6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU
UYARINCA AYDINLATMA METNİ

1. GİRİŞ, AMAÇ VE KAPSAM

Avrupa Birliği kriterlerine uyum çerçevesinde uzun yıllar çalışılarak hazırlanmış olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, 07/04/2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Kişisel Verilerin Korunması Kanunu, büyük ölçüde Avrupa Birliğinin 95/46/EC sayılı direktifi ile aynı yönde düzenlemeler ihtiva etmektedir.

Kişisel Verilerin Korunması Kanununun yürürlüğe girmesi ile, bireylerin kişisel verilerinin bütüncül bir düzenleme içerisinde korunması yasal, düzenleme altına alınmıştır.

Kişisel verilerin korunması Kaleönü Kahve Gıda Sanayi ve Ticaret Limited Şirketi (Mimar Sinan O.S.B Mahallesi 2 Cad. No:11/Z Melikgazi/KAYSERİ) için büyük önem ve hassasiyet arz etmektedir. Zira Türkiye Cumhuriyeti Anayasasına göre herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.

Bu nedenle, Kişisel Verilerin Korunması Kanununun getirdiği haklardan müşterilerimizi faydalandırmak ve Kişisel Verilerin Korunması Kanununa uyum sürecini sağlamak için işbu politika düzenlenerek yürürlüğe konulmuştur.

İşbu politika ile, şirket tarafından Kişisel Verilerin Korunması Kanununa uyum için getirilecek düzenlemelerin, şirket bünyesinde, şirketimiz çalışanları ve iş ortakları tarafından etkin bir şekilde uygulanmasını teminen, şirketimizce hukuka uygun bir şekilde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, şirket işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbirlerin alınmasını sağlamak, gerekli iç prosedürleri oluşturmak, farkındalığın yükseltilmesi için gerekli tüm eğitimleri belirlemek, çalışanlar ve iş ortaklarının Kişisel Verilerin Korunması Kanunu süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmalarının kurulmasını sağlamak, şirket bünyesinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesi ve eşgüdümün sağlanması amaçlanmıştır.

Bu kapsamda, belirlenen ilkeler doğrultusunda iç işleyişimizde uyum için gerekli düzenlemeler yapılarak özellikle çalışanların ve iş ortaklarının farkındalığının oluşması için gerekli çalışmalar yapılmaktadır ve yapılmaya devam edecektir.

Bu politika ile kişisel verilerin işlenmesi ve korunması konusunda genel kurallar ile Kaleönü Kahve Gıda Sanayi ve Ticaret Limited Şirketi tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler belirlenmekte ve ortaya konulmaktadır.

2. TANIMLAR

İşbu protokolün daha net anlaşılabilmesi için kanun kapsamında ve politikada sıklıkla bahsedilecek tanımlar aşağıda açıklanmıştır.

Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin maskeleme, toplulaştırma, veri bozma vb. tekniklerle başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

Başvuru Formu: Kişisel veri sahiplerinin, haklarını kullanmak için yapacakları başvuruyu içeren “6698 sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu” nu ifade eder.

Çalışan Adayı: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişileri ifade eder.

İş Birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları, Yetkilileri: Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi ama bunlarla sınırlı olmamak kaydıyla) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere gerçek kişileri ifade eder.

İş Ortağı: Şirketimizin ticari faaliyetlerini sürdürürken çeşitli projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları ifade eder.

Kişisel Verilerin İşlenmesi: Kişisel verilerin belirli kriterlere göre yapılandırılarak, işlenerek elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Özel Nitelikli Kişisel Veri: Kişilere ait ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri ifade eder.

Periyodik İmha: Kişisel Verilerin Korunması Kanununda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla kendiliğinden gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

Şirket Yetkilisi: Şirketimizin yönetim kurulu üyesi ve diğer yetkili gerçek kişileri ifade eder.

Tedarikçi: Şirketimizin ticari faaliyetlerini yürütürken şirketimizin talimatlarına uygun olarak sözleşme temelli veya herhangi bir sözleşmesel ilişkisi bulunmadan şirketimize hizmet sunan tarafları iade eder.

Üçüncü Kişi: Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri politika kapsamında işlenen gerçek kişileri ifade eder.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi ifade eder.

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yerin (veri kayıt sistemi) kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder.

Ziyaretçi: Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişileri ifade eder.

Veri Kayıt Sistemi: Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

3.1- Genel

Şirketimiz, Anayasanın 20. maddesine ve Kişisel Verilerin Korunması Kanununun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda, hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel veri işleme faaliyetinde bulunmaktadır.

Şirketimiz, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.

Şirketimiz, Anayasanın 20. ve Kişisel Verilerin Korunması Kanununun 10. maddelerine uygun olarak kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır.

Şirketimiz, Kişisel Verilerin Korunması Kanununun 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.

Şirketimiz, Kişisel Verilerin Korunması Kanununun 8 ve 9. maddelerine uygun olarak kişisel verilerin aktarılması konusunda kanunda öngörülen ve Kişisel Verileri Koruma Kurulu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.

3.2-Kişisel Verilerin İşlenmesinde Uygulanacak İlkeler

İşbu politika aynı zamanda Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat tarafından ortaya konulan kuralların somut olarak nasıl uygulanacağına ilişkin olarak yol gösterici bir özelliğe sahiptir.

Şirketimiz, bu politikayı rehber edinerek kendi bünyesinde gerçekleştirdiği kişisel veri işleme faaliyetlerini analiz edecek, bu politikaya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaktır.

Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek politikaya uygunluğun devamlılığı sağlanacaktır.

Şirketimiz bünyesinde, bu politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığının sağlanması için çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek ve şirketimizin iş ortakları ile olan ilişkilerinde de gerekli düzenlemeler yapılacaktır.

Kişisel Verilerin Korunması Kanununa uyumluluğun sağlanması için kişisel veriler şirketimiz tarafından, mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenmelidir. Bu hususta, şirketimiz tarafından tüm kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınacaktır.

Bu kapsamda, kişisel verilerin hangi ilkeler doğrultusunda işlenmesi gerektiği Kişisel Verilerin Korunması Kanununun 4. maddesinde sayılmış olup bu ilkeler şunlardır:

  • a. Hukuka ve dürüstlük kuralına uygun olma,
  • b. Doğru ve gerektiğinde güncel olma,
  • c. Belirli, açık ve meşru amaçlar için işlenme,
  • d. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

3.2.1- Kişisel Verilerin Hukuka ve Dürüstlük Kuralına Uygun Olarak İşlenmesi

Şirketimiz, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.

Bu hususta şirketimiz, ilgili kişilerin haklarının korunması için kişisel verileri hukuka uygun ve adil bir şekilde toplayarak işleyecektir. Kişisel verinin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenmektedir. Amacın kabul edilebilir ve orantılı olduğu durumda anonim ya da istatistiki veri kullanılabilir.

Kişisel veri işleme faaliyetlerinin yürütülmesinde orantılılık ve gereklilik ilkeleri göz önünde bulundurulacak ve her zaman ilgili kişinin çıkarları öncelikli olarak gözetilecektir.

3.2.2- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması

Kişisel veri, bir gerçek kişiyi tanımlayan veya tanımlayabilmeye yarayan her türlü bilgi şeklinde ifade edildiğine göre hakkında bilgi verdiği kişiyi tanımlayabilmesi için doğru olması gerekmektedir. Doğru şekilde toplanan, elde tutulan ve işlenen bir kişisel veri de zamanla değişebilmektedir. Bu durumda hem veri sorumlusu hem de ilgili kişinin çıkarlarına uygun olan, değişen ve güncelliğini yitiren kişisel verinin güncel olan yeni veriyle değiştirilmesi gerekmektedir.

Şirketimiz, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlamaktadır.

Bu itibarla şirketimiz tarafından işlenen kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması için gerekli her türlü teknik ve idari tedbir alınmaktadır.

3.2.3- Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi

Kişisel veriler şirketimiz tarafından, yalnızca verilerin toplanmasından önce tanımlanmış amaçlar için işlenmektedir. Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir.

Bu itibarla şirketimiz, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar kişisel veri işlemektedir. Amaca ilave değişimler yalnızca sınırlı ölçüde ve gerekçelendirmeyle mümkündür.

Bununla birlikte şirketimiz tarafından kişisel verilerin toplanması ve işlenmesi öncesinde ilgili kişiler detaylı olarak bilgilendirilmektedir. Verilerin toplanması öncesinde hak sahipleri aşağıdaki hususlarda bilgilendirilmektedir.

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin işlenme amacı,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarıldığı,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kişisel verisi işlenen kişinin KVKK’nın 11. maddesinde düzenlenen hakları

3.2.4- Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Kişisel veriler şirketimiz tarafından, yalnızca verilerin toplanmasından önce tanımlanmış amaçlar için işlenmektedir. Kişisel verilerin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenmektedir.

Bu itibarla şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.

3.2.5- Kişisel Veriler, İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmektedir

Şirketimiz, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmiş ise bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.

Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde artık gerekli olmayan kişisel veriler şirketimiz tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hükümlerine uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir.

3.3-Kişisel Verilerin İşlenme Şartları

Kişisel Verilerin Korunması Kanununun 5. maddesinde kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmış olup, kanunun 5/2. maddesinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceği şartlar sayılmıştır.

Buna göre kişisel verilerin işlenebilmesi için aşağıdaki şartlardan en az birinin varlığı gerekmektedir:

  • İlgili kişinin açık rızası,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin bulunması ve ilgili şartın gerektirdiği amaç ve kapsamda işleme yapılması, kişisel verilerin işlenmesini hukuka uygun hale getirir.

Bu itibarla veri sorumlusu ile ilgili kişi arasındaki ilişkiye, işleme faaliyetinin niteliğine göre birden fazla şartın aynı anda bulunması da söz konusu olabilir. Bu durumda her bir veri işleme şartı ayrı ayrı göz önünde bulundurulmakta, verinin ne surette işlenebileceği ayrı ayrı değerlendirilmektedir.

Dolayısıyla şirketimiz tarafından işlenen her bir kişisel veri bakımından hangi işleme şartı kapsamında veri işlediğini belirlemekte, bu şartlardan birden fazlasının bir arada bulunduğu durumda da her bir şartı ayrı ayrı dikkate alınmaktadır.

Kişisel Verilerin Korunması Kanununda özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda şirketimiz tarafından özel nitelikli kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenmemektedir. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Bununla birlikte özel nitelikli kişisel veriler işlenirken kurul tarafından belirlenecek önlemlerin alınmasına dikkat edilmektedir.

Ayrıca şirketimiz tarafından kişisel veri işleme faaliyetlerin kanunda belirtilen şartlardan birinin kapsamına girip girmediği değerlendirilmekte ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri durdurulmaktadır.

