SAKARYA 3. ORGANİZE SANAYİ BÖLGESİ (“Şirket”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVK Kanunu) tanımlı veri sorumlusu sıfatıyla işlediğimiz kişisel verilerinizin güvenliğine önem veriyoruz. Bu nedenle sizleri kişisel verilerinizin işlenmesine ilişkin olarak bilgilendirmek isteriz.
KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI VE HUKUKİ SEBEPLERİ
Kişisel verileriniz KVK Kanunu ve ikincil düzenlemelere uygun olarak aşağıda belirtilen amaçlar ve hukuki sebepler çerçevesinde işlenmektedir:
Hukuki Yükümlülükler: Kişisel verileriniz, KVK Kanunu m.5/2 (ç) hükmünde belirtilen hukuki sebebe dayanılarak Şirket’in tabi olduğu herhangi bir mevzuat hükmünün gerektirmesi halinde işlenebilir, aktarılabilir ve ilgili mevzuatta öngörülen ya da amaç için gerekli olan süre boyunca saklanabilir.
Uyuşmazlıkların Çözümü: Kişisel verileriniz, KVK Kanunu m.5/2(e) hükmünde belirtilen bir hakkın tesisi, kullanılması veya korunması hukuki sebebine dayanarak işlemlerin hukuka uygun olarak gerçekleştirildiğini ve yasal yükümlülüklerin yerine getirildiğini ispatlamak ve uyuşmazlıkların çözümünü sağlamak amacıyla işlenir ve ilgili yasal merciler ile paylaşabilir.
Sözleşme Süreçleri: Kişisel verileriniz, KVK Kanunu m.5/2(c) hükmünde belirtilen bir sözleşmenin kurulması ya da ifası hukuki sebebine dayalı olarak, Şirket’imizin tarafı olduğu sözleşmelerin kurulması ya da ifası amaçları ile talep, teklif, satın alma ve satış, finans ve muhasebe işlerinin yürütülmesi amaçlarıyla işlenmektedir ve ilgili mevzuatta öngörülen ya da amaç için gerekli olan süre boyunca saklanabilir.
Hizmetlerin İyileştirilmesi ve Müşteri Memnuniyeti: Kişisel verileriniz, KVK Kanunu m.5/2(f) hükmünde düzenlenen meşru menfaat hukuki sebebine dayalı olarak şikâyet ve önerilerinizin değerlendirilerek müşteri memnuniyetini ve hizmet kalitesini artırmaya yönelik aksiyonlar alınması, hizmetlerin iyileştirilmesi ve müşteri memnuniyeti ile iletişim amaçlarına dayalı faaliyetler,
Pazarlama/Reklam: Şirket, kişisel verilerinizi açık rıza vermeniz halinde, KVK Kanunu m.5/1’de belirtilen açık rıza hukuki sebebine dayalı olarak, çeşitli reklam ve pazarlama faaliyetleri için kullanabilir. Bu kapsamda kişisel verileriniz, potansiyel müşteri kaydı oluşturmak, kampanya ve fırsatlardan sizleri haberdar etmek, profilleme, hedefleme ve reklam faaliyetleri yürütmek, geçmiş tercihlerinize ve beğenilerinize en uygun teklifleri karşınıza çıkarmak amaçlarıyla işlenebilir. Kişisel verileriniz, pazarlama faaliyetlerine onay vermediğiniz ya da onayınızı geri aldığınız durumlarda söz konusu amaçlarla işlenmeyecektir.
Ticari Elektronik İleti Gönderilmesi: Şirket, kişisel verilerinizi fiziksel veya dijital kanallardan elde ettiği ticari elektronik ileti onayı ile KVK Kanunu m.5/1’de belirtilen açık rıza hukuki sebebine dayalı olarak, her türlü ürün ve hizmetlere ilişkin tanıtım, iletişim, reklam, pazarlama, satış, kampanya içerikli ticari elektronik ileti gönderilmesi vb. amaçlarıyla işleyebilir. Kişisel verileriniz, ticari iletişim izni geçerli olduğu sürece ve izin geri alındıktan sonra mevzuatta öngörülen ve makul sürelerle saklanmaktadır.
KİŞİSEL VERİLERİNİZİN AKTARILMASI
Kişisel verileriniz Kanun’un 8. ve 9. maddelerinde belirtilen şartlar çerçevesinde Şirket’in iş ortakları, dış hizmet alımı gerçekleştirdiği tedarikçileri ve yasal yükümlülüklerin yerine getirilmesi kapsamında talep edilmesi halinde ilgili kamu kurum ve kuruluşlarıyla paylaşılabilir. Kişisel verilerinizin pazarlama, profilleme ve reklam faaliyetlerinin yürütülmesi amacıyla işlenmesine izin vermiş olmanız halinde söz konusu faaliyetleri Şirket adına gerçekleştiren çözüm ortaklarımıza da veri aktarımı yapılması mümkündür.
