BİRİNCİ BÖLÜM
AMAÇ-KAPSAM
1.AMAÇ-KAPSAM
2.POLİTİKANIN UYGULANMASI-YAYIMLANMASI VE SAKLANMASI-YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI-GÜNCELLENMESİ
3. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
3.1 Genel Nitelikte Kişisel Veriler
3.2 Özel Nitelikte Kişisel Veriler
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN İŞLENMESİ
2.1 GENEL İLKELER
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
2.2.1 Genel Nitelikteki Kişisel Verilerin İşlenmesi
2.2.2 Özel Nitelikteki Kişisel Verilerin İşlenmesi
2.3. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
2.4. KİŞİSEL VERİLERİN YURT İÇİNDE VE YURT DIŞINA AKTARILMASI
ÜÇÜNCÜ BÖLÜM
HAKLAR VE YÜKÜMLÜLÜKLER
3.1 VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
3.2 İLGİLİ KİŞİNİN HAKLARI
3.3 VERİ GÜVENLİĞİNİN SAĞLANMASI-SAKLANMASI
DÖRDÜNCÜ BÖLÜM
BAŞVURU- ŞİKÂYET
4.1 VERİ SORUMLUSUNA BAŞVURU
4.2 BAŞVURU SONRASI KURULA ŞİKAYET
BEŞİNCİ BÖLÜM
EK BİLGİLER OLARAK
KİŞİSEL VERİ İŞLEME AMAÇLARI-HUKUKİ SEBEBİ-VERİ SAHİPLERİ-VERİ KATEGORİLERİ
EK 1. KİŞİSEL VERİ İŞLEME AMAÇLARI
EK.2 KİŞİSEL VERİ TOPLAMANIN HUKUKİ SEBEBİ
EK.3 KİŞİSEL VERİ SAHİPLERİ
EK.4 KİŞİSEL VERİ KATEGORİLERİ
BİRİNCİ BÖLÜM
AMAÇ-KAPSAM
1.AMAÇ-KAPSAM
A Profil Sanayi Ve Ticaret Anonim Şirketi olarak; çalışanlar, çalışan adayları, iş bağlantıları, müşterileri, ziyaretçileri, hizmet sağlayıcıları ve sair üçüncü kişiler dahil gerçek kişilerin kişisel verilerinin, bağlı mevzuata gereği işlenmesi ve kişisel verisi işlenen ilgili kişilerin haklarının korunması ilkelerinin KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI İLKELERİ (Politika ) olarak ilgililere sunulmasıdır.
Bu nedenle, çalışanlar, çalışan adayları, eğitim amaçlı bulunanlar, iş bağlantıları ve müşteriler, ziyaretçiler, hizmet sağlayıcıları ve sair üçüncü kişilerin faaliyetlerimiz sırasında edindiğimiz kişisel verilerine ilişkin işlemelerini iş bu politikaya gerçekleştirmekteyiz. Politika, A Profil Sanayi Ve Ticaret Anonim Şirketi tarafından uyulacak prensipleri ve kişisel verilerin işleme şartlarını belirlemektedir.
Politika; Kişisel verilerle alakalı bütün işleme faaliyetleri için uygulanmakta olup, KVKK( Kişisel Verileri Koruma Kanunu) ve kişisel verilere ilişkin yönetmelik, tebliğ ve ilgili diğer mevzuat gözetilerek ele alınmış ve hazırlanmıştır.
2.POLİTİKANIN UYGULANMASI-YAYIMLANMASI VE YASAKLANMASI-YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI-GÜNCELLENMESİ
Politika; ilgili ve bağlı mevzuat ile şirket uygulamaları birlikte ele alınmak suretiyle hazırlanmıştır. Politikanın uygulanması sırasında uygulamalar ile mevzuat arasında uyumsuzluk çıkması durumunda, yürürlükteki tüm mevzuat uygulanır.
İşbu politika şirketin internet sitesi olan www.aprofil.com.tr yayımlanır. Yazılı ve imzalı bir nüshası usule uygun şirket kayıtlarında korunur.
Yürürlükte olan mevzuat çerçevesinde yayımlanarak yürürlüğe girmiştir. İlgili mevzuat süresince yürürlükte kalacaktır.
Kişisel Verileri Koruma Kanunu, ilgili yönetmelik ve tebliğler ile Kişisel Verileri Koruma Kurumu ve Kurulu Kararları ile bağlı diğer mevzuat hükümlerince gerektiği şekilde güncelleme yapılacak, yapılan güncelleme gerektiği şekilde yayımlanacaktır.
3. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
3.1 Genel Nitelikte Kişisel Veriler
Veri sorumlusu olarak tarafımızdan kimliği belirli veya belirlenebilir gerçek kişiye ilişkin, ilgili ve bağlı mevzuata uygun her türlü elde edilen ve işlenen bilgiyi içermektedir.
3.2 Özel Nitelikte Kişisel Veriler
Gerçek kişilerin Irk, etnik köken, siyasi düşünce, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenilk tedbirleriyle ilgili verileri, biyometrik ve genetik verileri özel nitelikli kişisel veri sayılacağı mevzuat düzenlemeleri doğrultusunda, veri sorumlusu olarak işbu özel nitelikteki veriler tarafımızdan gerekli koruma, saklama tedbirleri alınmak suretiyle işlenecektir.
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN İŞLENMESİ
2.1 GENEL İLKELER
2.1.1 Hukuka ve dürüstlük kurallarına uygun olma.
İlgili ve bağlı mevzuat düzenlemeleri gereği, dürüstlük kurallarına uygun açık, gerektiği kadar kişisel veri, belirlenmiş, aydınlatma metni ile bilgilendirilmiş veri işleme amaçlarına uygun olarak işlenecektir.
2.1.2 Doğru ve gerektiğinde güncel olma.
Toplanan kişisel verilerin güncel olması için veri sahibi aydınlatma metni ve benzeri yollarla bilgilendirilmekte, gerekli uyarılar yapılmakta ve güncelleme konusunda başvuruda bulunulması ilgiliye açıklanmıştır.
2.1.3 Belirli, açık ve meşru amaçlar için işlenme.
Kişisel verilerin elde edilmesi ve işlenmesi, Politika içerisinde açıklanmış, meşru amaçlar için yapılmaktadır.
2.1.4 İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
Elde edilen ve işlenen kişisel veriler, belirlenen amaç ile bağlantılı olarak açık ve kesin olarak, sınırlı ve ölçülü bir şekilde işlenecek, korunacak ve saklanacaktır.
