Kişisel Verilerin Korunması Politikası

YILDIRIMLAR DOKUMA ÖRME TEKSTİL SANAYİ VE TİCARET ANONİM ŞİRKETİKİŞİSEL VERİLERİN İŞLEME, SAKLAMA VE İMHA POLİTİKASI

  1. AMAÇ

YILDIRIMLAR DOKUMA ÖRME TEKSTİL SANAYİ VE TİCARET ANONİM ŞİRKETİ (‘’Şirket’’) olarak çalışanlarımız, çalışan adaylarımız ve müşterilerimizin kişisel verilerinin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ‘’Kanun’’ veya ‘’KVK Kanunu’’) ve 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere ilgili mevzuata uygun olarak işlenmesine, saklanmasına ve gerektiği şekilde ve sürede imha edilmesine dikkat etmekteyiz.

Bu sebeple, veri sorumlusu sıfatıyla yürütmekte olduğumuz iş süreçleri esnasında elde ettiğimiz tüm kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi ve imhalarına ilişkin süre ve işlemleri işbu Kişisel Veri İşleme, Saklama ve İmha Politikamıza (“Politika”) göre belirlemekte ve gerçekleştirmekteyiz.

 

Ayrıca, kişisel verilerin saklanması ve imhası sürecinde, bu verilerin hukuka aykırı olarak saklanmasını ve imhasını önlemek amacıyla her türlü teknik ve idari tedbiri almaktayız. ŞİRKET olarak, kişisel verilerin saklanması ve imhası süreçlerinde özel hayatın gizliliğinin korunmasına önem vermekte ve veri güvenliğini en üst seviyede gözetmekteyiz.

 

İşbu Politika, faaliyetlerimiz sırasında elde edilen kişisel verilerin işlenmesi, saklanması ve imhasına dair izlediğimiz yöntemler hakkında açıklamalar içermektedir.

  1. KAPSAM

İşbu politika çalışanlarımız, çalışan adaylarımız ve müşterilerimizin kişisel verileri başta olmak üzere ŞİRKET tarafından işlenmekte olan bütün kişisel verileri kapsamaktadır.

Politika, ŞİRKET tarafından işlenen bu kişisel verilerin elektronik ve basılı her türlü ortamda işlenmesine, saklanmasına ve imhasına ilişkin olup, KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenleme ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır. KVKK’nın 28. Maddesinde Kanun’un kapsam dışında bıraktığı haller, anonim hale gelmiş ve tanımlanamayan veriler ile tüzel kişilere ilişkin veriler, işbu Politika’ya tabi değildir.

  1. TANIMLAR

İşbu politika kapsamında;

  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemini,
  • İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
  • İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel veriyi işleyen kişiyi,
  • Kanun: 7/4/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,
  • Kişisel veri: Kimliği belli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi,
  • Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesini,
  • Kişisel verilerin silinmesi: Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,
  • Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini,
  • Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
  • Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
  • Yönetmelik:10.2017 tarih ve 30224 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i,
  • Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,ifade etmektedir.

 

 

  1. KİŞİSEL VERİLERİN KATEGORİZASYONU

 

ŞİRKET tarafından yürütülen veri işleme faaliyetleri kapsamında kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ait olduğu gerçek kişi belirlenen ve/veya belirlenebilir olan kişisel veri kategorileri ve açıklamaları aşağıda yer almaktadır:

 

