A. ŞİRKET AÇIKLAMASI
Veri sorumlusu ALMİN ALÜMİNYUM PROFİL SANAYİ VE TİC.LTD.ŞTİ olarak firmamız bünyesinde işlenen her türlü kişisel veri 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili ulusal ve uluslararası mevzuat hükümleri kapsamında korunmaktadır. Şirketimiz gerekli korunmanın sağlanması adına teknik ve idari tedbirleri vaktinde gereği gibi almakta olup her hangi bir ihlal şüphesi karşısında yasal hükümler çerçevesinde ilgili şahıslara, kurum ve kuruluşlara gerekli bildirimleri en kısa sürede yapmaktadır.
Veri Sorumlusunun bilgileri aşağıdaki gibidir:
Unvan : ALMİN ALÜMİNYUM PROFİL SANAYİ VE TİC. LTD. ŞTİ.
Mersisno : 0-0550-4031-2600017
E-mail adresi : bilgiislem@alminprofil.com.tr
Posta Adresi: ASO 1. Org. San. Bölg. Dağıstan Cad. No:9 Sincan/ANKARA
Tel: 0312 267 58 80
B. POLİTİKA OLUŞTURMANIN ZORUNLULUĞU VE AMACI
Uzun bir süreç içinde gelişen insan hakları kapsamında bizi biz yapan değerlerin yani kişisel verilerin önemi geldiğimiz dünyada ayrıca bir önem kazanmış olup, gerek ceza gerekse tazminat hukuku bağlamında korunması için yasal mevzuatlar hazırlanmıştır. Bilişim Teknolojileri alanında görülen hızlı ilerleme söz konusu kişisel verilerin paylaşılmalarını kolaylaştırmış ve keyfi uygulamaların gelişmesine sebebiyet vermiştir. Bu bağlamda keyfiliğin önüne geçilmesi maksadıyla gerekli yasal ve idari düzenlemeler yapılarak kurumların veri koruma politikaları belirlemeleri yasal zorunluluk haline getirilmiştir. Böylece kişilerin kişisel verilerinin keyfi kullanımının önüne geçilerek veri işlemelerinin belirli şarta bağlanması sağlanmıştır.
C. MUHATAP TANIMLAMASI
İş bu aydınlatma ve bilgilendirme metni şirketimizle her hangi bir şekilde ilişki kuran tüm muhataplara kanuni karşılığıyla ilgili kişilere hitaben yapılmaktadır. Bu kapsamdaki ilgili kişiler şunlardır:
Şirketimize tarafından sunulan dijital veya fiziksel kanallarla bağlanan ve bu iletişim kanallarını kullanan tüm kullanıcılar (Firmamız internet siteleri ve sosyal paylaşım siteleri uzantıları şunlardır:
https:// www.alminprofil.com.tr/ KVKK-1.html,
https:// www.facebook.com/ almin.profil/ ?modal=admin_todo_tour,
https:// www.instagram.com/ almin_profil/ ,
https:// www.instagram.com/ almin_profil/)
• Şirket’in ofis, depo ve mağazalarındaki ve şirket üretim tesisindeki misafir ağına (wifi) bağlananlar
• Şirket Mobil uygulamalarını kullananlar ile şirket tahsisli özel programları kullananlar
• Şirket veri tabanında (CRM Sisteminde) yer alan tüm müşteriler
• Şirket mağazalarından ya da internet siteleri kanallarından alışveriş yapan müşteriler
• Şirket mağazalarımızı herhangi bir amaçla ziyaret edenler
• Şirket sosyal medya hesaplarından ŞİRKET ile iletişime geçen (yorum paylaşan, talepte bulunan dahil bunlarla sınırlı olmamak kaydıyla) tüm müşteriler
• Şirketimizle doğrudan veya aracı danışmalık firmaları vasıtasıyla ticari ilişki içine giren üçüncü kişiler
• Şirket ortakları
• Şirketimiz nezdinde adaylık sürecinde olanlar
• Şirket bünyesinde stajyerlik yapanlar
• Şirket’in müşterilerine tanıdığı fırsatlardan yararlanmak amacıyla anket, form dolduran tüm müşteriler
• Şirket’e iş başvurusunda bulunmak amacıyla kariyer portallarından, İŞKUR, e-posta aracılığı ile, referans aracılığı ile, fiziki olarak başvuru formu doldurmak sureti ile özgeçmiş gönderen çalışan adaylarımız,
• Hali hazırda Şirket bünyesinde çalışmaya devam eden çalışanlar
• Şirketimiz nezdinde staj yapan yahut deneme süresi içinde çalışan kişiler
• Herhangi bir sebeple iş akdi sona ermiş eski çalışanlar
• Ticari faaliyetimiz kapsamındaki tüm iş ortaklarımıza ve bunların çalışanlarına
• Yüz yüze, mesafeli, sözlü, yazılı ya da elektronik yolla kişisel verilerini şirket ile paylaşmış/paylaşacak; doğrudan vermiş/verecek veya şirket tarafından elde edilmesine olanak sağlamış/sağlayacak olan tüm gerçek kişiler,
• Şirket faaliyetleri kapsamında tedarikçi ve nakliyeci firmalar,
• Şirket bünyesinde yürütülmeyen veya yürütülmesi ayrıca masraf olan konularda dışardan hizmet alınan çözüm ortakları,
• Şirket avukatı, mali müşavirler,
Yukarıda yer verilen ilgili kişiler haricinde de firmamızla herhangi bir hukuki, insani, ticari yahut sair bir ilişki içerisine giren herkes işbu metnin muhatabıdır.
