KVKK POLİTİKASI
YUDUM TOPRAK MAHSÜLLERİ İTHALAT İHRACAT SANAYİ TİCARET
LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİN
KORUNMASI VE İŞLENMESİ POLİTİKASI
Kişisel verilerin korunması, YUDUM TOPRAK MAHSÜLLERİ İTHALAT İHRACAT
SANAYİ TİCARET LİMİTED ŞİRKETİ’nin (“Şirket”) en önemli öncelikleri
arasında yer almaktadır. Bu konunun en önemli kısmını ise işbu Politika ile
yönetilen, çalışan adaylarımızın, şirket hissedarlarının, şirket
yetkililerinin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin
korunması ve işlenmesi oluşturmaktadır.
T.C. Anayasası’na göre, herkes,
kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.
Anayasa ile güvence altına alınan bir hak olan kişisel verilerin korunması
konusunda şirket, işbu Politika ile yönetilen; çalışan adaylarının, şirket
hissedarlarının, şirket yetkililerinin, ziyaretçilerinin, iş birliği içinde
olduğu kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü
kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir
Şirket politikası haline getirmektedir
Bu kapsamda, yasal mevzuat
çerçevesinde işlenen kişisel verilerin korunması için şirket tarafından gereken
idari ve teknik tedbirler alınmaktadır.
Bu Politikada kişisel verilerin
işlenmesinde şirketin benimsediği temel ilkeler şunlardır;
●
Kişisel verileri hukuka
ve dürüstlük kurallarına uygun işleme,
●
Kişisel verileri doğru
ve gerektiğinde güncel tutma,
●
Kişisel verileri
belirli, açık ve meşru amaçlar için işleme,
●
Kişisel verileri
işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
●
Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç
için gerekli olan süre kadar muhafaza etme,
●
Kişisel veri sahiplerini
aydınlatma ve bilgilendirme,
●
Kişisel veri
sahiplerinin haklarını kullanması için gerekli sistemi kurma,
●
Kişisel verilerin
muhafazasında gerekli tedbirleri alma,
●
Kişisel verilerin işleme amacının gereklilikleri doğrultusunda
üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine
uygun davranma,
●
Özel nitelikli kişisel
verilerin işlenmesine ve korunmasına gerekli hassasiyeti göstermek.
MADDE 1:
POLİTİKA’NIN AMACI
Politikanın temel amacı, şirket
tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve
bu kapsamda müşterilerimiz, çalışanlarımız, çalışan adaylarımız, şirket
hissedarlarımız, şirket yetkililerimiz, ziyaretçilerimiz, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri
ve üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından
işlenen kişileri bilgilendirilerek şeffaflık ve güveni sağlamaktır.
MADDE 2:
İÇERİK VE TANIMLAR
Bu Politika; çalışanlarımızın,
çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin,
ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde
yer alan kişisel veri sahipleri gruplarına ilişkin işbu Politikanın uygulama
kapsamı Politikanın tamamı olabileceği gibi; yalnızca bir kısmı da olabilir.
Bu politika metninde yer alan
kavramların tanımları ise şöyledir:
Alıcı
grubu :
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisi.
Açık rıza :
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza
Anonim
Hale Getirme :
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesi
Çalışan : Şirket
personeli
Elektronik
ortam :
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği,
değiştirilebildiği ve yazılabildiği ortamlar
Elektronik
olmayan ortam :
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer
ortamlar
Hizmet
sağlayıcı :
Kurum ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel
kişi
İlgili
kişi :
Kişisel verisi işlenen gerçek kişi
İlgili
kullanıcı :Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu
organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat
doğrultusunda kişisel verileri işleyen kişiler
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesi
Kanun :
6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kayıt
ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen
kişisel verilerin bulunduğu her türlü ortam
Kişisel
veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin
her türlü bilgi
Kişisel
veri işleme envanteri :Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel
verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı
grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel
verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme
süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri
güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel
verilerin işlenmesi :
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem
Kurul : Kişisel Verileri Koruma Kurulu
Özel
nitelikli kişisel veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi
inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya
da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Periyodik
imha : Kanunda yer alan kişisel verilerin işlenme şartlarının
tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha
politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek
silme, yok etme veya anonim hale getirme işlemi
Politika : Kişisel
Verileri Saklama ve İmha Politikası
Şirket :
YUDUM TOPRAK MAHSÜLLERİ İTHALAT İHRACAT SANAYİ TİCARET LİMİTED ŞİRKETİ
Veri
işleyen :Veri
sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri
işleyen gerçek veya tüzel kişi
Veri kayıt
sistemi :
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemi
Veri
sorumlusu :Kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu
gerçek veya tüzel kişi
Veri
sorumluları sicil bilgi sistemi : Veri sorumlularının Sicile başvuruda ve
Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden
erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
VERBİS :
Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik :
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
MADDE 3:
POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve
korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle
uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında
uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama
alanı bulacağını kabul etmektedir.
Politika, ilgili mevzuat tarafından
ortaya konulan kuralların Şirket uygulamaları kapsamında somutlaştırılarak
düzenlenmesinden oluşturulmuştur.
MADDE 4: POLİTİKA’NIN YÜRÜRLÜĞÜ
Şirketimiz tarafından düzenlenen bu
Politika, internet sitemizde yayımlandığı gün yürürlüğe girer. Politikada
yenilik ya da değişiklik olursa yürürlük tarihi güncellenecektir.
Politika Şirketimizin internet sitesinde yayımlanır ve
kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
MADDE:5
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz, KVKK’ nın 12. Maddesi uyarınca,
işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını
sağlamak için uygun güvenliği sağlamak için gereken idari, teknik ve hukuki tüm
tedbirleri almakta, bu kapsamda gereken tüm denetimleri sağlamaktadır.
