Soğuk Çekme Lama ve Kare, Sıcak Çekme Lama ve Kare, Yuvarlak Dolu Mil, İmalat, Islah ve Semente Çeliği, Alt Köşe, Çelik Boru, Dikişli Boru, Kutu Profil, NPI, NPU ve Her türlü vasıflı çelik seçenekleri ile Demir Çelik ve Metal grubunda hizmet vermekteyiz.
Firmamız, bizimle çalışmakta olan tüm müşteriler için daimi memnuniyeti sağlamak amacıyla özenle çalışmaktadır. Öncü, güçlü ve saygın bir şirket olma ilkemizden ödün vermeden müşteri odaklı hizmet anlayışı ile hizmetimizi sürdürmekteyiz…
Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası
Sertdemir End.Ürünleri Demir Çelik Ltd.Şti.
İÇİNDEKİLER
1.AMAÇ
2.KAPSAM
3. YETKİ VE SORUMLULUKLAR
4. TANIMLAR VE KISALTMALAR
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
6. ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMESİ
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ SAKLAMA SÜRESİ VE İMHASI
8. GÜVENLİK POLİTİKALARI
9. KÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİNİ SAĞLAMAK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
10.KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
11.ÖZEL NİTELİKLİ KİŞİSEL VERİ ÖZNESİNİN (İLGİLİ KİŞİNİN) HAKLARI
12.EĞİTİM
13. DENETİM
14. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
15. REFERANSLAR VE DAYANAK
15. İLGİLİ DOKÜMANLAR
17. POLİTİKANIN YÜRÜRLÜLÜK TARİHİ
18. EK-1 KİŞİ GRUPLARI
AMAÇ
Sertdemir End.Ürünleri Demir Çelik Ltd.Şti.(bundan sonra “ SERTDEMİR” olarak anılacaktır.) olarak, 6698 sayılı Kişisel Verilerin Korunma Kanunu (“ KVKK”) ve ilgili mevzuata uygun olarak özel nitelikli kişisel verileri işlemekte ve güvenliğini sağlamaktayız.
İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“ Politika”),“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararı (“ Kurul Kararı”) uyarınca, veri sorumlusu olarak özel nitelikli kişisel verilerin işlenmesine yönelik aldığımız önlemlerin belirlenmesi amacıyla hazırlanmıştır.
Bu Politika, Şirket bünyesinde işlenen, aktarılan ve saklanan tüm özel nitelikli kişisel verileri kapsamaktadır.
İşbu Politika ile SERTDEMİR’in Kişisel Veri Güvenliği Politika ve Prosedürleri (“ Güvenlik Politikaları”) birbirlerini tamamlayıcı nitelikte olup, bu Politika’da bahsedilmeyen hususlar için Güvenlik Politikaları’nın incelenmesi gerekmektedir.
SERTDEMİR, veri sorumlusu olarak, uhdesinde bulunan özel nitelikli kişisel veri işlerken, üçüncü kişiler ile paylaşırken ve veri kayıt ortamlarında saklarken işbu Politika’ya uygun olarak hareket edecektir.
KAPSAM
İşbu Politika, aşağıdaki kişilere ait edindiğimiz ve edinebileceğimiz özel nitelikli kişisel verilerin uygun güvenlik düzeyini sağlamaya yönelik faaliyetlerimizi kapsamaktadır:
-
- Şirketimizin çalışanları, çalışan adayları, eski çalışanları ve stajyerleri,
- Şirket temsilcileri, vekilleri ve hissedarları,
- İş ortaklarımızın çalışanları, temsilcileri ve vekilleri,
- Müşterilerimizi ve potansiyel müşterilerimizi,
- Kamu/özel kurum ve kuruluşu çalışanları,
- Hukuken yetkili kişileri,
- Ziyaretçileri,
- Diğer üçüncü kişileri.
Bu kişi grubu tanımlarına ilişkin açıklamalar, EK-1’de yer verilmektedir.
YETKİ VE SORUMLULUKLAR
SERTDEMİRÇalışanları: SERTDEMİR, çalışanlarının kişisel verilerini Kanun’a ve ilgili mevzuata uygun olarak toplamak, işlemek ve güvenli bir şekilde muhafaza etmekle yükümlüdür.
