Gizlilik/Kişisel Verilerin Korunması Politikası
1.AMAÇ VE KAPSAM
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ikincil düzenlemelerine Şirketimiz uyumunu sağlamak üzere iş bu Politika oluşturulmuştur.
Şirketimizce benimsenen hizmet kalitesi, şeffaflık ve dürüstlük ilkeleri çerçevesinde, Şirketimiz iç işleyişinin KVKK ve ikincil düzenlemeleri, Kişisel Verileri Koruma Kurumu (Kurum) tavsiyeleri, Kişisel Verileri Koruma Kurulunun (Kurul) Kararları ve düzenlemeleri, kesinleşmiş mahkeme kararları ve sair ilgili mevzuat kapsamında düzenlenmesi Şirketimizin öncelikli konuları arasında yer almaktadır.
Politika ile Şirketimiz tarafından KVKK ya uyum için yukarıda açıklanan temel ilkeler çerçevesinde getirilecek düzenlemelerin şirket bünyesinde etkin bir şekilde uygulanması amaçlanmaktadır.
Potansiyel ürün veya hizmet alıcısı gerçek kişiler ile çalışanlarının, Potansiyel ürün veya hizmet alıcısı tüzel kişi yetkilileri ile çalışanlarının, ürün veya hizmet alıcısı gerçek kişiler ile çalışanlarının, ürün veya hizmet alıcısı tüzel kişi yetkilileri ile çalışanlarının, Tedarikçi çalışanlarının, gerçek kişi tedarikçiler ile tüzel kişi tedarikçi yetkililerinin, veli/vasi/temsilcilerin, ziyaretçilerin, şirketimiz çalışanları ile çalışan adaylarının, hissedar/ortakların kişisel veri ve özel nitelikli kişisel veri niteliğindeki verilerinin işlenmesi ve korunması KVKK ve Politika kapsamında Şirketimizce ele alınacaktır.
Politika ile öngörülen temel düzenlemeler doğrultusunda, şirket işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından gerekli idari ve teknik tedbir alınmakta, gerekli iç prosedürler oluşturulmakta, farkındalığın yükseltilmesi için gerekli eğitimler yapılmakta, çalışanların KVKK süreçlerine uyumları için gerekli tedbirler alınmakta, uygun ve etkin denetim mekanizmaları ile teknolojik altyapı, idari ve hukuki sistem kurulmaktadır.
Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVKK ile getirilen düzenlemeler uyarınca gerekli hususları düzenlemektedir. KVKK ve ilgili mevzuat çerçevesinde oluşturulacak iç prosedürler ile Şirketimizin kişisel verilerin korunması hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. Şirketimizin tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVKK ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekle yükümlüdür.
Politika ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında, şirket içerisinde, olayın mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanacaktır.
2. DAYANAK
Bu Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ikincil düzenlemelerine dayanılarak hazırlanmıştır.
3. KAVRAMLAR
3.1 Kişisel veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişiyi belirlenebilir kılan tüm bilgiler kişisel veri olarak düzenlenmiş olup T.C. kimlik numarası, ad-soyad, e-posta adresi, telefon numarası, adresi, doğum tarihi, banka hesap numarası gibi bilgiler kişisel verilere örnek olarak verilebilir.
3.2 Özel Nitelikli Kişisel Veri
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
3.3 Kişisel verilerin işlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
3.4 Veri sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Şirketimizi ifade eder.
3.5 Veri işleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
3.6 Açık rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. İlgili kişinin bilgilendirildiğinin ve aydınlatıldığının ispat yükü veri sorumlusu üzerinde olacağından ilgili kişinin açık rızasının ve bilgilendirme kayıtlarının saklanması ve korunması Şirketimiz iç düzenlemelerine göre yapılacaktır.
3.7 İlgili kişi
Kişisel verisi işlenen gerçek kişiyi ifade eder.
3.8 Kişisel Verilerin İmhası
İmha, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade etmektedir.
Silme: Kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir.