Şirketimiz tarafından sunulan hizmetler kapsamında elde edilen kişisel veriler (online form ortamları yahut kasada firmamıza tahsisli … uygulaması üzerinden işlenen veriler) kesinlikle üçüncü kişilerle paylaşılmamakta olup, ilgili kişilere imzalatılan aydınlatılmış rıza metinleri ile yasal yükümlülükler kapsamında sadece ilgili veri işleyenler tarafından gizlilik ve güvenlik politikalarımız çerçevesinde muhafaza edilmektedir. İşin gereği yahut açık rızanın varlığı hallerinde söz konusu bilgileriniz nakliye firması gibi destek saylayıcı firmalar yahut hizmet sağlayıcılarla gizlilik politikaları kapsamında paylaşılabilecektir.
D. KİŞİSEL VERİLERİN İŞLENMESİ VE VERİ İŞLENMESİNE HAKİM OLAN TEMEL İLKELER
Gerçek kişilere ait kişisel verilerin tamamen veya kısmen otomatik kayıt yöntemlerinin kullanılması yahut otomatik olmayan yöntemlerle elde edilmesi, kısmen veya tamamen değiştirilmesi, kategorize edilmesi, aktarılması, kayıt altına alınması, saklanması, imha edilmesi şeklindeki her türlü işlem kişisel verilerin işlenmesi olarak adlandırılmaktadır. İş bu açıklamadan da anlaşılacağı üzere, elde edilen verinin başta elde edilmesi, saklanması, aktarılması ve imha edilmesi süreçlerinin hepsi verilerin işlenmesi demektir.
Kişisel verileriniz şirketimiz bünyesindeki ticari faaliyetin, iş yeri düzeni ve genel işleyişin gerekleriyle bağlantılı olarak 4857 sayılı İş Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu başta olmak üzere sair kanunlardaki hükümler kapsamında işlenmektedir. Söz konusu veriler, iş sözleşmesi, ticari sözleşmeler, sair akdi ilişkiler kapsamındaki bilgiler ile tarafın özlük dosyası, tarafınızca sunulan bilgi ve belgeler ile ilgili kurumlardan yasal olarak elde edilen yahut kurumlarca tarafımıza bildirilen bilgi ve belgelerden elde edilmektedir. Yine söz konusu veriler veri sorumlusu şirketimiz denetim ve sorumluluğunda veri işleyenler İnsan Kaynağı, Veri Koruma Birimi (DPO), Çağrı Merkezi, Muhasebe, Bilgi İşlem, Destek Hizmetleri ile diğer hizmet birimi/birimleri personel veya personelleri tarafından münhasır amaçlarıyla sınırlı olarak yasal çerçeveler içinde işlenmektedir. Yine kurum doktoru ve avukat/avukatları tarafından da işin gereği ve yasal gerekler minvalinde amaçla sınırlı olarak verilerin işlenmesi söz konusu olabilmektedir.
GDPR yani Avrupa Veri Tüzüğü başta olmak üzere uluslararası belgelerde kabul görmüş ve ülkelerin yetkili kılınmış kurul kararlarında yer almış kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunlardır:
• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Söz konusu ilkeler düzenleyici işlem yapma yetkisine sahip kurullar ve yargı mercileri tarafından esas alınarak uyuşmazlıklara uygulanmaktadır. Kişisel verilerin yasaya uygun elde edilip işlendiğinden bahsedebilmemiz için söz konusu verilerin yukarıda yer alan ilkeler ve ilkelerin özünde yer alan temel saiklerin göz ününde tutularak işlenmesi gerekmektedir.
E. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel verilerin işlenmesi 6698 sayılı kanunun 3/e bendinde şu şekilde tanımlanmıştır:
" Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,"
Söz konusu kişisel veri niteliğindeki bilgilerin ne şekilde işleneceği aynı kanunun 5. maddesinde şu şekilde ifade edilmiştir:
‘’ Kişisel verilerin işlenme şartları MADDE 5-
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’’
F. ÖZEL NİTELİKTEKİ KİŞİSEL VERİ VE İŞLENME ŞARTLARI
Bazı veriler nitelikleri, doğası ve müdahale ettiği alan bakımından diğer kişisel haklara nazaran daha vazgeçilmez bir posizyonda bulunmaktadır. Bu nedenle iş bu hakların korunması ve işlenmesi söz konusu yasa kapsamında ayrıca ve sıkı şekil şartlarıyla birlikte düzenlenmiştir. Özel nitelikteki kişisel haklar kanunun 6/1 fıkrasında şu şekilde tanımlanmış ve sayılmıştır :
"Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir."
Söz konusu hakların ne şekilde işlenebileceği ise aynı maddenin diğer fıkralarında şu şekilde ifade olunmuştur:
"(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır."