2.1.5 İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
İlgili ve başkaca kanunlarla düzenlenmiş mevzuat gereği, elde edilen ve işlenen kişisel verilerin belirli süreler boyunca saklanmak zorunluluğu olduğundan, en az saklama süresi sonuna kadar kişisel veriler saklanacaktır. Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması ile, toplamış olduğumuz kişisel veriler silinecek, yok edilecek ya da anonim hale getirilecektir.
2.2 İŞLENME ŞARTLARI
2.2.1 Genel Nitelikteki Kişisel Verilerin İşlenmesi
Kişisel veriler; ilgili ve bağlı mevzuat gereği, veri sahibinin açık rızası ile işlenebilir. Ancak;
• Kanunda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde rıza olmaksızın işlenebilir.
2.2.2 Özel Nitelikteki Kişisel Verilerin İşlenmesi
Kanunda belirtilmiş ve özel nitelik tanınmış kişisel verilerden sağlık ve cinsel hayat dışındaki veriler ancak kanunla öngörülen hallerde kişinin açık rızası alınmadan işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak;
• Kamu sağlığının korunması,
• Koruyucu hekimlik tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,
ilgilinin açık rızası aranmaksızın işlenecektir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
2.3 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kişisel veriler; işlenmesini gerektiren sebeplerin ortadan kalkması, saklama sürelerinin sona ermesi halinde res’en veya ilgili kişinin talebi ile veri sorumlusu olarak tarafımızdan silinir, yok edilir veya anonim hale getirilir.
Söz konusu silme, yok etme ve anonim hale getirme işlemleri ilgili mevzuat, Kurul Kararları ve ilgili kişinin başvuru formunda belirttiği yönteme göre ve aksi Kurul tarafından belirtilmediği sürece silme/yok etme/anonim hale getirme yöntemlerinden uygun olanını seçerek, şirketin Veri Saklama ve İmha Politikası kapsamında açıklanan ve önceden belirlenerek ortaya konulan, gerekli güvenlik tedbirleri alınmak suretiyle yerine getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yapılan işlemlere dair kayıtlar, diğer kanun ve mevzuat hükümleri saklı kalmak üzere mevzuatta belirtilen sürede saklanır.
2.4. KİŞİSEL VERİLERİN YURT İÇİNDE VE YURT DIŞINA AKTARILMASI
İlgili mevzuat gereğince kişisel veriler, veri sahibinin açık rızası olmadan yurt içine ya da yurt dışına aktarılamaz. Ancak;
• Kanunda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
halinde açık rıza aranmaksızın ve yine nitelikli kişisel veri kategorisinde yer alan sağlık ve cinsel hayat dışındaki veriler, ancak kanunla öngörülen hallerde kişinin açık rızası alınmadan aktarılabilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak yeterli önlemler alınmak kaydıyla ;
• Kamu sağlığının korunması,
• Koruyucu hekimlik tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,
ilgilinin açık rızası aranmaksızın aktarılabilir.
Yukarıda belirtilen şartlardan birinin varlığı ve Kişisel Verileri Koruma Kurulu’nun ilan ettiği yeterli korumanın olduğu ülkelerde bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’de ve ilgili yabancı ülkede bulunan veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması kaydıyla, ilgili kişinin rızası aranmadan aktarma yapılabilir.
Kişisel Verileri Koruma Kanunu kapsamında yer alan hükümlere uygun olarak ve başkaca kanunlarda yer alan hükümler dikkate alınmak suretiyle, gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil, gerekli tüm güvenlik önlemleri alınarak kişisel veriler yurt içi ve yurt dışına, üçüncü kişilere aktarılacaktır.
Türkiye’nin veya ilgilinin menfaatinin ciddi bir zarar göreceği durumlarda, ilgili kamu kurum veya kuruluşunun görüşü alınarak Kişisel Verileri Koruma Kurulunun izniyle aktarım yapılabilir.
Elde edilen ve işlenen kişisel veriler için veri sorumlusu olarak; teknik ve idari tedbirler kapsamında,
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için teknik alt yapılar ve bunlara ilişkin denetim mekanizmaları oluşturulmuştur.
• Kişisel verilerin güvenli şekilde saklanması için gerekli tedbirler gereğince teknik uzmanlığı olan çalışanlar istihdam edilmektedir. Oluşabilecek risklere karşı iş sürekliliği ve acil durum planları oluşturup bunların uygulanmasına ilişkin sistemler geliştirilmiş ve kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurulmuştur.
• Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı bilgilendirerek farkındalık yaratmak amacıyla uzmanlar tarafından eğitim verilmesi sağlanmıştır.
• Kişisel verilerin saklanması için üçüncü kişilerle iş birliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin sözleşme hükümlerine yer verilmekte veya özel nitelikte sözleşmeler düzenlenmektedir.
• Kişisel veriler kapsamında aldığımız idari ve teknik tedbirler için veri sorumlusu olarak tarafımızdan hazırlanan Kişisel Verileri Saklama ve İmha Politikası hazırlanmış, mevzuat düzenlemeleri çerçevesinde düzenlenmiş metinler, ilgililere aydınlatıcı olarak sunulmuştur.
ÜÇÜNCÜ BÖLÜM
HAKLAR VE YÜKÜMLÜLÜKLER
3.1 İLGİLİ KİŞİNİN HAKLARI
Açık rıza beyanı bulunsun ya da bulunmasın her tür kişisel verileri tarafımızdan elde edilen ve işlenen ilgili kişiler veri sorumlusu olarak tarafımıza başvurarak, kişisel verilerine ilişkin;
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir. Bu hakların kullanımına ilişkin başvuru ve cevap verme işlemleri iş bu politika içerisinde yer verildiği ve mevzuat düzenlemeleri gereğince yerine getirilecektir.
3.2 VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
Kişisel Verileri Koruma Kanunu kapsamında veri sorumlusu veya yetkilendirdiği kişiler verileri toplanan ve işlenen ilgili kişiler tarafından yapılan başvuru ile ;
• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Verileri toplama yöntemi ve hukuki sebebi,
• Kişisel Verileri Koruma Kanunun kişisel verileri toplanan ve işlenen ilgili kişinin haklarının düzenlendiği ilgili maddesi gereğince sahip olduğu hakları,
Konusunda bilgi vermekle yükümlüdür.
