1. GİRİŞ
Kişisel verilerin korunması, Bmcolor Matbaa Mürekkepleri Sanayi ve Ticaret Anonim Şirketi (“Şirket”) için büyük hassasiyet arz etmekte olup Şirketin öncelikleri arasındadır. Bu konunun en önemli ayağını ise işbu Politika ile yönetilen; çalışan adaylarımızın, Şirket hissedarlarının, Şirket yetkililerinin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının ve yetkililerinin, müşterilerinin ve üçüncü kişilerin kişisel verilerinin korunması oluşturmaktadır. Çalışanlarımızın kişisel verilerinin korunmasına ilişkin Şirketin yürüttüğü faaliyetler ise, bu Politikadaki esaslarla paralel olarak kaleme alınan Şirket çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası altında yönetilmektedir.
Şirket, 6698 sayılı Kişisel Verilerin Korunması Kanununun (“KVK Kanunu”) 12. Maddesine ve Avrupa Birliği Genel Veri Koruma Tüzüğü (European Union General Data Protection Regulation “GDPR”) 5. Maddesine uygun olarak, çerçevesinde kişisel veriler, hukuka uygun adil ve şeffaf bir biçimde işlenir. İşlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, Şirket, işbu Politika ile yönetilen; çalışan adaylarının, Şirket hissedarlarının, Şirket yetkililerinin, ziyaretçilerinin, iş birliği içinde olduğu kurumların çalışanları, hissedarları ve yetkililerinin, müşterilerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir şirket politikası haline getirmektedir.
Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması için Şirket tarafından gereken idari ve teknik tedbirler alınmaktadır. Bu Politikada kişisel verilerin işlenmesinde Şirketin benimsediği ve aşağıda sıralanan temel ilkelere ilişkin detaylı açıklamalarda bulunulacaktır:
· Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
· Kişisel verileri spesifik amaca yönelik olarak işleme,
· Kişisel verileri doğru ve gerektiğinde güncel tutma,
· Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
· Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
· Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
· Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
· Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
· Kişisel verilerin muhafazasında gerekli tedbirleri alma,
· Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
· Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme.
2. POLİTİKANIN AMACI
Bu Politikanın temel amacı, Şirket tarafından hukuka uygun, adil ve şeffaf bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda çalışanlarımızın, çalışan adaylarının, Şirket hissedarları, Şirket yetkilileri, ziyaretçilerimiz, müşterilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile üçüncü kişiler başta olmak üzere kişisel verileri Şirket tarafından işlenen kişileri bilgilendirme yolu ile şeffaflığı sağlamaktır.
3. KAPSAM
Bu Politika; çalışanlarımızın, Şirket hissedarlarının, Şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, çalışan adaylarının, hissedarlarının, yetkililerinin, müşterilerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde yer alan kişisel veri sahiplerine ilişkin işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi (ör. Müşterilerimiz de olan çalışanlarımız gibi); yalnızca bir kısım hükümleri de (ör. Yalnızca çalışanlarımız gibi) olabilecektir.
4. POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat (KVK KANUNU ve GDPR) ve politika arasında uyumsuzluk bulunması durumunda, Şirket yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralların Şirket uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.
5. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlara ve uygulama maliyetine göre gerekli görülen teknik ve idari tedbirleri almaktadır.
5.1. Kişisel verilerin hukuka uygun işlenmesi ve erişiminin engellenmesi için alın teknik tedbirlerin başlıcaları şu şekilde sıralanmaktadır:
Ø Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurduğumuz teknik sistemler ile denetlenmektedir.
Ø Teknik konularda bilgili personel istihdam edilmektedir.
Ø Teknolojideki gelişmelere uygun teknik önlemler alınır, alınan önlemler periyodik olarak güncellenir ve yenilenir.
Ø İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
Ø Erişim yetkileri sınırlandırılır, yetkiler düzenli olarak gözden geçirilir.
Ø Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanır, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilir.
Ø Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
Ø Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilir. Bulunan açıkların kapatılması sağlanır.