TANIMLAR VE KISALTMALAR
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
| İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
| KVKK/Kanun | 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
| Kurul | Kişisel Verileri Koruma Kurulu. |
| Kurum | Kişisel Verileri Koruma Kurumu. |
| Kurul Kararı | “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli, 2018/10 sayılı kararıdır. |
| Politika | Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası. |
| Güvenlik Politikaları | Kişisel Veri Güvenliği Politika ve Prosedürleri |
| Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir. |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
| Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteridir. |
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
SERTDEMİR, kişisel verilerin işlenmesine ilişkin KVKK’da belirtilen genel ilkelere uymakla yükümlüdür. Bu kapsamda SERTDEMİR, özel nitelikli kişisel veriler işlerken aşağıdaki ilkelere uygun olarak hareket edecektir:
- Hukuka ve dürüstlük kuralına uygun olarak kişisel verileri işleme,
- Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
- Kişisel verileri belirli, açık ve meşru amaçlarla işleme,
- Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işleme,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME ŞARTLARI
SERTDEMİR, yukarıda bahsedilen genel ilkeler ile beraber KVKK’nın 6. maddesinde belirtilen şartlara uygun olarak özel nitelikli kişisel verileri işlemekle yükümlüdür. Bu kapsamda SERTDEMİR, aşağıdaki şartlardan birine dayalı olarak özel nitelikli kişisel verileri işleme faaliyeti yürütebilecektir:
- Özel nitelikli kişisel verilerin işlenmesine yönelik ilgili kişinin açık rızasının alınması,
- Sağlık ve cinsel hayata ilişkin kişisel veriler hariç, özel nitelikli kişisel verinin işlenmesinin kanunda öngörülmesi,
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise, açık rıza aranmaksızın, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
Bu Politikada yer almayan hususlarda Kişisel Verilerin İşlenmesi ve Korunması Hakkında Politika hükümleri uygulanır.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
SERTDEMİR, özel nitelikli kişisel verileri KVKK’nın 8. ve 9. maddelerinde belirtilen veri işleme şartlarına uygun olarak üçüncü kişiler ile paylaşabilecektir. Özel nitelikli kişisel verileri üçüncü kişilere aktarması esnasında, SERTDEMİR, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda SERTDEMİR, özel nitelikli kişisel verileri;
- e-posta ile aktardığı durumlarda, şifreli olarak kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanmaktadır,
- farklı fiziksel ortamlardaki sunucular arasında aktardığı durumlarda, sunucular arasında VPN kurarak ya da sFTP yöntemiyle verileri aktarmaktadır,
- kağıt üzerinden aktardığı durumlarda, belgenin çalınması, kaybolması ya da yetkisi kişisel tarafından erişilmesi gibi risklere karşı gerekli önlemleri almakta ve belgeyi “gizlilik dereceli belgeler” formatında göndermektedir.
Şirket, özel nitelikli kişisel verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir:
- Veri öznesinin açık rızası var ise,
- Kanunlarda özel nitelikli kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Veri öznesinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve veri öznesi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Şirketin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- ŞÖzel nitelikli kişisel veriler, veri öznesinin kendisi tarafından alenileştirilmiş ise,
- Özel nitelikli kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Veri öznesinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, veri öznesinin özel nitelikli kişisel verilerini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilir.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZASI
SERTDEMİR, yukarıda detaylıca bahsi geçen genel ilke ve işleme şartlarına uygun bir şekilde özel nitelikli kişisel verileri muhafaza etmektedir. Özel nitelikli kişisel verilerin muhafaza edildiği ve/veya erişildiği ortamlara ilişkin, SERTDEMİR, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda SERTDEMİR,
- özel nitelikli kişisel verileri kriptografik yöntemler kullanılarak muhafaza etmekte ve kriptografik anahtarları güvenli ve farklı ortamlarda tutmaktadır,
- özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmaktadır,
- özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip etmekte, gerekli güvenlik testlerinin düzenli olarak yaptırmakta ve test sonuçlarını kayıt altına almaktadır,
- özel nitelikli kişisel verilere bir yazılım aracılığı ile erişildiği hallerde bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır,
- özel nitelikli kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır,
- özel nitelikli kişisel verilerinin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı önlemleri almaktadır. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışları engellenmektedir.
ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMESİ
SERTDEMİR, özel nitelikli kişisel verileri işleyen çalışanları için Kurul Kararı’nda belirtilen aşağıdaki tedbirleri almaktadır:
- Personellere, kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılmaktadır.
- TÇalışanlar ile gizlilik sözleşmesi akdedilmektedir.
- Personeller, çalıştığı departmana ve iş rolüne göre kişisel verilerin bulunduğu sunuculara erişim için yetkilendirilmektedir. Bu yetkilerin kapsamı ve süreleri net olarak belirlenmektedir.
- Dönemsel olarak yetki kontrolleri yapılmaktadır.