Kâr amacı gütmeyen siyasi parti, vakıf, dernek veya sendika gibi kuruluş ya da oluşumlar tarafından, yaptıkları faaliyetin gereği olarak özel nitelikte kişisel verilerin işlenmesi söz konusu olabilmektedir. Söz konusu kuruluş ve oluşumlar, kendi üye ve mensuplarına ait özel nitelikteki kişisel verilerini kuruluş amaçlarına uygum olarak yani amaçla sınırlı olarak yasalara uygun şekilde işleyebilecektir. Bir siyasi partinin üyelik bilgilerini saklaması özel nitelikte kişisel verinin işlenmesi demektir. Yukarıda da ifade edildiği üzere, söz konusu kuruluş ve oluşumlar ancak faaliyet alanları ve amaçlarıyla uygun bir şekilde iş bu verileri işleyebilecektir. Örnekle ifade etmek gerekirse, bir sendika sadece işçilerinin sendika üyelik kayıtlarını tutacak onların siyasi görüş veya sağlık durumlarına ilişkin özel nitelikteki verilerini işleyemeyecektir.
İlgili kişi tarafından özel nitelikteki kişisel veriler alenileştirilmiş yani kamuya açık hale gelmiş ise söz konusu verilerin işlenmesi mümkündür. Böyle bir durumda veri sorumlusunun sorumluluğuna gidilemeyecektir. Hakim olan görüşe göre, ilgili kişi bakımından bu gibi durumlarda hukuksal olarak korunan menfaat ortadan kalkmış bulunmaktadır. Burada dikkat edilmesi gereken husus alenileştirmenin kapsamıdır.
Kişisel verilerde olduğu gibi özel nitelikteki verilerde de bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması halinde rıza şartı aranmaksızın işlenme hukuka uygun kabul edilmektedir. Engelli işçi çalıştırma zorunluluğu olan bir işyerinin söz konusu çalışana ait verileri alması ve işlemesi yani ilgili kurum ve kuruluşlarla paylaşması halinde açık rızaya gerek bulunmamaktadır. Benzer şekilde ÖTV muafiyetinden faydalanarak araç almak isteyen engelli kişi yahut vasisinin söz konusu verileri Vergi Dairesi ile paylaşması ve dairenin verileri işlemesi halinde açık rıza şartı aranmayacaktır.
G. TALEP EDİLEN KİŞİSEL VERİLER VE BUNLARIN İŞLENME AMAÇLARI
İlgili kişilerle akdedilen sözleşmeler, kurulan hukuki ilişkinin yasal gereği olarak tarafların bir birlerine sundukları bilgi ve belgeler, internet ortamında ya da fiziken doldurulan formlar, çağrı merkezi yahut ilgili birim temsilcimize bırakmış olduğunuz bilgiler, çerez politikası kapsamında elde edilen veriler ile sair temaslardan elde edilen bilgi ve belgeler başlıca veri kaynaklarıdır.
Yine dijital ortamlarda müşterilere ve diğer üçüncü kişilere daha iyi hizmet verme ve lehlerine olacak şekilde indirim ve sair fırsatlardan haberdar etmek için çerez politikaları uygulanmaktadır. Çerezler: bir web sayfası ziyaret edildiği zaman tarayıcılardaki kullanıcıların depolandığı küçük dosyalardır. Kişilerin web siteleri üzerinde aradıklarını tarayıcı geçmişinde kayıt tutar. Site üzerindeki hareketleri tarayıcı kayıtlarında tutarak bir web sitesine izin verir. Cookies 1994 yılında Netscape firması tarafından kullanılmaya başlanmıştır. İlk kullanım amacı bir kullanıcının girdiği siteye, tekrar girip girmediğini kontrol etmek içindi. Günümüzde cookies esas amacından fazla sapmadan fakat çok daha fazla bilgi almak için kullanılmaktadır. Hatırlanmamızı sağlayan cookies yani çerez ya da kurabiye dediğimiz text dosyalarıdır. Bilgilerimiz bu dosyalara yazıldığında aynı sitelere girdiğimizde bizi tanıyarak tekrar bilgilerimizi yazmaya gerek kalmaz. İnternette çeşitli web sitelerinde dolaşır, bazılarına üye oluruz. Üye olduğumuz bu sitelere girerken her seferinde kullanıcı adı ve şifremizi girmemek için beni hatırla ikonuna tıklarız. Bu ikona tıkladığımız andan itibaren çerezler devreye girer. Bize özel text dosyasına bilgilerimiz kaydedilir. Cookies’lerden okunan bilgiler sayesinde, siteyi açtığımız andan itibaren bilgilerimiz siteye ulaşır ve bizi tanır. Şirketimiz bünyesinde ayrıca bir çerez politikası mevcut olup bu politikalara şu linkten ulaşabilirsiniz; https:// www.alminprofil.com.tr/ KVKK-1.html
Söz konusu çerez politikası ve sanal ortamlardan elde edilen verileriniz pazarlama ve reklam politikalarının oluşturulması amacıyla sınırlı olarak yasal hükümler çerçevesinde korunacaktır. Yine iş başvuruları, eğitim amaçlı sanal ortamda doldurulan formlar, anketler ve sair bilgi edinme formları münhasır amaçlarıyla sınırlı olarak yasal çerçevelerde korunacaktır. İnsan Kaynakları politikasının yürütülmesi çerçevesinde söz konusu veriler sadece bu departman bünyesinde bu amaçla ayrıca işlenebilecektir. Formlarda bildirim olması halinde bünyemizdeki başka bir veri işleyen birim tarafından da verilerin değerlendirilmesi söz konusu olabilecektir. Yine müşterilerle girilen hukuki ilişkinin gereği olarak söz konusu veriler kullanılabilecektir. Örneğin, teslimat yapılacaksa ikamet adresi ve kimlik bilgileri bankadan ödeme alınacaksa yahut yapılacak müşteri hesap bilgisi, kredi kartı bilgisi gibi.
