güvenliğinin sağlanması,
▪ Çalışanlar ile yapılan iş sözleşmesi, şirket menfaati
kapsamında, personel devam kontrol sistemi vasıtasıyla performans
değerlendirme, işe devam ve kontrolün sağlanması, şirket bina ve eklentilerinin
giriş, çıkışlarının kontrolünün sağlanması,
▪ Veri güvenliğine ilişkin önlemler kapsamında gerekli tüm
teknik ve idari tedbirlerin alınması,
▪ Yargı organlarının ve/veya idari makamların istediği bilgi
ve belge taleplerinin yerine getirilmesi,
▪ Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,
▪ Finans Ve Muhasebe İşlerinin Yürütülmesi,
▪ Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı
Yükümlülüklerin Yerine Getirilmesi,
▪ Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin
Yürütülmesi,
▪ Müşteri/Üye deneyiminin iyileştirilmesi,
▪ İşlenen verilerin güncel ve doğru olmasının
sağlanması amacıyla gerekli düzenlemelerin yapılması ve sayılı tüm bu süreçlere
ilişkin faaliyetleri gerçekleştirmek amacıyla kullanılmaktadır.
▪ Reklam ve pazarlama faaliyetlerinin yürütülmesi
Amaçlarıyla, kişisel verileriniz Kanun’un 5. ve 6.
maddelerine uygun olarak belirlenen şartlar ve amaçlar doğrultusunda
işlenmektedir. Kişisel veriler, şirketimizin faaliyetleri dışında başka bir
amaçla kullanılmamaktadır.
12.4.Kişisel Verilerin İmhasını Gerektiren Sebepler
Kişisel veriler; aşağıda belirtilen sebeplerle ilgili
kişinin talebi üzerine, başvuru formunu doldurmak suretiyle, şirket tarafından
politika, yasa ve yönetmelikte öngörülen usul ve esaslara uygun olarak silinir,
yok edilir veya anonim hale getirilir. Buna göre;
▪ Şirket tarafından kişisel verilerin işlenmesini veya
saklanmasını gerektiren amacın ortadan kalkması halinde.
▪ Kişisel verilerin işlenmesine esas olan ilgili
mevzuat hükümlerinin değiştirilmesi veya yürürlükten kalkması.
▪ Şirket tarafından kişisel verileri işlemenin sadece açık
rıza şartına bağlı olarak yapıldığı hallerde, ilgili kişinin açık rızasını geri
alması,
▪ 6698 sayılı KVK Kanununun 11. maddesi uyarınca
ilgili kişinin şirkete başvuru hakları kapsamında kişisel verilerinin silinmesi
ve yok edilmesine ilişkin yaptığı başvurunun KVK Kurumunca kabul edilmesi,
▪ KVK Kurumunun, ilgili kişi tarafından kişisel verilerinin
silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine
yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya 6698 sayılı
Kanunda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kuruluna
şikâyette bulunması ve bu talebin KVK Kurulunca uygun bulunması halinde.
▪ İlgili yasal düzenleme uyarınca, kişisel verilerin
saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri
saklamayı gerektirecek herhangi bir sebebin bulunmaması.
13. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN ESASLAR
Şirketimiz tarafından ilgili kişilere ait kişisel veriler
6698 sayılı kişisel verilerin korunması kanunu “Veri aktarılması” başlıklı
8.maddesine uygun olarak işlenmektedir. Buna göre 3. Kişilere aktarılacak
kişisel veriler için 6698 sayılı Kanunun 5. Ve 6. Maddesindeki işleme
şartlarının bulunması durumunda 3. Kişilere aktarım yapılmaktadır. Kanunun 5.
Ve 6. Maddesindeki işleme şartlarının varlığının bulunmaması durumunda ise
ilgili kişilerin açık rızası alınarak 3. Kişilere veri aktarımı yapılmakladır.
Şirketimiz içerisinde ilgili departmanlar arasında
yapılan veri aktarımı KVKK 8.maddesi anlamında veri aktarımı sayılmamakta
olup herhangi bir şarta bağlı değildir.