- Çalışanların görev değiştirmesi veya işten ayrılması halinde verilere erişim yetkileri kaldırılmakta ve kendisine verilen envanter geri alınmaktadır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ SAKLAMA SÜRESİ VE İMHASI
İşbu Politikada belirtilen amaçlarla işlenmiş olan kişisel verileriniz; KVKK madde 7/1’e göre işlenmesi gerektiren amaç ortadan kalktığında ve kanunların belirlediği süreler geçince tarafımızca silinecek, yok edilecek ve anonimleştirilecektir.
Şirket, kişisel verileri hiçbir şekilde gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.
Şirketin kişisel veriler üzerinde uygulayacağı tüm silme, yok etme ve anonim hale getirme faaliyetleri Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası’nda belirtilen esaslara uygun olarak gerçekleştirilecektir.
Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir. Bu süre herhalde altı (6) ayı aşamayacaktır.
Telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, Kurul bu maddede belirlenen süreyi kısaltabilecektir.
- Özel Nitelikli Kişisel Verilerin Silinmesi
Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, ilgili politika ve prosedürlerinde kişisel verilerin silinmiş sayılması için üçüncü fıkrada belirtilen koşulların nasıl sağlandığını açıklar.
Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin anonimleştirilmesi yoluyla yapılacaktır. Şirket, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirecektir. Şirket bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti etmektedir. Bu garanti, veri sorumlusunun sorumluluğu altındadır.
- Özel Nitelikli Kişisel Verilerin Yok Edilmesi
Yok etme işlemi, Şirketin verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür.
Bu işlemler sırasında Şirket çalışanları ve ilgili departmanlar sorumluya yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Şirket gerekli her türlü teknik ve idari tedbiri alacaktır.
- Özel Nitelikli Kişisel Verilerin Anonimleştirilmesi
Anonim hale getirme işlemi, Şirket ‘in kişisel verileri fiziksel veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
- PERİYODİK İMHA SÜRESİ
Şirketin uhdesinde bulunan özel nitelikli kişisel veriler belirli periyodik aralıklarla kontrol edilecek ve bu verilerden işleme şartları tamamen ortadan kalkmış olanlar silinecek, yok edilecek ya da anonim hale getirilecektir.
Periyodik imha, tüm kişisel veriler için 6 (altı) aylık zaman aralıklarında gerçekleştirilir. Anılan süre, her hal ve koşulda Yönetmelik’in 11. maddesinde belirtilen azami periyodik imha süresini aşmamaktadır. Şirket, KVKK ve ilgili mevzuat kapsamında Kurul’un süreleri kısaltması durumunda, yeni sürelere uyum sağlayacağını taahhüt eder.
Özel nitelikli kişisel verilere uygulanacak bu periyodik inceleme ve imha işlemleri Şirket tarafından oluşturulan ve uygulamada olan Kişisel Veri İşleme Envanteri’nde yer almaktadır.
İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır. Şirketin diğer hukuki yükümlülüklerden kaynaklanan kişisel verileri muhafaza etme yükümlülüğü saklıdır.
GÜVENLİK POLİTİKALARI
SERTDEMİR, özel nitelikli kişisel veriler dahil olmak üzere işlediği tüm kişisel verilerin güvenliğini sağlamak amacıyla Kurum’un internet sitesinde yayınladığı Kişisel Veri Güvenliği Rehber’inde belirtilen teknik ve idari tedbirlere uygun olarak kişisel veri güvenliği politika ve prosedürleri oluşturmuştur.
İşbu kişisel veri güvenliği politika ve prosedürleri, işlenen kişisel verilerin hukuka uygunluğunu sağlamak, hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini sağlamaya yönelik SERTDEMİR’in aldığı teknik ve idari tedbirlere yer vermektedir. Bu kapsamda Güvenlik Politikaları’nda yer alan tüm teknik ve idari tedbirler, işbu Politika’da belirlenen tedbirlere ek olarak özel nitelikli kişisel verileri işleme faaliyetlerinde uygulanmaktadır.
Şirket tarafından veya Şirketin konu hakkında hizmet desteği aldığı uzman eğitmenler tarafından Özel Nitelikli Kişisel Verilerin İşlenmesi süreçlerinde yer alan çalışanlara yönelik:
- KVKK Düzenlemeleri ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilir,
- Gizlilik sözleşmeleri yapılır,
- Özel Nitelikli Kişisel Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır,
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınır.
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise:
- Veriler kriptografik yöntemler kullanılarak muhafaza edilir,
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır,
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli olarak takip edilir, gerekli güvenlik testleri düzenli olarak Şirket tarafından yapılır veya yaptırılır, test sonuçları kayıt altına alınır,
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak Şirket tarafından yapılır veya yaptırılır, test sonuçları kayıt altına alınır,
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise:
- Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,
- Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışların engellenir.