KİŞİSEL VERİ KATEGORİZASYONU KİŞİSEL VERİ İLGİLİ KİŞİ
Kimlik Ad, soyad Çalışan, Çalışan Adayı, Müşteri, Hissedar
Kimlik Anne baba adı, doğum tarihi, doğum yeri, medeni hali, tc kimlik no imza bilgisi Çalışan, Çalışan Adayı, Hissedar
Eğitim Mezuniyet bilgisi, öğrenim durumu Çalışan, Çalışan Adayı
Diğer Askerlik bilgisi Çalışan, Çalışan Adayı
Kişisel Yetkinlikler Ehliyet Bilgisi Çalışan, Çalışan Adayı
Kişisel Yetkinlikler Gidilen kurslar bilgisi Çalışan
Diğer Çocuk sayısı Çalışan, Çalışan Adayı
Diğer En son çalıştığı firma bilgisi, en son çalıştığı firmadaki ücret bilgisi, en son çalıştığı firmadaki görev bilgisi, son çalıştığı firmada kaç yıl çalıştığı bilgisi, son çalıştığı firmadan ayrılma nedenine ilişkin
Sağlık Kan grubu, işe giriş muayene formu, akciğer grafisi sonuçları, işitme testi sonuçları, solunum fonksiyon testi sonuçları, tam kan sayımı tetkik sonuçları Çalışan
Özlük Vesikalık fotoğraf, Çalışan’ın eşine ait ad, soyad, çalışma ve gelir durumu, Çalışan’ın çocuklarına ait ad, soyad, doğum tarihi, TC kimlik numarası, cinsiyet, anne ve baba adı, öz/üvey/torun/evlatlık bilgisi, okul adı, okul kayıt tarihi ve sınıf bilgisi Çalışan(Çalışan eşi ve çocukları/bakmakla yükümlü olduğu çocuklar)
İletişim Adres ve telefon numarası Çalışan, Çalışan Adayı, Müşteri, Hissedar
Fiziksel Mekan Güvenliği CCTV Çalışan, Müşteri, Çalışan Adayı, Ziyaretçi

 

  1. KİŞİSEL VERİLERİN İŞLENMESİ

 

Kişisel veri işleme faaliyeti, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar.

ŞİRKET kişisel verileri mevzuatta yasal bir süre öngörülmüş ise bu süreye uygun olarak, mevzuatta bir süre öngörülmemiş ise işlendikleri amacın gerektirdiği süre ile sınırlı olarak işlemektedir.

ŞİRKET’inmevzuata uygun veya amaçla sınırlı olarak belirlenmiş bu süreler içerisinde kişisel verilere yönelik olarak gerçekleştirdiği toplama/kaydetme, organize etme veya depolama, kullanma ve değiştirme, aktarma ve devralma, yayma/erişilebilir kılma, engelleme ve silme gibi gerçekleştirdiği her türlü eylem kişisel verilerin işlenmesi faaliyetleri kapsamındadır.

 

  1. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

 

  • Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
  • İletişim faaliyetlerinin yürütülmesi
  • Hukuk işlerinin takibi ve yürütülmesi
  • Fiziksel mekan güvenliğinin temini
  • Eğitim faaliyetlerinin yürütülmesi
  • İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
  • Çalışan adayı işe alım süreçlerinin yürütülmesi
  • Mal satış süreçlerinin yürütülmesi
  • Çalışana ödenecek asgari geçim indirimi tutarlarının hesaplanabilmesi
  • İş faaliyetlerinin yürütülmesi
  • İnsan kaynakları süreçlerinin planlanması
  1. KİŞİSEL VERİLERİNİZİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ

 

KVK Kanunu’nun 5. Maddesi uyarınca kişisel veriler ancak KVK Kanunu ve diğer ilgili yasal mevzuatta öngörülen usul ve esaslara uygun olarak işlenebilir. ŞİRKET olarak gerek KVK Kanunu gerekse ilgili diğer yasal mevzuat kapsamında belirtilen usul ve ilkelere uygun olarak kişisel veriler işlenmekte olup; KVK Kanunu kapsamında, kişisel verilerin işlenmesinde aşağıda yer alan ilkelere uyulması gerektiği açıkça düzenlenmiştir.

 

  • Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi

ŞİRKET; kişisel verilerin işlenmesi faaliyetini Türkiye Cumhuriyeti Anayasası ile KVK Kanunu ve ilgili diğer yasal mevzuat başta olmak üzere hukuksal düzenlemelere ve güven ilişkisi esas olmak üzere dürüstlük kuralına uygun olarak yürütmektedir.

 

  • İşlenen Kişisel Verilerin Doğruluğunu ve Güncel Olmasını Sağlama

ŞİRKET; kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve süreçleri kurgulamış bulunmaktadır. Bu kapsamda ŞİRKET, kişisel veri sahiplerinin kişisel verilerini düzeltme ve doğruluğunu teyit etmeleri amacı ile gerekli önlemleri almaktadır.

 

  • Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi

ŞİRKET, KVK Kanunu’nun 10. Maddesinde yer alan aydınlatma yükümlülüğü kapsamında, kişisel verilerin işlenmesi faaliyetine başlamadan önce kişisel veri işleme amacını açık ve kesin olarak belirleyerek ortaya koymakta, açık ve hukuka uygun amaçlar dahilinde işlemektedir.