Kanunun öngördüğü şartlarda kişisel veri aktarımı sayılması için şirketimiz tarafından başkaca bir şirkete veyahut şirket bünyesinde çalışmayan 3. Kişilere veri aktarımı yapılmış olması gerekmektedir. Şirketimiz tarafından yurtdışı tabanlı (Gmail,yahoo vs..) gibi elektronik posta adreslerinden veri aktarımı yapılmamaktadır. Kişisel veri aktarımı yapılmasını gerektirecek durumların ortaya çıkması durumunda yerli veri tabanlı elektronik posta adresi kullanılmaktadır. Şirketimiz tarafından dosyaların tutulduğu, saklandığı, yedeklendiği programlar yerli veri tabanlı sistemler olup şirketimiz tarafından yurtdışına veri aktarımı sağlanmamasına azami özen gösterilmektedir. Şirketimiz tarafından yurtdışına veri aktarımı olmamaktadır.
14.KİŞİSEL VERİLERİ İŞLEME, SAKLAMA VE İMHASINA İLİŞKİN
TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin işlenmesinde Kanunun 4.maddesinde yer alan
genel ilkeler başta olmak üzere, kanunda yer alan tüm esaslara riayet
edilmektedir. Şirket çalışanları tarafından; banko, masa gibi bölümlerde
yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda
hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini,
öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki,
teknik ve idari tedbirler alınmaktadır.
Bu politika ile belirlenen düzenlemeler kapsamında, kişisel
verilerin güvenli ve mevzuata uygun bir şekilde saklanması, hukuka aykırı
olarak işlenmesinin, erişilmesinin önlenmesi ve veri sızıntılarının önlenmesi
ile kişisel verilerin hukuka uygun olarak imha edilmesi için, 6698 sayılı KVK
Yasasının 6. maddesinde düzenlenen Özel Nitelikli Kişisel Verilerin 6/4.
maddesine göre “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul
tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü ile aynı
yasanın 12. maddesinde belirtilen Kişisel Verilerin güvenliğini sağlamak
amacıyla Kişisel Verileri Koruma Kurulu tarafından belirlenen ve ilan edilen
gerekli yeterli önlemler muvacehesinde veri sorumlusu olarak şirket tarafından
aşağıda yazılı teknik ve idari tedbirler alınmaktadır.
14.1.Teknik Tedbirler:
Kişisel Verileri Koruma Kurumu tarafından alınması gereken
teknik tedbirler https://www.kvkk.gov.tr adresinden duyurulmuş olup, Kişisel
Verileri Koruma Kurumunca ilan edilen teknik tedbirler ile ilgili, veri
sorumlusu olarak şirket tarafından gerekli tedbirler alınmaktadır.
14.2 İdari Tedbirler:
Şirket adresimize noter veyahut iadeli taahhütlü mektupla ya
da şirket mail adresimiz üzerinden herkes, veri sorumlusu olan şirketimize
başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları
kullanabilecektir. Veri sorumlusu olan şirketimize başvuruda, Kanunun 13.
maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
hükümlerine, aydınlatma yükümlülüğünün yerine getirilmesinde ise Kanunun 10.
maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve
Esaslar Hakkında Tebliğ hükümlerine riayet edilmektedir. Kişisel Verileri
Koruma Kurulu tarafından ilan edilen idari tedbirler ile ilgili, veri sorumlusu
olarak şirket tarafından gerekli idari tedbirler alınmıştır. Şirket tarafından
6698 sayılı Kişisel Verilerin Korunması Kanununa uyum kapsamında kurumsal
olarak gerekli kararları almış, yasa kapsamındaki yükümlülükleri yerine
getirmiş, yayımlanması gereken politikaları oluşturarak ilan etmiştir.