Özel Nitelikli Kişisel Veriler üçüncü kişilere aktarılacaksa:
- Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,
- Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamda tutulur,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilir,
- Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrakın “gizlilik dereceli belgeler” formatında gönderimi sağlanır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİNİ SAĞLAMAK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
Özel Nitelikli Kişisel Verilerinizin Hukuka Uygun Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesini Sağlamak için Alınan Teknik Tedbirler
- Kişisel veri saklama, işleme ve erişilme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
- Alınan teknik önlemler ilgilisine raporlanmaktadır.
- Teknik konularda bilgili personel istihdam edilmektedir.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
- Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
Kişisel Verilerin Hukuka Uygun Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesini Sağlamak için Alınan İdari Tedbirler
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak saklanması, işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
- Kişisel Veri İşleme envanterinde kişisel verileri işleyecek, saklayacak, erişebilecek personel belirlenmiştir.
- Yürütülen tüm faaliyetler detaylı olarak tüm bölümler özelinde analiz edilmekte, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari ve idari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
- Bölümler bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili bölümler özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
- Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- Çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere Şirket’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır
KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
- Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
- Bulut Sisteminde İlgili Verilerin Silme Komutu Verilerek Silinmesi: Merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.
- Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
- Teknik konularda bilgili personel istihdam edilmektedir.
- Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.
- Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için Şirket bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinecektir.
- Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.
- De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.
- Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kâğıt ve mikrofiş ortamındaki verilerin yok edilmesi de başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmektedir.
- Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılmasıdır.
- Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri: Değer düzensizliği sağlamayan anonim hale getirme yöntemleri ile saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılmasıdır.
- Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanların çıkartılması ile mevcut veri setinin anonim hale getirilmesidir.
- Kayıtları Çıkartma: Veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkartılarak saklanan veriler anonim hale getirilmektedir.
- Bölgesel Gizleme: Tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi ile anonimleştirme sağlanmaktadır.
- Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmesidir.
- Genelleştirme:Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
- Global Kodlama:Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
- Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri:Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde değer düzensizliği sağlamayanların aksine kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratılmaktadır.
- Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir.
- Mikro Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmaktadır.
- Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilmektedir.
Yukarıda sayılan durumların gerçekleşmesi sırasında KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlanmakta ve gerekli tüm idari ve teknik tedbirler alınmaktadır.
ÖZEL NİTELİKLİ KİŞİSEL VERİ ÖZNESİNİN (İLGİLİ KİŞİNİN) HAKLARI
Şirketimizin faaliyetleri kapsamında işlenen kişisel veriler ile ilgili olarak veri öznesi, KVVK’nin 11. maddesinde sayılı haklarınız çerçevesinde, Şirketimize başvurarak;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK’nin 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Veri özneleri haklarını kullanmak istediği ve/veya kişisel verileri işlerken Şirketin işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda taleplerini, Şirket internet sitesinde yer alan formu doldurarak veya kendi taleplerini Kurum tarafından belirlenen şartları taşıyacak şekilde oluşturarak yukarıda verilen ve zaman zaman değişebilecek olan e-posta adresine, Şirkete daha önce bildirilmiş ve Şirket sistemine kayıtlı olan e-posta adresinden gönderebilecekleri e-posta ile (sisteme kayıtlı e-posta adresi kontrol edilmelidir) veya güvenli elektronik imzalı veya mobil imzalı olarak Şirket kep adresine yahut yine yukarıda yer alan ve zaman zaman değişebilecek olan posta adresine kimliklerini tevsik edici belgeler ile birlikte ıslak imzalı bir dilekçe ile elden ya da noter aracılığıyla teslim edebilirler ve ileride bunlara eklenebilecek Kurum tarafından belirlenen diğer yöntemlerle gönderebilirler. Güncel başvuru yöntemleri ve başvuru içeriği başvuru öncesinde mevzuattan teyit edilmelidir.
Veri öznelerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir.
EĞİTİM
Şirket, özel nitelikli kişisel verilerin korunması konusunda çalışanlarına Şirket Politika ve Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir.
Eğitimlerde özel nitelikli kişisel verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
Şirket çalışanı kişisel verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.
DENETİM
Şirket, Şirket’in tüm çalışanları, departmanları ve yüklenicilerinin işbu Politika ve KVKK düzenlemelerine uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve resen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar.
POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.
Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve diğer ilgili kişilerin erişimine sunar.
İşbu Politikanın hazırlanmış olduğu Türkçe dilindeki metni ile Şirket tarafından yayınlanan herhangi bir dildeki çeviri metni arasında bir uyuşmazlık çıktığı hallerde, Türkçe metin esas alınacaktır.
REFERANSLAR VE DAYANAK
“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı
İLGİLİ DOKÜMANLAR
Kişisel Veri ve Bilgi Güvenliği Politikası
POLİTİKANIN YÜRÜRLÜLÜK TARİHİ
İşbu Politika’nın ilk versiyonu …/…/… tarihi itibariyle Şirket’in tüm kişisel veri saklama ve imha faaliyetlerine uygulanmak üzere Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.
İşbu Politika’nın hazırlanmış olduğu Türkçe dilindeki metni ile Şirket tarafından yayınlanan herhangi bir dildeki çeviri metni arasında bir uyuşmazlık çıktığı hallerde, Türkçe metin esas alınacaktır.
EK-1 KİŞİ GRUPLARI
| KİŞİ GRUPLARI | AÇIKLAMALAR |
| Müşteri | SERTDEMİR’den halihazırda ürün/hizmet alan veya alma taahhüdünde bulunan kişiler. |
| Potansiyel Müşteri | SERTDEMİR’den halihazırda ilgili ürünü/hizmeti almayan ancak alması muhtemel kişiler. |
| Şirket Temsilcisi veya Vekili | SERTDEMİR’i temsil veya vekil eden kişiler (SERTDEMİR’in danışmanlık aldığı avukatlar, SERTDEMİR’in temsil ve ilzama yetkili yönetim kurulu üyesi). |
| Hissedar/Ortak | SERTDEMİR’te pay sahibi olan gerçek kişiler. |
| Tedarikçi | SERTDEMİR’in hizmet aldığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili. |
| İş Ortağı | SERTDEMİR’in faaliyetlerinde beraber çalıştığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili. |
| Çalışan | SERTDEMİR’in işveren olarak çalıştırdığı ve aralarında iş sözleşmesi bulunan kişiler. |
| Çalışan Adayı | SERTDEMİR’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini SERTDEMİR’in incelemesine açmış olan gerçek kişiler. |
| Stajyer | SERTDEMİR’te stajyerliğini yapan gerçek kişiler. |
| Ziyaretçi | SERTDEMİR şirket yerleşkelerini ve internet sitelerini ziyaret eden kişiler. |
| Hukuken Yetkili Kişi | Hukuken yetkili kamu kurum ve kuruluşları veya özel kişi ve kuruluşlarında çalışan kişiler. |
| Üçüncü Kişi | Burada belirtilmeyen diğer gerçek kişiler (Örn. Kefil, eski çalışan vs.) |
İletişim Formu Aydınlatma Metni
Değerli kullanıcı; işbu aydınlatma metni, SERTDEMİR (“Şirket”) yahut Şirketimizin tayin edeceği üçüncü kişi Şirket tarafından kurumsal internet sitesinde kullanılan iletişim formunun doldurulması esnasında elde edilen kişisel veriler sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuat uyarınca Şirketimizin aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanmış ve bilginize sunulmuştur.
İşlediğimiz Kişisel Verileriniz
Şirket tarafından kurumsal internet sitesinde kullanılan iletişim formunun doldurulması kapsamında isminiz, soyadınız, e-mail adresiniz, telefon numaranız ve mesaj içeriğinize ilişkin bilgiler işlenmektedir.
Kişisel Verilerinizin İşlenme Yöntemleri, Hukuki Sebepleri ve Amaçları
KVKK ve ilgili mevzuata göre; müşteri desteği sağlamak ve sorunları gidermek amacıyla KVKK madde 5(2)(c)’de belirtilen “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, KVKK madde 5(2)(ç)’de belirtilen “veri sorumlusu Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, KVKK madde 5(2)(d)’de belirtilen “ilgili kişinin kendisi tarafından alenileştirilmiş olması” ve KVKK madde 5(2)(f)’de belirtilen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayalı olarak KVKK’da yer alan tüm idari ve teknik tedbirlere uygun olarak otomatik ve otomatik olmayan yöntemlerle toplanmakta ve işlenmektedir.
Kişisel verileriniz, olası bir ihtiyaç halinde kolluk ve idari makamlar ile güvenlik amacıyla paylaşılabilecek olup ilgili yetkili kişiler dışında hiçbir surette üçüncü kişilere aktarılmayacaktır.
Kişisel Verilerinizin Saklanması ve İmhası
Kişisel Verileriniz, ilgili mevzuatta bu verilerin saklanması için öngörülen bir süre var ise bu süre kadar veya bu şekilde bir süre belirlenmemiş ise işlendikleri amaç için gerekli olan süre boyunca işlenmektedir. İlgili sürelerin sona ermesiyle beraber, kişisel verileriniz KVKK’nın ilgili hükümleri, “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve Şirket Politikalarımıza uygun şekilde derhal imha edilecektir.
Veri Öznesi (İlgili Kişi) Olarak Haklarınız
KVKK ve yürürlükte bulunan ilgili diğer mevzuat çerçevesinde:
Kişisel Verilerinizin işlenip işlenmediğini öğrenme;
Kişisel Verileriniz işlenmişse buna ilişkin bilgi talep etme;
Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
Yurtiçinde veya yurtdışında Kişisel Verilerinizin aktarıldığı üçüncü kişileri bilme;
Kişisel Verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme;
KVKK mevzuatında öngörülen şartlar çerçevesinde Kişisel Verilerinizin silinmesini veya yok edilmesini isteme;
v. ve vi. maddeleri kapsamında yapılan işlemlerin Kişisel Verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme;
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme;
Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde bu zararın giderilmesini talep etme haklarına sahipsiniz.
İstisna Hükmü
Kişisel verilerinizin KVKK’nın 28 inci maddesinin (ç) bendinde belirtilen “milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesini” gerektiren durumlarından varlığı halinde (salgın hastalık, doğal afet, milli güvenliği tehdit edecek çalışan faaliyetlerinin tespiti vb.), Şirketimiz yetkili kamu kurum ve kuruluşlarına gerekli kişisel veri aktarımlarını gerçekleştirmekle mükelleftir.
Bu durumlarda, KVKK’nın 28 inci maddesinin istisna hükmü olması nedeniyle KVKK uygulama alanı bulmayacaktır. Ancak, her halükarda bu kapsamda gerçekleştirilecek veri işleme faaliyetlerinde de Şirketimizin temel prensiplere ve ölçülülük ilkesine uygun hareket edecektir.
Haklarınız Kapsamında Başvuru Yolları
Yukarıda sayılan haklarınıza ilişkin başvurularınızı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygun olarak yapabilirsiniz. KVKK kapsamındaki haklarınızı kullanmak ile ilgili talebinizi kimliğinizi tespit edecek belgeler ile birlikte;
Şahsen başvuru yapılması halinde; yazılı başvuru, Şirketimizin İstanbul Anadolu Yakası Organize Sanayi Bölgesi 2. Sanayi No:10, Tuzla/İstanbul adresine, zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılması suretiyle yapılacaktır.
Noter kanalı ile tebligat gönderilmesi yoluyla başvuru yapılması halinde; yazılı başvuru, Şirketimizin İstanbul Anadolu Yakası Organize Sanayi Bölgesi 2. Sanayi No:10, Tuzla/İstanbul adresine, zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılması suretiyle yapılacaktır.
Güvenli elektronik imza ile imzalanarak Kayıtlı Elektronik Posta (KEP) yoluyla başvuru yapılması halinde; yazılı başvuru, kvkk@faydasicok.com e-posta hesabına, e-postanın konu bölümüne “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılması suretiyle yapılacaktır.
Ayrıca, Kurul’un belirleyeceği diğer yöntemler duyurulduktan sonra bu yöntemler üzerinden de başvuruların ne şekilde alınacağı Şirketimiz tarafından ayrıca duyurulacaktır.
(Okudum, anladım seçeneği eklenmelidir.)
ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNE İLİŞKİN AYDINLATMA METNİ
Aydınlı İstanbul AYOSB Mahallesi 2. Sanayi Cadde No:10 Tuzla/İstanbul adresinde mukim Hasçelik Sanayi ve Ticaret Anonim Şirketi (“Şirketimiz” veya “HASÇELİK”) olarak, kişisel verilerinizin hukuka uygun olarak korunmasına ve işlenmesine oldukça önem vermekteyiz. Bu kapsamda, HASÇELİK’e başvuran çalışan adaylarına (“siz”) ait kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun/KVKK”) ve ilgili mevzuata uygun olarak aşağıda açıklanan kapsamda işleyeceğiz.
İşbu aydınlatma metni, veri sorumlusu sıfatıyla hareket eden Şirketimizin Kanun’un 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ çerçevesinde, işe alım süreci kapsamında, kişisel verilerinizin işlenme amaçları, hukuki nedenleri, toplanma yöntemi, kimlere aktarılabileceği ve KVKK kapsamındaki haklarınız konularına ilişkin olarak sizi bilgilendirmek amacıyla hazırlanmıştır.
İşbu aydınlatma metni ile iş başvuru çerçevesinde toplanan kişisel verilerinizin hangi kapsamda işlendiği açıklanmaktadır. Kişisel verilerinizin Şirketimiz tarafından işlenmesi hakkında detaylı bilgilere ise, Şirketimizin Kişisel Verilerin Korunması ve İşlenmesi Politikası’ndan ulaşabilirsiniz.
İşlediğimiz Kişisel Veriler
Şirketimiz, iş başvurularını değerlendirme sürecinde aşağıdaki kişisel verilerinizi işleyebilecektir:
Ad, soyad, cinsiyet, T.C. Kimlik Numarası, medeni durum, doğum tarihi, uyruk, ev adresi, telefon numarası, e-posta, yaş,
Eğitim bilgileriniz, katılmış olunan seminer bilgileri, sertifika bilgileri, yabancı dil bilgileri, bilgisayar bilgileri, ehliyet bilgileri, geçmiş iş deneyimleri, askerlik durumu,
Engellilik durumu, sahip olunan kronik hastalıklar ve geçirilen sağlık operasyonları,
Hobiler, yapılan kültürel ve sosyal aktiviteler,
Şirkette tanıdığınız çalışan akrabanızın olup olmadığı,
Daha önceki işyerinde alınan ve/veya beklenen maaş bilgileriniz,
Çeşitli kimlik belgeleri kapsamında veya Şirket tarafından talep edilmemiş olmakla birlikte işe başvuru sürecinde özgeçmiş vb. çeşitli belgeler kapsamında dolaylı olarak edinilme ihtimali olan din verileri, sabıka kaydı kapsamındaki ceza mahkûmiyetleri ve güvenlik tedbirlerine ilişkin bilgileri gibi özel nitelikli kişisel veriler,
Referans bilgileriniz,
Emeklilik durum bilgisi,
Fotoğraf, Şirket bünyesinde kamera ile izlenmesi kapsamında alınan güvenlik kamerası görüntüleri ve ses kayıtları.(Metin içerisinde yukarıda sayılı verilerin hepsi birlikte “Kişisel Veri” olarak anılacaktır.)
Çalışan Adaylarının Dikkatine: Şirketimize yukarıdaki kanallardan ileteceğiniz özgeçmişinizde özel nitelikli kişisel verilere yer verilmemesini rica ederiz.
Kişisel Verilerinizi İşleme Amaçlarımız
Şirketimiz, veri sorumlusu olarak, kişisel verilerinizi Kanun’a ve ilgili mevzuata uygun olarak işlemekle yükümlüdür. Kişisel verileriniz sadece belirli, açık ve meşru amaçlarla ve hukuka ve dürüstlük kurallarına uygun olarak işlenecektir. Ayrıca, Şirketimiz, kişisel verilerinizi işleme amacıyla bağlantılı, sınırlı ve ölçülü olarak işlemeye ve işlediği verilerin doğru ve güncel olmasına özen gösterecektir.
Şirketimiz, iş başvurularınızı değerlendirmek ve işe alım süreçlerini yürütebilmek, sizlerle görüşmeler yapabilmek, iş üsluplarınızı ve öğrenme stillerinizi öğrenebilmek ve yasal mevzuattan kaynaklanan yükümlülükleri yerine getirmek amacıyla kişisel verilerinizi işlemektedir.
Kişisel Verilerinizi Toplama Yöntemi ve Hukuki Sebebi
Şirketimiz, kişisel verilerinizi, sözlü olarak, fiziki form, referans formu, fotokopi, e-posta, telefon ve Kariyer.net ve LinkedIn gibi kariyer siteleri de dahil olmak üzere fiziki ve elektronik ortamlar üzerinden toplayabilmektedir.
Kişisel verileriniz; kanunlarda açıkça öngörülmesi, sözleşmenin kurulması ve ifası, hukuki yükümlülüğün yerine getirilmesi, Şirket’in hakkını tesis etmesi, savunması ve koruması, Şirket’in meşru menfaati için gerekli olması ve KVKK madde 5(2)(c) uyarınca “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, KVKK madde 5(2)(e) uyarınca “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve KVKK madde 5(2)(f) uyarınca “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” sebepleriyle işlenmektedir.
Kişisel Verilerinizin Yurt İçi ve Yurt Dışına Aktarılması ve Aktarılma Amacı
Kişisel verileriniz KVKK’nın 8. ve 9. maddesinde belirtilen veri aktarma ve işleme şartları ile yukarıda sayılan amaçların gerçekleştirilmesini sağlamak amacı ile mevzuatta belirlenen güvenlik ve gizlilik esasları uyarınca yeterli ve etkili önlemler alınmak kaydıyla; hukuken yetkili kamu kurumlarına, adli mercilere ve kolluk kuvvetlerine aktarılabilecektir.
Kişisel verileriniz, yukarıda belirtilen amaçlar dahilinde yurt içi ve yurt dışındaki hizmet sağlayıcılarımıza, Faydasıçok Holding Grup Şirketlerine, tedarikçilerimize ve hissedarlarımıza ve açık rıza verdiğiniz takdirde üçüncü taraf firmalara Kanun’un 8. ve 9. maddelerinde belirtilen hukuki sebeplere dayalı olarak aktarılabilecektir.