4. POLİTİKA NIN YÜRÜTÜLMESİ VE SORUMLULUKLAR
4.1 Şirketimiz, Veri Sorumlusu sıfatı ile işbu Politika nın tüm iç işleyişlerinin ve süreçlerinin düzenlenmesi ve uygulanmasından sorumludur. Şirketimizin mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesini sağlamak ve ilgililer ile iletişimi sağlamak üzere irtibat kişisi atanmıştır. Şirketimiz iş bu sorumluluklarını irtibat kişisi aracılığıyla yerine getirir.
4.2 İşbu Politika doğrultusunda hazırlanacak iç düzenlemeler ile eğitim faaliyetlerinin şirketimiz bünyesinde uygulanmasından irtibat kişisi sorumludur.
4.3 Şirketimiz çalışanları, iş ortakları ve ilgili tüm üçüncü şahıslar Politika ya uyum ile birlikte ilgili mevzuat hükümleri doğrultusunda doğacak hukuki sorumlulukların, risklerin ve tehlikelerin önlenmesinde Şirketimiz ile iş birliği yapmakla yükümlüdür.
4.4 Şirketimizin tüm hizmet birimleri ve çalışanları Politika ya uygun hareket etmekle ve Politika nın hükümlerine uyulmasını sağlamak ile yükümlüdür.
4.5 İşbu Politika, Şirketimiz çalışanlarına duyurulacaktır.
5. KİŞİSEL VERİ İŞLEME İLKELERİ
Şirketimiz KVKK nın 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:
5.1 Hukuka ve dürüstlük kuralına uygun olma
Şirketimiz tarafından kişisel veri işleme faaliyetleri, Kişisel Verilerin Korunmasına dair yasal mevzuat ile Şirketimizin tabi olduğu tüm mevzuat hükümleri doğrultusunda ve Medeni Kanununun 2. maddesi ile öngörülen dürüstlük kuralına uygun olarak yürütülür.
5.2 Doğruluk ve gerektiğinde güncel olma
Şirketimiz, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tedbirleri alacaktır. İlgili kişinin, Veri Sorumlusu sıfatı ile Şirketimize bildireceği talepler ve Şirketimizin bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Şirketimiz tarafından kurulan idari ve teknik mekanizmalar işletilecektir.
5.3. Belirli, açık ve meşru amaçlarla işleme
Kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile Şirketimizin tabi olduğu mevzuat kapsamında, Şirketimiz tarafından sunulan veya sunulacak olan hizmetlerle sınırlı olmak kaydıyla hukuka uygun biçimde işlenir ve kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenir.
5.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
Şirketimiz tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılır.
5.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme
Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler Şirketimiz tarafından uygun görülen yöntemle silinmekte, yok edilmekte veya anonim hale getirilmektedir. Ancak, kişisel verilerin işlenme amacının ortadan kalkmasına rağmen yasal saklama yükümlülüğünün bulunması durumunda, bu veriler sadece yasal yükümlülüğün yerine getirilmesi amacı ile sınırlı olmak üzere işlenir. Gerekli sürenin sonunda kişisel verilerin işlenmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.
6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirketimiz tarafından kişisel verilerin işlenme süreçleri, KVKK ile belirtilen ve Şirketimizce yürütülen kişisel veri işleme faaliyetleri aşağıda yer alan bir veya birden fazla hukuka uygunluk nedenine dayanabilmektedir.
6.1. Kanunlarda açıkça öngörülmesi
Yasal mevzuat hükümlerinde açıkça öngörülen hallerde, veri işleme faaliyetleri yasal mevzuat sınırlarını aşmamak kaydıyla ilgili kişinin rızasına tabi olmaksızın gerçekleştirilebilmektedir. Örneğin, 506 Sosyal Sigortalar Kanunu ile 5510 Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, ilgili diğer mevzuat hükümlerinin kişisel verilerin işlenmesini öngördüğü hususlarda, mevzuat hükümleri ile öngörülen sınırlar çerçevesinde kişisel veriler Şirketimiz tarafından işlenmektedir.
