5N1K ORGANİZASYON SAN.VE TİC.LTD.ŞTİ.
KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI, SAKLANMASI VE İMHA POLİTİKASI
- GİRİŞ
1.1. Politikanın Amacı ve Kapsamı
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu “5N1K ORGANİZASYON SAN.VE TİC.LTD.ŞTİ.” (Kısaca 5N1K ORGANİZASYON) Kişisel Verilerin İşlenmesi ve Korunması Politikası (Politika), 5N1K ORGANİZASYON’nın kanuna uyumluluğunun sağlanmasını ve Şirketimiz tarafından kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesini amaçlamaktadır. Kişisel veriler, başta kimlik bilgileri olmak üzere, IP, adres, telefon, e-posta adresleri gibi iletişim bilgileri; araç ve plaka bilgileri; aile durum bilgileri; iş unvanı, meslek ve işyeri bilgileri; mezuniyet ve mesleki deneyim bilgilerini ve fotoğraf, görüntü ve benzeri bilgileri ifade etmektedir.
Politika, kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde Şirketimiz tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, Şirketimiz tarafından Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini, işlediği kişisel verileri ve kişisel verilerin sahiplerini kapsamaktadır.
Kişisel verilerin Şirketimizle paylaşılması halinde, Şirketimiz Veri Sorumlusu sıfatıyla, kişisel verileri kanunda açıklandığı çerçevede; elde edebilecek, kaydedebilecek, depolayabilecek, muhafaza edebilecek, hizmetlerini devam ettirebilmek amacıyla güncelleyebilecek, değiştirebilecek, yeniden düzenleyebilecek, mevzuatın izin verdiği durumlarda ve ölçüde üçüncü kişilere açıklayabilecek, devredebilecek, aktarabilecek, paylaşabilecek, sınıflandırabilecek, anonim hale getirebilecek ve kanunda sayılan diğer şekillerde işleyebilecektir.
Şirketimiz nezdinde işlenen kişisel verileriniz ile ilgili; kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesi ilkeleri, işbu verilerin işleme amaç ve şartları ile yurt içinde aktarımı, imhası ve işlenen veriler üzerindeki haklarınıza dair uygulama ve esaslar aşağıda sizlere bildirilmektedir.
Şirketimiz, KVKK ve ilgili diğer düzenlemelere uyum sağlanması ve kişisel verilerinizin Kanuna ve diğer düzenlemelere uygun olarak işlenmesi, kullanılması, imhası, aktarımı ve sair hususlarda bu politikada belirlenen prosedür ve süreçlere uygun şekilde davranacaktır.
1.2. Tanımlar
Açık Rıza: Belirli bir konuya ilişkin, ilgili kişinin bilgilendirilmesine dayanan ve ilgili kişinin özgür iradesiyle açıklanan rıza.
Açık Veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İrtibat Kişisi: Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumlu kişidir. Veri sorumlusu eğer Türkiye’de yerleşik olan bir tüzel kişi ise, bir irtibat kişisi atamak ve Veri Sorumluları Siciline kayıt sırasında atadığı bu irtibat kişisine ait bilgileri VERBİS’e işlemek zorundadır.
Kanun: 24.03.2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
Kişisel verilerin imha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
Kurul: Kişisel Verileri Koruma Kurulu.
Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili (VERBİS).
Şirket: İşbu politika metnini düzenleyen veri sorumlusu gerçek veya tüzel kişiyi ifade eder.
Üçüncü Kişi: Kurumumuzun yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örneğin hizmet alınan firma çalışan veya yetkilileri, ziyaretçi vb.)
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Müşteri: Şirketin sunduğu ürün ve hizmetlerden faydalanan gerçek kişiler.
Ziyaretçi: Kurumumuzun sahip olduğu fiziksel alanlara çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.
- SORUMLULUK ve GÖREV DAĞILIMLARI
KVKK ile ilgili olarak çalışanların eğitimi ve farkındalığının arttırılması, kişisel verilerin mevzuata ve Politikaya uygun olarak işlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin hukuka uygun işlenmesi ve saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere, Şirketimizin tüm birimleri ve çalışanları aktif olarak destek verir. Kişisel verilerin işlenmesi, saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki tabloda verilmiştir.
Unvan / Birim
Görev
İşveren / İşveren Vekili
Çalışanların politikaya uygun hareket etmesinden sorumludur.
