|
KİŞİSEL VERİLERİN KORUNMASI |
Versiyon |
1.1 |
İlk Yayım Tarihi |
03.09.2021 |
||
Kişisel Veri Saklama ve İmha Politikası |
Son Güncelleme Tarihi |
…/.../202. |
|
Sayfa No |
1/21 |
DEPAR MOTOR ve MALZEME SAN. TİC. A.Ş.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. Amaç
İşbu Politikanın amacı, Anayasamız ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun (KVKK ya da Kanun) uyarınca belirlenen ilkeler doğrultusunda kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, sınıflandırılması gibi kişisel verilere ilişkin her türlü işlemin veri sorumlusu Depar Motor ve Malzeme San. Tic. A.Ş. (Şirket ya da Depar Motor) tarafından gerçekleştirilmesine ilişkin usul ve esasların belirlenmesinindir.
2. Kapsam
Bu Politika kapsamında, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik veya otomatik olmayan yollarla işlenen gerçek kişiler olarak müşteriler, müşteri adayları, çalışan adayları, çalışanlar, şirket pay sahipleri, şirket yetkilileri, ziyaretçiler, iş ortakları, tedarikçiler, iş birliği içinde olunan kişi ve şirketlerin çalışanları, pay sahipleri, yetkilileri ve üçüncü kişiler bulunmaktadır.
Politika, Şirketimizce yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır.
3. İlgili Mevzuat
Bu Politika “6698 Sayılı Kişisel Verilerin Korunması Kanunu”, “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve “Veri Sorumluları Sicili Hakkında Yönetmelik” uyarınca hazırlanmıştır.
4. Yürürlük
İşbu Politika Şirket tarafından düzenlenerek yürürlüğe girmiştir.
Şirketimiz internet sitesinde (https://www.deparmotor.com/) yayınlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişinin erişimine sunulur.
5. Tanımlar
|
: |
|
||
|
: |
|
||
|
: |
|
||
|
: |
|
||
|
: |
|
||
|
: |
|
||
|
: |
|
||
|
: |
|
||
|
: |
|
||
Kurul |
: |
|
||
|
: |
|
||
|
: |
|
||
Veri İşleyen |
: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, |
||
Veri Kayıt Sistemi |
: |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, |
||
Veri Sorumlusu |
: |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. |
6. Kişisel Verilerin İşlenmesinde İlkeler
6.1. Şirketimizce mevcut ya da edinilen kişisel veriler KVKK madde 4 uyarınca hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olacak şekilde, belirli, açık ve meşru amaçlar için işlenmekte, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılmakta ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan ve Şirketçe işbu Politikada belirlenen süre kadar muhafaza edilmektedir.
6.2. Genel kaide, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmemesidir. Ancak, KVKK madde 5’te belirtilen ve aşağıda sayılan hallerde ilgili kişinin açık rızası olmaksızın kişisel verinin işlenmesi mümkündür:
6.3. İlgili kişiler, kişisel veri işleme süreçlerine ilişkin olarak, Şirketimiz tarafından KVKK’nın 10. maddesine uygun olarak aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır.
6.4. Şirketimiz, kişisel verilerin işlenmesi ve aktarılması konusunda KVKK’da öngörülen ve Kurul tarafından ortaya konulan düzenlemeleri takip etmekte ve bu düzenlemelere uygun davranmaktadır.
7. Veri Güvenliğinin Sağlanmasına Yönelik Olarak Alınan İdari ve Teknik Tedbirler
Şirketimiz “veri sorumlusu” olarak KVVK’nın 12. maddesi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakta, buna ilişkin gereken denetimleri yaptırmaktadır.
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini bu verilerin güvenli şekilde saklanması için gerekli tüm teknik ve idari tedbirler almaktadır.
7.1. Teknik Tedbirler:
Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetleri ile bu verilerin muhafazası ve bu verilere hukuka aykırı şekilde erişilmesini önleme işlemleri güncel teknik sistemler kanalıyla icra edilmekte ve denetlenmektedir. Bu sistem periyodik olarak teknolojideki gelişmelere uygun olarak güncellenmekte, bu sisteme ilişkin alınan teknik önlemler periyodik olarak denetlenmektedir.
