KC ELİT YAVRU EVCİL HAYVANLAR VE MALZEMELERİ SANAYİ TİCARET LTD ŞTİ
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
1. GİRİŞ
Kişisel Verilerin önemi özellikle son 30 yılda ortaya çıkan teknolojik gelişmeler ve dijital çağın getirileri doğrultusunda büyük bir önem arz etmeye başlamış olup, özellikle Anayasa ve Türk Ceza
Kanunu’nda yapılan düzenlemelerin ardından, taslak halinde olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “KVK Kanunu”) Türkiye Cumhuriyeti Büyük Millet Meclisi tarafından kabul edilmiş ve 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
KC Elit Yavru Evcil Hayvanlar Ve Malzemeleri Sanayi Ticaret Limited Şirketi , (“Şirket” ya da “Şirket “ ) KVK Kanunu’nun öngördüğü ilkeler kapsamında, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili Kanun’dan kaynaklı yükümlülüklerini yerine getirmektedir.
KVK Kanunu’na uygun bir şekilde düzenlenmiş olan işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“İşleme Politikası”) kişisel verisi işlenen gerçek kişilerin (“İlgili Kişi”) erişimine sunulmaktadır.
2. AMAÇ VE KAPSAM
İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), kişisel verilerin işlenmesi ve KVK Kanunu, ikincil düzenlemeler, Kişisel Verilerin Korunması Kurulu’nun (“KVK Kurulu”) kararları ve düzenlemeleri ve sair ilgili mevzuat uyarınca usulüne uygun bir şekilde korunması konusunda belirlemiş olduğu temel kuralları ve uygulamasını ortaya koymak amacıyla Veri Sorumlusu sıfatıyla Şirket tarafından hazırlanmıştır.
İşbu İşleme Politikası, Şirket , tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veriler ile ilgili aşağıdaki hususları belirtmektedir;
- Kişisel Verilerin işlenmesinde dikkat edilen genel ilkeleri,
- Kişisel Verilerin işlenme şartları,
- Kişisel Verilerin toplandığı yöntemler ve hukuki sebepleri,
- Hangi kişi gruplarının Kişisel Verilerinin işlendiğini (İlgili Kişi Kategorizasyonu),
- İlgili Kişilerin hangi kategoride Kişisel Verilerinin işlendiği (Veri Kategorileri) ve örnek veri türleri,
- Kişisel Verilerin hangi amaçlarla kullanıldığı,
- Kişisel Verilerin güvenliğini sağlamak amacıyla alınan teknik ve idari tedbirleri,
- Kişisel Verilerin kimlere hangi amaçlarla aktarılabileceği,
- Kamu kurum ve kuruluşları ile resmi makamlar ile gerçekleştirilen Kişisel Veri paylaşımı,
- Kişisel Verilerin saklanma süreleri,
- İlgili Kişilerin, kendi Kişisel Verileri üzerindeki haklarının neler olduğunu ve bu hakları nasıl kullanabileceklerini.
3. TANIMLAR
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
KVKK/KVK Kanunu | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiyle eşleştirilebilen her türlü bilgi. |
Kişisel Verilerin İmhası | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde |
edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. | |
Kişisel Verilerin Saklanması ve İmhası Politikası | Şirket tarafından hazırlanan kişisel verilerin saklanmasına ve imha edilmesine ilişkin hususları düzenleyen Kişisel Verilerin Saklanması ve İmhası Politikasını ifade eder. |
Kişisel Verilerin Silinmesi | Kişisel Verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
KVK Kurulu | Kişisel Verileri Koruma Kurulu. |
KVK Kurumu | Kişisel Verileri Koruma Kurumu |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Şirket, faaliyetleri doğrultusunda işbu Politika kapsamında tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlemekte olduğu kişisel verileri, KVK Kanunu md.4’te yer alan aşağıdaki genel ilkeler çerçevesinde işlemektedir;
4.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesini Sağlama
Şirket , Veri Sorumlusu sıfatı ile işlemekte olduğu Kişisel Verileri, Anayasa ve KVK Kanunu uyarınca hukuka ve dürüstlük kurallarına uygun olarak işlemek ve korunmasını sağlamakla yükümlü olduğunun bilincinde olup, Kişisel Verilerin korunmasına ilişkin yürürlükte bulunan mevzuata ve söz konusu mevzuatta yapılacak değişikliklere uyum sağlayarak Kişisel Verilerin hukuka ve dürüstlük kurallarına aykırı olarak işlenmesine engel olmak için azami güvenlik önlemlerini almaktadır.
4.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket, işlediği Kişisel Verilerin doğru ve güncel olmasını sağlamak için gerekli tüm teknik ve idari tedbirleri almaktadır. Veri Sorumlusu sıfatıyla Şirket tarafından işlenen Kişisel Veriler, İlgili Kişi’nin talebi üzerine değiştirilip güncellenerek saklanmakta, Kişisel Verilerin Saklanması ve Korunması Politikası uyarınca ilgili mevzuatta yer alan saklama süreleri ve ilgili mevzuatta saklama sürelerine ilişkin hüküm bulunmaması halinde sektörel teamüle göre Şirket tarafından belirlenen saklama süresinin sonlanmasının ardından silinmektedir.
4.3. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesini Sağlamak
Şirket, Kişisel Verileri ilgili mevzuat hükümleri uyarınca, yürütmekte olduğu faaliyetlerle bağlantılı olarak gerekli olduğu ölçüde ve yasal yükümlülükleri ile sınırlı olarak hukuka uygun bir şekilde işlemektedir. Bununla birlikte, işleme faaliyetlerine başlamadan önce Şirket , işleme amaçlarını açık ve kesin olarak belirlemekte olup, İlgili Kişilere gerekli bildirimleri yapmakta ve Aydınlatma Yükümlülüklerini yerine getirmektedir.
4.4. Kişisel Verilerin işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işlenmesi
Şirket tarafından işlenen veriler önceden belirlenen amaçlar ile bağlantılı ve sınırlı olarak ve işbu amacın gerçekleşmesinin gerektirdiği ölçüde işlenmektedir. İşleme amacı ile ilgili olmayan ve söz konusu amacın gerçekleşmesi için gerek ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Bu doğrultuda verilerin işlenmesi Şirket faaliyetleri ve ilgili mevzuatlar uyarınca Şirketin sahip olduğu yasal yükümlülükler ile sınırlıdır.
4.5. Kişisel Verilerin ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süre ile sınırlı olarak işlenmesi
Şirket tarafından işlenen veriler ilgili mevzuat hükümlerinde öngörülen sürelere uygun bir şekilde ve ilgili mevzuatta hüküm bulunmaması halinde Şirket tarafından işleme amacının gereklilikleri doğrultusunda sektörel teamüle göre belirlenen süreler boyunca muhafaza edilmekte olup işbu sürelerin sonunda Kişisel Veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu kapsamda gerekli idari ve teknik tedbirler alınmış olup Kişisel Verilerin saklanmasına ve imhasına yönelik prosedürler Kişisel Verilerin Saklanması ve Korunması Politikası’nda detaylı bir şekilde açıklanmıştır.
5. KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ
Şirket , yürütmekte olduğu faaliyetler uyarınca işlemekte olduğu kişisel verileri; e-posta, posta, Web sitesi, sosyal medya hesapları, fax, telefon, idari ve adli makamlardan gelen tebligatlar ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak, ilgili kişinin kendisinden ya da 3.kişilerdeni KVK Kanunu’nda belirtilen kişisel veri işleme şartlarına uygun olarak ve işbu İşleme Politikası’nda belirtilen hukuki sebepler doğrultusunda toplamaktadır.
6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel Veriler, Şirket tarafından, KVK Kanunu md.5’te sayılan Kişisel Veri işleme şartlarına ve Anayasa’nın 20. Maddesine riayet edilmek suretiyle ilgili şart belirlenerek işlenmektedir. Şirket tarafından Kişisel Verilerin İşlenmesinin şartları;
6.1. İlgili Kişinin Açık Rızasının Bulunması
Kişisel Veriler kural olarak, KVK Kanunu’nda yer alan düzenleme uyarınca İlgili Kişinin açık rızası bulunmadan işlenememektedir. Bu doğrultuda Şirket, ilgili faaliyet uyarınca işlenecek Kişisel Verinin açık rıza şartına bağlı olması halinde, İlgili Kişiyi kişisel verilerin elde edilmesi esnasında aydınlatmak suretiyle, İlgili Kişinin özgür iradesiyle, aydınlatma ile uyumlu ve belirli bir konuya ilişkin olarak vereceği açık rıza beyanı uyarınca kişisel veri işlemektedir.