İnsan Kaynakları, Finans / Muhasebe, Satış / Pazarlama Birimi, Güvenlik Birimi, Hukuk Birimi, Sekretarya / Müşteri Temsilcisi, Satın Alma Birimi
Görevlerine uygun olarak politikanın yürütülmesinden sorumludur.
Gerçek ve Özel Hukuk Tüzel Kişilikleri (Avukat, İş Güvenliği Uzmanı, İşyeri Hekimi, Serbest Mali Müşavir, Danışman vb.)
Kurumdan aldıkları kişisel verileri, Gizlilik sözleşmesinde ve bu politika da belirtilen hususlar ile ilgili kanuna göre işlemek, saklamak ve imha etmekle yükümlüdür.
- VERİ İŞLEME AMAÇLARIMIZ, İŞLENEN VERİLER ve VERİ KONUSU KİŞİ GRUPLARI
3.1. Veri Konusu Kişi Grupları
Politika kapsamındaki veri sahibi kategorileri aşağıdaki şekildedir:
Çalışan: İşyerinde istihdam edilen gerçek kişileri ifade eder.
Çalışan Adayı: İş başvurusunda bulunan gerçek kişileri ifade eder.
Stajyer/Çırak: Mesleki eğitimi ve öğrenimi için staj yapan gerçek kişileri ifade eder.
Aile Üyeleri ve Yakınları: Çırak/Stajyer Öğrencinin aile ve yakınlarını ifade etmektedir.
Veli / Vasi / Temsilci: Velayet altındaki stajyerleri temsil eden velayet sahibi gerçek kişileri ifade etmektedir.
Etkinlik Katılımcısı: Kurum tarafından düzenlenen toplantı, etkinliklere katılım sağlayan gerçek kişileri ifade etmektedir.
Müşteri: Şirketin sunduğu ürün ve hizmetlerden faydalanan gerçek kişiler.
Ziyaretçi: Kurumu ziyarete gelen gerçek kişileri ifade etmektedir.
Tedarikçi: Kurumun ihtiyaçları doğrultusunda kuruma hizmet sunan gerçek ve tüzel kişilik adına hareket eden yetkiliyi kişiyi ifade etmektedir.
Tedarikçi Çalışanı: Tedarikçi bünyesinde istihdam edilen ve tedarikçi adına mal veya hizmet üreten gerçek kişidir.
Kurum Yetkilisi / Temsilcisi: Kurumu temsile yetkili gerçek kişileri ifade etmektedir.
Referans Kişi: İş başvurusu yapan kişiye referans olan gerçek kişiyi ifade eder.
Üçüncü Kişiler: Yukarıda yer verilen veri sahibi kategorileri ile kurum çalışanları hariç gerçek kişileri ifade etmektedir.
Veri sahibi kategorileri genel bilgi paylaşımı amacıyla belirtilmiştir. Veri sahibinin, bu kategorilerden herhangi birinin kapsamına girmemesi, Kanun’da belirtildiği şekilde veri sahibi niteliğini ortadan kaldırmamaktadır.
3.2. Kişisel Veri İşleme Amaçları
Şirketimiz tarafından kişisel verileriniz ve özel nitelikli kişisel verileriniz, Kanun’da ve ilgili mevzuatta yer alan kişisel veri işleme şartlarına uygun olarak aşağıdaki amaçlarla işlenebilmektedir:
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Lojistik Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
Organizasyon Ve Etkinlik Yönetimi
Pazarlama Analiz Çalışmalarının Yürütülmesi
Performans Değerlendirme Süreçlerinin Yürütülmesi
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Sponsorluk Faaliyetlerinin Yürütülmesi
Stratejik Planlama Faaliyetlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Taşınır Mal Ve Kaynakların Güvenliğinin Temini
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
Ücret Politikasının Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
Yatırım Süreçlerinin Yürütülmesi
Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
3.3. Veri Kategorileri
Kimlik: Ad-Soyad, TC Kimlik No, Anne – Baba Adı, Anne Kızlık Soyadı, Doğum Tarihi, Doğum Yeri, Medeni Hali, Nüfus Cüzdanı Seri Sıra No, Aile Sıra No, Sıra No, Cilt No, Nüfusa Kayıtlı Olduğu İl, Nüfusa Kayıtlı Olduğu İlçe, Nüfusa Kayıtlı Olduğu Mahalle / Köy, Cinsiyeti, Uyruk, Son Geçerlilik Tarihini ifade eder.