Şirketimizin faaliyetine göre departman bazlı olarak belirlenen kişisel verilerin korunmasına ilişkin hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır. Kişisel veri içeren sistemlere sınırlı erişimler tanımlanarak, bu sistemlere kullanıcı adı ve şifre ile giriş sağlanmaktadır.
Kâğıt ortamında tutulan evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların muhafaza ve koruması için ek güvenlik önlemleri alınmakta, ayrı bir yer de muhafaza sağlanmakta, bu alanların fiziksel güvenliği için gerekli önlemler alınmaktadır.
Alınan ve alınması gereken teknik önlemler, periyodik olarak Şirketimiz ilgili birimleri tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmakta, düzenli olarak güvenlik taramaları yapılmaktadır.
7.2. İdari Tedbirler:
Kişisel verilerin işlenme süreçlerine ilişkin olarak, mevcut durum tespiti ve risk analizi yapılması amacıyla kişisel veri envanteri oluşturulmuş, Şirketimiz tarafından işlenen kişisel veri ve ilgili kişi kategorileri tespit edilmiştir.
Kişisel veri işleme ve imha süreçlerine ilişkin kuralların ve yükümlülüklerin belirlendiği işbu Politika hazırlanmış, ilgili kişilere, çalışanlarımıza, işbirlikçilerimize ve kamuoyuna duyurulmuş olup bu Politika uyarınca veri işleme faaliyetlerinin yürütümü sağlanmaktadır.
Çalışanlara, kişisel verilerin korunması hukuku, kişisel verilerin hukuka uygun olarak işlenmesi ve bu verilerin korunması ya da hukuka aykırı şekilde erişimin engellenmesi konusunda eğitimler verilmektedir.
Şirket faaliyetleri detaylı olarak tek tek departmanlar özelinde incelenerek, departmanların görev ve gerçekleştirdiği ticari faaliyetler çerçevesinde kişisel veri işleme faaliyetleri belirlenmiştir. Ayrıca, KVKK mevzuatı kapsamında Şirket içinde ilgili departman bazında kişisel verilere erişim ve yetkilendirme süreci tasarlanmaktadır. Şirket departmanlarının yürütmüş olduğu kişisel veri işleme faaliyetleri, bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir departman ve yürütmüş olduğu faaliyet özelinde belirlenmektedir.
Şirket genelinde uyumun sağlanması için her departmanda farkındalık yaratılmakta ve uygulama kuralları belirlenmekte, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve bilgilendirmeler yoluyla duyurulmakta ve uygulanmaktadır.
Şirket ile çalışanlar arasındaki ilişkiye ilişkin sözleşme ve belgeler gözden geçirilmiş olup iş sözleşmesi ve Şirket için ilan edilen yönetmelik ve diğer dokümantasyon KVKK mevzuatı kapsamında gözden geçirilerek uyum çalışması yapılmaktadır. Anılan dokümanlara Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanlar bilgilendirilmekte ve buna ilişkin zamanlı zamansız denetimler yürütülmektedir.
Tüm çalışanlar, öğrenilen kişisel verileri KVKK mevzuatı uyarınca başkasına açıklayamayacağı, işleme amacı dışında kullanılamayacağı konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli gizlilik taahhütleri alınmaktadır.
Şirket faaliyetleri kapsamında ve KVVK’ya uygun şekilde kişisel verilen aktarıldığı iş ortaklarımızla mevcut sözleşmelere, aktarılan kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmakta, iş ortakları bakımından getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda bilgilendirilmektedir.
Kişisel verilen saklanmasına ilişkin olarak teknik gereklilikler sebebi ile şirket dışından hizmet alınması halinde kişisel verilerin bu firmalara yine KVKK’ya uygun şekilde aktarılması kaydıyla bu firmanın ve firma personelinin kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin mevcut sözleşmelere hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmaktadır.
8. Kişisel Verilerin Aktarılması
8.1. Genel Prensipler & İstisnalar
Şirket tarafından elde edilen kişisel veriler, kişisel verilerin işlenme amaçlarına uyumlu olarak, 9.2.2’de belirtilen üçüncü kişilere aktarılabilir. Kişisel verilerin aktarılmasında ilgili kişinin açık rızasının alınması esastır.
Aşağıda sayılan hallerde ilgili kişinin açık rızası olmaksızın kişisel verinin aktarılması mümkündür:
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali.
