EGE ASAL METAL LTD.ŞTİ.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
İÇİNDEKİLER
1. BÖLÜM: GİRİŞ................................................................................................................................................................. 3
I. KİŞİSEL VERİLERİN KORUNMASININ ÖNEMİ........................................................... 3
II. POLİTİKANIN AMACI....................................................................................................... 3
III. KAPSAM........................................................................................................................... 3
IV. POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI....................................... 4
V. ERİŞİM VE GÜNCELLEME............................................................................................... 4
2. BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ.................................................................. 4
OLARAK İŞLENMESİ............................................................................................................... 5
1. Kişisel Verilerin İşlenmesi İlkeleri.................................................................................. 5
2. Genel Nitelikteki Kişisel Verilerin İşlenmesi Kuralları................................................ 6
3. Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları...................................................... 6
4. Verisi İşlenen İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi................................ 7
II. KİŞİSEL VERİLERİN AKTARILMASI............................................................................. 7
1. Kişisel Verilerin Aktarılma Esasları............................................................................... 7
2. Özel Nitelikli Kişisel Verilerin Aktarılması................................................................... 8
3. Kişisel Verilerin Yurtdışına Aktarılması....................................................................... 8
Kişi Kategorileri...................................................................................................................... 9
III. KİŞİSEL VERİ KATEGORİZASYONLARI................................................................. 10
AMAÇLARI................................................................................................................................. 13
I. KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI........................... 13
1. Genel İlkeler.................................................................................................................... 13
2. Hukuka Uygunluk Sebepleri......................................................................................... 13
3. Özel Nitelikli Kişisel Verilerin İşlenmesi ve Hukuka Uygunluk Sebepleri............... 14
II. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI............................................................... 15
ANONİMLEŞTİRİLMESİ......................................................................................................... 17
I. KİŞİSEL VERİLERİN SAKLANMASI VE SAKLAMA SÜRELERİ............................. 17
II. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ.. 18
1. Kişisel Verilerin Silinmesi.............................................................................................. 18
2. Kişisel Verilerin Yok Edilmesi...................................................................................... 18
3. Kişisel Verilerin Anonim Hale Getirilmesi................................................................... 19
1
5. BÖLÜM: VERİ SAHİBİNİN HAKLARI........................................................................... 19
1. Kişisel Veri Sahibinin Hakları...................................................................................... 19
2. Kişisel Veri Sahibinin Haklarını Kullanması.............................................................. 20
3. Başvurulara Cevap Verilmesi........................................................................................ 21
6. BÖLÜM: KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI............................ 21
TEKNİK VE İDARİ TEDBİRLER........................................................................................... 21
TEDBİRLER.............................................................................................................................. 22
TEKNİK VE İDARİ TEDBİRLER........................................................................................... 23
IV. KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI......................... 26
1. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler .. 26
2. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler...... 26
V. EĞİTİM............................................................................................................................... 26
VI. DENETİM........................................................................................................................ 27
Arttırılması Ve Denetimi............................................................................................................ 27
Farkındalıklarının Arttırılması Ve Denetimi.............................................................................. 27
3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi.............................. 27
2
I.KİŞİSEL VERİLERİN KORUNMASININ ÖNEMİ
Kişisel verilerin korunması, Anayasal bir hak olup, Şirketimizin öncelikleri kapsamında yer almaktadır. Nitekim bu amaçla, Şirketimizde devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve işbu politika oluşturulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında, Veri Sorumlusu sıfatıyla,Ege Asal Metal Ltd.Şti nin (“Şirket”), genel aydınlatma yükümlülüğünü yerine getirmek ve Şirketimiz kişisel veri işleme kurallarının temel esaslarını belirlemek üzere işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) yapılmakta ve bu kapsamda müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, stajyer ve öğrencilerimizin, tedarikçi/alt işveren çalışanlarının ve yetkililerinin, şirket hissedarlarımızın ve şirket ortaklarımızın, ziyaretçilerimizin ve diğer verisini işlediğimiz üçüncü kişilerin kişisel verilerinin korunması konusundaki temel esaslar düzenlenmektedir.