KVK Kanunu uyarınca, açık rıza beyanının alınmasına ilişkin herhangi bir şekil şartı bulunmamakla birlikte, Şirket, mümkün olduğu müddetçe, fiziki yollardan elde etmiş olduğu kişisel veriler için açık rıza beyanını yazılı olarak, elektronik yollardan elde edilen kişisel veriler için ise İlgili Kişinin aktif onayını almak suretiyle (opt-in yöntemi) ile elektronik ortamda almaktadır.
KVK Kanunu madde 5 uyarınca İlgili Kişi’nin açık rızasının aranmaksınız Kişisel Verilerin işleneceği haller aşağıda belirtilmektedir;
6.2. Kanunlarda Açıkça Öngörülmesi
Şirket tarafından yürütülen faaliyetler uyarınca uymakla yükümlü olduğumuz kanun ve ilgili mevzuatlarda yer alan düzenlemeler gereği işlenmesi gereken kişisel veriler İlgili Kişinin açık rızası olmaksızın işlenebilecektir.
Örneğin; (i) Çalışanlarımızın Sosyal Güvenlik Kurumuna yapılacak bildirimleri uyarınca işe giriş bildirgelerinde yer alan veriler Çalışanlarımızın açık rızasını aramaksızın Şirket tarafından işlenebilecektir. (ii) İş/Çözüm ortağı ya da Müşterilerimiz ile ilişkilerimiz kapsamında fatura düzenlenmesi halinde, faturada yer alan veriler açık rıza aranmaksızın Şirket tarafından işlenebilecektir.
6.3. Fiili İmkânsızlık Nedeniyle Hayat ve Beden Bütünlüğünün Korunması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde Kişisel Veriler açık rıza bulunmaksızın işlenebilecektir.
Örneğin; Ziyaretçilerimizden birinin Şirket bünyesinde çalışma yapılan yerde kaza geçirmesi halinde tıbbi müdahale öncesinde kan grubu gibi bilgiler bu amaçla işlenebilecektir.
6.4. Sözleşmenin Kurulması veya ifasıyla doğrudan ilgili olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde Kişisel Veriler açık rıza bulunmaksızın işlenebilecektir.
Örneğin; Çalışanlarımızın iş akdi kapsamında hak etmiş olduğu ücretlerinin ödenmesi amacıyla Banka Hesap Bilgileri açık rıza aranmaksızın işlenebilecektir.
6.5. Hukuki Yükümlülüklerimizin Yerine Getirilmesi
Veri sorumlusu olarak sahip olduğumuz hukuki yükümlülüklerin yerine getirebilmesi için zorunlu olması halinde Kişisel Veriler açık rıza aranmaksızın işlenebilecektir.
Örneğin; Vergi, Rekabet, İş Sağlığı ve Güvenliği gibi alanlarda denetim yapılması halinde Kişisel Verilere ilişkin paylaşım yapılması.
6.6. Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi
Kişisel Verilerin İlgili Kişinin kendisi tarafından alenileştirilmiş olması halinde açık rıza aranmaksızın işleme faaliyeti gerçekleştirilebilecektir.
Örneğin; Çalışanın, acil durumlarda ulaşılması için iletişim bilgisini ilan etmesi, İş Ortağı/Çözüm Ortağının kartvizit vermek suretiyle aleni hale getirmesi.
Şirket, İlgili Kişinin kendisi tarafından aleni hale getirilen verinin işlenmesinde, alenileştirme amacına riayet edilmesine ve alenileştirme amacı dışında kalan amaçlarla kişisel verilerin işlenmemesine dikkat etmektedir.
6.7. Bir Hakkın Tesisi veya Korunması İçin İşlemenin Zorunlu Olması
Şirket, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde açık rıza aramaksızın Kişisel Verileri işleyebilecektir.
Örneğin; İşten ayrılan Çalışanımıza ait gerekli özlük bilgilerinin dava zaman aşımı boyunca saklanması.
6.8. Veri Sorumlusu sıfatıyla Şirket Meşru Menfaatleri İçin Veri İşlemenin Zorunlu Olması
Şirket, İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda İlgili Kişinin açık rızasını aramaksızın Kişisel Veri işleyebilecektir.
Örneğin; (i) Çalışan bağlılığını artıran ödül ve primler uygulanması, performans değerlendirmesi gibi amaçlara, açık rıza aranmaksızın veri işlenebilecektir. (ii) Ziyaretçilerimizin, ziyaret tarihi, ziyaret edilen kişi bilgisi gibi verilerinin işlenmesi bu kapsamda değerlendirilecektir.
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVK Kanunu madde 6’da yapılan tanım uyarınca Özel Nitelikli Kişisel Veriler, Kişisel Verilerin aksine sınırlı olarak sayılmış olup; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade etmektedir.
Kişisel Verileri Koruma Kurumu tarafından yayımlanan "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili 31/01/2018 Tarihli ve 2018/10 Sayılı Karar uyarınca Şirket tarafından işlenen Özel Nitelikli Kişisel Veriler işbu Kişisel Veri İşleme Politikasında yer alan kurallar uyarınca aşağıdaki şekilde işlenmektedir.
KVK Kanunu uyarınca kural olarak, Kişisel Veriler’de olduğu gibi, Özel nitelikli kişisel verilerin, İlgili Kişinin açık rızası olmaksızın işlenmesi yasaktır. Açık rıza aranmaksızın Özel Nitelikli Kişisel Verilerin işlenmesi noktasında ise Şirket tarafından, Sağlık ve Cinsel Hayata İlişkin veriler ile Sağlık ve Cinsel Hayat Dışında Kalan Özel Nitelikli Kişisel Veriler olarak ayrım yapılmaktadır.
Şirket tarafından işlenen Özel Nitelikli Kişisel Veriler işbu madde altında sayılan şartlarla ve KVK Kanunu ve 20 Ekim 2016 tarih, 29863 sayılı Resmî gazetede yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’e uygun olarak işlenmektedir.
7.1. Sağlık ve Cinsel Hayata İlişkin Verilerin İşlenmesi
Sağlık ve Cinsel Hayata İlişkin Kişisel Veriler kural olarak açık rıza bulunması halinde işlenebilecektir. Sağlık ve Cinsel Hayata İlişkin Kişisel Verilerin açık rıza olmaksızın işlenebilmesi ise ancak aşağıdaki durumlarda söz konusu olacaktır;
- Kamu sağlığının korunması,
- Koruyucu hekimlik,
- Tıbbî teşhis,
- Tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
Sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.
7.2. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi
Sağlık ve cinsel hayat dışındaki kişisel veriler kural olarak sadece açık rıza bulunması şartıyla işlenebilecektir.
Mevzuat hükümleri ile özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü durumlarda ise; İlgili Kişinin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verileri açık rıza şartı aranmaksızın Şirket tarafından işlenebilecektir.
Bu durumda Şirket tarafından gerçekleştirilecek veri işleme faaliyetleri, ilgili kanun hükmünün gereklilikleri ile sınırlı olacaktır.
7.3. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler
Şirket, Özel Nitelikli Kişisel Verilerin işlenmesinde, yukarıda belirtilen hususların yanında, Kurul tarafından belirlenen yeterli önlemleri almakla yükümlüdür. Bu kapsamda;
- Özellikle Çalışanlarımızın Özel Nitelikli Kişisel Verileri özlük dosyalarından ayrı bir şekilde muhafaza edilerek yetkisiz kişiler tarafından erişimi sınırlandırılmaktadır.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda (Arşiv odası, Ofis dolapları, çekmece vb.);
- Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık durumlara karşı) alınmaktadır.
- Özel Nitelikli Kişisel Veriler, Kişisel Verilerin muhafaza edildiği arşiv odalarından ayrılarak Şirket fiziki olanakları ölçüsünde CCTV kamera sistemi ile izlenmekte olan ayrı bir arşiv odasında muhafaza edilmektedir.
- Bu ortamlara yetkisiz giriş çıkışların engellenmesi için gerekli tedbirler alınmaktadır.
- Şirket tarafından işlenen Özel Nitelikli Kişisel Verilerin elektronik/dijital ortamlarda muhafaza edildiği/erişildiği durumlarda;
- Verilerin kriptografik şifreleme yöntemleri kullanılarak muhafaza edilmesi hususunda gerekli adımlar atılmaktadır.
- Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır.
- Verilere uzaktan erişim gerektiği durumlarda (VPN kullanılması) en az iki kademeli kimlik doğrulama sisteminin kullanılması sağlanmaktadır.
