NORM MÜHENDİSLİK MAKİNE SAN. TAAHHÜT VE TİC. LTD. ŞTİ.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
KAVRAMLAR
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Veri Sahibi/İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Özel Nitelikli Kişisel Veri |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
Veri Sorumlusu |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi. |
Silme |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
Yok Etme |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
Anonim Hale Getirme |
Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu yöntemle, kişisel verilerin alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. |
I.BÖLÜM
GİRİŞ
Bu düzenlemenin amacını, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında, müşterilerimizin, çalışanlarımızın, iş ilişkisi içinde olduğumuz kişilerin, ziyaretçilerimizin kişisel verileri ve diğer kişisel veri niteliğine haiz tüm verilerin korunması oluşturmaktadır.
Bu Politika ile kişisel verilerin işlenmesi, korunması, silinmesi, yok edilmesi ve anonim hale getirilmesi konusunda Norm Mühendislik Makine San. Taahhüt ve Tic. Ltd. Şti. (Şirket) tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmuştur.
AMAÇ
Bu Politika ’nın amacı, Şirketimiz tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen süreçler konusunda, kişisel verileri işlenen, yukarıda belirtilen hedef kitlemizi bilgilendirmek ve kişisel verilerin korunması ve işlenmesi politikasını belirlemektir.
KAPSAM
Bu Politika; Şirketimiz tarafından işlenen gerçek kişilerin tüm kişisel verilerine ilişkindir.
POLİTİKA’ NIN YÜRÜRLÜĞÜ
Tarafımızca düzenlenerek yürürlüğe giren bu politika Şirketimizin internet sitesinde yayımlanır ve bu yolla kişisel veri sahiplerinin erişimine sunulur.
II.BÖLÜM
1-KİŞİSEL VERİLERİN İLGİLİ MEVZUATA UYGUN OLARAK İŞLENMESİ
Şirketimiz, KVKK’ nın 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda;
1.1-Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma
Şirketimizde, kişisel verilerin işlenmesi süreçleri, hukuki düzenlemelere ve dürüstlük kurallarına uygun bir şekilde yürütülmektedir. Bu kapsamda Şirketimiz, sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemektedir.
1.2-Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak kişisel verilerin güncel ve doğru olmasını sağlamak amacıyla gerekli tedbirleri almaktadır.
1.3-Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
1.4-İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz, kişisel veri niteliğindeki veriyi, yürütmekte olduğu faaliyetlerin getirmiş olduğu gereklilikler bağlamında işin gerektirdiği kadar ve ilgili yasal düzenlemeler kapsam ve doğrultusunda işlemekte olup ilgisiz veya gerek duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
1.5-İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz kişisel verileri yalnızca ilgili mevzuatta öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmektedir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranılmaktadır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile Şirketimiz tarafından kişisel veriler saklanmamaktadır. Bu konu ile ilgili ayrıntılı bilgiye, bu politikanın 7. bölümünde yer verilmiştir.
2- KİŞİSEL VERİLERİN İŞLENMESİ
Şirketimiz, kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.
Aşağıda yazan şartlardan birinin varlığı durumunda kişisel veriler işlenebilir;
2.1- Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
2.2- Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
2.3- Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.4- Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
2.5- Hukuki Yükümlülüğün Yerine Getirilmesi
Şirketimiz veri sorumlusu olarak hukuki yükümlülüklerini yerine getirebilmek için işlemenin zorunlu olması halinde veri sahibinin kişisel verilerini işleyebilecektir.
2.6- Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin kişisel verisi kendisi tarafından alenileştirilmiş olması halinde, amaçla sınırlı olmak kaydıyla, işlenebilecektir.
2.7- Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.8- Veri Sorumlusunun Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3- KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirketimiz, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin hakları konusunda aydınlatma yapmaktadır. (Bknz. Aydınlatma Metni)
4- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Şirketimiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’da öngörülen düzenlemelere uygun davranılmaktadır.
Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz tarafından; özel nitelikli kişisel veriler, gerekli önlemler alınarak aşağıdaki durumlarda işlenmektedir:
Kişisel veri sahibinin açık rızası varsa işlenebilir.
Kişisel veri sahibinin açık rızası olmadığı durumlarda ise ancak kanunlarda öngörülen hallerde işlenebilir.
Sağlıkla ilgili veriler ancak ve sadece veri sahibinin açık rızası ile işlenmektedir.
III. BÖLÜM
ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLER, İŞLENME AMAÇLARI VE SAKLAMA SÜRESİ
1- Şirketimiz, tarafından işlenen kişisel veriler, aşağıda belirtilmiştir. Bununla birlikte, her bir kişisel veri sahibi özelinde hangi verilerin işleneceği; kişisel veri sahibi ile Şirketimiz arasındaki ilişkinin türü, niteliği ve kullanılan iletişim kanalları gibi çeşitli faktörlere bağlı olarak değişebilmektedir.