Bununla birlikte kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda Kişisel Verilerin Korunması Kanununun 8. ve 9. maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler kurgulanmıştır. Bu itibarla şirketimiz tarafından kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmaktadır.

Dolayısıyla kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına şirket içerisinde gerekli sistemler kurgulanmakta ve kurum içi farkındalık yaratılmalıdır.

Şirketimiz kişisel verileri Anayasaya uygun bir biçimde, bu doğrultuda, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.

3.3.1- Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi

Şirketimiz, kanunun 10. maddesine uygun olarak kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu itibarla ilgili kişilere;

  • a. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • b. Kişisel verilerin hangi amaçla işleneceği,
  • c. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • d. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • e. 11. maddede sayılan diğer hakları konusunda bilgi verilmektedir.

3.3.2- Özel Nitelikli Kişisel Verilerin İşlenmesi

Kanun kapsamında, bazı kişisel verilerin diğer verilere kıyasla hukuka aykırı bir şeklide kullanılması sonucunda bireyin temel hak ve özgürlüklerine daha fazla zarar verici nitelikte olduğu düşüncesinden hareketle, bu veriler özel nitelikli olarak kabul edilmiştir.

Kişisel Verilerin Korunması Kanunu ile kabul edilen özel nitelikli kişisel veriler şu şekilde olup sayılanlarla sınırlıdır ve bu verilerin genişletilmesi mümkün değildir:

  • Kişilerin ırkı,
  • Etnik kökeni,
  • Siyasi düşüncesi,
  • Felsefi inancı,
  • Dini, mezhebi veya diğer inançları,
  • Kılık ve kıyafeti,
  • Dernek, vakıf ya da sendika üyeliği,
  • Sağlığı,
  • Cinsel hayatı,
  • Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri,
  • Biyometrik ve genetik verileri

Tüm bu açıklamalar ışığında, şirketimiz tarafından Kişisel Verilerin Korunması Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde kanunda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.

Kişisel Verilerin Korunması Kanununun 6. maddesinde hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve ayrımcılığına sebep olma riski taşıyan özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla kişisel veri sahibinin açık rızası var ise yahut kişisel veri sahibinin açık rızası olmaması durumunda kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri kanunda öngörülen hallerde işlenmektedir.

3.4- Kişisel Verilerin Aktarılması

3.4.1- Kişisel Verilerin Aktarılması

Kişisel verilerin şirketimiz dışındaki bir üçüncü kişiye aktarılması, aydınlatma metinlerinde yer alan ve aşağıda belirtilen amaçlar kapsamında gerçekleştirilecektir. Buna göre şirketimiz kişisel verileri aşağıda belirtilen kişi ve kurumlara belirli amaçlarla aktarılabilecektir;

  • İş ortakları, şirketimizin ticari faaliyetlerini sürdürürken muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar anlamına gelmektedir. İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olmak üzere kişisel veriler iş ortaklarımıza aktarılabilmektedir.
  • Tedarikçi, şirketimizin ticari faaliyetlerini yürütürken, sözleşme temelli olarak şirketimizin talimatlarına uygun olarak şirketimize hizmet sunan tarafları ifade etmektedir. Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin şirketimize sunulmasını sağlamak amacıyla sınırlı olmak kaydıyla kişisel veriler tedarikçilerimize aktarılabilmektedir.
  • Şirket yetkilileri, şirketimizin yönetim kurulu üyeleri ve diğer yetkili gerçek kişileri ifade etmektedir. İlgili mevzuat hükümlerine göre şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak kişisel veriler, şirket yetkililerine aktarılabilmektedir.
  • Hukuken yetkili kamu kurum ve kuruluşları, ilgili mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarını ifade etmektedir. İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kişisel veriler, yetkili kamu kurum ve kuruluşlarına aktarılabilmektedir.
  • Hukuken yetkili özel hukuk kişileri, ilgili mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya yetkili özel hukuk kişilerini ifade etmektedir. İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olmak kaydıyla kişisel veriler, yetkili özel hukuk tüzel kişilerine aktarılabilmektedir.

Dolayısıyla bu kapsamda;

  • Kişisel veri sahibinin açık rızası var ise,
  • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
  • İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
  • Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
  • Kişisel veriler, ilgili kişi tarafından alenileştirilmiş ise,
  • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise kişisel veriler yukarıda belirtilen kişi ya da kişi gruplarına aktarılabilmektedir.

3.4.2- Özel Nitelikli Kişisel Verilerin Aktarılması

Şirketimiz, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kişisel Verileri Koruma Kurulu tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.

  • Kişisel veri sahibinin açık rızası var ise veya,
  • Kişisel veri sahibinin açık rızası yok ise, kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler) kanunlarda öngörülen hallerde
  • Kişisel veri sahibinin sağlığına ilişkin özel nitelikli kişisel verileri ise yalnızca gerektiği hallerde ilgili kurum ve kuruluşlara aktarılmaktadır.
  • Cinsel hayata ilişkin olarak şirketimizce herhangi bir veri işlenmediğinden, bu kapsamda cinsel hayata ilişkin kişisel verilerin aktarılması da söz konusu değildir.

3.4.3- Kişisel Verilerin Yurt Dışına Aktarılması

Yukarıdaki açıklamalar ışığında, şirketimiz halihazırda yurtdışına herhangi bir veri aktarımı yapmamaktadır.

Ancak herhangi bir şekilde yurt dışına veri aktarımı yapılması gerekirse bu durumda Kişisel Verilerin Korunması Kanununun 9. maddesi doğrultusunda veri sahibinin açık rızası alınacaktır.

Ancak özel nitelikli kişisel veriler dahi, kişisel verilerin veri sahibinin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın kişisel veriler yurt dışına aktarılabilecektir.

Eğer aktarım yapılacak ülke kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, şirketimiz ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt edecektir.

4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ

4.1- Kişisel Veri Kategorizasyonu

Kaleönü Kahve Gıda Sanayi ve Ticaret Limited Şirketi nezdinde, Kaleönü Kahve Gıda Sanayi ve Ticaret Limited Şirketinin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda Kişisel Verilerin Korunması Kanununun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere Kişisel Verilerin Korunması Kanununda belirtilen genel ilkelere ve Kişisel Verilerin Korunması Kanununda düzenlenen tüm yükümlülüklere uyularak ve işbu politika kapsamındaki kişisel veri sahipleri ile sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.

Kaleönü Kahve Gıda Sanayi ve Ticaret Limited Şirketi, Kişisel Verileri Koruma kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur.

Hazırlanan bu veri envanterinde veri işleyen departman, hangi faaliyet kapsamında işleme yapıldığı, işlenen kişisel veri, işlenen verinin kategorisi, işlenen verinin türü, işlenen verinin saklama frekansı, işlenen verinin saklama süresi, veri konusu kişi grubu, alıcı grubu, veri işleme amacı, veri işleme faaliyetinin dayandığı hukuki sebep, veriyi toplama ve paylaşma metodu, verinin saklandığı ortam, verinin aktarılma durumu, verinin işlenme sıklığı, veriye erişim durumu, veriye erişen birimler, veriye erişim gerekçesi, veri paylaşım durumu, alınan idari ve teknik tedbirler ve açıklamalar yer almaktadır.

4.2- Bina Girişleri ile Bina İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri

Şirketimiz tarafında bina girişlerinde ve bina içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasaya, KVKK’ya ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.

Şirketimiz tarafından güvenliğin sağlanması amacıyla, şirketimiz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile giriş çıkışların takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Güvenlik kameraları kullanılması ve bina giriş çıkışlarının kayıt altına alınması yoluyla şirketimiz tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır. Bu hususta gerekli aydınlatma metinleri hazırlanmış olup, ilgili kişilere gerekli bilgiler verilmektedir.

KİŞİSEL VERİ KATEGORİZASYONUAÇIKLAMA
İletişim VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, telefon numarası, adres, adres no, e-posta adresi, kep adresi, faks numarası, gibi bilgiler
Lokasyon VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, kişisel veri sahibinin şirketin iş birimleri tarafından yürütülen operasyonlar çerçevesinde, şirket araçlarını kullanan personelin bulunduğu yerin konumunu tespit eden bilgiler, GPRS lokasyonu, anlık konum bilgisi, konum bulmaya yönelik çerez bilgileri vs.
İşlem Güvenliği VerisiŞirketin faaliyetlerini yürütürken gerek kişisel veri sahibinin gerekse de şirketin teknik, idari, hukuki ve ticari güvenliğine ilişkin olarak işlenen IP adresi bilgileri, internet sitesi giriş-çıkış bilgileri, şifre ve parola bilgileri, güvenlik adları, kullanıcı adları, e-imza, oturum anahtarı bilgileri, şifreleme yöntemi, çerez bilgileri, işlem güvenliği bilgisi, dijital tanımlayıcılar, üyelik bilgileri vs.
Fiziksel Mekân Güvenliği VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler, kamera kayıtları, görüntü kayıtları çalışan ve ziyaretçilerin giriş- çıkış kayıtları vs.
Finansal VeriKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirketin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile kkb sorgu, kkb kayıtları, kredibiliteye ait bilgiler, kredi kartı borcu, kredi ödemeleri, banka hesap dökümü, faiz tutarı, faiz oranı, borç bakiyesi, alacak bakiyesi, yatırım tercihi, birikim, haciz, tedbir, tapu ve kira sözleşmesi, ciro, kredi kartı numarası, banka hesap numarası, IBAN numarası, findeks notu, çek-enet tutarları, akreditif bilgileri, maaş ödeme dekontu, finansal profil, mail order bilgisi, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler
Görsel-İşitsel Kayıt VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, fotoğraf ve kamera kayıtları (fiziksel mekân güvenlik bilgisi kapsamına giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler
Özlük VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük halklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları, yıllık izin-ücretsiz izin formları, işten ayrılma tarihi, işten ayrılma sebebi, disiplin suçu kaydı, çalışanın işyerine giriş-çıkış saatleri, personel numarası, SGK işe giriş bildirgesi, SGK işten çıkış bildirgesi, SGK tahakkuk fişi, SGK ödeme dekontu, ayakkabı numarası, beden ölçüsü, meslek yeterlilik belgesi, doğum-ölüm-evlenme izin formları, iş sağlığı ve güvenliği sertifikası, askerlik durumu, SGK hizmet dökümü, SGK bildirim kaydı, ücret, eğitim, istihdam tarihi, fotoğraf, bordro çalışma saati, eski işyerinden çalışma belgesi, geçmişte alınan ihtar ve cezalar, iş grubu, meslek kodu, işten ayrılma sebebi, sertifika ve yetkinlik belgesi, referans kişi bilgisi, özgeçmiş gibi her türlü kişisel veri
Hukuki İşlem VerisiŞirketin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri kapsamında işlenen veriler, adli makamlarla yazışmalardaki veriler, dava dosyasındaki veriler, yan haklar ve menfaatler bilgisi, hukuki işlem ve uyum bilgisi, denetim ve teftiş bilgisi, araç muayene ve kontrol formu, talep-şikâyet yönetimi bilgisi, ticari olarak hassas işlenecek veri, olay yönetimi bilgisi vs.
Ceza Mahkumiyeti ve Güvenlik Tedbirleri VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin işe alım süreçlerinin yönetilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen adli sicil kaydı gibi ceza mahkumiyeti ve güvenlik tedbirlerine ilişki bilgiler
Mesleki Deneyim VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin işe alım süreçlerinin yönetilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen eğitim-öğretim gördüğü okullara ilişkin bilgiler, diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri vs.
İmza VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, özellikle sözleşmelerin akdedilmesine temel olmak üzere işlenen imza bilgisi.
Müşteri İşlem VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, çağrı merkezi kayıtları, fatura, çek, senet bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi vs.
Risk Yönetimi VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ticari, teknik, idari risklerin yönetilmesi için işlenen risk yönetimi bilgisi, adres kayıt sistemin kayıtları, IP adresi bilgisi, Mac adresi bilgisi, cihaz modeli, tipi, cihaz seri numarası bilgisi, işletim sistemi bilgileri, internet tarayıcı bilgileri, IMEI numarası, bilgisayar adı, imza sirküleri, vs.
Sağlık VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, sağlık bilgileri, engellilik bilgisi, kan grubu, sigorta sağlık bilgileri, seyahat sağlık sigortası, sağlık raporu, psikoteknik belgesi, kullanılan cihaz ve protez bilgileri vs.
Seyahat VerisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen uçuş bilgileri, konaklama bilgisi vs.

4.3- İlgili Kişilere İlişkin Kategorizasyon

Şirketimiz tarafından aşağıda sıralanan ilgili kişi kategorilerinin kişisel verileri işlenmekle birlikte, işbu politikanın uygulama kapsamı;

  • Çalışan,
  • Çalışan adayı,
  • Çalışan yakını,
  • Mülk sahibi,
  • Potansiyel ürün veya hizmet alıcısı,
  • Ürün veya hizmet alıcısı,
  • Tedarikçi Çalışanı,
  • Tedarikçi yetkilisi,
  • Veli/vasi/temsilci ile sınırlıdır.

Şirketimiz tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda belirtilen kapsamda olmakla birlikte bu kategorilerin dışında yer alan kişiler de KVKK kapsamında şirketimize taleplerini yöneltebilecek olup, bu kişilerin talepleri de bu politika kapsamında değerlendirmeye alınacaktır.

4.4- Kişisel Verilerin İşlenme Amaçları

Yukarıda izah edildiği gibi, kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi ilkesi, veri işleme amacının açık, net ve kesin olarak belirlenmesini ve bu amacın meşru olmasını gerekli kılar.

Bu kapsamda kişisel veriler genel bir tanımlama yapmak gerekirse;

  • Şirketimizin kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
  • Etkinlik yönetimi,
  • İş ortakları, tedarikçiler veya müşterilerle olan ilişkilerin yönetimi,
  • Şirketimizin personel temin süreçlerinin yürütülmesi,
  • Şirketimizin finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
  • Şirketimizin hukuk işlerinin icrası/takibi,
  • Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
  • Kurumsal yönetim faaliyetlerinin icrası,
  • Şirketimizin ticari politikalarının tespiti, planlanması ve uygulanması,
  • Şirketimizin pazarlama faaliyetlerinin yürütülmesi,
  • Şirketimizin geçmiş, mevcut ve müstakbel çalışanları, yetkilileri, temsilcileri, ortakları, müşterileri, tedarikçileri, iş ortakları, danışmanları, hizmet sağlayıcıları ve bunların çalışanlarının tercih ve ihtiyaçlarının tespit edilmesi,
  • Şirketimiz ve şirketimiz ile iş ilişkisi içerisinde olan gerçek veya tüzel kişilerin hukuki ve ticari güvenliğinin sağlanması,
  • Şirketimize ait ofis, işyeri, tesis vb. tüm lokasyonların fiziksel güvenliğinin ve denetiminin sağlanması,
  • Şirketimizin müşterilerini değerlendirme, ürün vs. ilişkin şikâyet yönetimi süreçleri,
  • İnsan kaynakları politikalarının en iyi şekilde planlanması ve uygulanması,
  • Ticari ortaklıkların ve stratejilerin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
  • Şirketimizin, iş ortaklarımızın, hukuki, ticari ve fiziki güvenliğinin temini,
  • Talep ve şikayetlerin yönetimi,
  • Veri güvenliğinin en üst düzeyde sağlanması,
  • Veri tabanlarının oluşturulması,
  • Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi,
  • Şirketimiz faaliyetlerine ilişkin prosedürlerin belirlenmesi ve ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,
  • Şirketimizin itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,
  • Yetkili kişi, kurum ve kuruluşlara mevzuattan kaynaklı olarak bilgi verilmesi amaçları çerçevesinde işlenmektedir.

