ALAETTİN AKSESUAR SANAYİ VE TİCARET LTD. ŞTİ.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
-
GİRİŞ
-
Amaç
-
Kapsam
-
Kısaltmalar ve Tanımlar
-
-
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
-
Kişisel Verilerin Mevzuata Uygun Olarak İşlenmesi
-
İşlenme Şartları
-
İlgili Kişilerin Aydınlatılması Ve Bilgilendirilmesi
-
Özel Nitelikli Kişisel Verilerin İşlenmesi
-
-
İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE İŞLENME AMAÇLARI
-
İşlenen Kişisel Veri Kategorileri
-
Kişisel Veri İşleme Amaçları
-
-
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
-
Teknik Tedbirler
-
İdari Tedbirler
-
Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Hususlar
-
Çalışanlara Kişisel Verilerin Korunması ve İşlenmesi Konusunda Eğitim Verilmesi ve Denetimi
-
-
KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
-
Özel Nitelikli Kişisel Verilerin Aktarılması
-
Veri Aktarım Kapsamı ve Amaçları
-
-
KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
-
KİŞİSEL VERİLERİN İMHASI (SİLİNME, YOK EDİLME VE ANONİMLEŞTİRME ŞARTLARI
-
KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
-
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
-
POLİTİKANIN GÜNCELLENME PERİYODU
-
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
1.GİRİŞ
1.1 Amaç
Kişisel Verileri Korunması ve İşlenmesi Politikası, Türkiye’de kurulu, Genel Merkezi Terazidere Mah. Samyeli Sk. No:8/1-2-3-4-5 Bayrampaşa/İstanbul adresinde bulunan, 47004055000016 mersis no’ lu, Bayrampaşa Vergi Dairesi, 470040550 no’ lu vergi mükellefi ALAETTİN AKSESUAR SANAYİ VE TİCARET LTD. ŞTİ. tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlularına getirilen yükümlülüklere uyumun sağlanması ve gerçekleştirilmekte olan veri işleme ve koruma faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
ŞİRKET; kişisel verilerin korunması konusundaki hassas yaklaşımı ile ŞİRKET çalışanları, çalışan adayları, müşteriler, tedarikçiler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, ŞİRKET tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
1.2 Kapsam
Müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, tedarikçilerimizin, hizmet sağlayıcılarının, kişisel verileri alınmış müşterilerimizin, iş birliği içinde olduğumuz kurumların çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel veriler bu Politika kapsamında olup ŞİRKETİN sahip olduğu ya da ŞİRKET tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır. Şirketin, KVKK ve ilgili yönetmelikte yapılacak değişikler doğrultusunda değişiklik yapma hakkı saklıdır.
1.3 Kısaltmalar ve Tanımlar
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan : Alaettin Aksesuar San. ve Tic. Ltd. Şti. personeli.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Politika : Kişisel Verilerin Korunması ve İşlenmesi Politikası.
Şirket: Alaettin Aksesuar San. ve Tic. Ltd. Şti.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. Kişisel Verilerin Mevzuata Uygun Olarak İşlenmesi
Şirket tarafından kişisel verilerin toplanması, işlenmesi ve analiz edilmesinde aşağıdaki ilkeler benimsenmiştir.
-
Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi; Şirket, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
-
Kişisel verileri doğru ve gerektiğinde güncel tutma; Şirket, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
-
Kişisel verileri belirli, açık ve meşru amaçlar için işleme; Şirket, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirket, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar kişisel veriyi işlemektedir.
-
Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme; Şirket, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir
-
Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme; Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
-
İlgili kişileri aydınlatma ve bilgilendirme; Veri sahipleri, kişisel verilerinin toplanması ve işlenmesi öncesinde detaylı olarak bilgilendirilmelidir.
-
Kişisel verilerin korunması için gerekli tedbirleri alma;
-
Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
-
Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi.
2.2. İşlenme Şartları
Kişisel veriler, ilgili kişinin açık rıza vermesi haricinde, Şirket ile İlgili Kişi arasındaki ticari, hukuki, sözleşmesel veya bir başka surette kurulan ilişki kapsamında aşağıda detaylı olarak belirtilen amaçlar çerçevesinde ve mevzuata uygun olarak, Şirket tarafından doğrudan ilgili kişiden, elektronik veya fiziksel ortamlarda toplanmakta ve işlenebilmektedir.
Her veri ilgilisi için ayrı hazırlanmış olan aydınlatma metinlerinde işbu hususlar belirtilmiş ve veri ilgililerine sunulmuştur (Çalışan ve çalışan adayları aydınlatma metni, web sitesi gizlilik ve çerez metinleri, tedarikçi aydınlatma metni, ziyaretçi aydınlatma metni vb).