MADDE 6: KİŞİSEL VERİLERİN
GÜVENLİĞİNİN SAĞLANMASI
6.1 Kişisel Verilerin Hukuka Uygun
İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
Şirketimiz, kişisel verilerin hukuka
uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine
göre teknik ve idari tedbirler almaktadır.
6.1.1 Kişisel
Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
Şirketimiz tarafından kişisel
verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik
tedbirler aşağıda sıralanmaktadır:
.
a. Alınan teknik önlemler
periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
6.1.2
Kişisel Verilerin Hukuka Uygun İşlenmesini
Sağlamak için Alınan İdari Tedbirler
Şirketimiz tarafından kişisel
verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler
aşağıda sıralanmaktadır:
- Çalışanlar,
kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun
olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
b.
Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş
birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş
birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri
işleme faaliyetleri ortaya konulmaktadır.
- Şirketimizin
iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu
faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel veri işleme şartlarına
uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir
iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.
- İş
birimlerimiz belirlenen hukuksal uyum gerekliliklerinin sağlanması için
ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama
kuralları belirlenmekte; bu hususların denetimini ve uygulamanın
sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar
ve eğitimler yoluyla hayata geçirilmektedir.
e.
Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten
sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar
dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü
getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta
ve denetimler yürütülmektedir.
6.2
Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve
İdari Tedbirler
Şirketimiz, kişisel verilerin
tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını
veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak
verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve
idari tedbirler almaktadır.
6.2.1
Kişisel Verilerin Hukuka Aykırı Erişimini
Engellemek için Alınan Teknik Tedbirler
Şirketimiz tarafından kişisel
verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik
tedbirler aşağıda sıralanmaktadır:
a.Virüs koruma
sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar
kurulmaktadır.
6.2.2
Kişisel Verilerin Hukuka Aykırı Erişimini
Engellemek için Alınan İdari Tedbirler
Şirketimiz tarafından kişisel
verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari
tedbirler aşağıda sıralanmaktadır:
a.
Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için
alınacak teknik tedbirler konusunda eğitilmektedir.
b. İş birimi bazlı hukuksal
uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve
yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
c. Çalışanlar, öğrendikleri
kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı
ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden
ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu
doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
d. Şirketimiz tarafından
kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen
sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin
korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler
eklenmektedir.
6.3
Kişisel Verilerin Güvenli Ortamlarda Saklanması
Şirketimiz, kişisel verilerin
güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini,
kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama
maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
6.3.1
Kişisel Verilerin Güvenli Ortamlarda Saklanması
için Alınan Teknik Tedbirler
Şirketimiz tarafından kişisel
verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler
aşağıda sıralanmaktadır:
- Kişisel verilerin güvenli
ortamlarda saklanması için teknolojik gelişmelere uygun sistemler
kullanılmaktadır.
6.3.2
Kişisel Verilerin Güvenli Ortamlarda Saklanması
için Alınan İdari Tedbirler
Şirketimiz tarafından kişisel
verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler
aşağıda sıralanmaktadır:
a. Çalışanlar, kişisel
verilerin güvenli bir biçimde saklanmasını sağlamak konusunda
eğitilmektedirler.
b.
Şirketimiz tarafından kişisel verilerin saklanması konusunda
teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel
verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen
sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin
korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer
verilmektedir.
6.4
Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirketimiz, KVKK’ nın 12. maddesine
uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya
yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi kapsamında konu ile
ilgili birime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli
faaliyetler yürütülmektedir.
6.5
Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Şirketimiz, KVKK’ nın 12. maddesine
uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri
sahibine ve KVK Kurulu’na bildirilmesini sağlayacaktır.
KVK Kurulu tarafından gerek
görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir
yöntemle ilan edilebilecektir.
MADDE: 7 VERİ SAHİBİNİN HAKLARININ
GÖZETİLMESİ; BU HAKLARI ŞİRKETİMİZE İLETECEĞİ KANALLARIN YARATILMASI VE VERİ
SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRMESİ
Şirketimiz, kişisel veri
sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken
bilgilendirmenin yapılması için KVKK’ nın 13. maddesine uygun olarak gerekli
kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri aşağıda
sıralanan haklarına ilişkin taleplerini yazılı olarak Şirketimize iletmeleri
durumunda Şirketimiz talebin niteliğine göre talebi en kısa sürede ve en geç
otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, işlemin ayrıca bir
maliyeti gerektirmesi hâlinde, Şirketimiz tarafından KVK Kurulunca belirlenen
tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi
talep etme,
c. Kişisel verilerin işlenme
amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d.
Yurt içinde veya yurt
dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e.
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
f.
KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
h. Kişisel verilerin kanuna
aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini
talep etme, haklarına sahiptir.
Veri
sahiplerinin hakları ile ilgili daha ayrıntılı bilgiye bu Politikada yer
verilmiştir.
MADDE:8
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
KVK Kanunu ile bir takım kişisel
verilere, hukuka aykırı olarak işlenmesi durumunda kişilerin mağduriyetine veya
ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir.
Bu veriler; ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet,
dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz tarafından, KVK Kanunu
ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel
nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu
kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik
ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle
uygulanmakta ve şirket bünyesinde gerekli denetimler sağlanmaktadır.
Özel nitelikli kişisel verilerin
işlenmesi ile ilgili ayrıntılı bilgiye bu Politikada yer verilmiştir.
