Şentürkler Veterinerlik Hizmetleri San. Tic. Ltd. Şti
- GİRİŞ
- Amaç
Işbu Kişisel Veri Koruma ve Işleme Politikası (“Politika”), veri sorumlusu sıfatıyla Şentürkler Veterinerlik Hizmetleri San. Tic. Ltd. Şti. (“Şirket”)’nce gerçekleştirilmekte olan kişisel veri işleme ve koruma faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirketimiz; benimsemiş olduǧu temel ilkeler doǧrultusunda; Şirket çalışanları, eski çalışanları, çalışan adayları, stajyerleri, hissedarları, müşterileri, potansiyel müşteri adayları, hizmet saǧlayıcıları, tedarikçileri, şubeleri, grup şirketleri, iş ortakları, bunların yetkilileri ve çalışanları ile ziyaretçiler ve ilgili diǧer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve diǧer ilgili mevzuata uygun olarak işlenmesini, korunmasını ve bu konuda ilgili kişilerin haklarını etkin bir şekilde kullanmasının saǧlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Şirket tarafından bu doǧrultuda hazırlanmış olan Politikaya uygun olarak yerine getirilir. Böylece Şirket, kişisel veri sahiplerini bilgilendirerek ve tüm haklarını ve bunların kullanımına dair başvuru usul ve yollarını göstermekle gerekli şeffaflıǧı saǧlamaktadır. Bu kapsamdaki sorumluluǧumuzun tam bilinci ile kişisel ve özel nitelikli kişisel verileriniz tarafımızca işbu Politika kapsamında işlenmekte ve korunmaktadır.
1.2. Kapsam
Şirket çalışanları, eski çalışanları, çalışan adayları, stajyerleri, hissedarları, müşterileri, potansiyel müşteri adayları, hizmet saǧlayıcıları, tedarikçileri, şubeleri, grup şirketleri, iş ortakları ve bunların yetkilileri ve çalışanları ile ziyaretçiler ve Şirketimizle ilişki kuran diǧer üçüncü kişilere ait otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel veriler bu Politika kapsamındadır. Şirketin sahip olduǧu ya da Şirketçe yönetilen kişisel ve özel nitelikli kişisel verilerin işlendiǧi fiziki, elektronik, internet sitesi ve sosyal medya ortamları gibi tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
KVKK ile bir takım kişisel verilere, hukuka aykırı olarak işlenmesi durumunda kişilerin maǧduriyetine veya ayrımcılıǧa sebep olma riski nedeniyle, özel önem atfedilmiştir. Bu veriler; aşaǧıda Kısaltmalar ve Tanımlar Tablosunda açıklanmış olan özel nitelikli kişisel verilerdir. Şirketimiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin saklanması ve korunması için alınan teknik ve idari tedbirler özel nitelikli kişisel veriler bakımından çok daha özenli uygulanmakta ve bunların işlenmesi konusunda aşaǧıda 4.3. ve 4.5.2. bölümlerinde belirtilen bir kısım ek tedbirler de alınmakta, ayrıca Şirket bünyesinde gerekli denetimler de saǧlanmaktadır.
Bununla birlikte, şirketimiz ile veri sahibi arasındaki ilişkinin türüne ve niteliǧine göre, veri sahiplerine şirketimiz tarafından işbu Politika’dan farklı kişisel veri politikaları ve/veya bildirimler, aydınlatma metinleri saǧlanması mümkündür. Veri sahiplerine saǧlanan söz konusu özel politika ve aydınlatma metinleri/bildirimleri de işbu Politika’da yer alan açıklamalara ek hususlar bulunabilir. Bu halde, veri sahiplerine saǧlanan söz konusu özel politika ve bildirimlerin öncelikle dikkate alınması gerekmektedir. Bunlara ek olarak kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın öncelikle uygulama alanı bulacaǧını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemeyi amaçlamaktadır.
1.3. Kısaltmalar ve Tanımlar
Alıcı Grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldıǧı gerçek veya tüzel kişi kategorisi. |
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Çalışan / Eski Çalışan |
Şentürkler Veterinerlik Hizmetleri San. Tic. Ltd. Şti. personeli/işten ayrılan personeli. |
Çalışan Adayı |
Şentürkler Veterinerlik Hizmetleri San. Tic. Ltd. Şti. ile iş akdi kurulmamış ancak kurulmak üzere deǧerlendirmeye alınan kişiler. |
Elektronik Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiǧi, okunabildiǧi, deǧiştirilebildiǧi ve yazılabildiǧi ortamlar. |
Elektronik Olmayan (Fiziki) Ortam |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diǧer ortamlar. |
Hizmet / Uzmanlık Hizmeti Saǧlayıcı |
Şentürkler Veterinerlik Hizmetleri San. Tic. Ltd. Şti. ile belirli bir sözleşme çerçevesinde bir hizmet veya muhasebe, işyeri saǧlıǧı-güvenliǧi, bilişim gibi uzmanlık hizmeti saǧlayan gerçek veya tüzel kişi. |
Ilgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
Ilgili Çalışan |
Veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldıǧı yetki ve talimat doǧrultusunda kişisel verileri işleyen kişiler. |
Imha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun |
6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduǧu her türlü ortam. |
Kişisel Veri |
Kimliǧi belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri Işleme Envanteri |
Veri sorumlularının iş süreçlerine baǧlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliǧine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin Işlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, deǧiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, |
Kurul |
Kişisel Verileri Koruma Kurulu |
KVKK |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diǧer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliǧi, saǧlıǧı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik Imha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirmeişlemi. |
Politika |
Kişisel Verileri Saklama ve Imha Politikası. |
Stajyer |
Şentürkler Veterinerlik Hizmetleri San. Tic. Ltd. Şti.’nin iş alanıyla alakalı meslek okulu öǧrencilerinden ilgili mevzuat uyarınca istihdam edilenler |
Şirket |
Şentürkler Veterinerlik Hizmetleri San. Tic. Ltd. Şti. |
Veri Işleyen |
Veri sorumlusunun verdiǧi yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiǧi kayıt sistemi. |
Veri Sahibi |
Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
Veri Sorumluları Sicil Bilgi Sistemi (VERBIS) |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diǧer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurulu tarafından oluşturulan ve yönetilen bilişim sistemi. |
VERBIS |
Veri Sorumluları Sicil Bilgi Sistemi |
Yönetmelik |
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
- VERI SORUMLUSU
Kişisel verilerinizle ilgili süreçlerde Şentürkler Veterinerlik Hizmetleri San. Tic. Ltd. Şti. 6698 sayılı Kanun’a göre veri sorumlusu olarak hareket etmektedir. Veri sorumlusu olarak, kişisel verilerinizin işleme amaçlarını ve hangi vasıtalarla işleneceǧini belirleme yetkisi ve sorumluluǧu konumunda bulunmaktayız. Bu kapsamda işbu Politika metni sizi Şirket’in veri işleme amaçları, vasıtaları ve koruma yöntemleri ile ilgili detaylı şekilde bilgilendirmek için hazırlanmıştır.