- Özel nitelikli kişisel veri işlendiği hallerde aşağıdaki tedbirlerden tümü alınmaktadır;
- Çalışanlar İçin Yetki Matrisleri
- Erişim Loglarının Düzenli Olarak Tutulması
- Kilitlenmiş/kodlanmış/şifrelenmiş sistem girişleri
- Log Kayıtlarının Kullanıcı Müdahalesinden Korunması Sağlanmaktadır
- Özel Nitelikli Kişisel Veriler İçin güvenli şifreleme / kriptografik anahtarlar kullanılmaktadır
- Uzaktan erişimin gerektiği verilere, iki kademeli kimlik doğrulama sistemiyle erişim sağlanmaktadır
- Verilerin bulunduğu ortamlara ait yazılımlarda güvenlik güncellemeleri takip
Edilmektedir
- Özel Nitelikli Kişisel Verilerin korunmasına ilişkin güvenlik tedbirlerinin alınması noktasında KVK Kurulu tarafından belirlenen esaslara riayet edilmektedir.
8. VERİ KATEGORİLERİ VE ÖRNEK VERİ TÜRLERİ
Şirket tarafından işlenen kişisel veriler Üst Kategori ve Alt Kategori şeklinde ayrılmış olup aşağıdaki şekilde İlgili Kişilerin bilgisine sunulmaktadır. Aşağıdaki tabloda yer alan kategoriler örnek olarak belirtilmiş olup, Şirket tarafından işlenen veriler ile ilgili olarak İlgili Kişilere gerekli aydınlatma, aydınlatma metinlerimiz vasıtasıyla yapılmaktadır.
Kişisel Veri Kategorisi | Kişisel Veri Alt Kategorisi | İlgili Kişi Kategorisi |
Kimlik Bilgisi | Gerçek kişinin eşleştirilmesine yarayan, kişinin kimlik bilgilerine dair verileri içeren; Ad-Soyad; TCKN; Medeni Hal; Doğum Tarihi; Cinsiyet; Ana Adı; Baba Adı; Uyruk; Vergi No; Medeni Hal; Nüfus Cüzdan Fotokopisi (Nüfus Cüzdanında Yer Alan Tüm Bilgiler); Vesikalık Fotoğraf; Evlilik Cüzdanı; Vukuatlı Nüfus Kayıt Belgesi; Sürücü Belgesi gibi bilgileri ifade eder. | Çalışan; Çalışan Adayı; Arsa Sahibi Gerçek Kişi; İş/Çözüm Ortağı Yetkilisi; İş Birliği İçerisinde Olunana Gerçek Kişi; Şirket Yetkilisi; Ziyaretçi |
İletişim Bilgisi | Gerçek kişinin eşleştirilmesine yarayan, kişi ile dijital ve/veya fiziki yollardan iletişime geçme imkânı sağlayan; Adres (ev/iş), E-posta, Telefon / Cep Telefonu; Çalışanın Şirket Adı; İkametgah Belgesi gibi bilgileri ifade eder. | Çalışan; Çalışan Adayı; Arsa Sahibi Gerçek Kişi; İş/Çözüm Ortağı Yetkilisi; Şirket Yetkilisi; İş Birliği İçerisinde Olunan Gerçek Kişi |
Ekonomik ve Finansal Bilgi | Şirket faaliyetlerinin yürütülmesi ve gerçek kişilerin menfaatlerinin sağlanması amacıyla ve finansal ve diğer hakların takibinin sağlanmasına yarayan Yıllık Sabit Gelir; Çalışanın Ücreti; İBAN No gibi bilgileri ifade eder. | Çalışan; Çalışan Adayı; Arsa Sahibi Gerçek Kişi; İş Birliği İçerisinde Olunan Gerçek Kişi |
Hukuki İşlem Bilgileri | Gerçek kişilerin eşleştirilmesine yarayan, şirketimizin faaliyetlerinin ve kanuni yükümlülüklerin yerine getirilmesi ve veri sahibinin hukuki menfaatlerini korumaya ilişkin; İmza sirküleri; Dava/İcra Dosya Bilgileri; Maaş Haciz Yazıları; Vekaletname; Veraset İlamı | Çalışan; Şirket Yetkilisi; Arsa Sahibi Gerçek Kişi |
Eğitim ve İş Bilgileri | Kişinin eşleştirilmesine yarayan, şirket faaliyetlerinin yerine getirilmesi ve ilgili kişinin menfaatlerinin korunması amacıyla ilgili kişinin kariyer geçmişi, sahip olduğu yetkinlikler ve çalışma hayatına ilişkin; Çalışanın Görevi, Çalışanın İşe Başlama Tarihi; Çalışan departman; Çalışan grubu; Çalışan Şirket İçi Görev ve Sorumluluk Bilgisi; Çalışan Tipi (Operasyon/Ofis); Çalışanın Bölümü/Birimi; İşyeri Sicil Numarası; Çalışan Şirket İçi Görev ve Sorumluluk Bilgisi; Şirket Dışı Tecrübe Bilgisi (Başlangıç Tarihi, Bitiş Tarihi, Çalıştığı İl, İşten Ayrılma Sebebi, Organizasyon Birimi, Pozisyon, Şirket Adı vb.); Şirket İçi Tecrübe Bilgisi - (Başlangıç İşlem Türü, Başlangıç Nedeni, Bitiş İşlem Türü, Bitiş Nedeni vb.); Çalışan pozisyon değişikliği gerekçesi, Mezuniyet Bilgisi - Okul Adı; Mezuniyet Bilgisi - Bölüm Adı, Çalışan departman; Çalışan grubu; Geçmiş Ücret Bilgisi; Ücret Artışı Bilgisi; Ücret/Görev Değişiklik Tarihi; Az Tehlikeli İşlerde Çalışabilir Raporu; Askerlik Terhis Belgesi; Diploma; Çalışma Belgesi gibi bilgileri ifade eder. | Çalışan; Çalışan Adayı; Eski Çalışan/Emekli |
Fiziksel Mekan Bilgileri | Şirket güvenliğini, ilgili kişinin menfaatlerinin sağlanabilmesi amacıyla fiziksel mekana girişte ve çıkışta ve fiziksel mekanda geçirilen süre | Çalışan; Ziyaretçi |
içerisinde alınan kayıt ve belgelere ilişkin; CCTV (Kamera) Kayıtları gibi bilgileri ifade eder. | ||
Mesleki Deneyim Bilgileri | Şirket faaliyetlerinin yürütülmesi, şirketin ve çalışanlarının menfaatlerinin en iyi ve yeterli şekilde sağlanması amacıyla işlenen, çalışanların yetkinliğini ölçmeye yarayan; İşe Yeterlilik Durumu; Sınav ve Eğitim Sonuçları; Mezuniyet Bilgisi- Okul Adı; Mezuniyet Bilgisi- Bölüm Adı; Eğitim Sertifikaları gibi bilgileri ifade eder. | Çalışan Adayı |
Özlük Bilgileri | Çalışanların veya şirketimizin iş ilişkisi içerisinde olduğu gerçek kişilerin özlük haklarının düzenlenmesine ve kanuni yükümlülüklerin yerine getirilmesine yarayan bilgilerin elde edilmesine yönelik işlenen; AGİ Formu; Ad Soyad; Adres; Tel; Çalışan İşyeri Sicil No; Çalışan Departmanı; Çalışanın Görevi; Çalışanın Departman Müdürü; Çalışan İzin Bilgisi Çalışanın İzin Süresi; İzin Başlama Tarihi; İzin Bitiş Tarihi; Çalışanın Yöneticisi; Görev Başlama Tarihi; Görev Bitiş Tarihi; Görevin Konusu; Görevlendirme No; İşbaşı Tarihi; TCKN; Baba Adı; Doğum Tarihi; Doğum Yeri; SGK Sicil No; İşyeri Sicil No; İşe Başlama Tarihi; İşten Çıkış Tarihi; Çalışanın Gelir Vergisi Matrahı; Kesilen Gelir Vergisi; Çalışma Belgesi Tarihi; Çalışanın Birimi; Günlük Çıplak Ücret; Brüt Ücret; İşten Ayrılma Tarihi; İşten Ayrılma Nedeni; Kıdem Tazminatı Başlangıç Tarihi; Kıdem Tazminatına Esas Tarih; Kıdem Tazminatı Tavan Tutarı; Çalışan Hizmet Süresi; Çalışana Ödenecek Tazminat Tutarı; Fazla Mesai Bilgisi; Hakediş Bilgisi; İhbar Tazminatı; Yıllık İzin Ücreti; Banka Hesap Bilgileri; Özlük Bilgileri; Tazminat Ödeme | Çalışan |
Bilgileri; Dava Dosya No; Dava Konusu; Vekil Bilgisi; Ödenecek Tazminat Bilgisi; gibi veriler işlenmektedir. Çalışan ile ilgili işlenen verilerin tümü (sağlık bilgilerine ilişkin veriler hariç) özlük bilgisi olarak işlenmektedir. | ||
Özel Nitelikli Kişisel Veriler | Gerçek kişinin eşleştirilmesine yarayan ve KVK Kanunu’nda sınırlı olarak sayılmış olan; Tıbbi Anemnez; Kan Grubu; Sağlık Durumu/Raporu; Tahlil Bilgisi; Muayene Sonucu; Kronik Hastalık Bilgisi; Ameliyat Geçmişi; İş Kazası Geçmişi; Meslek Hastalığı Bilgisi; Maluliyet Bilgisi; Mevcut Tedavi Bilgisi; Fiziki Muayene Bilgisi; Adli Sicil Kaydı; Akciğer Grafisi; İşitme Testi; Kan Testi; Kan Grubu Kartı gibi verileri ifade eder. | Çalışan; Çalışan Adayı |