Talep edilen veriler ilgili kişilerin şirketimizle kurdukları ilişkilere göre çeşitlilik göstermekle birlikte başlık olarak şu şekilde kategorize dilebilir:
Kimlik Verileri | Bir veya birden fazla gerçek kişiye ait otomatik, kısmen otomatik veya otomatik olmayan yöntemlerle işlenen kişi ya da kişileri belirli veya belirlenebilir hale getiren bilgilerdir. Söz konusu bilgilerden kişilerin sadece TC Kimlik bilgileri değil aynı zamanda kimlik yerine geçen belgelerde yer alan bilgilerde bu kapsama girmektedir. Örnek olarak ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren sürücü belgesi, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası gibi veriler gösterilebilir. |
İletişim Verileri | Bir veya birden fazla gerçek kişiye ait otomatik, kısmen otomatik veya otomatik olmayan yöntemlerle işlenen kişi ya da kişilerin birbirleriyle irtibat ve iletişim kurmalarını sağlayan verilerdir. Telefon numarası, adres, e-mail adresi, faks numarası, IP adresi ve kullanılan haberleşme uygulamalarına göre (ZOOM ve Teamwiever gibi) tanımlı ID numaraları gibi bilgiler |
Aile Bireyleri ve Yakın Verileri | Otomatik veya kısmen otomatik olan bir sistem veya otomatik olmayan bir yöntem kapsamında kimliği belirli veya belirlenebilir gerçek kişi veya kişilerden alınan aile ve yakın bilgileri. Burada bahsedilen yakın bilgilerinden anlaşılması gereken verisi işlenen ilgili kişinin kendisi ile alakalı süreçlerde irtibat kurmasına rıza gösterdiği kişilerdir. Akrabalık ilişkisi şart değildir. İş bu veriler şirket süreç yönetiminin sağlanması, acil durumlarda kriz sürecinin idare edilmesi ve yasaların şart koşmasından kaynaklı olarak işlenmektedir |
Güvenlik Verileri | Şirket fiziki yerleşkesi içerisinde, otomatik veya kısmen otomatik olan bir sistem veya otomatik olmayan bir yöntem kapsamında kimliği belirli veya belirlenebilir gerçek kişi veya kişilerden alınan giriş çıkış kayıtlarına ilişkin veriler; kamera kayıtları, kartlı giriş çıkış kayıtları ve güvenlik noktasında alınan ilgili personel defterine işlenen bilgiler. |
Mali Veriler | Otomatik ya da Otomatik olmayan yöntemlerle gerçek kişilerden alınan finansal duruma ilişkin her türlü bilgi ve belge mali veri olarak adlandırılmaktadır. Söz konusu alınan veri şirket ile kurulan diyaloglar kapsamında çeşitlenmektedir. Örneğin, şirkete girerken Findex verileri kapsamında risk durumunun sorulması, iş akdinin imzalanmasından sonra maaş için hesap yani IBAN bilgilerinin kullanılması gibi. |
Görsel/İşitsel Veriler | Gerçek kişi veya kişilere ait görsel ve işitsel kayıt ortamlarından elde edilen veriler ve bu verilerin saklandığı ortamlar. Şirketimiz bünyesinde yer alan kameralarda sadece görsel kayıt yapılmaktadır. Ses kaydı bulunmamaktadır. |
Özlük Verileri | Şirketimiz ile kurmuş olduğunuz akdi ilişkiye dayanak olarak ve İş Kanunu 75.maddesi kapsamında özlük dosyası kapsamında alınan veriler bu gruba girmektedir. Söz konusu veriler kimlik bilgilerinden sağlık verilerine kadar geniş bir yelpazeyi oluşturmaktadır. |
Özel Nitelikli Kişisel Veriler | Gerçek kişilere ait olan otomatik, yarı otomatik veya otomatik olmayan yöntemlerle işlenen KVK Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi). Şirketimiz bünyesinde dermek, vakıf, sendika dini veya felsefi inanca ilişkin özel nitelikteki kişisel verilerden hiçbiri işlenmemektedir. Sadece kılık kıyafet verisi, sağlık verisi ve adli sicil kaydı şeklinde özel nitelikli kişisel veriler işlenmektedir. |
Talep/Şikâyet Yönetimine İlişkin Veriler | Şirket talep ve şikayet süreci içinde otomatik, yarı otomatik veya otomatik olmayan yöntemlerle elde edilen veriler. |
İmza ve Sair El Yazısı Bilgi ve Kayıtları | Bilgileri Kullanıcı tarafından belirlenecek veri türleri, form yazıları, şikayet dilekçeleri v.b. (Kişisel Veri). (Dijital imza olması hallinde Özel Nitelikte Kişisel Veri) Şirket nezdinde dijital imza uygulaması bulunmamaktadır. |
Lokasyon Verileri | Gerçek kişi veya kişilere ait konum bilgileri lokasyon verileri olarak değerlendirilmektedir. Söz konusu veriler yazılımsal uygulamalar sayesinde işlenmektedir. Şirket faaliyet alanı kapsamında ürünlerin takibi ve çıkışları iş bu uygulamalar vasıtasıyla takip edilebilir. Bu sayede ürünlerin güvenlikleri de sağlanmış olmaktadır. |
Hukuki İşlem Verisi | Şirket çalışanlarının ve tarafımızın taraf olduğu hukuki uyuşmazlıklara delil olmak üzere elde edilen ve adli merciler nezdinde kullanılan veriler bu grup verilere girmektedir. Örneğin, fazla ücret alacağına ilişkin bir davada işçinin alacağım yoktur imzalı kağıdı ile imzalı bordrolar bu duruma örnek olarak gösterilebilir. |
