ŞAHİNOĞLU BRONZ PRES-DÖKÜM TİC. VE SAN. A. Ş.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
POLİTİKASI
1- GİRİŞ
Bu Politika ile 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veriler ile ilgili olarak şirket tarafından benimsenecek ve uygulamada dikkate alınacak esaslar ve ilkeler ortaya konulmaktadır.
2- AMAÇ VE KAPSAM
Kişisel verilerin korunması ve işlenmesi politikasının amacı, kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir prosedürün belirlenmesidir.
Bu Politika; Şirketimiz çalışanları da dahil olmak üzere Şirketimiz ile ilişkili gerçek kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
3- İLGİLİ MEVZUAT
Kişisel verilerin işlenmesi ve korunması konusunda, yürürlükte bulunan başta 6698 sayılı Kanun olmak üzere kişisel verilerin işlenmesi ve korunmasıyla ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır.
4- TANIMLAR
Bu prosedürün uygulanmasında;
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Şirket: Şahinoğlu Bronz Pres-Döküm Ticaret ve San. A. Ş.’yi,
Kurul: Kişisel Verileri Koruma Kurulunu,
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
ifade eder.
5- KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDE ESASLAR VE İLKELER
5.1- Genel Olarak
Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
5.2- Genel İlkeler
Şirket, kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işler. Kişisel verilen işlenmesinde aşağıdaki ilkeler benimsenmektedir:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
5.3- Genel Esaslar
5.3.1. Kişisel Verilerin İşlenme Şartları
Şirket nezdinde kişisel veriler Şirket ile ilişkinin kurulması esnasında ve söz konusu ilişkinin devamı süresince, ilişkinin taraflarından, üçüncü kişilerden ve yasal mercilerden olmak kaydıyla internet, telefon, e-posta aracılığıyla ve fiziki, yazılı, sözlü ve elektronik mecralardan Prosedürde yer verilen amaçlar dahilinde Kanun’un 5 ve 6 madde hükümlerinde sayılan ve aşağıda belirtilen hukuka uygunluk sebeplerine dayanılarak toplanmakta, saklanmakta ve işlenmektedir.
- İlgilinin açık razısının bulunması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri işlemenin zorunlu olması.
5.3.2. Özel Nitelikli Kişisel Veriler ve İşlenme Şartları
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
5.3.3. Özel Nitelikli Kişisel Verilerin Güvenliği
Özel nitelikli kişisel verilerin güvenliğine ilişkin önemler alınırken aşağıda belirtilen esaslar uygulanır:
- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik:
Ø Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
Ø Gizlilik sözleşmelerinin yapılması,
Ø Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
Ø Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
Ø Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise:
Ø Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
Ø Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
Ø Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
Ø Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
Ø Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
Ø Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise:
Ø Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
Ø Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
- Özel nitelikli kişisel veriler aktarılacaksa:
Ø Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
Ø Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
Ø Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
Ø Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
5.3.4. Kişisel Verilerin Saklanması ve İmhası
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
5.3.5. Kişisel Verilerin Aktarılması
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda kişisel verilerin aktarılması ve yurtdışına aktarılmasına ilişkin KVK Kanunu’nun 8. Ve 9. Hükümlerine uygun hareket etmektedir. Kişisel verilerin aktarıldığı üçüncü kişiler ve aktarılma amaçları aşağıda belirtilmektedir:
- Yetkili kamu kurum ve kuruşları ile yetkili özel hukuk kişilerine (Hukuki yetki kapsamında talep edilen amaçla sınırlı olarak),
- Şirketin grup şirketlerine (Ticari faaliyetlerin yürütülmesini temin etmek amacıyla sınırlı olarak),
- Şirket’in tedarikçilerine (Gerekli mal ve hizmetlerin şirkete sunulmasını sağlamak amacıyla sınırlı olarak),
- Şirketin iş ortaklarına (İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak ilişkili olduğumuz üçüncü taraf gerçek ve tüzel kişilere, hizmet sağlayıcı firmalar ve yetkililerine, iş ortakları, bankalara, şirketimiz pay sahiplerine ve iştiraklerimize, iş sahipleri, taşeron, yüklenici ve destek hizmeti sağlayıcılara).
Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
- Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
- Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.
