SAFİR NALBURİYE SANAYİ
VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİ İŞLEME VE
KORUMA POLİTİKASI
İÇİNDEKİLER
Sayfa
1-POLİTİKAYA
DAİR FİRMA SUNUMU
2-POLİTİKANIN
KAPSAMI –VERİ SAHİBİ KATEGORİLERİ
3-POLİTİKANIN
AMACI VE İLKELER
4-KİŞİSEL VERİLERİN İŞLENMESİ
1)
KİŞİSEL VERİLERİN İŞLENMESİ
2)
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN
İŞLENMESİ
5-FİRMAMIZ TARAFINDAN İŞLENEN VERİ KATEGORİLERİ
6-
VERİ SAHİBİ KATEGORİLERİ İLE VERİ KATEGORİLERİNİN VE İŞLEME AMAÇLARININ İLİŞKİLENDİRİLMESİ
7-KAYIT
ORTAMLARI VE KİŞİSEL VERİLERİN TOPLANMA ŞEKLİ
8- GÜVENLİK KAMERALARI VASITASI İLE FİRMAMIZA AİT
LOKASYONLARDA YAPILAN KİŞİSEL
VERİ İŞLEME FAALİYETLERİ
9- VERİ AKTARIMI YAPILAN ALICI KATEGORİLERİ İLE
AKTARIM AMAÇLARI VE HUKUKİ
SEBEPLERİ
10- KİŞİSEL VERİLERİN YURT İÇİ VE YURT DIŞINA
AKTARILMASI…………………………………………………11
11-SAKLAMA VE İMHA SÜREÇLERİ
12-VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
13- VERİ KORUMA SORUMLUSUNUN TESPİTİ İLE GÖREV VE YETKİLERİ
14-KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BAŞVURU SÜRECİ
15-KİŞİSEL VERİLERİN KORUNMASI ALINAN TEKNİK
VE İDARİ TEDBİRLER
İDARİ TEDBİRLER
TEKNİK TEDBİRLER
ÖZEL NİTELİKLİ KİŞİSEL VERİLERE
İLİŞKİN ALINAN TEDBİRLER
16-POLİTİKADA
YAPILACAK DEĞİŞİKLİKLER
17-POLİTİKA YÜRÜRLÜK TARİHİ
6698 Sayılı Kişisel
Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte gerek faaliyet
gösterdiğimiz alanlarda gerek faaliyetlerimizi doğrudan veya dolaylı olarak ilgilendiren
her türlü işlemde bir taraftan işin ve faaliyetin teknik /idari/hukuki gereklerini
yerine getirebilmek diğer yandan daha etkin daha hızlı daha verimli ve çağın ve
teknolojinin gereklerine uygun hareket edebilmek için temas ettiğimiz veri
sahiplerinin kişisel verilerini işlememiz de kaçınılmaz hale gelmektedir.
Anayasa'nın 20. Maddesine
istinaden düzenlenen 6698
sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu olan
firmamız SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ, herhangi bir sebeple temas ettiği,
akdi veya kanuni ilişki içinde bulunduğu kişilere ait her türlü kişisel verinin
korunması ve güvenliğinin sağlanması konusunda da veri sahiplerini kendilerini
güvende hissetmelerini sağlayacak bilinç ve farkındalık ile hareket etmektedir.
İşbu politika ve Firmamız bünyesindeki
sair politikalar, kalite standartları çerçevesinde kişisel veri sahiplerinin
kişisel verilerinin, 6698 sayılı KVKK, Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumluları
Sicili Hakkında Yönetmelik ve diğer ilgili yönetmeliklere, Kişisel Verileri Koruma Kurul’u (“Kurul”) kararlarına uygun olmak suretiyle işlenip muhafaza
edilmesi için gerekli teknik ve idari altyapı çalışmaları yürütülmektedir.
Yine süreç içinde rol alan kişilerin
görev ve sorumlulukları açık ve net bir şekilde belirtilmek sureti ile iş bu
politikada yer alan hususların yerine getirilmesi konusunda gerekli takip ve
sürdürülebilirliğinin sağlanması, çalışanlarımızın da yüksek farkındalık ve
hassasiyet içinde görevlerini yerine getirmesi amaçlanmaktadır.
Firmamızın faaliyet alanı, amaçlar,
temas ettiği kişiler dikkate alınarak hazırlanan kişisel veri envanterine uygun
şekilde iş süreçlerinin yürütülmesi hedeflenmektedir. Kişisel veri envanterinde
yer alan hususlarla uyumlu şekilde VERBİS kaydı da yapılmıştır.
2.1) İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası
(“Politika”); SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED
ŞİRKETİ
(“Firma ”) faaliyet gösterdiği alan dâhilinde kişisel verileri işlediği
herhangi bir sürece dâhil olan ve başta aşağıda belirtilen kategoriler olmak üzere
firmamız ile herhangi bir şekilde ve sebeple temasa geçen tüm 3. gerçek kişileri
kapsamaktadır. Diğer yandan bu politika firmamızın 6698 sayılı KVK Kanuna uygun
şekilde faaliyetlerini yürütmesi için çalışan, tedarikçi, şirket yetkilisi, hissedar
gibi faaliyet süreçlerimizde yer alan /alacak herkesin uyması gereken hususları
kapsamaktadır.
POLİTİKA KAPSAMINA YER ALAN VERİ
SAHİBİ KATEGORİLERİ |
|
AÇIKLAMA –ÖRNEKLEME |
Firma Çalışanları |
: |
Hâlihazırda çalışan ve daha önce
çalışıp da herhangi bir sebeple hizmet akdi sona ermiş olan kişiler gibi |
Firma Hissedar ve Yetkilileri |
: |
Gerek firmada temsil yetkisi olan kişiler gerekse
firmada hisse sahibi olan kişiler gibi |
Ürün ve /veya Hizmet Alıcısı |
: |
Müşteri , bayi-alt bayi , bayi yetkilileri,
bayi tedarikçileri gibi |
Potansiyel Ürün ve/veya Hizmet Alıcı
adayı |
: |
Müşteri, bayi adayları gibi |
Tedarikçi |
: |
Herhangi bir ürün veya hizmet alınan
tüm kişiler (danışman, mali müşavir, kiraya veren, alt yüklenici (taşeron),
tedarikçi yetkili ve/veya hissedarları, eğitmen, işyeri hekimi, iş güvenliği
uzmanı, nakliyeci, banka, sigorta şirketleri, tercüman, avukat, taşımacılar,
gümrük müşaviri, teknoloji firmaları, reklam ajansları gibi |
Tedarikçi Çalışanı |
: |
Ürün ve/veya hizmet sağlayan tedarikçi çalışanları
gibi |
Alt Yüklenici |
: |
Herhangi bir ürün veya hizmet alınan
tüm kişiler (Nakliye firmasının taşıma işi için görevlendirdiği kişi) |
Ziyaretçi |
: |
2.2)
İşbu Politika; firmamızın her türlü kişisel
veri üzerinde uygulayacağı tüm işleme faaliyetlerini (Kişisel verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü
işlemi) kapsayacaktır.
2.3)
İşbu Politikanın ilgili maddeleri mevzuatta
belirtilen emredici hususlara aykırılık teşkil etmediği sürece özel nitelikli
kişisel veriler hakkında da uygulanacaktır. Özel nitelikli kişisel veriler ile
ilgili ilave olarak uyulması gereken hususlar ayrıca da belirtilmiştir.
2.4)
İş
bu politikada belirtilen hususlar ile ilgili yeni bir mevzuatın belirlenmesi
veya ilgili mevzuatın güncellenmesi durumunda, firmamız politikasını ilgili
mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine
uyacaktır. Ancak herhangi bir güncelleme yapılmasa dahi maddeler güncellenen
mevzuat hükümlerine uygun şekilde yorumlanacak ve uygulanacaktır.
3.1) İşbu Politika, 6698
sayılı Yasada tanımlanan kişisel verilerin firmamız işleyişi ve işlemleri esnasında
işlenmesinde başta özel hayatın gizliliği olmak üzere veri sahibi kişilerin
temel hak ve özgürlüklerini korumak ve koruma için yapılan iş ve işlemleri
açıklamak amacıyla düzenlenmiştir.
3.2)
İş bu politika ile gerek veri sorumlusu olarak
firmamızın gerek veri işleyen sıfatı ile hareket edecek gerçek ve tüzel kişilerin, veri
koruma sorumlusu, Veri Saklama
ve imha süreçlerinde yer alan kişilerin her türlü veri işleme faaliyeti ile
ilgili yükümlülükleri ve uyacakları usul ve esaslar da belirlenmiş olmaktadır.
3.3)
Firmamız VERBİS’e kayıt yükümlülüğü de olan
bir Veri Sorumlusu olarak, uhdesinde bulunan kişisel verileri hazırlanan
kişisel veri envanterine uygun bir şekilde toplamak, işlemek ve tüm yasal
mevzuat hükümleri çerçevesinde erişim sağlamak için bir Politika hazırlamak ve
bu Politikaya uygun hareket etmek ile de yükümlüdür. VERBİS sisteminde firmamız
ile ilgili belirtilen hususlara dair veri sahipleri ihtiyaç duymaları halinde
gerekli ve ayrıntılı bilgiye de bu politika vasıtası ile sahip
olabileceklerdir.
3.4)
Firma faaliyetlerimiz ile ilgili olarak temas
ettiğimiz veri sahiplerinin kişisel verilerinin işlenmesi, korunması ve imhası dâhil
tüm süreçlerde 6698 sayılı Yasanın 4 üncü maddesindeki genel ilkelere
uyulacaktır. Bu ilkeler şu şekildedir;
i.
Hukuka ve dürüstlük kurallarına uygun olma
ii.
Doğru ve gerektiğinde güncel olma
iii.
Belirli, açık ve meşru amaçlar için işlenme
iv.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
v.
İlgili mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza edilme.
3.5)
Firmamız işbu Politikayı hazırlamış olsa dahi
Yönetmelik, Kanun vs. ilgili mevzuata ve bu mevzuatta meydana gelebilecek her
türlü değişikliğe, Kurul tarafından alınacak kararlara uygun hareket edecek ve
kendisini hukuka ve teknolojinin gereklerine uygun şekilde güncelleyecektir.
3.6)
Kişisel verilerin
firmamız adına ve firmamız tarafından yapılan yetkilendirmeye istinaden başka bir gerçek veya tüzel kişi tarafından işlenmesi
hâlinde, belirtilen bu tedbirlerin alınması hususunda bu kişilerle birlikte
müştereken sorumlu olduğumuzun bilinci ile hareket edilerek gerekli takip ve
kontrol yapılacak ve buna uygun akdi ilişkiler tesis edilecektir.
3.7)
Firmamız mevzuat ve iş bu politika hükümlerinin
uygulanmasını sağlamak, ülke genelinde de farkındalığı henüz istenen seviyede
olmayan kişisel verilerin korunması ile ilgili farkındalık düzeyinin başta
firmamız yetkili ve çalışanları olmak üzere temas ettiğimiz tüm gerçek ve tüzel
kişiler nezdinde artırılması amacıyla gerekli çalışma ve denetimleri yapacak veya
yaptıracaktır.
3.8)
Firmamız tamamen veya kısmen otomatik olan ya da herhangi
bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen
kişisel verilerin işlenmesi, aktarılması, korunması sırasında mevzuata ve İşbu
Politikaya uygun hareket edecektir.
3.9)
İş bu politika içinde geçen ibareler için 6698 sayılı Yasa ve
bu yasa ile ilgili ikincil mevzuatta yer alan tanımlar esas alınmıştır.
4.1 ) KİŞİSEL VERİLERİN İŞLENMESİ:
Hayatın doğal akışı içerisinde ve faaliyet alanımızın
gereği olarak temas ettiğimiz gerçek kişilerin kişisel verilerinin işlenmesi
bir gereklilik olmakla birlikte bu işlemler gelişigüzel ve sınırsız bir biçimde
değil, belirli kural ve ilkelere uyularak gerçekleştirilmektedir.
Kişisel veriler 6698 sayılı KVKK’nın 4.
Maddesinde belirtilen genel ilkeler uyarınca Kanun’un 5. Maddesine uygun olarak
işlenir. Buna göre; Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenmemekte
ancak;
§ Kanunlarda açıkça öngörülmesi,
§ Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması,
§ Bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel
verilerin işlenmesinin gerekli olması,
§ Firmamızın hukuki yükümlülüklerini yerine
getirebilmesi için zorunlu olması,
§ İlgili kişinin kendisi tarafından
alenileştirilmiş olması,
§ Bir hakkın tesisi, kullanılması veya
korunması için veri işlemenin zorunlu olması,
§ İlgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, firmamızın meşru menfaatleri için veri
işlenmesinin zorunlu olması halinde kişisel veri sahibinin açık rızası
olmaksızın işlenmesi mümkündür.
Kişisel veri işleme faaliyetimiz,
Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda
ilgili kişiden ayrıca açık rıza alınması şartı aranmamaktadır.
4.2 )
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ:
Özel nitelikli kişisel veri olarak kabul edilen kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileri 6698 sayılı KVKK’nın
4. Maddesinde belirtilen genel ilkeler uyarınca ve Kanun’un 6. Maddesine uygun
olarak işlenir.
Sağlık ve cinsel hayat dışındaki
kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası
aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel
veriler ise ancak;
§ Kamu sağlığının korunması,
§ Koruyucu hekimlik,
§ Tıbbî teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi,
§ Sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla
Sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin
işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması
şarttır.
