Skip to content

KVKK Politikası

NEVPA OTOMOTİV SANAYİ ve TİCARET AŞ.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

GİRİŞ

Bu Politika ile kişisel verilerin korunması ve işlenmesi konusunda NEVPA OTOMOTİV SANAYİ ve TİCARET AŞ. tarafından benimsenecek ve uygulamada dikkate alınacak ilkeler ortaya konulmaktadır. Politika NEVPA OTOMOTİV SANAYİ ve TİCARET AŞ. (Bundan böyle “Şirket” olarak anılacaktır.) olarak, kişisel verilerin korunması ve işlenmesi konusunda 6698 Sayılı Kişisel Verilerin Korunması (“KVK”) Kanunu’na uyum sağlamak amacıyla Şirket özelinde yürütülecek uyum faaliyetlerinin çerçevesini belirlemeyi ve koordinasyonu sağlamayı hedeflemektedir. Bu kapsamda amaç, Şirket olarak, kuruluşundan itibaren benimsenen, faaliyetlerin hukuka uygunluk, dürüstlük ve şeffaflık ilkelerine uygun olarak yürütülmesinin sürdürülmesidir. Şirket, bu amaç ve hedefe uygun olarak, KVK Kanunu’na uyum konusunda gerekli yapıyı, prosedür ve süreçleri oluşturacak; çalışanlarında ve iş ortaklarında farkındalığın yaratılması için gerekli mekanizmaları hayata geçirecektir.

KAPSAM:

Bu Politika; Şirketimiz çalışanları haricindeki kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Söz konusu kişisel veri sahiplerine ilişkin detaylı bilgilere işbu Politika’nın EK 2 (“EK 2- Kişisel Veri Sahipleri”) dokümanından ulaşılması mümkündür.

1- “KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI”NIN KULLANILMA AMACI

İş bu politika ile Şirket tarafından KVK Kanunu’na uyum için önem taşıyan düzenlemelerin şirket bünyesinde benimsenmesinin sağlanması amaçlanmaktadır. Politika şirket düzeyinde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla şirket özelinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır. Şirket tarafından belirlenen ilkeler doğrultusunda iç işleyişlerini uyum için gerekli düzenlemeleri yapacak çalışanlarının ve iş ortaklarının farkındalığının oluşması için gerekli sistemi oluşturacaktır. Bu kapsamda, Politika, Şirketin KVK Kanunu ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır. Şirket bu doğrultuda kendi bünyesinde Politika’ya uyum için gerekli düzenlemeleri yapacak ve periyodik olarak Politika’ya uyum konusunda iç denetim mekanizmalarını işleterek Politika’ya uygunluğun devamlılığını sağlayacaklardır. Şirket bünyesinde Politika’da düzenlenen ilkeler doğrultusunda kişisel verilerin işlenmesi ve korunması bakımından gerekli her türlü idari ve teknik tedbir alınacak, çalışanların farkındalığının sağlanması için iç sistemler kurulacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek, Şirketin iş ortaklarına konuya ilişkin gerekli bildirimler ve uyarılar yapılacaktır.

2. “KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER”

Şirket bakımından öncelikle önem arz eden hususlardan biri, kişisel verilerin işlenmesinde mevzuatta öngörülen genel ilkelere uygun davranılmasıdır. Bu kapsamda, Şirketi, Anayasa ve KVK Kanunu’na uygun olarak kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket etmelidir.

2.1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma: Şirket, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmalıdır. Bu kapsamda şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almalı ve kişisel verileri amacın gerektirdiği dışında kullanmamalıdır.

2.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Şirket, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamalı; bu doğrultuda gerekli tedbirleri alarak bunları sağlamaya yönelik sistemleri kurmalıdır.

2.3. Belirli, Açık ve Meşru Amaçlarla İşleme: Şirket, kişisel verileri meşru ve hukuka uygun sebeplerle işlemelidir. Şirket, kişisel verileri yürütmekte olduğu faaliyetlerle bağlantılı olarak ve gerekli olduğu ölçüde işlemelidir. Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan belirlenmelidir.

2.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmalıdır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemelidir.