MADDE:9 İŞ BİRİMLERİNİN KİŞİSEL
VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE
DENETİMİ
Şirketimiz, kişisel verilerin hukuka
aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye
ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş
birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirketin iş birimlerinin mevcut
çalışanlarının ve iş birimi bünyesine yeni dâhil olmuş çalışanların kişisel
verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler
kurulmakta, konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile
çalışılmaktadır.
MADDE 10: İŞ ORTAKLARI VE TEDARİKÇİLERİN KİŞİSEL VERİLERİN
KORUNMASI VE İŞLENMESİ KONUSUNDAKİ FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Şirketimiz kişisel verilerin hukuka
aykırı olarak işlenmesini önlenmesi, verilere hukuka aykırı olarak erişilmesini
önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması
için iş ortaklarına yönelik eğitimler ve seminerler düzenlenmesini
sağlamaktadır.
Şirketin iş ortaklarına yönelik
yürütülen eğitimler periyodik olarak tekrarlanmakta, iş ortaklarının mevcut
çalışanlarının ve iş birimi bünyesine yeni dâhil olmuş çalışanların kişisel
verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler
kurulmakta konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile
çalışılmaktadır.
Şirketin iş ortaklarının kişisel
verilerin korunması ve işlenmesi konusunda farkındalığın arttırılmasına yönelik
yürütülen eğitim sonuçları holdinge raporlanmaktadır. Şirketimiz bu doğrultuda
ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan
katılımları değerlendirmekte ve gerekli denetimleri yapmakta veya
yaptırmaktadır. Şirketimiz, ilgili mevzuatın güncellenmesine paralel olarak
eğitimlerini güncellemekte ve yenilemektedir.
MADDE
11: KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Şirketimiz, Anayasa’nın 20.
maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin
işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve
gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı,
sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır.
Şirketimiz kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği
süre kadar kişisel verileri muhafaza etmektedir.
Şirketimiz, Anayasa’nın 20. ve KVK
Kanunu’nun 5. maddeleri gereğince, kişisel verileri, kişisel verilerin
işlenmesine ilişkin KVK Kanunu’nun 5. maddesindeki şartlardan bir veya
birkaçına dayalı olarak işlemektedir.
Şirketimiz, Anayasa’nın 20. ve KVK
Kanunu’nun 10. maddelerine uygun olarak, kişisel veri sahiplerini aydınlatmakta
ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli
bilgilendirmeyi yapmaktadır.
Şirketimiz, KVK Kanunu’nun 6.
maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından
öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz,
KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması
konusunda kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan
düzenlemelere uygun davranmaktadır.
MADDE 12:
KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
12.1 Hukuka ve Dürüstlük Kuralına
Uygun İşleme
Şirketimiz; kişisel verilerin
işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve
dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel
verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel
verileri amacın gerektirdiği dışında kullanmamaktadır.
12.2 Kişisel Verilerin Doğru ve
Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz; kişisel veri
sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak
işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu
doğrultuda gerekli tedbirleri almaktadır.
12.3 Belirli, Açık ve Meşru
Amaçlarla İşleme
Şirketimiz, meşru ve hukuka uygun
olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir.
Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için
gerekli olan kadar işlemektedir.
12.4
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz, kişisel verileri
belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve
amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel
verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması
muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti
yürütülmemektedir.
12.5
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar
Muhafaza Etme
Şirketimiz, kişisel verileri ancak
ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre
kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta
kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit
etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre
belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar
saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan
kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok
edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile
Şirketimiz tarafından kişisel veriler saklanmamaktadır. Bu konu ile ilgili
ayrıntılı bilgiye, bu Politikada yer verilmiştir.
MADDE
13: KİŞİSEL VERİLERİN, KVKK’ NIN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME
ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME
Kişisel verilerin korunması Anayasal
bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca
Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak
kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince,
kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlenebilecektir. Şirketimiz bu doğrultuda ve Anayasa’ya uygun bir biçimde;
kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlemektedir. Bu konu ile ilgili ayrıntılı bilgiye, bu Politikada yer
verilmiştir.
MADDE 14:
KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirketimiz, KVK Kanunu’nun 10.
maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri
sahiplerini aydınlatmaktadır. Bu kapsamda Holding ve varsa temsilcisinin
kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel
verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın
yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları
konusunda aydınlatma yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu
Politikada yer verilmiştir.
Anayasa’nın 20. maddesinde herkesin,
kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu
ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri
sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Şirketimiz bu
kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun 11. maddelerine uygun olarak
kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi
yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu Politikada yer
verilmiştir.
MADDE 15: ÖZEL NİTELİKLİ KİŞİSEL
VERİLERİN İŞLENMESİ
Şirketimiz tarafından, KVK Kanunu
ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK
Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
KVK Kanunu’nun 6. maddesinde, hukuka
aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma
riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu
veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya
diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık,
cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik verilerdir.
KVK Kanunu’na uygun bir biçimde
Şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından
belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda
işlenmektedir:
a.
Kişisel veri sahibinin
açık rızası var ise veya
b.
Kişisel veri sahibinin
açık rızası yok ise;
1) Kişisel veri sahibinin sağlığı ve cinsel hayatı
dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
2) Kişisel veri sahibinin
sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak
kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından işlenmektedir.
MADDE 16: KİŞİSEL VERİLERİN
AKTARILMASI
Şirketimiz hukuka uygun olan kişisel
veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel
veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü
kişilere (üçüncü kişi şirketlere, iş ortaklarına, üçüncü gerçek kişilere)
aktarabilmektedir. Şirketimiz bu doğrultuda KVK Kanunu’nun 8. maddesinde
öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı
bilgiye bu Politikada yer verilmiştir.
