6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNUUYARINCA AYDINLATMA METNİ
Avrupa Birliği kriterlerine uyum çerçevesinde uzun yıllar çalışılarak hazırlanmış olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, 07/04/2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması Kanunu, büyük ölçüde Avrupa Birliğinin 95/46/EC sayılı direktifi ile aynı yönde düzenlemeler ihtiva etmektedir.
Kişisel Verilerin Korunması Kanununun yürürlüğe girmesi ile, bireylerin kişisel verilerinin bütüncül bir düzenleme içerisinde korunması yasal, düzenleme altına alınmıştır.
Kişisel verilerin korunması Superıor Smart Teknoloji Sanayi Ticaret Limited Şirketi (Kartaltepe Mah. 1.Malazgirt Cad. No: 2 -4/2o Küçükçekmece/ İstanbul) için büyük önem ve hassasiyet arz etmektedir. Zira Türkiye Cumhuriyeti Anayasasına göre herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.
Bu nedenle, Kişisel Verilerin Korunması Kanununun getirdiği haklardan müşterilerimizi faydalandırmak ve Kişisel Verilerin Korunması Kanununa uyum sürecini sağlamak için işbu politika düzenlenerek yürürlüğe konulmuştur.
İşbu politika ile, şirket tarafından Kişisel Verilerin Korunması Kanununa uyum için getirilecek düzenlemelerin, şirket bünyesinde, şirketimiz çalışanları ve iş ortakları tarafından etkin bir şekilde uygulanmasını teminen, şirketimizce hukuka uygun bir şekilde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, şirket işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbirlerin alınmasını sağlamak, gerekli iç prosedürleri oluşturmak, farkındalığın yükseltilmesi için gerekli tüm eğitimleri belirlemek, çalışanlar ve iş ortaklarının Kişisel Verilerin Korunması Kanunu süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmalarının kurulmasını sağlamak, şirket bünyesinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesi ve eşgüdümün sağlanması amaçlanmıştır.
Bu kapsamda, belirlenen ilkeler doğrultusunda iç işleyişimizde uyum için gerekli düzenlemeler yapılarak özellikle çalışanların ve iş ortaklarının farkındalığının oluşması için gerekli çalışmalar yapılmaktadır ve yapılmaya devam edecektir.
Bu politika ile kişisel verilerin işlenmesi ve korunması konusunda genel kurallar ile Superıor Smart Teknoloji Sanayi Ticaret Limited Şirketi (Kartaltepe Mah. 1.Malazgirt Cad. No: 2 - 4/2o Küçükçekmece/ İstanbul) tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler belirlenmekte ve ortaya konulmaktadır.
İşbu protokolün daha net anlaşılabilmesi için kanun kapsamında ve politikada sıklıkla bahsedilecek tanımlar aşağıda açıklanmıştır.
Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin maskeleme, toplulaştırma, veri bozma vb. tekniklerle başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Başvuru Formu: Kişisel veri sahiplerinin, haklarını kullanmak için yapacakları başvuruyu içeren “6698 sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu” nu ifade eder.
Çalışan Adayı: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişileri ifade eder.
İş Birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları, Yetkilileri: Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi ama bunlarla sınırlı olmamak kaydıyla) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere gerçek kişileri ifade eder.
İş Ortağı: Şirketimizin ticari faaliyetlerini sürdürürken çeşitli projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları ifade eder.
Kişisel Verilerin İşlenmesi: Kişisel verilerin belirli kriterlere göre yapılandırılarak, işlenerek elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade eder.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kurul: Kişisel Verileri Koruma Kurulu
Kurum: Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri: Kişilere ait ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri ifade eder.
Periyodik İmha: Kişisel Verilerin Korunması Kanununda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla kendiliğinden gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
Şirket Yetkilisi: Şirketimizin yönetim kurulu üyesi ve diğer yetkili gerçek kişileri ifade eder.
Tedarikçi: Şirketimizin ticari faaliyetlerini yürütürken şirketimizin talimatlarına uygun olarak sözleşme temelli veya herhangi bir sözleşmesel ilişkisi bulunmadan şirketimize hizmet sunan tarafları iade eder.
Üçüncü Kişi: Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri politika kapsamında işlenen gerçek kişileri ifade eder.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi ifade eder.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yerin (veri kayıt sistemi) kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder.
Ziyaretçi: Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişileri ifade eder.