6.2. Fiili imkansızlık nedeniyle rızasını açıklayamayan veya rızasına hukuki geçerlilik tanınamayan kişinin verilerinin işlenmesinin kendisinin veya başkasının hayatı veya beden bütünlüğünün korunması için işlenmesinin zorunlu olması
KVKK gereği, ilgili kişinin fiili olarak rızasını açıklamasının mümkün bulunmadığı veya rızasına hukuken geçerlilik tanınamayacağı durumlarda ilgili kişinin kendisinin veya başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerinin işlenmesinin zorunlu olması halinde kişisel verilerin işlenmesi mümkündür. Şirketimiz anılan bu düzenleme doğrultusunda öngörülen hallerde kişisel verileri işleyecektir.
6.3. Bir sözleşmenin kurulması ve ifasıyla doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması
Bir sözleşmenin kurulması veya ifası kapsamındaki yükümlülüklerin yerine getirilmesi için gerekli olan kişisel veriler, KVKK kapsamında ilgili kişinin açık rızası aranmaksızın işlenebilmektedir. İlgili kişiler ile Şirketimiz arasında sözleşme ilişkisinin kurulmasına ilişkin veri işleme faaliyetleri de bu kapsamda yer almaktadır.
6.4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
KVKK gereği Veri Sorumlusu sıfatına haiz Şirketimizin mevzuat hükümlerinden doğan yükümlülüklerini yerine getirebilmesi için, söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde, Şirketimiz tarafından kişisel veriler işlenmektedir.
6.5. İlgili kişinin kendisi tarafından alenileştirilmiş olması
İlgili kişinin kişisel verilerini alenileştirmesi halinde, Şirketimiz tarafından söz konusu kişisel veriler, alenileştirilme amaçları ile orantılı olarak işlenebilmektedir.
6.6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ölçüde Şirketimiz tarafından işlenebilmektedir.
6.7. Veri sorumlusunun meşru menfaatleri için kişisel verilerin işlenmesinin zorunlu olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusu sıfatına haiz Şirketimizin meşru menfaatleri doğrultusunda kişisel veriler işlenebilmektedir. Ancak Şirketimizin “meşru menfaatleri” ifadesi hiçbir surette KVKK ile belirlenen ilkelere, kişisel verinin işlenme amacına aykırı olamaz ve Anayasa ile güvence altına alınmış olan hakkın özüne müdahale niteliğinde gerçekleştirilemez.
6.8. İlgili kişinin açık rızasının olması
Kişisel verilerin işlenmesinde yukarıda yer verilen kişisel veri işleme şartlarının herhangi birisinin mevcut olmaması halinde, Şirketimizce ilgili kişinin açık rızasına başvurulabilmektedir. Bu hallerde ilgili kişilerin kişisel verileri, bilgilendirme yapılarak (kişinin kendisine açık rızasına ihtiyaç duyulan hususa dair) ve açık rızası alınarak (bu husus ile sınırlı olmak üzere) Şirketimiz tarafından işlenebilmektedir.
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirketimiz tarafından özel nitelikli kişisel verilerin işlenme süreçleri KVKK ve ikincil düzenlemelerinde öngörülen hallerde veya ilgili kişinin açık rızası dahilinde aşağıdaki şartlara uygun olarak işlenebilmektedir.
7.1. İlgili kişinin açık rızası bulunmamasına rağmen özel nitelikli kişisel verilerin mevzuat hükümlerince öngörülmesi sebebiyle işlenmesi
Mevzuat hükümleri ile özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü durumlarda ilgili kişinin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, KVKK madde 6/3 hükmü doğrultusunda işlenebilecektir. Bu durumda Şirketimiz tarafından gerçekleştirilecek veri işleme faaliyetleri, dayanak mevzuat hükmünün gereklilikleri ile sınırlı olacaktır.