Aile Bilgileri | Gerçek kişilerin eşleştirilmesine yarayan, Şirket faaliyetlerinin ve kanuni yükümlülüklerin yerine getirilmesi ve veri sahibinin hukuki menfaatlerini korumak amacıyla ilgili kişinin aile bireyleri ve yakınlarıyla ilgili; Eşin Adı Soyadı; Eşin Gelir Durumu; Eşin Gelirine İlişkin Açıklama; Eşin İş Durumu; Eşin Nüfus Cüzdanı Fotokopisi; Eşin Yararlanmakta Olduğu Sosyal Güvence Bilgisi; Çocuk Sayısı; Çocuklara Ait Öğrenim Belgesi; Çocukların Adı-Soyadı; Çocukların Baba Adı/Ana Adı; Çocukların Cinsiyeti; Çocukların Doğum Tarihi; Çocukların İş Durumu; Çocukların Kimlik Fotokopisi; Çocukların Medeni Hali; Çocukların TCKN; Eşi ve Çocukları dışında Bakmakla Yükümlü Olduğu Kişiler (Üvey, evlatlık, torun, nafaka verilen çocuk) gibi verileri ifade eder. | Çalışan; Çalışan Adayı |
Sosyal Hayat ve Alışkanlıklar | Gerçek kişinin Şirket faaliyetleri dışındaki sosyal hayatına ve sahip olduğu alışkanlıklara ilişkin; Alışkanlık/Aktiviteler; Alkol, Sigara Kullanımı; Hobileri-İlgi Alanları; İlgilendiği Spor Dalları; Sosyal Medya Hesapları; Üye Olunan Kulüp Bilgileri gibi bilgileri ifade eder. | Çalışan Adayı |
9. VERİSİ İŞLENEN ÖRNEK İLGİLİ KİŞİ KATEGORİLERİ
Kişisel Veri Sahibi | Açıklama |
Çalışan | Şirket ile aralarında hizmet akdi bulunan gerçek kişiler, |
Çalışan Adayı | Şirket ile aralarında hizmet akdi henüz kurulmamış olan ancak, Adi ortaklığa dijital ya da fiziki yollarla başvurarak ya da Şirket tarafından iletişime geçilerek, iş ilişkisi kurulması amacıyla değerlendirilmeye alınan gerçek kişiler, |
Ziyaretçi | Şirket sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler, |
İş/Çözüm Ortağı, Tedarikçi Hissedarları, Çalışanları ve Yetkilileri | Şirket her türlü iş ilişkisi içinde olduğu kurumlarda çalışan, bu kurumların hissedarları ve yetkililer dahil olmak üzere gerçek kişiler. |
İş Birliği İçerisinde Olunan Gerçek Kişi | Şirket bünyesinde gerçekleştirilmesi zaruri nitelikte olan ve belli bir uzmanlığı gerektiren işleri Şirket adına ve Şirket için gerçekleştiren dış kaynaklı hizmet sağlayıcısı gerçek kişiler, |
Şirket Yetkilisi | Şirket yönetim kurulu üyesi ve diğer yetkili gerçek kişiler, |
Arsa Sahibi Gerçek Kişi | Kamulaştırma davalarının konusunu teşkil eden arsaların sahibi gerçek kişiler, |
Eski Çalışan/Emekli | Şirket ile aralarında bulunan hizmet akdi sonlanan gerçek kişiler. |
10. KİŞİSEL VERİ İŞLEME AMAÇLARI
Kişisel Veri ve/veya Özel Nitelikli Kişisel Verilerin KVK Kanunu madde 5’te yer alan hukuki sebeplere uygun olarak işlenmekte olan verilerin işlenme amaçları aşağıda belirtilmiş olmakla birlikte, Şirket tarafından yürütülen faaliyetler neticesinde ortaya çıkacak durumlar sebebiyle aşağıda belirtilen amaçlar değişiklik gösterebilecek olup, yeni bir amaç ortaya çıktığında İlgili Kişi söz konusu Kişisel Veri İşleme Amacıyla ilgili olarak bilgilendirilmektedir. Şirket tarafından toplanan kişisel veriler aşağıdaki amaçlar doğrultusunda Kanun’un 4. Maddesinde yer alan ilkelere uygun olarak, 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir;
10.1. Çalışan Kişisel Verilerinin İşleme Amaçları
Adi Ortaklığın yürütmekte olduğu faaliyetler uyarınca elde ettiği Çalışanlarına ilişkin Kişisel Veriler aşağıdaki amaçlarla işlemektedir;
- İşten Çıkarma/Ayrılma Süreçlerinin Yönetilmesi
- Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası
- Çalışanların işe başlama ve/veya özlük süreçlerinin planlanması ve/veya yürütülmesi
- Personel Çıkış İşlemlerinin Planlanması ve İcrası
- Sözleşme Süreçleri/Sözleşmenin kurulması ve/veya ifası
- Çalışanların Yan Hakları ve Menfaatlerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Şekilde Yerine Getirilmesi
- Çalışanların İş Faaliyetlerinin Takibi ve/veya Denetimi
- Holding ve Holding Şirketlerinin Denetimi ve IK Süreçlerinin Takibi
- Hukuk İşlerinin Takibi
- İş Faaliyetlerinin Planlanması ve İcrası
- Şirket Çalışanları İçin İş Akdi ve/veya Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar ve Menfaatlerin Planlanması ve İcrası
- Çalışanların İş Akit ve Kanuni Yükümlülüklerinin Yerine Getirilmesi
- Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası
- Fiziksel Mekan Denetimi ve Güvenliğinin Yerine Getirilmesi
- Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası
10.2. Çalışan Adaylarının Kişisel Verilerinin İşleme Amaçları
Şirketın yürütmekte olduğu faaliyetler uyarınca elde ettiği Çalışan Adaylarına ilişkin Kişisel Veriler aşağıdaki amaçlarla işlemektedir;
- Çalışan Adaylarının Başvuru, Seçme, Değerlendirme ve İşe Alma Süreçlerinin Planlaması ve/veya Yürütülmesi
- Sözleşme Süreçleri/Sözleşmenin kurulması ve/veya ifası
10.3. Eski Çalışan/Emekli Kişisel Verilerinin İşleme Amaçları
Şirket yürütmekte olduğu faaliyetler uyarınca elde ettiği Eski Çalışan/Emeklilere ilişkin Kişisel Veriler aşağıdaki amaçlarla işlemektedir;
- İşten Çıkarma/Ayrılma Süreçlerinin Yönetilmesi
10.4. Şirket Yetkilisi Kişisel Verilerinin İşleme Amaçları
Şirket yürütmekte olduğu faaliyetler uyarınca elde ettiği Şirket Yetkilisine/ Yetkililerine ilişkin Kişisel Veriler aşağıdaki amaçlarla işlemektedir;
- Hukuk İşlerin Takibi
10.5. İş Birliği İçerisinde Olunan Gerçek Kişi
Şirket yürütmekte olduğu faaliyetler uyarınca elde ettiği İş Birliği İçerisinde Olunan Gerçek Kişilere ilişkin Kişisel Veriler aşağıdaki amaçlarla işlemektedir;
- Mal/Hizmet Satın Alma
- Faaliyetlerin Mevzuata Uygun Şekilde Yerine Getirilmesi
10.6. İş/Çözüm Ortağı Yetkilisi Kişisel Verilerinin İşleme Amaçları
Şirketin yürütmekte olduğu faaliyetler uyarınca elde ettiği İş/Çözüm Ortağı Yetkililerine ilişkin Kişisel Veriler aşağıdaki amaçlarla işlemektedir;
- Mal/Hizmet Satın Alma
10.7. Gerçek Kişi Kişisel Verilerinin İşleme Amaçları
Şirketin yürütmekte olduğu faaliyetler uyarınca elde ettiği İş/Çözüm Ortağı Yetkililerine ilişkin Kişisel Veriler aşağıdaki amaçlarla işlemektedir;
- Hukuk İşlerinin Takibi
10.8. Ziyaretçi Kişisel Verilerinin İşleme Amaçları
Şirketin yürütmekte olduğu faaliyetler uyarınca elde ettiği Ziyaretçilere ilişkin Kişisel Veriler aşağıdaki amaçlarla işlemektedir;
- Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
10.9. Şirket Tarafından Elde Edilen Verilere İlişkin Diğer İşleme Amaçları
Şirketin , yürütmekte olduğu faaliyetler uyarınca, yukarıda belirtilen ilgili kişi kategorilerine ilişkin işleme amaçlarının yanında, hukuki, teknik ve idari iş güvenliğinin sağlanması, ticari faaliyetlerin yürütülmesi, iş stratejilerinin planlanması kapsamında aşağıdaki amaçlarla Kişisel Veri İşleyebilmektedir;