4.3- Kişisel Verilerin Saklanma Süreleri

Şirketimiz, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken yürütülen faaliyeti ile bağlı olarak şirketimizin uygulamaları ve ticari yaşamın teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve şirketimizin belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir.

Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konuda şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir.

Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel veriler veri sahibinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

5. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Türk Ceza Kanunu’nun 138. maddesi ve 6698 sayılı Kişisel Verileri Koruma Kanununun 7. maddesi gereği, kişisel veriler ilgili kanun hükümlerine uygun işlenmesine rağmen, veri işlemeye ilişkin şartların ortadan kalkması halinde yukarıda izah edildiği üzere şirketimizin kararı ile, şirketimiz tarafından belirlenen saklama sürelerinin geçmesinin ardından veya kişisel veri sahibinin bu yönde bir talebi olması durumunda silinir, yok edilir veya anonim hale getirilir. Verilerin saklanma süreleri ilgili mevzuata ve şirketimizin ihtiyaçlarına göre belirlenir.

Silinme, imha etme veya anonimleştirme işlemleri için Kişisel Verileri Koruma Kurumunun bu konularla ilgili aldığı kararlar ve öneriler dikkate alınır. ISO 27001 kapsamında konuya ilişkin prosedürlere uyulur. Teknolojinin izin verdiği en uygun çözüm, şirketimizin ihtiyaçları ve imkanları dikkate alınarak uygulanır.

5.1- Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açsından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Şirketimiz, kişisel verilerin anonim hale getirilmesi için her türlü teknik ve idare tedbirleri almaktadır. Kişisel verilerin anonim hale getirilmesi, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte belirtilen esaslara ve Kişisel Verileri Koruma Kurumunun konuya ilişkin yayınladığı rehberdeki yöntemlere uygun olarak yapılır.

Şirketimiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

  • i. Maskeleme: Veri maskeleme, kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örneğin kişisel veri sahibinin tanımlanmasını sağlayan isim, T.C. Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi gibi.
  • ii. Toplulaştırma: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin çalışanların yaşlarını tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması gibi.
  • iii. Veri Türetme: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin doğum tarihleri yerine yaşların belirtilmesi, açık adres yerine ikamet edilen bölgenin belirtilmesi gibi.
  • iv. Veri Karma: Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örneğin ses kayıtlarının niteliğinin değiştirilerek sesler ve veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi gibi.

5.2- Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.

Verilerin silinmesi için aşağıdaki yöntemler uygulanır.

  • i. Hizmet Olarak Uygulama Türü Bulut Çözümleri: Bulut sisteminde veriler silme komutu verilerek silinmelidir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilmelidir.
  • ii. Kâğıt Ortamında Bulunan Kişisel Veriler: Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmelidir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
  • iii. Merkezi Sunucuda Yer Alan Ofis Dosyaları: Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmelidir.
  • iv. Taşınabilir Medyada Bulunan Kişisel Veriler: Taşınabilir medyalarda gizli seviyede hiçbir veri taşınmamaktadır. Taşınabilir ortamda olan kişisel veriler, söz konusu donanıma uygun yazılımlar ile silinmelidir.
  • v. Veri Tabanları: Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinmesi gerekir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmelidir.

5.3- Kişisel Verilerin İmha Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından, hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz tarafından, kişisel verilerin imha edilmesi ile ilgili her türlü teknik ve idari tedbir alınmaktadır.

  • i. Yerel Sistemler: Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden biri veya birkaçı kullanılabilir.
    • a. De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
    • b. Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilemez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerekir.
    • c. Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eksi verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
    • d. Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak/erişilemeyecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
    • e. Uzman Tarafından Güvenli Olarak Silme: Şirketimiz bazı durumlarda kendi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda kişisel veriler, bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak/erişilemeyecek biçimde güvenli olarak silinir/yok edilir.
  • ii. Çevresel Sistemler: Ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer almaktadır.
    • a. Ağ cihazları (swich, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir, ama yok etme özelliği bulunmamaktadır. Belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
    • b. Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ara yüzüne sahip olanları, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemlerini kullanmak ya da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
    • c. Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
    • d. Manyetik disk gibi üniteler: Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
    • e. Mobil Telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
    • f. Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
    • g. Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
    • h. Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır. Belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
  • iii. Kâğıt ve Mikrofiş Ortamlar: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı, kâğıt imha veya kırpma makineleri ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir. Orijinal kâğıt formattan tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre yukarıda belirtilen uygun yöntemlerin bir veya birkaçı kullanılmak suretiyle yok edilmesi gerekir.
  • iv. Bulut sistemler: Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.

6. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

Kişisel verilerin korunması hukukunun esasını verilerin güvenli bir biçimde tutulması ve işlenmesi oluşturur. Bu itibarla şirketimiz, kişisel verilerin ilk defa elde edilmesinden başlayarak her aşamada gerekli önlemleri alarak yeterli güvenliği sağlamaktadır.

Güvenliğin sağlanması belli bir aşama veya veriye özgü olmayıp sürekli olan bir sorumluluktur. Dolayısıyla şirketimiz, güvenliğe ilişkin önlemlerin bir defa saptanması ve gerçekleştirilmesiyle yetinmemekte, her aşamada gerekli önlemlerin alınmasını ve uygulanmasını denetlemektedir. Bununla birlikte şirketimiz tarafından alınan önlemler, değişen ve gelişen teknoloji ve güncel güvenlik uygulamaları dikkate alınarak yenilenmektedir.

Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesinde veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri alma yükümlülüğü olduğu belirtilerek veri güvenliği ilkesi benimsenmiştir.

Veri sorumluları riske uygun bir güvenlik düzeyi sağlamak üzere gerekli teknik ve idari tedbirleri almakla yükümlü kılınmıştır. Bu itibarla şirketimiz tarafından;

  • Kişisel verilerde takma ad kullanımı ve şifreleme,
  • İşleme sistemleri ve hizmetlerinin gizliliği, bütünlüğü, elverişliliği ve esnekliğinin sürekli olarak sağlanabilmesi,
  • Fiziksel veya teknik bir olay halinde kişisel verilerin elverişliliği ve kişisel verilere erişimin vakitlice eski haline getirilebilmesi,
  • İşleme faaliyetinin güvenliğinin sağlanmasına yönelik olarak teknik ve düzenlemeye ilişkin tedbirlerin etkililiğinin düzenli olarak sınanması, ölçülmesi ve değerlendirilmesine ilişkin süreç oluşturulması gibi uygun güvenlik tedbirleri alınmalıdır.

Şirketimiz ayrıca belirtilen bu önlemlerden başka önlemleri de yeterli güvenliği sağlamak koşuluyla almaya yetkilidir. Hangi önlemlerin uygun olduğunu belirlerken ilk başta şu hususlar göz önünde bulundurulmaktadır:

  • Teknoloji ve bilimsel gelişme seviyesi,
  • Uygulama maliyeti,
  • İşleme faaliyetinin doğası, önemi, kapsamı, bağlam ve amacı,
  • Gerçek kişilerin hak ve özgürlükleri açısından çeşitli olasılık ve ciddiyetlere sahip risklerin olup olmadığı

Bu itibarla uygun güvenlik uygulamaları belirlenerek, bunları gerçekleştirecek ve ayrıca kişisel veri güvenliğinden sorumlu olacak belirli bir kişi veya kişiler seçilmekte ve güvenliğin sağlanıp sağlanmadığı sürekli olarak denetlenmektedir. Böylece şirketimiz tarafından ihlal gerçekleşmeden önce mevcut güvenlik açıklarının tespit edilmesi hedeflenmektedir.

Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesine göre veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilerin hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bu itibarla, şirketimiz kanunun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmaktadır. Şirketimiz, kurumsal bilginin korunması, saklanması için kurmuş olduğu bilgi güvenliği yönetim sistemleri kapsamında uyguladığı/ işlettiği veri-bilgi koruma süreçlerini, kişisel verileri de içerecek şekilde genişletmiştir.

6.1- Teknik Tedbirler

Veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri, kanunun 12. maddesinde düzenlenmiştir. Buna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almak zorundadır.

Bu itibarla şirketimiz tarafından alınan teknik tedbirler şunlardır:

  • Şirketimiz tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkân verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler gelişmelere paralel olarak güncelleştirilmekte ve iyileştirilmektedir.
  • İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
  • Alınan teknik önlemler, periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
  • Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
  • Saklama alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
  • Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, kişisel verilerin bulunduğu depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
  • Teknik konularda, uzman personel istihdam edilmektedir.
  • Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılmaktadır.
  • Güvenliği temin edecek yazılım ve sistemler kurulmaktadır.
  • Şirketimiz bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılmaktadır.

6.2- İdari Tedbirler

Kanunun 12. maddesi uyarınca şirketimiz tarafından alınan idari tedbirler şunlardır:

  • Kişisel verilerin korunması hukukuna ilişkin olarak çalışanlarımıza eğitim verilmekte ve çalışanlarımızın bilinçlenmesi sağlanmaktadır.
  • Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
  • Şirket tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
  • Şirketimizin yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
  • Şirketimizin iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetleri, bu faaliyetlerin kanunun aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan gereklilikler, her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
  • İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler, şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
  • Şirket ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, şirketin talimatları ve kanunla getirilen istisnalar dışında kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta, bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülerek kanundan doğan yükümlülükler yerine getirilmektedir.
  • Çalışanlardan öğrendikleri kişisel verileri kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
  • Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
  • Kişisel verilerin aktarıma konu olduğu durumlarda şirketimiz tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi temin edilir.
  • Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenmekte, bu kapsamda kanunda öngörülen kişisel veri işleme şartlarına uygunluğunun sağlanması için atılması gereken adımlar tespit edilmektedir.
  • Şirketimiz, kanuna uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit ederek, bu uygulamaları iç politikalar ile düzenler.

6.3- Kişisel Verilerin Korunması ve İşlenmesinden Sorumlu Birimin Oluşturulması ve İşleyişi

Şirketimiz tarafından, kişisel verilerin korunmasına ilişkin mevzuata uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında şirket bünyesinde gerekli koordinasyonu sağlayacak olan “Kişisel Verilerin Korunması Birimi” kurulmuştur.

Kişisel verilerin korunması birimi, şirketimizdeki departmanlar ve irimler arasında birlik sağlanması, yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin yürütülmesi ve iyileştirilmesinden sorumludur.