5.2. Kişisel verilerin hukuka uygun işlenmesi ve erişiminin engellenmesi için alınan idari tedbirlerin başlıcaları şu şekilde sıralanmaktadır:
Ø Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
Ø İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
Ø Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
Ø Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
Ø Şirketin yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
Ø Şirketin iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVK Kanunu’nun aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
Ø İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
Ø Şirket ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
Ø Kişisel verilerin hukuka uygun, adil ve şeffaf olarak işlenmesinden sorumlu veri koruma kontrolörü ile kişisel verilerin güvenliği sağlanmaktadır.
Şirket, KVK Kanunu’nun 12. Maddesine ve GDPR 39. Ve 40. Maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Şirket, KVK Kanunu’nun 12. maddesine ve GDPR 39. Ve 40. Maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine (GDPR m.19) ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.
KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sayfasında veya uygun görülen başka bir yöntemle ilan edilebilecektir.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak (KVK Kanunu’nun 13. Maddesine ve GDPR 15. ve 21. Maddesine uygun olarak) Şirkete iletmeleri durumunda Şirkete talebin niteliğine göre talebi en geç otuz gün (GDPR uyarınca bir ay) içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Şirket tarafından KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
· Kişisel verilerin işlenip işlenmediğini öğrenme,
· Kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağını bilme(GDPR),
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Kontrolörün ve uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgilerine ulaşabilme (GDPR),
· Kişisel verilerin saklanacağı süre veya bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterleri bilme(GDPR),
· İşleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkı (GDPR),
· 16. Maddede belirtilen şartlarda veri sahiplerinin kişisel verilerinin işleme faaliyetlerini kısıtlama hakkı (GDPR),
· Veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı bulunur ve kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı (veri taşınabilirliği hakkı) (GDPR),
· Veri sahibinin kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı (GDPR),
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin veri sahibinden alınmadığı hallerde veri sahibinin 14. Maddeye göre bilgilendirilme hakkı (GDPR),
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· Veri sahibinin kendileri ile ilgili doğru olmayan kişisel verilerin gereksiz gecikmeye mahal verilmeksizin düzeltilmesini kontrolörden talep etme hakkı (GDPR),
· KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı bulunur (silme/unutulma hakkı) (GDPR),
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kendisi ile ilgili kişisel verilerin işlenmesine herhangi bir zamanda itiraz etme hakkı (GDPR),
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
· Bir denetim makamına şikayette bulunma hakkı (GDPR),
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI
Özel nitelikli kişisel veriler; 6698 sayılı yasanın 6. Maddesinde, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
GDPR 9. Maddesinde, “Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.”
Şeklide düzenlenmiş olup özel nitelikli kişisel veriler, genel nitelikli kişisel verilere göre daha korunaklı ve kendine has bir yapıya sahiptir.
Şirket tarafından KVK Kanunu ve GDPR ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasına hassasiyet gösterilmektedir. Şirket, KVK Kanunu’nun 6. Maddesine ve GDPR 9. Maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
Özel nitelikli kişisel verilerin, ilgilinin açık, spesifik, şeffaf rızası olmaksızın işlenmesi yasaktır.
Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenmektedir.
GDPR uyarınca;
Birlik veya üye devlet hukuku çerçevesinde ya da üye devlet hukuku uyarınca yapılan ve veri sahibinin temel hakları ve menfaatlerine yönelik uygun güvencelerin sağlandığı bir toplu sözleşme çerçevesinde izin verildiği sürece, kontrolörün veya veri sahibinin istihdam ve sosyal güvenlik ve sosyal hukuku koruma alanındaki yükümlülüklerinin gerçekleştirilmesi ve spesifik haklarının kullanılması amacıyla işleme faaliyetinin gerekmesi,
Veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, veri sahibi veya başka bir gerçek kişinin hayati menfaatlerinin korunması açısından işleme faaliyetinin gerekli olması,
İşleme faaliyetinin bir vakıf, birlik veya kar amacı gütmeyen başka bir organ tarafından siyasi, felsefi, dini veya sendika amacıyla uygun güvencelerle birlikte yürütülen meşru faaliyetleri esnasında işlemenin ve yalnızca organın üyeleri veya eski üyeleri ya da amaçlarıyla bağlantılı olarak kendisi ile düzenli olarak temas halinde bulunan kişilerle ilgili olması ve kişisel verilerin veri sahiplerinin rızası olmaksızın söz konusu organ dışında açıklanmaması koşuluyla gerçekleştirilmesi,
İşleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili olması,
Özellikle mesleki gizlilik olmak üzere veri sahibinin hakları ve özgürlüklerine ilişkin güvence sağlanmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi,
Gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, 89(1) maddesi uyarınca kamu yararına yönelik arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetinin gerekmesi
Durumlarında işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
8. KİŞİSEL VERİLEİRİN MEVZUATTAKİ İLKELERE GÖRE İŞLENMESİ
8.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirket, kişisel verilerin işlenmesinde hukuk normları ile getirilen ilkelere, genel güvene ve dürüstlük kuralına riayet etmektedir. Bu kapsamda Şirket orantılılık ilkelerini dikkate alarak kişisel verileri, amacın gerekliliği dışında kullanmamaktadır.