Veri Kayıt Sistemi: Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
Şirketimiz, Anayasanın 20. maddesine ve Kişisel Verilerin Korunması Kanununun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda, hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel veri işleme faaliyetinde bulunmaktadır.
Şirketimiz, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
Şirketimiz, Anayasanın 20. ve Kişisel Verilerin Korunması Kanununun 10. maddelerine uygun olarak kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır.
Şirketimiz, Kişisel Verilerin Korunması Kanununun 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz, Kişisel Verilerin Korunması Kanununun 8 ve 9. maddelerine uygun olarak kişisel verilerin aktarılması konusunda kanunda öngörülen ve Kişisel Verileri Koruma Kurulu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.
İşbu politika aynı zamanda Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat tarafından ortaya konulan kuralların somut olarak nasıl uygulanacağına ilişkin olarak yol gösterici bir özelliğe sahiptir.
Şirketimiz, bu politikayı rehber edinerek kendi bünyesinde gerçekleştirdiği kişisel veri işleme faaliyetlerini analiz edecek, bu politikaya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaktır.
Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek politikaya uygunluğun devamlılığı sağlanacaktır.
Şirketimiz bünyesinde, bu politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığının sağlanması için çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek ve şirketimizin iş ortakları ile olan ilişkilerinde de gerekli düzenlemeler yapılacaktır.
Kişisel Verilerin Korunması Kanununa uyumluluğun sağlanması için kişisel veriler şirketimiz tarafından, mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenmelidir. Bu
hususta, şirketimiz tarafından tüm kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınacaktır.
Bu kapsamda, kişisel verilerin hangi ilkeler doğrultusunda işlenmesi gerektiği Kişisel Verilerin Korunması Kanununun 4. maddesinde sayılmış olup bu ilkeler şunlardır:
Şirketimiz, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
Bu hususta şirketimiz, ilgili kişilerin haklarının korunması için kişisel verileri hukuka uygun ve adil bir şekilde toplayarak işleyecektir. Kişisel verinin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenmektedir. Amacın kabul edilebilir ve orantılı olduğu durumda anonim ya da istatistiki veri kullanılabilir.
Kişisel veri işleme faaliyetlerinin yürütülmesinde orantılılık ve gereklilik ilkeleri göz önünde bulundurulacak ve her zaman ilgili kişinin çıkarları öncelikli olarak gözetilecektir.
Kişisel veri, bir gerçek kişiyi tanımlayan veya tanımlayabilmeye yarayan her türlü bilgi şeklinde ifade edildiğine göre hakkında bilgi verdiği kişiyi tanımlayabilmesi için doğru olması gerekmektedir. Doğru şekilde toplanan, elde tutulan ve işlenen bir kişisel veri de zamanla değişebilmektedir. Bu durumda hem veri sorumlusu hem de ilgili kişinin çıkarlarına uygun olan, değişen ve güncelliğini yitiren kişisel verinin güncel olan yeni veriyle değiştirilmesi gerekmektedir.
Şirketimiz, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlamaktadır.
Bu itibarla şirketimiz tarafından işlenen kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması için gerekli her türlü teknik ve idari tedbir alınmaktadır.
Kişisel veriler şirketimiz tarafından, yalnızca verilerin toplanmasından önce tanımlanmış amaçlar için işlenmektedir. Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir.
Bu itibarla şirketimiz, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar kişisel veri işlemektedir. Amaca ilave değişimler yalnızca sınırlı ölçüde ve gerekçelendirmeyle mümkündür.
Bununla birlikte şirketimiz tarafından kişisel verilerin toplanması ve işlenmesi öncesinde ilgili kişiler detaylı olarak bilgilendirilmektedir. Verilerin toplanması öncesinde hak sahipleri aşağıdaki hususlarda bilgilendirilmektedir.
Kişisel veriler şirketimiz tarafından, yalnızca verilerin toplanmasından önce tanımlanmış amaçlar için işlenmektedir. Kişisel verilerin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenmektedir.
Bu itibarla şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
Şirketimiz, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmiş ise bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.
Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde artık gerekli olmayan kişisel veriler şirketimiz tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hükümlerine uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel Verilerin Korunması Kanununun 5. maddesinde kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olup, kanunun 5/2. maddesinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceği şartlar sayılmıştır.
