1. POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI
6698 Sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin anayasal bir hak olmasının ardından yürürlüğe girerek; kişisel verilerin işlenmesi aşamasında özel hayatın gizliliği ilkesini muhafaza etmek ve temel hak ve özgürlüklerin zarar görmemesi adına geliştirilmiş bu konu hakkında usul ve esasları gösteren hukuki bir koruma mekanizmasıdır.
6698 Sayılı Kanunun (‘KVKK’ ya da ‘Kanun’) 16.maddesi gereğince Veri Sorumluları Siciline kayıtlı olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel verilerin korunması ve işlenmesi politikası hazırlama yükümlülüğü vardır.
İşbu Kişisel Verilerin Korunması ve İşlenmesi politikası, Öznur Savunma Havacılık Ve Makina Sanayi Ticaret Limited Şirketi veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin, 6698 sayılı Kanun ve sair mevzuatı uyarınca kişisel verilerin korunması ve işlenmesine ilişkin tarafımızca uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
1.1. VERİ SORUMLUSU
Şirket olarak kişisel verilerinizi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan sonra “KVKK” olarak anılacaktır.) ve ilgili sair mevzuat kapsamında, veri sorumlusu sıfatı ile işlediğimizi tarafınıza bildiriyoruz.
UNVAN : Öznur Savunma Havacılık Ve Makina Sanayi Ticaret Limited Şirketi
ADRES : Ahi Evran Mahallesi Anadolu Caddesi 100635 Ada 23 Parsel No:19 Sincan/ANKARA
İLETİŞİM : oznur@oznursavunma.com.tr
1.2. TANIMLAR
Sicil, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilidir.
Açık Rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay beyanıdır.
Veri Kayıt sistemi, kişisel verilerin belirli bir kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
1.3. KİŞİSEL VERİLERİ KORUMA KANUNUN VE YÖNETMELİĞİN TANIMLADIĞI ÖZNELER
Veri Sorumlusu , kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
İlgili Kullanıcı (İrtibat Kişisi ), verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Alıcı Grubu, veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
İlgili Kişi, kişisel verisi işlenen gerçek kişidir.
Envanter, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami saklama süresini (kanuna ve teamüllere uygun), yabancı ülkelere aktarımı öngörülen veya öngörülmeyen kişisel verileri ve veri güvenliğine ilişkin alınan idari ve teknik tedbirleri açıklayarak detaylandırdıkları envanteri simgeler.
Envanter hazırlama yükümlülüğü getirilmesinin nedeni; veri sorumlularının faaliyetlerine bağlı tüm süreçlerinde Kanuna uyumunun sağlanması, başka bir ifadeyle Kanuna aykırı bir kişisel veri işleme durumu olup olmadığının kolayca tespitinin sağlanmasıdır. Böylelikle kişisel veri işleme faaliyetlerinin Kanuna uyumu ile ilgili veri sorumlusu bir tür kendi kendini denetleme işlemi gerçekleştirebilecektir.
Veri Sorumluları Sicili Hakkında Yönetmeliğe göre; Veri Sorumlusu Merkez olarak envanterde asgari olarak aşağıdaki hususlar yer almaktadır. Şöyle ki;
- Veri Kategorisi,
- Kişisel veri işleme amaçları
- Hukuki sebebi,
- Aktarılan alıcı/ alıcı grupları,
- Veri konusu kişi grupları,
- Kişisel verilerin işlendikleri amaçlar için gerekli olan azami saklama süresi,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Veri güvenliğine ilişkin alınan idari ve teknik tedbirler ele alınmıştır.
2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirket olarak kişisel verilerin tamamen veya otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, kişisel verilerin işlenmesi olarak kabul etmekteyiz.