 

  • Kişisel Verilerin Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi

ŞİRKET, kişisel verileri, işleme faaliyetine başlamadan önce belirlediği ve sunduğu hizmetin gerçekleştirilebilmesi amacı ile bağlantılı olarak ve gerektiği ölçüde işlemektedir. ŞİRKET, amacın gerçekleştirilmesiyle ilgili olmayan veya ileride ihtiyaç duyulması varsayımı ile kişisel veri işleme faaliyeti yürütmemektedir. Kişisel verilerin işlenmesi ŞİRKET’ in faaliyetleri ve yasal yükümlülükler ile sınırlıdır.

 

  • Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi

ŞİRKET, kişisel verileri, KVK Kanunu ve ilgili yasal mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda, ŞİRKET kişisel verileri, ilgili mevzuatta bir süre öngörülmüş ise bu süre ile sınırlı olarak, bir süre öngörülmemişse işlendikleri amaç için gerekli olan süre kadar saklamaktadır.  ŞİRKET, ileride kullanma ihtimali ile kişisel veri saklamamaktadır. ŞİRKET, sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.

ŞİRKET kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde aşağıda yer alan şartlar uygulanır.

KVK Kanunu’nun 5. Maddesinde yer alan düzenlemeye uygun olarak, ŞİRKET, kural olarak, kişisel verileri, kişinin açık rızası olması halinde işlemektedir. Ancak KVK Kanunu’nun 5. Maddesinin 2. Fıkrası uyarınca; Kanun Koyucu, açık rızanın olmadığı hallerde de kişisel verilerin işlenmesine olanak vermiş bulunmaktadır. Buna göre; aşağıda açıklanan diğer şartlardan birinin ve/veya birkaçının varlığı halinde de kişisel veriler ŞİRKET tarafından işlenebilmektedir. Aşağıda belirtilen şartlardan yalnızca birinin varlığı kişisel veri işleme faaliyeti için yeterli olmakla birlikte; bahse konu şartlardan birden fazla olması da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

 

  • Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri kişisel veri sahibinin açık rızasıdır. Kişisel veri sahibi, belirli bir konuyla ilgili yeterince bilgilendirilmiş, bu bilgilendirmeye dayalı olarak özgür iradesi ile tereddüde yer vermeyecek açıklıkta kişisel verilerinin işlenmesine onayı olduğunu açıklamalıdır.

 

  • Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde ŞİRKET tarafından hukuka uygun olarak veri sahibinin açık rızası alınmaksızın işlenebilecektir. Örneğin; İş Kanunu ve ilgili mevzuat çerçevesinde Çalışanlara ait işyeri sicil dosyası tutulurken kişisel veriler işlenmektedir.

 

  • Fiili İmkânsızlık Sebebiyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin Ya Da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin Zorunlu Olması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınamadığı hallerde, kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesi zorunlu ise veri sahibinin kişisel verileri işlenebilecektir.

 

  • Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde ŞİRKET tarafından kişisel veriler işlenebilecektir.

 

  • ŞİRKET’in Hukuki Yükümlülüğünü Yerine Getirmesi için Veri İşleme Faaliyetinin Zorunlu Olması

ŞİRKET’in hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin Savcılığa yapılan şikayetler uyarınca Savcılık kararıyla ŞİRKET’ tan kişisel verilerin talep edilmesi halinde verilerin sunulması.

 

  • Kişisel Veri Sahibinin Kendisi Tarafından Kişisel Verisini Alenileştirmiş Olması

Veri sahibinin, kişisel verisini bizzat alenileştirilmiş (sosyal medya vb. herhangi bir yol ve şekilde kamuya açıklamış) olması halinde ilgili kişisel veriler ŞİRKET tarafından açık rıza aranmaksızın işlenebilecektir. Örneğin, ŞİRKET sosyal medya hesabının ana sayfasına telefon numarasını bırakıp iş aradığını yazan kişinin bu verileri artık onun açık rızası olmaksızın ve fakat bu kapsamla sınırlı kalmak kaydıyla işlenebilir.

 

  • Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin delil vasfını haiz satış sözleşmesinin saklanması ve gerekli olduğunda kullanılması.