8.2. Yurtdışına Aktarım
Kişisel verilerin yurtdışına aktarılması halinde ilgili kişinin açık rızasının alınması esastır. İşleme amaçlarının mevcut olması, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya Şirketle ilgili yabancı ülkedeki veri sorumlusunun/veri işleyenin yeterli korumayı sağlayacaklarını yazılı olarak taahhüt etmesi ve Kurul izninin bulunması halinde kişisel veriler ilgilinin açık rızası olmaksızın yurt dışına aktarılabilir.
9. Kişisel Verilerin Kategorizasyonu, İşlenme Amaçları, Saklanması
KVKK madde 10 uyarınca veri sorumlusu olarak Şirketimiz ilgili kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, hangi kişisel veri sahibi grupları ve hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini aydınlatma yükümlülüğü kapsamında kişisel veri sahibine bildirmektedir.
9.1. Kişisel Verilerin Kategorizasyonu
9.1.1. İşlenen Kişisel Veri Türü Esas Alınarak Yapılan Kategorizasyon
Kişisel Veri |
Kategorizasyon & Açıklama |
Kimlik Bilgisi |
Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, medeni durum, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, vb. bilgiler. |
İletişim Bilgisi |
Telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler. |
Müşteri Bilgisi |
Ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler. |
Fiziksel Mekân Güvenlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, fiziksel mekâna girişte, alınan kayıtları. |
İşlem Güvenliği Bilgisi |
Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel veriler. |
Finansal Bilgi |
Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler. |
Özlük Bilgisi |
Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri. |
Çalışan Adayı Bilgisi |
Şirketimizin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler. |
Denetim ve Teftiş Bilgisi |
Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler. |
Talep/Şikayet Yönetimi Bilgisi |
Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler. |
9.1.2. Kişisel Veri Sahibi Esas Alınarak Yapılan Kategorizasyon
Kişisel Veri Sahibi |
Açıklama |
Müşteri |
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler. |
Potansiyel Müşteri |
Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler. |
Ziyaretçiler |
Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler. |
Çalışan |
Şirketimizde akdedilmiş iş sözleşmesi uyarınca bir bağımlılık ilişkisi uyarınca çalışan gerçek kişiler. |
Çalışan Adayı |
Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler. |
Şirket, İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı |
Şirketimizin iş birliği içerisinde bulunduğu gerçek kişiler ile Şirketimizin iş birliği içerisinde bulunduğu tüzel kişilerde (iş ortağı, tedarikçi gibi) çalışan, pay sahipleri ve yetkilileri dahil olmak üzere, tüm gerçek kişiler. |
Şirket Pay Sahibi |
Şirketimizde pay sahibi olan gerçek kişiler. |
Şirket Yetkilisi |
Yönetim kurulu üyeleri ile şirketimizi temsil ve ilzama yetkili kılınan diğer kişiler. |
Üçüncü Kişi |
İşbu Politika kapsamına girmeyen ve bu Politikada herhangi bir Kişisel Veri Sahibi kategorisine girmeyen diğer kişiler. |
Kişisel veri sahibi kategorileri ve bu kategoriler içerisindeki kişilerin hangi tip kişisel verilerinin işlendiği aşağıdaki tabloda detaylandırılmaktadır.