İletişim: Açık adresi, telefon numarası, kurumsal veya kişisel e posta adresi, şirket içi iletişim bilgileri (Dâhili No vb.), kayıtlı elektronik posta adresi (kep), (aile üyeleri ve yakınları dâhil)
Lokasyon: Araç takip sisteminde yer alan konum bilgilerini,
Özlük Bilgileri: Bordro Bilgileri, Disiplin Soruşturma Bilgisi, İşe Giriş Bilgileri (İşe Giriş Tarihi, Meslek Kodu vb.), Kurum Unvan Bilgisi, Kurum Sicil No Bilgisi, Yaptığı İş / Görev Bilgisi, Özgeçmiş Bilgileri, Mal Bildirimi Bilgileri, Askerlik Durumu, İzin Bilgisi (Ücretli ve Ücretsiz İzinleri Tümü), Çalışma Saatleri / Vardiya Bilgisi, Yabancı Çalışma İzin Bilgileri, Muvafakat Bilgisi (Fazla Mesai, Veli veya Vasi Onayı vb.), Performans Değerlendirme Raporları, Emeklilik Bilgisi, İş Hakkında Talep, Şikayet ve Öneri bilgileri,
Hukuki İşlem ve Uyum Bilgisi: Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Kurumun politikalarına uyum kapsamında işlenen kişisel veriler.
Müşteri İşlem Bilgileri: Fatura Bilgileri, Senet Bilgileri, Çek Bilgileri, Makbuz Bilgileri, Sipariş Bilgisi, Mal / Hizmet Talep Bilgisi, Gişe Dekontlarındaki ve benzeri bilgileri,
Mesleki Deneyim Bilgisi: Diploma Bilgisi, Mesleki Yeterlilik Bilgisi, Gidilen Kurs Bilgisi, Sertifika Bilgisi, Araç / Operatör Ehliyet Bilgisi (İş Makinası, Ticari, Hususi Araç Dâhil), Transkript Bilgisi (Yüksek Öğrenim, Okul ve Stajyer Bilgisi), Bonservis / Hizmet / Çalışma Bilgisi ve benzeri bilgileri,
Aile Bireyleri ve Yakın Bilgisi: Çalışanların aile ve yakınlarına ait kişisel veriler.
Fiziksel Mekân Güvenlik Bilgisi: Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kamera kayıtları ve kimlik vb. belgelere ilişkin kişisel veriler.
İşlem Güvenliği: Kurumumuza ait internet ve bilgisayarların kullanımı sırasında İnternet Sitesi Giriş Çıkış Bilgileri, Şifre ve Parola Bilgileri, IP Adresi Bilgileri ve internet erişim log kayıtları.
Finansal Bilgi: Kurumumuzun kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler.
Görsel ve İşitsel Veri Bilgisi: Fotoğraf, ses ve video kayıtları gibi kayıtlar.
Özel Nitelikli Veri – Sağlık Bilgisi: Mevzuat gereği çalışanlardan alınması zorunluk sağlık durumunu gösterir belge / bilgi.
Özel Nitelikli Veri – Ceza Mahkûmiyeti ve Güvenlik Tedbirleri: Adli makamlar tarafından verilen adli sicil kaydını,
Araç Plaka Bilgisi: Kuruma ziyarete gelenlerin takibi veya çalışanların araçlarının tespiti amacı ile aracın plakasında yer alan bilgi.
3.3.1. Çalışan / Çalışan Adayı / Tedarikçi Çalışanı / Stajyer
Açısından İşlenen Kişisel Veriler
Çalışan / Çalışan Adayı / Tedarikçi Çalışanı / Stajyerlerin kendileri tarafından, tarafımıza sağlanan kişisel veriler işlenebilmektedir. İşlenen kişisel verileriniz, iş başvuru formunda belirttiğiniz bilgileri, kimlik, iletişim, lokasyon, özlük, hukuki işlem, fiziksel mekan güvenliği, finans, mesleki deneyim, görsel ve işitsel kayıtlar, işlem güvenliği, özel nitelikli veri olan sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik verileri, referans kişi bilgileri, aile ve yakını verisi, araç plaka bilgileriniz ve benzeri bilgilerinizdir.
3.3.2. Müşteri ve Potansiyel Müşteri Açısından İşlenen Kişisel Veriler
Müşteri ve Potansiyel müşteri tarafından, tarafımıza sağlanan kişisel veriler işlenebilmektedir. İşlenen kişisel verileriniz; Kimlik, iletişim, araç plaka bilgileriniz, kamera kayıtları, fatura, çek, senet, kredi kartı, sipariş, talep, şikâyet bilgileri ve benzeri bilgilerinizdir.