Veri sahibi tarafından spesifik amaçlara yönelik olarak rıza verilmesi, veri sahibinin taraf olduğu bir sözleşmenin uygulanması, kontrolörün yasal bir yükümlülüğe uyum sağlaması, veri sahibinin veya bir başka gerçek kişinin hayati menfaatlerinin korunması, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması, özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması ve bu nedenlerle kişisel verilerin işlenmesi hukuka uygun sayılır (GDPR m. 6).
8.2. Doğru ve Gerektiğinde Güncel Olması
Şirket, işlediği kişisel verilerin doğru ve güncel olmasını sağlamak hususunda hassasiyet göstermekte olup bu doğrultuda mevzuata uygun olarak gerekli önlemleri almaktadır.
8.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirket, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Kişisel veriler spesifik olarak belirtilen meşru ve açık amaçlara yönelik olarak toplanır ve bu amaçlara uygun şeklide işlenir (GDPR m. 5/1 (b)).
Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. Ancak GDPR uyarınca kamu yararına arşivleme, bilimsel veya tarihi araştırma veya istatistiki amaçlarla yapılan işlemeler yukarıdaki amaçlara aykırı şekilde değerlendirilemez.
8.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya amacın gerçekleşmesi için ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir. GDPR uyarınca işlenmesi gereken her bir veri için spesifik olarak rıza almaktadır.
8.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile Şirket tarafından kişisel veriler saklanmamaktadır.
8.6. KVK Kanunu 5. Maddesinde Belirtilen Kişisel Verileri İşleme Şartlarından Biri veya Birkaçına Dayalı ve Bunlarla Sınırlı Olarak İşleme
Kişisel verilerin korunması T.C. Anayasası’nın 20. Maddesinin 3. Fıkrasında hüküm altına alınmış anayasal bir haktır. Anayasaya göre temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplerle bağlı olarak kanunla sınırlanabilir. Anayasa’nın ilgili maddesi (m.20/3) uyarınca kişisel veriler, kanunda öngörülen hallerde veya kişinin açık rızası ile işlenebilmektedir.
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan kanuni dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
Şirket tarafından kişisel verilerin işlenmesine yönelik kanuni dayanaklar, verilerin niteliğine göre farklılık gösterse de bu verilerin işlenmesi KVK Kanunu’nun 4. Maddesindeki genel ilkelere ve GDPR ikinci bölümdeki ilkelere uygun düşmektedir.
8.6.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işleme şartlarından biri olan açık rıza; kişisel veri sahibinin belirli konuya ilişkin, özgür iradeye ve spesifik bilgilendirmeye dayalı olmalı ve yazılı beyanla verilen rıza açık, anlaşılır, sade bir dil ile yazılmış olmalıdır.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, kişisel veri sahiplerinin ilgili yöntemler ile açık rızaları alınmaktadır.
GDPR uyarınca Rızanın özgür bir şekilde verilip verilmediği değerlendirilirken, her şeyden önce, bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilir.
8.6.2. Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
Örneğin; kolluk tarafından bir suç soruşturması sebebiyle 2559 sayılı Polis Vazife ve Salahiyet Kanununun (PVSK) 5. Maddesi uyarınca şüphelilerin parmak izlerinin alınması.
