1. GİRİŞ
KARYA YATIRIM VE TARIM ANONİM ŞİRKETİ (Bundan böyle “Veri Sorumlusu” olarak anılacaktır), ticari varlık ve başarılarını desteklediği etik değerleri gereği hukuki düzenlemelere riayet edilmesi konusunda yüksek hassasiyet sahibi olup, kişisel verilerin korunmasına ilişkin mevzuata uyum çerçevesinde gerekli her türlü yapılanmayı tesis etmektedir.
Kişisel Verilerinin Korunması ve İşlenmesi Politikası (Bundan böyle “Kişisel Verilerinin Korunması ve İşlenmesi Politikası veya Politika” olarak anılacaktır) ile Veri Sorumlusuyla istihdam veya sözleşmesel ilişkisi içerisinde bulunan gerçek kişilere ait verilerin işlenmesinde benimsenen ilke ve esaslar düzenlenmekte ve bu kapsamda Veri Sorumlusu tarafından yürütülen kişisel veri işleme faaliyetlerinde veri sahiplerinin hukuki güvenlikleri temin edilmekte ve şeffaflık sağlanmaktadır.
Kişisel Verilerinin Korunması ve İşlenmesi Politikası, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkin olarak Veri Sorumlusu tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanununda (Bundan böyle “KVK Kanunu” olarak anılacaktır) yer alan düzenlemelere uyum kapsamında temel prensipler ve Veri Sorumlusu tarafından yerine getirilecek esaslar belirlenmektedir. İşbu Politika, ilgili mevzuat ile paralel bir içeriği haiz olmakla birlikte, Politika ile yürürlükte bulunan yasal mevzuatın çelişmesi durumunda mevzuat hükümleri tatbik edilecektir.
2. VERİ SORUMLUSU
Veri Sorumlusu; KVK Kanunu gereği amaç ve vasıtalarını belirlemekte olduğu kişisel veri işleme faaliyetlerinde “veri sorumlusu” sıfatını haizdir ve işbu politika ile veri sorumlusu sıfatı sebebiyle edinmiş olduğu yükümlülükleri kamuoyuna duyurmaktadır.
3. TANIMLAR
KVK Politikası’nda ve mevzuatta yer alan önemli tanımlar anlamlarıyla birlikte aşağıdaki tabloda yer almaktadır:
a) Kişisel Veri:
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
b) Özel Nitelikteki Kişisel Veri:
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
c) Veri Sahibi:
Kişisel işlenen belirli yada belirlenebilir gerçek kişi (İlgili kişi)
d) Açık Rıza:
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan muvafakat
e) Anonim Hale Getirme:
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
f) Kişisel Verilerin İşlenmesi:
Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
g) Veri Sorumlusu:
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
h) Veri İşleyen:
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleme faaliyetinde bulunan organizasyon dışı gerçek ve tüzel kişi
i) KVK Kanunu (Kanun):
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel
Verilerin Korunması Kanunu,
j) KVK Kurulu:
Kişisel Verileri Koruma Kurulu
k) KVK Kurumu (Kurum):
Kişisel Verileri Koruma Kurumu
l) VERBİS:
KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı nezdinde kamuya açık şekilde tutulan Veri
Sorumluları Sicili
m) Veri Sorumlusu (Şirket):
KARYA YATIRIM MVE TARIM ANONİM ŞİRKETİ
n) Veri Sorumlusu İş Ortakları:
Veri Sorumlusu’nun ticari ilişkiler gereği işbirliğinde bulunduğu kişiler
o) Veri Sorumlusu KVK Saklama ve İmha Politikası:
Bünyesinde barındırdığı kişisel verilerin saklanma, silinme, yok edilme ve anonim hale gelme süreçlerinin
düzenlendiği Veri Sorumlusu tarafından tanzim edilmiş olan politika
p) Veri Sorumlusu Tedarikçileri:
Sözleşme temelli olarak Veri Sorumlusu’na hizmet sunan üçüncü kişiler
q) Veri Sorumlusu Veri Sahibi Başvuru Formu:
Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu
r) Veri Sorumlusu KVK Politikası:
Veri Sorumlusu Kişisel Verilerin İşlenmesi ve Korunması Politikası
s) Grup Şirketler:
Veri Sorumlusu bünyesinde yer alan topluluk şirketleri
t) Kişisel Veri İşleme Envanteri:
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
u) Veri Sorumluları Sicili Hakkında Yönetmelik:
30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanan 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik
v) Veri Güvenliği Kurulu:
Veri Sorumlusu tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan Kurul
4. VERİ GÜVENLİĞİ KURULU
Veri Güvenliği Kurulu; Veri Sorumlusu bünyesinde işlenen kişisel verilerin korunmasından ve kişisel verilerin korunması mevzuatına uyum sürecinin takibinden sorumlu olan birimdir. İnsan Kaynakları, IT ve Hukuk departmanları temsilcilerinden oluşmaktadır.