7.2. İlgili kişinin açık rızasının bulunması halinde özel nitelikli kişisel verilerin işlenmesi
KVKK gereği kural olarak özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Bu bağlamda öncelikli ilke olarak Şirketimiz tarafından özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızası temin edilmeye çalışılacaktır. Özel nitelikli kişisel verilerin işlenmesine ilişkin ilgili kişinin rızasının kapsamı doğrultusunda veri işleme faaliyetleri yürütülecektir. Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesine dair KVKK ile öngörülen hükümler saklıdır. Şirketimiz, özel nitelikli kişisel verilerin işlenmesinde öncelikle veri işleme şartlarının bulunup bulunmadığını kontrol ederek veri işleme faaliyetlerini yürütecektir.
7.3. Sağlık ve cinsel hayat ile ilgili özel nitelikli kişisel verilerin koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında olmak kaydı ile işlenmesi
KVKK gereği kişilerin sağlık ve cinsel hayatına ilişkin özel nitelikli kişisel verilerinin işlenmesi, ilgili kişilerin açık rızalarının bulunması koşuluna bağlanmış, açık rızanın bulunmadığı hallerde ise ancak koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kimselerce söz konusu kişisel verilerin işlenebileceği düzenlenmiştir. Şirketimiz tarafından, mevzuat hükümleri doğrultusunda sır saklama yükümlülüğü altında bulunulan durumlarda, bu mevzuat hükümlerinin gerektirdiği ölçüde ilgili kişilerin sağlık ve cinsel hayatlarına ilişkin özel nitelikli kişisel verileri işlenebilecektir.
7.4. Özel nitelikli kişisel verilerin işlenmesinde alınacak önlemler Özel nitelikli kişisel verilerin işlenebilmesi için KVKK gereği Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin alınması zorunludur. Şirketimiz, Kurul tarafından belirlenecek söz konusu önlemler doğrultusunda özel nitelikli kişisel verileri işleyecektir.
8. KİŞİSEL VERİLERİN AKTARILMASI
KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılmasını düzenlenmiştir. Kişisel verilerin aktarılmasına dair süreçlerde aşağıdaki kriterlere uygunluk sağlanacaktır. Kişisel verilerin aktarılmasına ilişkin olarak tüm mevzuat hükümlerine uygun hareket edilmesi ve aktarım süreçlerinin yürürlükte olan veya yürürlüğe girecek olan mevzuat hükümlerine göre uyarlanması Şirketimizin sorumluluğunda olup irtibat kişisi tarafından bu süreçler takip edilecektir.
8.1. Kişisel verilerin yurt içinde aktarılması
8.1.1. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika nın 6.1., 6.2., 6.3., 6.4., 6.5., 6.6., 6.7., 6.8., 7.1, 7.3., maddeleri ile açıklanan ve KVKK nın 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.
8.1.2. İlgili kişinin açık rızası bulunmasa dahi özel nitelikli kişisel verilerin aktarılması yönünden ilgili şartların sağlanması ve mevzuat hükümlerinin gerektirmesi koşulu ile kişisel verilerin aktarılması Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin üçüncü şahıslara aktarılması ilgili kişinin yapılacak olan işleme faaliyetine açık rızası bulunmadığı hallerde dahi, kişisel verilerin işlenmesinin mevzuatta, mevzuat hükümlerinde belirtilen şekilde işlenebileceğinin öngörülmüş olması sebebiyle mümkündür. Bu durumda Şirketimiz, işbu Politika nın 6. maddesinde düzenlenen koşulların gerçekleştiğini tespit etmek sureti ile özel nitelikli kişisel verileri üçüncü şahıslara aktarabilecektir.
Özel nitelikli kişisel verilerin işlenmesine ilişkin olan gerekli önlemleri alma yükümlülüğü, bu verilerin aktarılması için de öngörülmüş olup, Aktarım süreçlerinde gerekli önlemlere ilişkin tespit ve koordinasyon ilgili birim ile irtibat kişisi gözetiminde gerçekleştirilir.