Bu Politikada belirtilen konuların uygulanmasına yönelik olarak Şirket içerisinde gerekli prosedürler düzenlenmekte, kişi kategorilerine özel Kişisel Veri İşleme Envanteri ile uyumlu aydınlatma metinleri oluşturulmakta, kişisel verilere erişimi olan Şirket çalışanları ve üçüncü taraflarla kişisel verilerin korunması ve gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için Şirket tarafından gereken idari ve teknik tedbirler alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır. Kişisel Verilerin Korunması konusu üst yönetim tarafından da sahiplenilmekte, bu konuda özel bir Komite oluşturulmak (Şirket KVK Çalışma Komitesi) suretiyle kişisel verilerin korunması süreçleri yönetilmektedir.
II.POLİTİKANIN AMACI
Bu Politikanın temel amacı, Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri şirketimiz tarafından işlenen kişileri aydınlatarak ve bilgilendirilerek şeffaflığı sağlamaktır.
Bu Politika; “müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, stajyer ve öğrencilerimiz, tedarikçi/alt işveren çalışanları ve yetkilileri, veli/vasi/temsilci, şirket hissedarlarımız ve şirket ortaklarımız, ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler” başlıkları altında kategorize ettiğimiz kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilerine ilişkindir.
3
IV. POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
V.ERİŞİM VE GÜNCELLEME
Politika Şirketimizin https://www.egeasalmetal.com.tr internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine İlgili Kişilerin erişimine sunulur ve gerektiğinde güncellenir.
Şirketimiz, Anayasa’nın 20. maddesine ve Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri saklamaktadır.
Şirketimiz, Anayasa’nın 20. ve Kanunu’nun 5. maddeleri gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkin Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir.
Şirketimiz, Borçlar Kanunu’ nun 419. maddesi gereğince, iş bu Kanun saklı kalmak kaydıyla, çalışanların ve çalışan adaylarının kişisel verilerini, işe yatkınlık ve iş sözleşmesinin ifası amaçlarına dayalı olarak işlemektedir.
Şirketimiz, Anayasa’nın 20. ve Kanunu’nun 10. maddelerine uygun olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri ve kanundan doğan haklarını kullanmak üzere başvurmaları durumunda gerekli bilgilendirmeyi yapmakta, başvurulara yasal süresi içinde yanıt vermektedir.
Şirketimiz KVK Kanunu’nun 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz, Kanunu’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen kurallara uymakta ve KVK Kurulu tarafından alınan karar ve yayınlanan tebliğler ile güvenli ülke listelerini dikkate alarak uygulama yapmaktadır.
4
I.KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKE VE KURALLARA UYGUN OLARAK İŞLENMESİ
1.Kişisel Verilerin İşlenmesi İlkeleri
Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesini gerektirecek hukuksal dayanakları tespit ederek işlem yapmakta, ölçülülük gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamakta, kişilerin bilgisi dışında işleme faaliyeti yapmamaktadır.
Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta, bu doğrultuda gerekli tedbirleri almaktadır. Bu kapsamda tüm kişi kategorilerine ilişkin veriler güncel tutulmaya çalışılmaktadır. Özellikle müşteri ve potansiyel müşteri verileri özenle güncellenmekte, kişilere rızalarına aykırı biçimde pazarlama ve tanıtım amaçlı e-posta ve teklifler gönderilmemektedir.
Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin işleneceği amaç işleme faaliyeti öncesi belirlenmekte ve “Kişisel Veri Envanteri” ne de işlenmektedir.
Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu kapsamda süreçler sürekli gözden geçirilmekte, “data minimanisation/kişisel verilerin azaltılması” ilkesi hayata geçirilmeye çalışılmaktadır.
Muhafaza Etme
Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bu kapsamda hukuk ve ceza zamanaşımı sürelerini dikkate almakta ve kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin “Kişisel Verileri Saklama ve İmha” politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5
Kişisel verilerin korunması Anayasal bir hak olup, temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimizce, kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa İlgili Kişinin açık rızası aranmaksızın kişisel verileri işlenmektedir;
Yukarıdaki şartların bulunmaması halinde Şirketimizce ilgilinin açık, özgür iradeye ve bilgilendirmeye dayalı rızasına başvurulmaktadır. Özellikle İnsan Kaynakları ve çalışma ilişkileri alanında, çalışanın bağımlılık ilişkisi dikkate alınarak verinin öncelikle rıza dışında kalan hukuka uygunluk sebeplerine dayanılması esas tutulmakta, ancak bu sebeplerin söz konusu olmaması durumunda açık rızaya başvurulmaktadır. Buna karşılık pazarlama gibi faaliyetlerde ilgilinin rızası esas alınarak işleme faaliyeti gerçekleştirilmektedir. Ancak her halde kişisel verilerin işlendiği tüm durumlarda kişiler mutlaka “aydınlatılarak” veri işleme faaliyeti gerçekleştirilmektedir.