3.3.3. Hissedar, İş Ortakları ve Tedarikçiler Açısından İşlenen Kişisel Veriler
Hissedar, İş Ortakları, Tedarikçiler tarafından, tarafımıza sağlanan kişisel veriler işlenebilmektedir. İşlenen kişisel verileriniz; Kimlik, iletişim, hukuki işlem, fiziksel mekan güvenliği, finans, görsel ve işitsel kayıtlar, araç plaka bilgisi ve benzeri bilgilerinizdir.
3.3.4. Ziyaretçi Açısından İşlenen Kişisel Veriler
Ziyaretçi görsel verisi; kapalı devre güvenlik kamerası görüntüleri, ziyaretçi kimlik bilgileri, araç bilgileri, çalıştığı kurum ve unvanı.
- VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ
Kişisel verileriniz, otomatik ya da otomatik olmayan yöntemlerle, yazılı veya elektronik ortamda yapılan iş başvuru formları, sözleşmeler, görsel ve işitsel kayıtlar, bilgi sistemleri ve elektronik cihazlar, müşteri talep ve işlem belgeleri ve ilgili kişi tarafından sunulan diğer belgeler vasıtasıyla toplanmaktadır.
Kişisel verileriniz, bu Politikanın 3.2. maddesinde yer alan amaçlar doğrultusunda ve 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde İş ve Sosyal Güvenlik Mevzuatı, Mali Mevzuat, Türk Ticaret Mevzuatı, Türk Borçlar Kanunu başta olmak üzere ilgili mevzuat uyarınca ticari faaliyet, sözleşmenin ifası, hak tahsisi, kullanılması ve korunması hukuki sebepleri kapsamında işlenmektedir.
- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER ve ŞARTLAR
5.1. Kişisel verilerin işlenmesine ilişkin ilkeler
Şirketimiz tarafından kişisel verileriniz, Kanun’un 4. maddesinde yer alan kişisel veri işleme ilkelerine uygun olarak işlenmektedir. Bu ilkelere her bir kişisel veri işleme faaliyeti açısından uyulması zorunludur:
Kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi
Şirketimiz, kişisel verilerinizin işlenmesinde kanunlara, ikincil düzenlemelere ve hukukun genel ilkelerine uygun olarak hareket eder. Kişisel verileri işlenme amacı ile sınırlı olarak işlemeye ve veri sahiplerinin makul beklentilerini dikkate almaya önem verir.
Kişisel verilerin doğru ve güncel olması
Şirketimiz tarafından işlenen kişisel verilerinizin güncel olup olmadığına, buna ilişkin kontrollerin yapılmasına dikkat edilir. Veri sahiplerine bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesini veya silinmesini isteme hakkı tanınır.
Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi
Şirketimiz, her bir kişisel veri işleme faaliyetinden önce veri işleme amaçlarını tespit eder ve bu amaçların hukuka aykırı olmamasına dikkat eder.
Kişisel verilerin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması
Şirketimiz tarafından veri işleme faaliyeti toplama amacını gerçekleştirme için gerekli olan kişisel verilerle sınırlandırılmakta ve bu amaçla ilişkili olmayan kişisel verilerin işlenmemesi için gerekli adımlar atılmaktadır.
Kişisel verilerin mevzuatın ya da işleme amaçlarının gerektirdiği süre kadar saklanması
Şirketimiz tarafından kişisel veri işleme amacının ortadan kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması ile birlikte kişisel veriler silinmekte, yok edilmekte veya anonimleştirilmektedir.
5.2. Kişisel Verilerin İşlenmesine İlişkin Şartlar
Şirketimiz tarafından kişisel verileriniz, Kanun’un 5. maddesinde yer alan kişisel veri işleme şartlarından en az birinin varlığı halinde işlenmektedir. Söz konusu şartlara ilişkin açıklamalar aşağıda yer almaktadır:
Şirketimiz tarafından kişisel veriler genel kural olarak, veri sahibinin özgür iradesi ile kişisel veri işleme faaliyetine ilişkin yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olarak açık rıza vermesi halinde işlenebilmektedir.
Kişisel veri işleme faaliyetinin kanunlarda açıkça öngörülmesi halinde Şirketimiz tarafından kişisel veriler ilgili hukuki düzenleme çerçevesinde, veri sahibinin açık rızası olmadan işlenebilecektir.