Buna göre kişisel verilerin işlenebilmesi için aşağıdaki şartlardan en az birinin varlığı gerekmektedir:
Bu itibarla veri sorumlusu ile ilgili kişi arasındaki ilişkiye, işleme faaliyetinin niteliğine göre birden fazla şartın aynı anda bulunması da söz konusu olabilir. Bu durumda her bir veri işleme şartı ayrı ayrı göz önünde bulundurulmakta, verinin ne surette işlenebileceği ayrı ayrı değerlendirilmektedir.
Dolayısıyla şirketimiz tarafından işlenen her bir kişisel veri bakımından hangi işleme şartı kapsamında veri işlediğini belirlemekte, bu şartlardan birden fazlasının bir arada bulunduğu durumda da her bir şartı ayrı ayrı dikkate alınmaktadır.
Kişisel Verilerin Korunması Kanununda özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda şirketimiz tarafından özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenmemektedir. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Bununla birlikte özel nitelikli kişisel veriler işlenirken kurul tarafından belirlenecek önlemlerin alınmasına dikkat edilmektedir.
Ayrıca şirketimiz tarafından kişisel veri işleme faaliyetlerin kanunda belirtilen şartlardan birinin kapsamına girip girmediği değerlendirilmekte ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri durdurulmaktadır.
Bununla birlikte kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda Kişisel Verilerin Korunması Kanununun 8. ve 9. maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler kurgulanmıştır. Bu itibarla şirketimiz tarafından kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmaktadır.
Dolayısıyla kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına şirket içerisinde gerekli sistemler kurgulanmakta ve kurum içi farkındalık yaratılmalıdır.
Şirketimiz kişisel verileri Anayasaya uygun bir biçimde, bu doğrultuda, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.
Şirketimiz, kanunun 10. maddesine uygun olarak kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu itibarla ilgili kişilere;
Kanun kapsamında, bazı kişisel verilerin diğer verilere kıyasla hukuka aykırı bir şeklide kullanılması sonucunda bireyin temel hak ve özgürlüklerine daha fazla zarar verici nitelikte olduğu düşüncesinden hareketle, bu veriler özel nitelikli olarak kabul edilmiştir.
Kişisel Verilerin Korunması Kanunu ile kabul edilen özel nitelikli kişisel veriler şu şekilde olup sayılanlarla sınırlıdır ve bu verilerin genişletilmesi mümkün değildir:
Tüm bu açıklamalar ışığında, şirketimiz tarafından Kişisel Verilerin Korunması Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde kanunda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
Kişisel Verilerin Korunması Kanununun 6. maddesinde hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve ayrımcılığına sebep olma riski taşıyan özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla kişisel veri sahibinin açık rızası var ise yahut kişisel veri sahibinin açık rızası olmaması durumunda kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri kanunda öngörülen hallerde işlenmektedir.
Kişisel verilerin şirketimiz dışındaki bir üçüncü kişiye aktarılması, aydınlatma metinlerinde yer alan ve aşağıda belirtilen amaçlar kapsamında gerçekleştirilecektir. Buna göre şirketimiz kişisel verileri aşağıda belirtilen kişi ve kurumlara belirli amaçlarla aktarılabilecektir;
kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olmak kaydıyla kişisel veriler, yetkili özel hukuk tüzel kişilerine aktarılabilmektedir.
Dolayısıyla bu kapsamda;
Şirketimiz, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kişisel Verileri Koruma Kurulu tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
Yukarıdaki açıklamalar ışığında, şirketimiz halihazırda yurtdışına herhangi bir veri aktarımı yapmamaktadır.
Ancak herhangi bir şekilde yurt dışına veri aktarımı yapılması gerekirse bu durumda Kişisel Verilerin Korunması Kanununun 9. maddesi doğrultusunda veri sahibinin açık rızası alınacaktır.
Ancak özel nitelikli kişisel veriler dahi, kişisel verilerin veri sahibinin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın kişisel veriler yurt dışına aktarılabilecektir.
Eğer aktarım yapılacak ülke kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, şirketimiz ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt edecektir.
KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
Superıor Smart Teknoloji Sanayi Ticaret Limited Şirketi’nin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda Kişisel Verilerin Korunması Kanununun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere Kişisel Verilerin Korunması Kanununda belirtilen genel ilkelere ve Kişisel Verilerin Korunması Kanununda düzenlenen tüm yükümlülüklere uyularak ve işbu politika kapsamındaki kişisel veri sahipleri ile sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
Superıor Smart Teknoloji Sanayi Ticaret Limited Şirketi, Kişisel Verileri Koruma kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur.