16.1 Kişisel Verilerin Aktarılması
Şirketimiz
meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda
sayılan Kanunun 5.maddesinde belirtilen kişisel veri işleme şartlarından bir
veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere
aktarabilmektedir:
a.
Kişisel veri sahibinin
açık rızası var ise;
b.
Kanunlarda kişisel
verinin aktarılacağına ilişkin açık bir düzenleme var ise,
c.
Kişisel veri sahibinin veya başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki
geçerlilik tanınmıyorsa;
d. Bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin
taraflarına ait kişisel verinin aktarılması gerekli ise,
e.
Şirketimizin hukuki
yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
f.
Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş
ise,
g. Kişisel veri aktarımı bir hakkın tesisi,
kullanılması veya korunması için zorunlu ise,
h. Kişisel veri sahibinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru
menfaatleri için kişisel veri aktarımı zorunlu ise.
16.2 Özel
Nitelikli Kişisel Verilerin Aktarılması
Şirketimiz gerekli özeni göstererek,
gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli
önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları
doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki
durumlarda üçüncü kişilere aktarabilmektedir.
a.
Kişisel veri sahibinin
açık rızası var ise veya
b.
Kişisel veri sahibinin
açık rızası yok ise;
1) Kişisel veri sahibinin
sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik
köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve
kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
2) Kişisel veri sahibinin
sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak
kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından.
MADDE 17:
KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Şirketimiz hiçbir kişisel veriyi
yurtdışına aktarmadığını kabul ve taahhüt etmiştir.
MADDE
18: ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME
AMAÇLARI VE SAKLANMA SÜRELERİ
Şirketimiz, KVK Kanunu’nun 10.
maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri
sahibi gruplarının kişisel verilerini işlediğini, kişisel veri sahibinin
kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri
sahibine bildirmektedir.
MADDE 19:
KİŞİSEL VERİLERİN KATEGORİZASYONU
Şirketimiz nezdinde, KVK Kanunu’nun
10. maddesi uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin meşru ve
hukuka uygun kişisel veri işleme amaçları doğrultusunda KVK Kanunu’nun 5.
maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına
dayalı ve sınırlı olarak olarak KVK Kanunu’nda başta kişisel verilerin
işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanunu’nda
belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen bütün yükümlülüklere
uyarak işbu Politika kapsamındaki süjelerle sınırlı olarak aşağıda belirtilen
kategorilerdeki kişisel veriler işlenmektedir. Bu kategorilerde işlenen kişisel
verilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili
olduğu da işbu Politikada belirtilmektedir.
KİMLİK BİLGİSİ; Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık
Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan tüm bilgiler.
İLETİŞİM BİLGİSİ; Kimliği belirli
veya belirlenebilir bir gerçek kişiye ait olduğu açık olan kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; telefon numarası, adres ve e-mail gibi bilgiler.
MÜŞTERİ BİLGİSİ; Kimliği belirli
veya belirlenebilir bir gerçek kişiye ait olduğu açık olan kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin
yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen
bilgiler.
FİZİKSEL MEKAN GÜVENLİK BİLGİSİ;
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve
veri kayıt sistemi içerisinde yer alan, fiziksel mekana girişte fiziksel
mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel
veriler.
İŞLEM GÜVENLİĞİ BİLGİSİ; Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri
kayıt sistemi içerisinde yer alan; ticari faaliyetlerimizi yürütürken teknik,
idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel
verileriniz.
RİSK YÖNETİM BİLGİSİ; Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri
risklerimizi kayıt sistemi içerisinde yer alan; ticari, teknik ve idari
yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve
dürüstlük kuralına uygun olarak kullanılabilen ve işlenebilen veriler.
FİNANSAL BİLGİ;Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen
ototmatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; şirketimizin kişisel veri sahibi ile kurmuş olduğu
hukuki ilişkinin tipine göre yaratılan ger türlü finansal sonucu gösteren
bilgi,belge ve kayıtlara ilişkin işlenen kişisel veriler.
ÖZLÜK BİLGİSİ; Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde
olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde
edilmesine yönelik işlenen her türlü kişisel veri.
ÇALIŞAN ADAYI BİLGİSİ; Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya
tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; Şirketimizin çalışanı olmak için başvuruda bulunmuş
veya ticari teamül ve dürüstlük kurallarıgereği şirketimizin insan kaynakları
ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya
Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel
veriler.
ÇALIŞAN İŞLEM BİLGİSİ; Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya
tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; çalışanlarımızın veya şirketimizle çalışma ilişkisi
içerisinde olan gerçek kişilerin işle ilgili gerçekleştirdiği her türlü işleme
ilişkin işlenen kişisel veriler.
ÇALIŞMA PERFORMANS VE KARİYER
GELİŞİM BİLGİSİ; Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;
çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek
kişilerin performanslarının ölçülesi ile kariyer gelişimlerinin şirketimizin
insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla
işlenen veriler.
YAN
HAKLAR VE MENFAATLER BİLGİSİ; Kimliği belirli veya belirlenebilir bir gerçek
kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;
Çalışanlara veya Şirketimizle çalışma ilişkisi içerisinde olan diğer gerçek
kişilere sunduğumuz ve sunacağımız yan haklar ve menfaatlerin planlanması, bunlara
hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin
takibi için işlenen kişisel verileriniz.
HUKUKİ
İŞLEM VE UYUM BİLGİSİ; Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hukuki alacak
ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni
yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen
kişisel verileriniz.