Kişisel veri koruma, işleme, saklama ve imha politikası belirlenmiş, şirket içerisinde veri irtibat kişisi ve KVK komitesi tarafından uygulanması sağlanmaktadır. Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması amacıyla gerekli farkındalık çalışmaları başlatılmıştır. KVK Veri İrtibat Kişisi ve KVK komitesi belirlenmiş, yetki, görev ve sorumlulukları belirlenmiştir. Kişisel verilere ilişkin saklama ve imha gereklerinin yerine getirilmesine ilişkin çalışmalar başlatılmıştır. KVK Kanununa uyumun sağlanması amacıyla gerekli aksiyonlar alınmış, şirket sözleşmeleri ve kişisel veri barındıran metinler taranarak KVKK’ ya uyumlu hale getirilmektedir.
15.KİŞİSEL VERİLERİN İMHA TEKNİKLERİNE DAİR AÇIKLAMALAR
Şirketimizce işlenmiş olan kişisel veriler ile ilgili yasal
mevzuatta öngörülen süre veya işlendikleri amaç için öngörülen gerekli saklama
süresinin sonunda kişisel veriler imha edilir. İmha işlemi, şirket yetkili
birimlerince kendiliğinden veya ilgili kişisel veri sahibinin şirketimize
başvurusu üzerine, 6698 sayılı Kişisel Verileri Koruma Kanunu ve ilgili mevzuat
hükümlerine uygun olarak aşağıda belirtilen yöntem ve tekniklerle
yapılmaktadır.
15.1.Kişisel Verilerin Silinmesi
▪ Veri Kayıt Ortamı Olan Sunucuda Yer Alan Kişisel Veriler:
Sunucularda yer alan kişisel verilerden, saklanmasını gerektiren süre sona
erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi
kaldırılarak silme işlemi yapılır.
▪ Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik
ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler,
veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
▪ Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel
ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler
için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri
okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de
uygulanır.
▪ Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı
saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre
sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi
sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli
ortamlarda saklanır.
15.2.Kişisel Verilerin Yok Edilmesi
▪ Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında
yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt
kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
▪ Optik -Manyetik Medyada Yer Alan Kişisel Veriler: Optik
medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren
süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi
fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir
cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle
üzerindeki veriler okunamaz hale getirilir.
15.3.Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin
başka 3.kişilere ait verilerle eşleştirilmesinde dahi, ilgili kişinin kimliği
belirli veya belirlenebilir olmaktan çıkarılarak, bir gerçek kişiyle hiçbir
surette irtibatlandırılamayacak hale getirilmesidir. Kişisel verilerin anonim
hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü
kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle
eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun
tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir
gerçek kişiyle irtibatlandırılamayacak / ilişkilendirilemeyecek hale
getirilmesi şeklinde olmaktadır.
16.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
Şirketin, işbu politika ve ilgili yasal mevzuat kapsamında
işlediği kişisel verileri, işlenen verinin kategorisine göre, tabi olduğu
ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca
KVK Kanunu ile bu politika ile belirlenen usul ve esaslara uygun olarak
yapılmaktadır. Şirketin meşru menfaati ve ilgili veri sahibi ile yapılan,
yapılacak sözleşmelerin kurulması ve ifası süreçleri, açılabilecek dava ve
hukuki işlemler dikkate alınarak, kişisel verilerin saklama ve imha süreleri belirlenmiştir.
Şirketimiz faaliyetleri kapsamında tutulan kişisel veriler, işlenen verilerin
niteliğine göre ilgili mevzuatta belirtilen veya kişisel verinin işlendiği amaç
için gerekli olan süre kadar muhafaza etmektedir. İşlenen kişisel veriler ile
ilgili olarak öncelikle, ilgili mevzuatta kişisel verilerin saklanması için bir
süre öngörülüp öngörülmediği tespit edilerek, belirtilen süreye uygun olarak
kişisel veriler saklanmakta, herhangi bir sürenin öngörülmemiş olması halinde
ise işlenen kişisel verilerin işlendikleri amaç için gerekli olan ve
şirketimizce uygulanmakta olan politikalara uygun olarak belirlenen süre kadar
saklamaktadır.