8.1.3. İlgili kişinin kişisel verilerinin aktarılması için açık rızasının bulunması Kişisel verilerin ve/veya özel nitelikli kişisel verilerin aktarılmasına dair yukarıda yer verilen şartların mevcut olmaması halinde, Şirketimizce ilgili kişinin açık rızasına başvurulabilmektedir. Bu halde ilgili kişiden açık rızasına ihtiyaç duyulan hususa dair bilgilendirme yapılmak ve bu husus ile sınırlı olarak açık rızası alınmak sureti ile veri aktarımı gerçekleştirilebilmektedir.
8.2. Kişisel Verilerin Yurt Dışına Aktarılması
8.2.1. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika nın 6.1., 6.2., 6.3., 6.4., 6.5., 6.6., 6.7., 6.8., 7.1., 7.3., maddeleri ile açıklanan ve KVKK nın 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında düzenlenen koşullarda kişisel verilerin yurt dışındaki üçüncü şahıslara aktarılması, Kişisel Verileri Koruma Kurulunun yayınlayacağı güvenli ülke listesi yeterli korumanın bulunması durumunda kişisel verilerin ve özel nitelikli kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili kişinin açık rızasının alınmasına gerek bulunmamaktadır. Ayrıca, yeterli korumanın bulunmaması durumunda Türkiye deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul un izninin bulunması kaydıyla, ilgili kişinin açık rızasının alınması koşulu aranmayacaktır. Kurul tarafından ilan edilecek güvenli ülke listesi, Şirketimiz İrtibat Kişisi tarafından takip edilecek ve Şirketimiz iş süreçlerine dahil edilecektir.
8.2.2. İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rızasının bulunması Kişisel verilerin ve/veya özel nitelikli kişisel verilerin yurt dışına aktarılmasına dair yukarıda yer verilen şartların mevcut olmaması halinde, Şirketimizce ilgili kişinin açık rızasına başvurulabilmektedir. Bu halde ilgili kişiden açık rızasına ihtiyaç duyulan hususa dair bilgilendirme yapılmak ve bu husus ile sınırlı olarak açık rızası alınmak sureti ile yurt dışına veri aktarımı gerçekleştirilebilmektedir.
9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Şirketimiz tarafından, kişisel veriler Şirketimiz kişisel veri saklama ve imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
10. VERİ SORUMLUSU SIFATI İLE ŞİRKETİMİZİN YÜKÜMLÜLÜKLERİ
10.1. Aydınlatma Yükümlülüğü
Şirketimiz, kişisel verilerin elde edilmesi sırasında, kişisel veri sahibini, KVKK nın 10. maddesi doğrultusunda aşağıdaki hususlarda aydınlatmalıdır:
a. Veri sorumlusunun kimliği,
b. Kişisel verilerin hangi amaçla işleneceği,
c. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
d. Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
e. Kişisel veri sahibinin sahip olduğu haklar.
Şirketimizin söz konusu yükümlülüğünün hukuka uygun biçimde yerine getirilebilmesi için iş süreçleri ve veri toplama kanalları gözden geçirilmiş, veri sahiplerinin kişisel verileri ile ilgili başvuru haklarını kullanabilmeleri için iletişim kanalları oluşturulmuştur.
10.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
10.2.1. Kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğü Kişisel verilerin KVKK ve diğer mevzuat hükümleri ile işbu Politika ile düzenlenen ilke ve şartlarda işlenmesinin yanında Şirketimiz kişisel verilerin söz konusu yükümlülüklere aykırı biçimde işlenmesini engellemek üzere her türlü teknik ve idari tedbirleri almakla yükümlüdür.
10.2.1.1. Kişisel verilerin hukuka uygun işlenmesi için alınacak teknik tedbirler Kişisel verilerin toplanmasından silinmesine kadar olan tüm süreçlerin takibi ve denetimi için gerekli donanım ve yazılım altyapısı oluşturulmaktadır.