3.3 VERİ GÜVENLİĞİNİN SAĞLANMASI-SAKLANMASI
İlgili mevzuat ve iş bu Politika kapsamında Veri Sorumlusu olarak :
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik,
Veri sorumlusu olarak tarafımızdan ve adımıza başka bir gerçek veya tüzel kişinin veri işlemesi halinde bu kişilerle müştereken sorumlu olduğumuz bilinci ile, gerekli her türlü teknik ve idari tedbirler alınmıştır.
Sayılanlarla sınırlı olmamak üzere kişisel verileri korumak için ;
• Verileri elde edilen ve işlenen kişiler, Kişisel verileri Koruma Kanunu, ilgili tüm mevzuat hakkında aydınlatılmakta, bilgi verilmekte, kişisel veri işleme envanteri hazırlanmaktadır.
• Mevzuata uygun olarak işlenmesi ve saklanması için, şirket bünyesindeki uzman çalışanlar istihdam edilerek, teknik organizasyon yapılmaktadır.
• Kişisel verilerin saklanacağı veri tabanlarının güvenliği için, her tür teknik alt yapı oluşturulmakta, oluşturulan teknik alt yapının süreçleri takip edilmekte, periyodik olarak sistem güncellenmekte ve yenilenmektedir.
• Ortaya çıkan riskli durumları yeniden inceleyerek, gerekli teknolojik çözümleri üretmek amaçlı gerekli tedbirler alınmaktadır. Virüs koruma sistemleri, güvenlik duvarı ve benzeri yazılım- donanım programları ile güvenlik ürünleri kullanarak, teknolojik gelişmelere uygun güvenlik sistemleri kurulmaktadır.
• Kişisel verilerin hukuka uygun olarak işlenmesi, hukuka aykırı olarak erişilmesini önlemek, korunmasını sağlamak için eğitim ve bilgilendirme çalışmaları yapılmakta, uyulmaması halinde ihlal edenlere karşı idari yaptırımlar içeren iç yönerge hazırlanmaktadır.
• Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde, kişisel verileri işleyen şirketler ile yapılan sözleşmelerde gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer verilmekte ve gizlilik sözleşmeleri yapılmaktadır.
• Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde, ilgili kişiye ve KVK Kurulu’na durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeleri yapmak ve ilgili tedbirleri almak için gerekli birimler oluşturulmakta ve görevlendirmeler yapılmaktadır. Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda, KVK Kurulu tarafından gerek görülmesi halinde bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
• Saklama süresi dolan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreci planlanmakta ve bu konuda imha ve saklama politikası hazırlanarak kurallar belirlenmektedir.
• Veri sorumlusu olarak şirket içerisinde, periyodik ve rastgele denetimler ile işlemler denetlenmekte veya denetimlerin yaptırılması sağlanmakta, alınan idari ve teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürler belirlenerek uygulamaya alınmaktadır.
• İlgili ve bağlı mevzuat ve verilerin toplanma amaçları, kişisel verilerin belirli bir süre saklanmasını zorunlu tuttuğundan, yasal yükümlülük gereği, işlenen kişisel veriler mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre tespit edilmekte ve o süre boyunca saklanmaktadır. Yasal saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda, kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir düzenlemeleri mevzuat gereği olduğundan, hangi verinin ne kadar süre saklanacağı ve ne şeklide imha edileceği belirlenerek aydınlatma metni ile ilgililer aydınlatılmakta, veri saklama ve imha politikası hazırlanarak gerekli tüm tedbirler alınmakta, işlemler yapılmaktadır.
• Yasal bir süre bulunmadığı hallerde ise; kişisel veriler işleme amaçları için gerekli olan süre kadar saklanmaktadır.
DÖRDÜNCÜ BÖLÜM
BAŞVURU VE ŞİKAYET
4.1 VERİ SORUMLUSUNA BAŞVURU
Kişisel Verileri Koruma Kanunu kapsamında ve Kişisel verileri Koruma Kurumu tarafından yayımlanmış Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ doğrultusunda;
Kişisel veri sahiplerinin yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna Ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarasını bildirmek ve talep konusunu ayrıntılı belirtmek suretiyle ve talep konusuna ilişkin bilgi ve belgeleri eklemek suretiyle veri sorumlusu olarak tarafımıza başvuru yapma hakları buunmaktadır.
Yazılı başvurunun veri sorumlusuna tebliğ edildiği tarih, diğer yöntemlerle yapılan başvurularda başvurunun veri sorumlusuna ulaştığı tarih başvuru tarihi olarak kabul edilmektedir.
Başvuru sonrası veri sorumlusu olarak, ilgili kişinin talebi kabul edilerek ve gerek duyulması halinde ek bilgi ve belge talep edilmesi gerekiyorsa talep etmek suretiyle başvurucu ilgili veri sahibinin talepleri yerine getirebileceği gibi, gerekçesi açıklanmak suretiyle başvuru veri sorumlusu olarak tarafımızdan red edilebilir. Veri sorumlusu olarak, en kısa sürede ve en son otuz gün içerisinde başvuruyu sonuçlandırma yükümlülüğümüz yerine getirilecektir.
4.2 BAŞVURU SONRASI KURULA ŞİKAYET
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin, cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikâyette bulunma hakkı bulunmaktadır.
BEŞİNCİ BÖLÜM
EK BİLGİLER OLARAK
KİŞİSEL VERİ İŞLEME AMAÇLARI-HUKUKİ SEBEBİ-VERİ SAHİPLERİ-VERİ KATEGORİLERİ
EK 1. KİŞİSEL VERİ İŞLEME AMAÇLARI
Veri sorumlusu olarak, kuruluş sözleşmesi ve tüm yasal mevzuat çerçevesinde;
Şirketin yükümlü olduğu şekilde ticari iş stratejilerinin belirlenmesi; iş faaliyetlerinin planlanması ve icrası ile iş sürekliliğinin sağlanması; yatırım ve risk yönetim sürecinin planlanması ve uygulanması; her tür sözleşme yapılması ile bunlardan doğan yükümlülüklerin yerine getirilmesi; hukuki işlemlerin-finans veya muhasebe işlerinin takibi; yetkili kişi, kurum ve kuruluşlara bilgi verilmesi; ürün-hizmetlerin üretimi-alım-satımı-pazarlaması-lojistik faaliyeti ve satış sonrası destek hizmetlerinin sunumu, tedarik zinciri yönetimi; müşteri ilişkileri yönetimi-müşteri memnuniyetine yönelik çalışmaların yapılması; her tür talep ve şikâyetlerin takibi; sponsorluk-sosyal sorumluluk ve sivil toplum aktiviteleri-organizasyon ve etkinlik-kurumsal iletişim faaliyetlerinin gerçekleştirilmesi; saklama ve arşiv faaliyetleri; performans değerlendirme, yetenek, kariyer gelişimi; iş süreçlerinin iyileştirilmesi; ziyaretçi kayıtlarının oluşturulması ve takibi; yabancı personel çalışma ve oturma izni işlemleri; veri sorumlusu operasyonlarının güvenliğinin temini; taşınır-taşınmaz mal ve kaynakların güvenliğinin sağlanması; stratejik planlama faaliyetlerinin gerçekleştirilmesi için belirli, açık ve meşru amaçlar için veri elde edilmesi ve işlenmesi yapılmaktadır.