Kurul tarafından gerek duyulması halinde veya talep doğrultusunda gerekli toplantılar gerçekleştirilir. Politikaların revizyonu ve mevzuata uyumu Veri Güvenliği Kurulu tarafından kontrol edilmektedir. Bu kapsamda aşağıda belirtilen faaliyetler ile sair uyum süreçleri Veri Güvenliği Kurulu tarafından yürütülmektedir:
a) Kişisel verilerin korunması alanında gerekli rol ve görevlendirmelerin yapılması,
b) Kanun ve Kurul kararlarına uygun olarak kişisel verilerin hukuka aykırı şekilde aktarımı, erişimi, açıklanmasını engellemek ve güvenlik eksikliği yaratabilecek sair hususlarda gerekli tedbirleri alınması ve uygulatılması,
c) Veri güvenliğine ilişkin tedbir ve idari kararların uygulanmasına ilişkin denetimlerin gerçekleştirilmesi,
d) Gerektiği takdirde özel nitelikli kişisel verilerin muhafazasına ilişkin ek tedbirlerin uygulanması,
e) Şirket bünyesinde veri koruma kültürünün temin edilmesi amacıyla gerektiği takdirde eğitimler düzenlenmesi,
f) Mevzuata uyum açısından ilgili dokümanların uygulanmasının temini ve gerekli denetimlerin yürütülmesi,
g) Grup şirketlerinin mevzuattan doğan yükümlülüklerinin yerine getirip getirilmediğinin takibi,
h) KVK Kurumu ve KVK Kurulu ile olan ilişkilerin takibi.
4.1. ROL VE GÖREVLER
Kurum ile kurulacak iletişim için veri sorumlusu tarafından VERBIS kayıt ve bilgi girişi işlemleri görevini ifa edecek olan “İrtibat kişisi” değiştirilmesine ilişkin karar Veri Güvenliği Kurulu ve Yönetim Kurulu kararı ile atanır.
“Kişisel Veri Sahibi İlişkileri Kılavuzu” gereği ‘Veri sahibi ilişkileri ve ilgili mekanizmaların işlerliğini kontrol’ görevlerini ifa edecek olan “Veri Sorumlusu Temsilcisi” Veri Güvenliği Kurulu kararı veya Yönetim Kurulu kararı ile atanır. Yukarıda belirtilen asgari görevlere ek olarak, kişisel veri mahremiyeti uyumunun temini için duyulacak ihtiyaçlar sebebi ile atanacak görevli kişilere birtakım ek görev ve sorumluluklar verilebilir.
4.2. POLİTİKA, PROSEDÜR, REHBER VE KILAVUZLARIN HAZIRLANMASI
Kişisel verilerin korunması mevzuatına uyumun sağlanmasının temini amacıyla Veri Güvenliği Kurulu tarafından; Veri Sorumlusu adına veri sorumlusu sıfatı ile aşağıda yazılı olan veya gerek duyulacak dokümanların revizyonu sağlanır.
1. Kişisel Verilerin Korunması Politikası
2. Kişisel Veri Saklama ve İmha Politikası
3. Kişisel Veri İhlali Prosedürü
4. Kanun gereği hazırlanması gereken diğer metinler
5. POLİTİKA ESASLARI
5.1. TEMEL İLKELER
Veri Sorumlusu tarafından, kişisel verilerin işlenmesi esnasında aşağıda yazılı temel ilkeler benimsenmektedir.