 

  • İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydı İleŞİRKET’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel verilerin korunması Anayasal bir hak olmakla birlikte; kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla ŞİRKET’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin mali işler departmanı tarafından yapılacak hesaplamalardaki kişisel veri işleme faaliyetleri.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVK Kanunu kapsamında “özel nitelikli” olarak belirlenen kişisel veriler, işbu hassasiyet nedeniyle bu Politika’da ayrıca belirtilmiş, ayrıca özel nitelikli kişisel verilerin işlenmesine yönelik olarak ŞİRKET tarafından ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI hazırlanmıştır. Özel nitelikli kişisel verilerin ŞİRKET tarafından hangi ilkeler çerçevesinde işlendiği hakkında daha detaylı bilgi edinmek için lütfen ŞİRKET ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI’nı inceleyiniz.

 

KVK Kanunu’nun 6. Maddesi 1. Fıkrasında tanımı yapılan özel nitelikli kişisel verilerin yine KVK Kanunu’nun 6. Maddesi’nin 2. Fıkrasında belirtildiği üzere veri sahibinin açık rızası olmaksızın işlenmesi yasaktır. KVK Kanunu’nun 6. Maddesinin 3. Fıkrası ise bu kuralın istisnalarını düzenlemektedir.

ŞİRKET tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla yukarıda belirtilen kanun maddesine uygun olarak işlenmektedir.

 

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan Çalışanlara yönelik; Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi, gizlilik sözleşmelerinin yapılması, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, periyodik olarak yetki kontrollerinin gerçekleştirilmesi, görev değişikliği olan ya da işten ayrılan Çalışanların bu alandaki yetkilerinin derhal kaldırılması ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması yönünde gerekli önlemler alınmaktadır.

 

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi yönünde gerekli önlemler alınmaktadır.

Özel nitelikli verilerin saklandığı ortamlar elektronik ortamlar ise verilerin güvenliğinin sağlanması için ŞİRKET tarafından gerekli teknik tedbirler alınmaktadır.

 

  1. KİŞİSEL VERİLERİN AKTARILMASI

ŞİRKET tarafından işlenen kişisel veriler veri sahibine daha iyi hizmet verebilmesi veya veri sorumlusunun meşru menfaatlerinin gerçekleştirilmesi amacıyla yurtiçinde veya yurtdışında üçüncü kişilere aktarılabilmektedir.

Kişisel verilerinizin ŞİRKET tarafından aktarılmasındaki temel amaçlar Hissedar’larınÇalışan’lar hakkında bilgilendirilmesi ve Hissedar’ların iş süreçleri ve işin yürütülmesi hakkında bilgilendirilmesidir.

Kişisel verileriniz aktarılırken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 8. ve 9. maddelerindeki kişisel veri aktarımına ilişkin hukuki sebeplere uygun olarak aktarılmakta ve Kişisel Verilerin Korunması Kanunu’na uygun olarak gerekli güvenlik önlemleri alınmaktadır.

 

  1. KİŞİSEL VERİLERİNİZİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

 

ŞİRKET, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak ilgili kişilerin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:

  • Hissedarlar
  • Hizmet Sağlayıcılar
  • Adli Makamlar ve Kolluk Kuvvetleri

ŞİRKET tarafından hangi kişilere hangi amaçlarla veri aktarımı yapıldığı aşağıdaki tabloda detaylı olarak bilgilerinize sunulmuştur:

 

Veri Aktarımı Yapılabilecek Kişiler Tanımı Veri Aktarımının Amacı
Hissedarlar ŞİRKET’in hisselerinin sahipleri Hissedarları Çalışanlar hakkında ve iş faaliyetleri hakkında bilgilendirmek
Hizmet Sağlayıcılar ŞİRKET’imize hizmet sunan taraflar İletişim faaliyetlerinin gerçekleştirilmesi (Örneğin serverları yurtdışında bulunan mail hizmet sunucularının kullanılması aracılığıyla iletişim faaliyetlerinin yürütülmesi gibi.)
Adli Makamlar ve Kolluk Kuvvetleri Hukuki uyuşmazlıkların giderilmesi veya ilgili mevzuat gereği Şirket’ten veri talep edebilecek olan adli makamları ve kolluk kuvvetlerini ifade etmektedir. Hukukiuyuşmazlıkların giderilmesi. Örneğin bir hırsızlık durumunda Şirket güvenliği için kaydedilen CCTV kayıtlarının adli makamlara aktarılması gibi.

 

  1. KİŞİSEL VERİLERE İLİŞKİN HAKLAR VE YÜKÜMLÜLÜKLER

 

11.1. Kişisel Veri Sahiplerinin Şirket Tarafından Aydınlatılması Yükümlülüğü

KVK Kanunu’nun 10. Maddesi uyarınca; ŞİRKET, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmakla yükümlüdür.