- Acil Durum Yönetimi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi ve Denetimi
- Çalışan Adayı/Stajyer/Öğrenci Seçme ve İşe Alma
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışanların İş Akit ve Kanuni Yükümlülüklerinin Yerine Getirilmesi
- Çalışanların Yan Hakları ve Menfaatlerinin Yürütülmesi
- Denetim/Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Şekilde Yerine Getirilmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Firma/Ürün/Hizmetlere Bağlılık Faaliyetleri
- Fiziksel Mekan Denetimi ve Güvenliğinin Yerine Getirilmesi
- Görevlendirme Süreçleri
- Hissedar ve Ortakların Kayıt Altında Tutulması
- Hukuk ve Yasal Süreçlerin Takibi
- İç Denetim/Soruşturma/İstihbarat Faaliyetleri
- İleride Dava Açılması Durumunda Bilgi Sağlanması
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi ve Denetimi
- İş Sağlığı ve Güvenliği
- İş Süreçlerinin İyileştirilmesine Yönelik Önlemlerin Alınması
- İş Süreçlerinin Sağlanması
- Kamu Güvenliğinin Sağlanması
- Kar ve Zararların Yönetimi
- Lojistik/Nakliye Faaliyetleri
- Mal/Hizmet Satın Alma
- Mal/Hizmet Satış Sonrası Destek Hizmetleri
- Mal/Hizmet Satış Süreçlerinin Yürütülmesi
- Mal/Hizmet/Ücret ve Operasyon Süreçleri
- Müşteri İlişkileri Yönetimi
- Müşteri Memnuniyetine Yönelik Aktiviteler
- Organizasyon ve Etkinlik Yönetimi
- Pazarlama/Analiz Çalışmaları
- Performans Değerlendirme Süreçleri
- Reklam/Kampanya/Promosyon Süreçleri
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Saklama ve Arşiv Faaliyetleri
- Sertifika ve İzinlerin Verilmesi
- Sigorta Yapılması
- Sosyal Sorumluluk ve Sivil Toplum Aktiviteleri
- Sözleşme Süreçleri/Sözleşmenin kurulması ve/veya ifası amacıyla
- Sponsorluk/Burs Verme Faaliyetleri
- Stratejik Planlama Faaliyetleri
- Talep/Şikayet/Öneri Takibi
- Taşınır Mal ve Kaynaklarının Güvenliğinin Temini
- Tedarik Zinciri Yönetimi
- Teminat Alınması
- Ücret Politikasının Yürütülmesi
- Ürün/Hizmet/Pazarlama Süreçleri
- Veri Sorumlusu Operasyonlarının Güvenliğinin Sağlanması
- Yabancı Personel Çalışma ve Oturma İzni İşlemleri
- Yatırım Süreçleri
- Yetkili Kişi/Kurum ve Kuruluşlara Bilgi Verilmesi
- Yönetim Faaliyetlerinin Yürütülmesi
- Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
Yukarıda yer verilen amaçlar kapsamında gerçekleştirilecek kişisel veri işleme faaliyetleri somut olayın özelliklerine göre açık rıza şartı gerektirebilmektedir. Bu durumda İlgili Kişilerden, Kanun’a uygun açık rızaların alınması süreçleri uygulanmaktadır. İlgili Kişilerin açık rıza vermemesi durumunda, söz konusu veriler ancak KVK Kanunu’nda sayılan açık rıza alınmadan kişisel verilerin işlenebileceği Kişisel Veri İşleme Şartları başlıklı bölümde yer alan diğer işleme şartları doğrultusunda (“istisna halleri”) ve bu şartlara uygun amaçlarla işlenebilmektedir. Bu durumda İlgili Kişinin açık rızası aranmaksızın sadece aydınlatma yükümlülüğü yerine getirilecektir.
11. KİŞİSEL VERİLERİN AKTARILMASI
Şirket, kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak İlgili Kişilerin, Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini üçüncü gerçek ve/veya tüzel kişilere aktarabilmektedir. Şirket, bu doğrultuda KVK Kanunu’nun 8. ve 9. Maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Kişisel verilerin aktarılmasına ilişkin olarak ilgili mevzuat hükümlerine uygun hareket edilmesi ve aktarım faaliyetlerinin yürürlükte olan mevzuat hükümlerine uygun hale getirilmesi Şirket sorumluluğundadır.
Kişisel Verilerin hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemekte olup, Kişisel Verilerin aktarılması için KVK Kanunu 5. ve 6. Maddesinde yer alan şartların sağlanıp sağlanmadığı irdelenmektedir.
11.1. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurt İçinde Aktarılması
- Kişisel Verilerin Yurtiçinde Aktarılması
Şirket tarafından işlenen Kişisel Verilerin, yurt içinde aktarılabilmesi için aşağıdaki şartlardan birinin bulunması gerekecektir.
- İlgili Kişinin Kişisel Verilerin aktarılmasına ilişkin Açık Rızasının bulunması,
- Kanunlarda kişisel verinin aktarımına ilişkin açık bir düzenleme bulunması,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veri aktarımının zorunlu olması,
- Veri aktarımının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
- Veri aktarımının sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri aktarımının zorunlu olması.
- Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri aktarımının zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması,
11.1.2. Özel Nitelikli Kişisel Verilerin Yurt içinde Aktarılması
Şirket, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda özel nitelikli kişisel verilere ilişkin olarak aşağıdaki hukuki sebeplerle yurt içinde aktarım yapabilmektedir;
- İlgili kişinin açık rızasının bulunması veya,
- İlgili kişinin açık rızası yok ise yeterli önlemleri alarak;
- İlgili Kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve diğer güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde,
- İlgili Kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise, ancak; (i) kamu sağlığının korunması, (ii) koruyucu hekimlik, (iii) tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, (iv) sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yurt içinde aktarılabilir.
11.2. Kişisel Verilerin Yurt Dışına Aktarılması
Şirket, yürütmekte olduğu faaliyetler uyarınca işbu Politika ’da belirtilen esaslar doğrultusunda işlemekte olduğu Kişisel Verileri yurt dışında herhangi bir üçüncü kişiye aktarmamaktadır. Yurtdışı merkezli bulut hizmeti kullanılan ortamlar, e-mail sunucuları vasıtasıyla veya yurtdışı merkezli
sunucular kullanılmak suretiyle çalışan elektronik ortamlar üzerinden veri aktarımı/işlenmesi gündeme gelebilmektedir.
Kişisel verilerin yurt dışına aktarılmasının gündeme gelmesi halinde Şirket , veri işlemeye ilişkin temel ilkelere uygun olarak işlemiş olduğu Kişisel Verileri, Kişisel Veri işleme amaçları doğrultusunda gerekli önlemleri alarak ve aşağıda belirtilen şartlara uygun olarak, yurt dışına aktarım yapabilecektir;
11.2.1. İlgili Kişinin Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Açık Rızasının Bulunması
KVK Kanunu’nun 9. Maddesi gereğince kişisel verilerin yurt dışına aktarımı yalnızca ilgili kişinin söz konusu aktarıma ilişkin açık rızasının bulunması şartı ile mümkündür.
Bu nedenle Şirket tarafından gerçekleştirilecek herhangi bir yurt dışı aktarımına ilişkin olarak, açık rıza şartının kontrolü öncelikli ve zaruri şart olarak değerlendirilmektedir.
KVK Kanunu madde 9’da Kişisel Verilerin açık rıza aranmaksızın hangi hallerde yurt dışına aktarılabileceği düzenlenmiştir. Buna göre;
11.2.2. İlgili Kişinin Açık Rızası Bulunmasa Dahi Diğer Şartların Sağlanması Koşulu İle Kişisel Verilerin Yurt dışına Aktarılması
Kişisel Veriler,
- Kanunlarda aktarımın açıkça öngörülmesi, (ii) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veri aktarımının zorunlu olması, (iii) Veri aktarımının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, (iv) Veri aktarımının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, (v) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri aktarımının zorunlu olması, (vi) Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması, (vii) Bir hakkın tesisi, kullanılması veya korunması için veri aktarımının zorunlu olması, (viii) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarımının zorunlu olması, şartlarından birinin varlığı ve
- Aktarım yapılacak ülkede yeterli koruma bulunması durumunda (“Yeterli Korumaya Bulunan Ülkeler” KVK Kurulu tarafından ilan edilecektir),
- Aktarım yapılacak ülkede yeterli koruma bulunmaması durumunda ise Türkiye’deki ve aktarım yapılacak ülkedeki Veri Sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve bunun yanında KVK Kurulu’nun izin vermesi durumunda;
İlgili Kişinin açık rızası aranmaksızın kişisel veriler yurt dışına aktarılabilecektir.
11.3. Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılması
Şirket , yürütmekte olduğu faaliyetler uyarınca işbu Politika ‘da belirtilen esaslar doğrultusunda işlemekte olduğu Kişisel Verileri yurt dışında herhangi bir üçüncü kişiye aktarmamaktadır. Yurtdışı merkezli bulut hizmeti kullanılan ortamlar, e-mail sunucuları vasıtasıyla veya yurtdışı merkezli sunucular kullanılmak suretiyle çalışan elektronik ortamlar üzerinden veri aktarımı/işlenmesi
Özel nitelikli kişisel verilerin yurt dışına aktarılmasının gündeme gelmesi halinde Şirket, veri işlemeye ilişkin temel ilkelere uygun olarak işlemiş olduğu Kişisel Verileri, Kişisel Veri işleme amaçları doğrultusunda gerekli önlemleri alarak ve aşağıda belirtilen şartlara uygun olarak, yurt dışına aktarım yapabilecektir;
11.3.1. İlgili Kişinin Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Açık Rızasının Bulunması
KVK Kanunu’nun 9. Maddesi gereğince Özel Nitelikli Kişisel Verilerin yurt dışına aktarımı yalnızca ilgili kişinin söz konusu aktarıma ilişkin açık rızasının bulunması şartı ile mümkündür.
Bu nedenle Şirket tarafından gerçekleştirilecek herhangi bir yurt dışı aktarımına ilişkin olarak açık rıza şartının kontrolü öncelikli ve zaruri şart olarak değerlendirilmektedir.
KVK Kanunu madde 9’da Özel Nitelikli Kişisel Verilerin açık rıza aranmaksızın hangi hallerde yurt dışına aktarılabileceği düzenlenmiştir. Buna göre;
11.3.2. İlgili Kişinin Açık Rızası Bulunmasa Dahi Diğer Şartların Sağlanması Koşulu İle Özel Nitelikli Kişisel Verilerin Yurt dışına Aktarılması
- Sağlık ve Cinsel Hayata İlişkin Özel Nitelikli Kişisel Veriler; (i) kamu sağlığının korunması,
(ii) koruyucu hekimlik, (iii) tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, (iv) sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarım yapılacak ülkede yeterli korumanın bulunması (“Yeterli Korumaya Bulunan Ülkeler” KVK Kurulu tarafından ilan edilecektir), yeterli koruma yok ise Türkiye’deki ve aktarım yapılacak ülkedeki Veri Sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması halinde açık rıza şartı aranmaksızın aktarılabilecektir,
- Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Veriler; kanunlarda öngörülen hallerde ve aktarım yapılacak ülkede yeterli korumanın bulunması (“Yeterli Korumaya Bulunan Ülkeler” KVK Kurulu tarafından ilan edilecektir), yeterli koruma yok ise Türkiye’deki ve aktarım yapılacak ülkedeki Veri Sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması halinde açık rıza şartı aranmaksızın aktarılabilecektir.
11.4. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Şirket, işbu Politika‘da yer alan esaslar uyarınca işlemiş olduğu Kişisel Verileri; topluluk şirketlerine , iş ortaklarımıza, hissedarlarımıza, şirket yetkililerine, tedarikçilerimize, kanunen yetkili kamu/özel kurumlarına ve özel kişi veya kuruluşlar ile üçüncü kişilere, Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları uyarınca, aşağıda belirtilen amaçlarla aktarımı mümkündür;
- İş ortağı ile iş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla,
- İlgili mevzuat hükümleri uyarınca Şirket şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürütülen faaliyetlerini gerçekleştirmek amacıyla,
- Tedarikçi ile Şirket tedarikçilerden dış kaynaklı olarak temin ettiği ve Şirket ticari faaliyetlerini yerine getirebilmesi için gerekli hizmetlerin tarafımıza eksiksiz bir şekilde sunulmasını sağlamak amacıyla,
- Şirket , taraf oldukları şirketler ve topluluk şirketlerinin katılımını gerektiren ticari faaliyetlerinin yürütülmesini sağlamak amacıyla,
- Şirket ile topluluk şirketlerinin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst seviyede yönetimin sağlanması ve denetimlerin en iyi şekilde gerçekleştirilmesi amaçlarıyla,
- Çalışanlar ile olan ilişkilerin yürütülmesi, faaliyetlerin mevzuata uygun olarak yerine
Getirilmesi amaçlarıyla,
- Sigorta poliçeleri uyarınca hasar meydana gelmesi halinde, hasarın tazmini sebebiyle gerekli incelemenin iş ortakları tarafından yapılması amaçlarıyla,
- Hukuki süreçlerin takibi, ilgili mevzuatlarda yer alan yükümlülüklerin yerine getirilmesi amacıyla,
- Kamu ve özel kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği bilgi ya da belgelerin aktarılması ve işbu politikada yer vermiş olduğumuz Kişisel Verilerin İşleme Amaçlarında belirtilen diğer amaçlarla üçüncü kişilere aktarım yapılabilmektedir.
12. İLGİLİ KİŞİLERİN SAHİP OLDUĞU HAKLAR
KVK Kanunu’nun 10. Maddesinde İlgili Kişilerin, veri sorumlularına başvurarak kendisi ile ilgili aşağıda belirtilen konularda talepte bulunabileceği düzenlenmiştir. Bu doğrultuda İlgili Kişiler, Şirket tarafından hazırlanan “Verisi İşlenen İlgili Kişiler İçin Başvuru Formu” ’nu doldurup yazılı olarak tarafımıza ileterek kendileri ile ilgili aşağıdaki konularda talepte bulunabileceklerdir;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVK Kanunu 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya
yok edilmesini isteme,
- (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme.
İlgili Kişilerin, belirtilen yöntemlerle taleplerini Şirket iletmesi durumunda Şirket, talebin niteliğine göre, talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından KVK Kurulu’nca belirlenen tarifedeki ücret alınacaktır. Şirket, İlgili Kişilerin başvurularının değerlendirilmesi ve başvuruların süresi içerisinde cevaplanması konusunda Şirket bünyesinde gerekli farkındalığı sağlamaktadır.
İlgili Kişinin başvurusunun reddedilmesi, verilen cevabın İlgili Kişi tarafından yetersiz bulunması veya süresinde başvuruya cevap verilmemesi halinde, İlgili Kişiler cevabın öğrenildiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içerisinde KVK Kurulu’na şikayette bulunabilecektir.
Şirket İlgili Kişilerin talebini, gerekçesini açıklayacağı diğer durumlar saklı kalmak kaydıyla aşağıdaki
hallerde reddedebilecektir;
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarata ilişkin faaliyetler kapsamında işlenmesi,
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
13. VERİ SORUMLUSU OLARAK YÜKÜMLÜLÜKLERİMİZ
KVK Kanunu’nun 3. Bölümü 10.maddede ve 12.maddede Veri Sorumlusunun yükümlülükleri düzenlenmiştir. Bu kapsamda;
13.1. Aydınlatma Yükümlülüğünün Yerine Getirilmesi
KVK Kanunu’nun 10.maddesi uyarınca veri sorumlusu sıfatıyla Şirket , yürütmekte olduğu faaliyetler uyarınca işlemekte olduğu Kişisel Verilerin elde edilmesi sırasında İlgili Kişilere;
- Veri Sorumlusunun ve varsa temsilcisinin kimliğini,
- Kişisel Verilerin hangi amaçla işleneceğini,
- İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceğini,
ç) Kişisel Veri toplamanın yöntemi ve hukuki sebebini,
- KVK Kanunu’nun maddesinde sayılan İlgili Kişinin haklarının neler olduğunu
İlgili Kişilere bildirmekle yükümlüdür. Şirket bu maddede yer alan yükümlülükler uyarınca ve işbu Politika‘da yer alan esaslar uyarınca işlemekte olduğu Kişisel Verilerin elde edilmesi esnasında, İlgili kişilere, Kişisel Verilerin elde edileceği ortama uygun olacak şekilde elektronik ve/veya fiziki ortamlarda aydınlatma metinlerini ilgili kişi kategorisine uygun olarak tebliğ etmektedir.
13.2. Kişisel Verilerin Güvenliğinin Sağlanması
KVK Kanunu’nun 12.maddesi uyarınca veri sorumlusu sıfatıyla Şirket, (i) Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) Kişisel Verilere hukuka aykırı olarak erişilmesini engellemek, (iii) Kişisel Verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin KVK Kanunu ve ilgili mevzuat hükümleri ile işbu Politika‘da yer alan esaslarla işlenmesinin yanında Şirket , Kişisel Verilerin söz konusu yükümlülüklere aykırı biçimde işlenmesini engellemek üzere her türlü teknik ve idari tedbiri almaktadır.
13.2.1. Kişisel Verilerin hukuka aykırı olarak işlenmesini önleme
Şirket , kişisel verilerin hukuka aykırı olarak işlenmesini engellemek üzere gerekli sistemleri kurmuş olup, bu sistemlerin işleyişini sağlamak üzere ilgili personeli görevlendirmiştir. Şirket gerek teknik sebeplerle gerekse hukuki sebeplerle meydana gelebilecek güncellemelerin takibini yaparak sistemin güncellemelerini de sağlamaktadır.
Bu kapsamda Şirket ;
- Şirket faaliyetlerinin yürütülmesini sağlayan departmanlarca işlenen kişisel verileri tespit edebilmek amacıyla iş akış süreçlerini gözden geçirmiş olup söz konusu süreçler doğrultusunda işlenen kişisel verileri tespit ederek “Kişisel Veri Envanteri” hazırlamıştır. Söz konusu envanter ilgili departman sorumluları tarafından takip edilmekte ve güncellenmesi sağlanmaktadır. Kişisel Veri Envanteri’nin denetlenmesi ve KVK Kanunu’na uygunluğunun sağlanması ise Kişisel Verilerin Korunmasına ilişkin olarak görevlendirilmiş yetkililer tarafından sağlanmaktadır.
- Şirket , departman yöneticileri/sorumlularının desteği ve takibi ile birlikte profesyonel destek almak suretiyle, KVK Kanunu ve ilgili mevzuatta yer alan düzenlemeler ışığında çalışanlarının bilgilendirilmesi ve farkındalığının arttırılması amacıyla dokümanlar düzenlemekte ve eğitimler vermektedir.
- Şirket , çalışanlarının iş sözleşmelerini, çalışanlarına imzalatılan/sunulan politika ve prosedürleri, KVK Kanunu’nda yer alan düzenlemeleri yansıtacak ve çalışanların kişisel verileri hukuka uygun olarak işlenmesini sağlamasının zorunluluğunu ve ihlal halinde uygulanacak yaptırımları yansıtacak şekilde revize etmektedir.
- Şirket, Kişisel Verilere erişimi, işlenme amacı doğrultusunda ve ilgili personeller ile sınırlandırmaktadır.
- Şirket bünyesinde yer alan departmanlar tarafından gerçekleştirilen, verilerin işlenmesinden silinmesine kadarki süreç rutin denetimler ile kontrol altında tutulmaktadır.
- Şirket departmanları tarafından işlenen kişisel verilere ilişkin olarak erişim (log) kayıtları tutulmaktadır.
- Şirket bünyesinde yer alan veri kayıt ortamları periyodik olarak profesyonel dış kaynaklı destek alınarak denetlenmekte, güvenlik açığının tespiti halinde açıklar ivedilikle
13.2.2. Kişisel verilere hukuka aykırı olarak erişilmesini önleme
Şirket, Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek amacıyla gerek teknik gerekse hukuki açıdan uygun önlemler alarak, kilitli arşiv odaları, anti virüs yazılımları, güvenlik duvarı, sızma testleri gibi yollarla kişisel verilerin yer aldığı sistemlerin güvenliğini sağlamaktadır.
Bu kapsamda Şirket;
- Şirket, çalışanlarının iş sözleşmelerini, çalışanlarına imzalatılan/sunulan politika ve prosedürleri, KVK Kanunu’nda yer alan düzenlemeleri yansıtacak ve çalışanların kişisel verileri hukuka uygun olarak işlenmesini sağlamasının zorunluluğunu ve ihlal halinde uygulanacak yaptırımları yansıtacak şekilde revize etmektedir.
- Şirket, Kişisel Verilere erişimi işlenme amacı doğrultusunda ve ilgili personeller ile sınırlandırmaktadır.
- Şirket, kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve Şirket güvenliğini sağlamak amacıyla kurmuş olduğu sistemlerin bakımını, güncellemesini periyodik olarak gerçekleştirmektedir.
- Şirket, Kişisel verilere hukuka aykırı olarak erişimi önlemek için departman bazında erişim yetkileri tanımlamak suretiyle, kişisel verilere erişilecek sistemlere ilişkin departman çalışanlarının kullanıcı hesaplarının erişim ve yetkilerini kısıtlamakta ve sistemlere erişim sağlayan cihazlar sınırlandırılmaktadır.
- Teknolojik gelişmelere uygun olarak teknik önlemler alınmalı, alınan önlemler yeterli ve gerekli aralıklarla güncellenmekte ve yenilenmektedir.
- Şirket bünyesinde yer alan veri kayıt ortamları periyodik olarak profesyonel dış kaynaklı destek alınarak denetlenmekte, güvenlik açığının tespiti halinde açıklar ivedilikle
- Şirket tarafından departman bazında belirlenmiş olan tedbirlere riayet edilerek erişim ve yetkilendirme süreçleri uygulanmakta olup, bu konuda KVK Kanunu ve/veya KVK Kurulu tarafından teknik standartlar getirilmesi ve/veya mevcut yazılım ve donanımların beklentileri karşılayamaması halinde, ortaya çıkacak teknik standartları sağlayacak yazılım ve donanım çözümleri Şirket tarafından uygulanacaktır.
- Şirket, faaliyetlerin gerçekleştirilmesi sırasında kullanılan ve kişisel verilere erişim imkanı bulunan tüm sistemlere, başta virüs koruma programları olmak üzere, çeşitli yazılımlar/donanımlar yüklenmesi ve şifreleme prosedürlerinin uygulanması yoluyla gerekli korumayı sağlamaktadır.
- Şirket, işlenen kişisel verilere Şirket dışından erişim sağlanması halinde (bakım, destek hizmeti alınması vs.), erişilen verilerin sızmasını önlemek ve olası risklerin önüne geçebilmek adına gerekli çalışmaları yapmaktadır.
- İleride ortaya çıkması muhtemel gelişmelerle birlikte, Kişisel verilerin güvenliğine ilişkin teknik hususlarda personel istihdam edilmesi için gerekli bütçe çalışmalarını imkanları dahilinde yapacaktır.
13.2.3. Kişisel Verilerin Muhafazasını Sağlamak
Şirket, Kişisel Verilerin muhafazasını sağlamak amacıyla gerek teknik gerekse hukuki açıdan uygun önlemler alarak, kişisel verilerin saklandığı fiziki ve dijital ortamlarda yangın, sel gibi tehlikelere karşı önlemlerin alınması, kağıt ortamında tutulan verilerin kilit altına alınması, kademeli şifreleme yöntemlerinin kullanılması, şifre ve parolaların periyodik olarak değiştirilmesi gibi yöntemlerle kişisel verilerin yer aldığı sistemlerin güvenliğini sağlamaktadır.
- Şirket, kişisel verilerin muhafaza edildiği sistemlere dışarıdan sızılmasının engellenmesi için gerekli önlemleri almakta, veri kaybının önlenmesi adına dosyaları yedeklemekte ve verilerin KVK Kanunu’na uyumlu bir şekilde muhafazası için gerekli 3.kişilerle gerekli sözleşmeleri düzenlemektedir.
- Şirket , iş ilişkisi içerisinde bulunduğu gerçek ve/veya tüzel kişiler ile aralarındaki ilişki gereği kişisel veri paylaşımında ve/veya kişisel veri aktarımında bulunması halinde, akdedilen sözleşmeye hüküm eklenmesi ya da sözleşmeden ayrı bir protokol düzenlenmesi suretiyle KVK Kanunu’nda düzenlenen yükümlülüklere uygun hareket edileceği, kişisel verilerin ifşa edilemeyeceği, kişisel verilerin Şirket onayı olmaksızın paylaşılmayacağı ve aktarılmayacağı, kişisel verilerin hukuka aykırı olarak kullanılmayacağı ve kişisel verilere ilişkin gizlilik yükümlülüğünün aradaki sözleşmenin sonlanmasının ardından da devam edeceğine ve ayrıca kişisel verilerin korunması amacıyla gerekli ve yeterli güvenlik
tedbirlerinin alınarak kişisel verilerin muhafazasının sağlanacağına ilişkin taahhütler almaktadır.
Şirket, (i) Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek, (ii) Kişisel Verilere hukuka aykırı olarak erişilmesini engellemek, (iii) Kişisel Verilerin muhafazasını sağlamak amacıyla yukarıda yer alan tedbirlerin yanında “Kişisel Verilerin Saklanması ve İmhası Politikası” ’nda belirtilen teknik ve idari tedbirleri almaktadır.
14. VERİ SORUMLULARI SİCİLİ’NE (VERBİS) KAYIT
Şirket, KVK Kanunu madde 16 ve 30 Aralık 2017 tarihli, 30286 sayılı resmî gazetede yayımlanarak yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca KVK Kurulu gözetiminde tutulacak olan Veri Sorumluları Sicili ’ne (VERBİS);
- Şirket ve şirket ortağı olan kişilerin kimlik ve adres bilgilerini,
- Kişisel verilerin Şirket tarafından hangi amaçla işleneceğini,
- Verisi işlenen İlgili Kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamaları,
ç) Kişisel verilerin Şirket tarafından aktarılabileceği alıcı veya alıcı gruplarını
- Şirket tarafından, yabancı ülkelere aktarımı öngörülen kişisel verileri,
- Şirket tarafından, Kişisel veri güvenliğine ilişkin alınan tedbirleri,
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi,
içerecek şekilde bildirim yapmakla yükümlü olup olmadığı noktasında, “Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları" ile ilgili KVK Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı uyarınca gerekli değerlendirmeyi yaparak VERBİS kayıt yükümlülüğünü denetleyerek, Şirket veri sorumlusu olarak VERBİS’e kaydını sağlamaktadır.
Şirket herhangi bir zamanda VERBİS’e kayıttan muaf olsa dahi, söz konusu bu durumun değişip değişmediğini denetleyerek, KVK Kurulu tarafından belirlenen muafiyet sınırlarını ve ileride yapılacak değişiklikleri göz önünde bulundurarak VERBİS’e kayıt yükümlülüğünün yerine getirilmesini sağlayacaktır.
15. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirket, yürütmekte olduğu faaliyetlere temas eden ilgili kanunlarda ve mevzuatlarda kişisel verilerin saklanmasına ilişkin süreler öngörülmesi halinde, işlemiş olduğu kişisel verileri ilgili kanun hükmünde düzenlenen süreler boyunca muhafaza etmektedir.
Kişisel verilerin ne kadar süre ile saklanması gerektiğine ilişkin ilgili kanun ve mevzuatlarda hüküm bulunmaması halinde Şirket, işlemiş olduğu kişisel verileri sektörel teamüle göre ve söz konusu kişisel verinin işlenmesine sebep olan faaliyetin özellikleri göz önünde bulundurularak belirlenen gerekli süreler boyunca saklamaktadır.
Kişisel verilerin işlenme amacı sona ermiş ve ilgili mevzuat ve/veya Şirket tarafından belirlenen saklama süreleri sona ermişse, yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi, kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi ve tesis edilebilmesi amacıyla saklanabilecektir.
Şirket tarafından, gelecekte kullanılabilme ihtimali göz önünde bulundurularak herhangi bir kişisel verinin, süresinden fazla saklanması söz konusu değildir.
Şirket tarafından işlenen Kişisel Verilerin saklama sürelerine ilişkin detaylı bilgiye “Kişisel Verilerin Saklanması ve İmhası Politikası” ’nda yer verilmiştir.
16. TOPLULUK ŞİRKETLERİ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KC ELİT YAVRU EVCİL HAYVANLAR VE MALZEMELERİ SANAYİ TİCARET LİMİTED ŞİRKETİ TARAFINDAN İŞLENMESİ
Şirket ve adi ortaklığın tarafı olan KC Elit Yavru Evcil Hayvanlar Ve Malzemeleri Sanayi Ticaret Limited Şirketi, Topluluk Şirketleri/Grup Şirketleri tarafından işlenmekte olan kişisel verileri, kendi Şirketlerinin/Grup Şirketlerinin faaliyetlerinin, faaliyetlerine, amacına, ilkelerine, hedef ve stratejilerine, kurumsal gereksinimlerine uygun olarak yürütülmesi, yukarıda açıkça yazılan şirketlerin hak ve menfaatleri ile itibarının korunması amacıyla işleyebilmektedir.
Topluluk Şirketleri/Grup Şirketleri ile adi ortaklığın taraf olduğu şirketler arasındaki kişisel veri paylaşımının KVK Kanunu kapsamında, Veri Sorumlusundan Veri Sorumlusuna ya da Veri Sorumlusundan Veri İşleyene Kişisel Veri Aktarımı seviyesinde gerçekleşmesi durumunda, ilgili Topluluk Şirketi/Grup Şirketi, İlgili Kişinin Kişisel Verisinin elde edilmesi esnasında, İlgili Kişiyi, kişisel verilerinin adi ortaklığa aktarılabileceği konusunda aydınlatmaktadır.
Adi ortaklığın tarafı olan şirketler /grup Şirketleri de dahil Şirket tan elde etmiş olduğu verileri KVK Kanunu ve ilgili mevzuatta yer alan düzenlemeler ile işbu İşleme Politikası ve Kişisel Verilerin Saklanması ve İmhası Politikası’nda yer alan esaslar uyarınca işleyecek ve koruyacaktır.
17. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
KVK Kanunu madde 7 uyarınca gerçekleştirilecek olan Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi, Şirket tarafından hazırlanan Kişisel Verilerin Saklanması ve İmhası Politikasında belirtilen esaslara uygun olarak gerçekleştirilmektedir.
Şirket tarafından hazırlanan Kişisel Verilerin Saklanması ve İmhası Politikası ’nda belirlenen saklama sürelerinin sona ermesi halinde ve verilerin işleme sebeplerinin ortadan kalkması durumunda Şirket işlediği kişisel verileri Kişisel Verilerin Saklanması ve İmhası Politikası ’nda yer alan esaslar uyarınca silmekte, yok etmekte veya anonim hale getirmektedir.
Bununla birlikte, İlgili Kişinin işbu Kişisel Veri İşleme Politikasında ve KVK Kanunu madde 11’de yer verilen haklarını kullanması doğrultusunda Şirket tarafından, ilgili hakkın kullanılmasına ilişkin talebin yerinde bulunması halinde, ilgili veriler silinmekte, yok edilmekte veya anonimleştirilmektedir. Şirket, anonimleştirilmiş kişisel verileri araştırma ve istatistik amaçlarla KVK Kanunu’nun istisnalar başlıklı 28. Maddesi’nde belirtilen hallerde veri işleme hakkını saklı tutmaktadır.
Şirket, işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yürürlükte olan veya sonradan yürürlüğe girecek olan tüm mevzuat hükümlere ve KVK Kurulu kararlarına uyum sağlayacaktır.
Kişisel verilerin Şirket tarafından silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yöntemler ve kişisel verilerin saklanmasına ilişkin esaslar ile ilgili detaylı açıklamalara, işbu Politikadan ayrı olarak hazırlanmış olan Kişisel Verilerin Saklanması ve İmhası Politikası’ndan ulaşılabilmektedir.
18. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASINDA YAPILACAK GÜNCELLEMELER
Şirket , KVK Kanunu’nda yapılan değişiklikler nedeniyle, KVK Kurumu kararları uyarınca ya da ortaya çıkacak gelişmeler doğrultusunda, Kişisel Verilerin Saklanması ve İmhası Politikasında ya da işbu Kişisel Verilerin İşlenmesi ve Korunması Politikasında değişiklik yapma hakkını saklı tutmaktadır.
İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır. İşbu politikada yapılacak güncellemeler Şirket tarafından onaylanması üzerine revizyon ve onay tarihi ile birlikte adresinde, kurumsal intranet ağı içerisinde yayımlar.
İşbu Politika, olağan olarak senede bir defa olacak şekilde rutin olarak gözden geçirilir ve güncel kanuni ve içtihadı gelişmelere göre güncellenir. Ancak Şirket gerekli görmesi halinde işbu politikayı her zaman gözden geçirme, işbu politika üzerinde değişikliklerde bulunma ve gereken durumlarda işbu politikayı yürürlükten kaldırıp yeni bir politika oluşturma hakkını saklı tutar.
Politikanın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Şirket Yönetim Kurulu’na aittir.
19. YÜRÜRLÜK
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası ve ileride yapılacak güncellemeler, adresinde yayımlanacak olup, ayrıca, Şirket kurumsal intranet ağı üzerinden çalışanlarımızın erişimine