8.6.3. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması nedeniyle kişisel veriler işlenebilecektir.
Örneğin; iş kazası geçiren bir çalışanın bilincinin açık olmaması halinde kimlik bilgilerinin hastane ile paylaşılması.
8.6.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veri sahibinin kişisel verileri işlenebilir.
Örneğin; işçi ile Şirket arasında akdedilen hizmet akdi kapsamında işçiye ücretlerinin ödenmesi için banka hesap bilgilerinin elde edilmesi.
8.6.5. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirket, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verilerini işleyebilecektir.
Örneğin; mahkeme / icra dairesi kanalıyla talep edilen bilgilerin mahkemeye / icra dairesine sunulması.
8.6.6. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
Örneğin; çalışanın iletişim bilgilerini, iş başvurusu yapılmasına imkan veren internet sayfalarında yayımlaması.
8.6.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri sahibinin kişisel verileri işlenebilecektir.
Örneğin; ispat niteliği olan verilerin (örneğin bir fatura veya işyeri özlük dosyası) saklanması ve gerekli olduğu anda kullanılması.
8.6.8. Merkez’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri verileri işlenebilecektir.
Örneğin; Şirkete ait binalarda ve fabrikalarda (iş yerlerinde) güvenlik amacı ile kamera kayıtları yapılması.
9. ŞİRKETİN ŞUBELERİNCE İŞLENEN KİŞİSEL VERİLERİN ŞİRKET MERKEZ TARAFINDAN İŞLENMESİ
Şube’nin faaliyetlerinin Şirketin ilke, hedef ve stratejilerine uygun olarak yürütülmesi, Şirketin hak ve menfaatleri ile itibarının korunması amacıyla Şube tarafından işlenmekte olan kişisel verileri Şirket Merkezi de işleyebilmektedir. Şube ile merkez arasındaki kişisel veri paylaşımının KVK Kanunu kapsamında veri sorumlusundan veri sorumlusuna kişisel veri aktarımı kapsamında gerçekleşmesi durumunda, ilgili Şube, ilgili kişinin kişisel verisini toplama aşamasında, kişiyi, kişisel verilerinin Merkeze gönderilebileceği konusunda aydınlatır.
10. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirket, kişisel verilerin elde edilmesi sırasında KVK Kanunun 10. Maddesine uygun olarak veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
GDPR m. 17/2 uyarınca; Kontrolörün kişisel verileri kamuya açıklamış olduğu ve kişisel verileri silmek zorunda olduğu hallerde, kontrolör, mevcut teknoloji ve uygulama maliyetini göz önünde bulundurarak, veri sahibinin talep etmiş olduğu kişisel verileri işleyen kontrolörleri söz konusu kişisel verilere yönelik her türlü bağlantı veya bu verilerin her türlü nüshası ya da çoğaltmasının söz konusu kontrolörlerce silinmesi hususunda bilgilendirmek üzere teknik tedbirler de dahil olmak üzere makul adımları atar.
Şirket KVK Kanunun 10. Maddesine ve GDPR 5. maddesine uygun olarak veri sahiplerine haklarını bildirmekte ve bu haklarını nasıl kullanacağı hususunda yol göstermektedir.
10.1. Veri Sahibinin Hakları Ve Bu Hakların Kullanılması
10.1.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri, şu haklara sahiptir:
1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
GDPR uyarınca kişisel veri sahiplerinin sahip oldukları haklar:
1. Kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağını bilme hakkı,
2. Kontrolörün ve uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgilerine ulaşabilme hakkı,
3. Kişisel verilerin saklanacağı süre veya bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterleri bilme hakkı,
4. İşleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkı,
5. 16. Maddede belirtilen şartlarda veri sahiplerinin kişisel verilerinin işleme faaliyetlerini kısıtlama hakkı,
6. Veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı bulunur ve kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı (veri taşınabilirliği hakkı),
7. Veri sahibinin kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı,
8. Kişisel verilerin veri sahibinden alınmadığı hallerde veri sahibinin 14. Maddeye göre bilgilendirilme hakkı,
9. Veri sahibinin kendileri ile ilgili doğru olmayan kişisel verilerin gereksiz gecikmeye mahal verilmeksizin düzeltilmesini kontrolörden talep etme hakkı,
10. Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı bulunur (silme/unutulma hakkı),