Bu kapsamda ŞİRKET, kişisel verilerin toplanması esnasında veri sahiplerine kişisel verilerin ŞİRKET tarafından işleneceğini, kişisel verilerinin hangi amaçlarla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplama yöntemi ve hukuki sebepleri ile KVK Kanunu’nun 11. Maddesi uyarınca veri sahibinin haklarının neler olduğunu bildirmekte ve KVKK’de belirtilen diğer veri işleme sebepleri mevcut değilse açık rıza almaktadır.

 

11.2. Kişisel Veri Sahibinin Hakları ve Başvuru Yöntemi

Kişisel veri sahibi, KVK Kanunu’nun 11. maddesi uyarınca ŞİRKET’e başvurarak aşağıdaki taleplerde bulunabilir:

  1. Kişisel verilerini işlenip işlenmediğini öğrenme,
  2. Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Kişisel verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş ise düzeltilmesini isteme,
  6. KVK Kanunu 7. maddesi kapsamında, KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  7. Kişisel verilerin aktarıldığı üçüncü kişilere yukarıda sayılan 5. Ve 6.maddeler uyarınca yapılan işlemlerin bildirilmesini isteme,
  8. İşlenen kişisel verilerin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme

 

Kişisel veri sahiplerinin KVK Kanunu’ nun 13’üncü maddesinin 1’inci fıkrası gereğince yukarıda belirtilen haklarını kullanmakla ilgili taleplerini Şirket tarafından hazırlanmış olan‘’Veri Sahibi Başvuru Formu’’nu doldurarak, ŞİRKET tarafından belirlenen ve aşağıda 11.4 başlığında gösterilen tabloda detaylı olarak açıklanan yöntemlerle veya KVK Kurulunun belirlediği diğer yöntemlerle Barakfakih Mahallesi Vatan Cadde No:47 A /1 Kestel/Bursa adresineyazılı olarak bizzat tevdi edilebilir veya noter kanalıyla gönderilebilir ya da kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da veri sorumlusuna daha önceden bildirilmiş e-posta adresini kullanmak suretiyle elektronik ortamda yildirimlarorme@hs03.kep.tr  adresine iletebilir.

11.3. Veri Sahibinin Hakları Dışında Kalan Haller

KVK Kanunu’nun 28. Madde’sinin 1. Fıkrası’nda belirtilen hallerin varlığı halinde, KVK Kanunu hükümlerinin uygulanmayacağı düzenlenmiş olup; bu kapsamda ŞİRKET tarafından işlenen kişisel verilere ilişkin olarak kişisel veri sahiplerinin KVK Kanunu’nda sayılan haklarını ileri sürmeleri mümkün değildir.

 

KVK Kanunu’nun 28. Maddesi 2. Fıkrası’ nda belirtilen hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç olmak üzere; KVK Kanunu’nda sayılan diğer haklarını ileri süremezler.

 

11.4. Kişisel Veri Sahiplerinin ŞİRKET’e Başvuru Yöntemi

 

Kişisel veri sahipleri, kendilerine kanunen tanınan hakların kullanımına ilişkin taleplerini ŞİRKET tarafından hazırlanmış olan‘’Veri Sahibi Başvuru Formu’’nudoldurup Barakfakih Mahallesi Vatan Cadde No:47 A /1 Kestel/Bursa adresinebaşvuru sahibinin kimlik bilgilerini doğrulayan şekilde ıslak imzalı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da veri sorumlusuna daha önceden bildirilmiş e-posta adresini kullanmak suretiyleyildirimlarorme@hs03.kep.tradresine iletebileceklerdir.

 

Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün olmayıp, üçüncü bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak üçüncü kişi adına düzenlenen özel vekâletname ile yetki verilmiş olması gerekmektedir.

  BAŞVURU YÖNTEMİ BAŞVURU YAPILACAK ADRES BAŞVURUDA GÖSTERİLECEK BİLGİ
Yazılı Olarak Başvuru Islak imza ile şahsen veya noter vasıtasıyla göndererek Barakfakih Mahallesi Vatan Cadde No:47 A/1 Kestel/Bursa Zarfın üzerine ‘’kişisel verilerin korunması kanunu kapsamında bilgi/değişiklik talebi’’ yazınız.
Elektronik Olarak Başvuru Kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza veya daha önce veri sorumlusuna bildirilen veri sorumlusunun sisteminde kayıtlı olan e-posta adresi ile yildirimlarorme@hs03.kep.tr Elektronik postanın konu kısmına ‘’kişisel verilerin korunması kanunu kapsamında bilgi/değişiklik talebi’’ yazınız.

11.5. ŞİRKET Tarafından Kişisel Veri Sahiplerinin Başvurularına Cevap Verilmesi

KVK Kanunu’nun 13. maddesi uyarınca; kişisel veri sahibinin işbu Politika’nın 11.4. başlığında belirtilen usule uygun olarak ilettiği başvurusunda yer alan talepler, ŞİRKET tarafından, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.

 

Yapılacak işlemin ayrıca bir maliyeti gerektirmesi hâlinde, ŞİRKET tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınabilecektir.

 

ŞİRKET, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek, başvuruda yer verilen talepleri netleştirmek adına ilgili kişiden bilgi talep edebilir.

 

11.6. Kişisel Veri Sahibinin KVK Kuruluna Şikayette Bulunma Hakkı

Kişisel veri sahibi, KVK Kanunu’nun 14. Maddesi’nde belirtildiği şekilde kurula şikâyette bulunabilir.

Kişisel veri sahibi, KVK Kanunu’nun 13. Maddesi ve de bu Politika’nın 11. bölümünde düzenlenen başvuru hakkını kullanmadan, KVK Kurulu’na şikâyet yoluna başvuramaz.

 

  1. KİŞİSEL VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI

 

Kişisel verileriniz gerekli güvenlik önlemlerinin alındığı şifreli diskler, harici diskler, uygulama otomasyonları ve fiziki olarak ise kilitli dolaplarda saklanmaktadır.

 

  1. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ VE TEKNİK NEDENLER

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre boyunca saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta öngörülen süre boyunca veya böyle bir süre öngörülmemişse, kişisel verilerin işlenme amaçları kapsamında mevzuat tarafından öngörülen ilkeler ışığında gerekli olan süre kadar saklamaktayız.

 

Kişisel verileri birden fazla amaç için işlediğimiz hallerde, verinin işlenme amaçlarının hepsinin ortadan kalkması veya verilerin silinmesine mevzuatta bir engel olmaması ve ilgili kişinin talep etmesi durumunda veriler silinir, yok edilir veya anonim hale getirilir.

 

  1. KİŞİSEL VERİLERİN SAKLANMASINA VE PERİYODİK İMHA SÜRESİNE İLİŞKİN BİLGİLER

 

Kişisel verilerin, veri kategorisi, veri saklama ortamı, verilerin toplanmasına ilişkin mevzuat, saklama süresinin başlangıcı, sonu ve toplam saklanacak süre gibi unsurlar göz önünde bulundurularak saklanması gerekmektedir.

 

KVKK’da yer alan kişisel verileri işleme şartlarının ortadan kalkması veya bu faaliyetlerin son bulması, ilgili verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini gerektirmektedir. Bu sebeple, Yönetmelik’in 12. maddesine istinaden veri sorumlusunun kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, işleme şartları ortadan kalkan kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü bulunmaktadır. ŞİRKET olarak, tüm kişisel verilerinize dair periyodik imha işlemini 180 günlük aralıklar içerisinde gerçekleştirmekteyiz.Kişisel verilere ilişkin olarak saklama süreleri ise KVK Kanunu’na ve iş süreçlerine uygun olarak belirlenmiştir.

 

  1. KİŞİSEL VERİLERİNİZİN İMHA EDİLMESİNE YÖNELİK YÖNTEMLER

15.1. Kişisel Verilerin Silinmesine Dair Yöntemler

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder. ŞİRKET olarak, kişisel verilerin hukuka uygun olarak silinmesi işlemini gerçekleştirebilmek amacıyla tarafımızca kullanılan ve Kişisel Verileri Koruma Kurulu’nun yayınlarında da belirtilen tekniklerden bazıları şu şekildedir:

15.1.1. Basılı Ortamda Tutulan Verilere Yönelik Yöntemler:

  • Kâğıt üzerinde bulunan kişisel veriler karartma (maskeleme) yöntemi kullanılarak, veya
  • Kağıt kesme makinesi ile öğütme
  • Yakma

Gibi yöntemler kullanılarak silinmektedir.