Mesleki Deneyim | Şirket işe alım süreçlerinin ifası adına geçmiş deneyimler öyküleme şeklinde aday çalışanlardan alınmaktadır. |
Risk Yönetimine İlişkin Veriler | Teknik ve idari tedbirlerin ifası adına gerek rutin gerekse rutin dışı denetimlerde ilgili çalışanların çalışma usulleri ve çalıştıkları ortamlar denetlenmektedir. Bu süreç içinde kişisel veriler işlenebilmektedir. Tutanaklara imzaların atılması ve savunmaların alınması şeklinde. Yine tahsisli bilgisayarlarda ki kişisel veriler denetim elemanlarınca güvenlik açısından gözlemlenmektedir. |
Kılık Kıyafet Verileri | İş yeri tehlikeli işyerleri kategorisinde olduğundan çalışanların güvenliklerinin sağlanması adına kılık kıyafet verilerine ilişkin bilgiler işlenmektedir. |
Kişisel verilerin işlenme şartları ise Kanunun 5. maddesinde sayılmış olup, buna göre aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür:
• İlgili kişinin açık rızasının varlığı,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının 1 hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiş olup, bu şartlar genişletilemez.
Özel nitelikteki kişisel veriler ise ancak ilgili kişinin rızasıyla işlenebilir. Yine bunun yanında sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikteki kişisel veriler rıza şartı aranmaksızın kanuni şartlar kapsamında işlenebilir ( KVKK 6/2) . Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Yukarıda bahsedildiği şekilde elde edilen bilgi ve belgeler şirketimiz nezdinde korunacak olup korunma ve tutulma şekilleri aşağıdaki gibidir:
DİJİTAL ORTAMLAR | FİZİKSEL ORTAMLAR |
Serverlar Bulut Ortamları Dijital Saklama Alanları Yazılımsal Dijital Ortamlar (Ofis yazılımları, VERBİS ) Siber ve Ağ Güvenliğe Yönelik kullanılan cihazlar (Firewall vb.) Telefon tablet gibi Mobil Cihazlar Taşınabilir Diskler Yazıcı, Tarayıcı ve Fotokopi Makinası Optik Diskler |
Kağıt ve türevleri Formlar ve bir şirketin işleyiş süreçlerinde doldurulan defterler Yazılı olarak verilerin bulundurulduğu her türlü ortam Fiziksel verilere ilişkin sair dökümanlar (fotoğraf, fotokopi vs) |
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Saklamayı ve İşlemeyi Gerektiren Hukuki Sebepler
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 4982 Sayılı Bilgi Edinme Kanunu,
• 4857 sayılı İş Kanunu
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 5018 sayılı Kamu Mali Yönetimi Kanunu
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 6102 sayılı Türk Ticaret Kanunu
• 6502 sayılı Tüketicinin Korunması Hakkında Kanun
• 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
• 213 Sayılı Vergi Usul Kanunu
• 193 Sayılı Gelir Vergisi Kanunu
• 5434 sayılı Emekli Sağlığı Kanunu,
• 27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik
• 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
• 29029 Sayılı ve 13.06.2014 Tarihli Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği
• 26751 Sayılı Suç Gelirlerinin Aklanmasının Ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik hükümleri uyarınca saklama süreleri kadar saklanmakta ve iş bu mevzuat hükümlerine dayanarak işlenmektedir.
Saklamayı ve İşlemeyi Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar ve işler;
• Şirket içi insan kaynakları süreçlerini yürütmek.
• Şirket içi iletişimi sağlamak.
• Şirket ve şirket çalışanları ile üçüncü kişi konumundakilerin güvenliğini sağlamak,
• İstatistiksel çalışmalar yapabilmek risk değerlendirmelerinde bulunmak.
• Kurum içi etkinlik yönetimini sağlamak.
• İş ortakları veya tedarikçilerle olan ilişkilerin yönetimini sağlamak.
• Talep ve şikayet yönetimi yürütmek.
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
• 6698 sayılı kanun uyarınca tarafımıza yüklenen yükümlülükleri ifa etmek için gerekli bilgi ve belgeleri Kuruma iletmek için
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
• Şirket ile iş ilişkisinde bulunan gerçek ve tüzel kişilerle irtibat sağlamak.
• Şirketin üretim ve pazarlama politikaları kapsamında işlemleri yürütmek.
• Yasal raporlamalar yapmak.
• İleride doğması muhtemel uyuşmazlıklarda delil mahiyetinde maddi ve hukuki olguların ispatını sağlanmak.
• Söz konusu hesap ve kimlik verileri Bordro işlemlerinin takibini yapmak (muhasebe programında tutulmakta ve söz konusu program veri depolama alanında muhafaza edilmektedir).
• Teşvik ve sair çalışan/işçi lehine kanunu mali hakların korunması için 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu kapsamında kurum bildirimleri için süreç yönetiminin zorunlu kılması.