İşlenen verilerin özel nitelikli kişisel veri olması halinde “Özel Nitelikli Kişisel Verilerin İşlenmesi” içerisinde yer alan şartlar uygulanacaktır.
Açık rıza dışında, kanunda belirtilen şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.
-
Kişisel veri sahibinin açık rızasının bulunması,
-
Fiili imkansızlık sebebiyle ilgilinin açık rızasının alınamaması,
-
Kanunlarda açıkça öngörülmesi,
-
Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için işlemenin zorunlu olması,
-
İlgili kişi tarafından alenileştirilmiş olması,
-
Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
-
Şirket’in meşru menfaatleri için veri işlemenin gerekli olması.
2.3. İlgili Kişilerin Aydınlatılması Ve Bilgilendirilmesi
Şirket, Kişisel Verileri Koruma Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin işlenme amacı, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi, ilgili kişinin sahip olduğu haklar konusunda ilgili kişileri bilgilendirmektedir. Bu kapsamda ilgili kişilerin kolayca görebilecekleri alanlara Aydınlatma Metinleri yerleştirilmiş olup ayrıca Şirket internet sitesinde bu Politika ile birlikte müşteri aydınlatma metni, çerez politikası, başvuru formu da kanuna uygun olarak yayınlanmıştır.
2.4. Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel veriler, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ve KVKK hükümleri çerçevesinde işlenmektedir. Irk ve etnik köken, siyasi düşünce, din, felsefi inanç, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veri olarak tanımlanmıştır.
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, açık rızası, açık rızanın bulunmaması halinde ise KVKK’da öngörülen istisnalar kapsamında işlenmektedir.
Kişilerin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise açık rızanın bulunmadığı hallerde ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.
3.İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE İŞLENME AMAÇLARI
3.1.İşlenen Kişisel Veri Kategorileri
-
Kimlik Bilgisi; Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, sicil no., vergi numarası, unvan, biyografi vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı gibi belgeler
-
İletişim Bilgisi; Telefon numarası, adres, e-mail adresi, faks numarası vb. bilgiler
-
İşlem Güvenliği Bilgisi; Faaliyetlerin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen log kayıtları, IP bilgisi, kimlik doğrulama bilgileri gibi kişisel veriler
-
İşlem Bilgisi; Şirketin yürütmüş olduğu faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen beyan bilgisi, alışveriş bilgisi, çağrı merkezi kayıtları, çerez kayıtları gibi veriler
-
Aile Bireyleri ve Yakın Bilgisi; Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri (eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
-
Fiziksel Mekan Güvenlik Bilgisi; Fiziksel mekana giriş-çıkış ve fiziksel mekanın içerisinde alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, araç bilgisi kayıtları v.b.
-
Finansal Bilgi; Şirket ve kişisel veri sahibi arasında kurulu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, gelir bilgisi, borç/alacak bilgisi gibi veriler
-
Özel Nitelikli Kişisel Veri; Kişilerin dini, sağlığı, ceza mahkumiyeti, adli sicil kaydı, sağlık raporu, maluliyet ve engellilik durumu ve güvenlik tedbirleriyle ilgili verileri ile biyometrik veriler
-
Hukuki İşlem ve Uyum Bilgisi; Hukuki alacak ve haklarımızın tespiti, takibi ve borçların ifası ile kanuni yükümlülüklerimiz ve Şirketin politikalarına uyum kapsamında işlenen kişisel veriler
-
Denetim ve Teftiş Bilgisi; Şirketimizin operasyonel, finansal, üretimsel ve uyum denetimi faaliyetlerinin yürütülmesine ilişkin işlenen kişisel veriler
-
Özlük Bilgisi; Şirket ile kurduğu hizmet akdi uyarınca çalışan sıfatıyla çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
-
Eğitim ve Meslek Verileri; Çalışanların, adayların, müşterilerin ve potansiyel müşterilerin iş geçmişi ve eğitim geçmişine ait bilgilerdir.