KİŞİSEL VERİ |
AÇIKLAMA |
Kimlik Bilgisi |
Kişinin kimliğine dair; adı soyadı, T.C. kimlik numarası, uyruk bilgisi, anne-baba adı, doğum yeri, doğum tarihi, cinsiyet, medeni hal gibi bilgilerle kimlik fotokopisi, imza bilgisi vb. veriler |
İletişim Bilgisi |
Telefon numarası, adres, e-posta adresi, gibi bilgiler ile ikametgâh gibi belgeler |
Aile Bireyleri ve Yakın Bilgisi |
Şirketimiz birimleri tarafından yürütülen operasyonlar çerçevesinde, kişisel veri sahibi tarafından Şirketimize bildirilen aile bireyleri (örn. eş, çocuk) ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler |
Fiziksel Mekân Güvenliği |
Şirketimize ait tesislerin girişinde ve bu yerler içerisinde kalış sırasında alınan kamera kayıtları vb. |
Görsel Kayıt |
Fotoğraf |
Finans Bilgisi |
Şirketimizin kişisel veri sahibi ile kurmuş olduğu iş ilişkisine göre oluşturulan her türlü mali bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler; banka hesap bilgileri, IBAN numarası gibi |
Mesleki Deneyim |
Şirketimizin çalışanlarının ve iş yaptığı kişilerin(tedarikçi, müşteri, ürün/hizmet alınan kişi vb.) unvan, eğitim durumu, görev-yetki bilgisi, mesleği, İSG eğitim dokümanları, mesleki yeterlilik belgeleri vb. bilgiler |
Müşteri İşlem |
Vergi dairesi, firma unvanı, sipariş bilgisi, fatura işlemleri vb. veriler |
Hukuki İşlem |
İcra işlemleri ve borç durumuna ait veriler |
Özlük Bilgisi |
Şirketimiz ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri; işe giriş tarihi, öğrenim belgesi, izin bilgisi, terhis belgesi, iş sözleşmesi, AGİ Formu, ayak ve beden ölçüsü bilgisi, izin bilgisi, zimmet belgesi vb. veriler |
Özel Nitelikli Kişisel Veri |
KVK Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri ile din bilgisi ve adli sicil kaydı gibi veriler) |
2- ŞİRKETİMİZ TARAFINDAN İŞLENEN VERİ KONUSU KİŞİ GRUPLARI
Şirketimiz tarafından kişisel verileri işlenenler; çalışan, çalışan yakınları, stajyer, ziyaretçi, müşteri, ürün veya hizmet sağlayıcılar, tedarikçi çalışanı/yetkilisi, kolluk kuvveti yetkilisi, şirket yetkilisi
3- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirketimiz tarafından;
· Çalışanlar için iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi,
· Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
· Acil durum yönetimi süreçlerinin yürütülmesi,
· İş faaliyetlerinin yürütülmesi
· İletişim faaliyetlerinin yürütülmesi ve denetimi
· Finans ve muhasebe işlerinin yürütülmesi,
· İnsan kaynakları süreçlerinin planlanması
· İş sağlığı / güvenliği faaliyetlerinin yürütülmesi
· Ücret politikasının yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi
· Mal ve hizmet satış/alış sürecinin yürütülmesi
· Ürün satışı sonrası, destek hizmetlerinin yürütülmesi
· Ücret politikasını yürütülmesi
· Sözleşme süreçlerinin yürütülmesi
· İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi
· Ürün pazarlama süreçlerinin yürütülmesi
· Lojistik faaliyetlerinin yürütülmesi
· Fiziksel mekân güvenliğinin temin edilmesi ve
- Hukuki yükümlülüklerimizin yerine getirilmesi,
- Kurulan iş ilişkisine istinaden taraflara ait kişisel verilerin işlenmesinin gerekli olması,
- Kanunlarda öngörülmesi ve
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatlerinin korunması gibi nedenlerle veya veri sahibinin “Açık Rızası” alınarak
bu politikanın III. 1 bölümünde belirlenmiş kişisel veriler işlenmektedir.
4- KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirketimiz, kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre boyunca saklamaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirketimiz ’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat veya Şirketimizin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilememekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
IV. BÖLÜM
ŞİRKETİMİZ BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; Şirketin ve kişilerin güvenliğini sağlamaya ilişkin menfaatlerini güvence altına almak amacıyla ve bu politika ile sınırlı olmak şartı ile kişinin mahremiyetini zedelemeden ve güvenlik amaçlarını aşmadan belirli alanlar kamera ile izlemeye tabi tutulmaktadır. Şirketimiz tarafından güvenlik amacıyla yapılan kamera ile izleme faaliyetinde KVKK’ya uygun hareket edilmektedir. Kamera ile izleme faaliyeti ile ilgili bilgilendirme; internet sitesinde işbu politika yayımlanarak, izleme alanlarında izlem yapılacağına ilişkin işaret ve levhalar ile aydınlatma metni asılarak yapılmaktadır.
Güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. Şirketimizin, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye bu Politikanın Kişisel Verilerin Saklanma Süreleri isimli 3.4 maddesinde yer verilmiştir.