Kişisel verilerinizin yukarıda belirtilen haller dışında herhangi bir üçüncü kişiye aktarımının gerekmesi halinde buna ilişkin olarak tarafınıza ayrıca bilgilendirme yapılacak ve KVKK’ya uygunluk sağlanacaktır.
Kişisel Verilerinizin Saklanması ve İmhası
Şirketimiz, kişisel verilerinizi,
ilgili mevzuatta öngörülen süre,
işlendikleri amaç için gerekli olan süre, veya
Kanun madde 5/2(e)’de belirtilen olası bir uyuşmazlıkta Şirketin hakkını tesis edebilmesi, kullanabilmesi ve savunabilmesi sebebine dayalı olarak gereken süre boyunca muhafaza edecektir. Bu kapsamda, işe alım sürecinde toplanan kişisel verileriniz Şirketimizce özenle ve gizlilik içinde, işe yatkınlığınızı belirlemek amacıyla işlenecek ve en fazla bir (1) yıllık süre için, aynı ve benzer iş pozisyonlarında değerlendirilmek üzere elektronik ve fiziki ortamda muhafaza edilecektir.
Sadece Şirketimiz içinde konu ile yetkili kişiler işe alım amacıyla bağlantılı olmak kaydıyla verilerinize erişebilecektir.
Bu sürelerin sona ermesi ve Şirketin kişisel verilerinizi işlemek için herhangi bir hukuki sebebi kalmaması halinde kişisel verileriniz KVKK’nın ilgili hükümleri, “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve Şirket Politikalarımıza uygun şekilde derhal silinecek, yok edilecek veya anonim hale getirilecektir. Daha fazla bilgi için Kişisel Verileri Saklama ve İmha Politikamıza bakabilirsiniz.
Kişisel Verilerinize İlişkin Haklarınız
Veri öznesi olarak, Kanun’un 11. maddesi uyarınca kişisel verilerinize ilişkin aşağıdaki haklara sahipsiniz:
Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde bu zararın giderilmesini talep etme.
Başvuru Hakkının İstisnaları
KVKK 28/2 hükmü uyarınca, aşağıdaki hallerde zararın giderilmesini talep etme hakkı hariç olmak üzere, KVKK 11. maddesinde belirtilen haklarınızdan yararlanmanız mümkün olmayacaktır.
1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Haklarınız Kapsamında Başvuru Yolları
Yukarıda sayılan haklarınıza ilişkin başvurularınızı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygun olarak yapabilirsiniz. KVKK kapsamındaki haklarınızı kullanmak ile ilgili talebinizi kimliğinizi tespit edecek belgeler ile birlikte;
Şahsen başvuru yapılması halinde; yazılı başvuru, Şirketin Aydınlı İstanbul AYOSB Mahallesi 2. Sanayi Cadde No:10 Tuzla/İstanbul adresine, zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılması suretiyle yapılacaktır.
Noter kanalı ile tebligat gönderilmesi yoluyla başvuru yapılması halinde; yazılı başvuru, Şirketin Aydınlı İstanbul AYOSB Mahallesi 2. Sanayi Cadde No:10 Tuzla/İstanbul adresine, zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılması suretiyle yapılacaktır.
Güvenli elektronik imza ile imzalanarak Kayıtlı Elektronik Posta (KEP) yoluyla başvuru yapılması halinde; yazılı başvuru, kvkk@faydasicok.com e-posta hesabına, e-postanın konu bölümüne “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılması suretiyle yapılacaktır.
Bu haklarınıza ilişkin taleplerinizi, internet sitemizdeki İlgili Kişi Başvuru Formu’nu doldurarak iletebilirsiniz.
Ayrıca, Kurul’un belirleyeceği diğer yöntemler duyurulduktan sonra bu yöntemler üzerinden de başvuruların ne şekilde alınacağı Şirketimiz tarafından duyurulacaktır.
* Söz konusu belgeler kapsamında herhangi bir özel nitelikli kişisel veriye (örn. din bilgisi veya kan grubu bilgisi) yer verilmemesi gerektiğini tekrar hatırlatmak isteriz.
İşbu formu imzalamak suretiyle kişisel verilerinizin yukarıdaki amaç ve vasıtalar doğrultusunda işlenmesini ve bu hususta usulüne uygun bir şekilde bilgilendirildiğinizi kabul, beyan ve taahhüt etmektesiniz.
Veri sorumlusunun aydınlatma yükümlülüğünün yerine getirilmesi amacıyla tarafıma sunulan işbu metni okudum. (Seçimli kutucuk eklenmesini tavsiye ederiz.)