- SORUMLULUK VE GÖREV DAǦILIMLARI
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan hukuki, teknik ve idari tedbirlerin gereǧi gibi uygulanması, birim çalışanlarının eǧitimi ve farkındalıǧının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının saǧlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliǧini saǧlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Öte yandan Şirketimizce işlenen kişisel veriler ile ilgili, gerek veri sorumlusu sıfatıyla hareket eden veri sorumlusu yetkilisi ve çalışanları, gerekse de Şirketimiz adına aktarım sonucu veri işleyen kişiler, öǧrendikleri kişisel verileri işbu Politika Metni ve KVKK hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük KVKK’nun 12/4. Maddesi uyarınca görevin/işin bitiminden sonra da süresiz/ömür boyu devam eder.
Kişisel verilerin işlenmesi, saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait daǧılım Tablo 1’de verilmiştir.
Tablo 1: Saklama ve imha süreçleri görev daǧılımı
UNVAN |
BIRIM |
GÖREV |
Şirket Kişisel Veri Sorumlusu Yetkilisi |
Şentürkler Veterinerlik Hizmetleri San. Tic. Ltd. Şti |
Çalışanların politikaya uygun hareket etmesinden sorumludur. |
Şirket Genel Müdürü |
Genel Müdür |
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
Şirket Veri Sorumlusu Irtibat Kişisi |
Idari ve Mali Işler Müdürlüǧü |
Politika’nın uygulanmasında ihtiyaç duyulan idari, fiziki ve teknik çözümlerin sunulmasından ve takibinden sorumludur. |
Idari ve Mali Işler |
Diǧer Birimler |
Görevlerine uygun olarak iş bu Politikanın yürütülmesinden sorumludur. |
- KIŞISEL VERILERIN IŞLENMESINE ILIŞKIN HUSUSLAR
- Kişisel Verilerin Mevzuatta Öngörülen Ilkelere Uygun Olarak Işlenmesi (Işlenme Şartları)
4.1.1. Hukuka ve Dürüstlük Kuralına Uygun Işleme
Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde hukuka (yani özellikle KVKK’nun 4. Maddesi vd. ile ilgili diǧer mevzuata aykırı olmayacak şekilde), genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiǧi en az miktar ve ölçüde ve bunlarla sınırlı olarak işlenmektedir.
Belirtilen bu ilke uyarınca Şirketimizce kişisel verilerin işlenmesinde kanunlarla ve diǧer hukuksal düzenlemelerle getirilen ilkelere ve hakkın kötüye kullanılmaması yasaǧına uygun hareket edilmesi zorunluluǧuna özenle uyulmaktadır. Dürüstlük kuralına uygun olma ilkesi uyarınca ayrıca Şirketimiz veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alır. Ilgili kişinin beklemediǧi ve beklemesinin de gerekmediǧi sonuçların ortaya çıkmasını önleyici şekilde hareket eder. Bu ilke uyarınca ayrıca ilgili kişiler için söz konusu veri işleme faaliyeti aynı zamanda şeffaf olarak ve bilgilendirme ve uyarı yükümlülüklerine uygun hareket ederek yerine getirilir.
Yeniden vurgulamak gerekirse Şirketimizce dürüstlük kuralı gereǧi, ilgili kişinin kişisel verisinin ilgili kişiye karşı haksızlıǧa yol açacak şekilde kullanılmaması, ilgili kişinin makul beklentisinin karşılanması ve kişisel verinin toplanma amacının aşılmaması konularına azami dikkat edilmektedir. Yine bu kapsamda örneǧin; veri sahibi ile tesis edilen ilişkinin mahiyetine göre özel hayatın gizliliǧi çerçevesinde makul olmayan verinin, ilgili kişiden talep edilmemesi ve işlenmemesi ve yine Şirketimiz içinde kişisel verilerin gereǧinden fazla çalışan tarafından işlenmemesi şeklindeki dürüstlük kuralının gereklerine uygun hareket edilir.
4.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz kişisel verilerin işlendiǧi süre boyunca doǧru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doǧruluǧunun ve güncelliǧinin saǧlanmasına ilişkin gerekli çalışmaları yapmaktadır. Bu kapsamda; kişisel verilerin elde edildiǧi kaynakların belirli olması ve gerektiǧinde bunların doǧruluǧunun test edilmesi ile kişisel verilerin doǧru olmamasından kaynaklı taleplerin göz önünde bulundurulması gibi konularda gerekli özen gösterilmektedir.
Zira bu ilke KVKK’nda öngörülen ilgili kişinin, verilerin düzeltilmesini talep etme hakkı ile uyumludur. Kişisel verilerin doǧru ve güncel bir şekilde tutulması, Şirketimizin faydasına olduǧu gibi veri sahibinin temel hak ve özgürlüklerinin korunması ve maddi-manevi bir zarara uǧramaması açısından da gereklidir. Örneǧin, iletişim bilgisi yanlış kaydedilen bir kişinin kendisine ait iletileri zamanında alamaması veya yanlış bir kişiye gönderilmesi durumlarında ilgili kişi maddi ve manevi zarar görebilir. Yine bir çalışanımızın çocuk sayısı veya eşinin çalışma durumu bilgilerinin doǧru ve güncel olması asgari geçim indiriminin (AGI) doǧru hesaplanması için önem arz eder. Kişisel verilerin doǧru ve gerektiǧinde güncel olmasının saǧlanması noktasındaki aktif özen yükümlülüǧümüz;
Şirketimizce eǧer bu verilere dayalı olarak veri sahibiyle ilgili bir sonuç ortaya koyulması halinde geçerlidir (Örneǧin, kredi verme işlemleri gibi durumlar). Bunun dışında Şirketimiz veri sorumlusu olarak her zaman ilgili kişinin bilgilerini doǧru ve güncel olmasını temin edecek kanalları açık tutmaktadır.
4.1.3. Belirli, Açık ve Meşru Amaçlarla Işleme
Şirketimiz, kişisel veri işleme faaliyetinden önce gerek fiziksel gerekse de elektronik veri kaydı yapılan mecralarda uygun şekillerde kişisel veri işlenmesiyle ilgili gerekli tüm aydınlatma bildirimlerini ve gerekli hallerde rıza beyanı alma işlemlerini de yerine getirerek veri işlemesi yapmaktadır. Böylece Şirketimizce işlem öncesinde işlenmeye konu kişisel verilerin neler olduǧu, hangi yöntemlerle elde edildiǧi ve işlenme amaçları açık ve kesin olarak ortaya koyulmakta ve yine Şirketimizce yürütülen iş, ticaret ve hizmet faaliyetleri doǧrultusunda bu faaliyetlerle baǧlantılı belirli, açık ve meşru amaçlar kapsamında veriler işlemektedir. Örneǧin, Şirketimizce tüm satış ve müşteri ilişkileri süreçlerinde hiçbir zaman ve şekilde anne kızlık soyadı gibi işimizle ilgisi olmayan bir kişisel veri işlenmemektedir.
Bu kapsamda yine, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olması, kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiǧi ve kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliǧini saǧlayacak detayda ortaya konulması hususları temin edilmektedir. Bu nedenle elde edilen kişisel veriler, verilme amaçları dışında başka amaçlarla veya hiçbir şekilde kötüye kullanılarak işlenmemektedir.
4.1.4. Işlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiǧi nitelikte ve ölçüde toplamakta olup verilme amaçlarıyla sınırlı ve baǧlantılı olarak işlemektedir. Bu kapsamda amaçla baǧlantılı ve sınırlı olma ilkesi gereǧi; işlenen verilerin belirlenen mevcut ve güncel amaçların gerçekleştirilebilmesi için gerekli ve elverişli olmasına, bu şekildeki amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasına özen gösterilmektedir. Zira amaç için gerekli olanın dışında veri işlenmesi, sınırlı tutulma ilkesine aykırılık teşkil edecektir. Örneǧin, bir sempozyuma katılmak için verilen e-posta adresine reklam gönderilmesi sınırlı olma ilkesine aykırıdır.
Ölçülülük ilkesi gereǧi ise; veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması gerektiǧini dikkate almaktayız. Yani veri işleme faaliyetimizi, sadece amacı gerçekleştirecek ölçüde yerine getirmekteyiz. Örneǧin, Şirketimizce hiçbir veri sahibine hiçbir süreçte sosyal hayatına dair tercihleriyle ilgili bilgi sorulmamaktadır.
4.1.5. Ilgili Mevzuatta Öngörülen veya Işlendikleri Amaç için Gerekli Olan Süre Kadar
Muhafaza Etme
Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereǧi olarak ancak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmeleri gereklidir. Bu ilke uyarınca şirketimiz kişisel verileri, belirlenen süre dolduktan, amaç gerçekleştikten ya da veri işleme şartı ortadan kalktıktan sonra, başka bir amaç için kullanma amacıyla veya gelecekte kullanma ihtimalinin varlıǧına dayanarak saklamamakta, gerekli imha yollarına gitmek için gerekli yollara tevessül etmektedir. Örneǧin, belirli bir sürede belirli miktarda ürün alan kişilere ödül verilecek bir kampanyaya katılım için toplanan isim ve araç plaka bilgilerinin, başka herhangi bir işleme şartı yok ise, kampanya bitiminde artık kullanılmaması ve imha edilmesi gibi hususlara özenle uyulmaktadır.
Bu konuda, KVKK’nun 12. maddesinde de belirtildiǧi gibi veri sorumlusu olarak şirketimiz; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını ve gerektiǧinde imhasını saǧlamak amacıyla uygun operasyonel ve güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Belirtilen doǧrultuda, şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediǧini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut deǧil ise kişisel veriler şirketimizin faaliyet alanına göre belirlenmiş saklama süreleri dikkate alınarak verilerin işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak “Kişisel Veri Saklama ve Imha Politikası” metninde bulabilirsiniz.
4.2. Kişisel Verilerin Işlenmesinin Hukuki Sebepleri
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanaǧı aşaǧıda belirtilen şartlardan yalnızca biri olabileceǧi gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanaǧı olabilmektedir. Işlenen verilerin özel nitelikli kişisel veri olması halinde, ayrıca işbu Politika’nın 4.3. ve 4.5.2. bölümlerinde yer alan ek şartlar da uygulanacaktır.
4.2.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması
Veri sahibinin açık rızası, kişisel veri işlenme şartlarından birisidir. Ancak kişisel veri işleme faaliyeti, KVKK’nda bulunan ve aşaǧıdaki devam eden maddelerde belirtilen açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadıǧından ve önceliǧin belirtilen bu rıza dışındaki şartlara tanınması gerektiǧinden dolayı şirketimiz belirtilen kanun hükümlerine dayalı olarak ancak her hal ve şartta aydınlatma yükümlülüǧünü yerine getirerek veri işleme faaliyeti yürütmeye özen göstermektedir.
Belirtilen bu veri işlemeye dair kanun hükümlerinin bulunmadıǧı ya da kişisel veri işlenmesine yeterli şekilde olanak vermediǧi durumlarda kişisel veriler şirketimizce veri sahibinin açık rızasına dayalı olarak işlenmektedir. Bu durumda veri sahibinin açık rızasının belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmış olmasına azami dikkat ve özen gösterilmektedir. Yine açık rızaya dayalı veri işleme esnasında aydınlatma bildirimi bundan baǧımsız olarak ve öncesinde mutlaka yerine getirilmekte, bu şekilde aydınlatılmış biçimde rıza alınma yoluna gidilmektedir. Aynı şekilde veri işlemeye dönük açık rıza alma işlemi herhangi bir mal ya da hizmet sunumunun ön şartı haline getirilmemekte ve açık rıza verilmediǧi takdirde veri sahibinin dezavantajına olacak bir durum içermeyecek şekilde yerine getirilmektedir.
Yeniden vurgulamak gerekirse, aşaǧıda yer alan kişisel veri işleme şartlarından herhangi birinin varlıǧı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler şirketimizce belirtilen bu şartlara dayalı olarak işlenecektir.
4.2.2. Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verilerinin işlenmesi, kanunda açıkça öngörülmekte ise ya da diǧer bir ifade ile Vergi Kanunları, Iş Kanunu, Ticaret Kanunu ve KVKK gibi ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlıǧından söz edilebilecektir. Örneǧin, Iş Kanunu gereǧi çalışanlarımıza ait özlük bilgileri ve dosyasının ya da mali mevzuat gereǧi müşterilerimize ait vergi numaralarının alınması ve tutulması bu kapsama girmektedir.
4.2.3. Fiili Imkânsızlık Sebebiyle Ilgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak ayırt etme gücü bulunmayan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüǧünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneǧin, bilinci kapalı kişinin kişisel saǧlık bilgileri veya rehin alınan kişinin iletişim, konum bilgilerinin işlenmesi bu kapsama girer.
4.2.4. Sözleşmenin Kurulması veya Ifasıyla Doǧrudan Ilgili Olması
Bir sözleşmenin kurulması veya ifasıyla doǧrudan doǧruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması halinde bu amaçla sınırlı olmak üzere verilerin işlenmesi durumunda işbu şart yerine getirilmiş sayılacaktır. Örneǧin, Iş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Hizmet Sözleşmesi vb. gibi hukuki ilişkiler sonucu teslimat yapılması için adres bilgilerinin kaydedilmesi, bunların taşıma şirketine verilmesi veya şirket çalışanından eǧitim durumunu gösteren belge istenmesi gibi haller bu kapsama girmektedir. Yine bir sözleşme gereǧi para ödemesi veya çalışana maaş ödemesi için alacaklı tarafın hesap numarasının alınması veya bir kefalet sözleşmesi yapılması sırasında şirketin, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra borcu olmadıǧına dair belgeyi edinmesi gibi durumlar da buraya örnek verilebilir.
Bazen kişisel veri toplanması işleminin birden çok hukuki sebebi olabilir. Örneǧin, maaş bordrosu düzenlemek amacıyla çalışanların kişisel verilerinin işlenmesinin hukuki dayanaǧı bu madde kapsamına girmekle birlikte, bu durum aynı zamanda aşaǧıda deǧinilecek olan şirketimizin hukuki yükümlülüǧünün yerine getirilmesi sebebini de birlikte oluşturmaktadır.
4.2.5. Şirketimizin Hukuki Yükümlülüklerinin Yerine Getirilmesi
Şirketimizin hukuki sorumluluk ve yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Örneǧin, mali denetimler, güvenlik mevzuatı, sektör odaklı regülâsyonlarla uyum süreçleri gibi durumlar için bilgi paylaşımı zorunluluǧu nedeniyle veri işleme buraya girer. Bu kapsamda, çalışanlarımıza maaş ödemek için banka hesap numarası, evli olup olmadıǧı, bakmakla yükümlü olduǧu kişiler, eşinin çalışıp çalışmadıǧı, sosyal sigorta numarası gibi verilerin elde edilmesi ve işlenmesi bu duruma örnek verilebilir. Şirketimizin vergi denetimi sırasında çalışanlarına veya müşterilerine ait bilgileri ilgili kamu görevlilerinin incelemesine sunması da bu kapsamda deǧerlendirilebilir.
4.2.6. Kiçisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması, yani kendisine ait bilgileri alenileştirme iradesiyle ve belli amaçlarla kullanılmak üzere kamunun bilgisine sunması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir. Bir kişinin kişisel verisinin tesadüfen ya da kaybolma gibi nedenlerle sadece herkesin görebileceǧi bir yerde olması aleni olmasını saǧlamayacaǧından, bu konudaki ayrıntıya dikkat edilerek veri işlenmesi yapılır. Ayrıca, alenileştirme durumunda kişisel verinin amacı dışında da kullanılmaması kuralına uyulmaktadır. Örneǧin, araç alım satımı yapılan internet sitelerinde bulunan ilgili kişilerin iletişim bilgilerinin pazarlama amaçlarıyla kullanılamayacaǧı ve işlenemeyeceǧi hususu göz önünde tutulmaktadır.
Bu duruma örnek olarak bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir. Yine örneǧin, Şirketimizin faaliyet alanıyla ilgili mal ya da hizmet arzı veya talebi içeren bir ilanda bulunan kişinin iletişim bilgileri bu kapsamda kullanmak amacıyla işlenebilecektir.
4.2.7. Bir Hakkın Tesisi veya Korunması için Veri Işlemenin Zorunlu Olması
Şirketimiz açısından yasal yollara başvurmak gibi bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Bu veriler, dava açılması, tescil işlemleri, her türlü tapu işlemi vb. gibi işlerde kullanılması zorunlu verilerdir. Örneǧin, işten ayrılan bir çalışana ait bir kısım kişisel verilerin ve bilgilerin açılacak bir davada delil olarak kullanılması amacıyla 10 yıllık dava zaman aşımı boyunca saklanması buraya girer. Yine benzer şekilde, sözleşme sona erdikten sonra, olası dava veya yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme nüshası, kefaletname gibi belgelerin bu amaçlar için saklanması da bu kapsamda deǧerlendirilecektir.
4.2.8. Şirketimizin Meşru Menfaati için Veri Işlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketimizin mevcut, önemli/ciddi ve meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Bu kapsamda örneǧin, şirketimizce, çalışanlarımızın temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol daǧılımında esas alınmak üzere bu kapsamlardaki kişisel verileri işlenebilecektir. Yine örneǧin, şirketimize ait işyerlerinde güvenlik amacıyla kamera görüntü kaydı yapılması veya çalışanlarımızın baǧlılıǧını artıran ödül ve prim uygulanması amacıyla veri işlenmesi bu kapsamda gerçekleştirilmektedir.
Bu Maddenin uygulanabilmesi için şirketimizin meşru menfaati ile veri sahibinin hak ve özgürlüǧünün zarar görmemesi arasında makul bir denge saǧlanması gerektiǧini göz önünde bulundurmaktayız. Fakat bu deǧerlendirme yapılırken şirketimizin meşru menfaati ile kişisel verileri işleme amacının birbirine karıştırılmaması gerektiǧi de dikkate alınmalıdır. Kişisel verileri işleme amacı, özel olarak verinin işlenme sebebiyle ilgilidir. Ancak buradaki baǧlamda veri sorumlusu olarak şirketimizin meşru menfaati ise gerçekleştirilecek olan veri işleme faaliyeti sonucunda elde edilecek faydaya yönelik bulunması sebebiyle daha geniş yorumlanacak durumda bulunmaktadır.
4.3. Özel Nitelikli Kişisel Verilerin Işlenmesi
Özel nitelikli kişisel veriler şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceǧi yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşaǧıdaki şartların varlıǧı halinde işlenmektedir.
4.3.1. Saǧlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler
Saǧlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunlarda açıkça öngörülmesi; diǧer bir ifade ile ilgili kanunda bu kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
4.3.2. Saǧlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler
Saǧlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise, kamu saǧlıǧının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, saǧlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüǧü altında bulunan personel veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
4.4. Kişisel Veri Sahibinin Aydınlatılması
Şirketimiz, KVKK’nun 10. maddesine ve ikincil mevzuata uygun olarak kişisel veri sahiplerini kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiǧi, hangi amaçlarla kimlerle paylaşıldıǧı, hangi yöntemlerle toplandıǧı ve hukuki sebepleri ile veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduǧu hakları konusunda bilgilendirmektedir.
Söz konusu kişisel verilerin veri sahibi dışında başka bir kişi tarafından şirketimize verilmesi, yani şirketimizle ilişki kuran kişinin başkasına ait verileri kullanılmak üzere vermesi durumunda ise, ilgili üçüncü kişiye yönelik aydınlatma ve gerekirse rıza beyanı alma işlemi, bu verinin ilgili üçüncü kişiyle iletişim kurulması için verilmiş olması halinde belirtilen bu ilk iletişim esnasında, böyle deǧilse söz konusu verinin ilk defa işlenme ya da aktarma faaliyetine maruz tutulacaǧı esnada yapılır.
Yukarıdaki paragrafta belirtilen hallere örnek olarak; başkasının kredi kartı ile mal ya da hizmet almak isteyen müşteri, çalışanların işe alınması için referans mektubu gönderen kişiler ya da AGI gibi ek- sosyal ödeme için kimlik bilgileri alınan çalışan yakınları gibi durumlar gösterilebilir.
4.5. Kişisel Verilerin Aktarılması
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doǧrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (uzman hizmet saǧlayıcılarımıza, tedarikçilere, şubelere, grup şirketlerimize, hissedarlarımıza, iş ortaklarımıza ve bunların yetkilileri ve çalışanları ile kanunen yetkili kurum ve kuruluşlara) aktarabilmektedir. Şirketimiz bu doǧrultuda KVKK’nun 8. ve 9. maddelerinde öngörülen düzenlemelere uygun olarak hareket etmektedir.
4.5.1. Kişisel Verilerin Aktarılması
Kişisel veri sahibinin açık rızası ile ya da bu olmasa dahi aşaǧıda belirtilmiş bulunan KVKK’nun 8. vebmaddelerinde düzenlenen yasal şartlardan bir ya da birkaçının mevcut olması halinde şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
- Kişisel verilerin şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doǧrudan doǧruya ilgili ve gerekli olması,
- Kişisel verilerin aktarılmasının şirketimizin hukuki yükümlülüǧünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde şirketimiz tarafından aktarılması,
- Kişisel verilerin şirket tarafından aktarılmasının şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüǧünü koruması için zorunlu olması.
Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduǧu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlıǧı halinde aktarılabilecektir. Yeterli korumanın ya da bu konuda ilanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doǧrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiǧi ve Kurul’un izninin/onayının bulunduǧu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduǧu Yabancı Ülke”) aktarılabilecektir. Ancak bu Politikanın yürürlüǧe girdiǧi tarih itibariyle şirketimizde yurtdışına kişisel veri aktarma faaliyetimiz bulunmamaktadır.
4.5.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel veriler şirketimiz tarafından, yukarıdaki maddede belirtilenlere ek olarak, KVKK’nun 8 ve 9. Maddeleri ile Kurul’un belirleyeceǧi yöntemler de dâhil olmak üzere; işbu Politika’da belirtilen ilkelere uygun olarak gerekli her türlü idari ve teknik tedbirler alınarak ve aşaǧıdaki şartların varlıǧı halinde aktarılabilecektir:
- Saǧlık ve cinsel hayat dıçındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diǧer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenip aktarılacaktır. Aksi halde veri sahibinin açık rızası alınacaktır.
- Saǧlık ve cinsel hayata iliçkin özel nitelikli kişisel veriler, kamu saǧlıǧının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, saǧlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüǧü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenecek ve aktarılacaktır. Aksi halde veri sahibinin açık rızası alınacaktır.
Yine yukarıdakilere ek olarak özel nitelikli kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkeye yukarıdaki şartlardan herhangi birinin varlıǧı halinde aktarılabilecektir. Yeterli korumanın ya da bu konuda ilanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doǧrultusunda, Kurul’un da onayı üzerine, Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduǧu Yabancı Ülke’lere aktarılabilecektir. Ancak bu Politikanın yürürlüǧe girdiǧi tarih itibariyle şirketimizde yurtdışına özel nitelikli kişisel veri aktarma faaliyetimiz bulunmamaktadır.
- KIŞISEL VERILERIN IŞLENDIǦI ÖZEL DURUMLAR
- Şirketimize Ait Fiziksel Mekânlarda Güvenlik Amacıyla Yapılan Kişisel Veri Işleme Faaliyetleri
5.1.1. Bina ve Tesis Girişleri Ile Bunların Içerisinde Yapılan Kişisel Veri Işleme Faaliyetleri
Şirketimize ait merkez ve şubelere ait hizmet binaları ile bunların eklentileri ve depo gibi tüm fiziksel mekânlarda yapılan veri işleme faaliyetleri bu kapsama girmektedir. ?irket tarafından, belirtilen fiziksel mekânlarda, çalışanların, müşterilerin, potansiyel müşterilerin, ziyaretçilerin, şirket yetkililerinin, hissedarların ve misafirlerin ve diǧer 3. kişilerin giriş ve çıkışları, güvenlik amacıyla ve muhtemel bir adli vakada, adli makamlara ve kolluk görevlilerine delil olması amacıyla, çalışanların ve diǧer kişilerin giriş çıkışının kontrolü, can ve mal güvenliǧinin de saǧlanması amacıyla 7 gün 24 saat kapalı devre kamera sistemleri ile izlenmekte ve kayıt altına alınmak suretiyle, kişisel veri niteliǧindeki bu görüntü kayıtları işlenmektedir. Aynı sistem şirketin hizmet binalarının eklentileri ve/veya depo olarak kullandıǧı alanların da giriş çıkışında konumlandırılmış olup kişisel veri olarak işlenmektedir.
5.1.2. Kamera ile Izleme Faaliyetinin Yasal Dayanaǧı
Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Işyeri Açma ve Çalışma Ruhsatlarına Ilişkin Yönetmelik, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili diǧer mevzuata uygun olarak sürdürülmektedir.
Yine Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVKK’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirket bina ve tesislerinde güvenliǧin saǧlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVKK’nda sayılan kişisel veri işleme şartlarına uygun olarak kapalı devre güvenlik kamerası izleme faaliyetinde bulunmaktadır.
5.1.3. Kamera Ile Izleme Konusunda Bilgilendirme
Şirketimiz tarafından KVKK’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. Bu konuda 6698 sayılı Kanun ve ilgili mevzuata uygun aydınlatma metinleri ve uyarı levhaları görülebilir şekilde izlenen alanlarda konumlandırılmıştır. Şirketimiz genel hususlara ilişkin olarak yaptıǧı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflıǧın ve kişisel veri sahibinin aydınlatılmasının saǧlanması amaçlanmaktadır.
Yine şirket tarafından kamera ile kişisel veri işlenmesine yönelik olarak; internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldıǧı alanların girişlerine izleme yapılacaǧına ilişkin bildirim yazısı ve işaretler asılmaktadır (yerinde aydınlatma, katmanlı aydınlatma).
5.1.4. Kamera ile Izleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
Şirketimiz, KVKK’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla baǧlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doǧrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacaǧı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doǧurabilecek alanlar izlemeye tabi tutulmamaktadır.
5.2. Şirketin Internet Sitesi ve Internet Erişimi Saǧladıǧı Kullanıcılarına Ilişkin Bilgilerin Işlenmesi
5.2.1. Şirketin Internet Sitesi Kullanıcı Bilgilerinin Işlenmesi
Şirketin sahibi olduǧu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla IP bilgileri ve teknik vasıtalarla (Örn. Cookie/çerezler gibi) site içerisindeki internet hareketleri kaydedilebilmektedir. Şirketin yapmış olduǧu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar //www.mamadeposu.com.tr/ internet sitesinde bulunan “Gizlilik ve Çerez Politikası” metni içerisinde yer almaktadır.
5.2.2. Şirketin Internet Erişimi Saǧladıǧı Kullanıcılara Ilişkin Bilgilerin Işlenmesi
Şirketimiz tarafından müşteri, çalışan, potansiyel müşteri, misafirler ve benzeri gibi üçüncü kişilerin şirket merkez ve şube binaları ile bunların eklentileri veya depolarında kaldıǧı süre boyunca Şirketimiz tarafından ücretsiz şekilde saǧlanan internet erişimlerini kullanmaları halinde, buna ilişkin internet erişimi baǧlantısı için girilen bilgiler ile IP ve LOG kaydı ve diǧer trafik bilgileri 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınabilmektedir. Bu çerçevede elde edilen bilgilere yalnızca sınırlı sayıda şirket çalışanlarının erişimi bulunmaktadır.
Bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya bilgi güvenliǧinin saǧlanması için şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüǧümüzü yerine getirmek ve/veya hukuki haklarımızın korunması ve savunma haklarının tesisi amacıyla işlenmekte ve uzman hizmet saǧlayıcılarımız hariç, üçüncü kişilerle paylaşılmaktadır.
- ŞIRKETIMIZCE IŞLENEN KIŞISEL VERILERIN KATEGORIZASYONU VE IŞLENME, PAYLAŞILMA AMAÇLARI
Şirketimiz nezdinde, KVKK’nun 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin kişisel veri işleme amaçları doǧrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin KVKK’nun 4. maddesinde belirtilen genel ilkeler ve şartlar olmak üzere KVKK’nda belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir.
Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri kategorileri ve açıklamaları aşaǧıdaki Tabloda düzenlenmiş ve gösterilmiştir:
Tablo 2: Kişisel veri kategorileri
KIŞISEL VERI KATEGORILERI |
AÇIKLAMA |
Kimlik Bilgisi |
Kişinin kimliǧine dair bilgilerin bulunduǧu kişisel verilerdir; ad-soyad,T.C. kimlik numarası, uyruk bilgisi, medeni durum, anne adı-baba adı, doǧum yeri, doǧum tarihi, yaşı, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler. |
Iletişim Bilgisi |
Iletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası gibi kişisel veriler. |
Lokasyon Verisi |
Şirket araçları ve cihazları kullanılırken bulunulan yerin konumunu tespit eden kişisel veriler; GPS lokasyonu, seyahat verileri vb. |
Çalışan, Eski Çalışan, Çalışan Adayı, Stajyer Bilgisi |
Şirket çalışanlarına, eski çalışanlarına, çalışan adaylarına ve stajyerlerine ilişkin geçerli mevzuat ve ticari teamül kuralları gereǧi işlenen yazılı, görsel, elektronik ortamlardaki kişisel veriler. |
Aile Bireyleri ve Yakın Bilgisi |
Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde,Şirketin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneǧin; çalışanlarımıza ilişkin yan haklar açısından eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler. |
Fiziksel Mekân Güvenlik Bilgisi |
Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar v.b. |
Işlem Güvenliǧi Bilgisi |
Şirketin faaliyetlerini yürütürken gerek veri sahibinin gerekse Şirket’in teknik, idari, hukuki ve ticari güvenliǧinin saǧlanması için işlenen, Şirketçe saǧlanan internet erişimi ve web trafik bilgileri, güvenlik kamerası görüntü ve çaǧrı merkezi ses kayıtları gibi kişisel veriler. |
Risk Yönetimi Bilgisi |
Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kurallarına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel veriler. |
Finansal Bilgi |
Şirket ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlıǧı verisi, gelir bilgisi gibi kişisel veriler. |
Hukuki Işlem ve Uyum Bilgisi |
Şirketin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükler ve Şirket politikalarına uyum kapsamında işlenen kişisel veriler. |
Denetim ve Teftiş Bilgisi |
Şirketin kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler. |
Özel Nitelikli Kişisel Veri |
Kanunu’nun 6. maddesinde belirtilen veriler (örneǧin; kan grubu da dahil saǧlık verileri, adli sicil kaydı bilgisi gibi). |
Talep/Şikâyet Yönetimi Bilgisi |
Şirkete yöneltilmiş olan her türlü talep veya şikâyetin alınması ve deǧerlendirilmesine ilişkin çaǧrı merk. ses kaydı dâhil diǧer kişisel veriler. |
Itibar Yönetimi Bilgisi |
Kişiyle ilişkilendirilen ve Şirketin ticari itibarını korumak maksatlı toplanan kişisel veriler (örneǧin; Şirket ile ilgili yapılan paylaşımlar). |
Olay Yönetimi Bilgisi |
Kişisel veri sahibiyle ilişkilendirilen ve Şirket çalışanlarını, hissedarlarını etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve deǧerlendirmeler (örneǧin; kamuoyunun doǧru yönetilmesine ilişkin toplanan bilgiler, deǧerlendirmeler gibi). |
Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri işleme amaçları aşaǧıdaki Tabloda gösterilmiştir:
Tablo 3: Kişisel veri işleme amaçları
ANA AMAÇLAR |
IKINCIL AMAÇLAR |
Şirketimizin ticari politikalarının tespiti, planlanması ve uygulanması |
1. Şirket içi veya dışı eǧitim faaliyetlerinin planlanması ve icrası 2. Şubeler, müşteriler, iş ortakları ve tedarikçilerle olan mali, muhasebesel ve finansal işlemlerin yürütülmesi,risk yönetiminin gerçekleştirilmesi, |
Şirketin Insan Kaynakları Faaliyetlerinin Tasarlanması ve Yürütülmesi |
1. Insan kaynakları ve çalışan temin süreçlerinin planlanması ve yürütülmesi 2. Stajyer öǧrenci temin, yerleştirmesi ve operasyon süreçlerinin planlanması ve icrası 3. Şirket çalışanları için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi 4. Çalışanların iş faaliyetlerinin takibi ve denetimi 5. Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası 6. Çalışan çıkış işlemlerinin planlanması ve icrası 7. Çalışanların performans deǧerlendirme süreçlerinin planlanması ve takibi 8. Şirket içi eǧitim faaliyetlerinin planlanması ve icrası 9. Iş ortakları ve tedarikçilerle olan ilişkilerin yönetimi 10. Ücret yönetimi 11. Şirket içi oryantasyon aktivitelerinin planlanması ve icrası |
Şirketin Yürüttüǧü Ticari Faaliyetlerin Mevzuata ve Şirket Politikalarına Uygun Olarak Yerine Getirilmesi Için Şirket Bünyesindeki Iş Birimleri Tarafından Gerekli Çalışmaların Yapılması ve bu Doǧrultuda Faaliyetlerin Yürütülmesi |
1. Finans ve muhasebe işlerinin takibi 2. Yatırımcı ilişkilerinin yürütülmesi 3. Kurumsal iletişim faaliyetlerinin planlanması ve icrası 4. Iş faaliyetlerinin etkinlik/verimlilik ve yerindelik analizlerinin gerçekleştirilmesi planlanması ve icrası 5. Etkinlik yönetimi 6. Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi 7. Bilgi güvenliǧi süreçlerinin planlanması, denetimi ve icrası 8. Iş sürekliǧinin saǧlanması faaliyetlerinin planlanması ve icrası 9.Iş ortakları ve tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası |
Şirketin insan kaynakları faaliyetlerinin tasarlanmasına, planlanmasına ve icrasına destek olunması |
1. Şirketin insan kaynakları stratejilerinin planlanması konusunda destek olunması 2. Şirket çalışanlarının transfer, geçici görevlendirme, terfi ve işten ayrılmalarının takibi ve duyurulması 3. Şirket çalışan baǧlılıǧının ölçümlenmesi süreçlerinin planlanması ve yürütülmesine destek olunması 4. Şirket çalışan temin süreçlerine destek olunması |
Şirketin ticari itibarının ve oluşturduǧu güvenin korunması |
1. Talep ve şikâyet yönetimi 2. Şirket deǧerlerinin itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi |
Şirketimiz KVKK’nda yer alan ilkelere ve özellikle 6698 sayılı Kanunu’nun 8. ve 9. maddelerine uygun olarak işbu Politika kapsamı dâhilindeki kişisel verilerin aktarımını/paylaşılmasını aşaǧıda sıralanan alıcı kişi gruplarına yine aşaǧıdaki Tabloda belirtilen amaçlarla yapar:
Tablo 4: Kişisel veri aktarımında bulunulan taraf kategorileri ve aktarım amaçları
VERI AKTARIMI YAPILAN KIŞILER |
TANIMI |
VERI AKTARIM AMACI |
Hissedarlar, Grup Şirketleri, Iş Ortakları ve Yetkili ve Çalışanları |
Şirketin ortaǧı ve ticari faaliyetlerinin yürütülmesi gibi amaçlarla grup içi veya dışında iş ortaklıǧı / birliǧi kurduǧu taraflar |
Iş ortaklıǧı / birliǧinin kurulma ve yürütülme amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçi veya Hizmet Saǧlayıcıları, Uzman Hizmet Sunucuları Ile Bunların Yetkili ve Çalışanları |
Şirketin ticari faaliyetlerinin yürütülmesi kapsamında, şirketin talimatlarına uygun ve sözleşme temelli olarak Şirkete mal veya hizmet sunan taraflar |
Şirket’in tedarikçiden dış kaynaklı olarak temin ettiǧi ve Şirket’in iş, ticari faaliyetlerini yerine getirmek için gerekli mal ve hizmetler ile Muhasebe, Bilişim ve Hukuk gibi uzmanlık hizmetlerinin Şirket’e sunulmasını saǧlamak amacıyla sınırlı olarak |
Şubeler |
Şirketin ticari faaliyetlerini bulundukları bölgede şirketin talimatıyla baǧlı olarak yürüten Şirket’e ait şubeler |
Şirket’in şubelerinin ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
Ilgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları |
Ilgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiǧi amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri |
Ilgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk Kişileri |
Ilgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiǧi amaçla sınırlı olarak |
- KIŞISEL VERILERIN SAKLANMASI VE IMHASI
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduǧu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediǧini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut deǧil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme, yok etme veya anonimleştirme) ile imha edilmektedir.
Şirketimizce işlenen kişisel verilerin saklanması ve imhası konusuyla ilgili söz konusu verilerin tutulduǧu kayıt ortamları, güvenli şekilde saklanmasına ve korunmasına ilişkin alınan tüm teknik ve idari tedbirler, saklama ve imhayı gerektiren hukuki sebeplere ilişkin açıklamalar, süreç bazında kişisel veri saklama süreleri ve periyodik imha süreleri ile imha teknikleri gibi hususlara ilişkin detaylı ve gerekli tüm açıklamaları Şirketimize ait //www.mamadeposu.com.tr/ internet sitesinde erişime açık bulunan “Kişisel Veri Saklama ve Imha Politikası” metninde bulabilirsiniz.
- GIZLILIK
Şirketimiz kişisel verilerinizi, iş bu Politika’da ve //www.mamadeposu.com.tr/ internet sitemizde yayınlanan “Kişisel Veri Aydınlatma Metni” ile diǧer özel aydınlatma metinlerinde yazılı kişi veya kurumlar dışında yetkisiz üçüncü kişilere KVKK’nun 8 ve 9. maddesindeki istisnalar dışında hiçbir şekilde ve açık rızanız olmadan aktarmaz ve açıklamaz. Şirketimizce işlenen kişisel verilerinize, sadece sır saklama yükümlülüǧü ve gizlilik sözleşmesi olan Şirketimiz yetkili personelleri erişebilirler.
Şirketimiz internet sitesinde kişi kimliklerini açıklamadan, istatistiksel bilgileri (tarayıcı tipi, coǧrafi konum vb.) web sitesini iyileştirmek ve genel olarak etkin ve verimli çalışma için istatistik elde etmek amacıyla meşru menfaati gereǧi kullanabilir. Bu bilgiler, hiçbir şekilde üçüncü kişilere açıklanmaz. Ancak, yasal zorunluluk nedeniyle ve/veya resmi mercilerin talepleri karşısında işbu Politika’da ve Aydınlatma Metninde yazılı olan ilgililerle paylaşabilir.
Şirketimiz internet sitemizdeki baǧlantılar aracılıǧıyla gideceǧiniz diǧer sitelerin Şirketimizin Gizlilik Ilkeleri'ne uyacaǧını garanti etmez; bu nedenle kişisel olarak belirlenebilir herhangi bir bilgi vermeden önce, gittiǧiniz sitelerin gizlilik yaklaşımlarını deǧerlendirmeniz gerekmektedir.
Şirketimiz kişisel verilerinizin 6698 sayılı Kanuna, Aydınlatma Metnine ve iş bu politika hükümlerine aykırı olacak şekilde açıklanmaları ve aktarımını, bu verilere erişimin saǧlanmasını ve meydana gelebilecek diǧer güvenlik eksikliklerinden kaynaklanan işlemleri önlemek adına, imkânlar dâhilindeki ve korunacak kişisel verinin niteliǧine göre gerekli her türlü tedbiri almaktadır.
- KIŞISEL VERI SAHIPLERININ HAKLARI VE BU HAKLARIN KULLANILMASI
- Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri Kanun’un 11. Maddesine göre aşaǧıda yer alan haklara sahiptirler:
- Kişisel verilerinizin işlenip işlenmediǧini öǧrenme,
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öǧrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldıǧı üçüncü kişileri bilme,
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK’nun 7 nci maddesinde öngörülen şartlar çerçevesinde, yasal şekilde işlenmiş bulunan kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde silinmesini veya yok edilmesini isteme,
- (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldıǧı üçüncü kişilere bildirilmesini isteme,
- Işlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
ǧ) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uǧramanız hâlinde zararın giderilmesini talep etme.
- Kişisel verilerinizin işlenmesine ilişkin rıza beyanınızı ve tarafınıza elektronik ticari ileti gönderilmesine ilişkin verdiǧiniz onayınızı istediǧiniz her an hiçbir sebep göstermeksizin durdurma ve geri
9.2. Haklarınız Kapsamında Şirketimize Başvuru Yolları
Yukarıda belirtilen haklarınızın kullanılması kapsamındaki taleplerinizi //www.mamadeposu.com.tr/ sayfasından ulaşacaǧınız “Kişisel Veri Sahibi Başvuru Formu”nu doldurmak ve imzalamak suretiyle Şirketimizin Çengeldere Mah. Polonez Yolu Caddesi no:64/2 Çavuşbaşı 34830 Beykoz / İstanbul adresine kimlik tevsiki ile başvurarak ya da Noter aracılıǧı yazılı şekilde ya da üyeliǧinizin teyit edildiǧi-güvenli elektronik posta üzerinden [email protected] adresine e-posta olarak iletebilirsiniz.
Talebinizin niteliǧine göre mümkün olan en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.
- POLITIKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâǧıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâǧıt nüshası da şirket ilgili Çalışanı olan Kişisel Veri Sorumlusu Irtibat Kişisi tarafınca tutulacak dosyasında saklanır.
- POLITIKA’NIN GÜNCELLENME PERIYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
- POLITIKANIN YÜRÜRLÜǦÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Şirketimiz tarafından düzenlenen bu Politika 02/02/2020 tarihlidir. Politika, Şirketimizin //www.mamadeposu.com.tr/ internet sitesinde yayınlanmasının ardından yürürlüǧe girmiş ve kişisel veri sahiplerinin erişimine açık hale gelmiş kabul edilir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda yürürlük tarihi güncellenecektir.
Politika’nın yürürlükten kaldırılmasına karar verilmesi halinde, ıslak imzalı eski nüshaları Şirket Veri Sorumlusu Yetkilisi Kararı ile Şirket Genel Müdürlüǧü tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve 10 yıl süre ile Şirket Ilgili Çalışanı olan Kişisel Veri Sorumlusu Irtibat Kişisi tarafınca tutulacak dosyasında saklanır.