10.2.1.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak idari tedbirler
a. Şirketimiz kişisel veriye herhangi bir şekilde erişim sağlayan personelinin, kişisel verilerin hukuka ve KVKK ya uygun işlenmesi konusunda bilgilendirilmesi amacı ile işbu Politika ve sonrasında gerekli olacak dokümanları düzenleyerek her bir personeline ulaştıracaktır.
b. Şirketimiz, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren ilgili belgelere kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün şirketimiz ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir.
c. Şirketimiz, kişisel verilere erişimi, işlenme amacı doğrultusunda ve ilgili personeller ile sınırlandırmaktadır. Şirketimiz personelinin tümünün Şirketimizin Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi mümkün olmayıp, Şirketimiz iç uygulamalarına/düzenlemelerine göre belirlenmiş erişim yetkileri çerçevesinde işlem yapılacaktır.
d. Şirketimizin tüm faaliyetleri analiz edilerek birim bazında kişisel veri işleme faaliyetleri belirlenmiştir. Şirketimiz; birimlerin işleyişlerinin KVKK ve işbu Politika ya dayalı yükümlülükleri yerine getirecek biçimde yürütülüp yürütülmediğini denetlemek ve bu uygulamaların sürekliliğini sağlamak üzere politika, prosedür ve diğer iç düzenlemelerini yaparak, güncellemeleri personeline tebliğ edecektir. Güncellemenin yayınlanması ile birlikte yeni prosedür ve politikalar yürürlüğe girer; bağlayıcı olması için, personele tebliğ edilmiş olma şartı aranmaz.
Birimlerin KVKK ya uygun çalışması için yapılacak denetimler ve düzenlenecek dokümanların koordinasyonu yöneticiler ile irtibat kişisi tarafından yürütülecektir.
10.2.2. Kişisel verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin korunmasını sağlama yükümlülüğü
10.2.2.1. Teknik tedbirler
a. Şirketimiz; teknik gelişmelere uygun olarak önlemler alacak, alınan önlemleri tekniğin gelişme hızına bağlı olarak periyodik olarak güncelleyecek, yenileyecek, sızma testleri ve sair metotlarla sistemin güvenilirliğini test ettirecektir.
Şirketimiz, Kişisel Verileri Koruma Kurulunun bu tür sızma testleri ve sair güvenlik önlemleri ile ilgili düzenlemeler yapması veya teknik standartlara atıf yapması durumunda bu yeni gerekliliklere uyum için gerekli tüm çalışmaları yapacaktır.
b. Şirketimiz tarafından, birim bazında belirlenecek hukuksal uyum kriterlerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınacak olup bu konuda Kişisel Verileri Koruma Kurulunun yayınladığı idari ve teknik tedbirler tablosunda belirtilen tedbirlerin gereklerini yerine getirmeyi sağlayacak yazılım ve donanım çözümleri uygulamaya alınacaktır.
c. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine ve irtibat kişisine raporlanacaktır. Risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknik çözümler üretilecektir.
d. Şirketimiz, yürüttüğü faaliyet esnasında kullanılan ve kişisel verilere erişim yetkisi bulunan tüm sistemlere virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili güvenlik yazılımlarını ve sistemlerini kullanacaktır.
e. Veri güvenliği açısından teknik konularda bilgili personel istihdam edilmektedir.
f. Kişisel verilere hukuka uygun olarak erişilmesi için birim bazında çıkarılacak kriterler doğrultusunda erişim yetkileri tanımlanarak, kişisel verilere erişilecek sistemlere ilişkin kullanıcı hesaplarının erişim ve yetkileri kısıtlanmalı ve sistemlere erişebilecek cihazlar sınırlandırılmalıdır.
g. Şirketimiz, kişisel verilerin muhafaza edildiği sistemlere dışarıdan sızılmasının engellenmesi için ve olası risklerin izlenmesi için gerekli yazılım ve donanımların kurulmasını sağlayacak, sızma testlerini yaptıracak, veri kaybının önlenmesi adına yapılacak yedeklemeler yönünden de aynı güvenlik önlemlerinin alınmasını sağlayacak, felaket planlaması kapsamında çalışılan üçüncü gerçek ve/veya tüzel kişiler ile işbu Politika ile getirilen güvenlik önlemlerini almak ve verilerin KVKK ya uyumlu bir şekilde saklanması için gerekli sözleşmeleri yapacaktır.