3.Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları
Şirketimiz tarafından, Kanunda “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanunu’nda öngörülen düzenlemelere uygun davranılmaktadır. Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler, gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
✓Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veya kişisel veri sahibinin açık rızası var ise buna dayalı olarak,
✓Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veya kişisel veri sahibinin açık rızası ile işlenmektedir.
✓Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (Kanunu m. 4; bkz. yukarıda 2. Bölüm, I, 1).
6
Özel nitelikli verilerin korunması ile ilgili olarak şirketimizde “Özel Verilerin Korunması Prosedürü” yürürlüğe konulmuş olup, iş birimlerimizde bu prosedür hükümlerine göre hareket edilmekte ve gereken tedbirler alınmaktadır.
4.Verisi İşlenen İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi
Şirketimiz, Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda verisi işlenen İlgili Kişiye kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel verisi işlenen İlgili Kişinin hakları konusunda aydınlatma yapılmakta, Şirketimizin ilgili Birimleri Şirketimizin “Aydınlatma Esasları Prosedürü’ ne göre” gereken işlemleri yerine getirmektedir. Yine, Kanunu’nun 11. maddesinde kişisel verisi işlenen İlgili Kişinin hakları arasında “Bilgi Talep Etme” de sayılmış olup, Şirketimiz bu kapsamda, Anayasa’nın 20. ve Kanunu’nun 11. maddelerine uygun olarak kişisel verisi işlenen İlgili Kişinin bilgi talep etmesi durumunda gerekli bilgilendirme yapılmakta, bu konuda Şirketimizde “İlgili Kişi Başvuru Prosedürü’ne göre işlem yapılmaktadır.
II.KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verisi işlenen İlgili Kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirketimiz bu doğrultuda Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
1.Kişisel Verilerin Aktarılma Esasları
Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanunun 5.maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
Kişisel verisi işlenen İlgili Kişinin açık rızası var ise buna dayalı olarak; veya ✓Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
✓Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
✓Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
✓Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, ✓Kişisel veriler, İlgili Kişinin kendisi tarafından alenileştirilmiş ise,
✓Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
✓Kişisel verisi işlenen İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise aktarılmaktadır.
Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (Kanunu m. 4; bkz. yukarıda 2. Bölüm, I, 1).
7
2.Özel Nitelikli Kişisel Verilerin Aktarılması
Şirketimiz gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen İlgili Kişinin özel nitelikli verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
✓Kişisel İlgili Kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır ( Kanunu m. 4; bkz. yukarıda 2. Bölüm, I, 1).
3.Kişisel Verilerin Yurtdışına Aktarılması
Şirketimiz hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak işlediği kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere aktarılmaktadır. Şirketimiz bu doğrultuda Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen İlgili Kişinin açık rızası var ise veya kişisel verisi işlenen İlgili Kişinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
✓Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
✓Kişisel verisi işlenen İlgili Kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel verisi işlenen İlgili Kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
✓Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
✓Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, ✓Kişisel veriler, İlgili Kişinin kendisi tarafından alenileştirilmiş ise,
✓Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
✓Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
8
Kategorileri
A)Veri Aktarım Amaçları
Şirketimizin faaliyet ve kuruluş amaçlarının yerine getirilmesini sağlamak, Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak, Şirketimizin insan kaynakları ve istihdam politikalarının yürütülmesini sağlamak, Şirketimizin iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınmasını sağlamak gibi amaçlarla veri aktarımı gerçekleştirilmektedir.