Hazırlanan bu veri envanterinde veri işleyen departman, hangi faaliyet kapsamında işleme yapıldığı, işlenen kişisel veri, işlenen verinin kategorisi, işlenen verinin türü, işlenen verinin saklama frekansı, işlenen verinin saklama süresi, veri konusu kişi grubu, alıcı grubu, veri işleme amacı, veri işleme faaliyetinin dayandığı hukuki sebep, veriyi toplama ve paylaşma metodu, verinin saklandığı ortam, verinin aktarılma durumu, verinin işlenme sıklığı, veriye erişim durumu, veriye erişen birimler, veriye erişim gerekçesi, veri paylaşım durumu, alınan idari ve teknik tedbirler ve açıklamalar yer almaktadır.
Şirketimiz tarafında bina girişlerinde ve bina içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasaya, KVKK’ya ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.
Şirketimiz tarafından güvenliğin sağlanması amacıyla, şirketimiz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile giriş çıkışların takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve bina giriş çıkışlarının kayıt altına alınması yoluyla şirketimiz tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır. Bu hususta gerekli aydınlatma metinleri hazırlanmış olup, ilgili kişilere gerekli bilgiler verilmektedir.
|
KİŞİSEL VERİ KATEGORİZASYONU |
AÇIKLAMA |
|
İletişim Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, telefon numarası, adres, adres no, e-posta adresi, kep adresi, faks numarası, gibi bilgiler |
|
Lokasyon Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, kişisel veri sahibinin şirketin iş birimleri tarafından yürütülen operasyonlar çerçevesinde, şirket araçlarını kullanan personelin bulunduğu yerin konumunu tespit eden bilgiler, GPRS lokasyonu, anlık konum bilgisi, konum bulmaya yönelik çerez bilgileri vs. |
|
İşlem Güvenliği Verisi |
Şirketin faaliyetlerini yürütürken gerek kişisel veri sahibinin gerekse de şirketin teknik, idari, hukuki ve ticari güvenliğine ilişkin olarak işlenen IP adresi bilgileri, internet sitesi giriş- çıkış bilgileri, şifre ve parola bilgileri, güvenlik adları, kullanıcı adları, e-imza, oturum anahtarı bilgileri, şifreleme yöntemi, çerez bilgileri, işlem güvenliği bilgisi, dijital tanımlayıcılar, üyelik bilgileri vs. |
|
Fiziksel Mekân Güvenliği Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler, kamera kayıtları, görüntü kayıtları çalışan ve ziyaretçilerin giriş- çıkış kayıtları vs. |
|
Finansal Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirketin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile kkb sorgu, kkb kayıtları, kredibiliteye ait bilgiler, kredi kartı borcu, kredi ödemeleri, banka hesap dökümü, faiz tutarı, faiz oranı, borç bakiyesi, alacak bakiyesi, yatırım tercihi, birikim, haciz, tedbir, tapu ve kira sözleşmesi, ciro, kredi kartı numarası, banka hesap numarası, IBAN numarası, findeks notu, çek-enet tutarları, akreditif bilgileri, maaş ödeme dekontu, finansal profil, mail order bilgisi, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler |
|
Görsel-İşitsel Kayıt Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, fotoğraf ve kamera kayıtları (fiziksel mekân güvenlik bilgisi kapsamına giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
|
Özlük Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük halklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları, yıllık izin-ücretsiz izin formları, işten ayrılma tarihi, işten ayrılma sebebi, disiplin suçu kaydı, çalışanın işyerine giriş-çıkış saatleri, personel numarası, SGK işe giriş bildirgesi, SGK işten çıkış bildirgesi, SGK tahakkuk fişi, SGK ödeme dekontu, ayakkabı numarası, beden ölçüsü, meslek yeterlilik belgesi, doğum-ölüm-evlenme izin formları, iş sağlığı ve güvenliği sertifikası, askerlik durumu, SGK hizmet dökümü, SGK bildirim kaydı, ücret, eğitim, istihdam tarihi, fotoğraf, bordro çalışma saati, eski işyerinden çalışma belgesi, geçmişte alınan ihtar ve cezalar, iş grubu, meslek kodu, işten ayrılma sebebi, sertifika ve yetkinlik belgesi, referans kişi bilgisi, özgeçmiş gibi her türlü kişisel veri |
|
Hukuki İşlem Verisi |
Şirketin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri kapsamında işlenen veriler, adli makamlarla yazışmalardaki veriler, dava dosyasındaki veriler, yan haklar ve menfaatler bilgisi, hukuki işlem ve uyum bilgisi, denetim ve teftiş bilgisi, araç muayene ve kontrol formu, talep-şikâyet yönetimi bilgisi, ticari olarak hassas işlenecek veri, olay yönetimi bilgisi vs. |
|