Fiili imkânsızlık nedeniyle veri sahibinin açık rızasının alınamaması ve kişisel veri işlemenin zorunlu olması halinde; veri sahibinin veya üçüncü bir kişinin hayatı veya beden bütünlüğünü korumak adına kişisel veri işlemenin zorunlu olması durumunda, rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan veri sahibine ait kişisel veriler açık rıza olmadan işlenecektir.
Kişisel veri işleme faaliyetinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması durumunda, veri sahibi ile Şirketimiz arasında kurulan veya hali hazırda imzalanmış olan sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise kişisel veri işleme faaliyeti açık rıza olmadan gerçekleştirilecektir.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için kişisel veri işlemenin zorunlu olması durumunda, Şirketimiz yürürlükteki mevzuat kapsamında öngörülen hukuki yükümlülüklerini yerine getirme amacıyla veri sahibinin açık rızası olmadan kişisel verileri işleyebilecektir.
Veri sahibi tarafından herhangi bir şekilde kamuoyuna açıklanmış, alenileştirilme sonucu herkesin bilgisine açılmış olan kişisel veriler alenileştirme amacı ile sınırlı olarak Şirketimiz tarafından veri sahiplerinin açık rızası olmasa da işlenebilecektir.
Bir hakkın tesisi, kullanılması veya korunması için kişisel veri işlemenin zorunlu olması durumunda, Şirketimiz zorunluluk kapsamında veri sahiplerinin açık rızası olmaksızın veri sahibinin kişisel verilerini işleyebilecektir.
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde, Şirketimiz ile veri sahibinin menfaat dengesinin gözetilmesi şartıyla Şirketimiz tarafından kişisel veriler işlenebilecektir. Bu kapsamda, meşru menfaate dayanarak verilerin işlenmesinde Şirketimiz öncelikle işleme faaliyeti sonucunda elde edeceği meşru menfaati belirler. Kişisel verilerin işlenmesinin veri sahibinin hak ve özgürlükleri üzerindeki olası etkisini değerlendirir ve dengenin bozulmadığı kanaatindeyse işleme faaliyetini açık rızaya gerek olmadan gerçekleştirebilir.
5.3 Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Şartlar
Kanunun 6. maddesinde özel nitelikli kişisel veriler, sınırlı sayıda olacak şekilde belirtilmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Şirketimiz, özel nitelikli kişisel verileri Kişisel Verileri Koruma Kurulu tarafından belirlenen ilave tedbirlerin alınmasını sağlayarak aşağıdaki durumlarda işleyebilmektedir:
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi, veri sahibinin açık rıza vermesi halinde veya kanunlarda açıkça öngörülmesi durumunda işlenebilmektedir.
6331 Sayılı İş Sağlığı ve Güvenliği (İSG) kanunu (İşyeri Hekimliği hizmetleri) kapsamında işlenen kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmaksızın işlenebilmektedir.
- KİŞİSEL VERİLERİN AKTARILMASI
Kanun’un 8. ve 9. maddesi ve ilgili diğer mevzuata uygun olarak yurtiçinde ve/veya yurt dışına kişisel veriler “5N1K ORGANİZASYON” tarafından aktarabilecektedir.
6.1 Kişisel Verilerin Yurt İçine Aktarılması
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı kalmak koşuluyla aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel veriler “5N1K ORGANİZASYON” tarafından yurt içinde aktarılabilecektir.
Kanunlarda açıkça öngörülmesi.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarılmasının zorunlu olması.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın aktarılması yasaktır.
Yeterli önlemler alınmak kaydıyla; yukarıda sayılan özel nitelikli verilerden sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın aktarılabilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilecektir.
6.2 Kişisel Verilerin Yurt Dışına Aktarılması
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak kişisel veriler, bu politikanın 6.1. maddesinde belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilecektir.
6.3 Kişisel Veriler Kimlere Hangi Amaçla Aktarılabilecektir?
KVK Kanunu’nun 8. ve 9. maddelerine ve işbu politikada belirtilen koşullara uygun olarak kişisel verilerin aktarımda bulunulabileceği kişi grupları ve veri aktarım amaçları aşağıdaki tabloda belirtilmiştir.
Üçüncü kişilere veri aktarımı sırasında hak ihlallerini önlemek için gizlilik sözleşmesi yapılarak gerekli teknik ve hukuki önlemler alınmaktadır. Bununla birlikte, kişisel verileri alan üçüncü kişinin veri koruma politikalarından kaynaklanan ve üçüncü kişinin sorumluluğunda meydana gelen ihlallerden “5N1K ORGANİZASYON” sorumlu değildir.