B)Verilerin Aktarıldığı Kişiler
Şirketimiz Kanunu’nun 8. ve 9. maddelerine uygun olarak kişisel verileri aşağıda belirtilen kişi kategorilerine aktarılabilir:
|
YETKİLİ KAMU |
|
Şirketimizden bilgi ve belge almaya |
|
İlgili mevzuat hükümlerine göre |
|
KURULUŞLARI |
|
yetkili kamu kurum ve kuruluşları |
|
veri paylaşımı yapılmaktadır. |
|
|
|
|
|
|
|
|
|
|
|
İlgili özel hukuk kişilerinin |
|
YETKİLİ ÖZEL |
|
Şirketimizden bilgi ve belge almaya |
|
hukuki yetkisi dahilinde talep |
|
HUKUK KİŞİLERİ |
|
yetkili özel hukuk kişileri |
|
ettiği amaçla sınırlı olarak veri |
|
|
|
|
|
paylaşımı yapılmaktadır. |
|
|
|
|
|
Şirketimizin iştiraklerin de |
|
|
|
|
|
katılımını gerektiren ticari |
|
İŞTİRAKLER |
|
Şirketimizin hissedarı olduğu şirketler |
|
faaliyetlerinin yürütülmesini |
|
|
|
|
|
temin etmekle sınırlı olarak veri |
|
|
|
|
|
paylaşımı yapılmaktadır. |
|
|
|
|
|
Şirketimizin ticari faaliyetlerine |
|
|
|
|
|
ilişkin stratejilerin tasarlanması |
|
HİSSEDAR |
|
Şirketimizin Hissedarları |
|
ve denetim amaçlarıyla sınırlı |
|
|
|
|
|
olarak veri paylaşımı |
|
|
|
|
|
yapılmaktadır. |
|
|
|
Şirketimizin ticari faaliyetlerini |
|
|
|
|
|
yürütürken şirketimizin ürün ve |
|
İş ortaklığının kurulma |
|
|
|
hizmetlerinin satışı, tanıtımı ve |
|
amaçlarının yerine getirilmesini |
|
İŞ ORTAKLARI |
|
pazarlanması, satış sonrası desteği, |
|
temin etmek amacıyla sınırlı |
|
|
|
ortak müşteri bağlılığı programlarının |
|
olarak veri paylaşımı |
|
|
|
yürütülmesi gibi amaçlarla iş ortaklığı |
|
yapılmaktadır. |
|
|
|
kurduğu taraflar |
|
|
|
|
|
|
|
Şirketimizin tedarikçiden dış |
|
|
|
|
|
kaynaklı olarak temin ettiği ve |
|
|
|
Şirketimizin ticari faaliyetlerini |
|
Şirketimizin ticari faaliyetlerini |
|
|
|
|
yerine getirmek için gerekli |
|
|
TEDARİKÇİ |
|
yürütürken Şirketimize hizmet sunan |
|
|
|
|
|
hizmetlerin Şirketimize |
||
|
|
|
taraflar |
|
|
|
|
|
|
sunulmasını sağlamak amacıyla |
|
|
|
|
|
|
|
|
|
|
|
|
sınırlı olarak veri paylaşımı |
|
|
|
|
|
yapılmaktadır. |
|
|
|
|
|
|
9
Şirketimiz tarafından gerçekleştirilen aktarımlarda işbu Politikada düzenlenmiş ilke ve kurallara uygun olarak hareket edilmektedir.