5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme
Veri Sorumlusu, Türkiye Cumhuriyeti Anayasası ve KVK Kanunu başta olmak üzere, kişisel veri işleme faaliyetlerini, veri mahremiyeti mevzuatına ve dürüstlük kuralına uygun şekilde yürütür.
5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme
Veri Sorumlusu, işlemekte olduğu kişisel verilerin doğruluğunu ve güncelliğini sağlayarak bu çerçevede gereken idari ve teknik tedbirleri alır ve süreç takibini sürdürür.
5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme
Veri Sorumlusu; kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işler. Bu kapsamda; kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenmektedir. Diğer bir deyişle, kişisel veriler yalnızca ileride kullanılabileceği varsayımı ile işlenmemektedir (kişisel verilerin muhafaza edilmesi de veri işleme faaliyetidir). Bu çerçevede Veri Sorumlusu, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurur.
5.1.4.Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
Veri Sorumlusu; kişisel verileri, ilgili mevzuatta bir süre öngörüldüğü takdirde bu süreye riayet edecek süre ile işler. Mevzuatta bu doğrultuda bir düzenleme bulunmaması halinde ise verileri, veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza eder. Veri Sorumlusu; mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silme, yok etme veya anonim hale getirme yöntemleriyle imha etmektedir. Bu kapsamda, oluşturulmuş olan Veri Sorumlusu Kişisel Veri Saklama ve İmha Politikası'na riayet edilmektedir.
5.2. HUKUKA UYGUN İŞLEME FAALİYETİ
Veri Sorumlusu; kişisel verilerin işlenmesi faaliyetlerinde bulunurken; temel ilkelere de riayet etmek kaydıyla, KVK Kanunu’nun 5. ve 6. maddelerinde belirlenen veri işleme şartlarına uygun şekilde hareket eder.
Veri Sorumlusu, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları kurgular. Ayrıca kurum içi eğitimlerle veri mahremiyeti konusunda personel farkındalığını sağlayarak sürecin sürekliliğini hassasiyetle yürütür.
Veri Sorumlusu; kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, 5237 Sayılı Türk Ceza Kanunu, KVK Kanunu ve sair mevzuat ile Veri Sorumlusu KVK Politikası’nda ortaya konulan kurallara paralel şekilde faaliyet göstermektedir.
5.2.1. Veri İşleme Şartları
Kişisel veriler, Veri Sahibinin açık rızası temin edilmek kaydıyla mevzuata ve Kurul kararlarına uygun şekilde işlenmektedir. Aşağıda belirtilen koşullardan en az birinin temini halinde, açık rıza aranmaksızın veri işleme faaliyetleri gerçekleştirilebilmektedir:
– Açık rıza: Kişisel veri sahibinin bilgilendirmeye dayalı şekilde belirli bir konuya ilişkin olarak hukuka uygun, özgür iradesi ile rıza temin etmesi neticesinde veri işlenmesi.
– Kanunda öngörülme/zorunluluk arz etme: Kişisel verinin işlenmesine ilişkin mevzuatta açık hüküm bulunması veya Veri İşleyen’in hukuki yükümlülükleri kapsamında zorunluluk teşkil etmesi durumunda veri işlenmesi.
– Fiili imkansızlık sebebiyle açık rıza alınamaması: Veri sahibinin fiili imkansızlık sebebiyle açık rıza veremeyecek durumda olması veya rızasına geçerlilik tanınamayacak olması durumunda, veri sahibi veya üçüncü bir kişinin hayatı veya beden bütünlüğünün korunması için zorunluluk teşkil etmesi halinde ilgili verinin işlenmesi.
– Sözleşme ile bağlantı: Bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili ve gerekli olması durumunda taraflara ait kişisel verilerin işlenmesi.
– Kişisel verinin veri sahibi tarafından alenileştirilmesi: Verinin doğrudan Veri Sahibi tarafından aleni hale getirilmesi durumunda, alenileştirme kapsamı ile sınırlı şekilde veri işlenmesi.
– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri işlenmesi.
– Veri sorumlusunun meşru menfaatleri: Veri Sahibinin temel hak ve özgürlükleri muhafaza edilmek kaydıyla, Veri Sorumlusunun meşru menfaatleri gerektirdiği durumda veri işlenmesi.
5.2.2. Özel Nitelikli Kişisel Veri İşleme Şartları
Özel nitelikli kişisel veriler, aşağıdaki şartların bulunması halinde; ilgili mevzuat, Kurul kararları ve Veri Sahibi tarafından tatbik edilen politikalara uygun şekilde Kanunun 6. Maddesine uygun olarak açık rıza çerçevesinde işlenebilecektir.
5.2.3 Veri İşleme Faaliyetine Konu Özel Durumlar
– İş Hukukundan kaynaklanan yan haklar ve menfaatlerin sağlanması,
– Fırsat eşitliğinin sağlanması,
– Hukuka aykırılıkların engellenmesi,
– Referans verilmesi,
– Şirket birleşme ve devralmaları ile şirket yapısını değiştiren diğer işlemlerde işleme,
– Disiplin soruşturmaları ve denetim süreçlerinde kişisel verilerinizin işlenmesi,
– Sağlık verilerinin ayrı saklanması ve sağlık verilerini işlemeye yetkili kişiler,
– Elektronik haberleşme araçlarının kullanımına ilişkin kişisel verilerin işlenmesi,
– Güvenlik kamerası uygulamasına ilişkin kişisel verilerin işlenmesi,
– İnternet kullanımına ilişkin kişisel verilerin işlenmesi,
– Şirket tarafından tahsis edilen araçlara ilişkin kişisel verilerin işlenmesi,
– Üçüncü kişilerden çalışanlar hakkında bilgi talep edilmesi kapsamında kişisel verilerin işlenmesi
5.3. HUKUKA UYGUN VERİ AKTARIMI
Veri Sorumlusu tarafından; kişisel verilerin, grup şirketleri ve 3. kişilerle paylaşımında veya kişisel verilerin 3. kişilerin paylaşımına açılmasında KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına riayet edilir. Verilerin aktarıldığı 3. kişilere, bahse konu kişisel verilerin güvenliğini sağlaması için gerekli tüm tedbir ve denetimler yaptırılır.
5.3.1. Kişisel Verilerin Aktarımı
Kişisel veriler, Veri Sahibinin açık rızası üzerine aktarılabileceği gibi, gerekli koruyucu tedbirler mevzuata ve Veri Sahibi politikalarına uygun şekilde tatbik edilmek kaydıyla aşağıdaki koşulların varlığı halinde ilgilinin açık rızası bulunmaksızın aktarılabilmektedir:
– Açık rıza: Kişisel veri sahibinin bilgilendirmeye dayalı şekilde belirli bir konuya ilişkin olarak hukuka uygun, özgür iradesi ile rıza temin etmesi neticesinde veri aktarımı.
– Kanunda öngörülme/zorunluluk arz etme: Kişisel verinin işlenmesine ilişkin mevzuatta açık hüküm bulunması veya Veri Sorumlusunun hukuki yükümlülüklerini ifası kapsamında zorunluluk teşkil etmesi durumunda veri aktarımı.
– Fiili imkansızlık sebebiyle açık rıza alınamaması: Veri sahibinin fiili imkansızlık sebebiyle açık rıza veremeyecek durumda olması veya rızasına geçerlilik tanınamayacak olması durumunda, veri sahibi veya üçüncü bir kişinin hayatı veya beden bütünlüğünün korunması için zorunluluk teşkil etmesi halinde ilgili verinin aktarımı.
– Sözleşme ile bağlantı: Bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili ve gerekli olması durumunda taraflara ait kişisel verilerin aktarımı.
– Kişisel verinin veri sahibi tarafından alenileştirilmesi: Verinin doğrudan Veri Sahibi tarafından aleni hale getirilmesi durumunda, alenileştirme kapsamı ile sınırlı şekilde veri aktarımı.
– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri aktarımı,
– Veri sorumlusunun meşru menfaatleri: Veri Sahibinin temel hak ve özgürlükleri muhafaza edilmek kaydıyla, Veri Sorumlusunun meşru menfaatleri gerektirdiği durumda veri aktarımı.
5.3.2. Özel Nitelikli Kişisel Verilerin Aktarımı
Yeterli teknik ve idari güvenlik önlemlerinin tesis edilmesi koşuluyla ve aşağıda belirtilen şartların varlığı halinde özel nitelikli kişisel veriler aktarılabilmektedir:
– Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunda açıkça düzenlenmesi durumunda Veri Sahibinin açık rızası temin edilmeksizin aktarılabilmektedir. Kanunda bu doğrultuda bir düzenleme bulunmaması halinde ise ilgilinin açık rızası bulunması kaydıyla veri aktarılabilmektedir.
Belirtilen veri aktarım şartlarının mevcudiyeti halinde ilgili kişisel veriler, Kurul tarafından tespit ve ilan edilen yeterli korumaya sahip/güvenli ülkelere veya yeterli korumanın bulunmaması halinde ilgili mevzuat ve Kurul düzenlemeleri ile belirlenen veri aktarım koşulları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumanın sağlanmasına ilişkin yazılı taahhüdünün temin edildiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabileceği gibi; Kurul tarafından belirlenen sınırlama ve koşullara riayet edilmek kaydıyla Bağlayıcı Şirket Kuralları uygulamasına başvurulması halinde yurt dışına aktarılabilecektir.
6. YÜKÜMLÜLÜKLER
Kişisel Verilerin hangi amaçlarla işleneceği, veri aktarımının kimlere yapılabileceği, hangi amaçlarla veri işlenebileceği ve aktarılabileceği, veri toplama yöntemlerine ilişkin olarak veri sahipleri Şirket tarafından bilgilendirir. Bu bilgilendirme kapsamında, veri sahibinin kişisel verilerine ilişkin olarak sahip oldukları haklar ve ne şekilde kullanılacağı konusunda da aydınlatılır.
Veri Sorumlusu; KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymaktadır. Bu kapsamda işbu politikada Veri Sorumlusu’nun uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:
6.1. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü
Veri Sorumlusu; kişisel verilerin korunması faaliyetlerini düzenleyen ve bu alanda ülkemizin idari otoritesi olan KVK Kurumu’nun icra organı olan KVK Kurulu tarafından, şikayet halinde ya da resen yapılan inceleme sonucunda tebliğ edilen kararları derhal uygular. Ayrıca KVK Kurulu tarafından tesis edilen ilke kararlarını da veri mahremiyeti kuralları olarak benimser.
6.2. Veri Sahibi İlişkileri Yükümlülüğü
Veri Sorumlusu; veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırır. Veri Sahibi başvurularına ilişkin süreçler Kanun ve KVK Kurulu ilke kararlarına uygun olarak sonuçlandırılır.
Veri Sahipleri, KVK Kanunu’nun 11. maddesi uyarınca Veri Sorumlusuna web sitesi adresi üzerinde yer alan başvuru formunu kullanarak aşağıda belirtilen haklarını kullanabilmektedirler.:
a) Kişisel verilerinin işlenip işlenmediğini öğrenmek,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
f) KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
h) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
6.3. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü
Veri Sorumlusu; Veri Sorumluları Sicili Hakkında Yönetmelik’te bahsi geçen kriterleri sağlaması halinde, KVK Kanunu’nun 16. maddesine ve yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne kaydolmaktadır.
6.4. Veri Sahibini Aydınlatma Yükümlülüğü
Veri Sorumlusu; KVK Kanunu’nun 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun şekilde kişisel verilerin elde edilmesi sırasında veri sahiplerinin, yetkilendirdiği kişiler tarafından bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Aydınlatma yükümlülüğünü yerine getirme amacıyla internet sitesinde yayımlanmış olan KVK Aydınlatma Metnini ve politikaları inceleyebilirsiniz.
6.5. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Veri Sorumlusu tarafından, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle ve;
1. Kişisel verilerin hukuka aykırı işlenmesini önlemek,
2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
3. Kişisel verilerin muhafazasını sağlamak
Amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler alınmaktadır. Ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimler tatbik edilmektedir.
7. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Veri Sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek ve kişisel verilerin güvenli şekilde muhafazasını sağlamak amacı ile imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri alır.
7.1. İDARİ TEDBİRLER
– Veri Sorumlusu tarafından; kişisel veri kategorileri, veri sahipleri, işleme amaçları ve alınan güvenlik tedbirlerinin yer aldığı Kişisel Veri İşleme Envanteri oluşturulur.
– Kişisel verilerin korunmasına ilişkin gerekli kurumsal politika ve prosedürler oluşturularak bunların işlerliliği ve devamlılığı sağlanır.
– Çalışanlarla gizlilik taahhütnameleri imzalanır.
– Farkındalık eğitim ve toplantıları yapılarak kurum içi veri koruma bilinci oluşturulur.
– Kişisel verilerin aktarıma konu olduğu durumlarda, grup şirketleri ya da 3. Kişi şirketler tarafından gerekli tedbirlerin alınması sağlanır.
– İş sözleşmeleri ve disiplin yönetmeliklerine kanuna uygun hükümler eklenir.
– Şartların sağlanması halinde Veri Sorumluları Sicil Bilgi Sistemi VERBİS’e kayıt ve bilgi girişi işlemleri tamamlanır.
– Veri işleyenler ile imzalanan sözleşmelere Veri Güvenliği hükümleri eklenir.
7.2. TEKNİK TEDBİRLER
– Veri Sorumlusu tarafından; kişisel veri içeren fiziksel ve elektronik ortamların güvenliği sağlanır.
– Kötü amaçlı yazılımlara karşın kişisel veriler düzenli aralıklarla yedeklenir ve yedeklenen kişisel verilerin güvenliği sağlanır.
– Siber güvenliğin teminin sağlanması amacıyla bilişim ağlarına yönelik önleyici sistem ve yazılımlar kurulur.
– Veri Sorumlusu çalışanlarının kişisel verilere erişim yetkisi, görev ve yetki kontrolleri devamlı suretle sağlanarak oluşturulur.
– Veri güvenliği eğitimleri planlanır.
– Veri sızma testi standartları belirlenir.
7.3. KİŞİSEL VERİ İHLALİ
Veri Sorumlusu; işlenen kişisel verilerin hukuka aykırı şekilde yetkisiz kimseler tarafından elde edilmesi durumunda, 72 saat içerisinde durumu KVK Kurulu’na ve ilgili veri sahiplerine bildirir. Bu sebeple Veri Sorumlusu Veri İhlali Prosedürü (link) oluşturulmuş; bu prosedür kapsamında Veri Güvenliği Kurulu tarafından Veri Sorumlusu bünyesindeki tüm ihlal tatbikatları kurgulanmaktadır.
8. KİŞİSEL VERİLERİN İMHASI
Veri Sorumlusu; KVK Kanunu’nun 7. maddesi gereğince, hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik oluşturduğu Kişisel Veri Saklama ve İmha Politikası gereği kişisel verilerin imhasına ilişkin gerekli tüm iç sistemlerini oluşturmuştur.
9. REVİZYON
İşbu Politika, Veri Güvenliği Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Veri Güvenliği Kurulu yetkilidir.
KVK Politikası, Veri Sorumlusu tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Veri Güvenliği Kurulu onayına sunularak güncellenir. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Veri Sorumlusu, idari otorite olan KVK Kurumu tarafından yapılacak olan yasal düzenlemelere paralel olarak KVK Politikası’nda değişiklik yapma hakkını saklı tutar.
İşbu politikada veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek politikaya eklenecek, gerekli duyurular yapıldıktan sonra politikanın ayrılmaz bir parçası olarak kabul edilecektir. KVK Politikası’nın güncel versiyonu Veri Sorumlusu’na ait internet sitesinden- yayımlanacaktır.