5.3.6. İfşa Halinde Tedbir
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
6- KİŞİSEL VERİLERİ İŞLENEN VERİ SAHİPLERİ VE KİŞİSEL VERİ KATEGORİLERİ
6.1. İlgili Kişi Kategorileri
Politika kapsamı dahilinde kişisel verileri işlenmesi muhtemel veri sahipleri aşağıda gruplandırılmaktadır:
İlgili Kişi Kategorisi | Açıklamalar |
Şirket’in ilişki İçerisinde Olduğu İş Ortakları Yetkilileri, Çalışanları | Şirket’in ticari ilişki içinde olduğu kuruluşların (iş ortağı, yüklenici, taşeron, tedarikçi, iş sahibi gibi, ancak bunlarla sınırlı olmaksınız) gerçek kişi yetkilileri, hissedarları, çalışanları. |
Ziyaretçi | Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler |
Çalışan Adayı | Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişiler. |
Şirket Çalışanı | Şirket tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb faaliyetler çerçevesinde kişisel verileri işlenen Şirket çalışanları |
Aile Bireyleri ve Yakınları | Şirket tarafından yürütülen faaliyetler çerçevesinde bu Politika kapsamında kişisel verileri işlenen veri sahiplerinin eş, çocuk ve yakınları |
Şirket Hissedar ve Yetkilileri | Şirket hissedarı ile yönetim kurulu üyesi ve diğer yetkili gerçek kişiler |
Grup Şirket İlgilileri | Şirketin grup şirketlerinin iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler |
Üçüncü Kişi | Bu Politika ve Şirket Çalışanları kapsamına girmeyen diğer gerçek kişiler (Örn. kefil, refakatçi, eski çalışanlar) |
6.2. Kişisel Veri Kategorileri
Kişisel veri kategorileri aşağıda belirtilmiştir;
Kimlik Bilgisi | Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad, soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler. |
İletişim Bilgisi | İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası gibi kişisel veriler. |
Lokasyon Verisi | Şirket araçlarını ve cihazlarını kullanırken bulunduğu yerin konumunu tespit eden kişisel veriler; GPS lokasyonu, seyahat verileri vb. |
Aile Bireyleri ve Yakın Bilgisi | Şirketin iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Şirket’in ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler. |
Fiziksel Mekân Güvenlik Bilgisi | Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, güvenlik noktasında alınan kayıtlar v.b. |
Görsel/İşitsel Bilgi | Fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç) ve ses kayıtları. |
İşlem Güvenliği Bilgisi | Şirketin ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse Şirketin teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler. |
İşlem Bilgisi | Şirket tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen anket bilgisi, beyan bilgisi gibi veriler |
Risk Yönetimi Bilgisi | Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kurallarına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler. |
Finansal Bilgi | Şirket ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi kişisel veriler. |
Çalışan Bilgisi | Çalışanların istihdamları süresince Şirketin ve çalışanların ticari ve hukuki güvenliğinin sağlanması amacıyla yürütülen faaliyetler kapsamında işlenen kişisel veriler (araç bilgisi, eğitim bilgisi, medeni durum bilgisi, referans bilgisi dahil). |
Çalışan Adayı Bilgisi | Şirketin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği Şirket’imizin insan kaynakları ihtiyaçları doğrultusunda Çalışan Adayı olarak değerlendirilmiş veya Şirket’imizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler. |
Performans ve Kariyer Gelişim Bilgisi | Şirket çalışanlarının performanslarının ölçülmesi ile kariyer gelişimlerinin Şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi ve söz konusu faaliyetlerin denetimi amacıyla işlenen kişisel veriler. |
Yan Hak ve Menfaat Bilgisi | Çalışanlara sunulan yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin sağlanması ile çalışan memnuniyeti ve bağlılığı amacıyla yürütülen faaliyetler kapsamında işlenen kişisel veriler (sigorta bilgisi dahil). |
Özlük Bilgisi | Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik ve Topluluk insan kaynakları politikalarının oluşturulması, iyileştirilmesi, icrası ve bu faaliyetlerin denetimi kapsamında işlenen her türlü kişisel veri. |
Hukuki İşlem ve Uyum Bilgisi | Şirket’in hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükler ve Şirket politikalarına uyum kapsamında işlenen kişisel veriler. |
Denetim ve Teftiş Bilgisi | Şirketin kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler. (Şirketimizin operasyonel, finansal, suistimal ve uyum denetimi faaliyetlerinin yürütülmesine ilişkin işlenen kişisel veriler) |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler. |
Talep/Şikâyet Yönetimi Bilgisi | Şirkete yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
İtibar Yönetimi Bilgisi | Kişiyle ilişkilendirilen ve Şirketin ticari itibarını korumak maksatlı toplanan kişisel veriler |
Olay Yönetimi Bilgisi | Kişisel veri sahipleri ile ilişkilendirilen ve şirket çalışanlarını, hissedarlarını ve yetkililerini etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler |
7- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Toplanan kişisel verileriniz, KVKK tarafından öngörülen temel ilkelere uygun olarak ve KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde, aşağıda yer alan amaçlarla işlenebilmektedir:
Kişisel verilerin işleme amaçları aşağıda belirtilmiştir;
- Sözleşme süreçlerinin yürütülmesi,
- Şirketin ve şirket ile iş veya hizmet ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini,
- Şirketin fiziksel mekanlarının, faaliyet alanlarının, fabrika tesislerinin ve ofislerin güvenliğinin temini,
- Verilerin doğru ve güncel olmasının sağlanması,
- Şirketin faaliyetlerinin mevzuata uygunluğunun sağlanması ile denetim faaliyetlerinin planlanması ve icrası,
- Şirketin insan kaynakları süreçlerinin planlanması ve yürütülmesi,
- Şirketin iş ve işyeri düzenin korunması,
- Hukuk işlerinin takibi ve yürütülmesi,
- Yasal mevzuatın öngördüğü işlemlerin planlanması, denetimi ve yürütülmesi ile faaliyetlerin yasal mevzuata uygun yürütülmesinin sağlanması,
- Talep ve şikâyetlerin inceleme ve takibi süreçlerinin yürütülmesi,
- İş faaliyetlerinin verimlilik, sürdürülebilirlik ve analizlerinin planlanması ve yürütülmesi,
- Ziyaretçi kayıtlarının oluşturulması ve takibi,
- Kurumsal iletişim faaliyetlerinin planlanması ve yürütülmesi,
- Bilgi güvenliği süreçlerinin planlanması, denetimi ve yürütülmesi,
- Finans ve muhasebe işlerinin takibi,
- İş ortakları, tedarikçiler, yükleniciler, taşeronlar, iş sahipleri ve personeller ile olan ilişkilerin yönetimi,
- Yetkili kurum ve kuruşlara mevzuattan kaynaklı bilgi verilmesi,
- Şirket kaynaklarının güvenli ve verimli kullanılmasının sağlanması,
- Şirket prestijinin korunmasına yönelik faaliyetlerin yürütülmesi,
- Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi,
- Mal/hizmet satın alım, satış, pazarlama, lojistik faaliyet ve analiz süreçlerinin yürütülmesi,
- Stratejik planlama faaliyetlerinin yürütülmesi,
amacıyla işlenmektedir.
8- KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
Şirket tarafından güvenliğin sağlanması amacıyla ve Kanun’un 4. maddesine uygun olarak Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulması halinde;
Yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygunluk sağlanır. Bu kapsamda Şirket tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi aydınlatılır.
Güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmalıdır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamalıdır.
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda çalışanın erişimi bulunmalıdır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik sözleşmesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmelidir.
Misafir olarak Şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmalıdır. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmeli ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmelidir.
9- KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
9.1. İlgili Kişinin Hakları
Kişisel veri sahibi aşağıdaki haklara sahiptir:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini istemeve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
9.2. İlgili Kişinin Haklarını Kullanmasında Usul ve Esaslar
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 11. Maddesinde sayılan haklarınız kapsamındaki taleplerinizi, Kanun’un 13. maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. maddesi gereğince, aşağıda açıklanan yöntemlerden biriyle başvurunuzu şirketimize iletebilirsiniz.
Başvuru Yöntemi | Başvuru Yapılacak Adres | Başvuruda Bulunması Zorunlu Hususlar | |
1- Yazılı Olarak Başvuru | Islak imzalı şahsen başvuru veya Noter vasıtasıyla | İTOSB 9. Cd. No:13 Tuzla/İstanbul | Başvuruda; a) Ad, soyad ve başvuru yazılı ise imza, b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, |
2- Kayıtlı Elektronik Posta (KEP) Yoluyla | Kayıtlı elektronik posta (KEP) adresi ile | sahinoglubronz@hs01kep.gov.tr | c) Tebligata esas yerleşim yeri veya iş yeri adresi, ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, |
d) Talep konusu, bulunması zorunludur. Ayrıca başvuru konusuna ilişkin bilgi ve belgelerin başvuruya eklenmesi gerekmektedir. | |||
Başvurunuzda şirketimiz ile olan ilişkinizi belirtiniz. (Müşteri, iş ortağı, çalışan adayı, eski çalışan, üçüncü taraf firma çalışanı, hissedar gibi) |
Şirkete iletilmiş olan başvurular Kanun’un 13’üncü maddesinin 2’inci fıkrası gereğince, talebin niteliğine göre talebin Şirkete ulaştığı tarihten itibaren otuz gün içinde yanıtlandırılacaktır. Yanıt, ilgili Kanun’un 13’üncü maddesi hükmü gereğince yazılı veya elektronik ortamdan ilgilisine ulaştırılacaktır.