15.1.2. Elektronik Ortamda Tutulan Verilere Yönelik Yöntemler:

 

Kişisel veriler, saklandıkları kayıt ortamlarına göre, aşağıda yer alan yöntemlerle silinmektedir:

 

Verinin Saklandığı Ortam Silme Yöntemi
Diskler(CCTV kayıtlarının saklandığı ortamlar)  

Kişisel verilerin bulunduğu dosyalar uygun yazılımlar kullanılarak silinmektedir.
Uygulama otomasyonları(Muhasebe programı gibi) Kullanılan programda öngörülen silme seçenekleri kullanılarak silinmektedir.
Harici Disk Kişisel verilerin bulunduğu dosyalar uygun yazılımlar kullanılarak silinmektedir.

 

15.1. Kişisel Verilerin Hukuka Uygun İmhası İçin Alınan Tedbirler

ŞİRKET olarak, işlediğimiz kişisel verilerin imhasının hukuka uygun olarak gerçekleştirilmesine dikkat etmekte ve bu kapsamda birtakım teknik ve idari tedbirler almaktayız.

İşlediğimiz kişisel verilerin hukuka uygun imhası için, aşağıda sayılanlarla sınırlı olmamak üzere, çeşitli önlemler almaktayız. Bu kapsamda;

  • Çalışanlarımızın kişisel verilerin hukuka uygun imhası konusunda eğitilmesini ve bilgilendirilmesini,
  • Silinen kişisel verilere ilgili kullanıcı tarafından erişilmesinin ve tekrar kullanılmasının engellenmesini,
  • Veriye erişim sürecinde onay ve denetim mekanizmalarının benimsenmesini sağlamaktayız.

 

  1. KİŞİSEL VERİLERİNİZİN KORUNMASI İÇİN ALINAN TEDBİRLER
  • Çalışanlara kişisel verilerin korunması hakkında farkındalık eğitimlerinin verilmesi
  • Veri bulunan sistemde girişte kullanıcı adı ve şifre kullanılması
  • Kişisel verilerin yedeklenmesi
  • Kişisel verilerin bulunduğu ortamlarda yangın, hırsızlık gibi durumlara ilişkin gerekli tedbirlerin alınması
  • Kişisel verileri koruma komitesi kurulması
  • Özel nitelikli kişisel verilere ilişkin Şirket içi erişim politika ve prosedürlerinin hazırlanması
  • Özel nitelikli kişisel verilere erişim yetkilerinin periyodik olarak kontrol edilmesi ve Şirket’le hukuki ilişkisi sona eren Çalışanların erişim yetkisinin derhal sona erdirilmesi
  • Özel nitelikli kişisel veri işleme süreçlerinde bulunan Çalışanlarla gizlilik sözleşmelerinin yapılması

 

 

  1. KİŞİSEL VERİLERİN SAKLANMASI VE İMHA SÜREÇLERİNDE YER ALAN KİŞİLER VE SORUMLULUKLARI

ŞİRKET bünyesinde, 6698 sayılı Kanun’a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla Kişisel Verilerin Korunması Komitesi (“Komite“) kurulmuştur. Komite’nin başlıca görevleri aşağıda belirtilmektedir:

Komitenin görevleri:

  1. Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
  2. Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içinde gerekli görev dağılımını yapmak ve koordinasyonu sağlamak
  3. 6698 sayılı ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
  4. Kişisel verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirket iş ortakları nezdinde farkındalığı arttırmak,
  5. ŞİRKET’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayına sunmak,
  6. Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip etmek, hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,
  7. Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
  8. Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak,
  9. Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
  10. Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
  11. KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
  12. Üst yönetimin kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
  13. Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini sunmak,

 

SAKLAMA VE İMHA SÜRELERİ TABLOSU 

Saklama ve imha süreleri tablosuna Şirketimize ait Kişisel Veri İşleme Envanteri’nde yer verilmiş olup; işbu envanterde süreç bazında belirtilen süreler ile ilgili özet tablo aşağıda yer almaktadır.

Bu kapsamda işlenen kişisel veriler, işbu Politika’da belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanacak, süre sonunda ise imha edilecektir.

Kişisel Verileri Saklama ve İmha Süreleri’ni gösteren tablo kişisel KVK Komitesi değerlendirmeleri dikkate alınarak güncellenebilecektir.

Şirket tarafından yürütülen iş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, ilgili kişisel verinin kategorisi, kişisel verilerin yer aldığı ortamların özelliği ve ilgili kullanıcı tarafından dikkate alınarak ilgili uzman tarafından yapılacaktır.

 

KİŞİSEL VERİ SAKLAMA SÜRESİ HUKUKİ DAYANAK İMHA SÜRESİ
Çalışan’a ait ad, soyad, anne ve baba adı, doğum tarihi, doğum yeri, medeni hali, tc kimlik no, adres bilgisi, telefon numarası, bordro bilgisi, askerlik bilgisi, fotoğraf görüntüsü, işe giriş- çıkış belgesi, ücret bilgisi, banka ıbanno, icra bilgileri, mezuniyet bilgisi, gidilen kurslar bilgisi, öğrenim durumu bilgisi, ehliyet bilgisi, çocuk sayısı,Çalışan’ın eşine ait ad, soyad, çalışma ve gelir durumu, Çalışan’ın çocuklarına ait ad, soyad, doğum tarihi, TC kimlik numarası, cinsiyet, anne ve baba adı, öz/üvey/torun/evlatlık bilgisi, okul adı, okul kayıt tarihi ve sınıf bilgisi Çalışan işten ayrıldıktan sonra 10 yıl süre ile özlük dosyasında saklanır. İş Kanunu başta olmak üzere ilgili mevzuat. 6 ay
Çalışan’a ait kan grubu bilgisi, işe giriş muayene formu, akciğer grafisi sonuçları, işitme testi sonuçları, solunum fonksiyon testi sonuçları, tam kan sayımı tetkik sonuçları Çalışan işten ayrıldıktan sonra 15 yıl süreyle saklanır. İş sağlığı ve güvenliği mevzuatı başta olmak üzere ilgili mevzuat 6 ay
Çalışan’a ait en son çalıştığı firma bilgisi, en son çalıştığı firmadaki görev/ücret bilgisi, son çalıştığı firmada kaç yıl çalıştığı bilgisi, son çalıştığı firmadan ayrılma nedeni, evinin kira olup olmadığı bilgisi Çalışan’ın veri sorumlusuna CV teslim ederek verileri vermesinden sonra 1 yıl süre ile saklanır. Sektörel teamül ve KVK Kanunu ve KVK Kurulu açıklamaları kapsamında verinin işlenme amacının gerektirdiği süre. 6 ay
Şirket binası içinde ve dışında 16 kamera ile tutulan CCTV kayıtları 21 gün Sektörel teamül ve KVK Kanunu ve KVK Kurulu açıklamaları kapsamında verinin işlenme amacının gerektirdiği süre. 6 ay
Çalışan Adayı’na aitad, soyad, anne baba adı, doğum tarihi, doğum yeri, medeni hali, tc kimlik no, adres bilgisi, telefon numarası, askerlik bilgisi, imza bilgisi, mezuniyet bilgisi, öğrenim durumu, çocuk sayısı, ehliyet, en son çalıştığı firma bilgisi, en son çalıştığı firmadaki ücret bilgisi, en son çalıştığı firmadaki görev bilgisi, son çalıştığı firmada kaç yıl çalıştığı bilgisi, son çalıştığı firmadan ayrılma nedenine ilişkin veriler Çalışan adayından verilerin elde edilmesinden itibaren 1 yıl süreyle saklanır. Sektörel teamül ve KVK Kanunu ve KVK Kurulu açıklamaları kapsamında verinin işlenme amacının gerektirdiği süre. 6 ay
Hissedar’a ait ad, soyad, anne baba adı, doğum tarihi, doğum yeri, medeni hali, TC kimlik numarası, adres bilgisi, telefon numarası Hissedarla hukuki ilişkinin sona ermesinden itibaren 10 yıl, Pay defterinde yer alanlar pay defterinin saklanma yükümlülüğü devam ettiği sürece. Türk Ticaret Kanunu ve ilgili diğer mevzuat 6 ay
Müşteriler’e ait ad, soyad, adres ve telefon numarası kişisel verileri Hukuki ilişkinin sona ermesinden itibaren 10 yıl. Türk Borçlar Kanunu ve ilgili diğer mevzuat 6 ay

 

  1. YÜRÜRLÜK VE GÜNCELLEMELER

 

Başta 6698 sayılı Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Şirket, yasal düzenlemelere paralel olarak işbu Politika’ da değişiklik yapma hakkını saklı tutar.