DENETİM
VE TEFTİŞ BİLGİSİ; Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimizin
kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel
verileriniz.
ÖZEL
NİTELİKLİ KİŞİSEL VERİ; Kimliği belirli veya belirlenebilir bir gerçek kişiye
ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; 6698 Sayılı
Kanun’un 6’ıncı maddesinde belirtilen veriler.
TALEP/ŞİKAYET
YÖNETİMİ BİLGİSİ; Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimize
yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine
ilişkin kişisel veriler.
MADDE 20: KİŞİSEL VERİLERİN İŞLENME
AMAÇLARI
Şirketimiz tarafından hazırlanan
kategorizasyona göre kişisel Verilerin işlenmesine ilişkin üst amaçlar aşağıda
paylaşılmaktadır:
a.
Şirketimiz tarafında yürütülen ticari faaliyetlerin
gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların
yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
b.
Şirketimizin Ticari
ve/veya iş stratejilerinin planlanması ve icrası,
c. Şirketimiz tarafından
sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli
çalışmaların iş birimlerimiz tarafından yapılması ve ilgili süreçlerin
yürütülmesi,
d.
Şirketimizin insan
kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi,
e. Şirketimizin
Şirketimizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve
ticari iş güvenliğinin temini.
Yukarıda
sıralanan üst amaçlar kapsamındaki veri işleme amaçları şunlardır:
1.
Etkinlik Yönetimi
2.
Araştırma ve Geliştirme
Faaliyetlerinin Planlanması ve İcrası
3.
İş Faaliyetlerinin
Planlanması ve İcrası
4.
Kurumsal İletişim
Faaliyetlerinin Planlanması ve İcrası
5.
Bilgi Güvenliği
Süreçlerinin Planlanması ve İcrası
6.
Bilgi Teknolojileri Alt
Yapısının Oluşturulması ve Yönetilmesi
7.
İş Ortakları ve/veya
Tedarikçilerin Bilgiye ve Tesislere Erişim Yetkilerinin Planlanması ve İcrası
8.
Tedarikçi ve/veya İş
Ortağı Çalışanlarına Yan Hak ve Menfaatlerin Planlanması ve İcrası
9.
Finans ve/veya Muhasebe
İşlerinin Takibi
10.
Lojistik Faaliyetlerin
Planlanması ve İcrası
11.
İş Ortakları ve/veya
Tedarikçilerle Olan İlişkilerin Yönetimi
12.
Müşterilerin Finansal
Risklerinin Tespitine Yönelik Faaliyetler Yapılması
13.
Müşteri İlişkileri
Yönetimi Süreçlerinin Planlanması ve İcrası
14.
Sözleşme Süreçlerinin ve/veya
Hukuki Taleplerin Takibi
15.
Müşteri Talep ve/veya
Şikayetlerinin Takibi
16.
İnsan Kaynakları
Süreçlerinin Planlanması
17.
Personel Temin
Süreçlerinin Yürütülmesi
18.
Hukuk İşlerinin Takibi
19. Şirket Faaliyetlerinin
Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini
İçin Gerekli Operasyonel Faaliyetlerin Planlanması ve İcrası
20.
İş Ortağı/Tedarikçi
Çalışanlarının Giriş Çıkış Kayıtlarının Toplanması
21.
Ziyaretçi Kayıtlarının
Oluşturulması ve Takibi
22.
Şirket Denetim
Faaliyetlerinin Planlanması ve İcrası
23.
İş Sağlığı ve/veya
Güvenliği Süreçlerinin Planlanması ve/veya İcrası
24.
Verilerin Doğru ve
Güncel Olmasının Sağlanması
25.
İştiraklerle Olan
İlişkilerin Yönetimi ve/veya Denetimi
26.
Şirket Yerleşkeleri
ve/veya Tesislerinin Güvenliğinin Temini
27.
Şirket Malvarlığının
ve/veya Kaynaklarının Güvenliğinin Temini
28.
Şirket Finansal Risk
Süreçlerinin Planlanması ve/veya İcrası
Yukarıda belirtilen durumlar dışında
kalan kişisel veri işleme amaçları kapsamında kişisel veri işleme faaliyetinde
bulunmak için Şirketimiz kişisel veri sahiplerinin açık rızalarına başvurmakta;
ilgili iş birimleri tarafından aşağıda belirtilen kişisel veri işlemesi
faaliyetleri kişisel veri sahiplerinin bahsi geçen açık rızalarına ilişkin
olarak gerçekleştirilmektedir. Bu çerçevede; yukarıda belirtilen şartların
bulunmaması halinde, kişisel veri sahiplerinin açık rızalarına başvurulan
kişisel veri işleme amaçları;
I.
İş Ortakları ve/veya
Tedarikçilerin Bilgiye ve Tesislere Erişim Yetkilerinin Planlanması ve İcrası
II.
Lojistik Faaliyetlerin
Planlanması ve İcrası
III.
İş Ortakları ve/veya
Tedarikçilerle Olan İlişkilerin Yönetimi
IV.
Sözleşme Süreçlerinin
ve/veya Hukuki Taleplerin Takibi
V.
İnsan Kaynakları
Süreçlerinin Planlanması
VI.
Personel Temin
Süreçlerinin Yürütülmesi
VII.
Müşteri Memnuniyeti
Aktivitelerinin Planlanması ve/veya İcrası
VIII.
Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata
Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerin
Planlanması ve İcrası
IX.
İş Ortağı/Tedarikçi
Çalışanlarının Giriş Çıkış Kayıtlarının Toplanması
X.
Şirket Denetim
Faaliyetlerinin Planlanması ve İcrası
XI.