III.KİŞİSEL VERİ KATEGORİZASYONLARI
Şirketimizde verisi işlenen kişiler ve bu kapsamda işlenen veriler aşağıdaki şekilde kategorize edilmektedir;
|
|
|
|
|
KİŞİ KATEGORİZASYONU |
|
|
|
|
|
|
||
|
|
|
|
Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da |
||
|
ÇALIŞAN ADAYI |
|
|
özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan |
||
|
|
|
|
gerçek kişiler |
||
|
ÇALIŞAN |
|
|
Şirketimizde çalışan gerçek kişiler |
||
|
|
|
|
|
|
|
|
HİSSEDAR/ORTAK |
|
|
Şirketimizin hissedarı ve ortağı gerçek kişiler |
||
|
|
|
|
|
|
|
|
POTANSİYEL |
|
|
Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş |
||
|
|
|
veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına |
|||
|
MÜŞTERİ |
|
|
|||
|
|
|
uygun olarak değerlendirilmiş gerçek kişiler |
|||
|
|
|
|
|||
|
|
|
|
|
|
|
|
STAJYER/ÖĞRENCİ |
|
|
Şirketimizde staj yapan ve ÇMEK'na tabi olarak çalışan kişiler |
||
|
|
|
|
|
|
|
|
TEDARİKÇİ |
|
|
Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş |
||
|
|
|
ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan |
|||
|
ÇALIŞANI |
|
|
|||
|
|
|
gerçek kişiler |
|||
|
|
|
|
|||
|
|
|
|
|
|
|
|
TEDARİKÇİ |
|
|
Şirketimizin iş ilişkisi içerisinde bulunduğu kurumların hissedarları |
||
|
YETKİLİSİ |
|
|
ve yetkilileri gerçek kişiler |
||
|
|
|
|
|
|
|
|
|
|
|
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına |
||
|
MÜŞTERİ |
|
|
bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri |
||
|
|
|
|
kullanan veya kullanmış olan gerçek kişiler |
||
|
|
|
|
|
|
|
|
VELİ/VASİ/TEMSİLCİ |
|
|
Veli, vasi ya da temsilci sıfatı ile kişisel verisi işlenen gerçek kişiler. |
||
|
|
|
|
|
|
|
|
ZİYARETÇİ |
|
|
Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla |
||
|
|
|
girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler |
|||
|
|
|
|
|||
|
|
|
|
|
|
|
10
Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem
güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak
DİĞER
ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. Aile Bireyleri ve yakınlar)
|
|
VERİ KATEGORİZASYONU |
|
|
|
|
|
||
|
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; |
|
||
|
kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir |
|
||
KİMLİK BİLGİSİ |
parçası olarak otomatik olmayan şekilde işlenen; Ehliyet, Nüfus |
|
||
|
Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi |
|
||
|
dokümanlarda yer alan bilgiler |
|
||
|
|
|
|
|
|
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; |
|
||
İLETİŞİM |
kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir |
|
||
BİLGİSİ |
parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, |
|
||
|
e-mail gibi bilgiler |
|
||
|
|
|
|
|
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
LOKASYON parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibinin
BİLGİSİ ürün ve hizmetlerimizi kullanımı sırasında veya çalışanlarımız ile iş birliği içerisinde olduğumuz kurumların çalışanlarının Şirketimizin araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya
ÖZLÜK BİLGİSİ
Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
HUKUKİ İŞLEM
parçası olarak otomatik olmayan şekilde işlenen; hukuki alacak ve
VE UYUM
haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni
BİLGİSİ
yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz
11
12
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik bir şekilde veya veri kayıt sisteminin bir
GÖRSEL/İŞİTSEL parçası olarak otomatik olmayan şekilde işlenen kişisel veridir; Örn:
BİLGİ fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler
ÖZEL VERİLER I
(SAĞLIK/CİNSEL Sağlık ve cinsel hayata ilişkin veriler
HAYAT)
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer ÖZEL VERİLER inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza
3.BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI VE AMAÇLARI
I.KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI
1.Genel İlkeler
Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde Kanun’un 4.maddesinde genel ilkelere uygun olarak hareket edilmektedir. Buna göre; her türlü veri işlemesinde
d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkeleri göz önünde tutulmaktadır.
2.Hukuka Uygunluk Sebepleri
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir. Örneğin, Kimlik Bildirme Mevzuatı uyarınca Çalışanlarımızın kimliklerinin yetkili mercilere bildirilmesi.
13
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, baygınlık geçiren çalışanın kan grubu bilgisinin hekim ile paylaşılması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin, iş sözleşmesinin kurulması için adaydan CV alınması, sözleşme kapsamında tebligat yapılabilmesi için adres alınması.
Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Asgari Geçim İndiriminden Çalışanı yararlandırmak için, aile bilgisinin işlenmesi.
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde İlgili Kişisel veriler işlenebilecektir. Örneğin, Şirketimiz müşterilerinin internet üzerinde herkese açık bir platformda şikâyet, talep veya önerilerini sunması halinde bu müşteriler ilgili bilgilerini alenileştirmiş olur. Bu durumda Şirketimiz yetkilisi tarafından, şikâyet, talep veya önerilere cevap verme amacıyla sınırlı olmak kaydıyla verilerin işlenmesi mümkündür.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, ispat niteliği olan verilerin (satış sözleşmesinin, faturanın) saklanması ve gerekli olduğu anda kullanılması.
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Şirketin güvenlik kamerası ile hırsızlığa karşı veya iş güvenliği amacıyla kritik noktalarının izlenmesi.
Şirketimiz tarafından özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ancak kanunlarda öngörülen hallerde işlenebilir. Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır ( Kanun m. 4; bkz. yukarıda 2. Bölüm, I, 1).
14
II.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirketimiz 6698 Sayılı Kişisel Verilerin Korunması Kanunun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel veriler işlemektedir. Veri işleme sürecinde yukarıda belirtilen hukuki dayanaklar dikkate alınmakta, diğer hukuka uygunluk sebepleri bulunmuyor ise ilgilinin rızası talep edilmektedir. Burada da 4. Madde kapsamında genel ilkeler denetimi yapılmakta, her şeyden önce veri işleme faaliyetinin genel olarak hukuka uygunluk ilkelerine uyumlu olması aranmaktadır. İlgilinin rızası ise "açık, bilgilendirmeye ve özgür iradeye dayalı biçimde" alınmaktadır. Kişisel verilerin işlenme amaçları ayrıca Şirketimizin “Kişisel Veri Envanteri” nde de belirtilmektedir.
Şirketimiz birimlerinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir;
15
kurum ve kuruluşlar tarafından işlenmektedir. Bu kapsamda, çalışanların sağlık verileri ve bunlarla ilgili detaylar kural olarak işyeri hekiminde ve sağlık biriminde bulunmaktadır.
planlarının belirlenmesi, iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması kişisel verilerin işlenme amaçlarını oluşturmaktadır.
•Tedarikçi / alt işveren çalışanlarının kişisel verileri de Kurumumuzca işlenebilmektedir. Nitekim 6331 sayılı Kanunda asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlar ile ilgili olarak kontrol edilmesi gereken belgeler ve bilgiler belirtilmiş bulunmaktadır. Aynı şekilde 4857 sayılı iş kanununda ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nda da alt işveren işçileri ve geçici işçiler ile ilgili asıl işverene yükümlülükler getirilmiş ve bu kapsamda kontrol edilmesi gereken hususlar belirtilmiştir. Buna göre tedarikçi ve başka işverene bağlı olarak işyerimizde çalışan işçilerin kişisel verilerinin işlenmesi başta söz konusu yasal düzelmeler olmak üzere işletmemizin meşru menfaatlerine dayanmaktadır.
•Acil durum yönetimi süreçlerinin yürütülmesi
•Bilgi güvenliği süreçlerinin yürütülmesi
•Denetim/etik faaliyetlerinin yürütülmesi
•Eğitim faaliyetlerinin yürütülmesi
•Erişim yetkilerinin yürütülmesi
•Faaliyetlerin mevzuata uygun yürütülmesi
•Finans ve muhasebe işlerinin yürütülmesi
•Firma/ürün/hizmetlere bağlılık süreçlerinin yürütülmesi
•Fiziksel mekan güvenliğinin temini
•Görevlendirme süreçlerinin yürütülmesi
•Hukuk işlerinin takibi ve yürütülmesi
•İç denetim/soruşturma/istihbarat faaliyetlerinin yürütülmesi
•İletişim faaliyetlerinin yürütülmesi
•Mal/hizmet/üretim ve operasyon süreçlerinin yürütülmesi
•Müşteri ilişkileri süreçlerinin yürütülmesi
16
•Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi
•Organizasyon ve etkinlik yönetimi
•Pazarlama analiz çalışmalarının yürütülmesi
•Performans değerlendirme süreçlerinin yürütülmesi
•Reklam/kampanya/promosyon süreçlerinin yürütülmesi
•Risk yönetimi süreçlerinin yürütülmesi
•Saklama ve arşiv faaliyetlerinin yürütülmesi
•Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi
•Sözleşme süreçlerinin yürütülmesi
•Sponsorluk faaliyetlerinin yürütülmesi
•Stratejik planlama faaliyetlerinin yürütülmesi
•Talep / şikayetlerin takibi
•Taşınır mal ve kaynakların güvenliğinin temini
•Tedarik zinciri yönetimi süreçlerinin yürütülmesi
•Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi
•Veri sorumlusu operasyonlarının güvenliğinin temini
•Yabancı personel çalışma ve oturma izni işlemleri
•Yatırım süreçlerinin yürütülmesi
•Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
•Yönetim faaliyetlerinin yürütülmesi
•Ziyaretçi kayıtlarının oluşturulması ve takibi amacıyla İlgili Birimlerimizde işlenmektedir.
ANONİMLEŞTİRİLMESİ
Şirketimiz, Türk Ceza Kanunu’nun 138.maddesinde ve işbu Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilmektedir.
Şirketimiz, ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili mevzuatta belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen
17
hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman İlgili Kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
II.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ Türk Ceza Kanunu’nun 138.Maddesinde ve KVK Kanunu’nun 7.maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinmekte, yok edilmekte veya anonim hâle getirilmektedir. Bu kapsamda Şirketimiz ilgili yükümlülüğünü Kişisel Verilerin Saklanması Ve Silinmesi (İç) Politikası’na göre ve özetle bu bölümde açıklanan yöntemlerle yerine getirmektedir.
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silinebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimizce, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınmaktadır.
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
C)Kişisel Verilerin Silinmesi Yöntemleri
Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle silinmektedir.
2.Kişisel Verilerin Yok Edilmesi
A)Kişisel Verilerin Yok Edilmesi İşlemi
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri yok edebilir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale
18
getirilmesi işlemidir. Şirketimiz, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemler tek tek yok edilir.
3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. Kişisel veriler, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi suretiyle anonimleştirilmesi gerçekleştirilmektedir. Şirketimiz, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kanunu’nun 28. maddesine uygun olarak anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanunun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, İlgili Kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olması gerekmektedir.
I. İLGİLİ KİŞİLERİN HAKLARININ KAPSAMI VE BU HAKLARIN KULLANILMASI
Şirketimizce kişisel verisi işlenen kişiler aşağıda yer alan haklara sahiptir:
✓Kişisel veri işlenip işlenmediğini öğrenme,
✓Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
✓Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
19
✓Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
✓Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
✓Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
✓İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
✓Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
2.İlgili Kişilerin Haklarını Kullanması
İlgili Kişilerin KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarını kullanmakla ilgili taleplerini, aşağıdaki yöntemlerle Şirketimize iletmesi gerekli ve yeterlidir;
Başvuru |
Başvurunun |
Başvuru Gönderiminde |
|
Yöntemi |
Yapılacağı Adres |
Belirtilecek Bilgi |
|
|
|
|
|
Şahsen Başvuru |
|
|
|
(Başvuru |
|
Zarfın üzerine “Kişisel |
|
sahibinin |
|
||
|
|
||
Bizzat gelerek |
10002 sok.No:40 AOSB Çiğli /İZMİR |
Verilerin Korunması |
|
|
Kanunu |
||
|
|||
Kimliğini tevsik |
|
Kapsamında Bilgi Talebi” |
|
Edici belge ile |
|
Yazılacaktır. |
|
Başvurması) |
|
|
|
|
|
|
|
Noter |
10002 sok.No:40 AOSB Çiğli /İZMİR |
Tebligat zarfına “Kişisel |
|
|
Verilerin Korunması |
||
vasıtasıyla |
|||
|
Kanunu Kapsamında Bilgi |
||
Tebligat |
|||
|
Talebi” yazılacaktır |
||
|
|||
|
|
|
|
“Güvenli |
|
|
|
Elektronik |
|
E-postanın konu kısmına |
|
imza” |
|
||
|
|
||
İle imzalanarak |
egeasal@hs01.kep.tr |
“Kişisel Verilerin |
|
Korunması |
|||
|
|
||
Kayıtlı |
|
Kanunu Bilgi Talebi” |
|
Elektronik |
|
||
|
|
||
Posta (KEP) |
|
Yazılacaktır. |
|
Yoluyla |
|
|
|
|
|
|
20
Ad, soyada ve başvuru yazılı ise imza, T.C. vatandaşları için T.C. Kimlik Numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenir.
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır. Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda özel olarak yetkili olmanız ve yetkinizi belgelendirilmesi, başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin eklenmesi gerekmektedir.
“İlgili Kişiler” adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. İlgili Kişinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak İlgili Kişi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.
Veri sahiplerine ilişkin başvuru formu, Şirketimizin web sitesinde mevcut bulunmaktadır.