İlgili
olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden
kaçınılmaktadır. Yasal gereklilik olmadığı sürece de özel nitelikte kişisel
verileri işlememekte veya işlememiz gerektiğinde gerekli ve yeterli koruma
tedbirleri ve konuya ilişkin veri sahibinin açık rızası da alınmaktadır.
Özel
nitelikli kişisel veri olarak kabul edilen;
-Sağlık verileri çalışanlarımızdan 6331
sayılı İş Sağlığı ve Güvenliği Yasası, 5510 sayılı Sosyal
Sigortalar ve Genel Sağlık Sigortası Kanunu, 4857 sayılı İş Kanunu ve bu
kanunlara bağlı ikincil mevzuatlar gereği ortaya çıkan yasal zorunluluklar ile
GDPR madde 9/2/b hükmü doğrultusunda veri sahibinin istihdam, sosyal güvenlik
ve İş güvenliği çerçevesindeki hak ve yükümlülüklerinin gerçekleştirilmesi
amacıyla ve yasal zorunluluk nedeni ile alınmakta ve yine mevzuatta belirtilen
süreler dâhilinde saklanmaktadır.
Firmamızda 6698 sayılı Kanun
çerçevesinde işlemeye tabi tutulan veri kategorileri ile bu veri kategorileri
içine aldığımız veri çeşitlerine dair açıklamalarımız aşağıda belirtilmiştir;
|
6- VERİ SAHİBİ KATEGORİLERİ İLE VERİ KATEGORİLERİNİN VE İŞLEME
AMAÇLARININ İLİŞKİLENDİRİLMESİ
İş bu politikamızda belirlemeler
yapılırken veri sahibi kategorisi ile esas temas amaçları dikkate alınarak veri
kategorileri belirlenmiştir. Elbette bir veri sahibi kategorisinde yer alan
kişi aynı anda veya farklı anlarda farklı veri sahibi kategorisine girebilecek
şekilde firmamız ile temasa geçebilir. Örneğin; tedarikçi adayı olan bir
kişinin firmamızı ziyaret etmesi durumunda ziyaretçi kategorisi için belirtilen
verileri işlenmiş olacaktır.
POLİTİKA
KAPSAMINDA YER ALAN VERİ
SAHİBİ KATEGORİLERİ |
İŞLENEN VERİ KATEGORİLERİ |
KİŞİSEL VERİ TOPLAMA VE İŞLEME AMAÇLARI |
Firma Çalışanları |
Kimlik, İletişim, Lokasyon Özlük, Fiziki Mekan Güvenliği, Finans,
Mesleki Deneyim, Sağlık, Seyahat |
Acil Durum Yönetimi Süreçlerinin Yürütülmesi Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin
Yerine Getirilmesi Denetim / Etik Faaliyetlerinin Yürütülmesi Faaliyetlerin Mevzuata Uygun Yürütülmesi İnsan Kaynakları biriminden gelen bilgiler
çerçevesinde maaş, prim, avans ve diğer yan ödemelerin takibi, bankalara
gerekli bildirimlerin yapılması gibi Finans Ve Muhasebe İşlerinin Yürütülmesi, Fiziksel Mekan Güvenliğinin Temini Yurt içi -yurt dışı firma içi görevlendirme
Süreçlerinin Yürütülmesi Hukuk İşlerinin Takibi Ve Yürütülmesi İletişim Faaliyetlerinin Yürütülmesi İnsan Kaynakları Süreçlerinin Planlanması İş Faaliyetlerinin Yürütülmesi / Denetimi İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi Lojistik Faaliyetlerinin Yürütülmesi Organizasyon Etkinlik Yönetimi Risk Yönetimi Süreçlerinin Yürütülmesi Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi Sözleşme Süreçlerinin Yürütülmesi Taşınır Mal Ve Kaynakların Güvenliğinin Temini Ücret Politikasının Yürütülmesi Veri Sorumlusu Operasyonlarının Güvenliğinin Temini Yetkili kişi kurum ve kuruluşlara bilgi verilmesi |
Kimlik, İletişim,
Finans, Fiziksel Mekan Güvenliği
|
Acil durum yönetimi süreçlerinin yürütülmesi, Denetim / etik faaliyetlerin yürütülmesi Faaliyetlerin mevzuata uygun yürütülmesi Finans ve muhasebe işlerinin yürütülmesi Fiziksel Mekan Güvenliğinin Temini Görevlendirme süreçlerinin yürütülmesi, Hukuk işlerinin takibi ve yürütülmesi İletişim faaliyetlerinin yürütülmesi İş faaliyetlerinin yürütülmesi / denetimi İş Sürekliliğinin Sağlanması Faaliyetlerinin
Yürütülmesi Saklama ve Arşiv Faaliyetlerinin Yürütülmesi, Veri sorumlusu operasyonlarının güvenliğinin temini,
Yetkili kişi kurum ve kuruluşlara bilgi verilmesi Yönetim faaliyetlerinin yürütülmesi, |
|
Kimlik, İletişim, Müşteri
İşlem, Finans, Fiziksel mekan güvenliği |
Faaliyetlerin mevzuata uygun
yürütülmesi, Finans ve muhasebe
işlemlerinin yürütülmesi, Firma/ürün/hizmetlere
bağlılık süreçlerinin yürütülmesi, İletişim faaliyetlerinin
yürütülmesi, İş faaliyetlerinin
yürütülmesi / denetimi, İş süreçlerinin
iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi, Mal / hizmet üretim ve
operasyon süreçlerinin yürütülmesi, Mal/ hizmet satış sonrası
destek hizmetlerinin yürütülmesi, Mal-hizmet satış
süreçlerinin yürütülmesi, Müşteri ilişkileri yönetimi
süreçlerinin yürütülmesi, Müşteri memnuniyetine
yönelik aktivitelerin yürütülmesi, Pazarlama analiz
çalışmalarının yürütülmesi, Risk yönetimi süreçlerinin
yürütülmesi, Sözleşme süreçlerinin
yürütülmesi, Talep / şikayetlerin takibi,
Taşınır Mal Ve Kaynakların Güvenliğinin Temini Ürün ve hizmetlerin
pazarlama süreçlerinin yürütülmesi, Veri sorumlusu
operasyonlarının güvenliğinin temini, Yetkili kişi kurum
kuruluşlara bilgi verilmesi,
|
|
Ürün ve/veya Hizmet
Alıcı adayı |
Kimlik, İletişim, Fiziksel mekan güvenliği |
Faaliyetlerin
Mevzuata uygun Yürütülmesi Finans
Ve Muhasebe İşlerinin Yürütülmesi İletişim faaliyetlerinin yürütülmesi İş Faaliyetlerinin Yürütülmesi / Denetimi İş Sürekliliğinin Sağlanması Faaliyetlerinin
Yürütülmesi Mal
/ Hizmet satım Süreçlerinin Yürütülmesi Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi Pazarlama
Analiz Çalışmalarının Yürütülmesi Sözleşme
Süreçlerinin Yürütülmesi Talep
/ Şikayetlerin Takibi Taşınır Mal
Ve Kaynakların Güvenliğinin Temini Ürün/hizmet pazarlama süreçlerinin yürütülmesi Veri
sorumlusu operasyonlarının güvenliğinin temini Yetkili Kişi, Kurum ve
Kuruluşlara Bilgi Verilmesi |
Tedarikçi |
Kimlik, İletişim, Finans, Fiziksel mekan güvenliği
temini |
Faaliyetlerin mevzuata uygun olarak yürütülmesi, Finans
ve muhasebe işlerinin yürütülmesi, İletişim faaliyetlerinin yürütülmesi, İş faaliyetlerinin yürütülmesi/denetimi, Mal-hizmet satın alım süreçlerinin yürütülmesi, Sözleşme süreçlerinin yürütülmesi, Tedarik zinciri yönetimi süreçlerinin yürütülmesi, Taşınır
mal ve kaynakların güvenliğinin temini, Veri sorumlusu operasyonlarının güvenliğinin temini, Yetkili kişi kurum kuruluşlara bilgi verilmesi, |
Alt Yüklenici |
Kimlik, İletişim,
Finans, Fiziksel Mekan Güvenliği, |
Faaliyetlerin Mevzuata uygun
Yürütülmesi Finans Ve Muhasebe İşlerinin
Yürütülmesi Fiziksel mekan güvenliği temini Hukuk İşlerinin Takibi Ve
Yürütülmesi İletişim Faaliyetlerinin Yürütülmesi İş Faaliyetlerinin Yürütülmesi /
Denetimi Mal / Hizmet alım Süreçlerinin
Yürütülmesi Sözleşme Süreçlerinin Yürütülmesi Taşınır mal ve kaynakların
güvenliğinin temini Ürün/Hizmetlerin Pazarlama
süreçlerinin yürütülmesi Yetkili kişi kurum ve
kuruluşlara bilgi verilmesi |
Ziyaretçi |
Kimlik, İletişim, Finans, Fiziksel Mekan Güvenliği, |
Faaliyetlerin Mevzuata Uygun Yürütülmesi, Erişim Yetkilerinin Yürütülmesi, Fiziksel Mekan Güvenliğinin Temini, İletişim
Faaliyetlerinin Yürütülmesi, Taşınır Mal Ve Kaynakların Güvenliğinin Temini Risk yönetimi süreçlerinin yürütülmesi Veri Sorumlusu Operasyonlarının Güvenliğinin
Temini, Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi, Kurumsal İlişki ve İtibar Yönetimi Süreçlerinin
yürütülmesi, |
7- KAYIT ORTAMLARI VE KİŞİSEL VERİLERİN TOPLANMA ŞEKLİ
-
Sunucular
(Yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
-
Yazılımlar
(ofis yazılımları vb. )
-
Bilgi
güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt
dosyası, antivirüs vb.
-
Bilgisayarlar
(Masaüstü, dizüstü)
-
Mobil
cihazlar (telefon, tablet vb.)
-
Ağ
üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri,
Optik diskler (CD, DVD vb.)
-
Güvenlik
Kamera kayıtları
-
Çıkartılabilir
bellekler (USB, Hafıza Kart vb.)
-
Yazıcı,
tarayıcı, fotokopi makinesi, faks cihazı, telefon hafıza kayıtları
-
Manuel
veri kayıt ortamları/Kağıt ortamı (Her türlü form, sözleşme, fotokopi, anket
formları,
-
Ve diğer Yazılı,
basılı, görsel ortamlar
VERİ
TOPLAMA ŞEKLİ:
Firmamız hali hazırda aşağıda belirtilmiş
olan otomatik olan veya olmayan yöntemlerle veri toplamaktadır;
·
Firmamız
faaliyetlerinin sürdürülmesi amacı ile kullanılan her türlü basılı ve dijital belge/evrak/
resmi evrak/ formların/sözleşmelerin doldurulması veya beyan sureti ile sözlü,
fiziki veya elektronik ortamlar vasıtası ile
·
Güvenlik
Kamerası, kurumsal itibar amacı ile fotoğraf çekimleri sureti ile
·
Firmamıza
gelen her türlü mail, faks, mektup, posta, kargo gönderisi vasıtası ile
·
Özlük
dosyası oluşturma faaliyetleri esnasında çalışan tarafından getirilen fiziki
belgelerin dosyalanması sureti ile
·
Firmamız
ile mal/hizmet alım veya satımı için ticari ilişki kurmak, firmamıza teklif
vermek gibi amaçlarla mail göndermek, kartvizit, özgeçmiş (cv), teklif verilmesi
sureti ile
·
Kişi,
Kurum ve Kuruluşlar ile yapılan yazışmalardan ve bunlar tarafından sunulan
internet uygulamalarından
işlenebilmekte ve toplanabilmektedir.
Veri
sahipleri tarafından firmamıza bildirilecek 3. Kişilere ait (veri sahibi yakını,
referans kişi/kişiler gibi ) kişisel
veriler (isim, soy isim, telefon, e-posta gibi ) için, söz konusu kişinin
bilgilendirilmesi ve açık rızasının alınması veriyi aktaran kişinin
sorumluluğunda olacaktır.
8-
Firmamızda iş
sağlığı ve güvenliğinin sağlanması, firmamıza ait taşınır ve taşınmaz mallar
ile toplanan her türlü kişisel verinin güvenliğinin sağlanması amacıyla ve hukuki,
teknik, ticari denetim ve güvenliğin temini ile misafir giriş çıkışlarının
takibine yönelik kapalı devre kamera kayıt sistemleri vasıtasıyla elektronik
ortamda veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla hukuki
yükümlülüğün yerine getirilmesi ve firmamız meşru menfaatleri için, kişisel veri işleme faaliyetinde
bulunulmaktadır.
Bu izleme
faaliyetleri 6698 sayılı KVKK ve ilgili mevzuata uygun olarak sürdürülmektedir.
Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere
duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan
alanların girişlerine asılmaktadır. Ayrıca firmamız internet sitesinde de bu
hususta aydınlatma metni bulunmaktadır.
Güvenlik kameraları vasıtası ile
gerçekleştirilen veri işleme faaliyetlerinde işleme amacı ile ölçülü şekilde
hareket edilmesi ve kişilerin mahremiyet alanına ölçüsüz müdahalede
bulunulmaması esastır. Tuvalet, lavabo, soyunma odası gibi alanlarda güvenlik
kamerası bulunmamaktadır.
Firmamız
tarafından 6698 sayılı KKVK Kanunu’nun 12. maddesine uygun olarak ve iş bu
politikada belirtilen hususlar çerçevesinde kamera ile izleme faaliyeti
sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli
teknik ve idari tedbirler alınmaktadır. Firmamız içinde kayıtlara erişimi olan
sınırlı sayıdaki çalışandan da gizlilik taahhütnamesi alınmakta ve bu kişilerin
eriştiği verilerin gizliliğini koruma hususunda hassasiyet göstermeleri
istenmektedir.