İş Sağlığı ve/veya
Güvenliği Süreçlerinin Planlanması ve/veya İcrası
XII.
Şirket Yerleşkeleri
ve/veya Tesislerinin Güvenliğinin Temini olarak
sıralanabilmektedir.
MADDE 21:
KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirketimiz, ilgili kanunlarda ve
mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen
süre boyunca saklanmaktadır.
Kişisel verilerin ne kadar süre
boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse,
kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak
Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini
gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya
anonim hale getirilmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu politikada
yer verilmiştir.
Kişisel verilerin işlenme amacı sona
ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna
gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil
etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya
savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin
tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri
ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda
Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri
belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka
amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği
zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre
sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
MADDE
22: ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN
KATEGORİZASYON
Şirketimiz tarafından, aşağıda
sıralanan kişisel veri sahibi kategorilerinin kişisel verileri işlenmekle
birlikte, işbu Politikanın uygulama kapsamı müşterilerimizin, potansiyel
müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket
yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların
çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerle sınırlıdır.
Şirketimiz tarafından kişisel
verileri işlenen kişilerin kategorileri yukarıda belirtilen kapsamda olmakla
birlikte, bu kategorilerin dışında yer alan kişiler de KVK Kanunu kapsamında
Şirketimize taleplerini yöneltebilecek olup; bu kişilerin talepleri de bu
Politika kapsamında değerlendirmeye alınacaktır.
Aşağıda işbu Politika kapsamında yer
alan müşteri, potansiyel müşteri, ziyaretçi, çalışan adayı, hissedar ve yönetim
kurulu üyesi, işbirliği içerisinde olduğumuz kurumlardaki gerçek kişiler ve bu
kişilerle ilişkili üçüncü kişiler kavramlarına açıklık getirilmektedir.
MADDE
23: KATEGORİLER VE AÇIKLAMALARI
Ziyaretçi; Şirketimizin sahip olduğu fiziksel
yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret
eden gerçek kişiler.
Üçüncü
Kişiler;
Şirketimizin taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi
geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle
ilişkili olan üçüncü taraf gerçek kişiler veya bu politika ve şirket
çalışanları kişisel verilerin korunması ve işlenmesi politikası kapsamına
girmeyen gerçek kişiler.
Çalışan
Adayı;
Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ile
ilgili bilgilerini şirketimize açmış olan gerçek kişiler.
Şirket
Hissedarı;
şirketimizin hissedarı gerçek kişiler.
Şirket
Yetkilisi; şirketin
yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.
İş birliği içerisinde olduğumuz
çalışanlar kurumları hissedarları ve yetkilileri; Şirketimizin her türlü iş
ilişkisi içerisinde bulunduğu kurumlarda (İş ortağı, ofisler, tedarikçi gibi
ancak bunlarla sınırlı olmaksızın çalışan bu kurumların hissedarları ve
yetkilileri dahil olmak üzere) gerçek kişiler.
MADDE 24: ŞİRKETİMİZ TARAFINDAN KİŞİSEL VERİLERİN
AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Şirketimiz KVKK’ nın 10. Maddesine
uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri
sahibine bildirmektedir.
Şirketimiz KVK Kanunu’nun 8. ve 9.
maddelerine uygun olarak hizmet alanların kişisel verilerini aşağıda sıralanan
kişi kategorilerine aktarılabilir:
a.
Şirket iş ortaklarına,
b.
Şirket tedarikçilerine,
c.
Şirket iştiraklerine,
d.
Şirket Hissedarlarına,
e.
Hukuken Yetkili kamu kurum ve kuruluşlarına,
f.
Hukuken yetkili özel
hukuk kişilerine.
Aktarımda bulunulan yukarıda
belirtilen kişilerin kapsamı ve veri aktarım amaçları şöyledir;
- İş ortaklığının kurulma amaçlarının yerine
getirilmesini temin etmek amacıyla sınırlı olarak,
- Şirketimizin
tedarikçiden dış kaynaklı olarak temin ettiği ve şirketimizin ticari
faaliyetlerini yerine getirmek için gerekli hizmetlerin şirketimize
sunulmasını sağlamak amacıyla sınırlı olarak,
- Şirketimizin
iştiraklerin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini
temin etmekle sınırlı olarak,
- Şirketimizin
ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin
yasal mevzuat hükümlerine göre tasarlanması ve denetim amacıyla sınırlı
olarak,
- Hukuken
yetkili kamu kurum ve kuruluşlarının yasal mevzuat çerçevesinde
şirketimizden bilgi ve belge istemi halinde, hukuki yetkilerimiz dahilinde
talep ettiği amaçla sınırlı olarak,
- Hukuken
yetkili özel hukuk kişilerinin yasal mevzuat çerçevesinde şirketimizden
bilgi ve belge istemi halinde, hukuki yetkilerimiz dahilinde talep ettiği
amaçla sınırlı olarak,
Şirketimiz tarafından
gerçekleştirilen aktarımlarda politikada düzenlenen hususlara uygun olarak
hareket edilmektedir.
Şirketimiz, KVK Kanunu’nun 10.
maddesine uygun olarak işlediği kişisel veriler hakkında kişisel veri sahibini
aydınlatmaktadır.
Şirketimiz tarafından kişisel
verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her
türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4. maddesinde
belirtilen genel ilkelere uygun olarak hareket edilmektedir.
Kişisel verilerin, kişisel veri
sahibinin açık rıza vermesine bağlı olarak işlenmesi için, ziyaretçilerden ve
3. Kişilerden açık rızaları alınmaktadır.
Veri sahibinin kişisel verileri,
kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan
kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü
korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri
sahibinin kişisel verileri işlenebilecektir.
Bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait
kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin
işlenmesi mümkündür.
Şirketimizin veri sorumlusu olarak
hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde
veri sahibinin kişisel verileri işlenebilecektir.
Veri sahibinin, kişisel verisini
kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler
işlenebilecektir.
Bir hakkın tesisi, kullanılması veya
korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel
verileri işlenebilecektir.(fatura vb.)
Kişisel veri sahibinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri
işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir. (şirket içi hesaplamalar yapılması amacıyla vb konularda)
Şirketimiz tarafından bina tesis
girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri,
Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde
yürütülmektedir.
Şirketimiz tarafından güvenliğin
sağlanması amacıyla, Şirketimiz binalarında ve tesislerinde güvenlik
kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik
kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve
misafir giriş çıkışlarının kayıt altına alınması yoluyla Şirketimiz tarafından
kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
Bu kapsamda Şirketimiz Anayasa, KVK
Kanunu ve ilgili diğer mevzuata uygun olarak hareket etmektedir. Şirketimiz,
güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini
artırmak, güvenilirliğini sağlamak, şirketin, çalışanların ve diğer kişilerin
güvenliğini sağlamak ve 3. kişilerin aldıkları hizmete ilişkin menfaatlerini
korumak gibi amaçlar taşımaktadır.
Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel
Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak
sürdürülmektedir. Şirketimiz tarafından güvenlik amacıyla kamera ile izleme
faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket
edilmektedir.
Şirketimiz, bina ve tesislerinde
güvenliğin sağlanması amacıyla, kanunlarda öngörülen amaçlarla ve KVK
Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik
kamerası izleme faaliyetinde bulunmaktadır.
Şirketimiz tarafından izleme
faaliyetinin duyurulması, KVK Kanunu’nun 10. maddesine uygun olarak
yapılmaktadır.
Şirketimiz, genel hususlara ilişkin
olarak yaptığı aydınlatmanın yanı sıra AB’deki mehaz düzenlemelere uygun olarak
kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde
bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine
zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin
aydınlatılmasının sağlanması amaçlanmaktadır.
Şirketimiz, KVK Kanunu’nun 4.
maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı,
sınırlı ve ölçülü bir biçimde işlemektedir.
Şirketimiz tarafından video kamera
ile izleme faaliyetinin sürdürülmesindeki amaç bu Politikada sayılan amaçlarla
sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne
zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla
sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik
amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin,
tuvaletler) izlemeye tabi tutulmamaktadır.
Şirketimiz tarafından KVK Kanunu’nun
12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen
kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari
tedbirler alınmaktadır.
Dijital ortamda kaydedilen ve
muhafaza edilen kayıtlara yalnızca sınırlı sayıda şirket çalışanının erişimi
bulunmaktadır. Canlı kamera görüntülerini ise, dışarıdan hizmet alınan güvenlik
görevleri izleyebilmektedir. Kayıtlara erişimi olan sınırlı sayıda kişi
gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan
etmektedir.
Şirketimiz, Türk Ceza Kanunu’nun
138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya
kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya
anonim hâle getirilir. Şirketimiz bu ilgili yasal yükümlülüğünü yasal
yöntemlerle yerine getirmektedir.
MADDE 25: KİŞİSEL VERİLERİN
SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ
25.1 Kişisel Verilerin Silinmesi ve
Yok Edilmesi Teknikleri
Şirketimiz ilgili kanun hükümlerine
uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin
talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirketimiz
tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda
sıralanmaktadır:
25.1.1
Fiziksel Olarak Yok Etme
Kişisel veriler herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da
işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin
sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi
uygulanmaktadır.
25.1.2
Yazılımdan Güvenli Olarak Silme
Tamamen veya kısmen otomatik olan
yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok
edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan
silinmesine ilişkin yöntemler kullanılır.
Şirketimiz, KVK Kanunu’nun 10.
maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte,
bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol
göstermektedir ve Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi
ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK
Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve
teknik düzenlemeleri yürütmektedir.
MADDE 26:
VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
26.1 Kişisel Veri Sahibinin Hakları
Kişisel
veri sahipleri aşağıda yer alan haklara sahiptirler:
a.
Kişisel veri işlenip
işlenmediğini öğrenme
b.
Kişisel verileri
işlenmişse buna ilişkin bilgi talep etme
c.
Kişisel verilerin
işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
d.
Yurt içinde veya yurt
dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
e.
Kişisel verilerin eksik
veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu
kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme
f.
KVK Kanunu ve ilgili
diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini
veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme
g.
İşlenen verilerin
münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
h.
Kişisel verilerin kanuna
aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini
talep etme
26.2 Kişisel Veri Sahibinin
Haklarını İleri Süremeyeceği Haller
Kişisel
veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK
Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda
aşağıda sayılan haklarını ileri süremezler:
a.
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek
suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi
b. Kişisel verilerin millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik
güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da
suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya
da ifade özgürlüğü kapsamında işlenmesi
c. Kişisel verilerin millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum
ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi
d. Kişisel verilerin
soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı
makamları veya infaz mercileri tarafından işlenmesi
KVK Kanunu’nun 28/2 maddesi
gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın
giderilmesini talep etme hakkı hariç, aşağıda sayılan diğer haklarını ileri
süremezler:
- Kişisel veri işlemenin suç
işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2.
Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş
kişisel verilerin işlenmesi.
3.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli
ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek
kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin
soruşturma veya kovuşturması için gerekli olması.
4.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz
işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından
işlenmesi.