17.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
Şirketimiz; 6698 sayılı Kişisel Verilerin Korunması Kanunu
(“KVKK”)’na uygun olarak, kişisel verilerinizin işlenmesine, korunmasına azami
özen göstermektedir. Veri sorumlusu olarak; kişisel verilerin hukuka aykırı
olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini
önlemek, kişisel verilerin muhafazasını sağlamak amacıyla gerekli her türlü
teknik ve idari tedbirler alınmıştır. Kanunun 10. maddesi uyarınca; hizmet alan
müşteriler, müşteri çalışanları, ziyaretçiler ve çalışanlarımız, tedarikçiler,
hizmet sağlayıcıları ile yönetici ve çalışanları, iş/çözüm ortakları, işyeri
hekimleri, şirket ortakları, irtibatlı olduğumuz kamu kurum ve kuruluşları ile
özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel
veriler kapsayacak şekilde oluşturulan politikalar ve aydınlatma metni ile
sizleri bilgilendiriyoruz. Söz konusu aydınlatma yükümlülüğü gereğince, kişisel
veri sahiplerine bildirilmesi gereken bilgiler kanunda sayıldığı şekilde
aşağıda belirtilmiştir:
1.Veri sorumlusunun ve varsa temsilcisinin kimliği,
2.Kişisel verilerin hangi amaçla işleneceği,
3.İşlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği,
4.Kişisel veri toplamanın yöntemi ve hukuki sebebi, 5.KVK
Kanunu’nun 11. maddesinde sayılan başvuru ve diğer haklar.
18.KİŞİSEL VERİ SAHİBİNİN HAKLARI ( BAŞVURU HAKKI )
6698 sayılı Kişisel Verileri Koruma Kanununun “ilgili
kişinin haklarını düzenleyen” 11 inci maddesi kapsamında, Veri Sorumlusuna
Başvuru Usul ve Esasları Hakkında Tebliğe göre veri sorumlusu olarak
şirketimize http://www.capriswing.com/ adlı
internet sitesinde yayınlanan e-posta adresine mail atarak veya adresimize
noter kanalıyla ya da iadeli taahhütlü mektupla başvuru yapabilirsiniz.
18.1.Kişisel Veri Sahibinin Başvuru Hakkı
Kanunun 11. maddesi uyarıca; herkes, veri sorumlusuna
başvurarak kendisiyle ilgili olarak;
1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep
etme,
3. Kişisel verilerin işlenme amacını ve bunların
amacına uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içinde veya yurt dışında kişisel verilerin
aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması
hâlinde bunların düzeltilmesini isteme,
6. KVKK’ nın 7. maddesinde öngörülen şartlar
çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
7. Kişisel verilerin düzeltilmesi, silinmesi, yok edilmesi
halinde bu işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere de
bildirilmesini isteme,
8. İşlenen verilerin münhasıran otomatik sistemler
vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun
ortaya çıkmasına itiraz etme,
9. Kişisel verilerin kanuna aykırı olarak işlenmesi
sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına
sahiptir.
18.2.Veri Sorumlusunun Başvurulara Cevap Vermesi usulü,
süresi ve esasları
6698 sayılı KVK Kanunu 13/1. maddesi uyarınca, yukarıda belirtilen haklarınızı kullanmak amacıyla yapacağınız başvurularınızı yazılı olarak veya KVK Kurumunun belirlediği yukarıda yazılı yöntemlerle şirketimize iletmeniz gerekmektedir. Şirketimiz, başvuruda yer alan taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret talep edilecektir. Bu kapsamda ilgili kişinin başvurusuna yazılı olarak cevap verilmesi halinde, on sayfaya kadar ücret alınmayacak, on sayfanın üzerindeki her bir sayfa için 1 TL işlem ücreti alınacaktır. Başvuruya karşı verilecek cevabın CD, flaş bellek gibi elektronik kayıt ortamında verilmesi halinde şirketimiz tarafından talep edilebilecek ücret kayıt ortamının gerektirdiği maliyet miktarını geçmeyecektir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
18.3.Kişisel Veri Sahibinin Kurula Şikâyette
Bulunması Hakkı
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması
veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri
sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru
tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Kanunun 13.
maddesi uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
19.KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ
SÜREMEYECEĞİ HALLER
6698 Sayılı KVK Kanunu’nun 28/1. maddesi gereğince, aşağıda
yazılı hususlar kanunun uygulama kapsamı dışında ( istisnalar ) tutulmuş olup,
kişisel veri sahipleri yukarıda 16. maddede sayılan haklarını ileri süremezler.