Veri Aktarımı Yapılabilecek Kişiler
Tanımı
Veri Aktarım Amacı
Tedarikçi
5N1K ORGANİZASYON’nın organizasyonu dışında, ancak taraflar arasında yapılan sözleşme doğrultusunda 5N1K ORGANİZASYON’dan alacağı talimatlara uygun olarak hizmet sunan gerçek ve tüzel kişiler 5N1K ORGANİZASYON ile tedarikçi arasında yapılan sözleşme amacına ve mevzuata uygun olarak hizmet sunulabilmesi için
Kanunen Yetkili
Kamu Kurum ve Kuruluşları
5N1K ORGANİZASYON’dan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları Kamu kurum ve kuruluşlarının mevzuattan aldığı yetki ile sınırlı olarak faaliyetlerin mevzuata uygun olarak yürütülebilmesi için
Gerçek ve/veya
Özel Hukuk Tüzel Kişileri
5N1K ORGANİZASYON’dan bilgi ve belge almaya yetkili gerçek ve/veya
Özel Hukuk Tüzel Kişileri
İlgili gerçek ve/veya özel hukuk tüzel kişilerinin hukuki yetkisi ile sınırlı olarak faaliyetlerin mevzuata uygun olarak yürütülebilmesi için
Hissedarlar
5N1K ORGANİZASYON’da hissesi bulunan ortaklar
Ticari faaliyetler kapsamında amaca ve mevzuata uygun olarak hissedarlara veri aktarımının gerekmesi durumunda
Herkese Açık
Ticari faaliyet kapsamında başta potansiyel müşteri olmak üzere tüm kamuoyunu ifade eder.
Ticari faaliyetler kapsamında amaca ve mevzuata uygun olarak veri aktarımının gerekmesi durumunda (Örnek: Web sayfasından müşteri veya çalışanın fotoğrafının yayımlanması)
- KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirket faaliyetleri kapsamında işlediğimiz kişisel verilerinizin ilgili mevzuata uygun olarak muhafaza edilmesi ve güvenliğinin sağlanması için gerekli görülen idari ve teknik tedbirler alınmaktadır. Bu doğrultuda veri ihlali, yetkisiz erişim, veri kaybı, verilerin izinsiz değiştirilmesi ve sair tehditlere karşı uygun teknolojik imkanlardan da yararlanılarak önlem alınmakta ve gerekli denetimler yapılmaktadır. Bütün bu önemlere ve tedbirlere rağmen bir veri ihlali söz konusu olursa, en geç 72 saat içerisinde durum ilgili kişilere ve Kişisel Verileri Koruma Kurumuna bildirilecektir.
Bu kapsamda, mevcut risk ve tehditleri tespit ediyor, çalışanlarımızı eğiterek farkındalık çalışmaları gerçekleştiriyor, kişisel veri güvenliğine ilişkin politika ve prosedürleri belirliyoruz. Şirketimiz tarafından Kanun’un 12. maddesi uyarınca “veri güvenliğini” sağlamaya yönelik alınan idari ve teknik tedbirler Politikanın 7.1. maddesinde belirtilmiştir.
7.1. KİŞİSEL VERİLERİN GÜVENLİĞİ İÇİN ALINAN İDARİ ve TEKNİK TEDBİRLER
Kişisel veri içeren bilgisayarların ağ güvenliği sağlanmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Kişisel verilere erişmeye yetkili kişiler belirlenmiş ve yetki matrisi oluşturulmuştur.
5651 sayılı kanuna uygun bir şekilde uygun erişim logları düzenli olarak tutulmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Kişisel verilerin aktarıldığı kurum ve kuruluşlarla gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri ve güvenlik duvarları bulunmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve kişisel verilerin gizliliği sağlanıp sağlanmadığı kontrol edilmektedir.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Olası kişisel veri ihlallerine ilişkin risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ veya ANONİM HALE GETİRİLMESİ. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ veya ANONİM HALE GETİRİLMESİ
Kanun’un 7. maddesi gereğince hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya veri sahibinin talebi üzerine Şirketimiz kişisel verileri siler, yok eder veya anonim hâle getirir. Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve saklama sürelerinin de sonuna gelinmiş olmasına rağmen kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklama süresi uzayabilir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı sürelerinin sona ermesinden sonra yine kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
8.1 Kayıt Ortamları
Kişisel veriler, Şirketimiz tarafından kişisel bilgisayarlarda, mobil cihazlarda, bilgi güvenliği cihazlarında (firewall, modem), kağıt ve yazılı basılı görsel ortamlarda işlenmektedir.