26.3 Kişisel Veri Sahibinin
Haklarını Kullanması
Kişisel veri sahipleri bu bölümün
yukarıda sıralanan haklarına ilişkin taleplerini aşağıda belirtilen yöntemle Şirketimize
ücretsiz olarak iletebileceklerdir:
a. ………. adresinde bulunan formu doldurulup ıslak imzalı
olarak imzalandıktan sonra …………. adresine şahsen başvuru
ile
b.
……………. adresinde bulunan formu doldurulup ıslak imzalı olarak
imzalandıktan sonra …………………………... adresine kargo ya da posta vasıtasıyla,
Kişisel
veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün
değildir.
Kişisel veri sahibinin kendisi dışında
bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi
tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname
bulunmalıdır.
Kişisel veri sahipleri, haklarını
kullanmak için yapacakları başvuruda, yukarıda bağlantı sağlanan “6698 Sayılı
Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi)
Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”nu
dolduracaklardır. Bu formda yapılacak başvurunun yöntemi de ayrıntılı bir şekilde
anlatılmaktadır.
26.4 Kişisel Veri Sahibinin KVK
Kurulu’na Şikâyette Bulunma Hakkı
Kişisel veri sahibi KVK Kanunu’nun
14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz
bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirketimizin
cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden
itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
MADDE 27: ŞİRKETİN BAŞVURULARA CEVAP
VERMESİ
27.1 Şirketimizin Başvurulara Cevap
Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün
yukarıdaki kısmında yer alan usule uygun olarak talebini Şirketimize iletmesi
durumunda Şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün
içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.
Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde,
Şirketimiz tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki
ücret alınacaktır.
27.2 Şirketimizin Başvuruda Bulunan Kişisel Veri Sahibinden
Talep Edebileceği Bilgiler
Şirketimiz, başvuruda bulunan
kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden
bilgi talep edebilir.
Şirketimiz, kişisel veri sahibinin
başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine
başvurusu ile ilgili soru yöneltebilir.
27.3 Şirketimizin, Kişisel Veri Sahibinin Başvurusunu
Reddetme Hakkı
Şirketimiz aşağıda yer alan hallerde
başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
a. Kişisel verilerin resmi istatistik
ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi
amaçlarla işlenmesi.
b.
Kişisel verilerin millî savunmayı,
millî güvenliği, kamu güvenliğini, kamu düzenini,
c-
Ekonomik güvenliği, özel hayatın gizliliğini veya kişilik
haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih,
edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
d- Kişisel verilerin millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum
ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi.
e- Kişisel verilerin soruşturma,
kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları
veya infaz mercileri tarafından işlenmesi.
f-
Kişisel veri işlemenin suç
işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
g-
Kişisel veri sahibi tarafından
kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
h- Kişisel veri işlemenin kanunun
verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile
kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme
görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli
olması.
i-
Kişisel veri işlemenin bütçe, vergi
ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının
korunması için gerekli olması
j-
Kişisel veri sahibinin talebinin
diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
k-
Orantısız çaba gerektiren taleplerde
bulunulmuş olması.
l-
Talep edilen bilginin kamuya açık
bir bilgi olması.
MADDE
28: ŞİRKET KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ DİĞER
POLİTİKALARLA OLAN İLİŞKİSİ
Şirketin işbu Politika ile ortaya
koymuş olduğu esasların ilişkili olduğu Kişisel verilerin korunması ve
işlenmesi konusunda kaleme alınmış temel politikalar belirtilmektedir. Bu
politikaların Şirketin diğer alanlarda yürüttüğü temel politikalarla da bağı
kurularak, Şirketin benzer amaçlarla farklı politika esaslarıyla işlettiği süreçler arasında
harmonizasyon da sağlanmaktadır.
Şirket bünyesinde işbu politika ve
bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere Şirket üst
yönetimin kararı gereğince “Kişisel Verilerin Korunması Kurulu” kurulmuştur. Bu
kurulun görevleri aşağıda belirtilmektedir.
a. Kişisel Verilerin Korunması ve
İşlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere
üst yönetimin onayına sunmak.
b. Kişisel Verilerin Korunması ve
İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine
getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak
ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak.
c. Kişisel Verilerin Korunması Kanunu
ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit
etmek ve yapılaması gerekenleri üst yönetimin onayına sunmak; uygulanmasını
gözetmek ve koordinasyonunu sağlamak.
d. Kişisel Verilerin Korunması ve
İşlenmesi konusunda Şirket içerisinde ve Şirketin işbirliği içerisinde olduğu
kurumlar nezdinde farkındalığı arttırmak.
e. Şirketin kişisel veri işleme
faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin
alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak.
f. Kişisel verilerin korunması ve
politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini
sağlamak.
g.
Kişisel veri sahiplerinin
başvurularını en üst düzeyde karara bağlamak.
h. Kişisel veri sahiplerinin; kişisel
veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin
etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
i. Kişisel Verilerin Korunması ve
İşlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve
yürürlüğe koymak üzere üst yönetimin onayına sunmak.
j. Kişisel Verilerin Korunması
konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve
düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda üst
yönetime tavsiyelerde bulunmak.
k.
Kişisel Verilerin Korunması Kurulu
ve Kurumu ile olan ilişkileri koordine etmek.
l. Şirket üst yönetiminin kişisel
verilerin korunması konusunda vereceği diğer görevleri icra etmek.
Belirtilen
politikaların bir kısmı Şirket içi kullanıma yöneliktir. Şirket içi
politikalarının esasları ilgili olduğu ölçüde kamuoyuna açık politikalara
yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve Şirketin yürütmüş
olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap
verilebilirliğin sağlanması hedeflenmiştir.