KİŞİSEL VERİLERİNİZİ TOPLAMA YÖNTEMİ
Şirket sizlere sunduğu hizmetler ve yukarıda belirtilen veri işleme amaçları kapsamında kişisel verilerinizi elektronik ortamda çağrı merkezi ve e-posta kanallarıyla, web sitesinde üyelik/iletişim kayıt formları ya da web sitesi destek paneli ve web analiz araçları vasıtasıyla toplayabilmektedir. Bunun yanı sıra web sitesinde kullanılan çerezler aracılığıyla da kişisel verileriniz elde edilmektedir.
Çerezlere ilişkin detaylı bilgi için internet sitemizden Çerez Politikası’nı okuyunuz.
VERİ SAHİBİ OLARAK HAKLARINIZ
Veri sahibi olarak Şirket’e başvurarak;
Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahipsiniz.
Yukarıda sayılan haklarınıza ilişkin taleplerinizi Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ‘de öngörülen başvuru usullerine uygun olarak Şirket’le iletmeniz durumunda Şirket talebinizi niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirket Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücreti alabilir.
Şirket tarafından kişisel verilerinizin işlenmesi ile veri güvenliğinin sağlanması konularında daha detaylı bilgiye internet sitemizde bulunan Şirketimizin Kişisel Verilerin Korunması ve İşlenmesi Politikası’ndan ulaşabilirsiniz.
| |||||||||||||||||
İÇİNDEKİLER
1. GİRİŞ
1. 1. Tanımlar
1. 2. KVK Politikası’nın Amaç ve Kapsamı
2. KİŞİSEL VERİLERİN İŞLENMESİ
2. 1. Kişisel Verilerin İşlenmesi ile İlgili Genel İlkeler
2. 2. Kişisel Verilerin İşlenme Şartları
2. 3. Kişisel Verilerin İşlenme Amaçları
2. 4. Kişisel Verilerin Toplanma Yöntemi
3. KİŞİSEL VERİLERİN AKTARILMASI
4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
5. KİŞİSEL VERİLERİ GÜVENLİĞİNİ SAĞLAMAK AMACIYLA ALINAN TEKNİK VE İDARİ TEDBİRLER
6. İLGİLİ KİŞİLERİN KİŞİSEL VERİLERİ ÜZERİNDEKİ HAKLARI
7. KVK POLİTİKASI’NDA YAPILACAK DEĞİŞİKLİKLER
- GİRİŞ
Kişisel verilerin korunması, SAKARYA 3. ORGANİZE SANAYİ BÖLGESİ (bundan sonra “Şirket” olarak anılacaktır.) için önem arz eden bir husustur. Şirket, kurulduğu günden bu yana yürüttüğü faaliyetler kapsamında gerçek kişilerden elde ettiği kişisel verileri gizli tutmuş ve kişisel verilerin korunması ve veri güvenliğinin sağlanması için her türlü teknik ve idari tedbiri almıştır. Şirket, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVK Kanunu) yürürlüğe girdiği 7 Nisan 2016 tarihinden önce de kişisel verilerin gizliliğini bir çalışma ilkesi olarak benimsemiş ve uygulamıştır.
Şirket, bütün faaliyetlerini gerek T.C. Anayasası gerekse KVK Kanunu ve konuya ilişkin ikincil mevzuatla uyumlu bir şekilde yürütmek amacıyla KVK Kanunu’nun öngördüğü bütün ilkeleri benimsemekte, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili üzerine düşen yükümlülüklerini yerine getirmektedir. Bu kapsamda düzenlenen işbu KVK Politikası, kişisel verisi işlenen gerçek kişilerin erişimine sunulmaktadır.
1.1. TANIMLAR
KISALTMA | TANIM |
“Açık Rıza” | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
“Çalışan” | Şirket ile iş sözleşmesi veya hizmet sözleşmesine bağlı olarak işçi-işveren benzeri ilişkisi olan gerçek kişidir. |
“KVK Kanunu” | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
“Kişisel Veri” | Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir. |
“Kişisel Verinin Anonim Hale Getirilmesi” | Kişisel verinin başka verilerle eşleştirilmesi dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. |
“Kişisel Verinin İşlenmesi” | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılmasıyla da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
“Kişisel Verinin Silinmesi” | Kişisel verinin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
“Kişisel Verinin Yok Edilmesi” | Kişisel verinin hiçbir kimse tarafından, hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
“Kurul” | Kişisel Verileri Koruma Kurulu |
“Kurum” | Kişisel Verileri Koruma Kurumu |
“Özel Nitelikli Kişisel Veri” | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. |
“KVK Politikası” | Şirket Kişisel Verilerin Korunması Politikası’dır. |
“Şirket” | SAKARYA 3. ORGANİZE SANAYİ BÖLGESİ’ni ifade eder. |
“Veri İşleyen” | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. |
“Veri Sorumlusu” | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
1.2. KVK POLİTİKASI’NIN AMAÇ VE KAPSAMI
Bu KVK Politikası, kişisel verilerin Şirket tarafından elde edilmesi, kullanılması, aktarılması, imha edilmesi ve diğer şekillerde işlenmesine ilişkin konular ile kişisel verilerin korunması için Şirket tarafından alınan teknik ve idari tedbirleri ve ilgili kişilerin haklarını açıklamaktadır. Bu KVK Politikası;
- Çalışanların,
- Çalışan adaylarının,
- Şirket hissedarlarının,
- Şirket yetkililerinin,
- Ziyaretçilerin,
- İş birliği içinde olunan kurumların çalışanlarının,
- Şirketin sunduğu her tür uygulama ve hizmete erişenlerin ve
- Üçüncü kişilerin
KVK Kanunu kapsamında işlenen kişisel verileri için uygulanmaktadır. İlgili kişilerden açık rızaları alınarak ile ya da KVK Kanunu’nda sayılan diğer hukuka uygunluk halleri kapsamında elde edilen kişisel veriler, Şirket’in hukuki yükümlülüklerinin yerine getirilmesi, hizmetlerinin gereği gibi sunulması, sunulan hizmetlerin kalitesinin arttırılması ve kalite politikasının iyileştirilmesi ve işbu KVK Politikası’nda belirtilen diğer amaçlarla işlenmektedir.