10.2.2.2. İdari tedbirler
a. Kişisel verilere erişim sağlayan personelinin kişisel verilere hukuka aykırı erişimi engellemek üzere alınacak teknik tedbirlere ilişkin olarak eğitilmesi sağlanacaktır.
b. Şirketimiz; kişisel verilere erişimi, veri işleme amacı doğrultusunda ilgili personeller ile sınırlandıracaktır.
Personelin tümünün Şirketimizin Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi engellenerek, veri işleme amacı göz önünde bulundurularak erişim yetkileri düzenlenecektir.
c. Şirketimiz, personeli ile arasındaki ilişkiyi düzenleyen her türlü belgeye, kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi, kişisel verilerin ifşa edilmemesi, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Şirketimiz ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemektedir.
d. Şirketimiz, kişisel verilere erişim yetkilerine dair prosedür ve gerekli tüm dokümanları hazırlayarak tüm personeline ulaştıracaktır.
10.2.3. Kişisel verilerin korunması konusunda alınan tedbirlerin denetimi
Şirketimiz, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları Şirketimizin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmalı ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmelidir. Şirketimiz tarafından; birimlerin, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalıklarının artırılması ve denetimi konusunda gerekli süreçler tasarlanmalı, periyodik raporlamaların ve raporlar kapsamındaki aksiyonların takibi, doğrulama testleri ve denetimleri yapılmalıdır.
Şirketimiz, veri işleyenlerinin de işbu Politika ve KVKK hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVKK nın 12. maddesi uyarınca sorumludur. Bu nedenle Şirketimiz, veri işleyenleri ile yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler almaktadır.
Şirketimiz, kişisel verilere erişim sağlayan personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden de bilgilendirmektedir.
11. İLGİLİ KİŞİNİN HAKLARI
KVKK nın 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu sıfatı ile Şirketimize karşı aşağıdaki haklara sahiptir:
a. Kişisel verilerin işlenip işlenmediğini öğrenmek ve kişisel verileri işlenmiş ise buna ilişkin bilgi talep etmek,
b. İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,
c. Kişisel verilerin aktarıldığı kişileri bilmek,
d. Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesini istemek,
e. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
f. Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.
Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak veya Kurul tarafından belirlenecek diğer yöntemlerle Şirketimize iletmesi durumunda, KVKK nın 13. maddesi uyarınca Şirketimiz talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde sonuçlandıracaktır.
Şirketimiz tarafından ilgili başvuru sonuçlandırılırken, ilgili kişinin anlayabileceği bir dil ve formatta bilgi verilmeli ve ilgili kişiye bu bilginin kişinin talebi doğrultusunda veya kişinin bir talebi bulunmuyorsa Şirketimizin seçeceği yöntem doğrultusunda yazılı olarak veya elektronik ortamda gönderilmesi sağlanacaktır. Şirketimiz, talebin niteliğine göre ilgili kişinin başvurusunu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir.
Başvurunun kabul edilmesi halinde talebin gereği Şirketimiz tarafından gecikmeksizin yerine getirilir.
Kişisel veri sahibinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul a şikâyet hakkı bulunduğu konusunda Şirketimiz içinde gerekli uyarılar yapılmakta ve çalışanlarımızın bilgilendirilmesi sağlanmaktadır.
12. YÜRÜRLÜK VE GÜNCELLEMELER
Politika, ilgili yönetim kurulu kararının alınmasını müteakip yürürlüğe girmiş kabul edilir. Politikada yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konması hususunda gerekli çalışmalar irtibat kişisi tarafından yapılmakta ve değişiklikler Şirketimiz Yönetim Kurulu Kararı ile yürürlüğe girmektedir.