11. Kendisi ile ilgili kişisel verilerin işlenmesine herhangi bir zamanda itiraz etme hakkı ,
12. Bir denetim makamına şikayette bulunma hakkı .
10.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahipleri, bu konularda 10.1.1.’de sayılan haklarını ileri süremezler:
1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleri ile ilgili faaliyetler kapsamında işlenmesi
2. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
4. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
5. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri, zararın giderilmesini talep etme hakkı hariç 10.1.1.’de sayılan diğer haklarını ileri süremezler:
1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
10.1.3. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel Veri Sahipleri bu bölümün 10.1.1. Başlığı altında sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formunu doldurup imzalayarak Şirkete ücretsiz olarak iletebileceklerdir:
Ø https://www.bm-color.com adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile Karayolları Mh. Kadir Akdoğan Cd. No:12/1 Gaziosmanpaşa/İSTANBUL adresine iletilmesi gerekmektedir.
Ø https://www.bm-color.com adresinde bulunan formu doldurup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzaladıktan sonra güvenli elektronik imzalı formun info(@)bm-color(.)com adresine kayıtlı elektronik posta ile gönderilmesi Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
Ø https://www.bm-color.com adresinde bulunan formun doldurulduktan info(@)bm-color(.)com adresine gönderilmesi gerekmektedir.
10.2. Şirketin Başvurulara Cevap Vermesi
Şubenin kişisel veri işleme faaliyetleri ile ilgili başvuruların, ilgili Şubeye yapılması gerekmektedir. Merkez’e yalnızca Merkez’in KVK Kanunu kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Bu durum, Merkez’in doğrudan ilgili kişiden kişisel veri topladığı ya da ilgili Şube ile Merkez arasındaki veri paylaşımının, KVK Kanunu kapsamında veri sorumlusundan veri sorumlusuna veri transferi sayıldığı durumlarda mevcut olabilmektedir. Bunlar dışında, ilgili Şubenin veri sorumlusu sayıldığı kişisel veri işleme faaliyetleri ile ilgili başvuruların Merkez’e değil, ilgili Şubeye yapılması gerekmektedir.
10.2.1. Şirket’in Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün 10.1.3. başlıklı kısmında yer alan usule uygun olarak talebini Şirket’e iletmesi durumunda Şirket, talebin niteliğine göre en geç otuz gün GDPR uyarınca bir ay içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Şirket tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
10.2.2. Şirket’in Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirket, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
10.2.3. Şirket’in Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Şirket; aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
5. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
6. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
7. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
8. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
9. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
10. Orantısız çaba gerektiren taleplerde bulunulmuş olması.
11. Talep edilen bilginin kamuya açık bir bilgi olması.
10.3. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Kişisel veri sahibi, KVK Kanunu’nun 14. Maddesi ve GDPR‘da belirtilen bir denetim makamına başvurma hakkı gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirketin cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
11. KİŞİSEL VERİLERİN AKTARILMASI
Şirket, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket, bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
· Kişisel veri sahibinin açık rızası var ise,
· Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
· Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
· Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
· Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
· Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
· Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
11.1. Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
· Kişisel veri sahibinin açık rızası var ise veya
· Kişisel veri sahibinin açık rızası yok ise; – Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde, – Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,
GDPR uyarınca;
Veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, veri sahibi veya başka bir gerçek kişinin hayati menfaatlerinin korunması açısından işleme faaliyetinin gerekli olması halinde, işleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili olması halinde, sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi halinde, kamu yararına yönelik arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetinin gerekmesi halinde veri sahibini rızası olmadan da özel kategorilerdeki kişisel veriler işlenebilir.
11.2. Şirket Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Şirket KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
· Şirket iş ortaklarına,
· Şirket tedarikçilerine,
· Şubelerine,
· Şirket hissedarlarına,
· Şirket yetkililerine.