• Kişisel verileriniz ulaşım, araç tedariki, kartvizit basımı gibi sebeplerle ilgili çözüm ortağı veya üçüncü kişi ve firmalar ile amaçla sınırlı olarak Kurum içi iletişim ve faaliyetlerin sürdürülmesini sağlamak.
• Firma veya yasal şartların oluşması halinde üçüncü kişilerin yasal haklarının korumak
• Bordro veya sağlık bilgileri ilgili kurum denetçileri için denetim faaliyetlerinin mevzuata uygun yürütülmesini sağlamak.
• İlgili kişinin yakınlarına veya ailesine ait iletişim bilgileri acil durumlarda koordinasyonu yürütmek.
• İşe giriş çıkışların takibi etmek.
• Ehliyet ve sair sürücü yeterlilik belgeleri (şirket araçlarının tashihi için uygun personeli belirlemek amacıyla)
• Eğitim süreçlerinin takibi etmek.
• SGK, İŞKUR ve benzeri resmi kurum ve kuruluşlara bildirimlerde bulunmak yasal şartların gereklerini ifa etmek.
• Adli mercilere gerekli bildirimlerde bulunmak ve talep edilen bilgi ve belgeleri ulaştırmak.
• Özlük dosyalarını oluşturmak.
Yukarıdaki mevzuat hükümleri ve sözleşme gerekleri kapsamında elde edilen veriler veri sorumlusunun gözetiminde gizlilikleri korunarak yasal süreler içerisinde veri işleyenler tarafından korunacaktır. Şirketimiz veri işleyenleri şunlardır:
• Şirketimiz muhasebe departmanı/birimi
• Şirketimiz insan kaynakları departmanı/birimi
• Şirketimiz disiplin kurulu
• Şirketimiz Kişisel Verilerin Korunmasından Sorumlu kişiler
• Şirketimiz irtibat kişisi (bu kişi aynı zamanda kişisel verilerin korunmasından sorumlu kişidir)
• İşe alımlarda ve şirket içi yetkilendirme ile işçi görüşmelerinde idari personel
• Şirket doktoru
• Performans değerlendirmeleri bakımından birim şefleri
• Şirket avukatları
• Mali müşavirler
• Özel hizmet sağlayıcıları
• IT depertmanı
• Teknik personel
• Pazarlama Departmanı
Söz konusu işin niteliğine göre başka kişilerde veri işleyen olarak halin ve işin icabı gereği bu statüye girebilir. Her kim veri işleyen sıfatını almış ise ilgili mevzuat gereği veri güvenliğini sağlamaya çalışacak olup söz konusu verileri amaçla sınırlı olarak kullanacaktır. Örneğin, sağlık kayıtları muhasebe birimi tarafından incelenmeyecektir.
Kişisel veriler veri işleyenler tarafından herkesin ulaşamayacağı yerde sadece işleyen kişiye tahsisli anahtarla kilitli olarak muhafaza edilecektir. Söz konusu verilerin güvenlikleri 24 saat usulü çalışan kameralarla sağlanacaktır.
Söz konusu verilerin dijital ortamlarda işlenmesi halinde özel kilitli doyalar içinde tutulacak olup söz konusu dijital ortamın güvenliği sağlanmakla birlikte dosya şifreleri sadece işleyenlere tahsisli olacaktır.
H. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ VE İMHALARI
Şirketimiz bünyesinde verilerin imhası için yılın Ocak ve Temmuz ayları imha dönemleri olarak belirlenmiştir. İlgili kişilerden elde edilen kişisel veriler saklama sürelerinin bitiminden itibaren takip eden imha dönemi içinde şirket bünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından silinecek, yok edilecek veya anonim hale getirilecektir. İmha işlemine ilişkin tutanaklar bağımsız bir yerde şirket bünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından 3 (üç) yıl süreyle tutulacaktır. Üç yıl sonra söz konusu tutanaklarda imha edilecektir. İmha işlemine ilişkin 28 Ekim 2017 tarih ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri esas alınacaktır.
İlgililerden alınacak kişisel veriler niteliklerine göre farklı zaman dilimlerinde saklanıp imha edilirler. İş bu verilerin saklama süreleri dolanlar en yakın imha dönemi içinde imha edilir ve imhaya ilişkin tutanaklar 3 yıl süre ile muhafaza edilir. Kişisel veriler saklama süresi ve dayanaklarına ilişkin genel uygulama tablosu aşağıdaki gibidir.