Politika, olağan olarak yılda bir defa gözden geçirilecektir. Ancak Şirketimiz, gerek görülmesi halinde daha kısa sürede işbu Politikayı gözden geçirme, güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma haklarına sahiptir. Yürürlükten kaldırılmasına yönetim kurulunca karar verilmesi halinde, Politika nın ıslak imzalı eski nüshaları İnsan kaynakları şefi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile dosyasında saklanır.[BHİ1]
Çalışan Adayı Kişisel Verilerinin İşlenmesine ilişkin Aydınlatma Metni
a) Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) uyarınca kişisel verileriniz; veri sorumlusu Serdar Plastik ve Ambalaj San. A.Ş. tarafından aşağıda açıklanan usul ve esaslarla toplanmakta ve işlenmektedir.
b) Kişisel verileri toplamanın yöntemi ve hukuki sebebi
Kimlik, iletişim, özlük, mesleki deneyim ve diğer bilgileriniz tarafı olduğunuz sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla tarafınıza ait kişisel verilerin işlenmesinin gerekli olması hukuki sebebine dayalı olarak,
İş başvuru ve bilgi formu, cv gibi belgelerden veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle toplanmaktadır.
c) Kişisel Verilerinizin Hangi Amaçla İşleneceği
Yukarıda belirtilen hukuki sebeplere dayalı olarak toplanan kişisel verileriniz;
Çalışan adayı başvuru süreçlerinin yürütülmesi,
İletişim Faaliyetlerinin yürütülmesi,
Amaçlarıyla, 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen hukuki sebeplere dayalı olarak işlenmektedir.
d) İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Yukarıda belirtilen hukuki sebeplere dayalı olarak toplanan ve belirtilen amaçlarla işlenen kişisel verileriniz;
C.Başsavcılıkları, mahkemeler gibi şirketimizden bilgi talep etmeye yetkili kurum ve kuruluşlar tarafından talep yapılması durumunda; Bilgi verme yükümlülüğümüz ile sınırlı olarak Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi amaçlarıyla talepte bulunan Yetkili Kamu Kurum ve Kuruluşlarına aktarılmaktadır.
e) Kişisel Veri Sahibinin 6698 sayılı Kanun’un 11. Maddesinde Sayılan Hakları
6698 sayılı Kanun’un ilgili kişinin haklarını düzenleyen 11. maddesi kapsamındaki taleplerinizi, kimliğinizi tespit edici bilgileri de içerecek şekilde Tuzla Kimyacılar OSB, Analitik Cad. No:64 Tepeören Tuzla adresine yazılı olarak veya var ise sistemimizde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle ik@serdar-plastik.com e-posta adresine iletebilirsiniz.
KİŞİSEL VERİLERE İLİŞKİN VERİ SAHİBİ AÇIK RIZA BEYAN FORMU
İş başvurularında değerlendirilmek üzere Serdar Plastik web sitesine (www.serdar-plastik.com) yüklemiş olduğum kimlik, iletişim, mesleki deneyim, özlük ve diğer bilgilerimi içeren kişisel verilerim ile, yine web sayfası üzerinden e-mülakatlar/özel sorular kapsamında şirketinize ilettiğim kişisel verilerimin Çalışan Adayı Başvuru Süreçlerinin Yürütülmesi, iletişim faaliyetlerinin yürütülmesi amaçlarıyla işlenmesine ve talep edilmesi halinde yetkili kurum ve kuruluşlara aktarılmasına hür irademle muvafakat ediyorum.
Kişisel verilerimin işlenmesi ve aktarılmasına dair işbu muvafakati vermeden önce veri sorumlusu Serdar Plastik ve Ambalaj Sanayi A.Ş. tarafından tarafıma 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında bilgilendirme yapıldığını beyan ederim.