11.3. Kişisel Verilerin Yurtdışına Aktarılması
Şirket hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket tarafından; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. Şirket bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
GDPR uyarınca işleyicinin tabi olduğu Birlik veya üye devlet hukuku çerçevesinde bu yönde bir gereklilik bulunmaması halinde, üçüncü bir ülkeye veya uluslararası bir kuruluşa kişisel veri aktarımları ile ilgili olanlar da dahil olmak üzere yalnızca kontrolörün verdiği belgelendirilmiş talimatlar doğrultusunda kişisel verilerin işlenmesi; bu durumda, kanunlar çerçevesinde söz konusu bilgilendirmenin önemli kamu yararı gerekçeleriyle yasaklanmaması halinde, işleyici kontrolörü işleme faaliyetinden önce veri sahiplerini bu yasal gereksinimden haberdar eder.
11.4. Kişisel Verilerin Yurtdışına Aktarılması
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
· Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
· Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
· Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
· Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
· Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
· Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket ‘in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
GDPR uyarınca;
Üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasının ardından işlenen veya işlenmesi amaçlanan kişisel verilerin aktarılması, üçüncü ülkeden veya uluslararası bir kuruluştan başka bir üçüncü ülke veya başka bir uluslararası kuruluşa yönelik transit aktarımlar da dahil olmak üzere ancak bu Tüzük’ün diğer hükümlerine tabi olarak, bu Bölüm’de belirtilen koşullara kontrolör ve işleyici tarafından uyulması halinde gerçekleşir. Bu Tüzük ile temin edilen gerçek kişilere yönelik koruma düzeyine zarar verilmemesinin sağlanması amaçlanır.
11.5. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.
· Kişisel veri sahibinin açık rızası var ise veya
· Kişisel veri sahibinin açık rızası yok ise; – Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde, – Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.
12. ÇOCUKLARIN KİŞİSEL VERİLERİNİN TOPLANMASI VE İŞLENMESİ
18 yaşının altındaki kişilerin (çocukların), kişisel verileri ebeveynlerinin rızası olmadan işlenmemektedir. Çocukların kişisel verileri, ebeveynlerinin icazeti olduğu takdirde hukuka uygundur.
Farkında olmadan çocukların verilerini, ebeveynlerinin rızası olmadan işlediğimizde lütfen bize uylaşın ve durumun farkında olmamızı sağladığınız takdirde, internet ortamında işlediğimiz verileri sistemden çıkaracağız.
Veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması halinde ebeveynlerin rızası olmadan da verileri işlenebilecektir.
GDPR uyarınca; doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak, çocuğun en az 16 yaşında olması halinde, ilgili çocuğun kişisel verilerin işlenmesi hukuka uygundur. Çocuğun 16 yaşından küçük olması halinde, söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur.
Bu durumda kontrolör, mevcut teknolojiyi dikkate alarak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verildiğini veya onaylandığını doğrulamak adına makul çaba göstermekle yükümlüdür.
13. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU
Şirketin, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda KVK Kanununun 5. Maddesin de belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak başta, kişisel verilerin işlenmesine ilişkin 4. Maddedeki genel ilkeler olmak üzere KVK Kanununda belirtilen ilkelere ve yükümlülüklere uyularak aşağıda belirtilen kategorilerdeki kişisel veriler, KVK Kanununun 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
KİŞİSEL VERİ KATEGORİZAYONU |
AÇIKLAMA |
VERİ SAHİBİ |
Kimlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı, Avukatlık kimliği, evlilik cüzdanı, ikametgah ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası vb. bilgiler |
Müşteri, Potansiyel Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İş birliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi. |
İletişim Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler |
Müşteri, Potansiyel Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İş birliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi. |
Lokasyon Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibinin Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Şubenin ürün ve hizmetlerinin kullanımı sırasında veya işbirliği içerisinde olduğumuz kurumların çalışanlarının Şirket araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler; GPS lokasyonu, seyahat verileri v.b. |
Müşteri, Çalışan, İşbirliği İçinde Olunan Kurumların Çalışanları. |
Aile Bireyleri Ve Yakın Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Şubenin sunduğu ürün ve hizmetlerle ilgili veya Şirket’in ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (ör. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler |
Müşteri, Ziyaretçi, Çalışan, Şirket Hissedarı, Şirket Yetkilisi, Üçüncü Kişi, İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri. |
Fiziksel Mekan Güvenlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar vb. |
Müşteri, Potansiyel Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İş birliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi. |
Görsel / İşitsel Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler. |
Müşteri, Potansiyel Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İş birliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi. |