2. KİŞİSEL VERİLERİN İŞLENMESİ
2.1. KİŞİSEL VERİLERİN İŞLENMESİ İLE İLGİLİ GENEL İLKELER
Şirket, kişisel veri işleme faaliyetlerini gerçekleştirirken KVK Kanunu’nun 4. maddesinde sıralanan ilkelere riayet etmektedir.
- Hukuka ve dürüstlük kurallarına uygun olma:
Şirket, ilgili kişiden ya da üçüncü kişilerden elde ettiği kişisel verilerin kaynağını sorgular ve bunların hukuka uygun ve dürüstlük kuralları çerçevesinde elde edilmesi ile işlenmesine önem verir. Bu çerçevede Şirket, kişisel veri aktardığı üçüncü taraflara kişisel verilerin korunması amacıyla gerekli uyarı ve bildirimleri yapar.
- Doğru ve gerektiğinde güncel olma:
Şirket, tüzel kişiliği bünyesinde bulunan bütün verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve nihayet kişisel verilerde değişiklik olduğu takdirde bunların kendisine iletildiği durumlarda güncellemeye önem verir. Şirket, müşterilerinin ya da kendisi ile temas kuran üçüncü kişilerin beyan ettiği kişisel verilerin doğruluğu ve güncelliği hususunda üzerine düşen makul özen ve dikkati göstermektedir.
- Belirli, açık ve meşru amaçlar için işlenme:
Şirket, meşru ve hukuka uygun olan veri işleme amaçlarını, kişisel veri işleme faaliyetine başlamadan önce belirli ve açık bir biçimde ortaya koymaktadır. Bu şekilde belirlenmiş amaçlar dışında kişisel veriler işlenmemektedir.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma:
Şirket, kişisel veri işleme faaliyetlerini yalnızca işlenme amacı ile sınırlı olarak gerçekleştirmektedir. Belirlenen amaçla ilgili olmayan kişisel veriler Şirket tarafından işlenmez.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme:
Şirket, kişisel verileri mevzuatın öngördüğü veya işlenme amacının gerektirdiği süre kadar muhafaza eder. Buna karşın mevzuatın öngördüğü süre sona erdiğinde yahut işlenme amaçlarının tamamı ortadan kalktığında kişisel verileri siler, yok eder ya da anonimleştirir.
Söz konusu ilkeler; Şirket’in kişisel verileri açık rızaya dayanarak veya diğer veri işleme şartlarına uygun bir şekilde işlemiş olup olmadığına bakılmaksızın uygulanır. Bu noktada Şirket, kişisel verileri veri işleme şartlarına ve genel ilkelere uygun şekilde işlemekte olup aydınlatma yükümlülüğünü de yerine getirmektedir.
2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirket, kişisel verileri açık rıza ile yahut diğer veri işleme şartlarına uygun olarak sayılan hallerde işlemektedir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
KVK Kanunu’na göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Şirket, özel nitelikli kişisel verilerin işlenmesinde, KVK Kanunu ve Kişisel Verileri Koruma Kurulu tarafından öngörülen ilave önlemleri alır.
Özel nitelikli kişisel verilerin işlenmesinde KVK Kanunu’nun 6. maddesinde sıralanan veri işleme şartlarına ve Kişisel Verileri Koruma Kurulu tarafından ilan edilen ilave tedbirlere riayet edilmektedir. Bu kapsamda özel nitelikli kişisel veriler aşağıdaki hallerde işlenmektedir:
- İlgili kişinin açık rızasının bulunması
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesinin kanunlarda öngörülmesi.
- Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altındaki kişiler tarafından işlenmesi.
Özel nitelikli kişisel verilerin işlenmesine, imhasına ve korunmasına ilişkin usul ve esaslar, Şirket Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası ile düzenlenmektedir.
2.3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket, kişisel verileri KVK Kanunu’nun 5. ve 6. maddesinde yer alan hukuki sebepler çerçevesinde aşağıda sayılı amaçlar için işlemektedir:
İnsan kaynakları faaliyetlerinin planlanması ve icrası kapsamında; çalışan adaylarının kişisel verileri işe uygunluğun değerlendirilmesi ve personel temin süreçlerinin yürütülmesi amacıyla, çalışanların kişisel verileri iş sözleşmesinin ifası, yan hakların tesisi, terfi/prim/zam süreçlerinin yürütülmesi, başta İş Kanunu olmak üzere Şirket’in tabi olduğu mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi, sosyal sigorta süreçlerinin gerçekleştirilmesi, çalışan performansının değerlendirilmesi vb. amaçlarla işlenmektedir.
Bunun yanı sıra Şirket, kişisel verileri olağan şirket faaliyetleri ve müşterilerine sağladığı hizmetler kapsamında; kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası, etkinlik yönetimi, iş ortakları veya tedarikçilerle olan ilişkilerin yönetimi, finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi, hukuk işlerinin icrası/takibi, kurumsal iletişim faaliyetlerinin planlanması ve icrası, kurumsal yönetim faaliyetlerinin icrası, şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi, talep ve şikâyet yönetimi, yatırımcı ilişkilerinin yönetilmesi, Şirket bina ve tesislerinin güvenliğinin sağlanması, ziyaretçi kayıtlarının oluşturulması ve takibi, Şirket’in ticari ve iş stratejilerinin belirlenmesi ve uygulanması, İlgili kişilerin sorun ve şikâyetlerinin çözümlenmesi, memnuniyetinin sağlanması ve etkin bir hizmetin sunulması, İdari ve adli makamlardan gelen bilgi taleplerinin cevaplandırılması, hukuki süreçler ve mevzuata uyum sağlanması, bilgi ve işlem güvenliği sağlanması ve kötü amaçlı kullanımın önlenmesi vb. amaçlarla işlemektedir.
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVK Kanunu kapsamında öngörülen sair veri işleme şartlarından herhangi birini karşılamıyor olması halinde, ilgili veri işleme sürecine ilişkin olarak Şirket tarafından ilgili kişiden açık rıza temin edilmektedir.
2.4. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ
Şirket, kişisel verileri Sözleşmeler, dijital ortam, idari ve adli makamlardan gelen tebligatlar, elektronik posta ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak, fiziki ve elektronik ortamda KVK Kanunu’nda belirtilen kişisel veri işleme şartlarına uygun olarak ve işbu KVK Politikası’nda belirtilen hukuki sebepler doğrultusunda toplamaktadır. Söz konusu kişisel veriler, temel olarak işbu KVK Politikası kapsamında sözleşmenin kurulması ve ilgili kişilere daha iyi hizmet sağlanması amacıyla işlenmektedir.
Bu kapsamda Şirket’in sunduğu hizmetlerden faydalanıldığında, Şirket ile (satın alım, aracılık, çalışma vb.) hukuki bir ilişki kurulduğunda veya hizmetler ile ilgili olarak Şirket ile (posta, e-posta vb.) yollar ile iletişime geçildiğinde, kişisel veriler elde edilebilmektedir.
Şirket gerek iş ortakları gerekse çözüm ortaklarından kişisel veri elde ederken hukuka uygun davranmayı ilke edinir. İş ortakları ve çözüm ortaklarından veri gizliliği taahhüdü ile ve ancak hizmetin gerektirdiği kadar veri toplanmakta ve bu noktada veri güvenliğinin sağlanmasına ilişkin tedbirler alınmaktadır.
Şirket, çalışanlarının kişisel verilerini, iş ilişkileri bakımından gerekli olduğu kadarıyla ve ilgili mevzuatın izin verdiği diğer hallerde onay alınmaksızın işlemekte olup çalışanlarına ait kişisel verilerin gizliliği ve korunmasını temin eder.
3. KİŞİSEL VERİLERİN AKTARILMASI
Şirket kişisel verileri yalnızca işbu KVK Politikası’nda belirtilen amaçlar doğrultusunda ve KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak üçüncü kişilere aktarmaktadır. Bu kapsamda Şirket, topladığı kişisel verileri aşağıda belirtilen kişi ve kurumlara belirli amaçlarla aktarabilecektir:
- İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak Şirket’in iş ortaklarına,
- Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak Şirket’in tedarikçilerine,
- Şirket’in müşterilerine,
- Talep halinde yetkili kamu kurum ve kuruluşlarına,
- Şirket’in çözüm ortaklarına,
Şirket’in kişisel verileri paylaşmasının amacı, hizmetlere erişim sağlamak, yasal yükümlülüklerini yerine getirmek, ilgili kişi ile akdetmiş olduğu sözleşmenin uygulanmasını sağlamak, alış ve satış işlemlerini gerçekleştirmek veya hizmetler ile ilgili hileli veya yasadışı faaliyetleri engellemek ve tespit etmek ile diğer ticari faaliyetlerini hukuka uygun biçimde yürütmektir.
Şirket, veri paylaşım faaliyetlerinde hukuka uygun davranmayı ilke edinir. Kişisel verilerin aktarıldığı üçüncü kişiler ile ancak hizmetin gerektirdiği ölçüde veri paylaşılmaktadır. Bu tarafların mutlaka veri güvenliğine ilişkin tedbirleri alması için azami özen gösterilmektedir.
Yukarıda belirtilen yurt içi ve yurt dışı aktarıma konu kişisel veriler, veri güvenliğini sağlayacak teknik tedbirlerin yanı sıra; veri aktarım sözleşmeleri vasıtasıyla hukuksal olarak da korunmaktadır.
Şirket, işlediği kişisel verileri; yasalar karşısındaki yükümlülüğünü ifa etmek amacıyla (suçla mücadele, devlet ve kamu güvenliğinin tehdidi ve benzeri ancak bununla sınırlı olmamak üzere Şirket’in yasal veya idari olarak bildirim veya bilgi verme yükümlülüğünün mevcut olduğu durumlarda) yasal olarak bu bilgileri talep etmeye yetkili olan kamu kurum ve kuruluşları ile paylaşabilecektir.
4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
KVK Kanunu uyarınca kişisel veriler, doğru ve güncel tutulmakta, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu süre her kişisel veri kategorisi için ayrı olarak belirlenmekte olup bu sürenin geçmesinden sonra ise ilgili kişisel veriler Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca belirlenen periyodik imha sürelerinin sonunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini; kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini; kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.
Bu kapsamda Şirket, gerekli periyodik imha sürelerini belirlemiş ve Kişisel Veri Saklama ve İmha Politikası oluşturmuştur. Şirket kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.
İlgili kişiler, Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde Şirket;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. İlgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talebi KVK Kanunu’nun 13. maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.
5. KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAK AMACIYLA ALINAN TEKNİK VE İDARİ TEDBİRLER
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle ve ilave tedbirlerle uygulanmakta ve Şirket bünyesinde gerekli denetimler periyodik olarak en üst düzeyde sağlanmaktadır.
Şirket, kişisel verilerin yalnızca bu KVK Politikası’nda belirtilen amaçlar kapsamında işlenmesini sağlamak ve kötü niyetli olarak kullanılması, kişisel verilere yetkisiz şekilde erişilmesi, paylaşılması, yok edilmesi veya değiştirilmesi gibi riskleri azaltmak için uygun her türlü güvenlik tedbirini almış bulunmaktadır. Bu güvenlik tedbirleri kişisel verilerin yeterli düzeyde veri koruması sağlamayabilecek ülkelere aktarımı gibi konularda alınan sair önlemleri de kapsamaktadır.
Kişisel veriler gizlidir ve Şirket bu gizliliğe riayet etmektedir. Kişisel verilere ancak Şirket içinde yetki verilmiş kişiler ulaşabilir. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve Şirket içinde de veri koruma politikasına riayet edilmesi sağlanmaktadır.
Şirket veri güvenliği sağlamak için aldığı teknik ve idari tedbirler kapsamında;
- Çalışanlarına yönelik kişisel verilerin korunması konusunda düzenli eğitimler ve farkındalık çalışmaları düzenlemektedir.
- Şirket kişisel veri işleme envanterine dayalı olarak politikalar oluşturmakta ve politikaların uygulanması için gerekli süreçleri kurgulamaktadır.
- Şirket kişisel verilerin korunması hukuku kapsamındaki risklerini tespit etmekte ve risklerin bertaraf edilmesine yönelik çalışmaları özenle yürütmektedir. Bu kapsamda aktif aydınlatma ve açık rıza kanallarını yaratmaktadır.
- Kişisel verilerin korunması hukukuna ilişkin yükümlülüklerin yerine getirilmesi için Şirket içi periyodik denetimler gerçekleştirmektedir.
- Güncellenen mevzuata uyum konusunda sürekli olarak hukuki danışmanlık hizmeti temin etmektedir.
- Özel nitelikli kişisel verilerin korunması için ayrı bir politika oluşturmakta ve Kurulca belirlenen ilave tedbirleri uygulamaktadır.
- Veri işleyenler ile ilişkilerin yönetilmesi konusunda gerekli veri paylaşım sözleşmesi vb. tedbirleri uygulamaktadır.
- Güvenlik duvarları ve Güvenli Soket Katmanı (SSL) şifrelemesi gibi genel kabul görmüş güvenlik teknolojisi standartlarını kullanmaktadır.
- Virüs koruma sistemleri, güvenli veri tabanları, sunucular, güvenlik duvarları kullanmaktadır.
- Elektronik posta bilgilerinin şifrelenmesi dâhil, güncel teknolojik gelişmeler ışığında kişisel verileri korumak için risk durumunun analizini yapılarak en geniş ve uygun önleyici güvenlik önlemleri almaktadır.
- Kişisel verilerin saklanacağı veri tabanlarının güvenliğini sağlamak için güvenli teknik altyapıyı oluşturmaktadır.
- Alınan teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürleri belirlemektedir.
- Kişisel verilerin korunmasına ilişkin sair idari tedbirleri almaktadır.
- Güvenliğe ilişkin önlemler, periyodik olarak yenilenmekte ve geliştirilmektedir.
Şirket’in gerekli bilgi güvenliği önlemlerini almasına karşın, Şirket tarafından işletilen platformlara veya Şirket sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda Şirket, söz konusu ihlali gidermek için derhal harekete geçer ve ilgilinin zararını en aza indirir. Şirket, bu durumu derhal ilgili kişilere ve Kurul’a bildirir ve gerekli önlemleri alır.
6. İLGİLİ KİŞİLERİN KİŞİSEL VERİLERİ ÜZERİNDEKİ HAKLARI
Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu bağlamda ilgili kişinin kişisel verileri üzerindeki hakları KVK Kanunu’nun 11. maddesinde aşağıda şekilde sıralanmıştır:
- Kişisel verisinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVK Kanunu’nun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
- İşbu silme, yok etme veya düzeltme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle veri sahibinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin KVK Kanunu’na aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
İlgili kişilerin yukarıda sayılan haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ‘de öngörülen başvuru usullerine uygun olarak Şirket’e iletmesi durumunda Şirket, işbu talebi niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde Şirket, Kurulca belirlenen tarifedeki ücreti alabilecektir.
İlgili kişi, yukarıda belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Şirket’e daha önce bildirilen ve Şirket’in sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletebilir. Yapılan başvuruda;
- Ad, soyad ve başvuru yazılı ise imza,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu
Bulunması ve konuya ilişkin bilgi ve belgelerin başvuruya eklenmesi zorunludur. Başvurular ancak Türkçe olması halinde değerlendirmeye alınacaktır. İlgili kişiler adına üçüncü kişilerin başvuru talebinde bulunabilmesi için ilgili kişi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
- KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ HAZIRLANMA AMACI
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika“), veri sorumlusu sıfatıyla SAKARYA 3. ORGANİZE SANAYİ BÖLGESİ (bundan sonra “Şirket” olarak anılacaktır.) tarafından Şirket kişisel veri işleme envanterine uygun olarak hazırlanmıştır. Politika’nın hazırlanma amacı 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te öngörülen yasal yükümlülüklerin yerine getirilmesi; tüzel kişilik bünyesinde kişisel veri saklama ve periyodik imha sürelerinin ortaya konulması; kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarının, birimlerinin ve görev tanımlarının belirlenmesi ve diğer yükümlülüklerin yerine getirilmesidir.
- TANIMLAR
KISALTMA | TANIM |
“Açık Rıza” | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
“İlgili Kullanıcı” | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
“İmha” | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
“Kanun” | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
“Kayıt Ortamı” | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
“Kişisel Veri” | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
“Kişisel Veri İşleme Envanteri” | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
“Kişisel Verilerin Anonim Hale Getirilmesi” | Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
“Kişisel Verilerin İşlenmesi” | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
“Kişisel Verilerin Silinmesi” | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
“Kişisel Verilerin Yok Edilmesi” | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
“Kurul” | Kişisel Verileri Koruma Kurulu |
“Periyodik İmha” | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
“Politika” | Kişisel Veri Saklama ve İmha Politikası |
“Sicil” | Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili. |
“Şirket” | SAKARYA 3. ORGANİZE SANAYİ BÖLGESİ’ni ifade eder. |
“Veri Kayıt Sistemi” | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
“Veri Sahibi” | Kişisel verisi işlenen gerçek kişi |
“Veri Sorumlusu” | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
“Yönetmelik” | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
- KAYIT ORTAMLARI
Kişisel veriler, Şirket tarafından Kanun ve diğer mevzuata uygun bir şekilde ve veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbir alınarak aşağıdaki fiziki ve elektronik ortamlarda saklanmaktadır:
- Fiziki Kayıt Ortamları
Birim Dolapları
Arşiv
- Elektronik Kayıt Ortamları
Personel bilgisayarları
Sunucular
Yazılımlar (Bordro programları, İşyeri hekimi programı)
Çıkartılabilir bellekler (USB vb.)
Yazıcı, tarayıcı, faks makinesi
Mobil cihazlar (Telefon, tablet vb.)
Optik diskler (CD, DVD vb.)
- KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
Kişisel veriler, Şirket’in hukuki yükümlülüklerini yerine getirebilmesi, müşteri, tedarikçi, çalışan ve diğer iş ortakları ile ilişkilerinin sürdürülebilmesi, ticari faaliyetlerinin yürütülebilmesi amaçlarıyla ile aşağıdaki hukuki sebepler dâhilinde saklanmaktadır:
- Veri sahibinin açık rızasının elde edilmiş olması
- Kişisel verilerin saklanmasının Şirket’in tabi olduğu mevzuatta açıkça öngörülmüş olması
- Sözleşmelerin kurulması ya da ifası ile doğrudan doğruya ilgili olmak kaydıyla sözleşme taraflarından birine ait kişisel verilerin saklanmasının gerekli olması
- Kişisel verilerin saklanmasının Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması
- Bir hakkın tesisi, kullanılması ya da korunması için kişisel verilerin saklanmasının gerekli olması
- Veri sahiplerinin kendileri tarafından alenileştirilen kişisel verilerin alenileştirme amacıyla örtüşecek biçimde saklanmasının gerekli olması
- Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatlerinin elde edilebilmesi için kişisel verilerin saklanmasının gerekli olması
Şirket tarafından hukuka uygun olarak ve veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbir alınarak saklanan kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
- Kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
- Kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
- Kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
- Kanun’un 5. maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
- Veri sahibinin Şirket’e usulüne uygun olarak ilettiği kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
- Şirket’in, veri sahibi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
Özel nitelikli kişisel verilerin korunması ve hukuka uygun olarak işlenmesine yönelik Şirket tarafından alınan tedbirler Şirket Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda düzenlenmektedir.