▪ Kişisel verilerin, üçüncü kişilere verilmemek ve
veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler
tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili
faaliyetler kapsamında işlenmesi.
▪ Kişisel verilerin resmi istatistik ile anonim hâle
getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla
işlenmesi.
▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya
kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat,
tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında
işlenmesi.
▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak
kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen
önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
▪ Kişisel verilerin soruşturma, kovuşturma, yargılama veya
infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri
tarafından işlenmesi. 6698 Sayılı KVK Kanunu’nun 28/2. maddesi gereğince, bu
kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri
sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10.maddesi, zararın
giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen
11.maddesi ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16.
maddesinde belirtilen haklar bakımından aşağıdaki hâllerde uygulanmaz:
▪ Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç
soruşturması için gerekli olması. ▪ İlgili kişinin kendisi tarafından
alenileştirilmiş kişisel verilerin işlenmesi.
▪ Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak
görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki
meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile
disiplin soruşturma veya kovuşturması için gerekli olması.
▪ Kişisel veri işlemenin bütçe, vergi ve mali konulara
ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli
olması.
20.KİŞİSEL VERİLERİN PERİYODİK İMHA VE DENETİM SÜRESİ
Kişisel verileri resen silme, yok etme veya anonim
hale getirme süreleri Yönetmeliğin 11. maddesinde aşağıda yazılı olduğu şekilde
düzenlenmiştir. Buna göre; kişisel veri saklama ve imha politikası hazırlamış
olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme
yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde,
kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın
gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri
saklama ve imha politikasında belirlenir. Buna göre şirketimizde imha
periyotları 1 Ocak ve 1 Haziran olarak kararlaştırılmıştır.
21.İLGİLİ KİŞİNİN BAŞVURUSU ÜZERİNE SİLME VE YOK
ETME SÜRELERİ
İlgili kişinin başvurusu üzerine kişisel verinin silinmesi,
yok edilmesi süreleri Yönetmeliğin 12. maddesinde aşağıda yazılı olduğu şekilde
düzenlenmiştir. Buna göre; kişisel verileri işleme şartlarının tamamı ortadan
kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya
anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün
içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme
şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü
kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü
kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin
eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep
veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi
açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde
yazılı olarak ya da elektronik ortamda bildirilir.
22.POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ
Şirket tarafından hazırlanan işbu politika, ıslak imzalı
olarak (basılı kâğıt) yayımlanır. Basılı kâğıt nüshası veri irtibat
kişisi tarafından KVKK dosyasında saklanır. Oluşturulan bu politika, belirlenen
veri irtibat kişisi/KVK komitesi tarafından yetki ve sorumlulukları kapsamında,
yayınlandığı tarihten itibaren, her yılın sonunda yılda bir olmak üzere,
ihtiyaç duyuldukça gözden geçirilir ve gerekli olduğu şekilde ilgili bölümler
güncellenecektir. Ayrıca işbu politika şirketin internet sitesinde
de yayınlanmaktadır.
23.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Yukarıda maddeler halinde yazılı işbu politika,
şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş
kabul edilecektir. Veri sorumlusunun onayı ve kişisel veri irtibat kişisinin
kararı ile politikanın yürürlükten kaldırılmasına karar verilmesi halinde,
politikanın ıslak imzalı eski nüshaları veri irtibat kişisi tarafından iptal
edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl
süre ile kişisel veri irtibat kişisi tarafından ilgili birimde saklanır.