3.2. Kişisel Veri İşleme Amaçları
-
İş Faaliyetlerinin Yürütülmesi ve Denetimi
-
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
-
Acil Durum Yönetimi Süreçlerinin Yönetilmesi
-
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
-
Bilgi Güvenliği Süreçlerinin Yürütülmesi,
-
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi,
-
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
-
Denetim ve Etik Faaliyetlerinin Yürütülmesi,
-
Eğitim Faaliyetlerinin Yürütülmesi,
-
Erişim Yetkilerinin Yürütülmesi,
-
Faaliyetlerin Mevzuata Uygun Yürütülmesi,
-
Finans ve Muhasebe İşlerinin Yürütülmesi,
-
Görevlendirme Süreçlerinin Yürütülmesi,
-
Fiziksel Mekan Güvenliğinin Temini,
-
Hukuk İşlerinin Takibi ve Yürütülmesi,
-
İç Denetim, Soruşturma, İstihbarat Faaliyetlerinin Yürütülmesi,
-
İletişim Faaliyetlerinin Yürütülmesi,
-
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
-
İş Sağlığı ve Güvenliği Faaliyetlerinin Yürütülmesi,
-
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi,
-
Mal / Hizmet Satış Süreçlerinin Yürütülmesi,
-
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi,
-
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi,
-
Organizasyon ve Etkinlik Yönetimi,
-
Performans Değerlendirme Süreçlerinin Yürütülmesi,
-
Ürün/Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi,
-
Sözleşme Süreçlerinin Yürütülmesi,
-
Talep/Şikayetlerin Takibi, Ücret Politikasının Yürütülmesi,
-
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
-
Yönetim Faaliyetlerinin Yürütülmesi
-
İnsan Kaynakları Süreçlerinin Yürütülmesi
4. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak işlenmesini, açıklanmasını, erişimini, aktarılmasını v.b. sebeplerle meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
4.1 Teknik Tedbirler
Şirket tarafından alınan başlıca teknik tedbirler aşağıdaki gibidir;
-
Sızma (Penetrasyon) testleri ile ŞİRKETİN bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
-
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler periyodik olarak izlenmektedir.
-
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
-
Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
-
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
-
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
-
ŞİRKET içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
-
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
-
ŞİRKET, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
-
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Şirket’e bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
-
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
-
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
-
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
-
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
-
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
-
Yeni teknolojik gelişmeler takip edilmekte ve teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
-
ŞİRKET internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak ….. algoritmasıyla şifrelenmektedir.
-
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
-
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
-
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
-
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
4.2. İdari Tedbirler
Şirket tarafından alınan idari tedbirler aşağıdaki gibidir;
-
Kişisel veri işlemeye başlamadan önce şirket tarafından ilgili kişilere aydınlatma yükümlülüğü yerine getirilmekte,
-
Çalışanların niteliği ve teknik bilgi/becerisinin geliştirilmesi, kişisel verilerin hukuka uygun olarak işlenmesi, hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında eğitimler verilmekte,
-
Çalışanlara Gizlilik Sözleşmeleri, veri güvenliğine ilişkin ek protokoller imzalatılmakta,
-
Kurum içi periyodik ve rastgele denetimler yapılmakta ve çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir,
-
Veri işleyen hizmet iş ortaklarının veri güvenliği konusunda farkındalığı sağlanmakta,
-
Gizlilik Taahhütnameleri yapılmakta,
-
İmzalanan sözleşmeler veri güvenliği hükümleri içermekte,
-
Hukuka aykırı işlem tespiti halinde ilgili kişiye ve kurula bildirilmekte
-
Kişisel veriler için alınan idari tedbirlerin yanı sıra, özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara veri güvenliği konularında düzenli eğitimler verilmekte,
-
Bu verilerin işlendiği ve saklandığı ortamların güvenlik önlemleri alınmakta,
-
Yetkisiz giriş çıkışlar engellenmekte,
-
Denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmekte,
-
Özel nitelikli kişisel veriler şirket bünyesinde mevcut sağlık ekibine ayrılmış fiziksel alanda saklanmakta ve erişime kapatılmakta,
-
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
4.3. Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Hususlar
Kanun ile; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veri olarak nitelendirilmiştir.
Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında Şirket tarafından gerekli hassasiyet gözetilmektedir. Bu kapsamda, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.
Şirket bünyesinde verilen iş yeri hekimliği hizmeti sebebiyle çalışanların sağlık verileri işlenmekte olup bu özel nitelikli kişisel verilere erişebilen çalışanlara gerekli eğitimler verilmekte, bu çalışanın erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili çalışanın işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.
Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece ilgili personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine ilgili personel dışında hiçbir birim erişememektedir.
4.4. Çalışanlara Kişisel Verilerin Korunması ve İşlenmesi Konusunda Eğitim Verilmesi ve Denetimi
Şirket tarafından, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik çalışanlara gerekli eğitimlerin düzenlenmesini sağlamaktadır. Bu doğrultuda Şirket, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
5. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
Şirket, kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, ilgili kişinin kişisel verilerini yurtiçinde ve yurtdışında üçüncü kişilere aktarabilmektedir. Aktarım sebepleri aşağıda açıklanmıştır:
-
Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli olması,
-
Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
-
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
-
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
-
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
5.1. Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
5.2. Veri Aktarım Kapsamı Ve Amaçları
Şirket aşağıda belirtilen kişilerle, aşağıda belirtilen amaçlar doğrultusunda veri aktarımı gerçekleştirebilir.
-
İş Ortağı (Şirket’in, ticari faaliyetlerinin yürütülmesi gibi amaçlarla hizmet aldığı taraflar) ; İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak kullanabilir.
