T.G.L. TETGLOBAL LOJİSTİK SANAYİ VE TİCARET ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
T.G.L. TETGLOBAL LOJİSTİK SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ BİLGİ FORMU
Belge : T.G.L. Tetglobal Lojistik Sanayi ve Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası
Amaç : T.G.L. Tetglobal Lojistik Sanayi ve Ticaret Anonim Şirketitarafından kişisel verileri işlenen şirket çalışanı dışındaki tüm gerçek kişilerin kişisel verilerinin korunması ve işlenmesi hakkında bilgi sahibi yapmaktır.
Hazırlayan: T.G.L. Tetglobal Lojistik Sanayi ve Ticaret Anonim Şirketi Hukuk Müşavirliği
Onaylayan: T.G.L. Tetglobal Lojistik Sanayi ve Ticaret Anonim Şirketi KVK Kurulu
1- GİRİŞ
T.G.L. Tetglobal Lojistik Sanayi ve Ticaret Anonim Şirketi (Bundan sonra “TGL” veya “Şirket” anılacaktır.) olarak, kişisel verilerin korunması önceliklerimiz aramızda yer almakta olup, bu hususta mevzuata uygunluk ile hukuki güvencenin sağlanması için azami özen ve gayret gösterilmektedir.
İşbu T.G.L. Tetglobal Lojistik Sanayi ve Ticaret Anonim Şirketi, Kişisel Verilerin Korunması ve İşlenmesi Politikası (Bundan sonra kısaca “Politika” olarak anılacaktır.) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır.
Gerçek kişilere ait hangi verileri topladığımız, veri toplama faaliyetlerimizin amaçları, toplanan verilerin saklama süresi, imhası, veri aktarımına ilişkin konular ve verilerinize ilişkin haklarınızla ilgili olarak gerekli tüm bilgiler bu Politika içerisinde bilgilerinize sunulmuştur.
2- POLİTİKA’NIN KAPSAMI VE TANIMLAR
İşbu Politika; müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
İLGİLİ KİŞİ KATEGORİLERİ | AÇIKLAMA |
Şirket Paydaşı | Şirket’in Paydaşı gerçek kişilerdir. |
İş Ortakları | Şirket’in faaliyetleri çerçevesinde sözleşmesel ilişkiler kapsamında ortaklık kurduğu kişiler. |
Şirket İş Ortaklarının Paydaşı, Yetkilisi, Çalışanı | Şirket’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin (iş ortağı, tedarikçi gibi) çalışanları, Paydaşları ve yetkilileri dâhil olmak üzere tüm gerçek kişilerdir. |
Şirket Yetkilisi | Şirket’in Türk Ticaret Kanunu uyarınca yetkili gerçek kişileridir. |
Çalışan/Stajyer | Şirkette iş sözleşmesi ile hizmet ifa eden gerçek kişilerdir. Bu kategoriye öğrenimi devam etmekte olup da yasal olarak tamamlanması zorunlu staj/çıraklık dönemini Şirket bünyesinde geçiren gerçek kişiler de dâhildir. |
Çalışan Adayı | Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişilerdir. |
Şirket Müşterisi | Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket’in sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir. |
Potansiyel Müşteri | Şirket’in ürün ve hizmetlerini kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş, müşteriye dönüşme potansiyeli olan gerçek kişilerdir. |
Ziyaretçi | Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir. |
Üçüncü Kişi | Yukarıda yer verilen İlgili Kişi kategorileri ile Şirket çalışanları hariç gerçek kişilerdir. |
İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Kişisel Verilerin İşlenmesi | Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
İlgili Kişi, Kişisel Veri Sahibi veya Veri İlgilisi | Kişisel verisi işlenen Şirket Paydaşlarını, Çalışanlarını, İş Ortaklarını, Yetkililerini, Bağımsız Girişimcileri, Çalışan Adaylarını, Ziyaretçileri, Şirket Müşterilerini, Potansiyel Müşterilerini, Üçüncü Kişileri ve kişisel verisi şirket tarafından işlenen diğer kişileri ifade eder. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
KVK Kurulu | Kişisel Verileri Koruma Kurulu’dur. |
Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
Kişisel Verilerin Silinmesi |
Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla Şirket tarafından re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
3- KİŞİSEL VERİLERİN İŞLENMESİ İLKELERİ
Şirket tarafından işlenen tüm kişisel veriler, KVKK ve ilgili mevzuat uyarınca işlenmektedir. Şirket, KVKK 4. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işlemektedir. Kişisel verilerin işlenmesi sırasında Şirket tarafından her daim riayet edilecek ilkeler aşağıdaki gibidir:
- Hukuka ve Dürüstlük Kuralına Uygun İşleme: Şirket; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirket, kişisel verilerin işlenmesinde orantılılık ölçüsünü dikkate almakta, kişisel verileri işlenme amacının gereksinimleri dışında kullanmamaktadır.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Şirket; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır.