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
V.BÖLÜM
KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verilerin aktarılabileceği üçüncü kişiler, veri sahibi ile Şirketimiz arasındaki ilişkinin türü, niteliği ve işlem gerçekleştirilen piyasalar gibi çeşitli faktörlere bağlı olarak değişebilmekle birlikte, verilerin aktarılabileceği üçüncü kişiler, genel itibariyle aşağıda gösterildiği gibidir:
· Yetkili kamu kurum kuruluşları ile Türk Ticaret Kanunu, Türk Borçlar Kanunu, Sosyal Güvenlik Kanunu, İş Kanunu, Kimlik Bildirme Kanunu, Vergi Usul Kanunu, İş Sağlığı/Güvenliği Kanunu ve ilgili diğer mevzuat hükümlerinin izin verdiği kişi veya kuruluşlar,
· Hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak özel hukuk tüzel kişileri,
· Şirketimizin iş ortakları, müşterileri, tedarikçileri ve diğer hizmet sağlayıcılarımız
VI. BÖLÜM
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
Şirketimiz tarafından KVKK’nın 12. maddesi uyarınca “veri güvenliğini” sağlamaya yönelik alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir.
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için gerekli eğitimleri vermektedir.
Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
VII. BÖLÜM
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
KVKK’nın 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirketimizin kararına istinaden kişisel veriler 6 ay içerisinde silinir, yok edilir veya anonim hale getirilir. Kişisel verileri işleme şartlarının tamamı ortadan kalkması halinde ilgili kişinin talebi üzerine de şirketimiz talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Şirketimiz, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
KVKK nın 28.maddesine uygun olarak anonimleştirilmiş kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemler KVKK kapsamı dışında olduğundan kişisel veri sahibinin açık rızası aranmaz.
VIII. BÖLÜM
KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ YÖNTEMİ
Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK’nın 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri;
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, haklarına sahiptir.
IX. BÖLÜM
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİM YAPISI
Şirketimiz, KVK Kanunu’ndaki yükümlülükleri yerine getirmek ve işbu Politikanın uygulanmasına yönelik olarak ve aşağıdaki fonksiyonları yerine getirmek üzere gerekli yönetim yapısını kurar.
• Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
• Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak,
• Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
• Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde farkındalığı artırmak,
•Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini üst yönetimin onayına sunmak,
• Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve uygulanmasını sağlamak,
• Kişisel veri sahiplerinin başvurularını süresi içinde cevaplamak,
• Kişisel Verileri Koruma Kurumu ile olan ilişkileri yönetmek.
Yönetim yapısı oluşturulurken, bir komite kurulur ve bu komitenin kimlerden oluşacağı, görev dağılımı Şirketimizin üst yönetimi tarafından belirlenir. Komite ve bu konuda atanacak sorumlu kişi/kişilere yukarıda belirtilen görevlerine ek olarak, Şirketimizin ihtiyaçları ve yürütmekte olduğu faaliyetlerin özelliğine göre başkaca görev ve sorumluluklar verilebilir.
X. BÖLÜM
KİŞİSEL VERİLERİN GÜVENLİĞİNE YÖNELİK ALINAN TEKNİK VE İDARİ TEDBİRLER
Şirketimiz, kişisel verilerin hukuka uygun ve güvenli şekilde saklanması hususunda gerekli idari ve teknik tedbirleri almaktadır. Bunun için;
· Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur
· Kişisel veri envanteri hazırlanmıştır.
· Sözleşmeler KVKK hükümleri içermektedir.
· Kurumsal Politikalar hazırlanmış ve güncel tutulmaktadır. (Kişisel Verilerin Korunması ve İşlenmesi Politikası ile Kişisel Veri Saklama ve İmha Politikası)
· Çalışanlar için İş Sözleşmesinde KVKK ile ilgili düzenleme yapılmıştır.
· Kişisel veri işleyen çalışanlarla “Gizlilik Sözleşmesi” imzalanmaktadır.
· Kurum içi periyodik ve/veya rastgele denetimler yapılmaktadır.
· Eğitim ve farkındalık faaliyetleri düzenlenmektedir.
· Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
· Risk analizleri yapılmakta ve kişisel veriler mümkün olduğunca azaltılmaktadır.
· Ağ güvenliği ve uygulama güvenliği sağlanmaktadır,
· Güncel anti-virüs sistemleri kullanılmaktadır.
· Kişisel veriler yedeklenmekte, yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
· Mevcut risk ve tehditler belirlenmiştir.
· Özel nitelikli kişisel veriler mutlaka şifreli olarak ve kep veya kurumsal posta hesabı kullanılarak gönderilmektedir.
· Şifreleme yapılmaktadır.
· Güvenlik duvarları kullanılmaktadır.
· Kişisel veri içeren fiziksel ortamların dış risklere karşı güvenliği sağlanmaktadır.
Şirketimiz tarafından işlenen yahut aktarılan kişisel verilerin hukuka aykırı şekilde yetkisiz kişilerin eline geçtiğinin tespit edilmesi halinde 72 saat içinde durum KVK Kurulu ve en kısa sürede ilgili veri sahibine bildirilecektir.