EK.2 KİŞİSEL VERİ TOPLAMANIN HUKUKİ SEBEBİ
Veri elde eden ve işleyen veri sorumlusu olarak; Kişisel verileri Koruma Kanunu, kanun kapsamında çıkarılan yönetmelik ve tebliğler ile Kişisel Verileri Koruma Kurumu ve Kurulu tarafından verilmiş kararlar dahil olmak üzere yasal tüm mevzuat tarafından açıkça düzenlenmiş olması, veri sorumlusuna açıkça kanunlarla yüklenmiş hukuki yükümlülüklerinin yerine getirilmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, bir hakkın tesisi, kullanılması veya korunması ve ilgili kişinin temel hak ve özgürlükleri zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması, hukuki sebebine dayalı olarak, hukuki sebeplerin varlığı ile sınırlı olarak toplanmaktadır.
EK.3 KİŞİSEL VERİ SAHİPLERİ
Çalışan
Şirketimizin faaliyet konusu işleri yapmak üzere çeşitli birimlerde görevlendirilmiş kişiler.
Çalışan adayı
İhtiyaç duyulan birimlerde çalışmak üzere iş başvurusunda bulunan kişiler.
Şirket hissedarı
Türk Ticaret Kanunu Hükümlerine göre şirket kurucu ortağı olan yada daha sonra hisse satın alan kişiler.
İş Ortakları- İş birliği yapılar kurumların çalışanları ve hissedarları ile yetkilileri
Her türlü iş ilişkisi içinde bulunulan mal ve hizmet alımı yapılan müşteri, tedarikçi, üretici kişiler ……
Şirket yetkilisi
Şirketi Türk Ticaret Kanunu Hükümlerine göre temsil ve ilzama yetkili kişiler.
Ziyaretçi
Ticari veya başkaca amaçlarla işyerine geçici süreliğine gelen kişiler.
Aile bireyleri ve yakınları
Çalışan, çalışan adayı veya işbirliği içerisinde bulunduğumuz kişilerin aile ve yakın bilgisi alınan kişiler.
EK.4 KİŞİSEL VERİ KATEGORİLERİ
Kimlik Bilgileri
Ad, soyad, T.C. kimlik numarası, cinsiyet, doğum tarihi ve yeri, uyruk, medeni hal, kayıtlı olduğu il/ilçe/mahalle/köy/cilt no/aile sıra no/sıra no, nüfus cüzdanının verildiği yer/veriliş nedeni/kayıt no/veriliş tarihi, anne-baba adı, nüfus cüzdanı seri no / sıra no bilgilerini kapsayacak şekilde basılı form ya da dijital olarak elde edilen ve işlenen bilgiler.
Aile Bireyleri Ve Yakın Bilgisi
Eş ve çocuklar ile bakmakla yükümlü olduğu kişilerin ad-soyad, bilgisi, doğum tarihi, eğitim durumu
………….
İletişim Bilgileri
İlgili kişiler ile iletişim kurmak üzere adres, yakının adresi, GSM ya da sabit hat telefon bilgileri, e-posta adresi, sosyal medya hesap adresleri, web sayfa adresleri basılı form ya da dijital olarak elde edilen ve işlenen bilgiler.
Mali Veriler
İlgililerin finansal işlemlerini yürütebilmek amacıyla ücret, maaş, banka hesap ve IBAN bilgisi, borç miktarı, kıymetli evrak bilgisi (çek-emre muharrer senet), fatura bilgileri için alınan adres, vergi numarası, MERSİS form ya da dijital olarak elde edilen ve işlenen bilgiler.
Özlük Verileri
Çalışanlardan elde edilen kimlik bilgileri, medeni durumu, sürücü ehliyeti, askerlik bilgileri, SGK bilgileri, CV’ye eklenmiş özgeçmiş bilgileri, eğitim durumunu gösterir bilgiler, adli sicil kaydı bilgileri ile iş başvurusunda bulunulması sırasında referans gösterilen kişilerin bilgileri ile iş tecrübesini gösterir geçmiş çalışılan yerlerle ilgili bilgiler iş faaliyetlerinin yürütülmesi, insan kaynakları bölümünün faaliyetleri ve işbu politikanın içeriğinde yer alan tüm amaçlar doğrultusunda yasal mevzuat gereği yükümlülükler ve sözleşme ilişkileri gereğince basılı form ya da dijital olarak elde edilen ve işlenen bilgiler.
Görsel Ve İşitsel Veriler
Fotoğraf, video, kamera kaydı, ses kaydı.
Mesleki Bilgi
Eğitim bilgileri, kurs, seminer, sertifika bilgileri, yabancı dil seviyesi, CV’ye eklenen tüm bilgiler.
Poliçe Verisi
Araç plakası, motor ve şasi no, aracın türü, kullanım şekli, araç marka, model-yılı, sbm tramer no, araç tescil tarihi, taşınmaz adres, ada, parsel, pafta, inşaa yılı, kullanım şekli, bina inşa tarzı, hasar durumu, yüzölçümü, kat sayısı, seyahat edilecek ülke, seyahat süresi, vize türü, işyeri adres, faaliyet konusu, yapı tarzı, demirbaş bilgisi, vergi numarası, taşınır, taşınmaz verileri.
Diğer Veriler
Dernek, Vakıf, Spor Kulübü vb üyelikler, hobileri??
Sağlık Bilgisi
Var ise engel durumu, sağlık raporu, kan grubu, sağlık durumu beyanı, tıbbi geçmiş, engel durumu, kullanılan ilaçlar.
AMAÇ-KAPSAM
1.AMAÇ-KAPSAM
2.POLİTİKANIN UYGULANMASI-YAYIMLANMASI VE SAKLANMASI-YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI-GÜNCELLENMESİ
3. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
3.1 Genel Nitelikte Kişisel Veriler
3.2 Özel Nitelikte Kişisel Veriler
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN İŞLENMESİ
2.1 GENEL İLKELER
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
2.2.1 Genel Nitelikteki Kişisel Verilerin İşlenmesi
2.2.2 Özel Nitelikteki Kişisel Verilerin İşlenmesi
2.3. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
2.4. KİŞİSEL VERİLERİN YURT İÇİNDE VE YURT DIŞINA AKTARILMASI
ÜÇÜNCÜ BÖLÜM
HAKLAR VE YÜKÜMLÜLÜKLER
3.1 VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
3.2 İLGİLİ KİŞİNİN HAKLARI
3.3 VERİ GÜVENLİĞİNİN SAĞLANMASI-SAKLANMASI
DÖRDÜNCÜ BÖLÜM
BAŞVURU- ŞİKÂYET
4.1 VERİ SORUMLUSUNA BAŞVURU
4.2 BAŞVURU SONRASI KURULA ŞİKAYET
BEŞİNCİ BÖLÜM
EK BİLGİLER OLARAK
KİŞİSEL VERİ İŞLEME AMAÇLARI-HUKUKİ SEBEBİ-VERİ SAHİPLERİ-VERİ KATEGORİLERİ
EK 1. KİŞİSEL VERİ İŞLEME AMAÇLARI
EK.2 KİŞİSEL VERİ TOPLAMANIN HUKUKİ SEBEBİ
EK.3 KİŞİSEL VERİ SAHİPLERİ
EK.4 KİŞİSEL VERİ KATEGORİLERİ
BİRİNCİ BÖLÜM
AMAÇ-KAPSAM
1.AMAÇ-KAPSAM
A Profil Sanayi Ve Ticaret Anonim Şirketi olarak; çalışanlar, çalışan adayları, iş bağlantıları, müşterileri, ziyaretçileri, hizmet sağlayıcıları ve sair üçüncü kişiler dahil gerçek kişilerin kişisel verilerinin, bağlı mevzuata gereği işlenmesi ve kişisel verisi işlenen ilgili kişilerin haklarının korunması ilkelerinin KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI İLKELERİ (Politika ) olarak ilgililere sunulmasıdır.
Bu nedenle, çalışanlar, çalışan adayları, eğitim amaçlı bulunanlar, iş bağlantıları ve müşteriler, ziyaretçiler, hizmet sağlayıcıları ve sair üçüncü kişilerin faaliyetlerimiz sırasında edindiğimiz kişisel verilerine ilişkin işlemelerini iş bu politikaya gerçekleştirmekteyiz. Politika, A Profil Sanayi Ve Ticaret Anonim Şirketi tarafından uyulacak prensipleri ve kişisel verilerin işleme şartlarını belirlemektedir.
Politika; Kişisel verilerle alakalı bütün işleme faaliyetleri için uygulanmakta olup, KVKK( Kişisel Verileri Koruma Kanunu) ve kişisel verilere ilişkin yönetmelik, tebliğ ve ilgili diğer mevzuat gözetilerek ele alınmış ve hazırlanmıştır.
2.POLİTİKANIN UYGULANMASI-YAYIMLANMASI VE YASAKLANMASI-YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI-GÜNCELLENMESİ
Politika; ilgili ve bağlı mevzuat ile şirket uygulamaları birlikte ele alınmak suretiyle hazırlanmıştır. Politikanın uygulanması sırasında uygulamalar ile mevzuat arasında uyumsuzluk çıkması durumunda, yürürlükteki tüm mevzuat uygulanır.
İşbu politika şirketin internet sitesi olan www.aprofil.com.tr yayımlanır. Yazılı ve imzalı bir nüshası usule uygun şirket kayıtlarında korunur.
Yürürlükte olan mevzuat çerçevesinde yayımlanarak yürürlüğe girmiştir. İlgili mevzuat süresince yürürlükte kalacaktır.
Kişisel Verileri Koruma Kanunu, ilgili yönetmelik ve tebliğler ile Kişisel Verileri Koruma Kurumu ve Kurulu Kararları ile bağlı diğer mevzuat hükümlerince gerektiği şekilde güncelleme yapılacak, yapılan güncelleme gerektiği şekilde yayımlanacaktır.
3. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
3.1 Genel Nitelikte Kişisel Veriler
Veri sorumlusu olarak tarafımızdan kimliği belirli veya belirlenebilir gerçek kişiye ilişkin, ilgili ve bağlı mevzuata uygun her türlü elde edilen ve işlenen bilgiyi içermektedir.
3.2 Özel Nitelikte Kişisel Veriler
Gerçek kişilerin Irk, etnik köken, siyasi düşünce, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenilk tedbirleriyle ilgili verileri, biyometrik ve genetik verileri özel nitelikli kişisel veri sayılacağı mevzuat düzenlemeleri doğrultusunda, veri sorumlusu olarak işbu özel nitelikteki veriler tarafımızdan gerekli koruma, saklama tedbirleri alınmak suretiyle işlenecektir.
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN İŞLENMESİ
2.1 GENEL İLKELER
2.1.1 Hukuka ve dürüstlük kurallarına uygun olma.
İlgili ve bağlı mevzuat düzenlemeleri gereği, dürüstlük kurallarına uygun açık, gerektiği kadar kişisel veri, belirlenmiş, aydınlatma metni ile bilgilendirilmiş veri işleme amaçlarına uygun olarak işlenecektir.
2.1.2 Doğru ve gerektiğinde güncel olma.
Toplanan kişisel verilerin güncel olması için veri sahibi aydınlatma metni ve benzeri yollarla bilgilendirilmekte, gerekli uyarılar yapılmakta ve güncelleme konusunda başvuruda bulunulması ilgiliye açıklanmıştır.
2.1.3 Belirli, açık ve meşru amaçlar için işlenme.
Kişisel verilerin elde edilmesi ve işlenmesi, Politika içerisinde açıklanmış, meşru amaçlar için yapılmaktadır.
2.1.4 İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
Elde edilen ve işlenen kişisel veriler, belirlenen amaç ile bağlantılı olarak açık ve kesin olarak, sınırlı ve ölçülü bir şekilde işlenecek, korunacak ve saklanacaktır.
2.1.5 İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
İlgili ve başkaca kanunlarla düzenlenmiş mevzuat gereği, elde edilen ve işlenen kişisel verilerin belirli süreler boyunca saklanmak zorunluluğu olduğundan, en az saklama süresi sonuna kadar kişisel veriler saklanacaktır. Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması ile, toplamış olduğumuz kişisel veriler silinecek, yok edilecek ya da anonim hale getirilecektir.
2.2 İŞLENME ŞARTLARI
2.2.1 Genel Nitelikteki Kişisel Verilerin İşlenmesi
Kişisel veriler; ilgili ve bağlı mevzuat gereği, veri sahibinin açık rızası ile işlenebilir. Ancak;
• Kanunda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde rıza olmaksızın işlenebilir.
2.2.2 Özel Nitelikteki Kişisel Verilerin İşlenmesi
Kanunda belirtilmiş ve özel nitelik tanınmış kişisel verilerden sağlık ve cinsel hayat dışındaki veriler ancak kanunla öngörülen hallerde kişinin açık rızası alınmadan işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak;
• Kamu sağlığının korunması,
• Koruyucu hekimlik tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,
ilgilinin açık rızası aranmaksızın işlenecektir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
2.3 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kişisel veriler; işlenmesini gerektiren sebeplerin ortadan kalkması, saklama sürelerinin sona ermesi halinde res’en veya ilgili kişinin talebi ile veri sorumlusu olarak tarafımızdan silinir, yok edilir veya anonim hale getirilir.
Söz konusu silme, yok etme ve anonim hale getirme işlemleri ilgili mevzuat, Kurul Kararları ve ilgili kişinin başvuru formunda belirttiği yönteme göre ve aksi Kurul tarafından belirtilmediği sürece silme/yok etme/anonim hale getirme yöntemlerinden uygun olanını seçerek, şirketin Veri Saklama ve İmha Politikası kapsamında açıklanan ve önceden belirlenerek ortaya konulan, gerekli güvenlik tedbirleri alınmak suretiyle yerine getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yapılan işlemlere dair kayıtlar, diğer kanun ve mevzuat hükümleri saklı kalmak üzere mevzuatta belirtilen sürede saklanır.
2.4. KİŞİSEL VERİLERİN YURT İÇİNDE VE YURT DIŞINA AKTARILMASI
İlgili mevzuat gereğince kişisel veriler, veri sahibinin açık rızası olmadan yurt içine ya da yurt dışına aktarılamaz. Ancak;
• Kanunda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
halinde açık rıza aranmaksızın ve yine nitelikli kişisel veri kategorisinde yer alan sağlık ve cinsel hayat dışındaki veriler, ancak kanunla öngörülen hallerde kişinin açık rızası alınmadan aktarılabilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak yeterli önlemler alınmak kaydıyla ;
• Kamu sağlığının korunması,
• Koruyucu hekimlik tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,
ilgilinin açık rızası aranmaksızın aktarılabilir.
Yukarıda belirtilen şartlardan birinin varlığı ve Kişisel Verileri Koruma Kurulu’nun ilan ettiği yeterli korumanın olduğu ülkelerde bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’de ve ilgili yabancı ülkede bulunan veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması kaydıyla, ilgili kişinin rızası aranmadan aktarma yapılabilir.
Kişisel Verileri Koruma Kanunu kapsamında yer alan hükümlere uygun olarak ve başkaca kanunlarda yer alan hükümler dikkate alınmak suretiyle, gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil, gerekli tüm güvenlik önlemleri alınarak kişisel veriler yurt içi ve yurt dışına, üçüncü kişilere aktarılacaktır.
Türkiye’nin veya ilgilinin menfaatinin ciddi bir zarar göreceği durumlarda, ilgili kamu kurum veya kuruluşunun görüşü alınarak Kişisel Verileri Koruma Kurulunun izniyle aktarım yapılabilir.
Elde edilen ve işlenen kişisel veriler için veri sorumlusu olarak; teknik ve idari tedbirler kapsamında,
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için teknik alt yapılar ve bunlara ilişkin denetim mekanizmaları oluşturulmuştur.
• Kişisel verilerin güvenli şekilde saklanması için gerekli tedbirler gereğince teknik uzmanlığı olan çalışanlar istihdam edilmektedir. Oluşabilecek risklere karşı iş sürekliliği ve acil durum planları oluşturup bunların uygulanmasına ilişkin sistemler geliştirilmiş ve kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurulmuştur.
• Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı bilgilendirerek farkındalık yaratmak amacıyla uzmanlar tarafından eğitim verilmesi sağlanmıştır.
• Kişisel verilerin saklanması için üçüncü kişilerle iş birliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin sözleşme hükümlerine yer verilmekte veya özel nitelikte sözleşmeler düzenlenmektedir.
• Kişisel veriler kapsamında aldığımız idari ve teknik tedbirler için veri sorumlusu olarak tarafımızdan hazırlanan Kişisel Verileri Saklama ve İmha Politikası hazırlanmış, mevzuat düzenlemeleri çerçevesinde düzenlenmiş metinler, ilgililere aydınlatıcı olarak sunulmuştur.
ÜÇÜNCÜ BÖLÜM
HAKLAR VE YÜKÜMLÜLÜKLER
3.1 İLGİLİ KİŞİNİN HAKLARI
Açık rıza beyanı bulunsun ya da bulunmasın her tür kişisel verileri tarafımızdan elde edilen ve işlenen ilgili kişiler veri sorumlusu olarak tarafımıza başvurarak, kişisel verilerine ilişkin;
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir. Bu hakların kullanımına ilişkin başvuru ve cevap verme işlemleri iş bu politika içerisinde yer verildiği ve mevzuat düzenlemeleri gereğince yerine getirilecektir.
3.2 VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
Kişisel Verileri Koruma Kanunu kapsamında veri sorumlusu veya yetkilendirdiği kişiler verileri toplanan ve işlenen ilgili kişiler tarafından yapılan başvuru ile ;
• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Verileri toplama yöntemi ve hukuki sebebi,
• Kişisel Verileri Koruma Kanunun kişisel verileri toplanan ve işlenen ilgili kişinin haklarının düzenlendiği ilgili maddesi gereğince sahip olduğu hakları,
Konusunda bilgi vermekle yükümlüdür.
3.3 VERİ GÜVENLİĞİNİN SAĞLANMASI-SAKLANMASI
İlgili mevzuat ve iş bu Politika kapsamında Veri Sorumlusu olarak :
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik,
Veri sorumlusu olarak tarafımızdan ve adımıza başka bir gerçek veya tüzel kişinin veri işlemesi halinde bu kişilerle müştereken sorumlu olduğumuz bilinci ile, gerekli her türlü teknik ve idari tedbirler alınmıştır.
Sayılanlarla sınırlı olmamak üzere kişisel verileri korumak için ;
• Verileri elde edilen ve işlenen kişiler, Kişisel verileri Koruma Kanunu, ilgili tüm mevzuat hakkında aydınlatılmakta, bilgi verilmekte, kişisel veri işleme envanteri hazırlanmaktadır.
• Mevzuata uygun olarak işlenmesi ve saklanması için, şirket bünyesindeki uzman çalışanlar istihdam edilerek, teknik organizasyon yapılmaktadır.
• Kişisel verilerin saklanacağı veri tabanlarının güvenliği için, her tür teknik alt yapı oluşturulmakta, oluşturulan teknik alt yapının süreçleri takip edilmekte, periyodik olarak sistem güncellenmekte ve yenilenmektedir.
• Ortaya çıkan riskli durumları yeniden inceleyerek, gerekli teknolojik çözümleri üretmek amaçlı gerekli tedbirler alınmaktadır. Virüs koruma sistemleri, güvenlik duvarı ve benzeri yazılım- donanım programları ile güvenlik ürünleri kullanarak, teknolojik gelişmelere uygun güvenlik sistemleri kurulmaktadır.
• Kişisel verilerin hukuka uygun olarak işlenmesi, hukuka aykırı olarak erişilmesini önlemek, korunmasını sağlamak için eğitim ve bilgilendirme çalışmaları yapılmakta, uyulmaması halinde ihlal edenlere karşı idari yaptırımlar içeren iç yönerge hazırlanmaktadır.
• Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde, kişisel verileri işleyen şirketler ile yapılan sözleşmelerde gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer verilmekte ve gizlilik sözleşmeleri yapılmaktadır.
• Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde, ilgili kişiye ve KVK Kurulu’na durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeleri yapmak ve ilgili tedbirleri almak için gerekli birimler oluşturulmakta ve görevlendirmeler yapılmaktadır. Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda, KVK Kurulu tarafından gerek görülmesi halinde bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
• Saklama süresi dolan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreci planlanmakta ve bu konuda imha ve saklama politikası hazırlanarak kurallar belirlenmektedir.
• Veri sorumlusu olarak şirket içerisinde, periyodik ve rastgele denetimler ile işlemler denetlenmekte veya denetimlerin yaptırılması sağlanmakta, alınan idari ve teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürler belirlenerek uygulamaya alınmaktadır.
• İlgili ve bağlı mevzuat ve verilerin toplanma amaçları, kişisel verilerin belirli bir süre saklanmasını zorunlu tuttuğundan, yasal yükümlülük gereği, işlenen kişisel veriler mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre tespit edilmekte ve o süre boyunca saklanmaktadır. Yasal saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda, kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir düzenlemeleri mevzuat gereği olduğundan, hangi verinin ne kadar süre saklanacağı ve ne şeklide imha edileceği belirlenerek aydınlatma metni ile ilgililer aydınlatılmakta, veri saklama ve imha politikası hazırlanarak gerekli tüm tedbirler alınmakta, işlemler yapılmaktadır.
• Yasal bir süre bulunmadığı hallerde ise; kişisel veriler işleme amaçları için gerekli olan süre kadar saklanmaktadır.
DÖRDÜNCÜ BÖLÜM
BAŞVURU VE ŞİKAYET
4.1 VERİ SORUMLUSUNA BAŞVURU
Kişisel Verileri Koruma Kanunu kapsamında ve Kişisel verileri Koruma Kurumu tarafından yayımlanmış Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ doğrultusunda;
Kişisel veri sahiplerinin yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna Ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarasını bildirmek ve talep konusunu ayrıntılı belirtmek suretiyle ve talep konusuna ilişkin bilgi ve belgeleri eklemek suretiyle veri sorumlusu olarak tarafımıza başvuru yapma hakları buunmaktadır.
Yazılı başvurunun veri sorumlusuna tebliğ edildiği tarih, diğer yöntemlerle yapılan başvurularda başvurunun veri sorumlusuna ulaştığı tarih başvuru tarihi olarak kabul edilmektedir.
Başvuru sonrası veri sorumlusu olarak, ilgili kişinin talebi kabul edilerek ve gerek duyulması halinde ek bilgi ve belge talep edilmesi gerekiyorsa talep etmek suretiyle başvurucu ilgili veri sahibinin talepleri yerine getirebileceği gibi, gerekçesi açıklanmak suretiyle başvuru veri sorumlusu olarak tarafımızdan red edilebilir. Veri sorumlusu olarak, en kısa sürede ve en son otuz gün içerisinde başvuruyu sonuçlandırma yükümlülüğümüz yerine getirilecektir.
4.2 BAŞVURU SONRASI KURULA ŞİKAYET
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin, cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikâyette bulunma hakkı bulunmaktadır.
BEŞİNCİ BÖLÜM
EK BİLGİLER OLARAK
KİŞİSEL VERİ İŞLEME AMAÇLARI-HUKUKİ SEBEBİ-VERİ SAHİPLERİ-VERİ KATEGORİLERİ
EK 1. KİŞİSEL VERİ İŞLEME AMAÇLARI
Veri sorumlusu olarak, kuruluş sözleşmesi ve tüm yasal mevzuat çerçevesinde;
Şirketin yükümlü olduğu şekilde ticari iş stratejilerinin belirlenmesi; iş faaliyetlerinin planlanması ve icrası ile iş sürekliliğinin sağlanması; yatırım ve risk yönetim sürecinin planlanması ve uygulanması; her tür sözleşme yapılması ile bunlardan doğan yükümlülüklerin yerine getirilmesi; hukuki işlemlerin-finans veya muhasebe işlerinin takibi; yetkili kişi, kurum ve kuruluşlara bilgi verilmesi; ürün-hizmetlerin üretimi-alım-satımı-pazarlaması-lojistik faaliyeti ve satış sonrası destek hizmetlerinin sunumu, tedarik zinciri yönetimi; müşteri ilişkileri yönetimi-müşteri memnuniyetine yönelik çalışmaların yapılması; her tür talep ve şikâyetlerin takibi; sponsorluk-sosyal sorumluluk ve sivil toplum aktiviteleri-organizasyon ve etkinlik-kurumsal iletişim faaliyetlerinin gerçekleştirilmesi; saklama ve arşiv faaliyetleri; performans değerlendirme, yetenek, kariyer gelişimi; iş süreçlerinin iyileştirilmesi; ziyaretçi kayıtlarının oluşturulması ve takibi; yabancı personel çalışma ve oturma izni işlemleri; veri sorumlusu operasyonlarının güvenliğinin temini; taşınır-taşınmaz mal ve kaynakların güvenliğinin sağlanması; stratejik planlama faaliyetlerinin gerçekleştirilmesi için belirli, açık ve meşru amaçlar için veri elde edilmesi ve işlenmesi yapılmaktadır.
EK.2 KİŞİSEL VERİ TOPLAMANIN HUKUKİ SEBEBİ
Veri elde eden ve işleyen veri sorumlusu olarak; Kişisel verileri Koruma Kanunu, kanun kapsamında çıkarılan yönetmelik ve tebliğler ile Kişisel Verileri Koruma Kurumu ve Kurulu tarafından verilmiş kararlar dahil olmak üzere yasal tüm mevzuat tarafından açıkça düzenlenmiş olması, veri sorumlusuna açıkça kanunlarla yüklenmiş hukuki yükümlülüklerinin yerine getirilmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, bir hakkın tesisi, kullanılması veya korunması ve ilgili kişinin temel hak ve özgürlükleri zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması, hukuki sebebine dayalı olarak, hukuki sebeplerin varlığı ile sınırlı olarak toplanmaktadır.
EK.3 KİŞİSEL VERİ SAHİPLERİ
Çalışan
Şirketimizin faaliyet konusu işleri yapmak üzere çeşitli birimlerde görevlendirilmiş kişiler.
Çalışan adayı
İhtiyaç duyulan birimlerde çalışmak üzere iş başvurusunda bulunan kişiler.
Şirket hissedarı
Türk Ticaret Kanunu Hükümlerine göre şirket kurucu ortağı olan yada daha sonra hisse satın alan kişiler.
İş Ortakları- İş birliği yapılar kurumların çalışanları ve hissedarları ile yetkilileri
Her türlü iş ilişkisi içinde bulunulan mal ve hizmet alımı yapılan müşteri, tedarikçi, üretici kişiler ……
Şirket yetkilisi
Şirketi Türk Ticaret Kanunu Hükümlerine göre temsil ve ilzama yetkili kişiler.
Ziyaretçi
Ticari veya başkaca amaçlarla işyerine geçici süreliğine gelen kişiler.
Aile bireyleri ve yakınları
Çalışan, çalışan adayı veya işbirliği içerisinde bulunduğumuz kişilerin aile ve yakın bilgisi alınan kişiler.
EK.4 KİŞİSEL VERİ KATEGORİLERİ
Kimlik Bilgileri
Ad, soyad, T.C. kimlik numarası, cinsiyet, doğum tarihi ve yeri, uyruk, medeni hal, kayıtlı olduğu il/ilçe/mahalle/köy/cilt no/aile sıra no/sıra no, nüfus cüzdanının verildiği yer/veriliş nedeni/kayıt no/veriliş tarihi, anne-baba adı, nüfus cüzdanı seri no / sıra no bilgilerini kapsayacak şekilde basılı form ya da dijital olarak elde edilen ve işlenen bilgiler.
Aile Bireyleri Ve Yakın Bilgisi
Eş ve çocuklar ile bakmakla yükümlü olduğu kişilerin ad-soyad, bilgisi, doğum tarihi, eğitim durumu
………….
İletişim Bilgileri
İlgili kişiler ile iletişim kurmak üzere adres, yakının adresi, GSM ya da sabit hat telefon bilgileri, e-posta adresi, sosyal medya hesap adresleri, web sayfa adresleri basılı form ya da dijital olarak elde edilen ve işlenen bilgiler.
Mali Veriler
İlgililerin finansal işlemlerini yürütebilmek amacıyla ücret, maaş, banka hesap ve IBAN bilgisi, borç miktarı, kıymetli evrak bilgisi (çek-emre muharrer senet), fatura bilgileri için alınan adres, vergi numarası, MERSİS form ya da dijital olarak elde edilen ve işlenen bilgiler.
Özlük Verileri
Çalışanlardan elde edilen kimlik bilgileri, medeni durumu, sürücü ehliyeti, askerlik bilgileri, SGK bilgileri, CV’ye eklenmiş özgeçmiş bilgileri, eğitim durumunu gösterir bilgiler, adli sicil kaydı bilgileri ile iş başvurusunda bulunulması sırasında referans gösterilen kişilerin bilgileri ile iş tecrübesini gösterir geçmiş çalışılan yerlerle ilgili bilgiler iş faaliyetlerinin yürütülmesi, insan kaynakları bölümünün faaliyetleri ve işbu politikanın içeriğinde yer alan tüm amaçlar doğrultusunda yasal mevzuat gereği yükümlülükler ve sözleşme ilişkileri gereğince basılı form ya da dijital olarak elde edilen ve işlenen bilgiler.
Görsel Ve İşitsel Veriler
Fotoğraf, video, kamera kaydı, ses kaydı.
Mesleki Bilgi
Eğitim bilgileri, kurs, seminer, sertifika bilgileri, yabancı dil seviyesi, CV’ye eklenen tüm bilgiler.
Poliçe Verisi
Araç plakası, motor ve şasi no, aracın türü, kullanım şekli, araç marka, model-yılı, sbm tramer no, araç tescil tarihi, taşınmaz adres, ada, parsel, pafta, inşaa yılı, kullanım şekli, bina inşa tarzı, hasar durumu, yüzölçümü, kat sayısı, seyahat edilecek ülke, seyahat süresi, vize türü, işyeri adres, faaliyet konusu, yapı tarzı, demirbaş bilgisi, vergi numarası, taşınır, taşınmaz verileri.
Diğer Veriler
Dernek, Vakıf, Spor Kulübü vb üyelikler, hobileri??
Sağlık Bilgisi
Var ise engel durumu, sağlık raporu, kan grubu, sağlık durumu beyanı, tıbbi geçmiş, engel durumu, kullanılan ilaçlar.