- Belirli, Açık ve Meşru Amaçlarla İşleme: Şirket, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirket, kişisel verileri sunmakta olduğu ürün ve hizmetler ile bağlantılı ve bunlar için gerekli olduğu ölçüde işlemektedir. Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen (varsa minimum) süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
4- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
İlgili kişinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 3.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.
- İlgili Kişinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Ancak aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir. Kanun uyarınca açık rıza olmaksızın işlenebilen kişisel veriler bakımından Şirket, mevzuat hükümleri gereği açık rıza talep etmemektedir.
- Kanunlarda Açıkça Öngörülmesi
İlgili kişinin kişisel verileri, kanunda açıkça öngörülmekte ise, diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde, işbu veri işleme şartının varlığından söz edilebilecektir.
- Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması ilgili kişinin kişisel verileri işlenebilecektir.
- Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
- Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
- İlgili Kişinin Kişisel Verisini Alenileştirmesi
İlgili kişinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
- Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
- Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi, diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde, ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.
6- İLGİLİ KİŞİNİN AYDINLATILMASI
Şirket, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, ilgili kişileri aydınlatmaktadır. Bu kapsamda Şirket, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir. İlgili madde gereğince; veri sorumlusu sıfatıyla Şirket tarafından kişisel veri işleme faaliyetinin yürütüldüğü her durumda ilgili kişilerin aydınlatılmasını sağlamak üzere Şirket içi gerekli yapı oluşturulmuştur. Şirket, kişisel verilerin elde edilmesi sırasında yerine getirilmesi gerekli Aydınlatma Yükümlülüğünü eksiksiz olarak yerine getirmektedir. Buna ek olarak ilgili kişilerin diledikleri her zaman ulaşabilmeleri amacıyla Şirket web sitesinde Aydınlatma Metinlerinin en güncel versiyonlarını yayınlamaktadır.
7- KİŞİSEL VERİLERİN AKTARILMASI
Şirket, kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve KVK Kurulu tarafından alınan karar ve ilgili düzenlemelere uygun bir şekilde hareket etmek sorumluluğu altındadır.
Şirketimiz bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Şu kadar ki, KVKK ve diğer Kanunların zorunlu kıldığı durumlarda ilgilinin açık rızası olmadan da veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum veya kuruluşa aktarılabilir. Ayrıca, Kanunun 5. ve 6. maddelerinde öngörülen durumlarda ilgilinin rızası olmaksızın da aktarım mümkündür. Şirket, kişisel verileri Kanunda ve ilgili diğer mevzuatta öngörülen şartlara uygun olarak ve mevzuatta belirtilen tüm güvenlik önlemlerini alarak şayet veri sahibi kişi ile imzalı mevcut bir sözleşme var ise, söz konusu sözleşmede ve Kanun veya ilgili diğer mevzuatta aksi düzenlenmediği sürece Türkiye’de bulunan üçüncü kişilere ve Şirket çatısı altında bulunan diğer şirketlere aktarabilir.
İlgili kişinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
- Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
- Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.
Kamu tüzel kişileri ile ilgili mevzuatları kapsamında talep ettikleri kişisel veri ve özel nitelikli kişisel veriler KVKK 8. maddesi uyarınca paylaşılır.
8- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi, diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması, halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde bu verilerin işlenmesi için ilgili kişinin açık rızası alınacaktır.
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde bu verilerin işlenmesi için ilgili kişinin açık rızası alınacaktır.
Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.
9- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket tarafından aşağıdaki amaçlarla KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında kişisel veri işleme faaliyeti gerçekleştirilebilecektir:
- Yasal yükümlülüklerin yerine getirilmesi ve takibi,
- Şirketin hukuki ve ticari güvenliğinin sağlanması, ticari faaliyetlerin sürdürülmesi
- Finans ve muhasebe işlerinin yürütülmesi,
- Faturalandırma süreçlerinin yürütülmesi,
- İş süreçlerinin yürütülmesi, denetlenmesi, iyileştirilmesi,
- İletişim faaliyetleri,
- Sözleşme yönetimi, sözleşme yapılması, kurulması ve sözleşmenin ifası,
- Müşteri ilişkilerinin yönetimi,
- Satış sonrası hizmetler,
- Denetim/Etik faaliyetlerinin yürütülmesi,
- Üçüncü kişilerle olan ilişkilerin yönetimi,
- Üçüncü tarafların bilgiye erişim yetkilerinin planlanması ve icrası,
- Lojistik/Nakliye faaliyetlerinin planlanması ve icrası,
- Eğitim faaliyetlerinin yürütülmesi,
- Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini,
- Hukuk işlerinin takibi ve yürütülmesi
- Mal ve hizmet satın alım, üretim ve operasyon süreçlerinin yürütülmesi,
- Müşteri memnuniyetini artırmak, müşterileri tanıyabilmek ve müşteri çevresi analizinde kullanabilmek, Şirketimizin sunduğu ürün ve hizmetlerin geliştirilmesi ve iyileştirilmesine yönelik faaliyetlerin yürütülmesi,
- Bilgi güvenliği süreçlerinin yürütülmesi.
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından kişisel veri sahibinin açık rızası temin edilmektedir.
10- KİŞİSEL VERİLERİN SAKLAMA SÜRELERİ
Elde ettiğimiz kişisel veriler, Şirket’in ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, Şirket tarafından kişisel verilerin korunmasına ilişkin olarak Kanun başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Şirket tarafından re’sen yahut sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.
Şirketimiz kişisel verilerin saklanması için ilgili mevzuatta bir süre öngörülüp öngörülmediğini tespit eder. İlgili mevzuatta bir süre öngörülmüşse bu süreye riayet eder; bir sürenin öngörülmemiş olması hâlinde kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel verilerin işlenme amacı sona ermiş ise kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla ancak her halükarda Şirket’in belirlediği saklama süreleri boyunca saklanmaktadır. Saklama sürelerinin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri dikkate alınmaktadır. Saklama sürelerinin sona ermesi üzerine kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Sözleşmelerin hazırlanması | Sözleşmenin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket iletişim faaliyetlerinin icrası | Faaliyetin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan kaynaklarının süreçlerinin yürütülmesi | Faaliyetin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Log kayıt takip sistemleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Donanım ve yazılıma erişim süreçlerinin yürütülmesi | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ziyaretçi ve Toplantı Katılımcılarının Kaydı | Etkinliğin sona ermesini takiben 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kamera Kayıtları | 1 ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Bakanlıklar/Kamu kurumları/İhale dokümanları | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması | İş ilişkisi bitimi sonrası 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Üçüncü kişilerle imzalanan sözleşmeler | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Personel özlük dosyası | İş ilişkisi bitimi sonrası 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Olumsuz sonuçlanan iş başvuruları | Başvurunun olumsuz sonuçlanmasından itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ücret ve maaşa ilişkin tüm dokümanlar | İş ilişkisi bitimi sonrası 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Personel özel sağlık ve ferdi kaza sigorta poliçeleri | İş ilişkisi bitimi sonrası 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş sağlığı ve güvenliği uygulamaları | İş ilişkisi bitimi sonrası 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ödeme işlemleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşme sürecinin kişisel verilerle ilgili bölümü ve sözleşmenin muhafazası | İş ilişkisi bitimi sonrası 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Talep/şikayet bilgileri | Kaydın alınmasından itibaren 5 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Her türlü doküman dosyalanması | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Eğitim kayıtlarının dosyalanması | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kişisel verinin TCK veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması ve bir suçla ilişkili olması | TCK 66. ve 68. Maddeleri gereği dava zamanaşımı ve ceza zamanaşımı müddetince | – |
11- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
Kanun kapsamında muhafaza edilen verileriniz; ilgili mevzuatlar kapsamında belirtilen veya işlendikleri amaç için gerekli olan azami süre ve herhalde kanuni zamanaşımı süreleri kadar muhafaza edilecektir. Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya talebiniz doğrultusunda 30224 sayılı ve 28.10.2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik tarafından belirlenmiş olan koşullar altında silinecek, yok edilecek veya anonim hale getirilecektir. Kişisel verilerin saklanma süreleri işbu Politika’nın 10’ncu başlığında belirtilmiştir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
- Saklamayı Gerektiren Hukuki Sebepler
Şirket tarafından faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 6105 sayılı Tüketicinin Korunması Hakkında Kanun
- 213 sayılı Vergi Usul Kanunu
- 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 28512 Sayılı İş Sağlığı Ve Güvenliği Hizmetleri Yönetmeliği
- 4982 Sayılı Bilgi Edinme Kanunu,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 4857 sayılı İş Kanunu,
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
- 4734 sayılı Kamu İhale Kanunu,
- 5018 sayılı Kamu Mali Yönetimi Kanunu,
- 5434 sayılı Emekli Sandığı Kanunu,
- 2828 sayılı Sosyal Hizmetler Kanunu
ile sınırlı olmamak kaydıyla Şirket faaliyeti ile ilgili yürürlükte olan mevzuat çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
- İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
- Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
- Kişisel Verileri İmha Teknikleri
Şirket, elde ettiği kişisel verileri, yasal zorunluluklar, nedeniyle veya kamu düzeninin korunması için kullanması zorunlu değilse ve iş süreçlerini etkilememesi şartıyla imha eder. İlgili kişilere ait kişisel veriler, Müşterilerimize hizmetin devam ettirebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması gereklilikleri ortadan kalktığında Şirket’in alacağı karara istinaden imha edilmektedir. Her yıl belirlenen periyodik imha tarihlerinde saklanmasına gerek görülmeyen kişisel veriler mevzuata uygun olarak aşağıda belirtilen tekniklerle imha edilir.