8.2 Saklamayı Gerektiren Hukuki Sebepler
Şirketimizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir.
Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6102 Sayılı Türk Ticaret Kanunu,
213 Sayılı Vergi Usulü Kanun,
6098 sayılı Türk Borçlar Kanunu,
4734 sayılı Kamu İhale Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
6502 sayılı Tüketicinin Korunması Hakkında Kanun,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu,
5434 sayılı Emekli Sağlığı Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu,
İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği,
Ve ilgili diğer mevzuat
Çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
8.3 Saklamayı Gerektiren İşleme Amaçları
Politikanın 3. maddesinde kurumun veri işleme amaçları başlığı altında açıklanmıştır.
8.4 İmhayı Gerektiren Sebepler
Kişisel veriler Şirketimiz tarafından re’sen veya;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya mülgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirketimiz tarafından kabul edilmesi,
İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu Şirketimizin reddetmesi, ilgili kişinin verilen cevabı yetersiz bulması veya Kanunda öngörülen süre içinde Şirketimizin cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
8.5 Kişisel Verilerin Silinmesi
Kişisel bilgisayarlarda ve elektronik ortamda tutulan kişisel veriler saklama süresi sonuna gelindiğinde ilgili kullanıcı tarafından tekrar geri getirilemeyecek şekilde silinmektedir.
Fiziksel ortamda yer alan kişisel veriler saklama süresi sonuna gelindiğinde ilgili kullanıcı tarafından tekrar geri getirilemeyecek şekilde yırtılır / imha edilir.
8.6 Kişisel Veri Saklama ve İmha Süreleri
Şirketimiz faaliyetleri kapsamında işlenen kişisel verilerin saklama süreleri belirlenirken öncelikle ilgili mevzuat, ilgili mevzuat ile öngörülen bir süre yoksa kişisel veri işleme amacı için gereken makul bir süre esas alınır. Süreç bazında ve veri sahibine göre değişen ayrıntılı saklama sürelerine Şirketimiz kişisel veri envanterinde yer verilmiştir.
Şirketimiz periyodik imha zamanları her yılın Haziran ve Aralık ayı olarak belirlenmiştir. Zamanaşımı süresini kesen ya da durduran herhangi bir hukuki durum olmadığı takdirde, aşağıdaki tabloda belirtilen süreler kadar saklanır ve saklama süresini takip eden ilk periyodik imha tarihinde imha edilir.
VERİ KATEGORİSİ
VERİ SAKLAMA SÜRESİ
KİMLİK İş akdinin son bulma tarihinden itibaren 15 yıl
İLETİŞİM İş akdinin son bulma tarihinden itibaren 15 yıl
LOKASYON Araç satış tarihinden itibaren 5 yıl
ÖZLÜK İş akdinin son bulma tarihinden itibaren 15 yıl
HUKUKİ İŞLEM Hukuki ilişki+ 30 yıl
MÜŞTERİ İŞLEM Hukuki ilişki + 10 yıl
FİZİKSEL MEKAN GÜVENLİĞİ 6 ay
İŞLEM GÜVENLİĞİ 2 yıl
FİNANS Hukuki ilişki + 10 yıl
MESLEKİ DENEYİM İş akdinin son bulma tarihinden itibaren 15 yıl
GÖRSEL VE İŞİTSEL KAYITLAR İş akdinin son bulma tarihinden itibaren 15 yıl
SAĞLIK BİLGİLERİ İş akdinin son bulma tarihinden itibaren 40 yıl
CEZA MAHKUMİYETİ VE GÜVENLİK TEDBİRLERİ İş akdinin son bulma tarihinden itibaren 15 yıl
BİYOMETRİK VERİ İş Akdinin Son Bulma Tarihinden İtibaren 1 Yıl
DİĞER BİLGİLER-ARAÇ BİLGİLERİ 5 yıl
- İNTERNET SİTESİ ZİYARETÇİLERİ
Şirketimiz internet sitelerini ziyaret eden kişilerin site içerisindeki hareketleri, ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek, kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla, Şirketimiz tarafından teknik vasıtalarla kaydedilmektedir. - ŞİRKETİMİZ YERLEŞKESİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
Şirketimiz, tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Şirketimiz, yerleşkesi iç ve dış alanlarında güvenliğin sağlanması amacıyla, Kanun’da sayılan kişisel veri işleme şartlarına ve yürürlükte bulunan ilgili mevzuatta öngörülen amaçlara uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır. Şirketimiz tarafından Kanun’un 10. maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır.