Güvenlik
kameraları vasıtası ile toplanan kişisel veriler yukarıda belirtilen amaçların
gerçekleştirilmesi kapsamında, güvenlik sistemleri ile ilgili hizmet aldığımız
tedarikçilerimize ve kanunen yetkili kamu kurumları ile özel kişilere Kanun’un
8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları
çerçevesinde aktarılabilecektir.
Firmamız
tarafından işlenen kişisel veriler işleme amaçları olarak belirtilen amaçlar
doğrultusunda ve bu amaçların ifası için gerekli olması durumunda aşağıdaki
alıcı kategorilerine aktarılabilmektedir;
Sıra No |
Veri Aktarımı Yapılan Alıcı Kategorisi |
|
|
|
AKTARIM
AMACI |
|
|
|
|
HUKUKİ SEBEBİ |
Herkese Açık |
|
|
|
Firmamıza ait internet
sitesinde paylaşılan bilgiler ve görseller ile sınırlı olacak şekilde
Kurumsal İletişim ve itibar yönetim süreçlerinin yürütülmesi amacıyla |
|
|
|
|
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
|
|
2 |
Hissedarlar |
|
|
|
Faaliyetlerin Mevzuata Uygun Yürütülmesi, Yönetim Faaliyetlerinin Yürütülmesi, İş
Faaliyetlerinin Yürütülmesi / Denetimi, görevlendirme süreçlerinin
yürütülmesi, Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
|
|
|
|
|
Kanunlarda açıkça öngörülmesi, Bir hakkın tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri aktarılmasının zorunlu olması |
3 |
Mal ve Hizmet alınan Tedarikçiler |
|
|
|
Firmamızın ihtiyacı olan her
türlü mal ve hizmetin tedariki için gerekli olan ve/veya tedarikçi ile
yapılan sözleşmenin ifası için gerekli hallerle sınırlı şekilde |
|
|
|
|
İlgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, sözleşmenin ifası, hukuki
yükümlülüğün yerine getirilmesi ve veri sorumlusunun meşru menfaatleri için
veri aktarılmasının zorunlu olması |
5 |
Yetkili Kişi, Kurum, Kuruluş |
|
|
|
Yetkili kişi, kurum ve
kuruluşlara verilen hukuki yetki ve görevler çerçevesinde bu kurum ve
kuruluşlardaki işlemlerin yerine getirilmesi veya kişi, kurum ve
kuruluşlardan gelen bilgi /belge taleplerinin yerine getirilmesi amaçları ile
sınırlı şekilde |
|
|
|
|
Kanunlarda öngörülmesi, veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, Bir hakkın tesisi, kullanılması veya korunması için
veri aktarılmasının zorunlu olması |
A- YURT İÇİNDE VERİ AKTARIMI
1-
KİŞİSEL VERİLERİN YURTİÇİNDE
AKTARILABİLMESİ İÇİN KİŞİSEL VERİ SAHİBİNİN AÇIK RIZASI OLMASI GEREKMEKTEDİR
AÇIK RIZANIN OLMADIĞI HALLERDE;
a) Kanunlarda
kişisel verinin aktarılacağına ilişkin açık bir düzenleme mevcut ise,
b) Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin aktarılması gerekli ise,
c) Firmamızın
hukuki yükümlülüğü gereği kişisel verilerin aktarılması zorunlu ise,
d) Bir
hakkın tesisi, kullanılması, korunması için kişisel verilerin aktarılması
zorunlu ise,
e) Kişisel
veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
f) Kişisel
veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ölçülü ve
amaca uygun şekilde firmamızın meşru menfaatlerinin gereği aktarma zorunluluk
arz ediyorsa aktarılmaktadır.
2 – ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN
YURTİÇİNDE AKTARILABİLMESİ İÇİN İSE; AŞAĞIDAKİ HALLERDEN BİRİNİN BULUNMASI
GEREKMEKTEDİR.
a)
İlgili kişinin açık
rızasının alınması halinde,
b)
Sağlık ve cinsel hayat
dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça
öngörülmüş olması halinde,
c)
Sağlık ve cinsel
hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından yine sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlara aktarılabilir.
Firmamız,
hukuka uygun olan ve iş bu politikada işleme amacı olarak da belirtilen kişisel
veri işleme amaçları doğrultusunda gerekli idari, hukuki, teknik tedbirleri
alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel
verilerini üçüncü kişilere aktarabilmektedir.
B- YURT DIŞINA VERİ AKTARIMI
Verilerinizin, sunucusu yurt dışında
bulunan hizmet sağlayıcıları üzerinden paylaşılması yurt dışına aktarım
sayılacağından ve yurt dışına aktarım için açık rıza şartı bulunduğundan bu
gibi durumlarda açık rızanız alınacaktır.
Ancak, aşağıdaki hallerde açık rızanız
kullanıcısı olduğunuz servis sağlayıcısı tarafından alınmış olacağından ve
firmamız tarafından yapılan bir yurt dışı aktarımı olmayacağından Açık Rızanız
aranmayacaktır:
-Kendisine ait gizlilik politikalarını ve yurt dışı
aktarım ilkelerini kabul ederek kullanıcısı olduğunuz, sunucusu yurt dışında
bulunan instagram, facebook, whatsapp, youtube, google gibi hizmet
sağlayıcılarını kullanarak, firmamıza yazılı, sesli mesaj veya fotoğraf, video
kaydı göndermeniz ya da sesli, görüntülü arama yapmanız durumunda,
-Kendisine ait gizlilik politikalarını ve yurt dışı
aktarım ilkelerini kabul ederek kullanıcısı olduğunuz sunucusu yurt dışında
bulunan hotmail, gmail, yahoo gibi elektronik posta hizmet sağlayıcıları
üzerinden sizinle iletişime geçilmesini talep ettiğiniz durumlarda.
Bu doğrultuda; firmamıza ait aydınlatma
metni ve gizlilik ilkeleri ile özel nitelikli kişisel verilerinizde dahil olmak
üzere kişisel verilerinizin bu doğrultuda işlenmesini kabul etmiş sayılırsınız.
Açık rıza istenildiğinde geri
alınabilir. Bu husustaki taleplerinizi her zaman Aydınlatma
Metninde yer alan
iletişim kanalları ile bildirebilirsiniz.
1-
KİŞİSEL VERİLERİN YURTDIŞINA AKTARILABİLMESİ İÇİN KİŞİSEL VERİ SAHİBİNİN AÇIK
RIZASI OLMASI GEREKMEKTEDİR. AÇIK
RIZANIN OLMADIĞI HALLERDE;
KVK Kurulu
tarafından yeterli korumaya sahip olduğu ilan edilen/edilecek yabancı ülkelere
veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı
ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği
ve KVK Kurulu’nun izninin bulunduğu /bulunacağı yabancı ülkelere kişisel
veriler aktarılabilmektedir. Bu hususta 6698 sayılı KVK Kanunu’nun 9.
maddesinde öngörülen düzenlemelere uygun hareket edilecektir.
Bu çerçevede
meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri
sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise
aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya
Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı
Ülkelere aktarabilmektedir;
·
Kanunlarda kişisel
verinin aktarılacağına ilişkin açık bir düzenleme var ise,
·
Kişisel veri sahibinin
veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve
kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa
·
Bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin
taraflarına ait kişisel verinin aktarılması gerekli ise,
·
Firmamızın hukuki yükümlülüğünü yerine
getirmesi için kişisel veri aktarımı zorunlu ise,
·
Kişisel veriler, kişisel veri sahibi
tarafından alenileştirilmiş ise,
·
Kişisel veri aktarımı
bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
·
Kişisel veri sahibinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla, firmamızın meşru
menfaatleri için kişisel veri aktarımı zorunlu ise
Bu kapsamda güncel mevzuat henüz yeterli korumanın bulunduğu
bir ülke açıklamadığından ve büyük mail şirketleri ya da veri depolama
şirketleri ile taahhütname yapılması imkanı bulunmadığından, yukarıda
belirtilen kapsamda ve belirtilen amaçlarla sınırlı olarak kişisel
verilerinizin yurtdışına aktarımı ancak Açık Rızanız olması halinde mümkündür.
2-
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN
YURTDIŞINA AKTARILABİLMESİ İÇİN İSE; AŞAĞIDAKİ HALLERDEN BİRİNİN BULUNMASI
GEREKMEKTEDİR
• Veri sahibinin açık rızası var ise veya
• Veri sahibinin açık rızası yok ise;
– Veri
sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri
(ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
verilerdir), kanunlarda
öngörülen hallerde,
– Veri sahibinin sağlığına ve cinsel hayatına
ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından işlenmesi kapsamında ilgilinin açık rızası aranmaksızın işlenebilir.
Firmamız tarafından; temas
ettiğimiz gerçek kişilere ait işlenen kişisel veriler mevzuata uygun şekilde
saklanır ve imha edilir.
Firmamız tarafından işlenen kişisel verilerin
tamamında işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme faaliyetinin
gerçekleşmesine özen gösterilmektedir. Yine işlenen kişisel veriler ilgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza
edilmektedir.
İşlenen her bir veri ile ilgili olarak ilgili birimler
verinin ne kadar süre saklanacağını, veri işleme amacını da dikkate alarak
yazılı olarak belirleyeceklerdir.
Firmamızda periyodik imha süresi 6 ay olarak
belirlenmiştir. Buna göre, firmamızda her yıl Haziran ve Aralık aylarında
periyodik olarak işlenen kişisel veriler ile ilgili saklama ve imha şartlarına
ilişkin denetim yapılacak ve imha şartları oluşan veriler ile ilgili imha
işlemi gerçekleştirilecektir.
12- VERİ SORUMLUSUNUN
YÜKÜMLÜLÜKLERİ
İş
bu politikanın amaç ve ilke bölümünde belirtilen hususlar çerçevesinde;
12.1 SİCİLE KAYIT
YÜKÜMLÜLÜĞÜ
Firmamız tarafından hazırlanan veri envanterine ve iş bu
politikada belirtilen hususlara uygun şekilde VERBİS kayıt başvurusunu yapmış
olup yaptığı başvuru aşağıdaki bilgileri içermektedir:
- Veri sorumlusu ve irtibat kişisine ait kimlik ve adres
bilgilerine ilişkin Kurul tarafından belirlenen başvuru formunda yer alan
bilgiler,
- Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri
kategorileri hakkındaki açıklamalar,
- Kişisel verilerin aktarılabileceği alıcı veya alıcı
grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Kanunun 12. maddesinde öngörülen ve Kurul tarafından
belirlenen kriterlere göre alınan tedbirler,
- Kişisel verilerin mevzuatta öngörülen veya işlendikleri
amaç için gerekli olan azami muhafaza edilme süresi.
Veri sorumluları sicilinde yer alan
bilgilerimizden de aşağıdakiler kamuya açıklanmaktadır:
a)
Veri sorumlusu, adresi ve KEP adresi,
b)
Kişisel verilerin hangi amaçlarla
işlenebileceği,
c)
Veri konusu kişi grubu ve
grupları ile bu kişilere ait veri kategorileri,
d)
Kişisel verilerin
aktarılabileceği alıcı ve alıcı grupları,
e)
Yabancı ülkelere aktarımı
öngörülen kişisel veriler,
f)
Sicile kayıt tarihi ile
kaydın sona erdiği tarih,
g)
Kişisel veri güvenliğine
ilişkin alınan tedbirler,
h)
Kişisel verilerin
işlendikleri amaç için gerekli olan azami süre.
VERBİS’te
kayıtlı
bilgilerde değişiklik olması halinde meydana gelen değişiklikler, değişikliğin
meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma
bildirilecektir.
12.2. AYDINLATMA YÜKÜMLÜLÜĞÜ
12.2.1 Firmamız, Kanun’un
10. Maddesi ve Aydınlatma
Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ uyarınca kişisel veri sahibinin
haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda
kişisel veri sahibine yol göstermekte, veri sahiplerine sunulmak üzere
aydınlatma beyanları hazırlamakta, kişisel verilerin hangi amaçla işleneceği, işlenen
kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki
sebebi konusunda bilgi vermektedir.
12.2.2 Kişisel veri sahiplerinin aydınlatılmasında
ve ilgili kişiler tarafından gerekli ise açıklanacak açık rızanın kapsamının
belirlenmesinde kişisel veri işleme envanterine dayalı olarak Veri Sorumluları Sicili
’ne sunulan ve Sicilde yayınlanan bilgiler ile iş bu politikada belirtilen
hususlar esas alınmaktadır.
6698 sayılı Kanun’un 28. maddesinin 1.
fıkrası uyarınca;
-Kişisel verilerin, üçüncü kişilere
verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek
kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile
fertleriyle ilgili faaliyetler kapsamında işlenmesi,
-Kişisel verilerin resmi istatistik ile
anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi
amaçlarla işlenmesi,
-Kişisel verilerin millî savunmayı,
millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel
hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil
etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü
kapsamında işlenmesi,
-Kişisel verilerin millî savunmayı,
millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği
sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve
kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler
kapsamında işlenmesi,
-Kişisel verilerin soruşturma,
kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları
veya infaz mercileri tarafından işlenmesi,
Durumunda aydınlatma yükümlülüğümüz
bulunmamaktadır.