- Kişisel Verilerin Silinmesi
Kişisel verilerin silinme yöntemleri aşağıdaki tabloda belirtilmiştir.
VERİ KAYIT ORTAMI | AÇIKLAMA |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
- Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilme yöntemleri aşağıdaki tabloda belirtilmiştir.
VERİ KAYIT ORTAMI | AÇIKLAMA |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler geri döndürülemeyecek şekilde fiziksel olarak okunamaz hale getirilir. |
- Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Şirket, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. Kanunun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamı dışındadır ve bu sebeple Politika’nın 13. Bölümünde düzenlenen haklar bu veriler için geçerli olmayacaktır.
- Kişisel Verileri Anonim Hale Getirme Teknikleri
- Maskeleme (Masking): Veri maskeleme, kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik Numarası, ad, soyadı vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.
- Toplulaştırma (Aggregation): Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Müşterilerin doğum yıllarını tek tek göstermeksizin 1975 yılında doğan 100 müşteri bulunduğunun ortaya konulması.
- Veri Türetme (Data Derivation): Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen ilçenin veya şehrin belirtilmesi.
- Veri Karma (Data Shuffling, Permutation): Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek veya tanınamayacak hale getirilmesi.
- Periyodik İmha Süresi
Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11’inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
- KVK Yönetim Yapısı – Görev ve Sorumluluklar
Şirketin bütün birim yöneticileri, birimlerinde kişisel verilerin işlenmesi, saklanması ve imhası ile ilgili teknik ve idari önlemlerin usulüne uygun uygulanmasına etkin destek verir. Birim Yöneticileri bu amaçla; birim çalışanlarının eğitimi ve farkındalıklarının artırılmasını sağlar, işlemleri izleyip denetler, kişisel verilerin hukuka aykırı olarak işlenmesinin ve işlenen verilere hukuka aykırı olarak erişilmesinin önlenmesine, veri güvenliğine yönelik teknik ve idari önlemlerin alınması ve uygulanmasına yardımcı olur.
Birim Yöneticileri, Şirketin veri işleme faaliyetleri kapsamında ilgili kişisel veriyi hukuka uygun olarak kullanma yetkisi bulunan şahısların Kişisel Verilerin Korunması hususunda bilgi ve farkındalıklarının arttırılması, kişisel verilerle ilgili işleme, saklama ve imha işlemlerinin mevzuata uygun olarak yerine getirilmesine aktif destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımları şöyledir:
Genel Müdür: Veri Sorumlusu Temsilcisi sıfatıyla, kişisel verilerin korunması ve imhası ile ilgili tüm işlemlerin yapılması ve politikanın uygulanmasından sorumludur.
İnsan Kaynakları Yöneticisi: Görevi dâhilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetim.
Bilgi Sistemleri Yöneticisi: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden, politikanın uygulanmasında gereksinim duyulan teknik çözümlerin belirlenmesi ve uygulanmasından sorumludur.
Diğer Birim Yöneticileri: Kendi birimlerinde politikanın uygulanması ve uygulamanın izlenmesi ve denetlenmesinden sorumludur.
12- TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle Kanunun 6’ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
- Teknik Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
- Sızma (Penetrasyon) testleri ile Şirketimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Kişisel verilerin tutulduğu ortamlarda teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
- Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlara yönelik uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
- Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Şirket bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği, erişildiği elektronik ortamlarda şifreleme yoluyla gerekli güvenlik önlemleri alınmıştır. Fiziksel ortamlara ise yetkisiz giriş çıkışlar engellenmektedir.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Kişisel verilere erişimi olan tüm Şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için eğitimler yapılmaktadır.
- Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmaktadır.
- Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
- Kişisel veri işlemeye başlamadan önce şirket tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Şirket içi periyodik/rastgele denetimler yapılmaktadır.
- Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
13- KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
- Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
- Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri, Bölüm 13.1.’de (“Kişisel Veri Sahibinin Hakları”) sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketimize iletebileceklerdir. Bu doğrultuda Şirket internet sitesi üzerinden ulaşılabilecek “Şirket Veri Sahibi Başvuru Formu”ndan yararlanabileceklerdir.
- Şirketimizin Başvurulara Cevap Vermesi
Şirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır. Kişisel veri sahibinin, Bölüm 13.1.’de (“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak Şirketimize iletmesi durumunda, Şirketimiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından Kişisel Verileri Koruma Kurumu’nca yayınlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in 7. maddesinde belirlendiği üzere; “İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.” ücret alınabilecektir.
14- KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır. Ayrıca Şirket internet sayfalarında (bkz. https://tetglobal.com/) da bir takım veri işleme faaliyetlerinde bulunulmaktadır. Bu başlık altında Şirket tarafından kişisel verilerin işlendiği özel durumlar ele alınacaktır.
- Şirket Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri
Şirket tarafından bina ve tesislerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak güvenlik hizmeti sağlanmakta ve kamera ile izleme faaliyeti yürütülmektedir.
Şirket tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi aydınlatılmaktadır. Ayrıca, Şirket, Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç işbu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
- Şirket Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
Şirket tarafından, güvenliğin sağlanması ve işbu Politika’da belirtilen amaçlarla, Şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ve/veya elektronik ortamda veri kayıt sistemine kaydedilmektedir.
- Şirket İnternet Sitesi Ziyaretçilerinin Kişisel Verileri
Siteyi kullanan kullanıcılar talep ve önerilerde bulunmak amacıyla; ad, soyad, e-posta, mesaj, sektör ve formun konusu şeklindeki bilgileri kvkk@tetglobal.com mail adresi üzerinden veya Şirket internet sitesinde yer alan formu doldurarak iletebilirler. Kullanıcılar paylaştıkları bu kişisel verileri siteyle tamamen kendi iradeleri ile paylaştıklarını kabul ederler. Bu kişisel veriler, sadece kullanıcılar tarafından yöneltileni talep ve önerilerin değerlendirmesi amacıyla işlenecektir. Bunun yanı sıra internet sitesini ziyaret eden kullanıcılara ait IP adresi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgilerinden oluşan, “trafik bilgileri”, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkın Kanun (kısaca “5651 Sayılı Kanun”) uyarınca işlenmektedir. Bu hususa ilişkin daha ayrıntılı bilgi Keşşaf İnternet Sitesi Çerez ve Gizlilik Politikası’nda yer almaktadır.
- Şirkete Ait Yerleşkelerde İnternet Erişimi Esnasında Yapılan Kişisel Veri İşleme Faaliyetleri
Şirkete ait yerleşkelerde ilgili kişilere sağlanan internet erişim hizmetlerine bağlı olarak 5651 Sayılı Kanun ve bu kanunu bağlı ikincil mevzuat (yönetmelik vb.) hükümlerinin belirlediği hususlar dâhilinde veri sahiplerine ilişkin IP adresi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri gibi internet “trafik bilgileri” kanunlarda açıkça öngörülmesi sebebiyle işlenmekte ve saklanmaktadır. Bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya firmamız içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla yetkili kişi, kurum ve kuruluşlara aktarılmaktadır.
15- EĞİTİM
Şirket, kişisel verilerin korunması konusunda çalışanlarına Politika ve KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri düzenli aralıklarla verir. Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
Şirket çalışanı kişisel verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.
16- DENETİM
Şirket, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar.
17- VERİ İHLAL PROSEDÜRÜ
Şirket, işbu Kişisel Verilerin Korunması ve İşlenmesi Politikasına veya KVKK’ya uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir. Kurul tarafından gerek görülmesi halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
18- POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
Şirket tarafından işbu Politika zaman zaman değiştirilebilir. Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini çalışanlarıyla paylaşır veya web adresi üzerinden İlgili Kişilerin erişimine sunar.
- POLİTİKANIN YÜRÜRLÜK TARİHİ
Kişisel Verilerin Korunması Politikası’nın işbu versiyonu Şirket internet sitesinde yayımlanması ile yürürlüğe girer.