Kişisel Veri Türü |
İlgili Kişinin İlişkili Olduğu Kişisel Veri Kategorisi |
Kimlik Bilgisi |
Müşteri, Potansiyel Müşteri, Çalışan, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi |
İletişim Bilgisi |
Müşteri, Potansiyel Müşteri, Çalışan, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi |
Müşteri Bilgisi |
Müşteri, Potansiyel Müşteri |
Aile Bireyleri ve Yakın Bilgisi |
Çalışan, Çalışan Adayı, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları |
Fiziksel Mekân Güvenlik Bilgisi |
Ziyaretçi, Çalışan, Çalışan Adayı, Şirket Yetkilileri, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri |
İşlem Güvenliği Bilgisi |
Müşteri, Çalışan, Üçüncü Kişi, Şirket Yetkilileri, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri |
Finansal Bilgi |
Müşteri, Çalışan, Şirket Pay Sahibi, Şirket Yetkilisi, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri |
Özlük Bilgisi |
Çalışan, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri |
Çalışan Adayı Bilgisi |
Çalışan Adayı, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları |
Denetim ve Teftiş Bilgisi |
Müşteri, Potansiyel Müşteri, Çalışan, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi |
Talep/Şikâyet Yönetimi Bilgisi |
Müşteri, Potansiyel Müşteri, Çalışan, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İş birliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi |
9.2. Kişisel Verinin İşlenme Amaçları ve Verilerin Aktarılabileceği Alıcı Grupları
9.2.1. İşlenme Amaçları
Şirket, elde ettiği kişisel verileri aşağıdaki amaçlar ile işlemektedir:
Şirketimiz tarafından Şirketimizin üretim, satış ve pazarlama faaliyetleri başta olmak üzere gerçekleştirmiş olduğu ya da gerçekleştireceği tüm faaliyetlerin icrası,
Şirketimizin mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi, bu kanuni yükümlülükler sebebi ile Vergi Dairesi Başkanlığı, Sosyal Güvenlik Kurumu ve İŞKUR, Serbest Bölge Müdürlüğü, ESBAŞ, Türk Metal Sendikası, MESS İşveren Sendikası, Merkezi Kayıt Kuruluşu, Sanayi ve Ticaret Odaları, Bakanlıklar gibi özel ve resmi kuruluşlara bilgi verilmesi,
İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi,
Şirketimizin insan kaynakları politikaları doğrultusunda, Şirketimizin insan kaynakları politikalarına uygun şekilde açık pozisyonlara uygun personel temini, insan kaynakları politikalarına uygun şekilde insan kaynakları operasyonlarının yürütülmesi, çalışılanlar adına bireysel emeklilik, özel sağlık sigortası süreçlerinin takibi de dahil olmak gerekli bilgilendirmelerin yapılması ve ilgili kurum, kuruluş ve kişilerle bu çerçevede bilgi akışının sağlanması,
İş Kanunu ve İş Sağlığı ve Güvenliği Kanunu ve ilgili mevzuat çerçevesinde iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi çerçevesinde çalışan ve iş ortaklarımızın çalışanlarına ilişkin işe giriş ve işe devam süreçlerinde sağlık durumlarının takibi, ortak sağlık birimi ile bu çerçevede bilgi akışının sağlanması,
Kurumsal yönetim faaliyetlerinin icrası, risk yönetimi, finansal raporlama işlemlerinin icrası ve takibi,
Şirket faaliyetlerinin ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,
Kurumsal iletişim ve yönetim faaliyetlerinin icrası,
Şirketin mevcut ve müstakbel çalışanları, yetkilileri, iş ortakları, iş ortaklarının yetkilileri, pay sahipleri, çalışanları ile hukuki ve ticari ilişkilerinin yürütülmesi, bu çerçevede sözleşmelerin akdedilmesi ve akdedilen sözleşmelerin ifası, bu kişilerle Şirket süreçleri ve Şirket ile bağlantılı konuların değerlendirilmesi ve bilgi akışının sağlanması,
Şirket tarafından yapılan üretim ve sunulan hizmetin gerekli kalite standartlarını sağladığına ilişkin gereken denetim faaliyetlerinin sağlanması ve akreditasyonlar,
Şirket faaliyet ve ihtiyaçları doğrultusunda satın alma ve tedarik ilişkilerinin oluşturulması ve takibi,
Şirketler Hukukuna ilişkin gereklerin yerine getirilmesi,
Şirket içi iletişim ve iş birliğinin sağlanması,
Şirket, pay sahipleri, çalışanlar ya da yetkililerinin taraf olduğu Şirket ile ilişkili olan dava, icra takibi, idari ve cezai soruşturma ve benzeri süreçlerin takibi,
Şirket pay sahibi, çalışan, ziyaretçi ya da iş ortaklarının çalışan, yetkili ya da pay sahiplerinin seyahatleri sebebi ile gerekli izin ve işlemlerin takibi,
Veri güvenliğinin en üst düzeyde sağlanması, veri tabanlarının oluşturulması, Şirketimiz internet sitesinde sunulan hizmetlerin geliştirilmesi, Şirketimize talep ve şikayetlerini iletenler ile iletişime geçilmesi,
Şirket ve şirkete ait tesis güvenliğinin sağlanması ve çalışan ulaşımlarının sağlandığı araçlarda yine güvenlik amacıyla aydınlatma tabelalarının yer aldığı alanlarda sınırlı olmak üzere, çalışılanların, Şirket pay sahipleri ve yetkililerinin, ziyaretçilerin görüntülerinin kamera ile kayıt altına alınması suretiyle, çalışan ve ziyaretçi giriş çıkışlarının kayıt altına alınması, internet sitesi ziyaretlerinde site içi hareketlerin kaydı amacıyla KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir.