12.2.3
Aydınlatma
yükümlülüğünün yerine getirilmesi ilgili kişinin talebine bağlı olmayıp,
aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
Bu çerçevede mail, mesaj gönderilmesi, internet sitesindeki bilgi paylaşımları,
yazılı evrak, tabela gibi değişik ve duruma uygun düşecek yollar ile aydınlatma
yükümlülüğümüzü yerine getirmekteyiz.
12.2.4
Kişisel
verinin ilgili kişiden elde edilememesi halinde kişisel verinin elde
edilmesinden itibaren makul süre içinde; kişisel verilerin ilgili kişi ile
iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması
esnasında, kişisel verilerin aktarılacak olması halinde, en geç kişisel
verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğü
yerine getirilecektir.
12.2.5
Kişisel
veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için
aydınlatma yükümlülüğü ayrıca yerine getirilecektir.
12.3. KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMA
YÜKÜMLÜLÜĞÜ
6698 sayılı Yasanın 12. Maddesi gereği kişisel verilerin
güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin
gözetilmesinin öneminin bilinciyle;
Firmamız kişisel
verileri toplarken, işlerken yahut kişisel verilere erişirken,
i.
Kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek
ii.
Kişisel verilere hukuka aykırı olarak
erişilmesini önlemek
iii.
Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin
etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır ve gerek
yargı gerek kurul ilke kararlarına gerekse gelişen teknolojiye uygun şekilde
almaya da devam edecektir.
12.4. KVK KURULU TARAFINDAN VERİLEN KARARLARI YERİNE
GETİRME YÜKÜMLÜLÜĞÜ
Kanuni yükümlülüğün yanı
sıra hali hazırdaki mevzuat düzenlemelerinin uygulanması ve
somutlaştırılabilmesi için elbette kurul tarafından verilecek kararlar büyük
önem arz etmektedir. Firmamız da mevzuata uyum sürecini sağlıklı yürütebilmek,
yanlış yorumlamaya dayalı yapılan hatalı bir uygulama var ise buna dair
uygulamasını da derhal düzeltmek amacı ile kurul kararlarına büyük önem
vermekte ve hassasiyetle de takip etmektedir.
Bu çerçevede Firmamız
kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini
sağlamak, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin
şikâyetlerini karara bağlamak, şikâyet üzerine veya ihlal iddiasını öğrenmesi
durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun
olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici
önlemler almak, özel nitelikli kişisel verilerin işlenmesi için aranan yeterli
önlemleri belirlemek, Veri Sorumluları Sicili’nin tutulmasını sağlamak, Kurul’un
görev alanı ile Kurul’un işleyişine ilişkin konularda gerekli düzenleyici
işlemleri yapmak, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla
düzenleyici işlem yapmak, veri sorumlusunun ve temsilcisinin görev, yetki ve
sorumluluklarına ilişkin düzenleyici işlem yapmak gibi görev ve yetkileri
bulunan Kişisel verileri Koruma Kurulu tarafından verilen kararlara uygun
hareket etmekte ve güncel olarak da bu kararları takip etmektedir.
12.5 VERİ SAHİBİ
BAŞVURULARINA CEVAP VERME YÜKÜMLÜLÜĞÜ
SAFİR NALBURİYE
SANAYİ VE TİCARET LİMİTED ŞİRKETİ Veri sorumlusu sıfatıyla 6698 sayılı KVK Kanunu’nun
13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin
taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün
içinde sonuçlandırmak üzere gerekli idari ve teknik tedbirlerini almıştır.
Veri
sahiplerinin bu haklarını kullanabilmesi için firmamız tarafından düzenlenen
başvuru formu örneği aynı zamanda https://safirboyahirdavat.com/ sitemizde de paylaşılmıştır.
12.6 VERİ İHLALİ
YAŞANMASI DURUMUNDA KURULA VE VERİ SAHİPLERİNE BİLGİ VERME YÜKÜMLÜLÜĞÜ
Firmamız tarafından işlenen kişisel
verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde,
bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde ilgilisine ve Kişisel Verileri Koruma
Kuruluna (Kurul) bildirmekle yükümlü olup Kurul gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebilecektir.
Herhangi bir veri ihlali durumunda Kişisel
Verileri Koruma Kurulu tarafından yayımlanan 24.01.2019 tarih 2019/10 sayılı
kararında belirtilen usul ve esaslara göre hareket edilecektir.
Gerek 6698 sayılı KVK Kanunu gerek bağlı ikincil mevzuat ve kurul kararları
gerekse iş bu politika hükümleri ve ilişkili diğer politikaları yönetmek, uyum
sürecini sağlıklı bir şekilde yürütmek üzere firmamız bünyesinde Kişisel
Verilerin Korunmasında aktif şekilde çalışmak üzere veri koruma sorumlusu
olarak kişi/birim ataması yapılmış olup bu kişi/birim tarafından yürütülecek
temel faaliyetler, görev ve yetkiler aşağıda belirtilmiştir:
- Kişisel verilerin korunması ve işlenmesine
ilişkin dokümantasyonun hazırlanmasının takibi ve dokümanların ilgili kişilerin
onayına sunulması, firma internet sitesinde yayınlanmasının sağlanması,
dokümanlarda güncelleme gereken hallerde güncellemelerin yapılmasının takibi
- Kişisel verilerin
korunması ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli
denetimlerin yürütülmesinin sağlanması,
- Firmamız çalışanları, tedarikçileri ve temas
ettiği 3. Kişiler tarafından kişisel verilerin korunmasına ilişkin mevzuat,
kurul kararları ve iş bu politika hükümlerinin yerine getirilip getirilmediğinin
takibi ve uyum süreçlerinin yürütülmesi için gerekli hususların belirlenmesi,
-Firmamız içinde
kişisel veri işlemede yer alan çalışanların bilinçlendirilmesi, eğitilmesi
- Firmamız ile KVK
Kurumu ve KVK Kurulu ile olan ilişkilerin, yazışma ve bildirimlerin takibi
- Başvuru sahipleri
tarafından yapılan başvuruların mevzuatta belirtilen şartları taşıyıp
taşımadığının kontrolü ve ilgili birimlerle görüşerek yasal süre içinde
başvuruya cevap verilmesi
-İş bu politikada
alındığı belirtilen tedbirlerin denetimini yapmak, olası riskleri belirleyerek
ilgili birimlere gerekli bildirimlerde, tavsiyelerde bulunmak
Yukarıda
belirtilen asgari görevlere ek olarak, güncel mevzuat hükümleri, kurul kararları,
uygulama esnasında ortaya çıkacak ihtiyaçlar ve faaliyet konularında meydana
gelebilecek değişiklikler dikkate alınarak ek görev ve sorumluluklar da
belirlenebilecektir.
14.1 Kişisel verisi işlenen
gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir. İlgili kişiler,
başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.
14.2 Kişisel veri sahibi, Kanun ve yürürlükte bulunan diğer mevzuat
çerçevesinde kalmak kaydıyla;
a)
Kişisel
verilerin işlenip işlenmediğini öğrenme,
b)
Kişisel
verilerin işlenmişse buna ilişkin bilgi talep etme,
c)
Kişisel
verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
d)
Yurtiçinde
veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e)
Kişisel
verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme,
f)
KVKK
mevzuatında öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya
yok edilmesini isteme,
g)
Eksik
veya yanlış verilerin düzeltilmesi ile kişisel verilerin silinmesi veya yok
edilmesini talep ettiğinde, bu durumun kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
h)
İşlenen
verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
aleyhe bir sonucun ortaya çıkmasına itiraz etme,
i)
Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde bu
zararın giderilmesini talep etme hakkına sahiptir.
14.3
Veri sahibi gerçek kişiler taleplerini;
firmamız internet sitesinde de paylaşılmış olan başvuru formunun çıktısını
almak suretiyle firmamıza şahsen başvuru yapmak veya noter vasıtası ile
bildirimde bulunmak veya bu başvuru formunu Kayıtlı elektronik posta (KEP) adresi, Mobil imza,
5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli
elektronik imza” ile imzalayarak firmamız
KEP veya elektronik posta adresine göndermek ya da varsa firmamıza daha önce bildirilmiş
ve firmamız sistemlerinde kayıtlı bulunan elektronik posta adresi kullanılmak
suretiyle tarafımıza iletebilecektir
14.4
Başvuruda;
a) Ad, soyad ve başvuru yazılı
ise imza, başkası adına başvuru yapılıyorsa bu konuda özel olarak yetkili
olduğuna dair belge
b) Türkiye Cumhuriyeti vatandaşları için
T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa
kimlik numarası,
c) Tebligata esas yerleşim yeri veya iş
yeri adresi,
d) Varsa bildirime esas elektronik posta
adresi, telefon ve faks numarası,
e) Talep konusu,
Bulunması zorunludur. Konuya ilişkin bilgi ve belgeler
başvuruya eklenir. Yazılı başvurularda, veri sorumlusuna veya temsilcisine
evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemlerle yapılan
başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
14.5
Firmamız,
ilgili veri sahibi kişi tarafından yapılacak başvuruları etkin, hukuka ve
dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve
teknik tedbirleri almış olup başvurunun içeriğine göre başvuruyu kabul eder
veya gerekçesini açıklayarak reddedebilir. Firmamız ilgili veri sahibinin
tercihini dikkate alarak cevabını yazılı olarak veya elektronik ortamda
bildirir. Cevap yazısında asgari olarak aşağıdaki hususlar bulunacaktır;
a)
Veri sorumlusu veya temsilcisine ait bilgileri,
b)
Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C.
kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa
kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa
bildirime esas elektronik posta adresini, telefon ve faks numarasını,
c)
Talep konusunu,
ç)
Veri sorumlusunun başvuruya ilişkin açıklamaları
14.6
Veri sahibinin başvurusunda yer alan
talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde
ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi
hâlinde ilgili veri sahibinin başvurusuna yazılı olarak cevap verilecekse, on
sayfaya kadar ücret alınmayıp on sayfanın üzerindeki her sayfa için Kişisel Verileri Koruma Kurumu tarafından belirlenen tarife üzerinden
işlem ücreti alınabilir. Başvuruya
cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde
kayıt ortamının maliyetini geçmeyecek şekilde ücret talep edilebilir.
14.7
Başvurunun, firmamız hatasından
kaynaklanması hâlinde alınan ücret ilgili veri sahibine iade edilir.
14.8
İlgili veri sahibinin talebinin kabul
edilmesi hâlinde, talebin gereği en kısa sürede yerine getirilir ve ilgili
kişiye bilgi verilir. Kişisel veri sahibi başvurunun reddedilmesi, verilen
cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hâllerinde; Firmamızın cevabını öğrendiği tarihten itibaren otuz ve herhâlde
başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.
Firmamıza başvuru yolu tüketilmeden Kurul’a şikayette bulunulamaz.
14.9
Kişisel veri sahibi, 6698 sayılı Kanun’un
28. Maddesi uyarınca Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle
zarara uğraması halinde bu zararın giderilmesini talep etme hakkı dışında
öngörülen haklarını kullanamayacaktır.
İşlenen ve saklanan kişisel verilerin
hukuka aykırı olarak işlenmesi engellemek, verilere hukuka aykırı şekilde
erişimi önlemek, verileri güvenli şekilde muhafaza etmek amacıyla ilgili
mevzuatta öngörülen tüm idari ve teknik tedbirleri almakta, uygun güvenlik
düzeyinin sağlanması ve Kanun hükümlerinin uygulanmasını sağlamak amacıyla
gerekli denetimleri yapma ve yaptırmaktadır.
15.1. İdari Tedbirler
Firmamız, uhdesinde
bulunan kişisel verilerin güvenliği ve muhafazası için aşağıda belirtilen idari
tedbirleri almaktadır:
a)
Kişisel
Veri işleme Envanteri hazırlanmıştır.
b)
Veri
İşleme, Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha, Veri Sahibinden
gelebilecek başvuralar ile ilgili süreç yönetimi gibi hususlara dair kurumsal
politikalar oluşturulmuştur.
c)
İşlenen
kişisel verilerin özel nitelikli kişisel veri olup olmadığı, gizlilik seviyesi,
olası zararın niteliği ve niceliği belirlenmek suretiyle mevcut risk ve
tehditler belirlenmek suretiyle belirlenen risklerin azaltılması veya ortadan
kaldırılmasına yönelik kontrol ve çözüm alternatifleri üretilerek kısa vadede alınabilecek
tedbirler alınmış uzun vadede alınabilecek olanlar için de uygulamaya yönelik planlamalar
yapılmıştır.
d)
Firma
çalışanları, kişisel verilerin
işlenmesi konusunda bilgilendirilmekte, eğitilmektedir.
e)
Çalışanların
ve yüklenicilerin bilgi güvenliği sorumluluklarının farkında olmaları ve yerine
getirmelerini temin etmek üzere veri güvenliğine ilişkin rol ve sorumluluklar
ile görev tanımları belirlenmiştir.
f)
Çalışanların,
kişisel veri güvenliğini zedeleyecek saldırılar ve siber güvenliğe ilişkin ilk
müdahaleyi yapacak şekilde bilinçlenmeleri sağlanmıştır.
g)
Veri
sorumlusunun çalışma sürecine ve işleyişine uygun politika ve prosedürler
belirlenmiş olup bunlara uymaması durumunda devreye girecek bir disiplin süreci
ve sözleşme hükümleri mevcuttur.
h)
Gizlilik
taahhütnameleri yapılmaktadır.
i)
Çalışan,
müşteri, tedarikçi, ziyaretçi vs. için aydınlatma metni mevcuttur.
j)
Açık
rıza alınması gereken süreçler belirlenmiş ve uygulanmaktadır.
k)
Kurum
içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini
giderilmekte, gerekli tedbirler alınmaktadır.
l)
İşleme
amacı bakımından bahsi geçen kişisel verilere ihtiyaç olup olmadığı
değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır.
m)
Bilgi
teknolojileri ihtiyaçlarının karşılanması amacıyla çalışılan 3. Kişilerin de en
az Firmamız tarafından sağlanan güvenlik tedbirlerini sağlamalarına önem
verilmekte ve bu çerçevede sözleşmeler yapılmaktadır.
n)
Veri
İşleyenlere mevzuata uygun hareket etmesi konusunda gerekli bilgilendirme ve
uyarılar yapılmakta, kişisel verilerin korunması mevzuatı ile uyumlu hareket
edileceğine dair hükümlerin de bulunduğu yazılı sözleşmeler yapılmaktadır.
o)
6698
sayılı Yasa öncesinde sözleşme yapılan ve hali hazırda sözleşme ilişkisinin
devam ettiği kişilerle de KVKK uyum sürecinin tamamlanması için çalışmalar
başlatılmıştır.
p)
Verilerin
hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en
kısa sürede ilgili kişiye ve Kurul’a bildirmek üzere çalışanlar tarafında
gerekli önlemler alınmaktadır.
q)
Periyodik
olarak yetki kontrolleri gerçekleştirilmektedir.
r)
Görev
değişikliği olan veya işten ayrılan personelin bu alandaki yetkileri derhal kaldırılmakta,
kendisine tahsis edilen envanterler iade alınmaktadır. Yine pozisyon değişikliği
birim değişikliği veya uzun süreli ya da tamamen işten ayrılma halinde
personelin yetkileri askıya alınmakta ya da tamamen iptal edilmektedir.
s)
Mevzuat,
kurul kararları ve politika hükümlerinin takibi ve uygulanması konusunda veri
koruma sorumlusu ataması yapılmıştır.