EKİ :
i) Kişisel Veri Saklama Amaçları (EK-1)
ii) Kişisel Veri Sahipleri (EK-2)
iii) Kişisel Veri Kategorileri (EK-3)
iv) Şirket Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları (EK-4)
EK-1 Kişisel Veri İşleme Amaçları
Birincil Amaç:
Şirket'in insan kaynakları politikaları ve süreçlerinin planlanması ve yürütülmesi
İkincil Amaç:
i. Şirket tarafından yürütülen faaliyetler çerçevesinde hizmet sunumu amacıyla personel temin süreçlerinin yürütülmesi
ii. Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
iii. Çalışanların performans değerlendirme süreçlerinin yönetilmesi
iv. Ücret politikasının yürütülmesi
v. Yetenek, kariyer gelişimi faaliyetlerinin yürütülmesi
vi. Çalışan talep ve şikayet yönetimi
vii. Şirket çalışanlarının memnuniyet ve bağlılığının artırılmasına yönelik süreçlerin planlanması ve yönetilmesi
viii. Şirket içerisinde personel ve yöneticilerin atama ve terfi süreçlerinin yönetimine destek olunması
Birincil Amaç:
Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimi tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi
İkincil Amaç:
i. Finans ve/veya muhasebe işlerinin takibi
ii. Yönetim faaliyetlerinin yürütülmesi
iii. İş faaliyetlerinin satın alım süreçleri ile birlikte satış sonrası destek hizmetlerinin yürütülmesi
iv. İş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası
Birincil Amaç:
Şirket'in hukuki, teknik ve ticari-iş güvenliğinin temini
İkincil Amaç:
i. Hukuk işlerinin takibi
ii. Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini ve denetimi için
gerekli operasyonel faaliyetlerinin planlanması ve yürütülmesi
iii. İş sürekliliğinin sağlanması ve iş faaliyetlerinin yürütülmesi
iv. Şirket kaynaklarının güvenliğinin temini
v. Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi
vi. Verilerin doğru ve güncel tutulması
vii. Müşteri/Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
EK-2 Kişisel Veri Sahipleri
Kişisel veri sahibi kategorisi:
Stajyer
Açıklama:
Şirket tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb faaliyetler çerçevesinde kişisel verileri işlenen Şirket stajyerleri
Kişisel veri sahibi kategorisi:
Çalışan Adayı
Açıklama:
Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine göndermiş olan gerçek kişiler.
Kişisel veri sahibi kategorisi:
Çalışan
Açıklama:
Şirket tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb faaliyetler çerçevesinde kişisel verileri işlenen Şirket çalışanları
Kişisel veri sahibi kategorisi:
Tedarikçi Çalışanı/Yetkilisi
Açıklama:
Şirket’in ticari faaliyetlerini yürütürken Şirket emir ve talimatlarına uygun olarak sözleşmesel ilişki kapsamında hizmet sunan taraf çalışanı veya yetkilisi olan gerçek kişiler.
Kişisel veri sahibi kategorisi:
Ürün/Hizmet Alan Kişi
Açıklama:
Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket iş birimlerinin yürüttüğü faaliyet, hizmet ve operasyonlar kapsamında kişisel verileri elde edilen gerçek veya tüzel kişiler
Kişisel veri sahibi kategorisi:
Ziyaretçi
Açıklama:
Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler
EK-3 Kişisel Veri Kategorileri
KİŞİSEL VERİ KATEGORİZASYONU:
Kimlik Bilgisi
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Kişinin kimliğine dair bilgilerin bulunduğu veriler olup ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı ve pasaport gibi belgeler
KİŞİSEL VERİ KATEGORİZASYONU:
İletişim Bilgisi
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Telefon numarası, adres, e-mail adresi, faks numarası vb. bilgiler
KİŞİSEL VERİ KATEGORİZASYONU:
Özlük Bilgisi
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Çalışanın bordro ve özgeçmiş bilgileri ile disiplin soruşturması, işe giriş belgesi kayıtları, performans değerlendirme raporları vb. belgeler
KİŞİSEL VERİ KATEGORİZASYONU:
Müşteri İşlem/Pazarlama Bilgisi
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Şirket tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili hizmet kalitesini artırmak, müşteri memnuniyetini korumak amacıyla işlenen anket bilgisi, beyan bilgisi, çağrı merkezi kayıtları, cookie kayıtları gibi veriler
KİŞİSEL VERİ KATEGORİZASYONU:
Fiziksel Mekan Güvenlik Bilgisi
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtlar ve güvenlik noktasında alınan kayıtlar vb.
KİŞİSEL VERİ KATEGORİZASYONU:
Finansal ve Muhasebe Bilgi
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Kişisel veri sahibi ile kurulmuş olan hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası gibi veriler
KİŞİSEL VERİ KATEGORİZASYONU:
Görsel/İşitsel Bilgi
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç) ve ses kayıtları
KİŞİSEL VERİ KATEGORİZASYONU:
Özel Nitelikli Kişisel Bilgi
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Kişilerin sendika üyeliği, sağlığı ve ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili
verileri
KİŞİSEL VERİ KATEGORİZASYONU:
Hukuki İşlem Bilgisi
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Hukuki alacak ve hakların tespiti, takibi ve borçların ifası ile kanuni yükümlülükler ile birlikte Şirket politikalarına uyum kapsamında işlenen kişisel veriler
KİŞİSEL VERİ KATEGORİZASYONU:
Diğer
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA:
Şirket faaliyetlerinin sürekliliği kapsamında işlenen kişisel veriler
EK-4 Şirket Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak işbu Çalışanların Kişisel Verilerinin Korunması ve İşlenmesi Politikası ile yönetilen veri sahiplerinin kişisel verileri aşağıda yer alan kişi kategorilerine aktarılabilir:
(i) Kanunen yetkili kamu kurum ve kuruluşlarına
(ii) Kanunen yetkili gerçek ve özel hukuk kişilerine
(iii) Tedarikçilere
(iv) Açık rıza olması halinde yurtdışına
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda
belirtilmektedir.
Veri Aktarımı Yapılabilecek Kişiler:
Kanunen Yetkili Kamu Kurum ve Kuruluşları
Tanımı:
İlgili mevzuat hükümlerine
göre Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları
Veri Aktarım Amacı:
İlgili kamu kurum ve
kuruluşlarının hukuki yetkisi
dahilinde talep ettiği amaçla.
Veri Aktarımı Yapılabilecek Kişiler:
Kanunen Yetkili Gerçek ve Özel Hukuk Kişileri
Tanımı:
İlgili mevzuat hükümlerine
göre Şirket’ten bilgi ve belge almaya yetkili gerçek ve özel hukuk kişileri
Veri Aktarım Amacı:
İlgili gerçek ve özel hukuk kişilerinin hukuki yetkisi
dahilinde talep ettiği amaçla.
Veri Aktarımı Yapılabilecek Kişiler:
Tedarikçi
Tanımı:
Şirket’in ticari faaliyetlerini yürütürken Şirket emir ve talimatlarına uygun olarak sözleşmesel ilişki kapsamında hizmet sunan taraf çalışanı veya yetkilisi olan gerçek kişiler.
Veri Aktarım Amacı:
Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla.
Açık rıza doğrultusunda;
Veri Aktarımı Yapılabilecek Kişiler/Veriler:
Google Analytics, Amazon Web Services, Iyzico Sanal Pos, Minerva vb
Tanımı:
Şirket’in sözleşmesel ilişki içerisinde bulunduğu yurtdışında bulut/server ve veri muhafazası hizmeti veren firmalar
Veri Aktarım Amacı:
Şirket’in kullanmakta olduğu yazılım ve sistemlerin kullanımı, online sesli ve görüntülü toplantıların gerçekleştirilmesi, e-posta kullanımı amacıyla.
Veri Aktarımı Yapılabilecek Kişiler/Veriler:
Lokasyon
Tanımı:
Kişinin veya Şirket tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerin bulunduğu yerin konum bilgileri vb.
Veri Aktarım Amacı:
Satış, teslim ve teknik servis hizmetlerinin sürekliliği ve kalitesinin arttırılması amacıyla