İşlem Güvenliği Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; faaliyetler yürütülürken teknik, idari, hukuki ve ticari güvenliğin sağlaması için işlenen kişisel veriler. |
Müşteri, Ziyaretçi, Üçüncü Kişi, Şirket Yetkilileri, İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri. |
Risk Yönetimi Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari, teknik ve idari risklerin yönetilebilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel veriler |
Müşteri, Potansiyel Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi. |
Finansal Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketin, kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler. |
Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Şirket Hissedarı, İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri. |
Özlük Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin (eğitim, sertifika, SGK kayıtları, sabıka kaydı, sağlık raporu, varsa eskiden çalıştığı yerlere ilişkin kişisel verileri vb.) elde edilmesine yönelik işlenen her türlü kişisel veri. |
Çalışanlar, Şirket Hissedarları ve Yetkilileri, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri. |
Çalışan Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; iş başvurusunda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği insan kaynakları ihtiyaçları doğrultusunda Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler. |
Çalışanlar, İşbirliği İçinde Olunan Kurumların Çalışanları. |
Çalışan İşlem Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanların veya çalışma ilişkisi içerisinde olan gerçek kişilerin işle ilgili gerçekleştirdiği her türlü işleme ilişkin işlenen kişisel veriler. |
Çalışanlar, İşbirliği İçinde Olunan Kurumların Çalışanları. |
Çalışan Performans ve Kariyer Gelişim Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanların veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin Şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenilen kişisel veriler. |
Çalışanlar, İşbirliği İçinde Olunan Kurumların Çalışanları |
Yan Haklar ve Menfaatler Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Çalışanlara veya Şirketimizle çalışma ilişkisi içerisinde olan diğer gerçek kişilere sunulan ve sunulacak yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin takibi işin işlenen kişisel veriler. |
Çalışanlar, İşbirliği İçinde Olunan Kurumların Çalışanları |
Hukuki İşlem ve Uyum Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hukuki alacak ve hakların tespiti, takibi ve borçların ifası ile kanuni yükümlülükler ve Şirket politikalarına uyum kapsamında işlenen kişisel veriler. |
Müşteri, Potansiyel Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi. |
Denetim, Teftiş ve Etik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler. |
Müşteri, Potansiyel Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi. |
Özel Nitelikli Kişisel Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi). |
Müşteri, Potansiyel Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi. |
Talep/Şikayet Yönetimi Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Bankaya yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler. |
Müşteri, Potansiyel Müşteri, Çalışanlar, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi. |
14. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket, KVK Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Veri sahiplerinin yalnızca kişisel verilerin işlenme amaçlarının gerektirdiği sürece teşhis edilmesini sağlayan bir şekilde tutulur (GDPR m.5). Bu amaçlar ve koşullar;
· Kişisel verilerinizin işlenmesine ilişkin Şirketin ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi,
· Kişisel verilerinizin Şirket tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
· Kişisel verilerinizin işlenmesinin Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından işlenmesi,
· Kişisel verilerinizin Şirket tarafından işlenmesinin Şirket’in veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
· Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
· Şirket tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
· Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması,
· Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.
Bu kapsamda Şirket, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir:
· Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
· Etkinlik yönetimi,
· İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi,
· Şirket personel temin süreçlerinin yürütülmesi,
· Şubelerin personel temin süreçlerine destek olunması,
· Şirket finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
· Şirket hukuk işlerinin icrası/takibi,
· Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
· Kurumsal yönetim faaliyetlerinin icrası,
· Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi,
· Talep ve şikâyet yönetimi,
· Şube değerlerinin güvenliğinin sağlanması,
· Şubelere ilişkin mevzuata uyum konusunda destek olunması,
· Merkez ve şube üst düzey yöneticilerine sağlanacak yan haklar ve menfaatlerin planlanması ve icrası süreçlerine destek olunması,
· Şubelerin faaliyetlerinin Şirket prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,
· Şubelere şirketler ve ortaklıklar hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,
· Yatırımcı ilişkilerinin yönetilmesi,
· Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
· Ziyaretçi kayıtlarının oluşturulması ve takibi.