15.2. TEKNİK TEDBİRLER
Firmamız idari tedbirlerin yanında
uhdesinde bulunan kişisel verilerin güvenliği ve muhafazası için aşağıda
belirtilen teknik tedbirleri de almaktadır:
a) Ağ güvenliği ve uygulama
güvenliği (anti-virüs sistemleri ve Güvenlik duvarları kullanılmak sureti ile )sağlanmakta
olup İzinsiz erişim
tehditler/siber saldırılara karşı güvenlik duvarı ve uygulama güvenliği
açısından da antivirüs gibi gerekli yazılımlar kullanılmakta, periyodik
güncellenmesi ve denetimleri yapılmaktadır. Firmamıza ait her ofiste güvenlik
duvarları da kurulmaktadır.
b) Güvenlik duvarları kullanılmaktadır
c) İmzalanan sözleşmeler veri güvenliği
hükümleri içermektedir.
d)
Şifreleme yapılmaktadır.
e) Kişisel veriler mümkün olduğunca
azaltılmaktadır.
f)
Arızalandığı ya da bakım süresi geldiği
için üretici, satıcı, servis gibi 3. Kişilere gönderilecek cihazlarda bulunan
kişisel veri saklama ortamları sökülerek saklanmakta veya kişisel verilerin
kopyalanarak yetkisiz 3. Kişilere aktarılmasını engelleyecek önlemler
alınmaktadır.
15.3. ÖZEL NİTELİKLİ
KİŞİSEL VERİLERE İLİŞKİN ALINAN TEDBİRLER
Özel nitelikli kişisel
verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a.
Kanun ve buna bağlı
yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli
olarak eğitimler verilmekte
b.
Gizlilik sözleşmelerinin
yapılmakta
c.
Verilere erişim yetkisine
sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması
yapılmakta
d.
Periyodik olarak yetki
kontrolleri gerçekleştirilmekte
e.
Görev değişikliği olan ya
da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta bu
kapsamda, firmamız tarafından kendisine tahsis edilen envanterin iade alınması
sağlanmaktadır.
Özel
nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
ortamlar, fiziksel ortam ise;
a.
Özel nitelikli kişisel
verilerin bulunduğu ortamın niteliğine göre güvenlik önlemleri (elektrik
kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmıştır.
b.
Bu ortamların fiziksel
güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmekte, özel nitelikli
kişisel verilerin kağıt ortamında dosyalandığı durumlarda dosyalar kilitli
dolaplarda tutulmaktadır.
1. İlgili mevzuatta
yapılacak her türlü resmi değişikliğin, Kurul tarafından alınacak kararların
ardından bu değişikler ve kararlarla uyumlu olacak şekilde SAFİR NALBURİYE
SANAYİ VE TİCARET LİMİTED ŞİRKETİ tarafından
İşbu Politika’da değişiklik yapılabilir.
2. SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED
ŞİRKETİ güncellenen Politikasını da internet
üzerinden herkesin erişimine sunacaktır.
İşbu Politika ……………….. tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir.
SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİ İŞLEME VE KORUMA POLİTİKASI
İÇİNDEKİLER Sayfa
1-POLİTİKAYA DAİR FİRMA SUNUMU 1
2-POLİTİKANIN KAPSAMI –VERİ SAHİBİ KATEGORİLERİ 1
3-POLİTİKANIN AMACI VE İLKELER 2
4-KİŞİSEL VERİLERİN İŞLENMESİ 3
- KİŞİSEL VERİLERİN İŞLENMESİ 3
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ 4
5-FİRMAMIZ TARAFINDAN İŞLENEN VERİ KATEGORİLERİ 5
6- VERİ SAHİBİ KATEGORİLERİ İLE VERİ KATEGORİLERİNİN VE İŞLEME AMAÇLARININ İLİŞKİLENDİRİLMESİ 5
7-KAYIT ORTAMLARI VE KİŞİSEL VERİLERİN TOPLANMA ŞEKLİ 8
8- GÜVENLİK KAMERALARI VASITASI İLE FİRMAMIZA AİT LOKASYONLARDA YAPILAN KİŞİSEL
VERİ İŞLEME FAALİYETLERİ 9
9- VERİ AKTARIMI YAPILAN ALICI KATEGORİLERİ İLE AKTARIM AMAÇLARI VE HUKUKİ
SEBEPLERİ 9
10- KİŞİSEL VERİLERİN YURT İÇİ VE YURT DIŞINA AKTARILMASI…………………………………………………11
11-SAKLAMA VE İMHA SÜREÇLERİ 13
12-VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ 13
13- VERİ KORUMA SORUMLUSUNUN TESPİTİ İLE GÖREV VE YETKİLERİ 16
14-KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BAŞVURU SÜRECİ 17
15-KİŞİSEL VERİLERİN KORUNMASI ALINAN TEKNİK VE İDARİ TEDBİRLER 19
İDARİ TEDBİRLER 19
TEKNİK TEDBİRLER 20
ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN ALINAN TEDBİRLER 20
16-POLİTİKADA YAPILACAK DEĞİŞİKLİKLER 21
17-POLİTİKA YÜRÜRLÜK TARİHİ 21
1– POLİTİKAYA DAİR FİRMA SUNUMU
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte gerek faaliyet gösterdiğimiz alanlarda gerek faaliyetlerimizi doğrudan veya dolaylı olarak ilgilendiren her türlü işlemde bir taraftan işin ve faaliyetin teknik /idari/hukuki gereklerini yerine getirebilmek diğer yandan daha etkin daha hızlı daha verimli ve çağın ve teknolojinin gereklerine uygun hareket edebilmek için temas ettiğimiz veri sahiplerinin kişisel verilerini işlememiz de kaçınılmaz hale gelmektedir.
Anayasa’nın 20. Maddesine istinaden düzenlenen 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu olan firmamız SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ, herhangi bir sebeple temas ettiği, akdi veya kanuni ilişki içinde bulunduğu kişilere ait her türlü kişisel verinin korunması ve güvenliğinin sağlanması konusunda da veri sahiplerini kendilerini güvende hissetmelerini sağlayacak bilinç ve farkındalık ile hareket etmektedir.
İşbu politika ve Firmamız bünyesindeki sair politikalar, kalite standartları çerçevesinde kişisel veri sahiplerinin kişisel verilerinin, 6698 sayılı KVKK, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumluları Sicili Hakkında Yönetmelik ve diğer ilgili yönetmeliklere, Kişisel Verileri Koruma Kurul’u (“Kurul”) kararlarına uygun olmak suretiyle işlenip muhafaza edilmesi için gerekli teknik ve idari altyapı çalışmaları yürütülmektedir.
Yine süreç içinde rol alan kişilerin görev ve sorumlulukları açık ve net bir şekilde belirtilmek sureti ile iş bu politikada yer alan hususların yerine getirilmesi konusunda gerekli takip ve sürdürülebilirliğinin sağlanması, çalışanlarımızın da yüksek farkındalık ve hassasiyet içinde görevlerini yerine getirmesi amaçlanmaktadır.
Firmamızın faaliyet alanı, amaçlar, temas ettiği kişiler dikkate alınarak hazırlanan kişisel veri envanterine uygun şekilde iş süreçlerinin yürütülmesi hedeflenmektedir. Kişisel veri envanterinde yer alan hususlarla uyumlu şekilde VERBİS kaydı da yapılmıştır.
2– POLİTİKANIN KAPSAMI-VERİ SAHİBİ KATEGORİLERİ
2.1) İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”); SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ (“Firma ”) faaliyet gösterdiği alan dâhilinde kişisel verileri işlediği herhangi bir sürece dâhil olan ve başta aşağıda belirtilen kategoriler olmak üzere firmamız ile herhangi bir şekilde ve sebeple temasa geçen tüm 3. gerçek kişileri kapsamaktadır. Diğer yandan bu politika firmamızın 6698 sayılı KVK Kanuna uygun şekilde faaliyetlerini yürütmesi için çalışan, tedarikçi, şirket yetkilisi, hissedar gibi faaliyet süreçlerimizde yer alan /alacak herkesin uyması gereken hususları kapsamaktadır.
POLİTİKA KAPSAMINA YER ALAN VERİ SAHİBİ KATEGORİLERİ |
| AÇIKLAMA –ÖRNEKLEME |
Firma Çalışanları | : | Hâlihazırda çalışan ve daha önce çalışıp da herhangi bir sebeple hizmet akdi sona ermiş olan kişiler gibi |
Firma Hissedar ve Yetkilileri | : | Gerek firmada temsil yetkisi olan kişiler gerekse firmada hisse sahibi olan kişiler gibi |
Ürün ve /veya Hizmet Alıcısı | : | Müşteri , bayi-alt bayi , bayi yetkilileri, bayi tedarikçileri gibi |
Potansiyel Ürün ve/veya Hizmet Alıcı adayı | : | Müşteri, bayi adayları gibi |
Tedarikçi | : | Herhangi bir ürün veya hizmet alınan tüm kişiler (danışman, mali müşavir, kiraya veren, alt yüklenici (taşeron), tedarikçi yetkili ve/veya hissedarları, eğitmen, işyeri hekimi, iş güvenliği uzmanı, nakliyeci, banka, sigorta şirketleri, tercüman, avukat, taşımacılar, gümrük müşaviri, teknoloji firmaları, reklam ajansları gibi |
Tedarikçi Çalışanı | : | Ürün ve/veya hizmet sağlayan tedarikçi çalışanları gibi |
Alt Yüklenici | : | Herhangi bir ürün veya hizmet alınan tüm kişiler (Nakliye firmasının taşıma işi için görevlendirdiği kişi) |
Ziyaretçi | : | Firmamıza ait idari bina, mağaza, fabrika ve diğer lokasyonlara gelen kişiler, firmamız internet sitesini, sosyal medya adreslerini ziyaret eden, firmamız internet ağını kullanan kişiler gibi |
- İşbu Politika; firmamızın her türlü kişisel veri üzerinde uygulayacağı tüm işleme faaliyetlerini (Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi) kapsayacaktır.
- İşbu Politikanın ilgili maddeleri mevzuatta belirtilen emredici hususlara aykırılık teşkil etmediği sürece özel nitelikli kişisel veriler hakkında da uygulanacaktır. Özel nitelikli kişisel veriler ile ilgili ilave olarak uyulması gereken hususlar ayrıca da belirtilmiştir.
- İş bu politikada belirtilen hususlar ile ilgili yeni bir mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, firmamız politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır. Ancak herhangi bir güncelleme yapılmasa dahi maddeler güncellenen mevzuat hükümlerine uygun şekilde yorumlanacak ve uygulanacaktır.
3– POLİTİKANIN AMACI VE İLKELERİ
3.1) İşbu Politika, 6698 sayılı Yasada tanımlanan kişisel verilerin firmamız işleyişi ve işlemleri esnasında işlenmesinde başta özel hayatın gizliliği olmak üzere veri sahibi kişilerin temel hak ve özgürlüklerini korumak ve koruma için yapılan iş ve işlemleri açıklamak amacıyla düzenlenmiştir.
3.2) İş bu politika ile gerek veri sorumlusu olarak firmamızın gerek veri işleyen sıfatı ile hareket edecek gerçek ve tüzel kişilerin, veri koruma sorumlusu, Veri Saklama ve imha süreçlerinde yer alan kişilerin her türlü veri işleme faaliyeti ile ilgili yükümlülükleri ve uyacakları usul ve esaslar da belirlenmiş olmaktadır.
- Firmamız VERBİS’e kayıt yükümlülüğü de olan bir Veri Sorumlusu olarak, uhdesinde bulunan kişisel verileri hazırlanan kişisel veri envanterine uygun bir şekilde toplamak, işlemek ve tüm yasal mevzuat hükümleri çerçevesinde erişim sağlamak için bir Politika hazırlamak ve bu Politikaya uygun hareket etmek ile de yükümlüdür. VERBİS sisteminde firmamız ile ilgili belirtilen hususlara dair veri sahipleri ihtiyaç duymaları halinde gerekli ve ayrıntılı bilgiye de bu politika vasıtası ile sahip olabileceklerdir.
- Firma faaliyetlerimiz ile ilgili olarak temas ettiğimiz veri sahiplerinin kişisel verilerinin işlenmesi, korunması ve imhası dâhil tüm süreçlerde 6698 sayılı Yasanın 4 üncü maddesindeki genel ilkelere uyulacaktır. Bu ilkeler şu şekildedir;
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
- Firmamız işbu Politikayı hazırlamış olsa dahi Yönetmelik, Kanun vs. ilgili mevzuata ve bu mevzuatta meydana gelebilecek her türlü değişikliğe, Kurul tarafından alınacak kararlara uygun hareket edecek ve kendisini hukuka ve teknolojinin gereklerine uygun şekilde güncelleyecektir.
- Kişisel verilerin firmamız adına ve firmamız tarafından yapılan yetkilendirmeye istinaden başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, belirtilen bu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğumuzun bilinci ile hareket edilerek gerekli takip ve kontrol yapılacak ve buna uygun akdi ilişkiler tesis edilecektir.
- Firmamız mevzuat ve iş bu politika hükümlerinin uygulanmasını sağlamak, ülke genelinde de farkındalığı henüz istenen seviyede olmayan kişisel verilerin korunması ile ilgili farkındalık düzeyinin başta firmamız yetkili ve çalışanları olmak üzere temas ettiğimiz tüm gerçek ve tüzel kişiler nezdinde artırılması amacıyla gerekli çalışma ve denetimleri yapacak veya yaptıracaktır.
- Firmamız tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin işlenmesi, aktarılması, korunması sırasında mevzuata ve İşbu Politikaya uygun hareket edecektir.
- İş bu politika içinde geçen ibareler için 6698 sayılı Yasa ve bu yasa ile ilgili ikincil mevzuatta yer alan tanımlar esas alınmıştır.
4– KİŞİSEL VERİLERİN İŞLENMESİ
4.1 ) KİŞİSEL VERİLERİN İŞLENMESİ:
Hayatın doğal akışı içerisinde ve faaliyet alanımızın gereği olarak temas ettiğimiz gerçek kişilerin kişisel verilerinin işlenmesi bir gereklilik olmakla birlikte bu işlemler gelişigüzel ve sınırsız bir biçimde değil, belirli kural ve ilkelere uyularak gerçekleştirilmektedir.
Kişisel veriler 6698 sayılı KVKK’nın 4. Maddesinde belirtilen genel ilkeler uyarınca Kanun’un 5. Maddesine uygun olarak işlenir. Buna göre; Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenmemekte ancak;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Firmamızın hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, firmamızın meşru menfaatleri için veri işlenmesinin zorunlu olması halinde kişisel veri sahibinin açık rızası olmaksızın işlenmesi mümkündür.
Kişisel veri işleme faaliyetimiz, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden ayrıca açık rıza alınması şartı aranmamaktadır.
4.2 ) ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ:
Özel nitelikli kişisel veri olarak kabul edilen kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri 6698 sayılı KVKK’nın 4. Maddesinde belirtilen genel ilkeler uyarınca ve Kanun’un 6. Maddesine uygun olarak işlenir.
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
- Kamu sağlığının korunması,
- Koruyucu hekimlik,
- Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Yasal gereklilik olmadığı sürece de özel nitelikte kişisel verileri işlememekte veya işlememiz gerektiğinde gerekli ve yeterli koruma tedbirleri ve konuya ilişkin veri sahibinin açık rızası da alınmaktadır.
Özel nitelikli kişisel veri olarak kabul edilen;
–Sağlık verileri çalışanlarımızdan 6331 sayılı İş Sağlığı ve Güvenliği Yasası, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 4857 sayılı İş Kanunu ve bu kanunlara bağlı ikincil mevzuatlar gereği ortaya çıkan yasal zorunluluklar ile GDPR madde 9/2/b hükmü doğrultusunda veri sahibinin istihdam, sosyal güvenlik ve İş güvenliği çerçevesindeki hak ve yükümlülüklerinin gerçekleştirilmesi amacıyla ve yasal zorunluluk nedeni ile alınmakta ve yine mevzuatta belirtilen süreler dâhilinde saklanmaktadır.
5- FİRMAMIZ TARAFINDAN İŞLENEN VERİ KATEGORİLERİ
Firmamızda 6698 sayılı Kanun çerçevesinde işlemeye tabi tutulan veri kategorileri ile bu veri kategorileri içine aldığımız veri çeşitlerine dair açıklamalarımız aşağıda belirtilmiştir;
|
6- VERİ SAHİBİ KATEGORİLERİ İLE VERİ KATEGORİLERİNİN VE İŞLEME AMAÇLARININ İLİŞKİLENDİRİLMESİ
İş bu politikamızda belirlemeler yapılırken veri sahibi kategorisi ile esas temas amaçları dikkate alınarak veri kategorileri belirlenmiştir. Elbette bir veri sahibi kategorisinde yer alan kişi aynı anda veya farklı anlarda farklı veri sahibi kategorisine girebilecek şekilde firmamız ile temasa geçebilir. Örneğin; tedarikçi adayı olan bir kişinin firmamızı ziyaret etmesi durumunda ziyaretçi kategorisi için belirtilen verileri işlenmiş olacaktır.
POLİTİKA KAPSAMINDA YER ALAN VERİ SAHİBİ KATEGORİLERİ | İŞLENEN VERİ KATEGORİLERİ | KİŞİSEL VERİ TOPLAMA VE İŞLEME AMAÇLARI |
Firma Çalışanları | Kimlik, İletişim, Lokasyon Özlük, Fiziki Mekan Güvenliği, Finans, Mesleki Deneyim, Sağlık, Seyahat | Acil Durum Yönetimi Süreçlerinin Yürütülmesi Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Denetim / Etik Faaliyetlerinin Yürütülmesi Faaliyetlerin Mevzuata Uygun Yürütülmesi İnsan Kaynakları biriminden gelen bilgiler çerçevesinde maaş, prim, avans ve diğer yan ödemelerin takibi, bankalara gerekli bildirimlerin yapılması gibi Finans Ve Muhasebe İşlerinin Yürütülmesi, Fiziksel Mekan Güvenliğinin Temini Yurt içi -yurt dışı firma içi görevlendirme Süreçlerinin Yürütülmesi Hukuk İşlerinin Takibi Ve Yürütülmesi İletişim Faaliyetlerinin Yürütülmesi İnsan Kaynakları Süreçlerinin Planlanması İş Faaliyetlerinin Yürütülmesi / Denetimi İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi Lojistik Faaliyetlerinin Yürütülmesi Organizasyon Etkinlik Yönetimi Risk Yönetimi Süreçlerinin Yürütülmesi Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi Sözleşme Süreçlerinin Yürütülmesi Taşınır Mal Ve Kaynakların Güvenliğinin Temini Ücret Politikasının Yürütülmesi Veri Sorumlusu Operasyonlarının Güvenliğinin Temini Yetkili kişi kurum ve kuruluşlara bilgi verilmesi |
Firma Hissedar ve Yetkilileri | Kimlik, İletişim, Finans, Fiziksel Mekan Güvenliği
| Acil durum yönetimi süreçlerinin yürütülmesi, Denetim / etik faaliyetlerin yürütülmesi Faaliyetlerin mevzuata uygun yürütülmesi Finans ve muhasebe işlerinin yürütülmesi Fiziksel Mekan Güvenliğinin Temini Görevlendirme süreçlerinin yürütülmesi, Hukuk işlerinin takibi ve yürütülmesi İletişim faaliyetlerinin yürütülmesi İş faaliyetlerinin yürütülmesi / denetimi İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi Saklama ve Arşiv Faaliyetlerinin Yürütülmesi, Veri sorumlusu operasyonlarının güvenliğinin temini, Yetkili kişi kurum ve kuruluşlara bilgi verilmesi Yönetim faaliyetlerinin yürütülmesi, |
Ürün ve /veya Hizmet Alıcısı | Kimlik, İletişim, Müşteri İşlem, Finans, Fiziksel mekan güvenliği | Faaliyetlerin mevzuata uygun yürütülmesi, Finans ve muhasebe işlemlerinin yürütülmesi, Firma/ürün/hizmetlere bağlılık süreçlerinin yürütülmesi, İletişim faaliyetlerinin yürütülmesi, İş faaliyetlerinin yürütülmesi / denetimi, İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi, Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi, Mal/ hizmet satış sonrası destek hizmetlerinin yürütülmesi, Mal-hizmet satış süreçlerinin yürütülmesi, Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi, Pazarlama analiz çalışmalarının yürütülmesi, Risk yönetimi süreçlerinin yürütülmesi, Sözleşme süreçlerinin yürütülmesi, Talep / şikayetlerin takibi, Taşınır Mal Ve Kaynakların Güvenliğinin Temini Ürün ve hizmetlerin pazarlama süreçlerinin yürütülmesi, Veri sorumlusu operasyonlarının güvenliğinin temini, Yetkili kişi kurum kuruluşlara bilgi verilmesi,
|
Ürün ve/veya Hizmet Alıcı adayı | Kimlik, İletişim, Fiziksel mekan güvenliği | Faaliyetlerin Mevzuata uygun Yürütülmesi Finans Ve Muhasebe İşlerinin Yürütülmesi İletişim faaliyetlerinin yürütülmesi İş Faaliyetlerinin Yürütülmesi / Denetimi İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi Mal / Hizmet satım Süreçlerinin Yürütülmesi Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi Pazarlama Analiz Çalışmalarının Yürütülmesi Sözleşme Süreçlerinin Yürütülmesi Talep / Şikayetlerin Takibi Taşınır Mal Ve Kaynakların Güvenliğinin Temini Ürün/hizmet pazarlama süreçlerinin yürütülmesi Veri sorumlusu operasyonlarının güvenliğinin temini Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi |
Tedarikçi | Kimlik, İletişim, Finans, Fiziksel mekan güvenliği temini | Faaliyetlerin mevzuata uygun olarak yürütülmesi, Finans ve muhasebe işlerinin yürütülmesi, İletişim faaliyetlerinin yürütülmesi, İş faaliyetlerinin yürütülmesi/denetimi, Mal-hizmet satın alım süreçlerinin yürütülmesi, Sözleşme süreçlerinin yürütülmesi, Tedarik zinciri yönetimi süreçlerinin yürütülmesi, Taşınır mal ve kaynakların güvenliğinin temini, Veri sorumlusu operasyonlarının güvenliğinin temini, Yetkili kişi kurum kuruluşlara bilgi verilmesi, |
Alt Yüklenici | Kimlik, İletişim, Finans, Fiziksel Mekan Güvenliği, | Faaliyetlerin Mevzuata uygun Yürütülmesi Finans Ve Muhasebe İşlerinin Yürütülmesi Fiziksel mekan güvenliği temini Hukuk İşlerinin Takibi Ve Yürütülmesi İletişim Faaliyetlerinin Yürütülmesi İş Faaliyetlerinin Yürütülmesi / Denetimi Mal / Hizmet alım Süreçlerinin Yürütülmesi Sözleşme Süreçlerinin Yürütülmesi Taşınır mal ve kaynakların güvenliğinin temini Ürün/Hizmetlerin Pazarlama süreçlerinin yürütülmesi Yetkili kişi kurum ve kuruluşlara bilgi verilmesi |
Ziyaretçi | Kimlik, İletişim, Finans, Fiziksel Mekan Güvenliği, | Faaliyetlerin Mevzuata Uygun Yürütülmesi, Erişim Yetkilerinin Yürütülmesi, Fiziksel Mekan Güvenliğinin Temini, İletişim Faaliyetlerinin Yürütülmesi, Taşınır Mal Ve Kaynakların Güvenliğinin Temini Risk yönetimi süreçlerinin yürütülmesi Veri Sorumlusu Operasyonlarının Güvenliğinin Temini, Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi, Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi, Kurumsal İlişki ve İtibar Yönetimi Süreçlerinin yürütülmesi, |
7- KAYIT ORTAMLARI VE KİŞİSEL VERİLERİN TOPLANMA ŞEKLİ
Firmamız, İşbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Politikanın kapsamına dahil etmeyi kabul eder.
- Sunucular (Yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
- Yazılımlar (ofis yazılımları vb. )
- Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.
- Bilgisayarlar (Masaüstü, dizüstü)
- Mobil cihazlar (telefon, tablet vb.)
- Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri, Optik diskler (CD, DVD vb.)
- Güvenlik Kamera kayıtları
- Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
- Yazıcı, tarayıcı, fotokopi makinesi, faks cihazı, telefon hafıza kayıtları
- Manuel veri kayıt ortamları/Kağıt ortamı (Her türlü form, sözleşme, fotokopi, anket formları,
- Ve diğer Yazılı, basılı, görsel ortamlar
VERİ TOPLAMA ŞEKLİ:
Firmamız hali hazırda aşağıda belirtilmiş olan otomatik olan veya olmayan yöntemlerle veri toplamaktadır;
- Firmamız faaliyetlerinin sürdürülmesi amacı ile kullanılan her türlü basılı ve dijital belge/evrak/ resmi evrak/ formların/sözleşmelerin doldurulması veya beyan sureti ile sözlü, fiziki veya elektronik ortamlar vasıtası ile
- Güvenlik Kamerası, kurumsal itibar amacı ile fotoğraf çekimleri sureti ile
- Firmamıza gelen her türlü mail, faks, mektup, posta, kargo gönderisi vasıtası ile
- Özlük dosyası oluşturma faaliyetleri esnasında çalışan tarafından getirilen fiziki belgelerin dosyalanması sureti ile
- Firmamız ile mal/hizmet alım veya satımı için ticari ilişki kurmak, firmamıza teklif vermek gibi amaçlarla mail göndermek, kartvizit, özgeçmiş (cv), teklif verilmesi sureti ile
- Kişi, Kurum ve Kuruluşlar ile yapılan yazışmalardan ve bunlar tarafından sunulan internet uygulamalarından
işlenebilmekte ve toplanabilmektedir.
Veri sahipleri tarafından firmamıza bildirilecek 3. Kişilere ait (veri sahibi yakını, referans kişi/kişiler gibi ) kişisel veriler (isim, soy isim, telefon, e-posta gibi ) için, söz konusu kişinin bilgilendirilmesi ve açık rızasının alınması veriyi aktaran kişinin sorumluluğunda olacaktır.
- GÜVENLİK KAMERALARI VASITASI İLE FİRMAMIZA AİT LOKASYONLARDA YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Firmamızda iş sağlığı ve güvenliğinin sağlanması, firmamıza ait taşınır ve taşınmaz mallar ile toplanan her türlü kişisel verinin güvenliğinin sağlanması amacıyla ve hukuki, teknik, ticari denetim ve güvenliğin temini ile misafir giriş çıkışlarının takibine yönelik kapalı devre kamera kayıt sistemleri vasıtasıyla elektronik ortamda veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla hukuki yükümlülüğün yerine getirilmesi ve firmamız meşru menfaatleri için, kişisel veri işleme faaliyetinde bulunulmaktadır.
Bu izleme faaliyetleri 6698 sayılı KVKK ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Ayrıca firmamız internet sitesinde de bu hususta aydınlatma metni bulunmaktadır.
Güvenlik kameraları vasıtası ile gerçekleştirilen veri işleme faaliyetlerinde işleme amacı ile ölçülü şekilde hareket edilmesi ve kişilerin mahremiyet alanına ölçüsüz müdahalede bulunulmaması esastır. Tuvalet, lavabo, soyunma odası gibi alanlarda güvenlik kamerası bulunmamaktadır.
Firmamız tarafından 6698 sayılı KKVK Kanunu’nun 12. maddesine uygun olarak ve iş bu politikada belirtilen hususlar çerçevesinde kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. Firmamız içinde kayıtlara erişimi olan sınırlı sayıdaki çalışandan da gizlilik taahhütnamesi alınmakta ve bu kişilerin eriştiği verilerin gizliliğini koruma hususunda hassasiyet göstermeleri istenmektedir.
Güvenlik kameraları vasıtası ile toplanan kişisel veriler yukarıda belirtilen amaçların gerçekleştirilmesi kapsamında, güvenlik sistemleri ile ilgili hizmet aldığımız tedarikçilerimize ve kanunen yetkili kamu kurumları ile özel kişilere Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
9- VERİ AKTARIMI YAPILAN ALICI KATEGORİLERİ İLE AKTARIM AMAÇLARI VE HUKUKİ SEBEPLERİ
Firmamız tarafından işlenen kişisel veriler işleme amaçları olarak belirtilen amaçlar doğrultusunda ve bu amaçların ifası için gerekli olması durumunda aşağıdaki alıcı kategorilerine aktarılabilmektedir;
Sıra No | Veri Aktarımı Yapılan Alıcı Kategorisi |
|
|
| AKTARIM AMACI |
|
|
|
| HUKUKİ SEBEBİ |
1 | Herkese Açık |
|
|
| Firmamıza ait internet sitesinde paylaşılan bilgiler ve görseller ile sınırlı olacak şekilde Kurumsal İletişim ve itibar yönetim süreçlerinin yürütülmesi amacıyla |
|
|
|
| İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
|
2 | Hissedarlar |
|
|
| Faaliyetlerin Mevzuata Uygun Yürütülmesi, Yönetim Faaliyetlerinin Yürütülmesi, İş Faaliyetlerinin Yürütülmesi / Denetimi, görevlendirme süreçlerinin yürütülmesi, Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
|
|
|
|
| Kanunlarda açıkça öngörülmesi, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarılmasının zorunlu olması |
3 | Mal ve Hizmet alınan Tedarikçiler |
|
|
| Firmamızın ihtiyacı olan her türlü mal ve hizmetin tedariki için gerekli olan ve/veya tedarikçi ile yapılan sözleşmenin ifası için gerekli hallerle sınırlı şekilde |
|
|
|
| İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, sözleşmenin ifası, hukuki yükümlülüğün yerine getirilmesi ve veri sorumlusunun meşru menfaatleri için veri aktarılmasının zorunlu olması |
5 | Yetkili Kişi, Kurum, Kuruluş |
|
|
| Yetkili kişi, kurum ve kuruluşlara verilen hukuki yetki ve görevler çerçevesinde bu kurum ve kuruluşlardaki işlemlerin yerine getirilmesi veya kişi, kurum ve kuruluşlardan gelen bilgi /belge taleplerinin yerine getirilmesi amaçları ile sınırlı şekilde |
|
|
|
| Kanunlarda öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, Bir hakkın tesisi, kullanılması veya korunması için veri aktarılmasının zorunlu olması |
10- KİŞİSEL VERİLERİN YURTİÇİ VE YURTDIŞINA AKTARILMASI
- YURT İÇİNDE VERİ AKTARIMI
- KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILABİLMESİ İÇİN KİŞİSEL VERİ SAHİBİNİN AÇIK RIZASI OLMASI GEREKMEKTEDİR AÇIK RIZANIN OLMADIĞI HALLERDE;
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme mevcut ise,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılması gerekli ise,
- Firmamızın hukuki yükümlülüğü gereği kişisel verilerin aktarılması zorunlu ise,
- Bir hakkın tesisi, kullanılması, korunması için kişisel verilerin aktarılması zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ölçülü ve amaca uygun şekilde firmamızın meşru menfaatlerinin gereği aktarma zorunluluk arz ediyorsa aktarılmaktadır.
2 – ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILABİLMESİ İÇİN İSE; AŞAĞIDAKİ HALLERDEN BİRİNİN BULUNMASI GEREKMEKTEDİR.
- İlgili kişinin açık rızasının alınması halinde,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yine sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarılabilir.
Firmamız, hukuka uygun olan ve iş bu politikada işleme amacı olarak da belirtilen kişisel veri işleme amaçları doğrultusunda gerekli idari, hukuki, teknik tedbirleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir.
- YURT DIŞINA VERİ AKTARIMI
Verilerinizin, sunucusu yurt dışında bulunan hizmet sağlayıcıları üzerinden paylaşılması yurt dışına aktarım sayılacağından ve yurt dışına aktarım için açık rıza şartı bulunduğundan bu gibi durumlarda açık rızanız alınacaktır.
Ancak, aşağıdaki hallerde açık rızanız kullanıcısı olduğunuz servis sağlayıcısı tarafından alınmış olacağından ve firmamız tarafından yapılan bir yurt dışı aktarımı olmayacağından Açık Rızanız aranmayacaktır:
-Kendisine ait gizlilik politikalarını ve yurt dışı aktarım ilkelerini kabul ederek kullanıcısı olduğunuz, sunucusu yurt dışında bulunan instagram, facebook, whatsapp, youtube, google gibi hizmet sağlayıcılarını kullanarak, firmamıza yazılı, sesli mesaj veya fotoğraf, video kaydı göndermeniz ya da sesli, görüntülü arama yapmanız durumunda,
-Kendisine ait gizlilik politikalarını ve yurt dışı aktarım ilkelerini kabul ederek kullanıcısı olduğunuz sunucusu yurt dışında bulunan hotmail, gmail, yahoo gibi elektronik posta hizmet sağlayıcıları üzerinden sizinle iletişime geçilmesini talep ettiğiniz durumlarda.
Bu doğrultuda; firmamıza ait aydınlatma metni ve gizlilik ilkeleri ile özel nitelikli kişisel verilerinizde dahil olmak üzere kişisel verilerinizin bu doğrultuda işlenmesini kabul etmiş sayılırsınız.
Açık rıza istenildiğinde geri alınabilir. Bu husustaki taleplerinizi her zaman Aydınlatma Metninde yer alan iletişim kanalları ile bildirebilirsiniz.
1- KİŞİSEL VERİLERİN YURTDIŞINA AKTARILABİLMESİ İÇİN KİŞİSEL VERİ SAHİBİNİN AÇIK RIZASI OLMASI GEREKMEKTEDİR. AÇIK RIZANIN OLMADIĞI HALLERDE;
KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen/edilecek yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu /bulunacağı yabancı ülkelere kişisel veriler aktarılabilmektedir. Bu hususta 6698 sayılı KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket edilecektir.
Bu çerçevede meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir;
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Firmamızın hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, firmamızın meşru menfaatleri için kişisel veri aktarımı zorunlu ise
Bu kapsamda güncel mevzuat henüz yeterli korumanın bulunduğu bir ülke açıklamadığından ve büyük mail şirketleri ya da veri depolama şirketleri ile taahhütname yapılması imkanı bulunmadığından, yukarıda belirtilen kapsamda ve belirtilen amaçlarla sınırlı olarak kişisel verilerinizin yurtdışına aktarımı ancak Açık Rızanız olması halinde mümkündür.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILABİLMESİ İÇİN İSE; AŞAĞIDAKİ HALLERDEN BİRİNİN BULUNMASI GEREKMEKTEDİR
- Veri sahibinin açık rızası var ise veya
- Veri sahibinin açık rızası yok ise;
– Veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
– Veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında ilgilinin açık rızası aranmaksızın işlenebilir.
11- SAKLAMA VE İMHA SÜREÇLERİ
Firmamız tarafından; temas ettiğimiz gerçek kişilere ait işlenen kişisel veriler mevzuata uygun şekilde saklanır ve imha edilir.
Firmamız tarafından işlenen kişisel verilerin tamamında işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme faaliyetinin gerçekleşmesine özen gösterilmektedir. Yine işlenen kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmektedir.
İşlenen her bir veri ile ilgili olarak ilgili birimler verinin ne kadar süre saklanacağını, veri işleme amacını da dikkate alarak yazılı olarak belirleyeceklerdir.
Firmamızda periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre, firmamızda her yıl Haziran ve Aralık aylarında periyodik olarak işlenen kişisel veriler ile ilgili saklama ve imha şartlarına ilişkin denetim yapılacak ve imha şartları oluşan veriler ile ilgili imha işlemi gerçekleştirilecektir.
12- VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
İş bu politikanın amaç ve ilke bölümünde belirtilen hususlar çerçevesinde;
12.1 SİCİLE KAYIT YÜKÜMLÜLÜĞÜ
Firmamız tarafından hazırlanan veri envanterine ve iş bu politikada belirtilen hususlara uygun şekilde VERBİS kayıt başvurusunu yapmış olup yaptığı başvuru aşağıdaki bilgileri içermektedir:
– Veri sorumlusu ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenen başvuru formunda yer alan bilgiler,
– Kişisel verilerin hangi amaçla işleneceği,
– Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
– Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
– Yabancı ülkelere aktarımı öngörülen kişisel veriler,
– Kanunun 12. maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
– Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
Veri sorumluları sicilinde yer alan bilgilerimizden de aşağıdakiler kamuya açıklanmaktadır:
- Veri sorumlusu, adresi ve KEP adresi,
- Kişisel verilerin hangi amaçlarla işlenebileceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
- Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Sicile kayıt tarihi ile kaydın sona erdiği tarih,
- Kişisel veri güvenliğine ilişkin alınan tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
VERBİS’te kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikler, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirilecektir.
12.2. AYDINLATMA YÜKÜMLÜLÜĞÜ
12.2.1 Firmamız, Kanun’un 10. Maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ uyarınca kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermekte, veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamakta, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermektedir.
12.2.2 Kişisel veri sahiplerinin aydınlatılmasında ve ilgili kişiler tarafından gerekli ise açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Veri Sorumluları Sicili ’ne sunulan ve Sicilde yayınlanan bilgiler ile iş bu politikada belirtilen hususlar esas alınmaktadır.
6698 sayılı Kanun’un 28. maddesinin 1. fıkrası uyarınca;
-Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
-Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
-Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
-Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
-Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,
Durumunda aydınlatma yükümlülüğümüz bulunmamaktadır.
- Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin talebine bağlı olmayıp, aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. Bu çerçevede mail, mesaj gönderilmesi, internet sitesindeki bilgi paylaşımları, yazılı evrak, tabela gibi değişik ve duruma uygun düşecek yollar ile aydınlatma yükümlülüğümüzü yerine getirmekteyiz.
- Kişisel verinin ilgili kişiden elde edilememesi halinde kişisel verinin elde edilmesinden itibaren makul süre içinde; kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğü yerine getirilecektir.
- Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilecektir.
12.3. KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMA YÜKÜMLÜLÜĞÜ
6698 sayılı Yasanın 12. Maddesi gereği kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;
Firmamız kişisel verileri toplarken, işlerken yahut kişisel verilere erişirken,
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
- Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır ve gerek yargı gerek kurul ilke kararlarına gerekse gelişen teknolojiye uygun şekilde almaya da devam edecektir.