Özel nitelikli kişisel veriler, Şirket tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki sebeplerle dahilinde saklanmaktadır:
- Veri sahibinin açık rızasının elde edilmiş olması
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
- Sağlık ve cinsel hayata ilişkin verilerin saklanmasının kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi için gerekli olması.
Şirket tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
- Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
- Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
- Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
- Kanun’un 6. maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
- Veri sahibinin Şirket’e usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
- Şirket’in, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
- VERİ GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN TEDBİRLER
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
- İdari Tedbirler
Şirket’in aldığı idari tedbirler şunlardır:
- Şirket, Kanun ve diğer mevzuata uygun olarak kişisel veri güvenliği politika ve prosedürlerini belirler; Kanun’un ve belirlenen politikaların uygulanmasının temini için tüzel kişiliği bünyesinde düzenli denetim çalışmaları yürütür.
- Şirket, kişisel verilerin korunması konusunda bilgili personel istihdam eder. Personellerine yönelik kişisel verilerin korunması hukuku eğitim programları düzenler ve farkındalık çalışmaları yürütür.
- Şirket, kişisel veri aktarım faaliyetlerinde kişisel verilerin aktarıldığı kişiler ile veri paylaşım sözleşmesi imzalar ve veri güvenliğini sağlar.
- Şirket, saklanan kişisel verilere erişim yetkisini yalnızca tüzel kişilik bünyesindeki görevi gereği yetkili personel ile sınırlandırır.
- Şirket, kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından ele geçirilmesi halinde ihlali veri sahibine ve Kurul’a gecikmeksizin bildirir.
- Teknik Tedbirler
Şirket, teknik tedbirler kapsamında;
- Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
- Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
- Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
- Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
- Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
- PERİYODİK İMHA SÜRESİ
Şirket, işbu Politika’da belirlenen saklama süresinin dolması ile imha yükümlülüğünün ortaya çıkmasını takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder ya da anonim hale getirir.
Periyodik imha, yılda iki kez 6 aylık aralıklarla olmak üzere Aralık ve Haziran aylarında gerçekleştirilir.
- KAYITLARIN SAKLANMASI
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
- SAKLAMA VE İMHA SÜRELERİ
Kişisel veriler, Kanun’un 4. maddesinde yer alan genel ilkelere uygun olarak mevzuatta öngörülen ya da işlenme amacı için gerekli olan süre ile sınırlı olarak saklanmaktadır. Bu kapsamda belirlenen saklama süreleri aşağıdaki tabloda yer almaktadır:
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Kamera kayıtlarına ilişkin süreçlerin yürütülmesi | 30 gün | Saklama süresinin bitiminde otomatik imha |
İnsan Kaynakları süreçlerinin yürütülmesi | 10 yıl | Saklama süresinin bitimine takiben 6 ay içerisinde |
İnsan Kaynakları süreçlerinde işe alım faaliyetlerinin yürütülmesi | 1 yıl | Saklama süresinin bitimine takiben 6 ay içerisinde |
Sözleşme, Fatura, Yasal Beyanname, Ticari Defter ve Ticari Yazışmalar vb. finansal ve hukuki yükümlülüklere ilişkin süreçlerin yürütülmesi | 10 yıl | Saklama süresinin bitimine takiben 6 ay içerisinde |
Şirket ortaklık yapısı ve bu kapsamda hukuki yükümlülüklere ilişkin süreçlerin yürütülmesi | 10 yıl | Saklama süresinin bitimine takiben 6 ay içerisinde |
Log Kayıtlarının tutulmasına ilişkin süreçlerin yürütülmesi | 2 Yıl | Saklama süresinin bitimine takiben 6 ay içerisinde |
Kurumsal iletişim süreçleri ile müşteri ilişkileri yönetimi faaliyetlerinin icrası | 10 yıl | Saklama süresinin bitimine takiben 6 ay içerisinde |
- AMAÇ
İşbu Veri Sahibi Başvuruları Yönetim Politikası’nın amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında veri sorumlusu bünyesindeki irtibat kişinin görevleri ile veri sahibi başvurularında izlenecek yöntemlerin ortaya konulmasıdır.
- TANIMLAR
KISALTMA TANIM “Veri Sahibi” Kişisel verisi işlenen gerçek kişidir. “İrtibat Kişisi” Şirket’in 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kişisel Verileri Koruma Kurumu ile kurulacak iletişim için Şirket tarafından Veri Sorumluları Sicili’ne kayıt esnasında bildirilen gerçek kişidir. “Veri Sorumlusu” Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. “Şirket” SAKARYA 3. ORGANİZE SANAYİ BÖLGESİ “Kanun” 6698 sayılı Kişisel Verilerin Korunması Kanunu 3 İRTİBAT KİŞİSİNİN GÖREVLERİ
İrtibat kişisi bilgileri, Veri Sorumluları Sicili’ne kayıt esnasında işlenir. İrtibat kişisi Şirket’i Kanun ve ikincil mevzuat hükümlerine göre temsile yetkili değildir.
İrtibat kişisi, veri sahiplerinin Şirket’e yönelteceği taleplerin cevaplandırılması konusunda iletişimi ve Kişisel Verileri Koruma Kurumu ile Şirket arasındaki iletişimi sağlar.
- VERİ SAHİBİ BAŞVURUSUNUN GEÇERLİLİK ŞARTLARI
- Başvuru Hakkına Sahip Olan Kişiler
Bütün gerçek kişiler, Kanun’un 11. maddesinde sıralanan taleplerine ilişkin olarak (başvurularını Türkçe yapmak kaydıyla) Şirket’e başvuru hakkına sahiptir.
- Başvuru Usulü
Veri sahipleri aşağıdaki yöntemlerden birini kullanarak Türkçe başvuru yapmak zorundadır. Bu yöntemler dışında (örneğin, sözlü olarak) yapılan başvuruları Şirket’in değerlendirme zorunluluğu yoktur.
- Yazılı olarak
- Kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da veri sahibi tarafından Şirket’e daha önce bildirilen ve Şirket’in sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle
- Başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla
- Başvuruda Bulunması Gereken Bilgiler
Veri sahibi, başvurusunda aşağıdaki bilgilerin tamamını iletmek zorundadır.
- Ad, soyadı ve başvuru yazılı ise imza,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu
Konuya ilişkin diğer bilgi ve belgeler başvuruya eklenir.
- Başvuruda Yer Alabilecek Talepler
Veri sahibi başvurusunda yer alabilecek talepler şunlardır:
- Kişisel veri işlenip işlenmediğini öğrenme
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
- İşlenmesini gerektiren bütün sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme
- Kişisel verilerin düzeltilme ve imha edilme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
- BAŞVURUNUN ALINMASI
Yukarıda yer alan geçerlilik şartlarını taşıyan başvurular, Şirket’in belirlediği irtibat kişisi tarafından alınır. Başvurunun irtibat kişisi dışındaki bir çalışana ya da üçüncü kişiye iletilmesi durumunda başvuru, ilgili çalışan/üçüncü kişi tarafından gecikmeksizin irtibat kişisine iletilmelidir.
Şirket bünyesinde kişisel verilerin korumasına ilişkin bir kişi ya da birimin görevlendirilmiş olması durumunda başvuru doğrudan görevlendirilen kişiye/birime yönlendirilir. Süreç kapsamında diğer gerekli işlemleri söz konusu kişi/birim gerçekleştirir.
Şirket bünyesinde kişisel verilerin korunmasına ilişkin bir görevlendirme yapılmamışsa irtibat kişisi başvuru dilekçesinde açıklık bulunmaması durumunda aşağıdaki konulara ilişkin olarak veri sahibinden ilave bilgi talep edebilir:
Şirket’le Olan İlişkiniz : ◊ Ziyaretçi ◊ İş Ortağı ◊ Çalışan ◊ Diğer
◊ Çalışan Adayı ◊ Müşteri/Müşteri Çalışanı ◊ Tedarikçi/Tedarikçi Çalışanı
Şirket’le Olan İlişkiniz Sona Erdi mi? :
İrtibat kişisi, Şirket ile ilişkisini belirlediği veri sahibinin başvurusu yönlendirmek üzere Kişisel Veri İşleme Envanteri’nden ilgili departmanı tespit eder ve başvuruyu yönlendirir.
Örnek: Başvuran veri sahibi çalışan adayı ise Kişisel Veri İşleme Envanteri’ndeki veri sahibi kategorizasyonundan çalışan adayı verilerini insan kaynakları departmanının işlediği tespit edilir ve başvuru insan kaynaklarına iletilir.
- BAŞVURU İNCELEME SÜRESİ
Veri sahibi başvuruları talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde sonuçlandırılır. Bu süre;
- Yazılı başvurularda evrakın veri sorumlusu Şirket’e tebliğ edildiği tarihten,
- Diğer yöntemlerle yapılan başvurularda ise; başvurunun veri sorumlusu Şirket’e ulaştığı tarihten itibaren hesaplanır.
- BAŞVURULARIN SONUÇLANDIRILMASI
Şirket, veri sahibi başvurularını etkin, hukuka ve dürüstlük kurallarına uygun olarak değerlendirir; başvuruyu kabul eder ya da gerekçesini açıklayarak reddeder.
Şirket, cevabını veri sahibine yazılı olarak veya elektronik ortamda bildirir. Şirket’in cevap yazısında aşağıdaki hususların yer alması zorunludur:
- Veri sorumlusu veya temsilcisine ait bilgiler
- Başvuru sahibinin; adı ve soyadı, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası
- Talep konusu
- Şirket’in başvuruya ilişkin açıklamaları
Veri sahibinin talebinin kabul edilmesi hâlinde, Şirket talebin gereği en kısa sürede yerine getirir ve veri sahibine bilgi verir.
- ÜCRET
Şirket, veri sahibi başvurularını kural olarak ücretsiz sonuçlandırır. Ancak veri sahibi başvurusuna yazılı olarak cevap verilecekse 10 (on) sayfanın üzerindeki her sayfa için 1 (bir) Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Şirket tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.
Başvurunun Şirket’in hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.
Formu doldurarak bilgi@s3osb.org.tr adresine gönderiniz.