Şirketimiz tarafından kamera ile izleme faaliyetine yönelik olarak; Şirketimizin internet sitesinde işbu Politika yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin aydınlatma beyanı asılmaktadır. Şirketimiz, Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Kişinin mahremiyetini ve güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirketimiz çalışanlarının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
- YERLEŞKE İÇERİSİNDE ZİYARETÇİ GİRİŞ ÇIKIŞLARININ TAKİBİ
Güvenliğin sağlanması ve bu Politikada belirtilen amaçlarla, Şirketimiz yerleşkesinde ziyaretçi giriş çıkışlarının takibine yönelik ve bu amaçla sınırlı olarak kişisel veri işleme faaliyetinde bulunulmaktadır. Şirketimiz yerleşkesine gelen ziyaretçiler, kişisel verileri işlenirken veya uygun yerlerde ziyaretçilerin erişimine sunulan metinler aracılığıyla bu kapsamda aydınlatılmaktadırlar. - VERİ SAHİPLERİNİN AYDINLATILMASI VE VERİ SAHİPLERİNİN HAKLARI
Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesine göre kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları,
konusunda bilgi vermekle yükümlüdür.
Anılan Kanun hükmü uyarınca, veri sorumlusu sıfatıyla “5N1K ORGANİZASYON SAN.VE TİC.LTD.ŞTİ.” tarafından kişisel veri işleme faaliyetinin yürütüldüğü her durumda veri sahiplerinin aydınlatılmasını sağlamak üzere Kurum içi gerekli yapı oluşturulmuştur.
Bu kapsamda;
Kişisel verilerinizin işlenme amacı için lütfen Politikanın 3.2. bölümünü inceleyiniz.
Kişisel verilerinizin aktarıldığı taraflar ve aktarım amacı için lütfen Politikanın 6. Bölümünü inceleyiniz.
Fiziki veya elektronik ortamlarda farklı kanallarla toplanabilen kişisel verilerinizin toplanma yöntemi ve hukuki sebebi için lütfen Politikanın 4. bölüme bakınız.
Kanun’un 11. maddesinde ilgili kişinin hakları düzenlenmiştir. Buna göre herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kanun’un 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Kişisel verilerinizin işlenmesi ile ilgili hususlarda Şirketin internet adresinde bulunan “Kişisel Veri Talep Formunu” doldurarak, formda belirtilen yöntemlerden sizin için uygun olanı ile “kimliğinizi ispatlamak suretiyle” başvuruda bulunabilirsiniz. Yukarıda yer alan haklarınızı kullanmanız ve yukarıda yer alan hususlarda başvuru yapmanız halinde, talebinizin içeriğine göre en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.
Şirketimiz tarafından veri sahibi başvurularına yanıtlar, yazılı olarak veya elektronik ortamda veri sahiplerine bildirilecektir. Başvurunun reddedilmesi halinde ret nedenleri gerekçeli olarak veri sahibine açıklanacaktır.
- KANUN KAPSAMI ve UYGULANMASINA İLİŞKİN KISITLAMALAR
Aşağıda belirtilen durumlar Kanun kapsamı dışındadır:
Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç̧ teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş̧ kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Aşağıda sayılan durumlarda Kurum tarafından veri sahiplerine aydınlatma yapılması gerekmemektedir ve veri sahipleri, zararlarının giderilmesine ilişkin hakları hariç olmak üzere, Kanun’da belirtilen haklarını kullanamayacaklardır:
Kişisel veri işlemenin suç̧ islenmesinin önlenmesi veya suç̧ soruşturması için gerekli olması,
İlgili kişinin kendisi tarafından alenileştirilmiş̧ kişisel verilerin işlenmesi,
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
- YÜRÜRLÜLÜK ve DEĞİŞİKLİK
İşbu Politika, “5N1K ORGANİZASYON” tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Yürürlükteki mevzuat ile bu Politikada yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
“5N1K ORGANİZASYON”, yasal düzenlemelere paralel olarak politikada değişiklik yapma hakkını saklı tutar. Politikanın güncel metnine www.modulermimari.com.tr adresinden erişilebilir.