Ceza Mahkumiyeti ve Güvenlik Tedbirleri Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin işe alım süreçlerinin yönetilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen adli sicil kaydı gibi ceza mahkumiyeti ve güvenlik tedbirlerine ilişki bilgiler |
|
Mesleki Deneyim Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin işe alım süreçlerinin yönetilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen eğitim-öğretim gördüğü okullara ilişkin bilgiler, diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri vs. |
|
İmza Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, özellikle sözleşmelerin akdedilmesine temel olmak üzere işlenen imza bilgisi. |
|
Müşteri İşlem Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, çağrı merkezi kayıtları, fatura, çek, senet bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi vs. |
|
Risk Yönetimi Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ticari, teknik, idari risklerin yönetilmesi için işlenen risk yönetimi bilgisi, adres kayıt sistemin kayıtları, IP adresi bilgisi, Mac adresi bilgisi, cihaz modeli, tipi, cihaz seri numarası bilgisi, işletim sistemi bilgileri, internet tarayıcı bilgileri, IMEI numarası, bilgisayar adı, imza sirküleri, vs. |
|
Sağlık Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, sağlık bilgileri, engellilik bilgisi, kan grubu, sigorta sağlık bilgileri, seyahat sağlık sigortası, sağlık raporu, psikoteknik belgesi, kullanılan cihaz ve protez bilgileri vs. |
|
Seyahat Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen uçuş bilgileri, konaklama bilgisi vs. |
Şirketimiz tarafından aşağıda sıralanan ilgili kişi kategorilerinin kişisel verileri işlenmekle birlikte, işbu politikanın uygulama kapsamı;
Şirketimiz tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda belirtilen kapsamda olmakla birlikte bu kategorilerin dışında yer alan kişiler de KVKK kapsamında şirketimize taleplerini yöneltebilecek olup, bu kişilerin talepleri de bu politika kapsamında değerlendirmeye alınacaktır.
Yukarıda izah edildiği gibi, kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi ilkesi, veri işleme amacının açık, net ve kesin olarak belirlenmesini ve bu amacın meşru olmasını gerekli kılar.
Bu kapsamda kişisel veriler genel bir tanımlama yapmak gerekirse;
Şirketimiz, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken yürütülen faaliyeti ile bağlı olarak şirketimizin uygulamaları ve ticari yaşamın teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve şirketimizin belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir.
Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konuda şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir.
Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel veriler veri sahibinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Türk Ceza Kanunu’nun 138. maddesi ve 6698 sayılı Kişisel Verileri Koruma Kanununun 7. maddesi gereği, kişisel veriler ilgili kanun hükümlerine uygun işlenmesine rağmen, veri işlemeye ilişkin şartların ortadan kalkması halinde yukarıda izah edildiği üzere şirketimizin kararı ile, şirketimiz tarafından belirlenen saklama sürelerinin geçmesinin ardından veya kişisel veri sahibinin bu yönde bir talebi olması durumunda silinir, yok edilir veya anonim hale getirilir. Verilerin saklanma süreleri ilgili mevzuata ve şirketimizin ihtiyaçlarına göre belirlenir.
Silinme, imha etme veya anonimleştirme işlemleri için Kişisel Verileri Koruma Kurumunun bu konularla ilgili aldığı kararlar ve öneriler dikkate alınır. ISO 27001 kapsamında konuya ilişkin prosedürlere uyulur. Teknolojinin izin verdiği en uygun çözüm, şirketimizin ihtiyaçları ve imkanları dikkate alınarak uygulanır.
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açsından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Şirketimiz, kişisel verilerin anonim hale getirilmesi için her türlü teknik ve idare tedbirleri almaktadır. Kişisel verilerin anonim hale getirilmesi, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte belirtilen esaslara ve Kişisel Verileri Koruma Kurumunun konuya ilişkin yayınladığı rehberdeki yöntemlere uygun olarak yapılır.
Şirketimiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.
Verilerin silinmesi için aşağıdaki yöntemler uygulanır.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından, hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz tarafından, kişisel verilerin imha edilmesi ile ilgili her türlü teknik ve idari tedbir alınmaktadır.