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVK Kanunu ve GDPR kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından açık rızanız temin edilmektedir.
14.1. ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON
Ziyaretçi |
Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler. |
Üçüncü Kişi |
Bu Politika ve Şirket Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına girmeyen diğer gerçek kişiler (Ör. Kefil, refakatçi, aile bireyleri ve yakınlar, eski çalışanlar). |
Çalışanlar |
Şirkette çalışan gerçek kişiler. |
Şirket Hissedarı |
Şirket’in hissedarı gerçek kişiler. |
Şirket Yetkilisi |
Şirket’in yönetim kurulu üyesi ve diğer yetkili gerçek kişiler. |
İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri |
Şirket’in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler. |
15. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirket, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.
GDPR uyarınca gereken uygun teknik ve düzenlemeye ilişkin tedbirlerin uygulanmasına tabi olarak, kişisel veriler daha uzun süreler boyunca saklanabilir.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel Verileri Koruma Kurulu’nun (“KVKK”) vermiş olduğu karar uyarınca; “Veri sorumlusunun, halihazırda aktif olmayan müşterisinin (ilgili kişi) kişisel verilerinin silinmesi hususundan talebini yerine getirmemesi üzerine; Veri sorumlusunun tabi olduğu mevzuat uyarınca işlediği kişisel verileri 10 yıl boyunca muhafaza etmesi zorunluluğu bulunduğundan, Kurul tarafından aktif olmayan müşterilerin kişisel verilerinin, Kanunun 4 üncü maddesinde yer verilen genel ilkelere uygun olarak saklama amacı dışında işlenmemesi gerektiği yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.”
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat, KVKK’ nun yukarıda bahsi geçen kararı ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Şirket, GDPR uyarınca; işlendikleri amaçlar göz önünde tutularak doğru olmayan kişisel verilerin gecikmeye mahal verilmeksizin silinmesi veya düzeltilmesinin sağlanmasıyla ilgili makul tüm adımlar atmaktadır.
16. UNUTULMA HAKKI
Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı vardır ve aşağıdaki hallerden birinin geçerli olması durumunda, kontrolörün kişisel verileri herhangi bir gecikmeye mahal vermeksizin silme yükümlülüğü bulunur.
· Kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması,
· Veri sahibinin işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması,
· Veri sahibinin işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması,
· Kişisel verilerin yasa dışı biçimde işlenmiş olması,
· Kontrolörün tabi olduğu Birlik veya üye devlet hukukundaki bir yasal yükümlülüğe uygunluk sağlanması amacı ile kişisel verilerin silinmesinin zorunlu olması,
· Kişisel verilerin bilgi toplumu hizmetlerinin sağlanması ile ilgili toplanmış olması.
17. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
17.1. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Teknikleri
17.1.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Şirket, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirket tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
1. Fiziksel Olarak Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
2. Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
3. Uzman Tarafından Güvenli Olarak Silme: Şirket bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
17.1.2. Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirket, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Şirket tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır:
1. Maskeleme: Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.
2. Toplulaştırma: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.
3. Veri Türetme: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
4. Veri Karma: Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi.
18. ÇEREZ POLİTİKASI
Şirketin internet sayfası ziyaret edildiğinde site kullanımına ilişkin bilgi toplamak için çerezler kullanılmaktadır. Çerez, bir web sitesini ziyaret ettiğinizde bilgisayarınıza gönderilen ve bir dizi karakter içeren küçük bir dosya olup bilgisayarınızda veya dosyalarınızda depolanan kişisel verileriniz de dahil herhangi bir bilgi toplayamamaktadır.
19. VERİLEN RIZANIN GERİ ALINMASI
Şirket tarafından açık rızaya dayalı olarak veri sahibinin kişisel verilerinin işlendiği durumlarda veri sahibi, vermiş olduğu rızasını geri alabilir. Ancak rızanın geri alınması, geri almadan önce gerçekleştirilen veri işleme faaliyetinin kanuniliğine halel getirmez.
GDPR uyarınca; Veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce, bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır.