Yasal Uyarı / Kvkk

Anasayfa » Yasal Uyarı / Kvkk
1 2023 Kişisel Veri Saklama ve İmha Politikası SO OTOMOTİV TİCARET ANONİM ŞİRKETİ 2 İçindekiler 1. Giriş………………………………………………………………………………………………………………………………. 4 2. Amaç, Kapsam ve Yürürlük……………………………………………………………………………………………… 4 2.1. Amaç…………………………………………………………………………………………………………………….. 4 2.2. Kapsam …………………………………………………………………………………………………………………. 4 3. Tanım ve Kısaltmalar………………………………………………………………………………………………………. 4 4. Sorumlular ve İlgi Grupları ………………………………………………………………………………………………. 6 4.1. Sorumlular……………………………………………………………………………………………………………… 6 4.2. İlgili Kişi Grupları…………………………………………………………………………………………………… 6 5. Sınırlar…………………………………………………………………………………………………………………………… 6 5.1. Lokasyon Sınırları…………………………………………………………………………………………………… 6 5.2. Sistem Sınırları……………………………………………………………………………………………………….. 6 6. İşlenen Kişisel Veri Kategorileri……………………………………………………………………………………….. 6 7. Kişisel Verilerin İşlenmesinde Genel İlkeler……………………………………………………………………….. 7 7.1. Hukuka ve Dürüstlük Kurallarına Uygun Olması………………………………………………………… 7 7.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama ……………………………… 8 7.3. Belirli, Açık ve Meşru Amaçlarla İşleme …………………………………………………………………… 8 7.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma………………………………………………… 8 7.5. İlgili Mevzuatta Öngörülen ve İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme 8 8. Kişisel Verilerin İşlenme Kuralları ……………………………………………………………………………………. 8 8.1. Kişisel Verilerin İşlenmesi Kuralları …………………………………………………………………………. 8 8.2. Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları……………………………………………………. 9 9. Aydınlatma Yükümlülüğü ve İlgili Kişinin Haklarının Gözetilmesi ve Kullandırılması………….. 9 9.1. Aydınlatma Yükümlülüğü………………………………………………………………………………………. 9 9.2. İlgili Kişinin Haklarının Gözetilmesi ve Kullandırılması……………………………………………. 10 10. Kişisel Verilerin Aktarılması………………………………………………………………………………………. 11 10.1. Kişisel Verilerin Aktarılması ………………………………………………………………………………….. 11 3 10.2. Özel Nitelikli Kişisel Verilerin Aktarılması ……………………………………………………………… 11 10.3. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması …………………. 12 11. Kişisel Verilerin İşlenmesinin Hukuki Dayanakları ve Amaçları…………………………………….. 13 11.1. Kişisel Verilerin İşlenmesinin Hukuki Dayanakları …………………………………………………… 13 11.1.1. Genel İlkeler…………………………………………………………………………………………………. 13 11.1.2. Hukuka Uygunluk Sebepleri …………………………………………………………………………… 13 11.2. Kişisel Verilerin Toplanma Yöntemleri……………………………………………………………………. 14 11.3. Kişisel Verilerin İşlenme Amaçları………………………………………………………………………….. 15 12. Kişisel Verilerin Saklanması ve Korunması Yönelik Alınan Tedbirler…………………………….. 17 12.1. Kişisel Verilerin Saklanması…………………………………………………………………………………… 17 12.2. Kişisel Veri Kayıt Ortamları……………………………………………………………………………………… 17 12.3. Teknik Tedbirler …………………………………………………………………………………………………… 18 12.4. İdari Tedbirler………………………………………………………………………………………………………. 18 12.5. Kişisel Verilere Erişim Yetkilerinin Düzenlenmesi……………………………………………………. 19 13. Kişisel Verilerin İmhası……………………………………………………………………………………………… 19 14. Politikanın Sürdürülebilirliğinin Sağlanması, Denetimi ve Eğitim Faaliyetleri………………….. 20 14.1. Sürekli İyileştirme ve Denetim Faaliyetleri………………………………………………………………. 20 14.2. Eğitim Faaliyetleri ………………………………………………………………………………………………… 21 4 1. Giriş Kişisel verilerin korunması bir anayasal hak olup, Şirket olarak kişisel verilerin güvenliğine azami hassasiyet gösterilmektedir. Bu amaçla, Şirkette devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve işbu politika oluşturulup, Entegre Yönetim Sistemimize dâhil edilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, 28.10.2017 tarih ile Resmî Gazete ’de yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve 01.01.2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik ve diğer ilgili yönetmelikler, Kişisel Verilerin Korunması Kurumu tarafından hazırlanmış kılavuzlara uygun olmak sureti ile Veri Sorumlusu sıfatıyla şirkette kişisel veriler işlenmekte ve muhafaza edilmektedir. 2. Amaç, Kapsam ve Yürürlük 2.1. Amaç Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme ve muhafaza faaliyetleri için esasları ortaya koymak ve izlenecek yöntemleri belirleyerek, kişileri aydınlatmak ve bilgilendirmek sureti ile şeffaflığı sağlamak amaçlanmaktadır. 2.2. Kapsam Bu politika çalışanlarımız, aday çalışanlarımız, eski çalışanlarımız, gerçek kişi müşterilerimiz, tedarikçi/alt işveren çalışanları ve yetkilileri, ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler başlıkları altında ilgi grupları olarak nitelendirdiğimiz kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilerine ilişkindir. 2.3. Yürürlük Şirket tarafından hazırlanan işbu Politika 2023 tarihinde yürürlüğe girecektir. İşbu politikada değişiklik olması durumunda, Politika yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. 3. Tanım ve Kısaltmalar Şirket: SO Otomotiv Ticaret Anonim Şirketi Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. 5 Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlar. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grupları ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi. Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini. Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. Kurul: Kişisel Verileri Koruma Kurulu. Kurum: Kişisel Verileri Koruma Kurumu. Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı. İmha: Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’ sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. Politika: Kişisel Veri Saklama ve İmha Politikası. İlgili Kişi: Kişisel verisi işlenen gerçek kişi. İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. 6 Veri Sorumlusu: Kişisel verilerin işleme amaç ve yöntemlerini belirleyen, ilgili kanuna uygun olarak veriyi işleyen ve muhafaza eden gerçek veya tüzel kişi. 6 Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. VERBİS: Veri Sorumluları Sicili Bilgi Sistemi. Yönetmelik: 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. 4. Sorumlular ve İlgi Grupları 4.1. Sorumlular Veri sorumlusu, şirket yetkilisi, tüm personeller, hizmet alımı yoluyla çalışan personeller, hizmet ve mal sağlayıcı firmalar (Politika’ya uyum ve imzalanan ek protokol kapsamında) sorumludur. İlgili Kanun kapsamında Şirket, veri sorumlusu sıfatına haiz olacak olup, VERBİS sistemine kayıt olacaktır. Yönetmelik’in 11’inci maddesinin 1’inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuata göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir.” Şeklinde düzenleme yapılmıştır. Bu kapsamda Şirketin, Kişisel Verilerin Korunması Kurumu ile iletişim, koordinasyon ve Şirket içinde gerekli düzenleme ve kontrol işlemlerini gerçekleştirebilmesi için ilgili personelimiz görevlendirilmiştir. İlgili personelin ifa edeceği görevlerde yardım ihtiyacı hâsıl olması durumunda ek görevlendirmeler ile başka personellerde süreç içerisine dâhil edilecektir. 4.2. İlgili Kişi Grupları Yöneticilerimiz, Çalışanlarımız, Aday Çalışanlarımız, Eski Çalışanlarımız, Tedarikçi / Alt İşveren Çalışanları ve Yetkilileri, Ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler 5. Sınırlar 5.1. Lokasyon Sınırları Şirket binası 5.2. Sistem Sınırları Şirket Web Sitesi, Muhasebe Programı, Excel Dokümanlar, Fiziksel Dokümanlar 6. İşlenen Kişisel Veri Kategorileri İşbu Politika’da yer alan işlenme amaçları doğrultusunda ve ilgili mevzuatın düzenlediği sınırlamalar çerçevesinde Şirket tarafından, detayları Kişisel Veri İşleme Envanteri’nde bulunan ve aşağıda sayılan kişisel veri kategorileri kapsamında yer alan kişisel veriler işlenmektedir: 7 – Kimlik – İletişim – Lokasyon – Özlük – Hukuki İşlem – Müşteri İşlem – Fiziksel Mekân Güvenliği – İşlem Güvenliği – Finans – Mesleki Deneyim – Görsel ve İşitsel Kayıtlar – Siyasi Düşünce Bilgileri – Felsefi İnanç, Din, Mezhep ve Diğer İnançlar – Dernek Üyeliği – Vakıf Üyeliği – Sağlık Bilgileri – Ceza Mahkûmiyeti ve Güvenlik Tedbirleri – Biyometrik Veri – Diğer Bilgiler (İmza, Fotoğraf, Vize bilgileri) 7. Kişisel Verilerin İşlenmesinde Genel İlkeler Şirket olarak, Kanun’un 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir: 7.1. Hukuka ve Dürüstlük Kurallarına Uygun Olması Veri sorumlusu sıfatı ile, Kamu Kurum ve Kuruluşu Niteliğine Haiz Meslek Örgütü olarak Anayasa ve Kanun başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir. 8 7.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama Şirket, kişisel verilerin işlenmesi faaliyetlerinde, bilişim teknolojileri ve insan gücünün elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin veri sorumlusu sıfatı ile Şirket’e bildireceği talepler ve Şirket’in bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel 9 verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Şirket tarafından kurulan idari ve teknik mekanizmalar işletilecektir. 7.3. Belirli, Açık ve Meşru Amaçlarla İşleme Şirket tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir. 7.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma Şirket tarafından kişisel veriler, işlenme amaçları ile bağlantılı ve sınırlı olmak kaydıyla ve bu amacın gerçekleşmesi için gerektiği ölçüde veri işleme faaliyetlerini ifa etmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır. 7.5. İlgili Mevzuatta Öngörülen ve İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınmıştır. Özlük dosyaları için Entegre Yönetim Sistemi kapsamında yer alan imha talimatı uygulanmaktadır. Elektronik ortamda bulunan veriler için, ilgili sistem kapsamında hazırlanmış olan Fiziksel Alan ve Çevre Güvenliği Prosedüründe yer alan, Teçhizatın Güvenli Yok Edilmesi veya Tekrar Kullanımı maddesi kapsamında elektronik ortamda bulunan veriler güvenli bir şekilde imha edilmektedir. 8. Kişisel Verilerin İşlenme Kuralları 8.1. Kişisel Verilerin İşlenmesi Kuralları Kanun’da sayılan istisnalar dışında, Şirket ancak ilgili kişilerin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, ilgili kişinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir: • Kanunlarda açıkça öngörülmesi, • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, 9 • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin Taraflarına ait kişisel verilerin işlenmesinin gerekli olması, • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, • İlgili kişinin kendisi tarafından alenileştirilmiş olması, • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması kaydıyla kişisel veriler herhangi bir açık rıza aranmaksızın işlenebilmektedir. 8.2. Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları İlgili kişiler açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesine ise Şirket tarafından hassasiyet gösterilmektedir. Bu kapsamda, Kişisel Verilerin Korunması Kurumu tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, ilgili kişilerin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası olmaksızın da işlenebilmektedir. (İş Kanunu, İş Sağlığı ve Güvenliği Kanunu vb.) Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir: • Kamu sağlığının korunması, • Koruyucu hekimlik, • Tıbbî teşhis, • Tedavi ve bakım hizmetlerinin yürütülmesi, • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi. (Özel Sağlık Poliçelerinin belirlenmesi vb.) 9. Aydınlatma Yükümlülüğü ve İlgili Kişinin Haklarının Gözetilmesi ve Kullandırılması 9.1. Aydınlatma Yükümlülüğü Şirket, Kanun’un 10. maddesine uygun olarak ilgili kişinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda ilgili kişiye yol göstermektedir ve Şirket, ilgili kişilerin haklarının değerlendirilmesi ve ilgili kişilere gereken bilgilendirmenin yapılması için Kanun’un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir. Kanun’un 10. maddesi kapsamında, ilgili kişilerin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde ilgili kişilere iletilmesi gereken bilgiler şunlardır: 10 1.Veri sorumlusunun ve varsa temsilcisinin kimliği, 2.Kişisel verilerin hangi amaçla işleneceği, 3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, 4.Kişisel veri toplamanın yöntemi ve hukuki sebebi, 5. Kanun’un 11. maddesinde sayılan diğer haklar. Şirket, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen Kanun hükmü kapsamında ilgili kişilere sunulmak üzere aydınlatma beyanları hazırlamıştır. 9.2. İlgili Kişinin Haklarının Gözetilmesi ve Kullandırılması İlgili kişiler aşağıda yer alan haklara sahiptirler: 1. Kişisel veri işlenip işlenmediğini öğrenme, 2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 6. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme. İlgili kişiler, Kanun’un 28.maddesi gereğince aşağıda belirtilen haller kapsamında yukarıda belirtilen haklarını ileri süremezler: 1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. 2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. 11 3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi. 4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. Kanun’un 28/2 maddesi gereğince; aşağıda sıralanan hallerde ilgili kişiler zararın giderilmesini talep etme hakkı hariç, 9.2. başlığı altında sayılan diğer haklarını ileri süremezler: 1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. 2. İlgili kişi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. 3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. 4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. İlgili kişiler 9.2. başlığı altında sıralanan haklarına ilişkin taleplerini, kimliklerini tespit edecek bilgi ve belgelerle Şirket merkezine posta veya kargo yolu ile ya da e-posta adresine ileti göndermek sureti ile kullanabilirler. Şirket 30 gün içerisinde herhangi bir ücret talep etmeksizin, ilgili kişiye dönüş yapmak ile yükümlüdür. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirket tarafından Kurulca belirlenen tarifedeki ücret ilgililerden alınacaktır. Şirket, başvuruda bulunan kişinin, ilgili kişi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. İlgili kişinin başvurusunda yer alan hususları netleştirmek adına, ilgili kişiye başvurusu ile ilgili soru yöneltebilir. Şirket’in, Kanun’un 28.maddesi kapsamında sayılan hallerde gelen başvuruları reddetme hakkı saklıdır. İlgili kişi Kanun’un 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirket’in cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir. 10. Kişisel Verilerin Aktarılması 10.1. Kişisel Verilerin Aktarılması Şirket, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanunun 5.maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarmaktadır: Kişisel verisi işlenen ilgili kişinin açık rızası var ise buna dayalı olarak veya 1. Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, 2. İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa, 12 3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, 4. Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, 5. Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş ise, 6. Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, 7. Kişisel verisi işlenen ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise aktarılmaktadır. Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima kişisel verilerin işlenmesinde genel ilkeler dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır. 10.2. Özel Nitelikli Kişisel Verilerin Aktarılması Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurum tarafından öngörülen yeterli önlemleri sağlamak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin özel nitelikli verilerini aşağıdaki durumlarda üçüncü kişilere aktarmaktadır: İlgili kişinin açık rızası var ise buna dayalı olarak veya ilgili kişinin açık rızası yok ise; 1. İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç , din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde, 2. İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım 15 hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (İş Yeri Hekimi) veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima kişisel verilerin işlenmesinde genel ilkeler dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır. 10.3. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması Şirket, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin açık rızası var ise veya kişisel verisi işlenen ilgili kişinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarmaktadır: 1. Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, 2. Kişisel verisi işlenen ilgili kişinin veya başkasının hayatı, beden bütünlüğünün korunması için zorunlu ise ve kişisel verisi işlenen ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa; 13 3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, 4. Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, 5. Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş se, 6. Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, 7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, 8. Şirket’in, meşru menfaatleri için kişisel veri aktarımı zorunlu ise, 9. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise yurtdışına veri aktarımı yapılabilmektedir. 11. Kişisel Verilerin İşlenmesinin Hukuki Dayanakları ve Amaçları 11.1. Kişisel Verilerin İşlenmesinin Hukuki Dayanakları 11.1.1. Genel İlkeler Şirket tarafından her türlü kişisel veri işleme faaliyetinde Kanun’un 4. maddesinde yer alan genel ilkelere uygun olarak hareket edilmektedir. Buna göre; 1. Hukuka ve dürüstlük kurallarına uygun olma, 2. Doğru ve gerektiğinde güncel olma, 3. Belirli, açık ve meşru amaçlar için işlenme, 4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkeleri göz önünde tutulmaktadır. 11.1.2. Hukuka Uygunluk Sebepleri A) İlgili Kişinin Açık Rızasının Bulunması Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. B) Kanunlarda Açıkça Öngörülmesi İlgili kişinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak islenebilecektir. C) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü 14 korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin, baygınlık geçiren bir çalışanın kan grubu bilgisinin hekim ile paylaşılması. D) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin, iş sözleşmesinin kurulması için adaydan CV alınması, sözleşme kapsamında tebligat yapılabilmesi için adres alınması vb. E) Şirket’in Hukuki Yükümlülüğünü Yerine Getirmesi Şirket’in, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin, Asgari Geçim İndiriminden Çalışanı yararlandırmak için, aile bilgisinin işlenmesi vb. F) İlgili kişinin Kişisel Verisini Alenileştirmesi İlgili kişinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir. Örneğin; Şirket sosyal medya hesaplarına şikâyet, öneri veya talepte bulunan kişilerin bilgiyi alenileştirmesinden ötürü, ilgili kişiye cevap verebilmek adına kişisel verileri işlenebilir. G) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin; ispat niteliği olan verilerin (sözleşmeler vb.) saklanması ve gerekli olduğu anda kullanılması. H) Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin; Güvenlik kamerası ile hırsızlığa karşı veya iş güvenliği amacıyla kritik noktalarının izlenmesi. 11.2. Kişisel Verilerin Toplanma Yöntemleri Şirket; bu Politikanın, Kanun’un ve ilgili sair mevzuatın düzenlemelerine uygun olarak, yazılı, sözlü, elektronik yollardan, görüntü/ses kaydı yoluyla veya fiziksel olarak ilgili kişi ile karşıya gelmek suretiyle kişisel veri toplamakta ve işlemektedir. • Web Sitesi (Cookies), İşletme Uygulamaları, e-posta, işe alım portalları dâhil üçüncü şahıslara ait dijital mecralar veya bir yazılım üzerinden, • Sözleşmeler, başvurular, formlar, çağrı merkezi, • Veri sahibi ilgili kişi ile yapılan yüz yüze görüşmeler aracılığıyla veri toplama süreci gerçekleşebilmektedir. 15 11.3. Kişisel Verilerin İşlenme Amaçları Şirket, Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel veriler işlemektedir. Veri işleme sürecinde 4. madde kapsamında genel ilkeler denetimi yapılmakta, yukarıda belirtilen hukuki dayanaklar dikkate alınmakta, diğer hukuka uygunluk sebepleri bulunmuyor ise ilgilinin rızası talep edilmektedir. İlgilinin rızası ise “açık, bilgilendirmeye ve özgür iradeye dayalı biçimde” alınmaktadır. Kişisel verilerin işlenme amaçları ayrıca Kişisel Veri İşleme Envanteri’nde belirtilmektedir. Şirket birimlerinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir; 1. İşveren olarak iş sözleşmesinden doğan karşılıklı yükümlülüklerin yerine getirebilmesi için çalışanların kişisel verilerinin işlenmesi gerekmektedir. Bu kapsamda, çalışanların kanunlara uygun olarak çalıştırılabilmesi için gerekli olan amaçlar doğrultusunda, iş sözleşmesinin kurulması, ifası ve sona ermesi süreçlerinin hukuka uygun şekilde yürütülmesi, temel hak ve özgürlüklere aykırı olmamak koşuluyla Şirket’in meşru menfaatleri, kanunda açık olarak öngörülen durumlar, çalışan istihdamına bağlı hukuki yükümlülüklerin yerine getirilmesi, yasal takip durumlarında hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması durumları göz önünde bulundurularak kişisel veriler işlenmektedir. 2. Şirket’in çeşitli hukuki yükümlülüklerini yerine getirebilmesi amacıyla veya meşru menfaatleri çerçevesinde, çalışanların kişisel verilerinin işlenmesini gerekli kılmaktadır. Nitekim suiistimallerin önlenmesi, hırsızlığın engellenmesi, genel güvenlik veya iş sağlığı ve güvenliğinin sağlanması gibi nedenlerle çalışanların kişisel verilerini işleme faaliyeti yapılabilmektedir. Ancak, bu durumda da çalışanların temel hak ve özgürlüklerine zarar verilmemesine büyük bir özen gösterilmektedir. 3. İşlenmekte olan çalışanların kişisel verilerinin büyük bir çoğunluğu çalışanlar tarafından Şirket’e verilen bilgilerden elde edilmektedir. Yine bazı durumlarda, Şirket yöneticileri gibi iç kaynaklardan veya çalışanların referanslarından veya çalışma hayatı gereklilikleri nedeniyle kamu kurum ve kuruluşları tarafından tesis edilmiş olan sistemlerdeki verilerden de çalışanların kişisel verileri Şirket’e gelebilmektedir. 4. İşlenmekte olan çalışanların kişisel verileri, başvuru formları ve çalışanların referansları, iş sözleşmeleri ve değişiklikleri, çalışanların iletişim bilgileri, bordro için gerekli olan bilgiler, acil durumlarda iletişim kurulacak kişiler gibi aile veya yakın bilgileri, çalışanların eğitim kayıtları, performans değerlendirme kayıtları, disiplin kayıtları, kamera kayıtları gibi bilgilerden oluşmaktadır. 5. Çalışanların sağlık bilgileri de işlenen kişisel veriler arasında yer almaktadır. Çalışanların sağlık ve cinsel hayatlarına ilişkin bilgiler kural olarak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir. Bu kapsamda, çalışanların sağlık verileri ve bunlarla ilgili detaylar kural olarak işyeri hekiminde bulunmaktadır. 6. Şirket’in, bilgi iletişim araçları (bilgisayarlar ve internet) üzerinde denetim ve gözetimleri söz konusudur. 5651 sayılı Kanun ve Şirket’in meşru menfaatleri söz konusu uygulamaların hukuki dayanaklarını oluşturmaktadır. 16 7. Şirket’in insan kaynakları politikalarının yürütülmesinin sağlanması amacı doğrultusunda; açık pozisyonlara uygun personel temini, insan kaynakları operasyonlarının yürütülmesi, personel adayı seçimi, özlük işlerinin yönetilmesi, eğitim ve kariyer planlarının belirlenmesi, iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması kişisel verilerin işlenme amaçlarını oluşturmaktadır. 