2.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme: Şirket, Türk Ceza Kanunu’nun 138inci maddesine ve KVK Kanunu’nun 4üncü ve 7inci maddelerine uygun olarak; işledikleri kişisel verileri, yalnızca ilgili mevzuat ve kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar muhafaza etmelidirler. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için belirli bir süre öngörülüp öngörülmediğini tespit etmeli, herhangi bir süre belirlenmişse bu süreye uygun davranmalı, süre belirlenmemişse kişisel verileri işleme amacının gerçekleşmesi için gerekli olan süre kadar saklamalıdırlar. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. Gelecekte kullanma ihtimali ile Şirket tarafından kişisel veriler saklanmamalıdır.

2.6. Kişisel Veri İşleme Faaliyetlerinin Kanunun 5inci Maddesinde Belirtilen Kişisel Veri İşleme Şartlarından Bir veya Birkaçına Dayalı Olarak Kanunun 4üncü Maddedeki Temel İlkelerin Tümüne Uygun Şekilde Yürütülmesi: Kişisel veriler kural olarak, KVK Kanunu’nun 5inci maddesinde belirtilen şartlardan bir veya bir kaçına uygun olarak işlenmelidir. Şirket tarafından, Şirket iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetlerinin bu şartlardan bir veya bir kaçına dayalı olarak yürütülüp yürütülmediği tespit edilmeli, bu şartlardan bir veya bir kaçını sağlamayan kişisel veri işleme faaliyetleri süreçlerde yer almamalıdır. Kişisel veri işleme faaliyetlerinin kişisel veri işleme şartlarından bir veya bir kaçına dayalı olarak yürütülmesinin sağlanmasının yanı sıra tüm kişisel veri işleme faaliyetlerinde KVK Kanunu’nun 4üncü maddesinde belirtilen ve Politikanın 2.1 ila 2.5 bölümlerinde belirtilen tüm ilkelere uygun hareket edilmesi ve söz konusu ilkeleri içinde barındırması sağlanmalıdır. Özel nitelikteki kişisel verilerin işlenmesi, üçüncü kişilere ve yurtdışına aktarılması konusunda KVK Kanunu’nda öngörülen özel hükümler de dikkate alınarak kişisel veri işleme faaliyetleri yerine getirilmeli; yukarıda belirtilen hususların yanında bu durumlarda kanunun aradığı özel gereklilikler de yerine getirilerek kişisel veri işleme faaliyetleri gerçekleştirilmelidir. Şirket, bu çerçevede, KVK Kanunu’ndaki düzenlemelere uyum için gerekli süreçleri oluşturacaktır.

2.7. Kişisel Verilerin Aktarımında Uyulması Gerekenler: Şirket, kişisel verilerin, özel nitelikli kişisel veriler dahil, aktarılması bakımından aşağıda yer verilen kurallara uygun davranılmalıdır.

2.7.1. Yurtiçinde Kişisel Verilerin Aktarımı : Şirket , veri sahibinin kişisel verilerini, kişisel veri işleme amaçlarına uygun olarak ve gerekli güvenlik önlemlerini alarak üçüncü kişilere aktarmalıdır. Bu doğrultuda Şirket; bünyesinde KVK Kanunu’nun 8’inci maddesinde öngörülen şartlara uygun hareket etmeye yönelik gerekli süreçler tasarlanmalıdır.

2.7.2. Yurtdışına Kişisel Verilerin Aktarılması: Halihazırda; Şirket tarafından kişisel verilerin yurtdışına aktarım yapılmamaktadır. Ancak değişen şartlarla birlikte aktarım yapılması gerekirse kişisel verilerin yurtdışına aktarılmasında, işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır. Şirket tarafından kişisel veriler sadece KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere aktarılabilir. Şirket tarafından bu doğrultuda KVK Kanunu’nun 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli süreçler tasarlanmalıdır.

2.7.3. Özel Nitelikli Kişisel Verilerin Aktarılması Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir: (i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır. (ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır. Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.

3. ŞİRKETİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN YÜKÜMLÜLÜKLERİ

3.1. Veri Sorumluları Siciline Kaydolma Yükümlülüğü: Şirket, veri işlemeye başlamadan önce KVK Kurulu tarafından belirlenerek ilan edilecek süre içinde Veri Sorumluları Sicili’ne kayıt olmalıdır. Veri Sorumluları Sicili'ne kayıt başvurusunda aşağıdaki bilgiler sunulmalıdır:

I- Veri sorumlusu olarak Şirketin ve varsa temsilcisinin kimlik ve adres bilgileri.
II- Kişisel verilerin hangi amaçla işleneceği.
III- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
IV- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
V-Yabancı ülkelere aktarımı öngörülen kişisel veriler.
VI- Kişisel veri güvenliğine ilişkin alınan tedbirler.
VII- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

3.2. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü: Şirket, kişisel verilerin elde edilmesi sırasında, kişisel veri sahibini, aşağıda yer alan konularda aydınlatmalıdır:

I- Veri sorumlusu olarak Şirketin ve varsa temsilcisinin kimliği,
II- Kişisel verilerin hangi amaçla işleneceği,
III- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
IV- Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
V- Kişisel veri sahibinin sahip olduğu haklar; •

  • Kişisel verilerin işlenip işlenmediğini öğrenmek,
  • İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,
  • Kişisel verilerin aktarıldığı kişileri bilmek,
  • Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesi,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
  • Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.

3.3. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü: Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler. Bu kapsamda, Şirket, kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK’nın 13 numaralı maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri almalıdır. KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme. Kişisel veri sahiplerinin yalnızca yazılı olarak Şirket’e iletilen talepleri işleme alınmalıdır. İleride Kurul tarafından farklı başvuru yöntemleri belirlenebilecektir. Şirket; talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde yanıtlandırmalıdır. Değerlendirme sonucunda Şirket başvuruları kabul ederek gereken aksiyonları alabilecekleri gibi başvuruları gerekçeli olarak reddedebilirler. Önemle belirtmek gerekir ki kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikayette bulunabilir. Bu şikayetleri engellemek adına kişisel veri sahiplerine zamanında ve tatmin edici cevaplar verilmesi önem arz etmektedir. Kişisel veri sahipleri, yukarıda sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketimize iletebileceklerdir. Bu doğrultuda ekte bulunan BAŞVURU FORMUNDAN ulaşılabileceklerdir.

3.4.Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü:

Şirket, KVK Kanunu’nun 12inci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almalı, bu kapsamda gerekli denetimleri yapmalı veya yaptırmalıdır. Şirket, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları Şirket bünyesinde görevli birimlerce incelenmeli ve gerekli aksiyonlar alınmalıdır. Şirket, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlüdürler. Bu kapsamda gerekli organizasyonel yapı kurulmalıdır. Bu kapsamda, Şirket tarafından aşağıda sıralanan tedbirlerin alınmasına yönelik gerekli sistemler kurgulanmalı, bu sistemlerin denetimi yapılmalı ve güvenliğin risk teşkil ettiği durumlarda vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.

3.4.1. Hukuka Uygun Veri İşlenmesini Temin İçin Teknik ve İdari Tedbirlerin Alınması: Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar dâhilinde, gerekli teknik ve idari tedbirleri almalıdır. I- Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınması Gereken Teknik Tedbirler:

  • Şirket bünyesindeki iş birimleri tarafından gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin tüm süreçler analiz edilmeli, bu kapsamda bir “kişisel veri işleme haritası” çıkartılmalıdır. Şirketin iş birimleri tarafından, verilerin toplanmasından silinmesine kadar gerçekleştirilen faaliyetlerin tümünün hukuka uygunluk denetimi yapılmalıdır.
  • Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmelidir.
  • Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmalıdır. II- Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınması Gereken İdari Tedbirler :
  • Şirket, çalışanlarını, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirmeli ve eğitmelidir.
  • Şirket ile çalışanları arasındaki hukuki ilişkiyi yöneten sözleşme, belge ve politikalara, KVK Kanunu’ndaki düzenlemelere aykırı biçimde kişisel verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması yükümlülüğü getiren kayıtlar konulmalıdır.
  • Kişisel verilere erişim, işleme amacı doğrultusunda ilgili Şirket çalışanı ile sınırlandırılmalı, ayrıca, Şirket bünyesinde tutulan her kişisel veriye, her çalışanın erişim imkanı bulunmamalıdır.
  • Şirket’in yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilmeli, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri belirlenmelidir.
  • Her bir iş biriminin faaliyetlerinin KVK Kanun’unda belirtilen kişisel veri işleme şartlarına uygunluğunun sağlanmasına yönelik isterler, her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde tespit edilmelidir.
  • İş birimleri bazında belirlenen hukuksal uyum isterlerinin sağlanması için Şirket tarafından, ilgili iş birimleri özelinde farkındalık yaratılmalı ve uygulama kuralları belirlenmelidir. Şirket tarafından, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler alınarak, politika, prosedür ve eğitimler hayata geçirilmelidir.

3.4.2. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması: Şirket, kişisel verilerin tedbirsizlikle veya yetkisiz olarak üçüncü kişilere açıklanmasını, görüntülenmesini, aktarılmasını veya başka şekillerde hukuka aykırı şekilde elde edilmesini önlemek için, korunacak verinin niteliğine ve teknolojik imkânlara göre gerekli teknik ve idari tedbirleri almalıdır.

I- Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınması Gereken Teknik Tedbirler: •

  • Teknolojideki gelişmelere uygun teknik önlemler alınmalı, alınan önlemler periyodik olarak güncellenmeli ve yenilenmelidir.
  • Şirket tarafından, iş birimi bazında hukuksal uyum isterlerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmalıdır.
  • Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmalı, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmalıdır.
  • Teknik konularda bilgili personel istihdam edilmelidir. II- Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Alınması Gereken İdari Tedbirler:
  • Şirketin çalışanları, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmelidir.
  • İş birimi bazında hukuksal uyum isterlerine uygun olarak Şirket tarafından kuruluş bünyesinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmalı ve uygulanmalıdır.
  • Şirket çalışanlarından, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceğine ilişkin gerekli taahhütler alınmalıdır.
  • Şirket tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler eklenmelidir.

3.4.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi: Şirket, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmalı ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmelidir. Şirket tarafından; iş birimlerinin, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalıklarının artırılması ve denetimi konusunda gerekli süreçler tasarlanmalıdır.

3.4.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler: Şirket, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirmekle yükümlüdürler. Bu kapsamda, gerekli iç yapı oluşturulmalıdır.

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI:

KVK Kanunu ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Şirket tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır. Bu kapsamda, Şirket bünyesinde verilen iş yeri hekimliği hizmeti sebebiyle çalışanların sağlık verileri işlenmekte olup bu özel nitelikli kişisel verilere erişebilen personele gerekli eğitimler verilmekte, bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır. Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece revir personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine revir personeli dışında hiçbir birim erişememektedir.

5. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Şirket; KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu haklar konusunda veri sahibinin niteliğine ve veri işleme sürecine göre aydınlatma yapmaktadır. Bu kapsamda şirket bünyesinde çalışanların, ziyaretçilerin, müşterilerin, üçüncü kişilerin, çalışan adaylarının, işbirliği içinde olduğumuz kurumların çalışanlarının kolayca görebilecekleri alanlara Aydınlatma Metinleri yerleştirilmiştir. Şirket web sitesinde bu politika ile birlikte müşteri aydınlatma metni, çalışan aydınlatma metni, başvuru formu da yayınlanmıştır.

6. KİŞİSEL VERİ ENVANTERİ VE KİŞİSEL VERİLERİN SINIFLANDIRILMASI

Şirket nezdinde, şirketin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 2. maddede belirtilen ilkeler olmak üzere, KVK Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen tüm yükümlülüklere uyularak ve işbu Politika kapsamındaki kişisel veri sahiplerine (Müşteriler, çalışanlar, ziyaretçiler, üçüncü kişiler, çalışan adayları, işbirliği içinde olduğumuz kurumların çalışanları) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Şirket, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde kişisel veri, veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları, saklama süreleri, idari ve teknik tedbirler yer almaktadır. Bu kapsamda Şirket kişisel veri envanteri içerisinde aşağıdaki türlerde veri kategorileri bu türlerle sınırlı olmamakla beraber bulunmaktadır.

KİŞİSEL VERİ KATEGORİZASYONU

KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA

İletişim Verisi

Kişiye ulaşmak için kullanılabilecek veri grubudur (Telefon, adres, e- posta, Fax numarası, Ip adresi).

Kimlik Verisi

Kişi kimliğine dair bilgilerin bulunduğu veri grubudur (Ad soyad, TCKN, anne adı, baba adı, doğum yeri, doğum tarihi, cinsiyet, cüzdan seri no, kimlik fotokopisi, vergi no, sgk no, uyruk verisi, evlilik cüzdanı fotokopisi/taraması, çalışan kartı).

Sağlık Verisi

Kişinin sağlık bilgilerinin bulunduğu veri grubudur (Kan grubu, akciğer grafisi, ………………….).

İşlem Güvenliği Bilgisi

Faaliyetlerimizin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileniz. Örneğin; log kayıtları, IP bilgisi, Kimlik doğrulama bilgileri vs.

Aile Bireyleri ve Yakın Bilgisi

Şirket tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler

Fiziksel Mekan Güvenlik Bilgisi

Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, araç bilgisi kayıtları ve güvenlik noktasında alınan kayıtlar v.b.

 

Görsel/İşitsel Veri

Kişiye ait görsel ve işitsel verilerin bulunduğu veri grubudur (Fotoğraf, ses kaydı, kamera kaydı, ehliyet fotokopisi/taraması, kimlik fotokopisi/taraması, pasaport fotokopisi/taraması).

Finansal Veri

Kişinin finansal bilgilerinin bulunduğu veri grubudur. Şirket’in kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler (Banka hesap no, iban no, kart bilgisi, banka adı, finansal profil, mail order formu).

Özel Nitelikli Kişisel Veri

Biyometrik/GenetikVeri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler

Kişiye ait biyometrik/genetik verilerin bulunduğu veri grubudur (Parmak izi).

Hukuki İşlem Ve Uyum Bilgisi

Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler

Eğitim Verisi

Kişiye ait eğitim verilerinin bulunduğu veri grubudur (Diploma notu, diploma fotokopisi/taraması).

İmza Verisi

Kişiye ait imza bilgilerinin bulunduğu veri grubudur (Islak imza, e- imza , imza fotokopisi/taraması).

Adli Sicil Kaydı Verisi

Kişinin geçmişinde aldığı yaptırımlara ilişkin veri grubudur (Ceza Kovuşturmaları, Adli Sicil Kaydı, Disiplin Kaydı).

Şirket, veri işleme faaliyetleri kapsamında ve şirket içinde kullanılan veri türlerini esas alarak oluşturduğu Kişisel Veri Envanteri’nde; yukarıda gösterilen tablodaki kategorizasyon sadece örneklendirme olup şirket detaylı bir şekilde veri sınıflandırmalarını tamamlamış ve saklama sürelerini, gerekçeleriyle tespit etmiştir.

7.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Şirket, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel veriler Şirketin o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak, Şirketin uygulamaları ve sektörün teamülleri uyarınca saklanmasını gerektiren süre kadar saklanmakta, daha sonra verinin niteliği uyarınca Şirket tarafından oluşturulmuş ilgili politika uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve Şirketin belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirkete yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

8. ŞİRKET FABRİKA BİNASI GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Şirket tarafından kişisel veri işleme faaliyeti yapılmaktadır.

Şirket, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Şirket tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

8.1. Şirket Binasında, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

Şirket tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla, Şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Şirket binalarına gelen kişilerin kimlik verileri elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

9. KİŞİSEL VERİLERİN İMHASI (SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ) ŞARTLARI

Türk Ceza Kanunu’nun 138. maddesinde, KVK Kanunu’nun 7. maddesinde ve Kurul tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Şirket bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır. Bu yönetmelik uyarınca Şirket tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.

10. ŞİRKETİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLEMESİ POLİTİKASINA UYUMU

10.1. KVK Kanunu ve İlgili Mevzuata Uyum İçin Şirketin Yapması Gereken Hususlar: Şirket tarafından KVK Kanunu ve ilgili mevzuata uyum için KVK Kanunu’nda öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklar yürütülmelidir. Şirket, Politika’da yer verilen düzenlemelere uyumun sağlanması için gerekli mekanizmaları oluşturmalıdır Bu kapsamda, Şirket; •

  • KVK Kanunu’nun 16ncı maddesine uygun olarak veri sorumluları siciline kayıt olunmasına yönelik gerekli süreçleri oluşturmalı ve uygulamalıdır.
  • KVK Kanunu’nun 10uncu maddesine uygun olarak, verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmalı ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmalıdır.
  • KVK Kanunu’nun 5inci maddesi gereğince, kişisel veriler, mutlaka kanundaki işleme şartlarından bir veya bir kaçına dayalı olarak ve KVK Kanunu’nun 4üncü maddesinde ve Politikanın kişisel veri işleme ilkelerine uygun bir şekilde işlemelidir.
  • Özel nitelikli kişisel verilerin işlenmesinde KVK Kanunu’nun 6ıncı maddesindeki düzenlemelere titizlikle uyulmalı, faaliyetlerin yürütülmesi için zorunlu değilse özel nitelikli veriler veri sahibinden talep edilmemelidir.
  • KVK Kanunu’nun 8inci ve 9uncu maddelerine uygun olarak, kişisel verilerin aktarılması konusunda Kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan düzenlemelere uygun davranılmalıdır.
  • KVK Kanunu’nun 12nci maddesine uygun olarak, kişisel verilerin korunmasına ilişkin gerekli güvenlik sistemleri oluşturulmalıdır.
  • KVK Kanunu’nun 7nci maddesine uygun olarak kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesine ilişkin gerekli sistemler oluşturulmalıdır.

10.2. Şirketin Kişisel Verilerin Korunması ve İşlenmesi Politikalarını Tasarlarken Uyması Gereken Hususlar: Şirket, kişisel verilerin korunması ve işlenmesi politikalarını oluştururken; •

  • KVK Kanunu’nda ve ilgili mevzuatta öngörülen düzenlemelere uygun hareket edilmeli,
  • Kamuoyuna açık politikaların kişisel veri sahipleri tarafından anlaşılabilir olmasına önem verilmeli,
  • Kamuoyuna açık politikalar ve bu politikalarda yapılacak değişiklikler kişisel veri sahiplerinin erişimine sunulmalı,
  • Temel Politikalar (EK-4) oluşturulmalı,
  • Kişisel veri sahiplerine sunulacak başvuru mekanizmaları karışıklığa yer bırakmayacak şekilde, açık ve net bir biçimde politikalarda belirtilmelidir. Şirket tarafından, işbu Politika ile ortaya konulmuş olan esaslara uygun olarak kişisel verilerin korunması ve işlenmesi konusunda (i) şirket içi kullanım için ve (ii) kişisel veri sahiplerinin ve ilgililerin erişebileceği kamuoyuna açık temel politikalar oluşturulmalıdır. Hazırlanacak temel politikaların şirketin kişisel verilerin korunması ve işlenmesiyle bağlantılı diğer politikalarıyla uyumlu ve ilişkili olmasına dikkat edilmelidir. Şirket tarafından, iç sistemlerine yönelik olarak hazırlanacak politika esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara yansıtılmalı, ilgililerinin bu çerçevede bilgilenmesi ve Şirketin yürüttüğü kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap verilebilirliğin sağlanması hedeflenmelidir.

10.3. Şirket Çalışanlarının Kişisel Verilerinin Korunması ve İşlenmesi Konusundaki Temel Esaslar

  • Şirket tarafından, kişisel veri sahibi çalışanlarına yönelik olarak da KVK Kanunu ve ilgili mevzuata uygun olarak hareket edilmelidir. Bu kapsamda, Şirket tarafından; Şirket çalışanlarına yönelik aydınlatma yükümlülüğü yerine getirilmelidir.
  • Şirket çalışanlarının kişisel verileri toplanırken, üzerinde işlem yapılırken (erişim, görüntülenme, şirket içi paylaşım dahil), saklanırken KVK Kanunu’nun 4üncü maddesinde düzenlenen ve bu Politikanın 2.1 ila 2.5 bölümlerinde yer alan ilkelerin tümüne uygunluğu sağlanmalı; çalışanların kişisel verilerinin KVK Kanunu’nun 5inci maddesinde düzenlenen ve Politikanın 2.6 bölümünde belirtilen şartlardan bir veya bir kaçına dayalı olarak işlendiği kontrol edilmeli ve uygunluğu sağlanmalıdır.
  • Şirket çalışanlarının kişisel verilerine ilişkin bilgi talebi başvurularının KVK Kanunu’nda öngörülen süre içinde değerlendirilmesi ve cevaplandırılmasına yönelik süreçler tasarlanmalı ve uygulanmalıdır.
  • Şirket çalışanlarının kişisel verilerinin güvenliği sağlamalıdır.
  • Şirket çalışanlarının kişisel verilerinin aktarımına ilişkin olarak KVK Kanunu’nun 8. ve 9. maddelerine uygun davranılmalıdır.
  • Şirket çalışanlarının kişisel verilerinin KVK Kanunu’nun 7. maddesine uygun olarak silinmesi, yok edilmesi veya anonimleştirilmesi için gerekli süreçler hayata geçirilmelidir.

11. ŞİRKET KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ

Şirket, işbu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt politikalar oluşturmaktadır. Şirket içi politikalarının esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve Şirket’in yürütmekte olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap verilebilirliğin sağlanması hedeflenmiştir.

EKLER:

  1. TANIMLAR
  2. KİŞİSEL VERİ İŞLEME AMAÇLARI
  3. BAŞVURU FORMU
  4. KİŞİSEL VERİ SAHİBİ KATEGORİLERİ