9.2.2. Kişisel Verilerin Aktarılabileceği Alıcı Grupları
KVKK madde 8 uyarınca kişisel veriler 8.1’de belirtilen amaçlarla aşağıda Türkiye’de bulunan üçüncü kişilere ve aşağıda örnekseyici olarak sayılan alıcı gruplarına KVKK madde 5 ve 6’da sayılan kurallara uygun şekilde aktarılabilir:
Hizmet Alınan veya İş birliği İçinde Olunan İş Ortakları
Tedarikçiler & Müşteriler
Danışmanlar
Denetim Firmaları
Müşteriler
Pay Sahipleri
Banka ve Finans Kuruluşları
İŞKUR, Sosyal Güvenlik Kurumu, İşçi ve İşveren Sendikası,
Mahkeme ve İcra Daireleri
Ticaret ve Sanayi Odaları, Ege İhracatçı Birlikleri
Merkezi Kayıt Kuruluşu
Gümrük ve Ticaret Bakanlığı, Ulaştırma Denizcilik ve Haberleşme Bakanlığı, Ekonomi Bakanlığı ve sair Bakanlıklar, Konsolosluklar gibi resmi kurum ve kuruluşlar,
Gümrük Müdürlüğü, Serbest Bölge Müdürlüğü, ESBAŞ
Şirketin yurtdışına aktarımı bulunmamaktadır.
9.3. Saklanma Süreleri
Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Öncelikle, ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.
10. Özel Nitelikteki Verilerin İşlenmesi ve Aktarılması
Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler olması sebebi ile Şirketimizce bu verilerin korunmasına ayrıca önem verilmektedir. Özel nitelikteki kişisel verinin ilgilinin açık rıza olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Şirket çalışanların, Şirket pay sahipleri ve yetkilileri ile İş Ortaklarının çalışanlarının özel nitelikteki verileri iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacıyla işlenmekte, ilgili veri sahipleri tarafından, hizmet alınan ortak sağlık birimi ya da sır saklama yükümlülüğü altında olan kişiler kanalıyla Şirketimize aktarılan bu verilerin işlenmesi, aktarılması ve muhafazasına ilişkin olarak Şirket aşağıdaki kuralları takip etmekte ve önlemleri almaktadır:
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışan, ortak sağlık birimi ve sır saklama yükümlülüğü altında bulunan sağlık yetkililerine yönelik, KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, bu kişilerle gizlilik sözleşmeleri yapılmakta,
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmakta,
Periyodik olarak yetki kontrolleri gerçekleştirilmekte,
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise verilerin kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta, veriler üzerinde gerçekleştirilen tüm hareketler işlem kayıtları güvenli olarak loglanmakta, verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılmakta, erişime ilişkin kullanıcı yetkilendirmelerini yapılmaktadır.
Fiziksel ortamda tutulan özel nitelikli kişisel verilere ilişkin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemeleri alınmakta ve düzenli olarak kontrol edilmekte, bu ortamların fiziksel güvenliğinin sağlanarak giriş çıkışlarda yetki sorgulaması yapılmaktadır.
Özel nitelikli kişisel verilerin aktarımında ise, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi hususlarına dikkat edilmektedir.
11. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi & Periyodik İmha
Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması ya da muhafaza süresinin sona ermesi halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
Prensip olarak kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok edilir veyahut anonim hale getirilir. Periyodik imha yılda iki kez 6 ayda bir yapılacaktır.
İlgili kişinin talep etmesi halinde,
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, Şirket talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Bu halde Şirket, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Şirket bu durumu üçüncü kişiye bildirir, üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, talep gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
11.1. Kişisel Verilerin Silinmesi:
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin kayıt ortamlarına göre silme yöntemleri aşağıda belirtilmiştir:
Bulut sisteminde yer alan kişisel veriler, geri getirme yetkisi olmaksızın silme komutu verilerek silinir.
Kâğıt ortamında bulunan kişisel veriler ise karartma yöntemi kullanılarak silinir. Kâğıt üzerinde yer alan kişisel veriler üzeri okunamayacak şekilde çizilerek/boyanarak ya da silinerek bir tür karartma işlemi uygulanır.
Merkezi sunucuda yer alan ofis dosyalarında yer alan kişisel veriler, işletim sistemindeki silme komutu ile ya da dosyanın bulunduğu dizin üzerinde erişim haklarının kaldırılması suretiyle silinir.
Taşınabilir medyada bulunan kişisel veriler şifreli olarak saklanır ve uygun yazılımlar kullanılarak silinir.
Kişisel verilerin veri tabanlarında bulunması halinde ilgili satırlar veri tabanı komutları ile silinir.
11.2. Kişisel Verilerin Yok Edilmesi:
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılmaz hale getirilmesi işlemidir.
Kişisel verilerin kayıt ortamlarına göre yok etme yöntemleri aşağıda belirtilmiştir:
Yerel sistemler üzerinde kişisel veriler de-manyetize etme, üzerine yazma ya da fiziksel yok etme yöntemlerinden biri ile yok edilir.
Çevresel sistemler üzerinde yer alan ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri ise şu şekildedir;
Ağ cihazları içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. De-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.
Flash tabanlı ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) ara yüzüne sahip olanları, destekleniyorsa <block erase> komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.
Manyetik bantta veriler çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
Manyetik disk gibi ünitelerde, yer alan veriler çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmadığından, De-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.
Optik diskler, yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.
Kâğıt ortamında bulunan kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür. Orijinal kâğıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.
Bulut Ortamında yer alan kişisel veriler, kişisel verilerin depolanması ve kullanımı sırasında, kripto grafik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilir.
Yukarıdaki ortamlara ek olarak arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle,
Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemler alınır.
11.3. Kişisel Verilerin Anonim Hale Getirilmesi:
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel veriler, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir.
Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır.
Anonim hale getirme yöntemleri:
Değer Düzensizliği Sağlamayan Yöntemler |
Değişkenleri Çıkartma |
Değer Düzensizliği Sağlayan Yöntemler |
Mikro-Birleştirme |
Anonim Hale Getirmeyi Kuvvetlendirici İstatistik Yöntemler |
Anonimlik |
12. Kişisel Veri Sahiplerinin Hakları ve Başvuru Haklarının Kullanılması
12.1. Haklar
KVKK’nın 11. maddesine göre “ilgili kişinin” hakları şunlardır:
· Kişisel verilerinin işlenip işlenmediğini öğrenme
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kişisel verilerin silinmesini veya yok edilmesini isteme,
• Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
İlgili kişi, KVKK’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde, Şirketimizin cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
12.2. İlgili Kişinin Hak Arama Yöntemleri
İlgili Kişi bu bölümün 10.1.de belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle Şirketimize iletebileceklerdir:
- Güvenli elektronik imza ile KEP adresinden iletilen başvurular,
- Şirketimize başvuru tarihinden önce ilgili kişi tarafından bildirilmiş olan mail adresinden yapılan başvurular,
- Islak imzalı bir başvuru dilekçesini bizzat elden, noter aracılığı ile yahut iadeli taahhütlü posta ile “Ramazanoğlu Mah. Açelya Sok. No:4 Pendik/İSTANBUL” adresine iletilmelidir.
Şirketimiz İlgili Kişinin başvurusunu 30 gün içinde neticelendirerek talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
13. Saklama ve İmha Süreçlerinde Görevli Kişiler
Şirket, işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları, bu politikalarda belirtilen işleme ve imha süreçlerini yönetmek üzere, aynı zamanda üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler atanır.
Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler:
Kişisel verilerin korunması ve işlenmesine ilişkin süreçlerin dizaynına ilişkin belgelerin hazırlanması, takibi ve bunların ilgili kişilerin onaylarına sunulması,
Kişisel verilerin korunmasına ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yapılması,
KVK Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi.
14. Politikanın Yayımlanması ve Güncellenmesi
İşbu Politika Şirket’in internet sitesinde (www.deparmotor.com) yayınlanır ve talep üzerine kişisel veri sahiplerinin erişimine sunulur.
İşbu Politika gerek duyulan hallerde ve ihtiyaç halinde güncellenir ve değişiklik yine internet sitesinde yayınlanmak suretiyle yürürlüğe girer.