8. Tedarikçi / alt işveren çalışanlarının kişisel verileri de Şirket tarafından işlenebilmektedir. Nitekim 6331 sayılı Kanunda asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlar ile ilgili olarak kontrol edilmesi gereken belgeler ve bilgiler belirtilmiş bulunmaktadır. Aynı şekilde 4857 sayılı iş kanununda ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nda da alt işveren 20 işçileri ve geçici işçiler ile ilgili asıl işverene yükümlülükler getirilmiş ve bu kapsamda kontrol edilmesi gereken hususlar belirtilmiştir. Kişisel veriler, ayrıca Kişisel Veri İşleme Envanteri’nde detaylı bir şekilde yer alan, aşağıda örneklenen veri işleme amaçları doğrultusunda da işlenmektedir: 1. Bilgi güvenliği süreçlerinin yürütülmesi 2. Denetim/etik faaliyetlerinin yürütülmesi 3. Eğitim faaliyetlerinin yürütülmesi 4. Erişim yetkilerinin yürütülmesi 5. Şirket faaliyetlerinin mevzuatlara uygun yürütülmesi 6. Finans ve muhasebe işlerinin yürütülmesi 7. Fiziksel mekân güvenliğinin temini 8. Hukuk işlerinin takibi ve yürütülmesi 9. İç denetim / soruşturma / istihbarat faaliyetlerinin yürütülmesi 10. İletişim faaliyetlerinin yürütülmesi 11. Saklama ve arşiv faaliyetlerinin yürütülmesi 12. Sözleşme süreçlerinin yürütülmesi 13. Talep / şikâyetlerin takibi 14. Taşınır mal ve kaynakların güvenliğinin temini 15. Veri sorumlusu operasyonlarının güvenliğinin temini 16. Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi 17. Yönetim faaliyetlerinin yürütülmesi 18. Ziyaretçi kayıtlarının oluşturulması ve takibi 17 12. Kişisel Verilerin Saklanması ve Korunmasına Yönelik Alınan Tedbirler 12.1. Kişisel Verilerin Saklanması Şirket, Kişisel Verinin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri siler, yok eder veya anonim hâle getirir. Kişisel veri saklama süreleri, Kişisel Veri İşleme Envanteri’nde detaylı olarak belirtilmiştir. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Şirket’in o veriyi işlerken sunduğu hizmetlerle bağlı olarak gereken süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş , ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin sonuna gelinmişse; Kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler (Örn; Eski Adli Sicil Belgeleri) esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Özel nitelikli kişisel verilerin işlenmesi nezdinde aşağıda belirtilen teknik ve idari tedbirlerin yanı sıra, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda belirtilen veri güvenliği önlemleri de alınmaktadır. 12.2. Kişisel Veri Kayıt Ortamları Şirket tarafından toplanan kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak çeşitli kayıt ortamlarında tutulabilmektedir. Bu bağlamda İşletme kişisel verileri; • Kâğıt, • Yazılım, • Merkezi Sunucu – Sanal Sunucu, • Taşınabilir Medya, • Veri Tabanı, • Kısıtlı hafızalı Ağ Cihazları, • Manyetik Teyp-Bant-Disk, • Mobil Telefon, • Kısıtlı hafızalı Yazıcı, 18 • Kapı geçiş/güvenlik sistemi gibi ortamlarda kayıt tutulabilmektedir. 12.3. Teknik Tedbirler • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. • Anahtar yönetimi uygulanmaktadır. • Erişim logları düzenli olarak tutulmaktadır. • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal prosedürler hazırlanmış ve uygulamaya başlanmıştır. Bu çerçevede, kişisel veri güvenliğinin takibi amacıyla kurulan sistemler kapsamında gerekli iç kontroller yapılmaktadır. • VPN ile bağlantı sağlanmaktadır. • Güncel anti-virüs sistemi kullanılmaktadır. • Güvenlik duvarı kullanılmaktadır. • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. (Active Directory tam kapsamlı uygulanmamaktadır.) • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. • Sızma testi uygulanmaktadır. • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. • Bilgi güvenliği için mevcut risk ve tehditler belirlenmiştir. • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. • DLP (Veri Sızıntı / Kayıp Önleyici Program) kullanılmaktadır. • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve kurumsal posta hesabı kullanılarak gönderilmektedir. 12.4. İdari Tedbirler • Şirket içinde “gerekli olmadıkça kişisel veriler ile bağlantılı tüm işlemler yasaktır.” prensibinin uygulanması için gerekli önlemleri alır. Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır. 19 • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmemesi için gerekli tedbirler alınır, ilgili kişisel verilerin elde edilmesi hâlinde ise, bu durumu 72 23 saat içinde veya ihlalin tespitini takiben mümkün olan en kısa sürede ilgilisine ve Kurul’a bildirilir. • İşlenen kişisel verilerin güncelliği düzenli aralıklarla kontrol edilir, ihtiyaç duyulmayan kişisel veriler ise saklama ve imha politikası kapsamında güvenli bir şekilde imha edilir. • Çalışanlar için veri güvenliği hükümleri içeren gizlilik sözleşmesi ve taahhütnamesi mevcuttur. • Çalışanlar için yetki matrisi oluşturulmuştur. • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. • Kişisel veri içeren ortamların güvenliği sağlanmaktadır. • Kişisel veriler mümkün olduğunca azaltılmaktadır. • Şirket içi periyodik denetim yaptırılmaktadır. • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. 12.5. Kişisel Verilere Erişim Yetkilerinin Düzenlenmesi İşlenen kişisel verilere erişim yetkileri Şirket iç prosedürleri ve yetkilendirme usulleri çerçevesinde belirlenmektedir. Bu çerçevede, işlenen kişisel verilere yalnızca amaç ile bağlantılı ve sınırlı ölçüde yetkilendirilmiş kişiler erişebilmektedir. Verilere erişim yetkisine sahip kullanıcıları, işbu kullanıcıların yetki kapsamlarını ve yetki süreleri belirlenmiştir. Periyodik olarak yetki kontrolleri gerçekleştirilir ve görev değişikliği veya işten ayrılma gibi hallerde kişiye tanınmış yetkiler derhal kaldırılır. 13. Kişisel Verilerin İmhası 13.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Kişisel Verilerin silinmesi veya yok edilmesi, önceden erişim yetkisi bulunan kişiler için hiçbir surette erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel Veriler, • Kâğıt Ortamında bulunanlar için (Optik Disklerde aynı yöntemle silinir.) kâğıt doğrama makinelerinden geçirilmesi sureti, • Elektronik Ortamda bulunan manyetik disklerin (HDD, SSD, YSB bellek vb.) Low Level Formatla silinmesi veya De-Manyetize etme sureti, • Veri tabanı için delete SQL sorgusu sureti ile silinmesi yöntemleri kullanılır. 20 13.2. Kişisel Verilerin Anonim Hale Getirilmesi Kişisel Verilerin anonim hale getirilmesi, Kişisel Veriler başka veriler ile eşleştirilse veya başka bir sistem üzerinden kontrol edilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. İşletmemiz, Kişisel Verileri anonim hale getirebilmek için aşağıda belirlenen yöntemlerden bir veya birkaçını kullanabilir; • Değişken veya Kayıt Çıkarma, • Alt ve Üst Sınır Kodlama, • Bölgesel Gizleme, • Örnekleme, • Mikro Birleştirme, • Veri Değiş Tokuşu, • Gürültü Ekleme, • K-Anonimlik, • L-Çeşitlilik, • T-Yatkınlık yöntemleri uygulanabilir. 13.3. Periyodik İmha Süreleri Kişisel Veri İşleme Envanteri’nde belirtilen süreler üzerine imha zamanı gelen kişisel verilerin kontrolü 6 ayda bir yapılır ve tutanak altına alınarak imha süreçleri işletilir. 14. Politikanın Sürdürülebilirliğinin Sağlanması, Denetimi ve Eğitim Faaliyetleri 14.1. Sürekli İyileştirme ve Denetim Faaliyetleri Şirket, kişisel verilerin korunması ve yönetimi sisteminin uygunluğunu, doğruluğunu ve etkinliğini sürekli olarak iyileştirir ve gerekli önleyici faaliyetleri gerçekleştirir. Şirket, varsa uygunsuzlukların veya potansiyel uygunsuzlukların belirlenmesini, düzeltici faaliyetlerin ve sürekli iyileştirmenin hayata geçirilmesini ve etkinliğinin değerlendirilmesini sağlar. Düzeltici faaliyetler kapsamında yapılan sürekli iyileştirmeler problemin büyüklüğü ile orantılı olur. Hedef, uygunsuzluğun/potansiyel uygunsuzluğun kök nedenini/nedenlerini ortadan kaldırmaktır. Şirket’te, kişisel verilerin güvenliği sistemi ile ilgili varsa uygunsuzlukların veya potansiyel uygunsuzlukların saptanması halinde yönetim kuruluna aktarılmasından tüm çalışanlar sorumludur. Kişisel veri yönetim sisteminin sürekliliği, uygunluğu, yeterliliği ve etkinliği konusu her yıl yapılan Yönetim Gözden Geçirme Toplantısında ele alınır. 21 14.2. Eğitim Faaliyetleri Her yıl düzenli olarak çalışanlarda farkındalığı arttırmak için eğitim düzenlenir. Yeni işe başlayan personellerin oryantasyon eğitimlerinde Kanun farkındalık eğitimine de yer verilir.
Whatsapp
Murat Çakıroğlu
Murat Çakıroğlu
Merhaba
Size nasıl yardımcı olabiliriz?