Kişisel verilerin işlenme şatları ise Kanunun 5.maddesinde açık olarak sayılmıştır. Buna göre hareket edip, aşağıdaki hallerden en az birinin bulunması durumunda kişisel verileri kanunen işlemekteyiz. Şöyle ki;
· İlgili kişinin açık rızasının varlığı,
· Kanunlarda açıkça öngörülmesi,
· Fiili imkânsızlık nedeniyle rızası açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· İlgili kişinin kendisi tarafından alenileştirilmiş olması,
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olmasıdır.
Yukarıda sayılmış olan kişisel verilerin işlenme şartları, bir diğer anlamda hukuka uygunluk halleri, Kanunda sayma yolu ile belirlenmiştir. Bu sebeple bu şartlar genişletilemezdir. Şirket olarak, yukarıda saymış olduğumuz şartlar çerçevesinde veri işlemekteyiz.
2.1 AÇIK RIZA
Veri Sorumlusu olarak, Şirket de yapılan veri işleme faaliyetinin gerçekleştirilmesinde öncelikle diğer veri işleme şartlarından birine dayanılıp dayanılamayacağını değerlendirip, bunlardan hiçbirisi yoksa ilgili kişinin açık rızasının alınması yoluna başvurmaktayız.
2.2 KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ
Veri işleme şartlarından biri de kanunlarda açıkça öngörülmesidir. Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm veri işleme şartını oluşturacaktır. Envanter kaydında ele almış olduğumuz, ilgili mevzuat ve yönetmelikler de yer alan yasal maddeler.
2.3 FİİLİ İMKÂNSIZLIK HALİ
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
2.4 SÖZLEŞMENİN KURULMASI VE İFASI İÇİN GEREKLİ OLMASI
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişinin bu amaçlarla sınırlı olmak kaydıyla alınmış olan verilerin işlenmesi mümkündür.
2.5 VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ İÇİN ZORUNLU OLMASI
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde ilgili kişinin kişisel verileri işlenebilecektir. Örneğin Şirket, çalışanlarına maaş ödemek, acil durumlarda yakınlarına ulaşabilmek için kimlik verisi olarak adlandırılan, isim – soy isim ve adres gibi verilerin elde edilmesi ve işlenmesi durumu bu metne örnek olarak verilebilir. Aynı zamanda yetkili kurum veyahut kuruluşlardan çalışanlarımız için talep edilen verilerini sunmamız da bu kapsamda değerlendirilmektedir.
2.6 KİŞİSEL VERİLERİN İLGİLİ KİŞİ TARAFINDAN ALENİLEŞTİRİLMİŞ OLMASI
İlgili kişinin herhangi bir şekilde kamuoyuna açıklamış olduğu kişisel veriler işlenebilecektir. Örnek olarak; bir kişinin kendisi ile iletişime geçilmesi veyahut işe kabul almak için kendi bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Ancak bu kişisel verilerin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Alenileştirme iradesinin varlığı gerekmektedir.
2.7 KİŞİSEL VERİLERİN İŞLENMESİNİN BİR HAKKIN TESİSİ VEYA KULLANILMASI İÇİN ZORUNLU OLMASI
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi mümkündür. Aynı zamanda Şirket olarak sözleşmeler sona erdikten sonra, olası yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme gibi belgelerin bu amaçlar için saklanması bu kapsamda değerlendirilecektir.
2.8 VERİ İŞLEMENİN İLGİLİ KİŞİNİN TEMEK HAK VE ÖZGÜRLKLERİNE ZARAR VERMEMEK KAYDIYLA MEŞRU MENFAAT KAPSAMINDA VERİ SORUMLUSU İÇİN ZORUNLU OLMASI
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile, veri sorumlusu olan şirketin meşru menfaatleri kapsamında, veri işlenmesinin zorunlu olması halinde kişisel verilerin işlenmesi mümkündür. Veri işleme işlemi, veri sorumlusu olan şirketin meşru menfaatini korumak adına zorunlu olabilmektedir. Örneğin, Çalışanlarımızın İş Kanunu hükümleri kapsamında temel hak ve özgürlüklerine zarar vermemek kaydıyla maaş zamanları, işe giriş-çıkış zamanları vs. durumlarında çalışanlarımızın kişisel verilerinin işlenmesi veri sorumlusunun meşru menfaati kapsamında değerlendirmekteyiz.