-
Tedarikçi (Şirket ticari faaliyetlerinin yürütülmesi amacıyla, Şirket’in emir ve talimatlarına uygun ve sözleşme temelli olarak Şirket’e hizmet sunan taraflar); Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için kullanılabilir. Banka, Sigorta şirketi, Kargo v.b.
-
Şirket Paydaşları (Şirket’in hissedarlar); Şirket’in şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçları ile sınırlı olarak kullanılabilir.
-
Şirket Yetkilileri (Şirket’in imzaya yetkili gerçek kişiler); Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak kullanılabilir.
-
Hukuken Yetkili Kamu Kurum ve Kuruluşları (İlgili mevzuata göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşlar); İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kullanılabilir.
-
Hukuken Yetkili Özel Hukuk Kişiler (İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişiler); İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kullanılabilir.
6. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
İlgili kişiler olan veri sahipleri KVKK’nın 11. maddesi gereği aşağıda yer alan haklara sahiptirler;
• Hakkında kişisel veri işleyip işlenmediğini öğrenme, eğer işleniyorsa veya işlenmişse, buna ilişkin bilgi talep edebilme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenme,
• Kişisel verilerin yurt içi veya yurt dışına aktarılıp aktarılmadığını ve kimlere aktarıldığını öğrenme,
• Yanlış ve eksik kişisel verileriniz düzeltilmesini ve bu verilerin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep edebilme,
• Kişisel verilerin KVKK madde 7’de öngörülen şartlar çerçevesinde imha edilmesini (silinmesini, yok edilmesini veya anonim hale getirilmesini) talep edebilme, (Ancak imha talebini değerlendirerek hangi yöntemin uygun olduğu somut olayın koşullarına göre tarafımızca değerlendirilir. Bu bağlamda seçtiğimiz imha yöntemini neden seçtiğimiz ile ilgili her zaman bilgi talep edilebilir)
• Kişisel verilerin aktarıldığı veya aktarılabileceği üçüncü kişilerin söz konusu imha talebi ile ilgili bilgilendirilmesini talep edebilme,
• Münhasıran bir otomatik sistem kullanılarak oluşturulmuş kişisel veri analizinizin sonuçlarına bu sonuçlar çıkarlarına aykırıysa itiraz edebilme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep edebilme.
İlgili kişinin kişisel verilerinin işlenmesi ile ilgili hususlarda başvuru Şirketin internet adresinde bulunan başvuru formunu doldurarak veya Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğin 5. maddesinde şartlara uymak kaydıyla aşağıdaki şekillerde yapılabilir:
-
Yukarıda yer alan adresimize yazılı ve ıslak imzalı dilekçeyi posta ile,
-
kisiselveri@alaettin.com adresine göndereceğiniz e-posta ile,
-
Güvenli elektronik imza veya mobil imza ile imzalanmış dilekçe ile,
Şirket tarafından başvuru talebinin niteliğine ve başvuru yöntemine göre başvurunun İlgili Kişiye ait olup olmadığının belirlenmesi, kişisel haklarının ihlalinin önlenmesi ve böylece hakları koruyabilmek amacıyla ek doğrulamalar (kayıtlı telefona mesaj gönderilmesi, telefonla teyit, kimliği ispat edici belge talebi gibi) istenebilecektir.
Başvuruda yer alan talepler, talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandırılır. Ancak, işlemin Şirket için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğde belirlenen tarifedeki ücret alınabilir.
KVK Kanunu’n 13. maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu olarak, Şirket tarafından oluşturulmuş olan VERİ SAHİBİ BAŞVURUSU, DEĞERLENDİRİLMESİ VE YANITLANMASI PROSEDÜRÜ oluşturulmuştur. Bu prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar yapılmıştır.
7.KİŞİSEL VERİLERİN İMHASI (SİLİNME, YOK EDİLME VE ANONİMLEŞTİRİLME ŞARTLARI
“Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Şirket tarafından bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapılmaktadır. Bu yönetmelik uyarınca periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla gerçekleştirilecek periyodik imha için gerekli takvim oluşturulmuştur.
8. KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
Şirket tarafından bina ve tesislerde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir. Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi Şirket tarafından oluşturulmuş KAPALI DEVRE KAMERA KAYIT SİSTEMLERİ AYDINLATMA METNİ ile aydınlatılmaktadır. Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Amaç işbu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin tuvaletler) izlemeye tabi tutulmamaktadır. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
9. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
İşbu belge ile ortaya koyulan esaslar, diğer veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.
10.POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Güncelleme yapılması halinde bu değişiklik metinde ayrıca bildirilir.
11.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, ŞİRKET’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde ŞİRKET tarafından iptal edilerek imzalanır ve en az 5 yıl süre ile saklanır.