Bu kapsamda, kişisel verilerin koruması biriminin temel görevleri aşağıda belirtilmektedir:

  • Çalışanlar ile ilgili kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak,
  • Çalışanlar ile ilgili kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak,
  • Kişisel Verilerin Korunması Kanunun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
  • Kişisel verilerin korunması ve işlenmesi konusunda şirket içinde ve iş birliği içerisinde olunan kurumlar nezdinde farkındalığı artırmak,
  • Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini sunmak,
  • Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak
  • Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
  • Kişisel veri sahiplerinin, şirketin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını kontrol etmek,
  • Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak,
  • Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak şirket operasyonlarında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
  • Kişisel Verileri Koruma Kurulu ve Kişisel Verileri Koruma Kurumu ile olan ilişkileri yönetmek,
  • Şirket yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek

6.4- Veri İhlali Durumunda Alınacak Tedbirler

Şirketimiz, kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik ve idari tedbirlerin işleyişini denetlemekte ve işleyişin devamlılığını sağlayacak uygulamalar yürütmektedir. Bu kapsamda gerçekleştirilen denetim faaliyetlerinin sonuçları, şirketimiz bünyesinde ilgili departmana raporlanmaktadır. Denetim sonuçları doğrultusunda verilerin korunmasına ilişkin alınan tedbirlerin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler yürütülür.

Şirketimiz tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum kuruma ve ilgili veri sahiplerine bildirilecektir.

6.5- Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirketimiz, kanunun 12. Maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

6.6- Özel Nitelikli Kişisel Verilerin Korunması

Kanun, birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığına sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir kanun ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da azami özenle uygulanmakta ve bu konuda şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.

6.7- Kişisel Verilerin Güvenli Ortamlarda Saklanması

Şirketimizde kişisel veriler, özelliklerine bağlı olarak fiziksel ve elektronik ortamlarda saklanmaktadır. Fiziksel ortamlara girişler kontrol altındadır. Kişisel veri bulunan dolaplar kilitli olarak muhafaza edilmektedir. Elektronik ortamlardaki kişisel veriler, erişim yetkilerine bağlı olarak işlenmektedir. Kişisel veriler şifreleme yöntemleri ile korunmakta olup yedeklenen kişisel veriler için de aynı önlemler alınmaktadır.

Tedarikçiler ya da kişisel veri alışverişinde bulunduğumuz gerçek veya tüzel kişiler tarafından saklanan kişisel verilerin saklanma/ işlenme şartları, imzalanan sözleşmeler üzerinden yönetilmektedir.

7. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

7.1- İlgili Kişinin Haklarını Kullanması

Kanunun 11. maddesi çerçevesinde ilgili kişi şirketimize başvurarak kendisi ile ilgili;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

İlgili kişiler, yukarıda sıralanan haklarını kullanmak için kimliklerini tespit edebildiği bilgi ve belgelerle ve yayımlamış olduğumuz başvuru formunu doldurarak, aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulunun belirlediği diğer yöntemlerle, internet sitemizde yer alan başvuru formunu imzalayarak şirketimize ücretsiz olarak iletebileceklerdir:

  • i. Başvuru formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile Mimar Sinan O.S.B. Mah. 2. Cad. No:11/Z Melikgazi/KAYSERİ adresine iletilmesi,
  • ii. Başvuru formu doldurulup 5070 sayılı Elektronik İmza Kanunu kapsamındaki güvenli elektronik imza ile imzalandıktan sonra güvenli elektronik imzalı formun şirketimizin kep adresine kayıtlı elektronik posta ile gönderilmesi gerekmektedir.

İlgili kişiler adına üçüncü kişilerin başvuru talebinde bulunabilmesi için ilgili kişi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekaletname bulunmalıdır.

7.2- İlgili Kişinin Haklarını İleri Süremeyeceği Haller

KVKK’nın 28. maddesi gereğince aşağıdaki hallerde kişisel veri sahipleri yukarıda sayılan haklarını iddia edemezler

  • Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi

Bununla birlikte KVKK’nın 28/2. maddesi uyarınca veri sahipleri zararın giderilmesi hariç aşağıdaki durumlarda, belirtilen haklarını iddia edemezler:

  • Kişisel veril işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması

7.3- Şirketimizin Başvurulara Cevap Verme Usulü ve Süresi

Şirketimiz, ilgili kişiler tarafından yapılan başvuruları, başvuruların niteliğine göre en geç 30 gün olmak üzere en kısa sürede ücretsiz olarak sonuçlandırır.

Ancak söz konusu işlemin ayrıca bir maliyet gerektirmesi halinde kurul tarafından belirlenen tarifedeki ücret alınabilir.

Şirketimiz, başvuruları kabul edebileceği gibi belirtilen şartları taşımayan başvurular, şirketimiz tarafından hukuki gerekçesi açıklanarak reddedilebilir. İlgili kişinin başvurusuna ilişkin cevaplar, yazılı olarak veya elektronik ortamda bildirilir. Başvuruda yer alan talebin kabul edilmesi halinde şirketimiz tarafından başvurunun gereği yerine getirilmektedir.

Bununla birlikte;

  • İlgili kişinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,
  • Orantısız çaba gerektiren taleplerde bulunulmuş olması,
  • Talep edilen bilginin kamuya açık bir bilgi olması halinde de yapılan başvuru, şirketimiz tarafından reddedilebilecektir.

7.4- İlgili Kişinin Kişisel Verileri Koruma Kurumuna Şikâyette Bulunma Hakkı

İlgili kişinin başvurusunun şirketimiz tarafından reddedilmesi, tarafımızca verilen cevabın yetersiz bulunması veya süresi içerisinde şirketimiz tarafından başvuruya cevap verilmemesi hallerinde ilgili kişi, cevabı öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurumuna şikâyette bulunma hakkına sahiptir.