İlgili Kişinin, talebini öngörülen usule uygun olarak Şirketimize iletmesi durumunda Şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır. Şirketimiz, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek adına İlgili Kişiden bilgi talep edebilir. Şirketimiz, İlgili Kişinin başvurusunda yer alan hususları netleştirmek adına, İlgili Kişine başvurusu ile ilgili soru yöneltebilir. Başvurular Şirketimizin “İlgili Kişi Başvuru (iç) Prosedürü “ne göre Şirketimiz içinde yönetilmektedir.
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari tedbirler almaktadır. Bu kapsamda,
✓Şirketimiz kapsamında VERBİS sistemine uyumlu Veri Envanteri çıkarılmakta (Data Mapping), burada hukuka ve amaca uygunluk denetimleri yapılmaktadır.
✓Şirketimizin İlgili Kişilere ait aydınlatma yükümlülüğünün eksiksiz olarak ve doğru biçimde yerine getirilebilmesi için “Kişisel Verilerin İşlenmesinde Aydınlatma Esasları Politikası” yürürlüğe konulmuş bulunmaktadır.
✓Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir.
21
✓Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
✓Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.
✓Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
✓Şirketimiz ile Şirketimizin sorumlu olduğu verileri işleyen üçüncü taraflar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda “Üçüncü Taraf İlişkilerde Kişisel Verilerin Korunması Esasları Prosedürü” yürürlüğe konulmuş bulunulmaktadır .
II.ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİNDE ALINAN TEKNİK VE İDARİ TEDBİRLER
Kanun ile bir takım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Şirketimiz tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.
Bu kapsamda;
✓Özel nitelikli kişisel verilerin güvenliğine ve işlenme esaslarına ilişkin olarak “Özel Nitelikli Kişisel Verilerin İşlenmesi Prosedürü” hazırlanmıştır.
✓Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmakta, yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.
22
“gizlilik dereceli belgeler” formatında gönderilmektedir.
III.KİŞİSEL VERİLERİN HUKUKA AYKIRI ERİŞİMİNİ ENGELLEMEK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için teknik ve idari tedbirler almaktadır.
1.Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta ancak tedbirler bununla sınırlı bırakılmamaktadır. Güvenlik duvarı ve ağ geçidi gibi tedbirler alınmaktadır. Kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır.
Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır.
C)Erişim Sınırlamaları
Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek
23
rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve kontrol matrisi oluşturulmaktadır.
Güçlü şifre ve parola kullanımının yanısıra, şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır.
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünler kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyalar düzenli olarak taranmaktadır. Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.
•Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
•Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
•Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
•Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması, Gerçekleştirilmekte, çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmaktadır.
Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.
Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır. Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altına alınmaktadır.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır.
Aynı seviyedeki önlemler Şirket yerleşkesi dışında yer alan ve Şirkete ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar (dizüstü bilgisayar, cep telefonu, flaş bellekler) için de alınmaktadır. Elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir.
Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de yeterli güvenlik tedbirleri alınmaktadır.
24
Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.
Kişisel veri içeren kâğıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.
Kişisel verilerin bulutta depolanması uygulamalarına da gerektiğinde başvurulabilmektedir. Bu durumda, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Şirket tarafından değerlendirilmesi gerekmektedir. Bu kapsamda, Kurulun rehber ve tavsiyelerinde belirtilen önlemler dikkate alınmaktadır.
I)Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
Şirket tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.
J)Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde Şirket yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ dışında tutulmaktadır.
2.Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
25
işlem yapılmaktadır. Bu kapsamda, veri işleyen ile imzalanan sözleşmelere kişisel verilerin korunması ile ilgili koruyucu düzenlemeler getirilmektedir.
IV. KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI
Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok
edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama
maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
2.Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
✓Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda bilgilendirilmektedirler.
✓Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmekte ve bu konuda Şirketin Üçüncü Taraf İlişkilerde Kişisel Verilerin Korunması Esasları Prosedüründeki hükümlere göre hareket edilmektedir.
✓Şirketimiz, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verilmektedir.
26
Farkındalıklarının Arttırılması Ve Denetimi
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bildirimlerin yapılmasını sağlamaktadır.
Konusundaki Farkındalıklarının Arttırılması Ve Denetimi
Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına gerekli bilgilendirmeler yapmaktadır.
Şirketimiz, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re ’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında değerlendirilir ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede İlgili Kişisine ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir.
27