12.4. KVK KURULU TARAFINDAN VERİLEN KARARLARI YERİNE GETİRME YÜKÜMLÜLÜĞÜ
Kanuni yükümlülüğün yanı sıra hali hazırdaki mevzuat düzenlemelerinin uygulanması ve somutlaştırılabilmesi için elbette kurul tarafından verilecek kararlar büyük önem arz etmektedir. Firmamız da mevzuata uyum sürecini sağlıklı yürütebilmek, yanlış yorumlamaya dayalı yapılan hatalı bir uygulama var ise buna dair uygulamasını da derhal düzeltmek amacı ile kurul kararlarına büyük önem vermekte ve hassasiyetle de takip etmektedir.
Bu çerçevede Firmamız kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak, özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, Veri Sorumluları Sicili’nin tutulmasını sağlamak, Kurul’un görev alanı ile Kurul’un işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak, veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak gibi görev ve yetkileri bulunan Kişisel verileri Koruma Kurulu tarafından verilen kararlara uygun hareket etmekte ve güncel olarak da bu kararları takip etmektedir.
12.5 VERİ SAHİBİ BAŞVURULARINA CEVAP VERME YÜKÜMLÜLÜĞÜ
SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ Veri sorumlusu sıfatıyla 6698 sayılı KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmak üzere gerekli idari ve teknik tedbirlerini almıştır.
Veri sahiplerinin bu haklarını kullanabilmesi için firmamız tarafından düzenlenen başvuru formu örneği aynı zamanda https://safirboyahirdavat.com/ sitemizde de paylaşılmıştır.
12.6 VERİ İHLALİ YAŞANMASI DURUMUNDA KURULA VE VERİ SAHİPLERİNE BİLGİ VERME YÜKÜMLÜLÜĞÜ
Firmamız tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildirmekle yükümlü olup Kurul gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilecektir.
Herhangi bir veri ihlali durumunda Kişisel Verileri Koruma Kurulu tarafından yayımlanan 24.01.2019 tarih 2019/10 sayılı kararında belirtilen usul ve esaslara göre hareket edilecektir.
13- VERİ KORUMA SORUMLUSUNUN TESPİTİ İLE GÖREV VE YETKİLERİ
Gerek 6698 sayılı KVK Kanunu gerek bağlı ikincil mevzuat ve kurul kararları gerekse iş bu politika hükümleri ve ilişkili diğer politikaları yönetmek, uyum sürecini sağlıklı bir şekilde yürütmek üzere firmamız bünyesinde Kişisel Verilerin Korunmasında aktif şekilde çalışmak üzere veri koruma sorumlusu olarak kişi/birim ataması yapılmış olup bu kişi/birim tarafından yürütülecek temel faaliyetler, görev ve yetkiler aşağıda belirtilmiştir:
– Kişisel verilerin korunması ve işlenmesine ilişkin dokümantasyonun hazırlanmasının takibi ve dokümanların ilgili kişilerin onayına sunulması, firma internet sitesinde yayınlanmasının sağlanması, dokümanlarda güncelleme gereken hallerde güncellemelerin yapılmasının takibi
– Kişisel verilerin korunması ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yürütülmesinin sağlanması,
– Firmamız çalışanları, tedarikçileri ve temas ettiği 3. Kişiler tarafından kişisel verilerin korunmasına ilişkin mevzuat, kurul kararları ve iş bu politika hükümlerinin yerine getirilip getirilmediğinin takibi ve uyum süreçlerinin yürütülmesi için gerekli hususların belirlenmesi,
-Firmamız içinde kişisel veri işlemede yer alan çalışanların bilinçlendirilmesi, eğitilmesi
– Firmamız ile KVK Kurumu ve KVK Kurulu ile olan ilişkilerin, yazışma ve bildirimlerin takibi
– Başvuru sahipleri tarafından yapılan başvuruların mevzuatta belirtilen şartları taşıyıp taşımadığının kontrolü ve ilgili birimlerle görüşerek yasal süre içinde başvuruya cevap verilmesi
-İş bu politikada alındığı belirtilen tedbirlerin denetimini yapmak, olası riskleri belirleyerek ilgili birimlere gerekli bildirimlerde, tavsiyelerde bulunmak
Yukarıda belirtilen asgari görevlere ek olarak, güncel mevzuat hükümleri, kurul kararları, uygulama esnasında ortaya çıkacak ihtiyaçlar ve faaliyet konularında meydana gelebilecek değişiklikler dikkate alınarak ek görev ve sorumluluklar da belirlenebilecektir.
14- KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BAŞVURU SÜRECİ
14.1 Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir. İlgili kişiler, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.
14.2 Kişisel veri sahibi, Kanun ve yürürlükte bulunan diğer mevzuat çerçevesinde kalmak kaydıyla;
- Kişisel verilerin işlenip işlenmediğini öğrenme,
- Kişisel verilerin işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- KVKK mevzuatında öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Eksik veya yanlış verilerin düzeltilmesi ile kişisel verilerin silinmesi veya yok edilmesini talep ettiğinde, bu durumun kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde bu zararın giderilmesini talep etme hakkına sahiptir.
- Veri sahibi gerçek kişiler taleplerini; firmamız internet sitesinde de paylaşılmış olan başvuru formunun çıktısını almak suretiyle firmamıza şahsen başvuru yapmak veya noter vasıtası ile bildirimde bulunmak veya bu başvuru formunu Kayıtlı elektronik posta (KEP) adresi, Mobil imza, 5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik imza” ile imzalayarak firmamız KEP veya elektronik posta adresine göndermek ya da varsa firmamıza daha önce bildirilmiş ve firmamız sistemlerinde kayıtlı bulunan elektronik posta adresi kullanılmak suretiyle tarafımıza iletebilecektir
- Başvuruda;
- Ad, soyad ve başvuru yazılı ise imza, başkası adına başvuru yapılıyorsa bu konuda özel olarak yetkili olduğuna dair belge
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu,
Bulunması zorunludur. Konuya ilişkin bilgi ve belgeler başvuruya eklenir. Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
- Firmamız, ilgili veri sahibi kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almış olup başvurunun içeriğine göre başvuruyu kabul eder veya gerekçesini açıklayarak reddedebilir. Firmamız ilgili veri sahibinin tercihini dikkate alarak cevabını yazılı olarak veya elektronik ortamda bildirir. Cevap yazısında asgari olarak aşağıdaki hususlar bulunacaktır;
- a) Veri sorumlusu veya temsilcisine ait bilgileri,
- b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
- c) Talep konusunu,
ç) Veri sorumlusunun başvuruya ilişkin açıklamaları
- Veri sahibinin başvurusunda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde ilgili veri sahibinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmayıp on sayfanın üzerindeki her sayfa için Kişisel Verileri Koruma Kurumu tarafından belirlenen tarife üzerinden işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde kayıt ortamının maliyetini geçmeyecek şekilde ücret talep edilebilir.
- Başvurunun, firmamız hatasından kaynaklanması hâlinde alınan ücret ilgili veri sahibine iade edilir.
- İlgili veri sahibinin talebinin kabul edilmesi hâlinde, talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir. Kişisel veri sahibi başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Firmamızın cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir. Firmamıza başvuru yolu tüketilmeden Kurul’a şikayette bulunulamaz.
- Kişisel veri sahibi, 6698 sayılı Kanun’un 28. Maddesi uyarınca Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde bu zararın giderilmesini talep etme hakkı dışında öngörülen haklarını kullanamayacaktır.
15– KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN İDARİ VE TEKNİK TEDBİRLER
İşlenen ve saklanan kişisel verilerin hukuka aykırı olarak işlenmesi engellemek, verilere hukuka aykırı şekilde erişimi önlemek, verileri güvenli şekilde muhafaza etmek amacıyla ilgili mevzuatta öngörülen tüm idari ve teknik tedbirleri almakta, uygun güvenlik düzeyinin sağlanması ve Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapma ve yaptırmaktadır.
15.1. İdari Tedbirler
Firmamız, uhdesinde bulunan kişisel verilerin güvenliği ve muhafazası için aşağıda belirtilen idari tedbirleri almaktadır:
- Kişisel Veri işleme Envanteri hazırlanmıştır.
- Veri İşleme, Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha, Veri Sahibinden gelebilecek başvuralar ile ilgili süreç yönetimi gibi hususlara dair kurumsal politikalar oluşturulmuştur.
- İşlenen kişisel verilerin özel nitelikli kişisel veri olup olmadığı, gizlilik seviyesi, olası zararın niteliği ve niceliği belirlenmek suretiyle mevcut risk ve tehditler belirlenmek suretiyle belirlenen risklerin azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri üretilerek kısa vadede alınabilecek tedbirler alınmış uzun vadede alınabilecek olanlar için de uygulamaya yönelik planlamalar yapılmıştır.
- Firma çalışanları, kişisel verilerin işlenmesi konusunda bilgilendirilmekte, eğitilmektedir.
- Çalışanların ve yüklenicilerin bilgi güvenliği sorumluluklarının farkında olmaları ve yerine getirmelerini temin etmek üzere veri güvenliğine ilişkin rol ve sorumluluklar ile görev tanımları belirlenmiştir.
- Çalışanların, kişisel veri güvenliğini zedeleyecek saldırılar ve siber güvenliğe ilişkin ilk müdahaleyi yapacak şekilde bilinçlenmeleri sağlanmıştır.
- Veri sorumlusunun çalışma sürecine ve işleyişine uygun politika ve prosedürler belirlenmiş olup bunlara uymaması durumunda devreye girecek bir disiplin süreci ve sözleşme hükümleri mevcuttur.
- Gizlilik taahhütnameleri yapılmaktadır.
- Çalışan, müşteri, tedarikçi, ziyaretçi vs. için aydınlatma metni mevcuttur.
- Açık rıza alınması gereken süreçler belirlenmiş ve uygulanmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderilmekte, gerekli tedbirler alınmaktadır.
- İşleme amacı bakımından bahsi geçen kişisel verilere ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır.
- Bilgi teknolojileri ihtiyaçlarının karşılanması amacıyla çalışılan 3. Kişilerin de en az Firmamız tarafından sağlanan güvenlik tedbirlerini sağlamalarına önem verilmekte ve bu çerçevede sözleşmeler yapılmaktadır.
- Veri İşleyenlere mevzuata uygun hareket etmesi konusunda gerekli bilgilendirme ve uyarılar yapılmakta, kişisel verilerin korunması mevzuatı ile uyumlu hareket edileceğine dair hükümlerin de bulunduğu yazılı sözleşmeler yapılmaktadır.
- 6698 sayılı Yasa öncesinde sözleşme yapılan ve hali hazırda sözleşme ilişkisinin devam ettiği kişilerle de KVKK uyum sürecinin tamamlanması için çalışmalar başlatılmıştır.
- Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmek üzere çalışanlar tarafında gerekli önlemler alınmaktadır.
- Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
- Görev değişikliği olan veya işten ayrılan personelin bu alandaki yetkileri derhal kaldırılmakta, kendisine tahsis edilen envanterler iade alınmaktadır. Yine pozisyon değişikliği birim değişikliği veya uzun süreli ya da tamamen işten ayrılma halinde personelin yetkileri askıya alınmakta ya da tamamen iptal edilmektedir.
- Mevzuat, kurul kararları ve politika hükümlerinin takibi ve uygulanması konusunda veri koruma sorumlusu ataması yapılmıştır.
15.2. TEKNİK TEDBİRLER
Firmamız idari tedbirlerin yanında uhdesinde bulunan kişisel verilerin güvenliği ve muhafazası için aşağıda belirtilen teknik tedbirleri de almaktadır:
- Ağ güvenliği ve uygulama güvenliği (anti-virüs sistemleri ve Güvenlik duvarları kullanılmak sureti ile )sağlanmakta olup İzinsiz erişim tehditler/siber saldırılara karşı güvenlik duvarı ve uygulama güvenliği açısından da antivirüs gibi gerekli yazılımlar kullanılmakta, periyodik güncellenmesi ve denetimleri yapılmaktadır. Firmamıza ait her ofiste güvenlik duvarları da kurulmaktadır.
- Güvenlik duvarları kullanılmaktadır
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Şifreleme yapılmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi 3. Kişilere gönderilecek cihazlarda bulunan kişisel veri saklama ortamları sökülerek saklanmakta veya kişisel verilerin kopyalanarak yetkisiz 3. Kişilere aktarılmasını engelleyecek önlemler alınmaktadır.
15.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN ALINAN TEDBİRLER
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte
- Gizlilik sözleşmelerinin yapılmakta
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması yapılmakta
- Periyodik olarak yetki kontrolleri gerçekleştirilmekte
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta bu kapsamda, firmamız tarafından kendisine tahsis edilen envanterin iade alınması sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
- Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmıştır.
- Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmekte, özel nitelikli kişisel verilerin kağıt ortamında dosyalandığı durumlarda dosyalar kilitli dolaplarda tutulmaktadır.
16– POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
- İlgili mevzuatta yapılacak her türlü resmi değişikliğin, Kurul tarafından alınacak kararların ardından bu değişikler ve kararlarla uyumlu olacak şekilde SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ tarafından İşbu Politika’da değişiklik yapılabilir.
- SAFİR NALBURİYE SANAYİ VE TİCARET LİMİTED ŞİRKETİ güncellenen Politikasını da internet üzerinden herkesin erişimine sunacaktır.
17– POLİTİKA YÜRÜRLÜLÜK TARİHİ
İşbu Politika ……………….. tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir.