Veri sorumlusu ALMİN ALÜMİNYUM PROFİL SANAYİ VE TİC.LTD.ŞTİ. olarak firmamız bünyesinde işlenen her türlü kişisel veri 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili ulusal ve uluslararası mevzuat hükümleri kapsamında korunmaktadır. Şirketimiz gerekli korunmanın sağlanması adına teknik ve idari tedbirleri vaktinde gereği gibi almakta olup her hangi bir ihlal şüphesi karşısında yasal hükümler çerçevesinde ilgili şahıslara, kurum ve kuruluşlara gerekli bildirimleri en kısa sürede yapmaktadır.
A. TANIMLAR
Açık rıza, 95/46 EC sayılı Direktif kapsamına göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.
Kişisel verilerin anonim hale getirilmesi, Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade etmektedir.
Veri kayıt sistemi, Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Söz konusu sistemler fiziki veya dijital olabilir. Söz konusu sistem içinde birden fazla kritere göre veriler işlenebilmektedir. Örneğin, ad soyad, TC yahut doğum yeri bazlı bir kayıt sistemi baz alınarak verilerin kaydı ve işlenmesi yapılabilir.
Veri sorumlusu, 6698 sayılı kanun kapsmaında doğrudan verişlerin işlenmesinden, aktarılmasından, silinmesinden ve diğer kanun kapsamındaki yükümlülüklerinden sorumlu olan kişidir. kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. İş bu aydınlatma metni kapsamında ALMİN ALÜMİNYUM PROFİL SANAYİ VE TİC.LTD.ŞTİ. şirketini ifade etmektedir.
Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
İlgili Kişi, Kişisel verisi işlenen gerçek kişiyi yani iş bu sözleşme kapsamında işçiyi ifade etmektedir.
İmha, Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
B. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
Kişisel verileriniz firmamız ile kurduğunuz diyaloglar ve iletişim kapsamlarında alınan bilgi ve belgelerden oluşmaktadır. Tarafımıza iletilen referans mektupları ve akdedilen ön sözleşme ve sözleşme, iş başvuru formları ve deneme süreli çalışma sözleşmeleri, internet sitesi çerez uygulamaları, internet sitesi üzerinden doldurulan online formlar, mobil uygulamalar, öneri/şikâyet formu, muhtelif sözleşmeler, mail ortamları başta olmak üzere çevrim içi iletişim kanallarından elde edilen bilgi, belge ve başvuru formları, güvenlik kameraları, mektup, ihtar, olay tutanakları ve işyeri kapsamında tutulan tutanak kapsamları başlıca veri toplama kaynaklarıdır. İş bu veriler veri politikamız ve Kurul kararları minvalinde Kişisel Verilerin Korunması Kanunu (KVKK) 5. Ve 6. madde kapsamındaki şartlar ve 4.madde kapsamında yerini bulan ilkeler göz önünde bulundurularak elde edilip işlenmektedir. Tüm bu süreçlerde orantılılık ve ölçülülük ilkeleri göz önünde bulundurularak gereksiz veri alımının önüne geçilmesi hedeflenmektedir.
C. KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel verilerin işlenmesi 6698 sayılı kanunun 3/e bendinde şu şekilde tanımlanmıştır:
‘’ Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,’’
Söz konusu kişisel veri niteliğindeki bilgilerin ne şekilde işleneceği aynı kanunun 5. maddesinde şu şekilde ifade edilmiştir:
‘’ (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’’
Yukarıda yer alan maddeler aynı zamanda kişisel verilerin işlenme şartları anlamına da gelmekte olup veri sorumlusu olarak tarafımız açısından bağlayıcıdır. Bu maddelerin kapsamına baktığımızda kanuni yükümlülüklerin ifasında, alenileştirilmiş verilerde ve kişilerin temel hak ve özgürlüklerine zarar vermediği müddetçe tarafımız meşru menfaatinin gerekli kıldığı hallerde verilerin işlenmesi için açık rıza aranmayacaktır.
D. ÖZEL NİTELİKTEKİ KİŞİSEL VERİ VE İŞLENME ŞARTLARI
Bazı veriler nitelikleri, doğası ve müdahale ettiği alan bakımından diğer kişisel haklara nazaran daha vazgeçilmez bir posizyonda bulunmaktadır. Bu nedenle iş bu hakların korunması ve işlenmesi söz konusu yasa kapsamında ayrıca ve sıkı şekil şartlarıyla birlikte düzenlenmiştir. Özel nitelikteki kişisel haklar kanunun 6/1 fıkrasında şu şekilde tanımlanmış ve sayılmıştır :
‘’Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.’’
Söz konusu hakların ne şekilde işlenebileceği ise aynı maddenin diğer fıkralarında şu şekilde ifade olunmuştur:
‘’ (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.’’
Kâr amacı gütmeyen siyasi parti, vakıf, dernek veya sendika gibi kuruluş ya da oluşumlar tarafından, yaptıkları faaliyetin gereği olarak özel nitelikte kişisel verilerin işlenmesi söz konusu olabilmektedir. Söz konusu kuruluş ve oluşumlar, kendi üye ve mensuplarına ait özel nitelikteki kişisel verilerini kuruluş amaçlarına uygum olarak yani amaçla sınırlı olarak yasalara uygun şekilde işleyebilecektir. Bir siyasi partinin üyelik bilgilerini saklaması özel nitelikte kişisel verinin işlenmesi demektir. Yukarıda da ifade edildiği üzere, söz konusu kuruluş ve oluşumlar ancak faaliyet alanları ve amaçlarıyla uygun bir şekilde iş bu verileri işleyebilecektir. Örnekle ifade etmek gerekirse, bir sendika sadece işçilerinin sendika üyelik kayıtlarını tutacak onların siyasi görüş veya sağlık durumlarına ilişkin özel nitelikteki verilerini işleyemeyecektir.
İlgili kişi tarafından özel nitelikteki kişisel veriler alenileştirilmiş yani kamuya açık hale gelmiş ise söz konusu verilerin işlenmesi mümkündür. Böyle bir durumda veri sorumlusunun sorumluluğuna gidilemeyecektir. Hakim olan görüşe göre, ilgili kişi bakımından bu gibi durumlarda hukuksal olarak korunan menfaat ortadan kalkmış bulunmaktadır. Burada dikkat edilmesi gereken husus alenileştirmenin kapsamıdır.
Kişisel verilerde olduğu gibi özel nitelikteki verilerde de bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması halinde rıza şartı aranmaksızın işlenme hukuka uygun kabul edilmektedir. Engelli işçi çalıştırma zorunluluğu olan bir işyerinin söz konusu çalışana ait verileri alması ve işlemesi yani ilgili kurum ve kuruluşlarla paylaşması halinde açık rızaya gerek bulunmamaktadır. Benzer şekilde ÖTV muafiyetinden faydalanarak araç almak isteyen engelli kişi yahut vasisinin söz konusu verileri Vergi Dairesi ile paylaşması ve dairenin verileri işlemesi halinde açık rıza şartı aranmayacaktır.
Şirket bünyesinde alınan özel nitelikli kişisel verilerin işlenme şartları ile ilgili bir değerlendirme yapıldığında söz konusu verilerin niteliği kanunun 6.maddesi baktığımızda önem arz etmektedir. Söz konusu kanun maddesinin ikinci fıkrasında özel nitelikli kişisel verilerin ancak açık rıza halinde işlenebileceği kaleme alınmıştır. Yani özel nitelikli kişisel verilerin işlenmesinde kural açık rızadır. Ancak söz konusu kanunun 6/3 fıkrasında sağlık ve cinsel hayata ilişkin veriler hariç kanunlarda açıkça öngörülen hallerde işlenebilecekleri kaleme alınmıştır. Sağlık ve cinsel hayata ilişkin veriler açısından kanunda yazan haller istisna olarak düzenlenmediğinden şirketimiz açısından iş bu verilerin işlenmesi sürecinde açık rıza aranmaktadır.
Peryodik muayene formları ile raporlar sağlık verileri olarak alınan başlıca verilerdir. Cinsel hayata ilişkin veriler alınmamaktadır. Firmamız tarafından aynı zamanda özel nitelikli kişisel verilerden adli sicil kayıtları içinde açık rıza alınmaktadır.
E. VERİ İŞLENMESİNE HAKİM OLAN TEMEL İLKELER
Gerçek kişilere ait kişisel verilerin tamamen veya kısmen otomatik kayıt yöntemlerinin kullanılması yahut otomatik olmayan yöntemlerle elde edilmesi, kısmen veya tamamen değiştirilmesi, kategorize edilmesi, aktarılması, kayıt altına alınması, saklanması, imha edilmesi şeklindeki her türlü işlem kişisel verilerin işlenmesi olarak adlandırılmaktadır. İş bu açıklamadan da anlaşılacağı üzere, elde edilen verinin başta elde edilmesi, saklanması, aktarılması ve imha edilmesi süreçlerinin hepsi verilerin işlenmesi demektir.
GDPR yani Avrupa Veri Tüzüğü başta olmak üzere uluslararası belgelerde kabul görmüş ve ülkelerin yetkili kılınmış kurul kararlarında yer almış kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunlardır:
• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Söz konusu ilkeler düzenleyici işlem yapma yetkisine sahip kurullar ve yargı mercileri tarafından esas alınarak uyuşmazlıklara uygulanmaktadır. Kişisel verilerin yasaya uygun elde edilip işlendiğinden bahsedebilmemiz için söz konusu verilerin yukarıda yer alan ilkeler ve ilkelerin özünde yer alan temel saiklerin göz ününde tutularak işlenmesi gerekmektedir.
F. TALEP EDİLEN KİŞİSEL VERİLER VE BUNLARIN SAKLANMA ŞEKİLLERİ
Veri sorumlusu olarak İş Kanunu, aramızda yapılan iş sözleşmesi ve işin gereği olarak özlük dosyanız oluşturulması ve sair nedenlerle aşağıdaki bilgilerin işçilerden alınması gereklidir. Talep edilecek bilgi ve belgeler şunlardır:
• İş sözleşmesi/ işletmeye ait yönetmelikler
• İşe giriş bildirgesi
• Kimlik fotokopisi
• İkametgah ilmühaberi
• Ehliyet ve sürücü sertifika bilgi ve belgeleri
• Adli sicil kaydı
• Sağlık raporu
• Resim
• Diploma ve eğitim belgeleri
• Eş ve çocukların kimlik fotokopileri/ bilgileri
• Peryodik muayene formu
• İzin formları
• İşçi veya işçinin müdahil olduğu tutanak ve olaylara ilişkin evraklar
• İmzalı bordrolar/ hesap pusulaları
• İletişim bilgileri ( mail, telefon vs) ve acil durumlar için bir yakının iletişim bilgileri
• Ödemeler için hesap bilgileri
• Sendika bilgileri
• Önceki işyeri kişisel sağlık dosyası
• Kredi derecelendirme kuruluşlarından alınan risk raporları (Findeks raporları gibi)
• Vukuatlı Aile Nüfus Kayıt Örneği (Boşanma ve eski eş bilgileri olmadan)
G. KİŞİSEL VERİLERİN SAKLANMASI VE İŞLENMESİNE DAYANAK HUKUKİ SEBEPLER VE AMAÇLAR
6698 sayılı Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Veri işlenmesine ve Veri İşlemenin Alt Başlıklarından Veri Saklanmasına Esas Hukuki Sebepler,
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Verilerin işlenmesine ve bir veri işleme olan verilerin saklanmasına dayanak kanunlar aşağıdaki gibidir;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 4734 sayılı Kamu İhale Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 5018 sayılı Kamu Mali Yönetimi Kanunu,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4982 Sayılı Bilgi Edinme Kanunu,
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4857 sayılı İş Kanunu,
• 5434 sayılı Emekli Sağlığı Kanunu,
• 6102 sayılı Türk Ticaret Kanunu
• 6502 sayılı Tüketicinin Korunması Hakkında Kanun
• 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde elde edilen kişisel veriler aşağıdaki amaçlar doğrultusunda saklanır ve işlenir;
• Şirket içi insan kaynakları süreçlerini yürütmek.
• Şirket içi iletişimi sağlamak.
• Şirket ve şirket çalışanları ile üçüncü kişi konumundaki gerçek ve tüzel kişilerin güvenliğini sağlamak.
• Şirket ve şirket çalışanları ile üçüncü kişi konumundaki gerçek ve tüzel kişilerin korunan yasal menfaatlerinin gerektirmesi.
• İstatistiksel çalışmalar yapabilmek risk değerlendirmelerinde bulunmak.
• Kurum içi etkinlik yönetimini sağlamak.
• İş ortakları, Nakliyeci veya Tedarikçiler ile olan ilişkilerin yönetimini sağlamak.
• Talep ve şikayet yönetimini yürütmek.
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
• 6698 sayılı kanun uyarınca tarafımıza yüklenen yükümlülükleri ifa etmek için gerekli bilgi ve belgeleri Kuruma iletmek için
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
• Şirket ile iş ilişkisinde bulunan gerçek ve tüzel kişilerle irtibat sağlamak.
• Şirketin üretim ve pazarlama politikaları kapsamında işlemleri yürütmek.
• Yasal raporlamalar yapmak.
• İleride doğması muhtemel uyuşmazlıklarda delil mahiyetinde maddi ve hukuki olguların ispatının sağlanmak.
• Söz konusu hesap ve kimlik verileri Bordro işlemlerinin takibini yapmak (muhasebe programında tutulmakta ve söz konusu program veri depolama alanında muhafaza edilmektedir).
• Teşvik ve sair çalışan/işçi lehine kanunu mali hakların korunması için 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu kapsamında kurum bildirimleri için süreç yönetiminin zorunlu kılması.
• Kişisel verileriniz ulaşım, araç tedariki, kartvizit basımı gibi sebeplerle ilgili çözüm ortağı veya üçüncü kişi ve firmalar ile amaçla sınırlı olarak Kurum içi iletişim ve faaliyetlerin sürdürülmesini sağlamak.
• Firma veya yasal şartların oluşması halinde üçüncü kişilerin yasal haklarını korumak
• Bordro veya sağlık bilgileri bakımından ilgili kurum denetçileri için denetim faaliyetlerinin mevzuata uygun yürütülmesini sağlamak.
• İlgili kişinin yakını ve ailesine ait iletişim bilgilerinin acil süreç yönetimlerini sağlamak.
• İşe giriş çıkışları takip etmek.
• Fiziksel mekan güvenliği ve ağ güvenliğini sağlamak.
• Şirket araçlarının tashihi için uygun personeli belirlemek.
• Eğitim süreçlerinin takibini yürütmek.
• İŞKUR, SGK başta olmak üzere işçi lehine veri paylaşılmasının zorunlu olduğu kamu kurum ve kuruluşlara karşı yükümlülükleri ifa etmek.
• Başta düzenleyici ve denetleyici kurum ve kuruluşlar olmak üzere kamu kurum ve kuruluşlarının talep ettiği bilgi ve belgelerin ilgili kurumlara teminini sağlamak.
• Adli mercilerin talepleri doğrultusunda istenilen bilgi ve belgelerin adli makamlar ile paylaşılmasını sağlamak.
• Özlük dosyalarını oluşturmak.
• Görevlendirme süreçlerini yönetmek.
• Yetki matrisi oluşturmak.
Yukarıdaki amaçlar doğrultusunda elde edilen veriler veri sorumlusunun gözetiminde gizlilikleri korunarak yasal süreler içerisinde veri işleyenler tarafından korunacaktır. Şirketimiz veri işleyenleri şunlardır:
• Şirketimiz muhasebe departmanı/birimi
• Şirketimiz insan kaynakları departmanı/birimi
• Şirketimiz disiplin kurulu
• Şirketimiz Kişisel Verilerin Korunmasından Sorumlu kişiler
• Şirketimiz irtibat kişisi (bu kişi aynı zamanda kişisel verilerin korunmasından sorumlu kişidir)
• İşe alımlarda ve şirket içi yetkilendirme ile işçi görüşmelerinde idari personel
• Şirket doktoru
• Performans değerlendirmeleri bakımından birim şefleri
• Şirket avukatları
• Mali müşavirler
• Özel hizmet sağlayıcıları
• IT depertmanı
• Teknik personel
• Pazarlama Departmanı
Söz konusu işin niteliğine göre başka kişilerde veri işleyen olarak halin ve işin icabı gereği bu statüye girebilir. Her kim veri işleyen sıfatını almış ise ilgili mevzuat gereği veri güvenliğini sağlamaya çalışacak olup söz konusu verileri amaçla sınırlı olarak kullanacaktır. Örneğin, sağlık kayıtları muhasebe birimi tarafından incelenmeyecektir.
Kişisel veriler veri işleyenler tarafından herkesin ulaşamayacağı yerde sadece işleyen kişiye tahsisli anahtarla kilitli olarak muhafaza edilecektir. Söz konusu verilerin güvenlikleri 24 saat usulü çalışan kameralarla sağlanacaktır.
Kişisel verilerin işlenme ve münhasıran saklanma süreçlerinde alınan teknik ve idari tedbirlere uzantılı internet sitesinde KVKK üst başlığı altında yer alan KVKK İmha Politikası ve KVKK politikası başlıklarında yer alan açıklamalardan ulaşabilirsiniz.
H. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ VE İMHALARI
Şirketimiz bünyesinde verilerin imhası için yılın Ocak ve Temmuz ayları imha dönemleri olarak belirlenmiştir. İlgili kişilerden elde edilen kişisel veriler saklama sürelerinin bitiminden itibaren takip eden imha dönemi içinde şirket bünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından silinecek, yok edilecek veya anonim hale getirilecektir. İmha işlemine ilişkin tutanaklar bağımsız bir yerde şirket bünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından 3 (üç) yıl süreyle tutulacaktır. Üç yıl sonra söz konusu tutanaklarda imha edilecektir. İmha işlemine ilişkin 28 Ekim 2017 tarih ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri esas alınacaktır. İmha ile alakalı detaylı bilgiye https:// www.alminprofil.com.tr/ KVKK-1.html uzantılı web sitemizde yer alan KVKK İmha Politikası başlığından ulaşabilirsiniz.
İmhayı gerektiren sebepler şunlardır:
• Söz konusu verinin işlenmesine dayanak ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
• Verinin işlenmesine ve saklanmasına dayanak teşkil eden amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• İlgili kişinin 6698 sayılı 11.madde kapsamında verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için şirkete yaptığı başvurunun kabul edilmesi halinde,
• Şirkete yapılan anonim hale getirme, imha veya yok edilme talebinin uygun bulunmaması halinde Kurula yapılan şikayette ilgili kişi talebinin kabul edilmesi halinde,
• Saklama süresinin bitmesi ve daha uzun süre saklamayı haklı kılacak herhangi bir şartın somut olay özelinde bulunmaması
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
İşçilerden alınacak kişisel veriler niteliklerine göre farklı zaman dilimlerinde saklanıp imha edilirler. İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri, Hizmet akdinin devamında ve hitamından itibaren de 15(on beş) yıl müddetle muhafaza edilir. Bu sürenin bitiminden sonraki imha dönemi içinde de söz konusu veriler imha edilirler. İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri, Hizmet akdinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10 (on) yıl müddetle muhafaza edilir. Bu sürenin bitiminden sonraki imha dönemi içinde de söz konusu veriler imha edilirler. İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler, Hizmet akdinin devamında ve hitamından itibaren 15 (on beş), ölümlü iş kazası var ise 20 (yirmi) yıl, eğer iş kazası bir ceza davası da söz konusu ise 30 (otuz) yıl müddetle muhafaza edilir. Bu sürenin bitiminden sonraki imha dönemi içinde de söz konusu veriler imha edilirler. Söz konusu imha ve saklanma politikalarına ilişkin detaylı özellikle saklama sürelerine ilişkin açıklamalara internet sitemizde yer alan KVKK İmha Politikası adlı başlıktan ulaşılabilir.
İlgili kişi, Kanunun 13’ncü maddesine istinaden ALMİN ALÜMİNYUM PROFİL SANAYİ VE TİC.LTD.ŞTİ. başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde1 gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Şirket’in talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Şirket, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. İlgili kişinin kuruma şikayet hakkı saklıdır. Bu bağlamda ilgili kişiler taleplerin reddedildiğini öğrenmelerinden itibaren Kurula 60 (altmış gün) içinde başvurabilir.
3. Bu çerçevede “yazılı” olarak Şirketimize yapılacak başvurular,
• Başvuru Sahibinin şahsen başvurusu ile,
• Noter vasıtasıyla,
• Başvuru Sahibince 5070 Sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” ile imzalanarak
• Şirket kayıtlı elektronik posta adresine gönderilmek suretiyle, tarafımıza iletilebilecektir.
İş bu aydınlatma metni kapsamında bahsedilen haklarınızı kullanmak üzere talep ve şikayetlerinizi iletmek için iletişim bilgilerimize iş bu aydınlatma metni içinde İLGİLİ KİŞİ OLARAK İŞÇİNİN HAKLARI başlığı altında ayrıntılı olarak yer verilmiştir.
I. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verilerin ülke sınırları içinde ne şekilde ve ne şartlar altında üçüncü kişilere aktarılacağı Kişisel Verilerin Korunması Kanunu’nun 8.maddesi kapsamında düzenlenmiştir. İş bu maddeye göre ancak kişilerin açık rızalarının olması halinde kişisel verilerin aktarılması mümkündür. Ancak yine aynı kanun maddesinde 5.ve 6. madde kapsamındaki şartların olması halinde açık rıza olmaksızın da kişisel verilerin aktarılabileceğini kaleme alınmıştır. Söz konusu kanun maddelerinin birlikte yorumlanmasından çıkan sonuç;
• İlgili kişinin açık rızasının alınması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde kişisel verilerin aktarılabilmesi mümkündür.
Özel nitelikteki kişisel verilerin aktarılabilmesi için ise;
• İlgili kişinin açık rızasının alınması halinde,
• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
• Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından özel nitelikteki kişisel veriler üçüncü kişilere aktarılabilir.
Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir. Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de Kanunun 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.
Kişisel verilerin şirketimiz faaliyet kapsamı ve ticari menfaatleri kapsamında kişisel verileri yurt dışındaki kamu ve özel tüzel kişilere yasal şartlar minvalinde aktarması mümkündür. Kanun’un 9. maddesine göre, yurt dışına veri aktarımı;
• İlgili kişinin açık rızasının bulunması,
• Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler),
• Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir.
Yukarıdaki açıklamalar ışığında söz konusu veriler şirketimiz ilgili personeli, şirket yöneticileri, kullandığımız yurt içi server (sunucular), veri sorumlusu adına veri işleyen, ölçümleme, hedefleme, profilleme desteği veren kişi ve kuruluşlar, avukatlar, denetim şirketleri iş ve çözüm ortakları, tedarikçiler, adli merciler, düzenleyici ve denetleyici kurumlar ve resmi merciler ile paylaşılabilecektir.
İşlenen verilerden ad soyad, telefon, adres, konum, sağlık raporları şeklindeki veriler çevrim içi veri aktarımı yapan haberleşme, depolama ve iletişim programları tarafından kullanılan yurt dışı serverları ve veri merkezleri ile paylaşılabilecektir.
Çevrim içi veri aktarımı yapan haberleşme, depolama ve iletişim programları tarafından kullanılan yurt dışı serverları ve veri merkezleri bakımından verilerin aktarıldığı ülke çeşitlilik göstermekle birlikte Google ve Microsoft Tabanlı Çevrim İçi uygulamaların yönetim merkezi Amerika Birleşik Devletleri olup, Yandex’in yönetim merkezi Rusya’dır. Yine Whats App uygulaması bakımından söz konusu merkez Amerika Birleşik Devletleri iken Telegram açısından Rusya’dır.
J. İLGİLİ KİŞİ OLARAK İŞÇİNİN HAKLARI
Verisi işlenen ilgili kişi olarak haklarınız 6698 sayılı kanunun 11.maddesinde şu şekilde kaleme alınmıştır;
• Hakkınızda kişisel veri işleyip işlemediğimizi öğrenebilir, eğer işliyorsak veya işlemişsek, buna ilişkin bilgi talep edebilirsiniz.
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenebilirsiniz.
• Kişisel verilerinizin yurt içi veya yurt dışına aktarılıp aktarılmadığını ve kimlere aktarıldığını öğrenebilirsiniz.
• Yanlış ve eksik kişisel verilerinizin düzeltilmesini ve bu verilerin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep edebilirsiniz.
• Kişisel verilerinizin KVKK madde 7’de öngörülen şartlar çerçevesinde imha edilmesini (silinmesini, yok edilmesini veya anonim hale getirilmesini) talep edebilirsiniz. Ancak imha talebinizi değerlendirerek hangi yöntemin uygun olduğu somut olayın koşullarına göre tarafımızca değerlendirilecektir. Bu bağlamda seçtiğimiz imha yöntemini neden seçtiğimiz ile ilgili bizden her zaman bilgi talep edebilirsiniz.
• Kişisel verilerinizin aktarıldığı veya aktarılabileceği üçüncü kişilerin söz konusu imha talebiniz ile ilgili bilgilendirilmesini talep edebilirsiniz.
• Münhasıran bir otomatik sistem kullanılarak oluşturulmuş kişisel veri analizinizin sonuçlarına bu sonuçlar çıkarlarınıza aykırıysa itiraz edebilirsiniz.
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep edebilirsiniz.
Veri sorumlusu olarak tarafımız 6698 sayılı kanunun uyarınca ilgili kişi tarafından yapılan başvuruları işleme alıp değerlendirmek zorundadır. Kişisel Veri İhlaline Konu Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin Şirket için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen tarifedeki ücret alınabilecektir.
Başvuru yapılması ve şirket tarafından başvurunun reddedilmesi halinde ret kararının tarafınıza ulaştığı tarihten itibaren otuz gün içinde Kişisel Verilerin Korunması Kuruluna başvurma hakkınız bulunmaktadır. Veri Sorumlusu olarak tarafınıza 30 gün içinde her hangi bir bildirim yapılmaz ise, otuz günün dolduğu tarihten itibaren 30 gün içinde Kurula başvuruda bulunulabilecektir. Başvuru sürelerine ilişkin bir kargaşanın oluşmaması için, Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararına bakmakta fayda vardır, söz konusu karar şu şekildedir;
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
Kişisel verilerinizin işlenmesi ile ilgili hususlarda başvurunuzu Şirketin internet adresinde bulunan başvuru formunu doldurarak veya Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ ’in 5. Maddesinde belirtilen usul ve esaslara uymak kaydı ile aşağıdaki yöntemlerle yapabilirsiniz:
• Yazılı ve imzalı olarak noter veya iadeli taahhütlü olarak
• Kayıtlı elektronik posta (KEP) adresinizden göndereceğiniz e-posta ile
• Güvenli elektronik imza veya mobil imza ile
• Mail adresine yapacağınız bildirim ile
• 0312 267 58 80 numaralı hatta yapacağınız bildirim ile
Yukarıdaki bildirimler için size verilen kayıt numaralarının dosya ve işlem takibi açısından kaybedilmemesinde fayda olup tarafımıza yapılan bildirimlere aynı yöntem veya iadeli taahhütlü olarak geri bildirimde bulunabilecektir.
Başvuru yapılabilmesi için Ver Sorumlusunun bilgileri aşağıdaki gibidir:
Unvan : ALMİN ALÜMİNYUM PROFİL SANAYİ VE TİC. LTD. ŞTİ.
Mersisno : 0-0550-4031-2600017
E-mail adresi : bilgiislem@alminprofil.com.tr
Posta Adresi: ASO 1. Org. San. Bölg. Dağıstan Cad. No:9 Sincan/ANKARA
Tel: 0312 267 58 80
Tarafımızca ilgili kişilere ait verilerin usul ve yasalara aykırı olarak elde edildiklerinin anlaşılması yahut bu konuda makul bir şüphe olması halinde KVKK 12.madde uyarınca en kısa sürede kurula bildirilecektir. En kısa süreden anlaşılması gereken 2 72 saattir.
K. GÜNCELLEME VE UYUM
Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar. Söz konusu politikalar kapsamında bir değişiklik olduğunda bunlar ilan suretiyle işçilere bildirilecek olup eski politikaların onaylı suretleri 3 (üç) yıl süreyle tutulacaktır.
İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.
Firmamıza yapabileceğiniz şikayet formuna, KVK Kurumuna yapabileceğiniz şikayet formuna, İş bu aydınlatma metni ve KVKK Politikalarına şu linkten/linklerden; https:// www.alminprofil.com.tr/ KVKK-1.html ulaşabilirsiniz.
------------------------Dipnotlar------------------
1- Veri Sorumlusuna Başvuru ve Kurula Şikayet Sürelerinin Hesaplanmasına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararında şu ilkelere yer verilmiştir:
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği, hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.
2- Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;
Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,