3.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞİKİN TEMEL İLKELER
Kişisel verilerin işlenmesi konusunda hukuka uygun bir işleme faaliyetinin söz konusu olabilmesi için belirli unsurlar ve sınırlamalar mevcuttur. Kişisel verilerin korunması hakkının somut olarak korunabilmesi ve kişisel verilerin meşru bir şekilde işlenebilmesi için belirli ilkeler belirlenmiştir.
Ülkemizde 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin işlenmesi ve işlenmesinin şartları düzenlenme altına alınmıştır. Avrupa’da yürürlüğe girmiş olan GDPR madde 5’te düzenlenen ilkeler, 6698 Sayılı Kanunumuzun 4.maddesinde düzenlenen ilkelerin karşılığıdır. Bu ilkeler, 108 Sayılı Sözleşmeye ve 95/46/EC Sayılı Avrupa Birliği Direktifine paralel şekilde düzenlenmiştir.
Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunladır:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektirdiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta ve teamüllerce öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
6698 Sayılı Kanunumuzun 4.maddedesinde yer alan genel ilkelere uygun düşmediği sürece yapılan işleme faaliyeti hukuka uygun olmayacaktır.
3.1 Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi
Hukuka ve dürüstlük kurallarına uygun olma, kişisel verilerin işlenmesinde kanunlarla, yönetmeliklerle ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğu ifade etmektedir.
Dürüstlük kuralına uygun olma ilkesi uyarınca Veri Sorumlusu Şirket olarak, ilgili kişilerin çıkarlarını ve makul beklentilerini her zaman korumaktayız.
3.2 Doğru ve Gerektiğinde Güncel Olma İlkesi
Kişisel verilerin korunabilmesi için, paylaşılan verilerin doğru ve güncel olması gerekmektedir. Bu verileri doğru ve güncel tutmak yükümlülüğümüzde olduğu gibi, veri sahibinin de verilerde meydana gelen değişikliği bildirmesi gibi bir yükümlülüğün olabileceğinin bilinmesi gerekmektedir.
3.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
Veri işleme faaliyetinde bulunanların neyi, nasıl açıkladığını ve nasıl işlendiğini tanımlayan bir ilkedir. Bu işleme faaliyeti ticari sır ve benzeri hususlar ayrık kalmakla birlikte açık olmalı ve sadece meşru amaçlar çerçevesinde olmalıdır. Bahsedilen çerçeve, kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin, gerçekleştirilme amacının belirliliğini sağlayacak detaylara haiz olmalıdır.
Bu itibarla Veri Sorumlusu Şirket olarak, kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama vb.) belirlilik ve açıklık ilkesine uyulduğundan, dürüstlük ilkesi bakımından da yükümlülüğümüzü yerine getirdiğimizi belirtmek isteriz.
3.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi
Veri Sorumlusu Şirket olarak işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli ve ölçülü olması, amacın gerçekleştirilmesiyle ilgili olmayan verilerin veya o verilerin işlenmesine ihtiyaç duyulmayan kişisel verilerin gereksiz yere işlenmesinden ve saklanmasından kaçınmaktayız. İşlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulacaktır. Amaç için gerekli olmayan kişisel verilerden kaçınılması gerekmektedir. Veri işleme ile gerçekleştirilmesi istenen amaç dışında makul bir dengenin kurulması lazımdır. Bu dengeye ise ölçülülük ilkesi denmektedir. Veri Sorumlusu Şirket, ilgili kişinin yeterli verisini temin ettikten sonra, bu amaç dışındaki verileri işlemekten kaçınmaktadır.
3.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi
Veri Sorumlusu Şirket olarak, amaçla sınırlılık ilkesinin bir gereğini daha yerine getirmek için, kişisel verilerin işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza etmektedir.
6698 Sayılı Kanunun 12nci maddesinde de belirtildiği gibi veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla Veri Sorumluların her türlü idari ve teknik tedbirlerin alması gerekmektedir. Bu idari ve teknik tedbirleri aldığımız gibi, almış olduğumuz tedbirleri oluşturduğumuz Envanter Kaydına işlemekteyiz.
Aynı zamanda Veri Sorumlusu almış olduğu kişisel verileri belirlenmiş veyahut teamülce belirlenen saklama sürelerine riayet etmek zorundadır. Eğer bir süre öngörülmemişse verileri ancak işlendikleri amaç için gerekli olan süre kadar saklanması gerekmektedir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, Şirketimizin belirlenmiş olduğu imha politikası çerçevesinde imha edilecektir.
Yukarıda bahsedilmiş Envanter Kaydına ek olarak, Kanunun 16ncı maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi, Veri Sorumluları Sicili Hakkında Yönetmeliğin 9uncu maddesini göz önünde bulundurarak tespit ederek gerekli hukuki metinlerimizde bu sürelere yer verilmiştir.
4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
· Şirket ile ilişkisi olan gerçek ve/veya tüzel üçüncü kişi, kurum ve kuruluşların, ürün ve hizmetlerinden yararlanabilmeleri için gerekli çalışmaların ilgili iş birimlerimiz tarafından yapılabilmesi,
· Şirket işlerinin yürütüldüğü veya firmaya bağlı merkez ve birimlerinde bulunan gerçek ve/veya tüzel üçüncü kişi kurum ve kuruluşların can ve mal güvenlikleri ile hukuki, ticari ve iş sağlığı güvenliklerinin temini,
· Kamera görüntülerinin depolanması şirket işlerinin yürütüldüğü veya şirkete bağlı merkez ve birimlerinde fiziki olarak bulunmanız halinde disiplinin, güvenliğin ve denetimlerin sağlanması,
· 4857 sayılı İş Kanunu, 3308 sayılı Mesleki Eğitim Kanunu, 5223 sayılı Şirketler Kanunu, Şirketler Yönetmeliği, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği.
· Görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca yapılacak denetleme ve/veya düzenleme görevlerinin yürütülmesi,
· Yargı organlarının ve/veya idari makamların istediği bilgi ve belge taleplerinin yerine getirilmesi,
· Şirketin tüm İnsan Kaynakları süreç ve politikalarının yürütülmesi,
· Sunulan tüm hizmetlerin finansmanının planlanması ve yönetimi, faturalandırılmasının yapılması,
· Tüm çalışanların eğitilmesi ve geliştirilmesi,
· Eğitim, seminer vb. organizasyonlara katılım taleplerinin yerine getirilmesi,
· Anlaşmalı olunan özel sigorta şirketleri ve/veya diğer kurumlar tarafından, anlaşmalar çerçevesinde sunulan teklif, özendirme, muafiyet vb. hak ve yükümlülüklerin yerine getirilmesi,
· Veri güvenliği kapsamında, sistem ve uygulamalar için gerekli tüm teknik ve idari tedbirlerin alınması,
· Kamu düzeninin ve sağlığının korunması
5. KİŞİSEL VERİ KATEGORİLERİ
5.1 Kimlik Bilgisi
Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad – soyad, T.C. Kimlik numarası, bakmakla yükümlü olduğu kişilerin ad- soyadı, doğum yeri, doğum tarihi, ehliyet, nüfus cüzdanı, vergi numarası, SGK numarası vb. bilgilerden oluşur.
5.2 İletişim Bilgisi
İletişim Bilgileri olarak; telefon numarası, yakınlarının telefon numarası, adres, e-posta gibi kişisel verilerdir.
5.3 Finansal Bilgi
Veri Sorumlusu Şirket ile veri sahibi arasındaki hukuki ve finansal ilişki kapsamında yatırılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin kişisel veriler ile banka hesap numarası, İBAN numarası, kredi kartı bilgisi, vergi dairesi ve vergi numarası gibi verilerdir.
5.4 Eğitim Bilgisi
Çalışanlarımızın mezun olduğu okul, yabancı dil seviyeleri gibi verileridir.
5.5 Görsel ve İşitsel Kayıtlar
Kamere kaydı, fotoğraf gibi verilerdir. Şirketimizin etkinlikleri sırasında çekilen fotoğraf ve video verileridir.
5.6 Fiziksel Mekân Güvenliği
Fiziksel mekân güvenliğini sağlamak için oluşturulan ziyaretçi kayıt defterleri ve güvenlik kamera kayıtları verileridir.
5.7 Özlük Bilgisi
Çalışanlarımızın özlük dosyalarının oluşturulabilmesi için gerekli olan verilerdir.
5.8 Hukuki İşlem
Yetkili kişi, kurum ve kuruluşlara bilgi verilebilmesi için alınan verilerdir.
5.9 Mesleki Deneyim:
Kişilerin mesleki tecrübelerinin bulunduğu veri grubudur. Daha önceki çalıştığı iş yeri,daha önce çalıştığı pozisyon bu veri türüne örnektir.
5.10 Lokasyon Bilgisi
Nakliye araçlarımızda bulunan GPS vasıtasıyla elde edilen anlık konum bilgilerini içerir veri grubudur.
5.11 Hobi Bilgisi :
Çalışanlarımızın hobilerine ilişkin verilerdir.
6. ÖZEL NİTELİKLİ KİŞİSEL VERİ
Kanunu 6.maddesinde belirtilen ve genişletilemeyen verilerdir. Kan grubu da dâhil olmak üzere sağlık verileri (işe giriş belgesinde alınan sağlık raporları ile sağlanır), biyometrik veriler, genetik veriler, din ve üye olunan dernek bilgisi gibi verilerdir.
Sağlık Verileri: Akciğer Filmi, Solunum Testi, Bel Grafi Filmi, Kan Grubu, Kronik Hastalık Bilgisi, Tetanoz Aşı Bilgisi, Hepatit Aşı Bilgisi, Hastalık Geçmişi, Hastanede Yatıp Yatmadığı Bilgisi, Ameliyat Geçmişi, İş Kazası Geçmişi, Maluliyet Bilgisi, Tıbbi Teşhis, Laboratuvar Bulguları, Covid-19 Aşı Bilgisi, Covid-19 Test Bilgisi, HES Kodu, Aşı Bilgisi, Covid-19 Geçirip Geçirmediği Bilgisi, Boyu, Kilosu, Engellik Durum Bilgisi, Boy, Kilo,
· Din Bilgisi Verisi: Çalışanlarımızın hangi dine inandığını gösteren verilerdir. Eski kimlik fotokopisinin alınması vasıtasıyla elde edilmektedir. Açık rıza ile alınmaktadır.
· Biyometrik Verileri: 5202 sayılı kanun uyarınca çalışanlarımızdan aldığımız parmak izi,yüz izi ve el yazısı örnekleri verilerdir.
· Hukuki İşlem Verisi: Çalışanlarımızın adli sicil kaydı verisidir.
7. ŞİRKET TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
Veri Sorumlusu Şirket, Kanunun 10uncu maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak kişisel verilerin elde edilmesi, işlenmesi ve saklanması konusunda veri sahiplerinin (ilgili kişi) bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir.
Bu hususta, Şirket tarafından veri sahibi olan ilgili kişilere sunulan aydınlatma metinlerine aşağıda sıralanmış olan kısımlar ele alınmıştır.
Veri Sorumlusu olan Şirket tarafından;
· Şirket tarafından, veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,
· İşlenen verilerin kimlere ve hangi amaçla aktarılacağı,
· Kişisel veri toplamanın hukuki sebebi,
· Veri sahiplerinin haklarını olan ve 6698 Sayılı Kanunun 11.maddesinde ele alınmış tüm hükümler çerçevesinde aydınlatma yükümlülüğümüzü yerine tam ve doğru bir şekilde yerine getirdiğimizi bildiririz.
7.1 VERİ SORUMLUSU ŞİRKET TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI
Veri sahiplerinin kişisel verilerine ilişkin taleplerini Veri Sorumlusu Şirkete yazılı olarak veya Kişisel Veriler Koruma Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, Şirket Veri Sorumlusu sıfatıyla ilgili kişinin Kanunun 11.maddesinde yazılı herhangi bir hakkını, talebini Kanunun 13.maddesine uygun olarak kullanmak adına tarafımıza iletmiş olduğu talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.
Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirilmelidir.
8. VERİ SORUMLUSU ŞİRKET TARAFINDAN KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
Şirket tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır. Bu tedbirler idari ve teknik tedbirler olmaktadır. Bu alınmış ve uygulanmakta olan tedbirler ise kanunda öngörülen hükümlere göre ele alınmıştır.
Kısaca bu alınan ve uygulanmakta olan tedbirlerden bahsetmek gerekirse;
8.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Veri Sorumlusu Şirket Tarafından Alınan İdari Tedbirler;
· Saklanan kişisel verilere şirket içi erişiminin, görevi için erişmesi zorunlu olan kişiler ile sınırlandırılmasıdır. Bu sınırlandırmanın ise; şifre, anahtar vs. ekipmanlar ile yapılmasıdır.
· İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, bu durumun Şirket irtibat kişisi olarak yetkilendirilen şahıs tarafından Kurul’a bildirilmelidir.
· Kişisel verilerin paylaşılması ile ilgili olarak, sorumluluklar ve yükümlülükler kapsamında oluşturulan sözleşmelerin imzalanması ve aydınlatma metinlerin şirket içi görünen yerlere asılması ile veri güvenliği sağlanır.
· Kişisel verilerin işlenmesi hakkında, işlenmesi, saklanması ve tüm kanuni süreçlerin eksiksiz anlaşılması adı altında personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilir.
· Kendi tüzel kişiliği nezdinde, tüm kanuni prosedürlerin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Bu denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerine ilişkin önleyici tedbirler alınır.
8.2 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı olarak Erişilmesini Önlemek Amacıyla Veri Sorumlusu Şirket Tarafından Alınan Teknik Tedbirler;
· Kurulan sistemler kapsamında gerekli iç kontroller yapılır.
· Verilerin Şirket dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesi sağlanır.
· Kişisel verilerin imhası geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
· 6698 Sayılı Kanunun 12.maddesi gereği, Envanter kaydımızda da yer aldığı üzere; kişisel verilerin sakladığı her türlü dijital ortam bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korunur.
· Teknik tedbirleri periyodik olarak güncellemekte ve yenilemekte,
· Şirket içerisinde erişim yetkilendirme prosedürleri oluşturmakta,
· Aldığımız teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürleri belirlemekte,
· Şirket içerisinde kullanılmakta olan veri kayıt sistemlerini mevzuata uygun şekilde oluşturmakta ve periyodik olarak denetimlerini yapmakta,
· Çalışanlarımızı kişisel verilere erişim ve yetkilendirme hususlarında eğitmekte ve bilgilendirmekte,
· Kişisel verilerin işlenmesi ve saklanması gibi faaliyetler amacıyla üçüncü kişilerle işbirliği yapıldığı hallerde kişisel verilere erişim sağlayan şirketler ile yapılan sözleşmelerde; kişisel verilere erişim sağlayan kişilerin, gerekli güvenlik tedbirlerini almasına ilişkin hükümlere yer vermekte,
· Kişisel verilere hukuka aykırı erişimi engellemeyi sağlamak amacıyla teknolojik gelişmeler dahilinde güvenlik sistemleri kurmaktayız.
EN 