KİŞİSEL VERİ | SAKLAMA SÜRESİ |
Çağrı Merkezi Ses Kayıtları | 6563 Sayılı Kanun ve İlgili Mevzuat uyarınca 3 yıl boyunca saklanacaktır. |
Çalışanların Log Kayıtları | 5651 sayılı kanun uyarınca 2 yıl Hukuki bir uyuşmazlığa konu olmaları halinde 10 yıl saklanacaktır. |
Müşterilerden Faturalara Esas Olmak Üzere Alınan Bilgiler | 6102 Sayılı Türk Ticaret Kanunu uyarınca 10 yıl boyunca saklanacaktır. |
Müşteri İşlem Bilgileri | 6098 Sayılı Türk Borçlar Kanunu uyarınca 10 yıl boyunca saklanacaktır. 6563 sayılı kanun kapsamına giren hallerde 3 yıl. |
Çerez Uygulamalarından Toplanan Veriler | İşlem Çerezleri 12 ay, kullanıcı kimliğini saklayan ziyaret ölçümü çerezleri 13 ay süre ile muhafaza edilecektir. İşlem Çerezlerinden oturum çerezleri oturum süresince veri tutmaktadır. Söz konusu süreler uygulamanın niteliği, Avrupa GDPR ve oluşan teamüllere göre belirlenmiştir. |
Satış Sonrası Hizmetlere İlişkin İşlem Kayıtları(Örn: Ürün Kurulum Tarihi, Tadilat Sonrası Müşteriye Verilen Bilgi Ve Belgeler, Müşteri İletişim Bilgileri) | 13/6/2014 tarihli ve 29029 sayılı Resmî Gazete’de yayımlanan Satış Sonrası Hizmetler Yönetmeliği uyarınca ekli listede yer alan ürünlerin bazısı açısından 10 yıl süre ile saklanacaktır. Söz konusu Yönetmelik 12 Şubat 2020 tarihinde bazı açılardan revizyona uğramıştır. |
Müşterilere İlişkin Kişisel Veriler | Bir alım satım ilişkisi içine girilmişse 6102 Türk Ticaret Kanunu, 6098 sayılı Borçlar Kanunu ve 6502 sayılı kanun ile 213 sayılı kanun uyarınca 10 yıl süre ile saklanır. |
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) | Söz konusu kameralar vasıtasıyla elde edilen veriler 90 gün boyunca saklanmaktadır. |
Şirket Faaliyet Kapsamında Taraf Olunan Sözleşmeler Uyarınca Elde Edilen Veriler | 6102 sayılı Türk Ticaret Kanunu uyarınca elde edilen veriler akdi ilişkinin sonra ermesinden sonraki 10 yıl boyunca saklanacaktır. |
Pazarlama, Tanıtım Ve Bilgilendirme Amaçlı Olarak Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları | 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik 13/2 fıkra uyarınca 1 yıl süre ile saklanır. |
Vergisel Kayıtlara İlişkin Kişisel Veriler | 213 Sayılı Vergi Usul Kanunu uyarınca 5 yıl boyunca saklanır |
Fatura/Gider Pusulası/Makbuz Gibi Vergi Usul Kanunu Uyarınca Tutulması Gereken Belgelerle İşlenen Kişisel Veriler | 213 Sayılı Vergi Usul Kanunu uyarınca 5 yıl boyunca saklanır. |
Ziyaretçi Kişisel Verileri | Ziyaretçilere ait defter kayıtları ve Wİ-Fİ kullanımına bağlı kayıtlar (5651 sayılı kanun uyarınca) 2 yıl boyunca saklanır. Görsel kayıtlar ise 6 ay boyunca tutulur. |
Şirket Tarafından Sunulan Ağ Hizmetleri Kapsamında İşlenen Veriler (Ip Adresleri, Aktarılan Veri Türü Ve Kapasitesine İlişkin Veriler, Açık Ip İse Tanımlı Kullanıcı Bilgilerine İlişkin Veriler İle Hizmet Alımına İlişkin Zaman Aralıkları) | 5651 sayılı kanun uyarınca 2 yıl boyunca saklanır. Görsel kayıtlar ise 6 ay boyunca muhafaza edilir. |
Özlük Dosyası Bilgileri | 4857 Sayılı İş Kanunu ve İlgili Mevzuat ile 6098 Sayılı Türk Borçlar Kanunu uyarınca akdi ilişkinin bitiminden sonra 10 yıl boyunca saklanır. |
İş Sağlığı Ve Güvenliği Kapsamında Bulundurulan Veriler (Rutin Sağlık Testleri Sonuçları, İGS Eğitim Kayıtları Ve İş Sağlı Ve Güvenliği Konusunda Alınan Diğer Kayıtlar) | 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu 86.madde, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği uyarınca akdi ilişkinin sona ermesinden itibaren 15 yıl boyunca saklanır. |
Şirket Ortakları İle Yönetim Kurulu Üyelerine Ait Veriler | 6102 Sayılı Türk Ticaret Kanunu uyarınca 10 yıl süreyle muhafaza edilir. |
İş Başvurusu/Staj Başvurusu/ Başvuru Ve Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu Vb.) | Söz konusu kişilere ilişkin kabulün şirket tarafından gerçekleşmemesi üzerine evrakların alındığı tarihten itibaren 6 ay oluşan teamül gereği saklanır. |
Tedarikçi Ve Nakliyecilere İlişkin Veriler | 6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun uyarınca akdi ilişkinin bitimine müteakip 10 yıl boyunca saklanır. |
Online Ziyaretçilere İlişkin Veriler | 5651 Sayılı Kanun uyarınca 2 yıl süre ile saklanır |
Üyelik ve Rezervasyon Kayıtları | 6098 Sayılı Kanun uyarınca 10 yıl süre ile muhafaza edilir. |
Çalışan ve Müşterilerden Alınan Memnuniyet Anketleri | Sektörel teamül ve şirket meşru menfaati ile kişisel verinin mahiyeti arasındaki orantılılığın sağlanması adına 1 yıl saklanır. |
Şirket İçi Şikayet ve Talep Bilgilerine Konu Veriler | Söz konusu veriler hukuksal bir uyuşmazlığa konu olma ihtimallerine binaen 6102 Türk Ticaret Kanunu, 6098 sayılı Borçlar Kanunu ve 4857 sayılı İş Kanunu uyarınca 10 yıl süre ile saklanır. |
Ölümlü İş Kazı Halinde İlgiliye Ait Kişisel Veriler | 21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik uyarınca 20 yıl süre ile muhafaza edilecektir. |
I. ALINAN GÜVENLİK TEDBİRLERİ
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
• Şirket veya çözüm ortakları tarafından sağlanan eş zamanlı Bilgi Güvenliği Analizleri ile risk ve tehditlere yönelik raporlamalar yapılmaktadır.
• Yetki matrisi tanımlamaları yapılarak istisnai uygulamalara izin verilmeyerek veri ve bilgi güvenliği sağlanmaktadır.
• Şirket içinde bilişim ve sistemi, server ve diğer güvenliğe yönelik cihaz ve uygulamaların fiziksel mekan güvenliği sağlanmaktadır. Üçüncü kişiler tarafında muhtemel fiziksel saldırılara karşı güvenlikler alınmıştır.
• Yakın çevre tehditlerine karşı bilişim sistemlerinin korunması için donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) gerekli önlemler alınmıştır.
• Şirket tarafından risk analizleri yapılmakta düzeltici teknik tedbirler alınmaktadır.
• Şirket içinde çalışanlara yönelik erişim sınırlandırmaları getirilerek gerekli risk analizleri ve raporlamalar yapılmaktadır.
• Log kayıtlarının tutulduğu serverlar başta olmak üzere saklama alanlarına yönelik erişimler kayıt altında tutulmakta ve muhtemel yetkisiz erişimler kontrol edilmektedir.
• Söz konusu verilerin silme işlemi gerçekleştikten sonra yeniden getirilmelerinin önüne geçmek için gerekli yazılımsal ve fiziksel tedbirler alınmaktadır.
• Muhtemel ihlal halinde kurula yapılacak bilgilendirmelere ilişkin yetkilendirme prosedürleri etkin bir şekilde tanımlanmıştır.
• Bilgi güveliğinin sağlanmasına ilişkin uygulama ve yöntemler güncel tutulmakta gerektiğinde uygun güvenlik yamaları yüklenmektedir.
• Parola politikası belirlenmiştir. Güçlü ve belli aralıklarla değiştirilen parolalar kullanılmaktadır.
• Loglamalar yapılmaktadır. Aynı zamanda Log yedeklemesi de yapılmaktadır.
• Dijital ve dijital olmayan ortamlarda tutulan verilere ilişkin yetkiler sınırlandırılmıştır.
• Şirket tarafından hizmet sunulan internet sayfası HTTPS yöntemi kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
• Özel nitelikli kişisel verilerin korunması ile alakalı ayrı politikalar belirlenmiştir.
• Özel nitelikte kişisel verilerin saklanmasından ve işlenmesinden sorumlu olan çalışan ve diğer üçüncü kişilerin bilgilendirilmeleri konusunda gerekli çalışmalar yapılmış, taahhütler alınmış ve gizlilik sözleşmeleri yapılmıştır.
• Çalışanların farkındalıklarını artırmak için rutin bilgilendirme eğitimleri yapılmaktadır.
• Serverlar ve Özel nitelikte Verilerin Tutulduğu Ortamlar Verilerin İçerikleri Görülmeyecek Ancak Ortamlara Kimlerin Girip Çıktıkları tespit edilecek şekilde kameralarla 24 saat izlenmektedir.
Tüm bunların yanında, Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca özel nitelikli kişisel veriler ile alakalı asgari aşağıdaki tedbirler alınmaktadır;
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
J. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verilerin ülke sınırları içinde ne şekilde ve ne şartlar altında üçüncü kişilere aktarılacağı Kişisel Verilerin Korunması Kanunu’nun 8.maddesi kapsamında düzenlenmiştir. İş bu maddeye göre ancak kişilerin açık rızalarının olması halinde kişisel verilerin aktarılması mümkündür. Ancak yine aynı kanun maddesinde 5.ve 6. madde kapsamındaki şartların olması halinde açık rıza olmaksızın da kişisel verilerin aktarılabileceğini kaleme alınmıştır. Söz konusu kanun maddelerinin birlikte yorumlanmasından çıkan sonuç;
• İlgili kişinin açık rızasının alınması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde kişisel verilerin aktarılabilmesi mümkündür. Özel nitelikteki kişisel verilerin aktarılabilmesi için ise;
• İlgili kişinin açık rızasının alınması halinde,
• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
• Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından özel nitelikteki kişisel veriler üçüncü kişilere aktarılabilir.
Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir. Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de Kanunun 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.
Kişisel verilerin şirketimiz faaliyet kapsamı ve ticari menfaatleri kapsamında kişisel verileri yurt dışındaki kamu ve özel tüzel kişilere yasal şartlar minvalinde aktarması mümkündür. Kanun’un 9. maddesine göre, yurt dışına veri aktarımı;
• İlgili kişinin açık rızasının bulunması,
• Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler),
• Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir.
K. GÜNCELLEME VE UYUM
Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.
İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.
Bu Politika ALMİN ALÜMİNYUM PROFİL SANAYİ VE TİC.LTD.ŞTİ. İcra Komitesi tarafından 01/01/2021 tarihinde onaylanmıştır. Bu tarih itibariyle geçerli ve bağlayıcı olacaktır.