TABANLIOĞLU MİMARLIK ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
25.12.2019
1. GİRİŞ
Kişisel verilerin korunması, Şirketimizin en önemli öncelikleri arasındadır. Bu konunun en önemli ayağını ise işbu Politika ile yönetilen; müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişiselverilerinin korunması ve işlenmesi oluşturmaktadır.
Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, Tabanlıoğlu Mimarlık A.Ş. (“Tabanlıoğlu” veya Şirket”), işbu Politika ile yönetilen; müşterilerinin, potansiyel müşterilerinin, çalışan adaylarının, şirket hissedarlarının, şirket yetkililerinin,ziyaretçilerinin, işbirliği içinde olduğu kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir.
Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması için Şirket tarafından gereken idari ve teknik tedbirleralınmaktadır.
Bu Politika’da kişisel verilerin işlenmesinde Şirket’in benimsediği ve aşağıda sıralanan temel ilkelere ilişkin detaylı açıklamalardabulunulacaktır:
- Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
- Kişisel verileri doğru ve gerektiğinde güncel tutma,
- Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
- Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
- Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
- Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
- Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
- Kişisel verilerin muhafazasında gerekli tedbirleri alma,
- Kişiselverilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuatave KVK Kurulu düzenlemelerine uygun davranma,
- Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme.
1.2. POLİTİKANIN AMACI
Bu Politika’nın temel amacı, Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda müşterilerimiz, potansiyel müşterilerimiz, şirket hissedarlarımız, şirket yetkililerimiz, ziyaretçilerimiz, ve işbirliği içinde olduğumuz kurumların çalışanları,hissedarları ve yetkilileri ve üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirilerekşeffaflığı sağlamaktır.
1.3. KAPSAM
Bu Politika; müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu Politika’nın uygulama kapsamı Politika’nın tamamı olabileceği gibi (örn. Ziyaretçimiz de olan Aktif müşterilerimiz gibi); yalnızca bir kısım hükümleri de (örn. Yalnızca Ziyaretçilerimiz gibi) olabilecektir.
1.4. POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanıbulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
Politika, ilgili mevzuat tarafından ortaya konulan kuralların Şirket uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.
1.5. POLİTİKANIN YÜRÜRLÜĞÜ
İşbu Politika, Şirket tarafından düzenlenerek XX.XX.XX tarihinde yürürlüğe girmiştir.
2. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesiniönlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyinisağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
2.1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
2.1.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
- Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için:
- Şirketimiz bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurulan teknik sistemlerle
- Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıdasıralanmaktadır:
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusundabilgilendirilmekte ve eğitilmektedir.
- Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
- Teknik konularda bilgili personel istihdam
- Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleriortaya konulmaktadır.
- Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanununaradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde
- İş birimlerimiz bazlı belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalıkyaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
- Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunlagetirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlarkonulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
2.1.2. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tümhukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idaritedbirler almaktadır.
- Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıdasıralanmaktadır:
- Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve
- İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleridevreye alınmaktadır.
- Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil edenhususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıdasıralanmaktadır:
- Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusundaeğitilmektedir.
- Teknik konularda bilgili personel istihdam
- İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirmesüreçleri tasarlanmakta ve uygulanmaktadır.
- Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendikuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler
2.1.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması
Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
- Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
- Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
- Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak içdenetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için uygun yedekleme programları kullanılmaktadır.
- Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
- Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda eğitilmektedirler.
- Teknik konularda uzman personel istihdam Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerinkorunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
2.1.4. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli periyodik ve örnekleme metoduyla denetimleri, yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında tespit edilen uygunsuzluklar raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir. Yürütülen denetim sonuçları hakkındaŞirket Yönetim Kurulu bilgilendirilmektedir.
2.1.5. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafındanelde edilmesi halinde bu durumu en kısa sürede ve öğrenilmesinden itibaren en geç 72 saat içerisinde ilgili kişisel veri sahibine veKVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.
KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilanedilebilecektir.
2.2. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ; BU HAKLARI ŞİRKETİMİZE İLETECEĞİ KANALLARIN YARATILMASI VE VERİ SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRMESİ
Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması içinKVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel Veri sahiplerinin hakları ile ilgili ayrıntılı bilgiye bu Politika’nın 10. Bölümünde yer verilmiştir.
2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
KVK Kanunu ile bir takım kişisel verilere, hukuka aykırı olarak işlenildiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olmariski nedeniyle özel önem atfedilmiştir.
Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınanteknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır.
Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 3. Bölümünde yer verilmiştir.
2.4. İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİM
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerinmuhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bilgilendirme ve eğitimlerin düzenlenmesinisağlamaktadır.
Şirket’in iş birimlerinin mevcut çalışanlarının ve iş birimi bünyesine yeni dâhil olmuş çalışanların kişisel verilerin korunmasıkonusunda farkındalığının oluşması için gerekli Şirket Çalışma İlkelerinde yapılan düzenlemeler ile
temel yükümlülükler konusunda Çalışanlarımıza gerekli bilgilendirme ve yükümlendirme yapılmakta, Çalışma İlkelerinin yıllıkelektronik inceleme ve test süreçleri ile farkındalığın devamlılığı temin edilmektedir.
Eğitim katılım durumu ilgili yöneticilere raporlanmaktadır. Şirketimiz bu doğrultuda ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır. Şirketimiz, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
2.5. İŞ ORTAKLARI VE TEDARİKÇİLERİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDAKİ FARKINDALIKLARININ ARTTIRILMASI
Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi veverilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına yönelik düzenli bilgilendirme yapmaktadır.
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Şirketimiz, Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz kanunlarda öngörülenveya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 5. maddeleri gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkinKVK Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir.
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 10. maddelerine uygun olarak, kişisel veri sahiplerini aydınlatmakta ve kişiselveri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır.
Şirketimiz, KVK Kanunu’nun 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.
3.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygunhareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır. Örneğin, Şirket tarafından; kişisel veri sahiplerininkişisel verilerini düzeltme ve doğruluğunu teyit etmelerine yönelik sistem kurulmuştur. Bu konu ile ilgili ayrıntılı bilgiye, bu Politika’nın 10. Bölümünde yer verilmiştir.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişiselverileri sunmakta olduğu ürün ve hizmetler ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişiselverilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacıngerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafazaetmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğinitespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç içingerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile Şirketimiztarafından kişisel veriler saklanmamaktadır.
3.2. KİŞİSEL VERİLERİN, KVK KANUNU’NUN 5’İNCİ MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME
Şirketimiz, mevzuat hükümlerine uygun olarak kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızası olandurumlarda işlemektedir. Bu konu ile ilgili ayrıntılı bilgiye, bu Politika’nın 7. Bölümünde yer verilmiştir.
3.3. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahipleriniaydınlatmaktadır. Bu kapsamda Şirket ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 10. Bölümünde yer verilmiştir.
Şirketimiz KVK Kanunu’nun 11. maddelerine uygun olarak kişisel veri topladığı tüm kanallarda ve kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 10. Bölümünde yer verilmiştir.
3.4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVK Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ilefinansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, aktarılabilmektedir.
3.5. KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz veri sahibinin açık rızasının bulunması durumunda veya hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak (Bkz.Bölüm II/Başlık 1) kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 6. Bölümünde yer verilmiştir.
3.5.1. Kişisel Verilerin Aktarılması
Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda Kanunun 5. maddesinde belirtilen kişisel veriişleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir. Bu haller ile ilgili ayrıntılı bilgiye bu Politika’nın 7.1 Bölümünde yer verilmiştir.
3.5.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Şirketimiz gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak (Bkz. Bölüm 2/Başlık 2.1) ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri
işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini ancak kanunda
öngörülen hallerde veya kişinin açık rızası olan durumlarda üçüncü kişilere aktarabilmektedir.
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasidüşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ilefinansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, işlenebilmektedir.
3.6. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
Şirketimiz hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak (Bkz. Bölüm 2/Başlık 2.1) kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini (KVK Kurulu tarafından öngörülen önlemleri de alarak) yurt dışında mukim üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izni bulunduğu veri sorumlularına ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır. Şirketimiz bu doğrultuda KVKKanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 6. Bölümünde yer verilmiştir.
Kişisel Verilerin yurt dışına aktarılmasına imkan veren kişisel veri işleme halleri ile ilgili ayrıntılı bilgiye bu Politika’nın 7. Bölümünde yer verilmiştir.
4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine bildirmektedir.
Şirketimiz nezdinde, KVK Kanunu’nun 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak KVK Kanunu’nda başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen bütün yükümlülüklere uyarak işbu Politika kapsamındaki süjelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler işlenmektedir. Bu kategorilerde işlenen kişiselverilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili olduğu da işbu Politika’nın 5. Bölümünde belirtilmektedir.
KİŞİSEL VERİ[1]KATEGORİZASYONU | KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
Kimlik Bilgisi | Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan tüm bilgiler |
İletişim Bilgisi | Telefon numarası, adres, e-mail gibi bilgiler |
Aile Bireyleri ve Yakın Bilgisi | Şirketin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri ve yakınlarıhakkındaki bilgiler |
Fiziksel Mekân Güvenlik Bilgisi | Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalışsırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler. |
İşlem Güvenliği Bilgisi | Şirket faaliyetlerimizi yürütürken gerek çalışanlarımız gerekse de Şirketin teknik, idari, hukuki ve ticari güvenliğimizisağlamamız için işlenen kişisel verileriniz |
Finansal Bilgi | Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler |
Özlük Bilgisi | Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri |
Çalışan Adayı Bilgisi | Şirketimizin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler- |
Çalışan İşlem Bilgisi | Çalışanlarımızın veya şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin işle ilgili gerçekleştirdiği her türlü işleme ilişkin işlenen kişisel veriler |
Çalışan Performans ve Kariyer Gelişim Bilgisi | Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler |
Yan Haklar ve Menfaatler Bilgisi | Çalışanlara veya Şirketimizle çalışma ilişkisi içerisinde olan diğer gerçek kişilere sunduğumuz ve sunacağımız yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin takibi işin işlenen kişisel verileriniz |
Hukuki İşlem ve Uyum Bilgisi | Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz |
Denetim ve Teftiş Bilgisi | Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel verileriniz |
Özel Nitelikli Kişisel Veri | 6698 Sayılı Kanun’un 6ıncı maddesinde belirtilen veriler felsefi inanç, dini görüş bilgileri, sağlık bilgileri, ceza hükmü ve güvenlik tedbirleri bilgileri, biyometrik veriler |
Talep/Şikâyet Yönetimi Bilgisi | Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler
|
Risk Yönetimi Bilgisi | Ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler |
Olay Yönetim Bilgisi | Şirketimizin, çalışanlarının, hissedarlarının etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler |
Görsel/İşitsel Veri | Fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
4.2. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirketimiz 6698 Sayılı Kişisel Verilerin Korunması Kanunun 5. maddesinin 2. fıkrasında ve 6. Maddenin 3. Fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel veriler işlemektedir. Bu amaçlar ve koşullar;
- Kişisel verilerinizin işlenmesine ilişkin Şirketimizin ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi
- Kişisel verilerinizin Şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruyailgili ve gerekli olması
- Kişisel verilerinizin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekildeŞirketimiz tarafından işlenmesi
- Kişisel verilerinizin Şirketimiz tarafından işlenmesinin Şirketimizin veya sizlerin veya üçüncü kişilerin haklarınıntesisi, kullanılması veya korunması için zorunlu olması
- Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimiz meşru menfaatleri için kişisel veri işlemefaaliyetinde bulunulmasının zorunlu olması
- Şirketimiz tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için
zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veya hukuki
geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması - Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
Yukarıda belirtilen şartların bulunmaması halinde; kişisel veri işleme faaliyetinde bulunmak için
Şirket kişisel veri sahiplerinin açık rızalarına başvurmaktadır.
Şirketimiz, kişisel verileri; Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi; Şirket’in ve Şirket’le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini; Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası; Şirket’in ticari ve/veya iş stratejilerinin planlanması ve icrası; Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi; Şirket’in insan kaynakları politikaları ve süreçlerinin planlanmasının ve icra edilmesi kapsamında aşağıdaki amaçlarla işlemektedir.
- Acil durum yönetimi süreçlerinin planlanması ve icrası
- Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası
- Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi
- Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası
- Çalışanların bilgiye erişim yetkilerinin planlanması ve icrası
- Çalışanların iş faaliyetlerinin takibi ve/veya denetimi
- Etkinlik yönetimi
- Finans ve/veya muhasebe işlerinin takibi
- Hukuk işlerinin takibi
- İnsan kaynakları süreçlerinin planlanması
- İş faaliyetlerinin planlanması ve icrası
- İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası
- İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası
- Kurumsal risk yönetimi faaliyetlerinin planlanması ve/veya icrası
- Kurumsal sürdürülebilirlik faaliyetlerin planlanması ve icrası
- Kurumsal yönetim faaliyetlerin planlanması ve icrası
- Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası
- Müşteri memnuniyeti süreçlerinin planlanması ve/veya takibi
- Müşteri talep ve/veya şikayetlerinin takibi
- Personel temin süreçlerinin yürütülmesi
- Satış sonrası destek hizmetleri
- Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
- Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini
- Şirket denetim faaliyetlerinin planlanması ve icrası
- Şirket dışı eğitim faaliyetlerinin planlanması ve icrası
- Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası
- Şirket içi atama-terfi ve işten ayrılma süreçlerinin planlanması ve icrası
- Şirketin finansal risk süreçlerinin planlanması ve/veya icrası
- Şirketin üretim ve/veya operasyonel risk süreçlerinin planlanması ve/veya icrası
- Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi
- Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi
- Stratejik planlama faaliyetlerinin icrası
- Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icrası
- Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası
- Ürün ve/veya hizmetlerin tanıtım ve/veya pazarlama süreçlerinin planlanması ve icrası
- Verilerin doğru ve güncel olmasının sağlanması
- Yetenek – kariyer gelişimi faaliyetlerinin planlanması ve icrası
- Yetkili kişi ve/veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi
- Ziyaretçi kayıtlarının oluşturulması ve takibi
Bu amaçlar çerçevesinde Şirketimizce yürütülen faaliyetlerin önemli bir kısmı, Kanunun 5. maddesinin 2. fıkrasında ve 6.Maddesinin 3. Fıkrasında belirtilen kişisel veri sahibinin açık rızasını gerektirmeyen faaliyet ve süreçlerdir. Şirketimiz Kanun’unanılan maddeleri kapsamında olmayan faaliyet ve süreçleri için kişisel veri sahibinin açık rızasını ayrıca almaktadır. Bu çerçevede alınan kişisel verilerin Şirketimizce, Kanun’da sayılan ve açık rıza gerektiren faaliyetler yanında Kanun’da açık rızagerektirmeden veri işlemeye izin veren faaliyetler için de kullanılabileceği unutulmamalıdır.
Kişisel veri sahibinin açık rızasını vermemesi durumunda, kişisel veri sahibinin veri işlemeye yönelik açık rızasına gerek duyanilgili iş birimlerimiz tarafından kişisel veri işleme faaliyetleri yapılamayacaktır.
4.3. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirketimiz, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarıncaişlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin
de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON
Şirketimiz tarafından, aşağıda sıralanan kişisel veri sahibi kategorilerinin kişisel verileri işlenmekle birlikte, işbu Politika’nın uygulama kapsamı müşterilerimiz, potansiyel müşterilerimiz, çalışan adaylarımız, şirket hissedarları, şirket yetkilileri, ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ve üçüncü kişilerle sınırlıdır.
Çalışanlarımızın, kişisel verilerin korunması ve işlenmesi faaliyetleri Şirket Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası altında değerlendirilecektir.
Şirketimiz tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerindışında yer alan kişiler de KVK Kanunu kapsamında Şirketimize taleplerini yöneltebilecek olup; bu kişilerin talepleri de bu Politika kapsamında değerlendirmeye alınacaktır.
Aşağıda işbu Politika kapsamında yer alan müşteri, potansiyel müşteri, ziyaretçi, çalışan adayı, hissedar ve yönetim kurulu üyesi,işbirliği içerisinde olduğumuz kurumlardaki gerçek kişiler ve bu kişilerle ilişkili üçüncü kişiler kavramlarına açıklık getirilmektedir.
Kişisel Veri Sahibi Kategorisi | Açıklaması |
Müşteri | Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler |
Potansiyel Müşteri | Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler |
Ziyaretçi | Şirketimizin sahip olduğu veya bir organizasyon gerçekleştirdiği fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler |
Üçüncü Kişi | Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. Kefil, Refakatçi, Aile Bireyleri ve yakınlar) veya bu Politika ve Şirket Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikasıkapsamına girmeyen diğer gerçek kişiler |
Çalışan Adayı | Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler |
Şirket Hissedarı | Şirketimizin hissedarı olan gerçek kişiler ya da tüzel kişi hissedarların gerçek kişi temsilcileri |
Şirket Yetkilisi | Şirketimizin yönetim kurulu üyesi ve Şirketimizce yetkilendirilen diğer gerçek kişiler |
İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri | Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler |
Aşağıdaki tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve bu kategoriler içerisindeki kişilerin hangi tip kişisel verilerin işlendiği detaylandırılmaktadır.
KİŞİSEL VERİ KATEGORİZASYONU | İLGİLİ KİŞİSEL VERİNİN İLİŞKİLİ OLDUĞU VERİ SAHİBİ KATEGORİSİ |
Kimlik Bilgisi | Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
İletişim Bilgisi | Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Müşteri Bilgisi | Müşteri |
Aile Bireyleri ve Yakın Bilgisi | Müşteri, Ziyaretçi, Çalışan Adayı, Üçüncü Kişi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri |
Müşteri İşlem Bilgisi | Müşteri |
Fiziksel Mekan Güvenlik Bilgisi | Ziyaretçi, Şirket Yetkilileri, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri |
İşlem Güvenliği Bilgisi | Müşteri, Ziyaretçi, Üçüncü Kişi, Şirket Yetkilileri, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri |
Risk Yönetimi Bilgisi | Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Finansal Bilgi | Müşteri, Şirket Hissedarı, Şirket Yetkilisi, Şirket Hissedarı, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri |
Özlük Bilgisi | İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri |
Çalışan Adayı Bilgisi | Çalışan Adayı, İşbirliği İçinde Olduğumuz Kurumların Çalışanları |
Yan Haklar ve Menfaatler Bilgisi | İşbirliği İçinde Olduğumuz Kurumların Çalışanları |
Hukuki İşlem ve Uyum Bilgisi | Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Denetim ve Teftiş Bilgisi | Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Özel Nitelikli Kişisel Veri | Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri |
Pazarlama Bilgisi | Müşteri, Potansiyel Müşteri |
Talep/Şikayet Yönetimi Bilgisi
|
Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi
|
6. ŞİRKETİMİZ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMAAMAÇLARI
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.
Şirketimiz KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak (Bkz. Bölüm 3/Başlık 3.5) müşterilerin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
- İş ortaklarımıza,
- Tedarikçilerimize,
- İştiraklerimize,
- Hissedarlarımıza,
- Hukuken Yetkili kamu kurum ve kuruluşlarına,
- Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Veri Aktarımı
Yapılabilecek Kişiler |
Tanımı | Veri Aktarım Amacı |
İş Ortağı | Şirketimizin ticari faaliyetlerini yürütürken şirketimizin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçi | Şirketimizin ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirketimize hizmet sunan tarafları tanımlamaktadır. | Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak. |
İştiraklerimiz | Şirketimizin hissedarı olduğuşirketler | Şirketimizin ileride tesis edilebilecek iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini teminetmekle sınırlı olarak |
Hissedarlarımız | İlgili mevzuat hükümlerine göre Şirketimizin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan ana hissedarlarımız | İlgili mevzuat hükümlerine göre Şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak |
Hukuken YetkiliKamu Kurum veKuruluşları | İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri | İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Şirketimiz tarafından gerçekleştirilen aktarımlarda Politika’nın 2. ve 3. Bölümlerinde düzenlenmiş hususlara uygun olarak hareket edilmektedir.
7. KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak işlediği kişisel veriler hakkında kişisel veri sahibiniaydınlatmaktadır.
7.1.1. Kişisel Verilerin İşlenmesi
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardanyalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası daaynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda bu bölümaltında 7.1.2. Başlığı içerisinde yer alan şartlar uygulanır.
Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işlemefaaliyetinde 6698 sayılı Kanun’un 4. maddesinde belirtilen (Bkz. Bölüm 3.1.) genel ilkelere uygun olarak hareket edilmektedir.
(i) Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık
rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle
açıklanmalıdır.
Kişisel verilerin elde edilme sebeplerine yönelik işbu başlığın (ii), (iii), (iv) (v), (vi), (vii) ve (viii)’de yer alan şartlardanherhangi biri yok ise, Şirketimiz tarafından bu kişisel veri işleme faaliyetleri kişisel veri sahibinin bu işleme faaliyetlerineyönelik açık rızasına dayalı olarak gerçekleştirilmektedir.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, veri sahibinden Şirket tarafından belirlenmiş yasal yöntemler ile açık rıza alınmaktadır.
(ii) Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
(iii) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişininkendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel
verileri işlenebilecektir.
Örnek: Baygınlık geçiren müşterinin kan grubu bilgisinin arkadaşları tarafından doktorlara verilmesi.
(iv) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerinişlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
Örnek: Otomobil satın alan kişinin isim ve iletişim bilgilerinin alınması
(v) Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde verisahibinin kişisel verileri işlenebilecektir.
Örnek: Mahkeme kararıyla talep edilen bilgilerin mahkemeye sunulması.
(vi) Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
Örnek: Bir internet sitesinde belli özelliklere sahip araba satın almak istediğini belirten ve telefon numarasını yazan kişinin bu verileri artık onun açık rızası olmaksızın bu kapsamla sınırlı kalmak kaydıyla işlenebilir. Bu çerçevede ilgili özellikteki arabayı satmak isteyen kişiler herhangi bir rızaya ihtiyaç duymadan ilgili kişiye ulaşabileceklerdir.
(vii) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileriişlenebilecektir.
Örnek: İspat niteliği olan verilerin (satış sözleşmesinin, faturanın) saklanması ve gerekli olduğu anda kullanılması.
(viii) Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veriişlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Örnek: Muhasebe tarafından şirket içi hesaplamalar yapılması amacıyla kişisel veri işlenmesi.
7.1.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirketimiz tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ilefinansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.
8. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLEİNTERNET SİTESİ ZİYARETÇİLERİ
Şirketimiz tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.
Şirketimiz tarafından güvenliğin sağlanması amacıyla, Şirketimiz binalarında ve tesislerinde güvenlik kamerasıyla izlemefaaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Şirketimiz tarafından kişisel veri işlemefaaliyeti yürütülmüş olmaktadır.
8.1. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
Bu bölümde Şirketimizin kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya alındığına ilişkin bilgilendirme yapılacaktır.
Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak,şirketin, veri sahibinin ve diğer kişilerin can ve mal güvenliğini sağlamak ve bu sayılanların meşru menfaatlerini korumak gibiamaçlar taşımaktadır.
8.1.1. Kamera ile İzleme Faaliyetinin Yasal Dayanağı
Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun
ve ilgili mevzuata uygun olarak sürdürülmektedir.
8.1.2. KVK Hukukuna Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi
Şirketimiz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir.
Şirketimiz, bina ve tesislerinde güvenliğin sağlanması amacıyla, kanunlarda öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
8.1.3. Kamera ile İzleme Faaliyetinin Duyurulması
Şirketimiz tarafından KVK Kanunu’nun 10. maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır.
Şirketimiz, genel hususlara ilişkin olarak yaptığı aydınlatmanın (Bkz. Bölüm 3/Başlık 3.3) yanı sıra kamera ile izleme faaliyetineilişkin birden fazla yöntem ile bildirimde bulunmaktadır.
Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
Şirketimiz tarafından kamera ile izleme faaliyetine yönelik olarak; Şirketimiz internet sitesinde işbu Politika yayımlanmakta(çevrimiçi Politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır(yerinde aydınlatma).
8.1.4. Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
Şirketimiz, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Şirketimiz tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.
8.1.5. Elde Edilen Verilerin Güvenliğinin Sağlanması
Şirketimiz tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişiselverilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. (Bkz. Bölüm 2/Başlık 2.1)
8.1.6. Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi
Şirketimizin, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye bu Politika’nın Kişisel Verilerin Saklanma Süreleri isimli 4.3. maddesinde yer verilmiştir.
8.1.7. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Canlıkamera görüntülerini ise, dışarıdan hizmet alınan güvenlik görevleri izleyebilmektedir. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi çerçevesinde verilerin gizliliğini koruma yükümlülüğü altındadır.
8.2. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININTAKİBİ
Şirketimiz tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirket binalarında ve tesislerinde misafir girişçıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak Şirket binalarına gelen kişilerin kişisel verileri elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerdemisafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ve/veya elektronik ortamda veri kayıt sistemine kaydedilmektedir.
8.3. ŞİRKET BİNA ve TESİSLERİNDE ZİYARETÇİLERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
Şirketimiz tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; Şirketimiz tarafından Bina ve Tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlaraerişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerindekullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizliliktaahhütnamesi çerçevesinde eriştiği verilerin gizliliğini koruma yükümlülüğü altındadır.
9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygunolarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Şirketimizin KVK Kanunu’nun Madde 5 fıkra (2) hükümleri uyarınca kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olanhallerde veri sahininin talebini yerine getirmeme hakkı saklıdır.
9.2. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ
9.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
(i) Fiziksel Olarak Yok Etme
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir.Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemiuygulanmaktadır.
(ii) Yazılımdan Güvenli Olarak Silme
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken;bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
(iii) Uzman Tarafından Güvenli Olarak Silme
Şirket bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
9.2.2. Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişiselverilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibiamaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonimhale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından Politika’nın 10. Bölümünde düzenlenen haklar buveriler için geçerli olmayacaktır.
Şirketimiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
(i) Maskeleme
Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim halegetirilmesi yöntemidir.
Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, T.C. Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.
(ii) Toplulaştırma
Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Örnek: Müşterilerin yaşlarının tek tek gösterilmeksizin X yaşından Z yaşında kadar müşteri bulunduğunun ortaya konulması.
(iii) Veri Türetme
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
(iv) Veri Karma
Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi.
10. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ METODOLOJİSİ
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve Şirketimiz, kişisel veri sahiplerininhaklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13.maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir
10.1.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işleminkişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılanişlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine birsonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep
10.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda 10.1.1.’de sayılan haklarını ileri süremezler:
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarlaişlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamukurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infazmercileri tarafından işlenmesi.
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkıhariç, 10.1.1.’de sayılan diğer haklarını ileri süremezler:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunmasıiçin gerekli olması.
10.1.3. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri bu bölümün 10.1.1. Başlığı altında sıralanan haklarına ilişkin taleplerini aşağıda belirtilen yöntemle Şirketimizeiletebileceklerdir:
- http://www.tabanlioglu.com adresinde bulunan formun doldurulup ıslak imzalı olarak imzalandıktan sonra Şirket Asmalımescit Mah. Meşrutiyet Cad. No: 67/2-3-4-5 Beyoğlu/İSTANBUL adresine şahsen iletilmesi
- http://www.tabanlioglu.com adresinde bulunan formun doldurulup ıslak imzalı olarak imzalandıktan sonraAsmalımescit Mah. Meşrutiyet Cad. No: 67/2-3-4-5 Beyoğlu/İSTANBUL adresine noter vasıtası ile gönderilmesi
- Kişilerin kayıtlı oldukları e-posta adresiyle de kvkk@tabanlioglu.com adresine başvurulması.
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.
Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname aslı ibraz edilmelidir.
Kişisel veri sahipleri, haklarını kullanmak için yapacakları başvuruda, yukarıda bağlantı sağlanan “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin BaşvuruFormu’nu dolduracaklardır. Bu formda yapılacak başvurunun yöntemi de ayrıntılı bir şekilde anlatılmaktadır.
Verilecek cevapta on sayfaya kadar ücret alınmayacaktır. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınacaktır. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde şirketimiz tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçmeyecektir. Bu ücretin yatırılmaması halinde başvurular dikkate alınmayacaktır.
10.1.4. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirketimizin
cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyettebulunabilir.
10.2. ŞİRKET’İN BAŞVURULARA CEVAP VERMESİ
10.2.1. Şirketimizin Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün 10.1.3. başlıklı kısmında yer alan usule uygun olarak talebini Şirketimize iletmesi durumundaŞirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi sonuçlandıracaktır.
10.2.2. Şirketimizin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir.
Şirketimiz, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
10.2.3. Şirketimizin, Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Şirketimiz aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarlaişlenmesi.
- Mevcut olarak Kanun’da sayılı işleme amaçlarından bir veya birkaçına dayanarak ilgilinin kişisel verisini işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infazmercileri tarafından işlenmesi.
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veyadüzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunmasıiçin gerekli olması.
- Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
- Orantısız çaba gerektiren taleplerde bulunulmuş olması.
- Talep edilen bilginin kamuya açık bir bilgi olması.
11. ŞİRKET KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ DİĞER ŞİRKET BELGELERİİLE OLAN İLİŞKİSİ
Şirket’in işbu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu Kişisel verilerin korunması ve işlenmesi konusundakaleme alınmış/alınacak temel politika, prosedür ve talimatlar bu Politika ile ilişkilendirilmiştir. Bu politika, prosedür ve talimatların Şirketin diğer alanlarda yürüttüğü temel süreçleri ile de bağı kurularak, Şirketin benzer amaçlarla farklı politikaesaslarıyla işlettiği süreçler arasında harmonizasyon sağlanmaktadır.
TABANLIOĞLU MİMARLIK A.Ş.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİŞİM YAPISI
Şirketimiz tarafından KVK Kanunu (“KVKK”) düzenlemelerine uygun hareket edilmesi ve Kişisel Verilerin Korunması ile İşlenmesi Politikası’nın (“Politika” olarak anılacaktır) yürürlüğünü sağlamak için yönetişim yapısı kurmuştur. Bu yönetişim yapısı kapsamında KVK Komitesi ve İrtibat Kişisi’nin görevleri aşağıda belirlenmiştir.
KVK Komitesi:
Şirket bünyesinde kişisel verilere ilişkin prosedür ve talimatları yönetmek üzere KVK Komitesi atanmıştır. KVK Komitesinin görevleri aşağıda belirtilmektedir.
- Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politika, prosedür ve talimatların oluşturulmasını sağlamak vebunları devreye
- Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak.
- Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespitetmek; ilgili bölümleri yükümlendirmek; uygulanmasını gözetmek ve koordinasyonunu sağlamak.
- Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin işbirliği içerisinde olduğu kurumlarnezdinde farkındalığı arttırmak.
- Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını teminetmek; iyileştirme önerilerini üst yönetimin onayını
- Kişisel verilerin korunması ve politika, prosedür ve talimatların uygulanması konusunda eğitimler tasarlamak ve icraedilmesini sağlamak.
- Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak.
- Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmeküzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
- Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politika, prosedür ve talimatlardaki değişikliklerinhazırlanmasını ve yürürlüğe konulmasını sağlamak.
- Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelereuygun olarak Şirket içinde yapılması gerekenler konusunda üst yönetime tavsiyelerde
- Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine
- Şirket yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra
İrtibat Kişisi:
İrtibat kişisi, Şirket tarafından, 6698 sayılı Kişisel Verileri Koruma Kanunu ve bu kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükler ile ilgili olarak Kişisel Verileri Koruma Kurumu (“Kurum”) ile iletişimi sağlamak amacıyla Veri Sorumluları Sicili’ne kayıt esnasında bildirilen ve Şirket içerisinde KVKK’ya uyumluluğunun en üst düzeyde sağlanması adına denetim ve kontrole yetkili kişidir.
İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi ve Şirket’in KVKK’ya en üst düzeyde uyumlu olmasının teminini sağlar.
KVKK kapsamındaki yetkileri ve sorumlulukları aşağıda yer almaktadır:
- Şirket içerisinde yayımlanmış veya kendisine doğrudan tevdi edilmiş olan bilgi güvenliği ve KVKK ile ilgili talimatlara ve yükümlülüklere uygun hareket etmek.
- Kişisel Verileri Koruma Kurulu tarafından başkaca bir esas belirlenmedikçe; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca Şirketimize yönelteceği başvuruları Şirketimiz adına almak, KVK Komitesi’ne iletmek ve burada KVK Komistesi ile birlikte verilecek cevapla ilgili değerlendirmelere katılmak ve ilgili kişilere Kanun’un 13. maddesinin 3. fıkrası uyarınca Şirket’in cevabını iletmek.
- Kişisel Verileri Koruma Kurumu tarafından yapılan tebligat veya yazışmaları Şirket adına tebellüğ veya kabul etmek.
- Kurum tarafından Şirket’e yöneltilen talepleri Şirket adına almak ve Şirket’in cevaplarını Kuruma iletmek.
- Departmanlar tarafından yürütülen Kişisel Veri İşleme Sözleşmeleri ve Protokollerinin diğer departmanlar arasında koordinasyonunu sağlamak.
- İş süreçlerinde herhangi bir değişiklik olması veya yeni bir projeye başlanması gibi Kişisel Verilerin Korunması Kanunu kapsamında hazırlanmış olan envanter üzerinde değişiklik yapılmasını gerektiren hususlar meydana geldikten sonra değişiklikleri KVK Komitesi ile birlikte incelemek.
- Veri Sorumlusu olan Tabanlıoğlu Mimarlık A.Ş. adına Veri Sorumluları Sicil Bilgi Sistemi (“Sicil”)’ne ilişkin iş ve işlemleri yapmak.
- Envanterleri sistem üzerinde güncellemek ve her daim güncel tutmak.
Kişisel Verilerin Korunması ve İşlenmesi Politikası Yönetişim Yapısı, değişen şartlara ve mevzuata uyum sağlamak amacıyla yönetimin talebiyle zaman zaman güncellenebilir.
EK-1 KISALTMALAR
6698 sayılı Kanun/ Kanun | : | 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
AB | : | Avrupa Birliği |
Anayasa | : | 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete’de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası. |
KVK Kurulu | : | Kişisel Verileri Koruma Kurulu |
KVK Kurumu | : | Kişisel Verileri Koruma Kurumu |
Politika | : | Kişisel Verilerin Korunması ve İşlenmesi Politikası |
Şirket | : | Tabanlıoğlu Mimarlık A.Ş. |
Türk Borçlar Kanunu | : | 4 Şubat 2011 tarihli ve 27836 sayılı Resmi Gazete’de yayımlanan; 11 Ocak 2011 tarihli ve 6098 sayılı Türk Borçlar Kanunu. |
Türk Ceza Kanunu | : | 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu. |
Türk Ticaret Kanunu | : | 14 Şubat 2011 tarihli ve 27846 sayılı Resmi Gazete’de yayımlanan; 13 Ocak 2011 tarihli ve 6102 sayılı Türk Ticaret Kanunu |
EK-2 ÇALIŞAN ADAYLARININ VE İŞ ORTAKLARI ÇALIŞANLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ
KİŞİSEL VERİ SAHİBİ | KİŞİSEL VERİLERİN TOPLANMASI VE
İŞLENMESİ |
HAKLARIN KULLANILMASI VE BAŞVURU |
Çalışan Adayları | Çalışan adaylarının işe alım sürecinde toplanan kişisel verileri ile işin niteliğine göre toplanan özel nitelikli kişisel verileri, Şirketimiz tarafından; Politika’nın 4.2. Bölüm ile 7. Bölümde belirtilen ve aşağıda sıralanan amaçlarla işlenmektedir:
· Adayın niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek, · Gerektiği takdirde, adayın ilettiği bilgilerin doğruluğunun kontrolünü yapmak veya üçüncü kişilerle iletişime geçip aday hakkında araştırma yapmak, · Başvuru ve işe alım süreci hakkında aday ile iletişime geçmek veya uygun olduğu takdirde, sonradan yurtiçinde veya yurtdışında açılan herhangi bir pozisyon için aday ile iletişime geçmek, · İlgili mevzuatın gereklerini ya da yetkili kurum veya kuruluşun taleplerini karşılamak, · Şirketimizin uyguladığı işe alım ilkelerini geliştirmek ve iyileştirmek. |
Çalışan adayları da veri sahibi olmalarından kaynaklanan hakları ile ilgili taleplerini, Şirketimize, bu Politika’nın 10. Bölümde açıklanan yöntemle iletebileceklerdir. |
Çalışan adaylarının kişisel verileri aşağıdaki yöntem ve vasıtalarla toplanabilmektedir:
· Yazılı veya elektronik ortamda yayınlanan dijital başvuru formu; · Adayların şirketimize e-posta, kargo, referans ve benzeri yöntemlerle ulaştırdıkları özgeçmişler, · İstihdam veya danışmanlık şirketleri; Video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılan hallerde, mülakat sırasında, · Aday tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontroller ile şirketimiztarafından yapılan araştırmalar, · Tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri. |
||
İş
Ortaklarının Çalışanları |
Şirketimiz, iş ortakları ile kurmuş olduğu ticari
faaliyetlerin yerine getirilmesi kapsamında, iş ortakların çalışanlarına ilişkin kişisel verileri Politika’nın 4.2. Bölümünde ve 7. Bölümünde açıklanan amaçlar dahilinde işleyebilmektedir. |
Çalışan adayları veri
Sahibi olmalarındankaynaklanan hakları ileilgili taleplerini,Şirketimize, buPolitika’nın 10. Bölümdeaçıklanan yöntemleiletebileceklerdir. |
[1] Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen veriyi ifade eder.
TABANLIOĞLU MİMARLIK A.Ş. | KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI (“Politika”) | YAYIN TARİHİ | 25/12/2019 |
REV.NO VE TARİHİ | – |
1. AMAÇ VE KAPSAM |
Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve bu Kanuna dayalı olarak çıkarılmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği kişisel verilerin saklanması ve imhasına ilişkin Tabanlıoğlu Mimarlık A.Ş.’nin (Bundan sonra “Şirket” olarak anılacaktır) yükümlülüklerinin yerine getirilmesini teminen izlenecek sürecin temel esaslarının belirlenmesi amacıyla düzenlenmiştir.
Bu Politika, Şirket nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.
Kanunda belirtildiği şekilde; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel veriler bu Politika kapsamındadır.
2. TANIMLAR |
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veridir.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kurum: Kişisel Verileri Koruma Kurumu’nu,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
KVK Sorumlusu: Veri Sorumlusunun KVKK ve ilgili Yönetmelikler, Kişisel Verileri Koruma Kurulu’nun kararları ve düzenlemeleri ve sair yasal düzenlemeler kapsamındaki yükümlülüklerini yerine getiren, Veri Sorumlusu adına gerekli işlemleri yürüten, Veri Sorumlusunun Veri Sorumluları Siciline kaydını gerçekleştiren, Kişisel Verileri Koruma Kurulu’nun düzenleyici işlemleri ile kararları, mahkeme kararları, teknik altyapıdaki değişiklikler, mevzuatta meydana gelebilecek değişiklikler gibi durumları takip eden Şirket içi Kişisel Verileri Koruma Sorumlu’sunu,
İrtibat Kişisi: Kişisel Verileri Koruma Kurumu ile Veri Sorumlusu arasındaki iletişimin sağlanması ve yönetilmesi, süreçlerin takibi ve diğer işlemlerinin yürütülmesinden sorumlu personeli,
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, Veri Sorumlusu organizasyonu içerisinde kişisel verileri işleyen personeli,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri İşleme Envanteri: Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanteri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kişisel Verilerin Silinmesi: Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Yok Etme: Bilgilerin saklandığı veri saklamaya elverişli tüm kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesini,
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
ifade eder.
Bu Politikada, aksi belirtilmedikçe kişisel veri ve özel nitelikli kişisel veri “Kişisel Veri” olarak kullanılmaktadır.
3. GENEL KAPSAM VE YASAL DAYANAK |
3.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, Şirket “Veri Sorumlusu” sıfatıyla;
- Şirket’in faaliyetlerinin yürütülmesi amacı ile Şirket’in işlemleri neticesinde doğrudan veya dolaylı olarak edinilen kişisel veriler, aşağıda açıklandığı çerçevede; kaydedilebilecek, saklanabilecek, güncellenebilecek veya mevzuatın izin verdiği durumlarda 3. kişilere açıklanabilecek, devredilebilecek, sınıflandırılabilecek ve KVKK’da sayılan şekillerde işlenebilecektir.
3.1.2. Şirket tarafından, müşterileri, çalışanları, çalışan adayları, iş ortakları ve tedarikçileri gibi taraflardan, kimlik bilgisi, iletişim bilgisi, müşteri bilgisi, müşteri işlem bilgisi, işlem güvenliği bilgisi, hukuki işlem ve uyum bilgisi gibi kategorilerde kişisel veri toplanabilmektedir.
Toplanan kişisel veriler;
– Aydınlatma metninde belirtilen işleme amaçlarının gerçekleştirilmesi ve hizmetlerin müşterilere sunulabilmesi, müşterilere karşı olan yükümlülüklerin yerine getirilmesi, kayıt ve belgelerin düzenlenebilmesi, yerel ve uluslararası yasal mevzuatın öngördüğü bilgi saklama, raporlama, bilgilendirme, denetim ve sair yükümlülüklere uymak,
– Bilgi işlem gereksinimleri, sistem altyapısı, alınan bilgi işlem destek hizmetlerinin gerekliliği, bu hizmet ve ürünlere ilişkin olarak veri sahiplerine gerekli bilgilerin aktarılması amacıyla iletişim kurmak,
– Müşteri memnuniyetinin ölçümlenmesi ve artırılması, şikâyet yönetimi, hizmetler ile ilgili görüş ve önerilerinizi almak, sorun-hata bildirimlerini almak, ürün ve hizmetlere, şikayet ve taleplere yönelik bilgi vermek,
– Ödeme işlemlerini gerçekleştirmek, 3. kişiler ile iş birliği sağlayarak bilgi yazılarının ulaşmasını sağlamak,
– Resmî kurumlarca öngörülen bilgi saklama, raporlama, bilgilendirme, denetim yükümlülüklerine uymak, sözleşmelerin gerekliliklerini yerine getirmek ve bu hizmetlerden faydalanılmasına ilişkin olarak Şirket’in tabi olduğu yasal yükümlülükleri ifa etmek,
– Şirket’in stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; Şirket tarafından yürütülen finans operasyonları, sağlık hizmetleri finansmanı, planlaması ve sağlık hizmetlerinin verilmesi, iletişim, satın alma operasyonları (talep, teklif, değerlendirme, sipariş, bütçeleme, sözleşme), şirket içi sistem ve uygulama yönetimi operasyonları, hukuki operasyonları yönetmek
– Resmi makamlardan veya veri sahiplerinden gelen talepleri incelemek, değerlendirmek ve yanıtlamak,
amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
Yukarıda belirtilen koşullar altında; Şirketimiz kişisel verileri, bunlarla sınırlı olmamak üzere aşağıdaki amaçlarla da işleyebilmektedir:
Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi doğrultusunda;
İş faaliyetlerinin ve iş sürekliliğinin sağlanması faaliyetlerinin planlanması ve icrası,
Finans ve/veya muhasebe işlerinin takibi,
Etkinlik yöntemi,
Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
Operasyon süreçlerinin planlaması ve icrası
İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkililerinin planlanması ve icrası
Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi doğrultusunda;
Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,
Müşteri talep ve/veya şikayetlerinin takibi,
Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icrası,
Satış sonrası destek hizmetleri aktivitelerinin planlanması ve/veya icrası,
Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi
Şirketimiz tarafından sunulan ürün ve hizmetlerin kişisel veri sahiplerinin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek kişisel veri sahiplerine önerilmesi için gerekli çalışmaların yapılması amacı doğrultusunda;
Ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası,
Satış ve satış sonrası operasyonlar ile satın alma operasyonları,
Şirketin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası,
Şirketimizin insan kaynakları politikalarının yürütülmesinin temini amacı doğrultusunda;
İş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması
Şirketimizin insan kaynakları politikalarına uygun şekilde işe başvuruların değerlendirilmesi,
Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
Personel işe giriş-çıkış işlemlerinin yapılması,
Ücret-performans sürecinin değerlendirilmesi,
Ücret ve bordroların yönetilmesi,
Şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası ve
Diğer insan kaynakları operasyonlarının yürütülmesi,
Şirketimizin ve şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda;
Şirketin hukuk işlerinin takibi,
Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası,
Ziyaretçi kayıtlarının oluşturulması ve takibi,
Şirket güvenliğinin temini,
Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini,
Şirket operasyonlarının güvenliğinin temini,
Acil durum yönetimi süreçlerinin planlanması ve icrası,
Şirketin finansal risk süreçlerinin planlanması ve/veya icrası,
Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda;
Şirketimiz tarafından yürütülen finans operasyonları, iletişim, pazar araştırması ve sosyal sorumluluk aktiviteleri, satın alma operasyonları, ürün/proje/yatırım kalite süreçleri ve operasyonları,
Şirket içi sistem ve uygulama yönetimi operasyonları
Şirket dışı eğitim faaliyetlerinin planlanması ve/veya icrası,
İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi gibi amaçlar olarak sıralanabilmektedir.
3.2. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler, Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda Yapılacaklar
- KVK Komitesi, Kişisel Veri İşleme Envanteri’nde yer alan kişisel verilerin işlenmesi ile ilgili şartların ortadan kalkıp kalkmadığını altışar aylık periyodlar halinde veri ortamlarında gözden geçirir. Kurulun veya bir mahkemenin bildirimi üzerine, periyodik denetleme süresine bakılmaksızın KVK Komitesi tarafından kararların/bildirimlerin gereği yapılır.
- KVK Komitesi tarafından gözden geçirmeler neticesinde veri işleme şartlarının ortadan kalktığı tespit edilen kişisel verilerle ilgili olarak, işbu politikaya göre verinin saklanmasına veya silme, yok etme veya anonim hale getirilmesine karar verilir.
- KVK Komitesi, Kurum veya mahkeme tarafından iletilen müzekkere veya kararları derhal uygular ya da bu müzekkere veya kararlarla ilgili itiraz, temyiz gibi yasal yollara başvurulmasını değerlendirir ve sonucuna göre hareket eder.
- Kişisel Verilerin işlenmesi ile ilgili Kanunun 5. ve 6. maddesi ile düzenlemiş olan şartların ortadan kalkmış olmasına rağmen, açılan bir davada verilen bir ihtiyati tedbir kararı veya sair bir karar ile bu tür bir karar olmamasına rağmen açılmış bir davanın olması ve bu davanın Kurumsal Müşteriye / Şirketimize bildirilmiş olması halinde delillerin yok olmasını önlemek amacıyla KVK Komitesi kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemini yargılama sonuna kadar durdurur.
- Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesini, başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olmasını, kişisel verilere yalnızca erişimin gerektirdiği ölçüde KVK Komitesi ve kişisel verilerin saklanmasından sorumlu olan teknik personel tarafından erişilmesini sağlayacak şekilde gerekli teknik ve idari tedbirler alınır ve bu suretle kişisel verilerin silinmesi işlemi yerine getirilir.
- Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi; KVK Komitesi ve verinin saklanmasından sorumlu teknik personel dışındaki diğer kullanıcıların erişimine kapatılarak yapılır. Bu işlemlerin yapılması için Şirket tarafından bu fonksiyonları yerine getirecek olan yazılımlar ve diğer teknik araç ve gereçler kullanılır.
- Kişisel verilerin imha edilmesi ile ilgili bir talep, Kurul’un kararı veya bir mahkeme kararı olması durumunda; KVK Komitesi kişisel veriyi saklandığı fiziksel veya elektronik kayıt ortamlarından kişisel veri işleme şartlarının ortadan kalkması/zamanaşımı süresinin dolmasından sonra ilgili kullanıcıların erişimine (kişisel verilerin silinmesi) kapatır.
- Silinen, yok edilen veya anonim hale getirilen verilerle ilgili olarak kayıtlar tutulur ve bu kayıtlar üç yıl boyunca saklanır.
- İlgili kişilerin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talepleri, kişisel verileri işleme şartlarının tamamen ortadan kalkmış olması şartıyla, Kurumsal Müşteriler / Şirketimiz tarafından talebin alınmasını müteakip 30 gün içinde gerçekleştirilir. Kişisel verileri işleme şartları ortadan kalkmamışsa veya aksine mevzuat, Kurul kararı veya mahkeme kararı yoksa,kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi reddedilebilir. Red kararı gerekçesiyle birlikte, İrtibat Kişisi tarafından talep tarihinden itibaren 30 gün içinde yazılı olarak veya elektronik ortamda ilgili kişiye bildirilir.
3.3. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler
- Kişisel verilerin güvenli bir şekilde saklanması ve bu verilere güvenli bir şekilde erişilmesi konusunda alınmış idari ve teknik tedbirler kapsamında; bilgi güvenliği politikası, idari metinler ve politika, prosedür ve işlem talimatlarıyla kişisel veriler güvence altına alınır.
- Bu Politika tüm çalışanlara duyurulur ve düzenli bir şekilde duyurulmaya devam edilir. Ayrıca, KVKK’ya uyum çalışmaları kapsamında tüm Şirket personeli bilgilendirilir, gerekli eğitimler verilir ve önemli gelişmeler tüm Şirket nezdinde duyurulur. Bu Politika tüm personelin erişimine açık olan Şirket portalında ve şirkete ait internet sitelerinde
- Politikanın gereklerinin yerine getirilip getirilmediğinin takibi KVK Komitesi tarafından yapılır. Politika’ya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın Yöneticisine bildirilir ve aykırılığın giderilmesi için ilgili Yöneticisi gerekli tedbirleri alır. Politika’ya aykırı davranan çalışan hakkında yapılacak işlem için Şirket içerisinde uygun görülecek disiplin işlemi uygulanabileceği gibi ihlalin ağırlığına göre iş akdinin geçerli veya haklı nedenle feshi de gerçekleştirilebilir.
- Politika gereklerinin yerine getirilmesi için Şirket tarafından gerekli yazılımlar/ sistemler/uygulamalar devreye alınır ve mevzuattaki değişiklikler, Şirket’e tebliğ edilen Kurul veya mahkeme kararları nedeniyle oluşabilecek değişiklikler İrtibat Kişisi tarafından takip edilir. Gerekli değişiklikler, değişikliğin meydana gelmesinden itibaren en hızlı şekilde gerçekleştirilir.
3.4. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları
3.4.1. KVK Komitesi:
KVK Komitesi aşağıda yer verilen görevleri yerine getirmekle sorumludur:
- Bu Politika’nın uygulanmasının temin ve takip edilmesi,
- Mevzuatta meydana gelebilecek değişiklikleri, Kurul’un düzenleyici işlemleri ile kararları, mahkeme kararları, teknik altyapıdaki değişiklikler gibi durumların takip edilmesi,
- Veri saklama ve imha ile ilgili olarak yapılan iş programlarının takip edilmesi, gözden geçirilmesi ve iş programları çerçevesinde yapılanların bu Politika ile uyumlu olup olmadığının denetlenmesi, uyumsuzlukların tespit edilmesi durumunda bunların bu Politika ile uyumlu hale getirilmesinin sağlanması,
- Kurum tarafından yapılan tebligat veya yazışmaların veri sorumlusu adına tebellüğ veya kabul edilmesi,
- Kurum tarafından veri sorumlusuna yöneltilen taleplerin veri sorumlusu adına alınması ve cevaplarının Kurum’a iletilmesi,
- Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanun’un 13’üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruların veri sorumlusu adına alınması,
- Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevaplarının iletilmesi,
- Veri sorumlusu adına Sicile ilişkin iş ve işlemlerin yapılması,
- Veri sorumlusu adına sicile kayıt sırasında irtibat kişisi bilgilerinin sicile işlenmesi,
- İşbu Politika’da Tabanlıoğlu Mimarlık A.Ş. Kişisel Verileri Koruma Komitesi İç Yönergesi’nde verilen çeşitli görevlerin yerine getirilmesi.
3.4.2. İrtibat Kişisi
İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. KVKK kapsamındaki yetkileri ve sorumlulukları aşağıda yer almaktadır:
- Kurul tarafından başkaca bir esas belirlenmediği koşulda; ilgili kişilerin Veri Sorumlusuna yönelteceği başvuruları Veri Sorumlusu adına alma, KVK Komitesi’ne iletmek,
- Kurul tarafından başkaca bir esas belirlenmediği koşulda; ilgili kişilerin yaptığı başvurulara ilişkin Veri Sorumlusunun cevabını ilgi kişilere iletmek.
4. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ |
Şirket, Ticaret Kanunu ve düzenlemeleri çerçevesinde denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmak zorunda olup, Şirket işlemleri ile ilgili tüm bilgi ve belgeyi 10 yıl boyunca tutmak zorundadır.
Bununla birlikte, 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olmasındanolması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere verilebilmesini mümkün kılmak için kişisel veriler son işlem tarihinden itibaren 10 yıl süre ile saklanır.
Şirket personeline ait sağlık ve güvenlik kayıtları, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/1-b hükmüne göre 15 yıl boyunca saklanmak durumundadır. Bununla birlikte 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun ilgili maddeleri gereği, Şirket personeline ait sağlık ve güvenlik kayıtları dışındaki diğer kişisel veriler 10 yıl boyunca saklanır.
Destek hizmeti firmaları, kurumsal müşteriler ve tedarikçi firmalardan temin edilen kişisel veriler; 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusu olan Kurumsal Müşterinin / Şirketin hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere sunulabilmesini mümkün kılmak için son işlem tarihinden itibaren 10 yıl süre ile saklanır.
Kişisel Verilerin Saklama ve İmha Süreleri Tablosu
İlgili Kişi | Açıklama | Saklama/İmha süresi |
Şirket işlemlerinin doğrudan ya da dolaylı tarafları | Kişisel Veri | 10 yıl |
Personel | Kişisel Veri | 10 yıl |
Personel | Sağlık ve Güvenlik Kayıtları | 15 yıl |
Destek hizmeti sunucusu/Tedarikçi | Kişisel Veri | 10 yıl |
İmha Süresi
Tabanlıoğlu, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
İlgili kişi, Kanunun 13’ncü maddesine istinaden Tabanlıoğlu’na başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Tabanlıoğlu talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Tabanlıoğlu’nun talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Tabanlıoğlu, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Tabanlıoğlu tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Periyodik İmha
Söz konusu sürelerin bitiminden itibaren 6 aylık periyodik imha zaman aralıklarında kişisel veriler ilgili kullanıcıların erişimine kapatılarak silinir. İlgili kullanıcıların erişimine kapatılan kişisel veriler sadece erişimin gerektirdiği ölçüde KVK Komitesi’nin ve verileri saklamakla gürevli olan teknik personelin erişimine açık olacak şekilde arşivlenir.
İmha İşleminin Hukuka Uygunluğunun Denetimi
Tabanlıoğlu, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.
Tabanlıoğlu, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.
- Teknik Tedbirler
- Tabanlıoğlu, işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
- Tabanlıoğlu, imha işlemlerinin yapıldığı yerin güvenliğini sağlar.
- Tabanlıoğlu, imha işlemini yapan kişilerin erişim kayıtlarını tutar.
- Tabanlıoğlu, imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.
- İdari Tedbirler
- Tabanlıoğlu, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
- Tabanlıoğlu, bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
- Tabanlıoğlu, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
- Tabanlıoğlu, imha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
- K. UNVAN, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.
5. KİŞİSEL VERİLERİN AKTARILMASI |
Tabanlıoğlu yürütmekte olduğu ticari faaliyetlerin niteliği dikkate alındığında Kanuna ve ilgili mevzuata uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini almak suretiyle kişisel veri sahiplerinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarmaktadır. Tabanlıoğlu ayrıca Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda ’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı ülke”) kişisel verileri aktarmaktadır. Bu doğrultuda Tabanlıoğlu Kanun’da öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak müşterilerin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
Tabanlıoğlu iş ortaklarına,
Tabanlıoğlu tedarikçilerine,
Hukuken Yetkili kamu kurum ve kuruluşlarına
Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Veri Aktarımı Yapılabilecek Kişiler
|
Tanımı |
Veri Aktarım Amacı |
İş Ortağı | Şirketimizin ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirketimize hizmet sunan tarafları tanımlamaktadır. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçi | Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Yetkilileri, Üçüncü Kişi | Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak. |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri | İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
6. YÜRÜRLÜK |
- Bu Politika 25/12/2019 tarih ve …/… sayılı Yönetim Kurulu Kararı ile kabul edilmiştir.
- Bu Politika Yönetim Kurulu tarafından kabul edildiği tarihte yürürlüğe girer.
TABANLIOĞLU MİMARLIK ANONİM ŞİRKETİ
ÇALIŞANLARIN KİŞİSEL VERİLERİNİN KORUNMASI VE İŞLENMESİ POLİTİKASI
25.12.2019
GİRİŞ
Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemelergetirmektedir.
İlgili kanun kapsamında kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kişisel veri işleme terimi ise kişisel verilerin toplanmasından silinmesine kadar geçen sürede yapılan her türlü işlem anlamınagelmektedir.
Kişisel verilerin işlenmesinde Şirketimizin uygun süreçlere sahip olması, hukuka uygun hareket edebilme yeteneğini önemli ölçüdearttıracak ve bu durum tüm ilgili faaliyetleri etkileyecektir.
POLİTİKANIN AMACI
İşbu politikada Tabanlıoğlu Mimarlık A.Ş. (“Şirket”) çalışanlarının kişisel verileri işlenirken hangi kurallara uyulacağıdüzenlenmektedir. Dolayısıyla bu politikanın amacı çalışanların ve politika kapsamında yer alan diğer kişisel verilerin nasıl işleneceğini tespit etmektedir. Bu politikanın bir diğer amacı da çalışanların kişisel verilerinin işlenmesi konusunda bilgilendirilmesidir.
POLİTİKANIN KAPSAMI
Bu politika şirket çalışanlarını kapsamakta ve onlar hakkında uygulama alanı bulmaktadır. Çalışanlar yanında hala kişisel verileriişlenmekte olan eski çalışanlar ile Topluluk Şirketimize iş başvurusunda bulunan adaylar da bu politikada yer alan kuralların uygulanmasından etkilenebileceklerdir. Bu politika kapsamında çalışan ifadesi, politika uygulanabilir olduğu ölçüde eskiçalışanlar ve çalışan adayları ile stajyerleri de kapsar.
YÜRÜRLÜK VE GÜNCELLENEBİLİRLİK
İşbu Politika, Şirket tarafından düzenlenerek XX.XX.XX tarihinde yürürlüğe girmiştir. Bu politika değişen şartlara ve mevzuatauyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncelleme yapılması halinde çalışanlarımız, ilgili güncelleme hakkında çeşitli kanallar aracılığı ile bilgilendirileceklerdir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Bu politikanın uygulanmasından İnsan Kaynakları sorumludur.
1 İŞE ALIM VE YERLEŞTİRME SÜRECİNDE ADAYLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ
Bu bölüm altında, işe alım sürecinde adayların kişisel verilerinin işlenmesine ilişkin özel düzenlemeler yer almaktadır. Adaylarailişkin özel düzenlemeler, bu politikada çalışanlar için yer alan diğer düzenlemelerle birlikte uygulanır.
1.1 İşe Alım Sürecinde Toplanan ve İşlenen Kişisel Veriler
Şirket, bu politikanın “6. Kişisel Verilerin Kategorizasyonu” başlıklı bölümünde belirtilen bilgilerin tamamını veya bir kısmını yapılan başvurunun niteliğine göre işleyebilir. Şirket ayrıca, iş başvurusunda bulunan adayların aşağıdaki bilgilerini toplayabilir ve işleyebilir.
- İsim, adres, doğum tarihi, e-posta adresi, telefon numarası ve diğer iletişim bilgileri,
- Özgeçmiş, ön yazı, geçmiş veya ilgili iş tecrübesi veya diğer tecrübe, eğitim durumu, transkript, dil test sonuçları veya iş başvurusuna ilişkin destekleyici veya açıklayıcı belgeler,
- Video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılması durumunda mülakat sırasında elde edilenbilgilerin kayıtları,
- Önceki işverenlerden alınan referanslar veya aday tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontrol sonucu elde edilen bilgiler veya Şirket tarafından yapılan araştırmalar sonucu elde edilen bilgiler,
- Yetenek ve kişilik özelliklerini tespit eden işe alım testlerinin sonuçları.
İşin niteliğine göre Şirket, başvuruda bulunan adaydan özel nitelikli kişisel verilerini (örneğin, sabıka kaydı veya sağlık raporu)talep eder. Böyle bir durumda, aday ilgili özel nitelikli kişisel verinin talep edilme nedeni ve kullanım amacı hakkında başvuruformu veya ayrı bir açıklayıcı not ile bilgilendirilir.
1.2 Adayların Kişisel Verilerinin Toplanma ve İşlenme Amaçları
Şirket, bu politikanın 7. bölümünde belirtilen amaçların bir veya birden fazlasına dayalı olarak ve başvurunun niteliğini dikkatealarak adayın verilerini işleyebilir.
1.3 Adayların Kişisel Verilerinin Toplanma ve İşlenme Yöntemleri
İşe alım sürecinde adayların kişisel verileri bu politikada belirtilen diğer yöntem ve vasıtalarla birlikte veya bu yöntem ve vasıtalaraek olarak aşağıdaki yöntem ve vasıtalarla toplanabilir.
- Yazılı veya elektronik ortamda yayınlanan dijital başvuru formu,
- Adayların Şirkete e-posta, kargo, referans ve benzeri yöntemlerle ulaştırdıkları özgeçmişler,
- İstihdam veya danışmanlık şirketleri,
- Video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılan hallerde, mülakat sırasında,
- Aday tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontroller
ile Şirket tarafından yapılan araştırmalar, - Tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işealım
Şirket toplanan kişisel verileri, bilgisayar sistemleri ve insan kaynakları personeli vasıtasıyla otomatik olan veya otomatikolmayan yollarla işler.
1.4 Adaylar Hakkında Referans Araştırması Yapılması
Şirket, adaylar hakkında referans araştırması yapabilir. Yapılacak referans araştırması genel olarak adayın verdiği bilgilerin doğruluğunu tespit etmeye yönelik olacaktır. Ayrıca adayın kendisi hakkında sakladığı ve Şirketimiz bakımından risklerin doğmasına sebep olabilecek bilgileri tespit etmek de yapılabilecek araştırmanın amaçları arasında olacaktır. Referans sürecinde, adayların referans olarak gösterdiği ve Şirket’e sunduğu üçüncü kişilere ait kişisel verilere ilişkin aday, üçüncü kişi verilerinin sahiplerini bilgilendirdiğini ve kendilerinden gerekli rızalarını aldığını kabul, beyan ve taahhüt eder.
Yapılacak referans araştırması kapsamında üçüncü kişilerle adaylara ait kimlik bilgileri, iş ve eğitim tecrübeleri gibi gerekli kişisel veriler paylaşılabilir. Ayrıca adaylar hakkında üçüncü kişilerden kişisel veri elde edilebilir.
Adaylar, kendileri ile ilgili yapılacak referans araştırması hakkında her zaman Şirket ile irtibat kurabilir.
1.5 Adayların Kişisel Verilerine İlişkin Hakları
Kanun’dan kaynaklanan haklarını kullanmak isteyen adaylar bu politikada açıklanan usul ve esaslar kapsamında Şirketebaşvurabilirler.
1.6 Adaylık Sürecinde Toplanan Kişisel Verilerden İşe Alım Halinde İşlenmesine Devam Edilecek Olanlar
İşe alım süreçleri boyunca hakkınızda toplanan ve işlenen tüm kişisel veriler, adayın ilgili açık pozisyonda istihdam edilmesinekarar verilmesi halinde özlük dosyasına aktarılır.
1.7 Adayların Kişisel Verilerinin Güvenliği
Şirketin çalışanları ile Şirkete iş başvurusunda bulunan adayların kişisel verilerinin güvenliği arasında negatif ayrımcılık yapılmaz. Kişisel verilerin güvenliği hakkında detaylı bilgi bu dokümanın kişisel verilerin güvenliğine ilişkin kısmındabulunabilir.
2 ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİNE İLİŞKİN İLKELER
- Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareketedilmektedir. Bu kapsamda kişisel veriler işlendikleri amaçla orantılı ve sınırlı olarak işlenir.
2.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Çalışanların meşru menfaatleri dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeleryapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Şirket bünyesinde oluşturulur.
2.3 Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veriler açık ve kesin veri işleme amaçlarına dayalı olarak işlenmektedir. Kişisel veriler sadece bu amaçlar için gerekliolduğu kadar işlenmektedir. Verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulur.
2.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
2.5 Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Şirket kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir sürebelirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan sürekadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirketimizin bu yönde uyguladığı politikaesaslarına göre periyodik imhalarla silinmekte, yok edilmekte veya anonim hale getirilmektedir.
3 ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ ŞARTLARI
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan sadece bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir.
Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası daaynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde burada yazankuralların yanında; aşağıda bu bölüm altında “Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller” Başlığı içerisinde yer alan şartlar uygulanır.
Çalışanlarımız, işlenen kişisel verilerinin hangileri olduğu, kişisel verilerinin hangi amaçlarla ve hangi sebeplerle işlendiği, kişisel verilerinin hangi kaynaklardan toplandığı, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında dabilgilendirilir.
3.1 Kanunlarda Açıkça Öngörülmesi
Kanunda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, Şirket verisi işlenecek çalışanın ayrıca açık rızasını almadan kişisel verilerini işler.
3.2 Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan çalışanınkendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde çalışanın açık rızası alınmaksızın verileri işlenebilir.
3.3 Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerinişlenmesinin gerekli olması halinde veriler işlenebilir.
3.4 Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Veri sorumlusu olarak hukuki yükümlülükleri yerine getirmek için işlemenin zorunlu olması halinde açık rıza alınmaksızın çalışanverileri işlenebilir.
3.5 Çalışanın Kişisel Verisini Alenileştirmesi
Çalışanın, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde alenileştirmeye amacıyla sınırlı açık rızaya gerek olmaksızın veriler işlenebilir.
3.6 Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde çalışanın açık rızası alınmaksızın verileri işlenebilir.
3.7 Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi
Çalışanın temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için veri işlemenin zorunlu olması halindeçalışanın açık rızası alınmaksızın verileri işlenebilir.
3.8 Çalışan Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi
Çalışan kişisel verilerinin, yukarıda 3.1 – 3.7 maddelerinde belirtilen şartlardan herhangi birine dayalı olarak işlenemediği durumlarda,açık rızaya dayalı olarak işlenmektedir.
4 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ HALLER
Kişisel verilerin bir kısmı, “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır.
4.1 Özel Nitelikli Kişisel Verilerin Açık Rızaya Dayalı Olarak İşlenmesi
Özel nitelikli kişisel veriler, çalışanın açık rızası olması halinde, bu politikada belirtilen ilkeler ve gerekli idari ve teknik tedbirleralınarak işlenebilir.
4.2 Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenebileceği Haller
Özel nitelikli kişisel veriler, çalışanın açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
- Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
- Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlartarafından.
5 ÇALIŞANIN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Kişisel verilerin elde edilmesi sırasında kişisel veri sahipleri, Kişisel Verilerin Korunması Kanunu’nun 10.maddesi uyarınca Şirkettarafından bilgilendirilir. Bu kapsamda varsa Şirket temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişiselverilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile çalışanların sahip olduklarıhaklar kendilerine bildirilir.
Çalışanların, kişisel verilerine ilişkin Kişisel Verilerin Korunması Kanunu 11.maddede düzenlenmiş ilgili kişilerin hakları kapsamında bilgi talep etmesi halinde, Şirket tarafından gerekli bilgilendirme yapılır.
6 KİŞİSEL VERİLERİN KATEGORİZASYONU
Bu politika kapsamında, Şirket tarafından çalışanların aşağıda belirtilen kategorilerdeki kişisel verileri işlenmektedir.
KİŞİSEL VERİ[1]KATEGORİZASYONU | KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
Kimlik Bilgisi | Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan tüm bilgiler |
İletişim Bilgisi | Telefon numarası, adres, e-mail gibi bilgiler |
Aile Bireyleri ve Yakın Bilgisi | Şirketin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler |
Fiziksel Mekân Güvenlik Bilgisi | Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasındaalınan kayıtlar ve belgelere ilişkin kişisel veriler |
İşlem Güvenliği Bilgisi | Şirket faaliyetlerimizi yürütürken gerek çalışanlarımız gerekse de Şirketin teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız içinişlenen kişisel verileriniz |
Finansal Bilgi | Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler |
Özlük Bilgisi | Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerinelde edilmesine yönelik işlenen her türlü kişisel veri |
Çalışan Adayı Bilgisi | Şirketimizin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenenkişisel veriler- |
Çalışan İşlem Bilgisi | Çalışanlarımızın veya şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin işle ilgili gerçekleştirdiği her türlü işleme ilişkin işlenen kişisel veriler |
Çalışan Performans ve Kariyer Gelişim Bilgisi | Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler |
Yan Haklar ve Menfaatler Bilgisi | Çalışanlara veya Şirketimizle çalışma ilişkisi içerisinde olan diğer gerçek kişilere sunduğumuz ve sunacağımız yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin takibi işin işlenen kişisel verileriniz |
Hukuki İşlem ve Uyum Bilgisi | Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz |
Denetim ve Teftiş Bilgisi | Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel verileriniz |
Özel Nitelikli Kişisel Veri | 6698 Sayılı Kanun’un 6ıncı maddesinde belirtilen veriler felsefi inanç, dini görüş bilgileri, sağlık bilgileri, ceza hükmü ve güvenlik tedbirleri bilgileri, biyometrik veriler |
Talep/Şikâyet Yönetimi Bilgisi | Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin alınmasıve değerlendirilmesine ilişkin kişisel veriler |
Risk Yönetimi Bilgisi | Ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler |
Olay Yönetim Bilgisi | Şirketimizin, çalışanlarının, hissedarlarının etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler |
Görsel/İşitsel Veri | Fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
7 KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
- İşleme Koşulları
Kişisel veriler aşağıdaki koşullarla sınırlı olarak işlenmektedir. Bu koşullar;
- Kişisel verilerinizin işlenmesine ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi,
- Kişisel verilerinizin Şirket tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili vegerekli olması,
- Kişisel verilerin işlenmesinin Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin çalışan tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde Şirkettarafından işlenmesi
- Kişisel verilerin Şirket tarafından işlenmesinin Şirketin veya çalışanların veya üçüncü kişilerin haklarının tesisi,kullanılması veya korunması için zorunlu olması
- Çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri işlemefaaliyetinde bulunulmasının zorunlu olması
- Şirket tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veyabeden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veyahukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.
Yukarıda belirtilen şartların bulunmaması halinde; kişisel veri işleme faaliyetinde bulunmak için Şirket kişisel veri sahiplerinin açık rızalarına başvurmaktadır.
7.2 İşleme Amaçları
Şirketimiz, kişisel verileri; Şirket’in ve Şirket’le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini; Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi; Şirket’in ticari ve/veya iş stratejilerinin planlanması ve icrası; Şirket’in insan kaynakları politikaları ve süreçlerinin planlanmasının ve icra edilmesi; Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi; Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası kapsamında aşağıdaki amaçlarla ancak bunlarla sınırlı olmamak üzere işlemektedir:
- Acil durum yönetimi süreçlerinin planlanması ve icrası
- Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası
- Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi
- Çalışan memnuniyetinin ve/veya bağlılığının ölçümlenmesi süreçlerinin planlanması ve icrası
- Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası
- Çalışanlara yönelik kurumsal iletişim ve/veya kurumsal sorumluluk projelerinin planlanması ve/veya icrası
- Çalışanların bilgiye erişim yetkilerinin planlanması ve icrası
- Çalışanların iş faaliyetlerinin takibi ve/veya denetimi
- Çalışanların performans değerlendirme süreçlerinin planlanması ve takibi
- Çalışanların ücret artışlarının planlanması
- Etkinlik yönetimi
- Finans ve/veya muhasebe işlerinin takibi
- Hukuk işlerinin takibi
- İnsan kaynakları süreçlerinin planlanması
- İş faaliyetlerinin planlanması ve icrası
- İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası
- İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi
- İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası
- Kurumsal risk yönetimi faaliyetlerinin planlanması ve/veya icrası
- Kurumsal sürdürülebilirlik faaliyetlerin planlanması ve icrası
- Kurumsal yönetim faaliyetlerin planlanması ve icrası
- Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası
- Personel çıkış işlemlerinin planlanması ve icrası
- Personel temin süreçlerinin yürütülmesi
- Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
- Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini
- Şirket denetim faaliyetlerinin planlanması ve icrası
- Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası
- Şirket içi eğitim faaliyetlerinin planlanması ve icrası
- Şirket içi atama-terfi ve işten ayrılma süreçlerinin planlanması ve icrası
- Şirket içi oryantasyon aktivitelerinin planlanması ve icrası
- Şirket yerleşkesinin güvenliğinin temini
- Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi
- Tedarik zinciri yönetimi süreçlerinin planlanması ve icrası
- Ücret yönetimi
- Ürün ve/veya hizmetlerin tanıtım ve/veya pazarlama süreçlerinin planlanması ve icrası
- Yetenek – kariyer gelişimi faaliyetlerinin planlanması ve icrası
- Yetkili kişi ve/veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi
- Ziyaretçi kayıtlarının oluşturulması ve takibi
Bu amaçlar çerçevesinde Şirketimizce yürütülen faaliyetlerin önemli bir kısmı, Kanunun 5. maddesinin 2. fıkrasında ve 6. Maddesinin 3. Fıkrasında belirtilen kişisel veri sahibinin açık rızasını gerektirmeyen faaliyet ve süreçlerdir. Şirketimiz Kanun’un anılan maddeleri kapsamında olmayan faaliyet ve süreçleri için kişisel veri sahibinin açık rızasını ayrıca almaktadır.Bu çerçevede alınan kişisel verilerin Şirketimizce, Kanun’da sayılan ve açık rıza gerektiren faaliyetler yanında Kanun’da açık rıza gerektirmeden veri işlemeye izin veren faaliyetler için de kullanılabileceği unutulmamalıdır.
Çalışanın açık rızasını vermemesi durumunda yukarıda amaca giren tüm kişisel veri işleme faaliyetlerin yapılamamasıdeğil; madde 7.1’de belirtilen çalışanın veri işlemeye yönelik açık rızasına gerek olmayan aynı amaç kapsamı içindeki kişisel veriişleme faaliyetlerinin dışında kalan ve bu amaca yönelmiş kişisel veri işleme faaliyetlerinin yapılamayacağı anlamı çıkmalıdır.
8 KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
Bu başlık altında kişisel verilerin işlendiği özel durumlar hakkında açıklamalara yer verilecektir.
8.1 Özel Sağlık Sigortası ve Bireysel Emeklilik ile Benzeri Yan Haklar ve Menfaatlerin Sağlandığı Durumlarda Kişisel Verilerinizin İşlenmesi
Özel sağlık sigortası, bireysel emeklilik ya da benzeri faydalar bu başlık altında ek ve/veya yan fayda olarak adlandırılır.
- Yan Haklar ve Menfaatlerin Sağlanması Amacıyla Kişisel Verilerinizin İşlenmesi
Yan haklar ve menfaatlerin (sağlık sigortası, bireysel emeklilik vb.) temin edileceği üçüncü şirketlerin topladıkları kişisel veriler veya bu şirketlerin çalışanlarından elde edilen kişisel veriler, genel iş ilişkisine ilişkin olarak kullanılmaz. Bu doğrultuda gerekenönlemler alınır ve bu önlemler sürekli olarak güncel tutulur.
- Yan Haklar ve Menfaatlerin Sağlanması İçin Gereken Kişisel Verileriniz İşlenmesi
Yan haklar ve menfaatlerin temin edileceği kişiler ile çalışan verileri paylaşılırken, çalışana sağlanacak faydanın gerektirdiğiasgari seviyeden fazla kişisel veri paylaşımı yapılmaz. Ayrıca paylaşılan kişisel verilerin bu kişiler tarafından başka amaçlaişlenmesini engellemeye yönelik tedbirleri alınır. Paylaşılan kişisel verilerin özel nitelikli kişisel veri olması halinde, bu tip kişisel veriler hakkında uygulanan önlemler alınır.
- Fırsat Eşitliğinin Gözetilmesi Kapsamında Kişisel Verilerinizin İşlenmesi
Çalışanlar arasında ırk, etnik köken, din, mezhep, engellilik ve cinsel tercihler gibi farklılıklar nedeniyle ayrımcılık yapmamak vetüm çalışanlar arasında fırsat eşitliğini sağlamak amacıyla gerekli olduğu ölçüde, çalışan kişisel verileri işlenebilir.
Fırsat eşitliğinin sağlanması amacıyla öncelikli olarak Şirket çalışanlarının anonim verileri kullanılır. Anonim verilerin yeterli olmaması halinde kişisel veri işlenir.
8.5 Usulsüzlüklerle Mücadele İçin Kişisel Verilerinizin İşlenmesi
Şirket bünyesinde yapılabilecek usulsüz işlemleri engellemek adına değişik birimlerde yer alan kişisel veri setleri karşılaştırılabilir.Bu kapsamda başta çalışanların mali işlemleri olmak üzere herhangi bir işlem kontrol edilebilir ve bunlarla ilgili değişik birimlerde yer alan kişisel veri setleri incelenebilir ya da karşılaştırılabilir.
Yapılacak ön inceleme sonucunda ciddi bir usulsüzlüğün varlığına ilişkin şüpheye düşülmesi halinde bu işlemle ilgili kişisel verilerkonunun uzmanı üçüncü kişiler tarafından incelenebilir.
8.6 Referans Verilmesi İçin Kişisel Verilerinizin İşlenmesi
Çalışanlara iş ve eğitim gibi gereken konularda referans olunabilir. Bu kapsamda her çalışanın
bağlı olduğu birim yöneticisi ile varsa alt seviyedeki yöneticiler, o çalışana referans olabilir.
Bir yöneticinin herhangi bir çalışana referans olması için o yöneticinin ilgili çalışana referans olmayı kabul etmesi gerekir.
Referans verilmesi halinde çalışanın kimlik bilgileri, işyerindeki performansı, çalışanın kişisel özellikleri ve niteliklerine ilişkinbilgiler paylaşılabilir. Ayrıca çalışanın açık rızasını vererek talep ettiği ve referans olacak kişinin uygun bulduğu bilgiler, referanstalep eden kişi tarafından istenen bilgiler de paylaşılabilir.
8.7 Şirket Birleşme ve Devralmaları ile Şirket Yapısını Değiştiren Diğer İşlemlerde Kişisel Verilerinizin İşlenmesi
Şirket birleşme ve devralmaları ile şirket yapısını değiştiren diğer işlemler sırasında kişisel veriler mümkün olduğuncaanonimleştirerek paylaşılır. Anonimleştirilmesi mümkün olmayan kişisel verilerin, bu tip işlemler kapsamında paylaşılmasının gerekmesi halinde bunların paylaşıldığı kişilerden aşağıdaki konulara ilişkin garanti alınmasına özen gösterilir:
- Kişisel veriler sadece yürütülecek işlemler çerçevesinde kullanılacaktır,
- Kişisel veriler ile ilgili gizlilik kurallarına uygun davranılacaktır,
- Ayrı bir hukuki sebep bulunmadıkça veya zorunlu olmadıkça kişisel veriler üçüncü kişilere aktarılmayacaktır.
8.8 Disiplin Soruşturmalarında Kişisel Verilerinizin İşlenmesi
Çalışan hakkında yapılabilecek disiplin soruşturmaları kapsamında sadece disiplin soruşturmasının gerektirdiği kadar kişiselveriye erişim sağlanır. Kişisel verilerin doğruluğu ve güncelliğinin kontrol edilmesi için gerekli çaba gösterilir ve bu kapsamda soruşturmanın etkinliğinin önemli şekilde ortadan kaldırılmaması kaydıyla gerekli aksiyonlar alınır.
9 KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI
Kişisel veriler ve özel nitelikli kişisel veriler, işleme amaçları doğrultusunda veya çalışanın açık rızasının bulunması durumunda gerekli güvenlik önlemleri alınarak üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere)aktarılabilmektedir.
9.1 Kişisel Verilerin Aktarılması
Kişisel veriler, veri işleme amaçları doğrultusunda, yukarıdaki madde 7.1’de belirtilen hallerin varlığı durumunda üçüncü kişilereaktarılabilir:
9.2 Özel Nitelikli Kişisel Verilerin Aktarılması
Çalışanın özel nitelikli kişisel verileri aşağıdaki durumlarda üçüncü kişilere aktarabilir.
- Çalışanın açık rızası var ise veya
- Çalışanın açık rızası yok ise;
- Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefiinanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum vekuruluşlara, aktarılabilir.
9.3 Kişisel Verilerin Üçüncü Kişilere Aktarımına İlişkin Hususlar
Kurumumuz, Çalışan kişisel verilerini işbu Politika’da belirtilen işleme amaçları dahilinde aşağıdaki amaçlarla üçüncü kişilere aktarabilmektedir:
- Çalışanlar’ın performans değerlendirme kriterlerinin belirlenmesi ve takibi süreçlerine destek olunması,
- Yabancı Çalışanlar’ın çalışma/oturma izni başvuru süreçlerine destek olunması,
- Çalışanlar’a sağlanan yan hakların ve menfaatlerin planlanması ve takibi süreçlerine destek olunması,
- Çalışanlar’ın ücret artış paketlerinin ve prim süreçlerinin planlanması ve icrası konusunda destek olunması,
- Şirketimiz insan kaynakları stratejilerinin planlanması, yedekleme süreçleri ve organizasyonel gelişim faaliyetleri konusunda destek olunması,
- Şirketimiz üst düzey yöneticilerinin atama, terfi ve işten ayrılma kararlarının uygulanması ve ilgili duyuruların yapılması,
- Şirketimiz üst düzey yöneticilerinin ücret ve prim paketlerinin belirlenmesi konusunda destek olunması,
- Şirket çalışan bağlılığının ölçümlenmesi süreçlerinin planlanması ve yürütülmesine destek olunması,
- Çalışanlar’ın kariyer gelişimi, eğitim ve yetenek yönetimi faaliyetlerinin planlanması ve icrası süreçlerine destek olunması,
- İşe alım süreçlerine destek olunması,
- Şirketimizin de bir parçası olduğu topluluk şirketlerinin şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,
- Şirketimize tabi olunan mevzuata uyum konusunda destek olunması,
- Topluluk itibarının korunmasına yönelik çalışmaların yürütülmesi,
- Topluluk genelinde etkinlikler düzenlenmesi,
- Şirketimiz faaliyetlerinin Şirket politikalarına ve ilgili mevzuata uygun olarak yürütülmesi konusunda denetim faaliyetlerinin yürütülmesi,
- Çalışanlar’a yönelik iletişim ve haberleşme faaliyetlerinin yürütülmesi.
9.4 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Kişisel verileriniz aşağıda sıralanan kişi kategorilerine aktarılabilir:
- Şirket iş ortaklarına,
- Şirket tedarikçilerine,
- Şirket bünyesindeki işletmelere,
- Şirket Hissedarlarına
- Hukuken Yetkili kamu kurum ve kuruluşlarına
- Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Veri Aktarımı Yapılabilecek Kişiler | Tanımı | Veri Aktarım Amacı |
İş Ortağı | Şirketin faaliyetlerini yürütürken şirketin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçi | Şirketin faaliyetlerini yürütürken Şirketin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirkete hizmet sunan tarafları tanımlamaktadır. | Şirketin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketin faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirkete sunulmasını sağlamak amacıyla sınırlı olarak. |
İştirakler | Şirketin hissedarı olduğu
şirketler |
Şirketin ileride tesis edilebilecek iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak |
Hissedarlar | İlgili mevzuat hükümlerine göre Şirketin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan ana hissedarlar | İlgili mevzuat hükümlerine göre Şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirketin bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri | İlgili mevzuat hükümlerine göre Şirketten bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak |
10 KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmamasıdurumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’unizninin bulunduğu yabancı ülkelerde mukim üçüncü kişilere aktarılabilmektedir.
10.1 Kişisel Verilerin Yurtdışına Aktarılması
Kişisel veriler, veri işleme amaçları doğrultusunda, Madde 7.1’de belirtilen hallerden birinin varlığı durumunda yurtdışına aktarabilmektedir:
10.2 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Özel nitelikli kişisel veriler aşağıdaki durumlarda yurtdışına aktarabilmektedir.
- Çalışanın açık rızası var ise veya
- Çalışanın açık rızası yok ise;
- Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefiinanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum vekuruluşlara aktarılabilir.
11 KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasaldüzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece verilersilinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketeyöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişimsağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim halegetirilmektedir.
12 KİŞİSEL VERİLERİN GÜVENLİĞİ
Kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul önlemler alınmaktadır.
Kişisel verilere, erişim yetkisi bulunan kişilerden başkalarının erişmesini engellemek adına gereken her türlü teknik, idari vefiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, hiç kimsenin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanır. Sağlık verileri gibi özel nitelikli kişisel verilerin güvenliği sağlanırken diğer kişisel verilere göre daha katı önlemler alınır.
Yetkilendirilmiş kişiler gereken güvenlik kontrollerinden geçirilir. Ayrıca bu kişiler söz konusu kişiler görev ve sorumluluklarıhakkında eğitilir.
Kişisel verilere erişim kayıtları teknik imkânlar elverdiği ölçüde tutulur ve bu kayıtlar düzenli aralıklarla incelenir. Yetkisiz erişimsöz konusu olduğunda derhal soruşturma başlatılır.
Şirket ile ilgisi olmayan çalışan kişisel verileri içeren e-posta veya diğer dokümanların tespit edilmesi halinde bunların imha edilmesi için bildirimde bulunulur. Belirlenen sürede gerekli aksiyonların alınmaması halinde imha işlemleri Şirket tarafındangerçekleştirilir.
Kişisel verileri işleyen çalışanlarımız, işlenen verilerin güvenliğinin sağlanması amacıyla aşağıdaki yükümlülüklere uyar:
- Kişisel verilerin korunmasına ilişkin konularda hukuka uygun ve dürüst davranma,
- Kişisel verileri doğru, tam ve eksiksiz işleme,
- Güncelliğini kaybeden kişisel verilerin güncellenmesi amacıyla gerekli çalışmaları yapma,
- Kişisel verilerin işlenmesinde herhangi bir hukuka aykırılık fark ettiğinde ilgili yöneticiyi bilgilendirme,
- Kişisel verilere ilişkin kanuni hakların kullanılabilmesi için gerekli yönlendirmeleri yapma,
13 ÇALIŞANLARIN İŞ FAALİYETLERİ İLE BAĞLANTILI GERÇEKLEŞTİRDİKLERİ ELEKTRONİK HABERLEŞME İŞLEMLERİNE İLİŞKİN KİŞİSEL VERİLERİNİN İŞLENMESİ
Çalışanların iş faaliyetleri sırasında gerçekleştirdikleri işlemler hem Şirketin hem müşterilerin hem çalışanların hem de diğer üçüncü kişilerin güvenliği açısından önem taşıyabilmektedir. Çalışanların elektronik haberleşme işlemlerine ilişkin kişisel verilerinişlenmesi halinde; çalışan verilerinin işlenmesinde bu politikada yer alan düzenlemelere uygun davranılır.
13.1 Elektronik Haberleşme İşlemlerine İlişkin Özel Kurallar
Elektronik haberleşme işlemleri ile elde edilen çalışanlara ilişkin kişisel verilere dayanarak bir çalışan aleyhinde şikâyet prosedürüveya disiplin süreci başlatmadan önce ve sonrasında Kanun ve işbu Politika’da yer alan kişisel verilerin korunması ve işlenmesikurallarına uygun hareket edilir. Bu politika ile getirilen kurallara aykırı davranarak çalışanlar hakkında hukuka aykırı veri işleyen; ya da bu faaliyetler sonucunda elde edilen bilgileri başka amaçlarla kullanan çalışanlar hakkında disiplin soruşturmasıbaşlatılabilir.
- Elektronik Haberleşme Araçlarının Kullanımına İlişkin Kişisel Verilerin İşlenmesi
Şirket tarafından çalışana sağlanmış veya sağlanabilecek olan cep telefonu, diz üstü bilgisayar, tablet ve benzeri elektronik haberleşme araçlarının kullanımına ilişkin olarak çalışan verileri işlenebilir. Elde edilen verilerin özel nitelikli kişisel veri olduğu durumlarda; özel nitelikli kişisel verilerin işlenmesine ilişkin bu politika hükümleri dikkate alınır. Elektronik haberleşme araçlarının kullanımına ilişkin elde edilen kişisel verilere ilişkin, bu politikadaki diğer hükümler uygulama alanı bulur.
13.3 Telefon Görüşmelerine İlişkin Kişisel Verilerin İşlenmesi
Şirket telefonundan yapılan iletişim, telefon görüşmesi yapılan numaralar ve iletişimin süresine ilişkin kişisel verilerin sadeceişlendikleri amaçla sınırlı olarak kullanılmasına özen gösterilir. Elde edilen verilerin özel nitelikli kişisel veri olduğu durumlarda;özel nitelikli kişisel verilerin işlenmesine ilişkin bu politika hükümleri dikkate alınır.
13.4 Kurumsal E-Postalara İlişkin Kişisel Verilerin İşlenmesi
Çalışan kurumsal e-posta hesabı üzerinden elde edilen kişisel veriler yasal mevzuat kapsamında bu politikada yer alan hükümlerçerçevesinde işlenebilir.
13.5 İnternet Kullanımına İlişkin Kişisel Verilerin İşlenmesi
Yasal mevzuat çerçevesinde, çalışanların internet kullanımı sırasında kişisel verilerin elde edilmesi halinde; elde edilen kişiselverilere ilişkin, bu politikadaki ilgili hükümler uygulama alanı bulur.
13.6 Güvenlik Kamerası Uygulamasına İlişkin Kişisel Verilerin İşlenmesi
İşyerinde güvenlik veya benzeri amaçlarla kamera kayıtları kullanımı nedeniyle kişisel verilerin elde edilmesi halinde; elde edilen kişisel veriler ileride bir şüpheli işlemin araştırılması, uyuşmazlığın çözümü veya şikâyet halinde delil olarak kullanmak gibi amaçlarla veya bu politikada belirtilen diğer amaçlarla işlenebilir.
- Şirket Tarafından Tahsis Edilen Araçlara İlişkin Kişisel Verilerin İşlenmesi
Çalışanlara Şirket tarafından tahsis edilen veya ileride edilebilecek araçlara ilişkin faaliyetler sırasında elde edilen kişisel verilerinişlenmesine ilişkin olarak bu politikada yer alan hükümler uygulama alanı bulur.
13.8 Üçüncü Kişiler Tarafından Verilen Bilgilerin İşlenmesi
Belirli durumlarda üçüncü kişilerden çalışanlar hakkında bilgi talep edilebilmektedir. Bu üçüncü kişiler bankalar, kredi notu değerlendirme kuruluşları ve benzeri araştırma şirketleri olabilmektedir. Bu yönde bir uygulamanın olması halinde, işlenen kişiselverilere ilişkin olarak bu politikada yer alan hükümler uygulama alanı bulur.
14 ÇALIŞANLARIN SAĞLIKLARIYLA İLGİLİ TOPLANAN VE İŞLENEN KİŞİSEL VERİLERE İLİŞKİN ÖZELKURALLAR
- Sağlık Verilerinin Ayrı Saklanması ve Sağlık Verilerini İşlemeye Yetkili Çalışanlar
Sağlık verileri, Şirket olanakları elverdiği oranda, yetkisiz erişimlerden korumak ve daha yüksek güvenlik sağlamak adına, diğer kişisel verilerden ayrı olarak saklanmaktadır. Şirket, sağlık verilerini mümkün olan en dar kapsamda işlemeye özen göstermektedir. Sağlık verilerinin işlenmesi gereken durumlarda, bu işlemeyi gerçekleştirmek amacıyla yetkilendirilen kişilerin, bu verilerin hassasiyetini anlamasına ve gerekli önemleri alabilmesine yönelik bilgilendirmeler yapılır.
14.2 Sağlık Verilerinin Özel Nitelikli Kişisel Veri Olarak Muamele Görmesi
Çalışan sağlık verileri özel nitelikli kişisel veri olarak kabul edilmektedir. Özel nitelikli kişisel veriler hakkında uygulanan tümönlemler sağlık verileri için de uygulanır.
14.3 Sağlık Verilerine Erişim
Sağlık verilerinize erişim sadece gerekli olması durumunda bu konuda yetkilendirilmiş çalışanlar tarafından gerçekleştirilebilecektir. Ayrıca yöneticilere, onların yönetsel rollerini yerine getirebilmeleri için gereken seviyede sağlık verileri açıklanabilir.
14.4 Alkol ve Uyuşturucu Testleri
Uyuşturucu ve alkol kullanımı nedeniyle iş sözleşmesinin, çalışma şartlarının veya disiplin kurallarının esaslı bir şekilde ihlaledilmesi ya da söz konusu ihlallere ilişkin ciddi riskler ortaya çıkması halinde, yasal düzenlemelerin izin verdiği ölçüde, çalışanüzerinde alkol ve uyuşturucu testleri yapılabilecektir.
15 ÇALIŞANLARIN KANUNİ HAKLARI VE BUNLARI KULLANMA YÖNTEMLERİ
- Kişisel Verilere İlişkin Kanuni Haklar
Kişisel verilere ilişkin olarak çalışanların kullanabileceği kanuni haklar aşağıda sayılmaktadır:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine birsonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep
15.2 Kişisel Verilere İlişkin Kanuni Hakların Kullanılmasına İlişkin Esaslar
Kişisel verilere ilişkin hakları kullanmak için çalışanlar, Şirket’e yazılı başvuruda bulunabilir. Bu doğrultuda yapacağınız başvurulara en geç 30 gün içerisinde cevap verilmektedir.
Detaylı bilgiye Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası aracılığıyla ulaşabilirsiniz.
16 ŞİRKET KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
Şirketin işbu politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda kaleme alınmış/alınacak temel politika, prosedür ve talimatlar bu Politika ile ilişkilendirilmiştir. Bu politika, prosedür vetalimatların Şirketin diğer alanlarda yürüttüğü temel politikalarla da bağı kurularak, Şirketin benzer amaçlarla farklı politikaesaslarıyla işlettiği süreçler arasında harmonizasyon da sağlanmaktadır.
EK-1 TANIMLAR
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgüriradeyle açıklanan rıza. |
Anonim Hale Getirme | Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi. |
Kişisel Veri Sahibi | Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlübilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb. |
Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâlegetirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, Şirket’in verilerini tutan bulut bilişim firması, müşterilere formları imzalattığı anketörleri,scriptler çerçevesinde arama yapan call- center firması vb. |
Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur. |
[1] Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen veriyi ifade eder.
TABANLIOĞLU MİMARLIK ANONİM ŞİRKETİ VERİ SAHİBİ BAŞVURULARININ ALINMASI, DEĞERLENDİRİLMESİ VE YANITLANMASI PROSEDÜRÜ
Kısaltma | Açıklama |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu |
Prosedür | 6698 Sayılı Kanun’a Göre Veri Sahibi Başvurularının Alınması, Değerlendirilmesi ve Yanıtlanması Prosedürü |
Başvuru Formu | Veri Sahibi’nin Kanun m.13 uyarınca gerçekleştireceği başvurularda kullanılmak üzere Prosedür’ün eklerinde sunulan ya da bu ekler temel alınarak Şirket tarafından kaleme alınan form |
Kurum | Kişisel Verileri Koruma Kurumu |
Kurul | Kişisel Verileri Koruma Kurulu |
Çalışanlar | Şirket Çalışanları |
Şirket | Tabanlıoğlu Mimarlık Anonim Şirketi |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. (Örnek: Çağrı merkezi, e-ticaret, müşteri iletişim formları, müşteri şikayetlerini kayıt altına alan kalite personelleri, bordro ve özlük işleri takip eden personel müdürlüğü, ziyaretçi bilgileri alan kapı güvenlik personelleri, asistanlar gibi) |
Veri Sahibi | Kişisel verisi işlenen gerçek kişi |
Kişisel Veri | Kanun kapsamında bulunduğu sürece, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişiliktir. |
Kişisel Veri Koruma Sorumlusu (“KVK Sorumlusu”) | Şirket içerisinde Veri Sorumlusu’nun ilgili Kanun maddeleri kapsamındaki görevlerine yerine getiren kişidir. |
Veri Kategorizasyonu | Veri Envanteri içerisinde yer verilmiş olan veri sahibi, kişisel veri ve paylaşılan taraf bilgilerine ilişkin kategori bilgileri |
Veri Envanteri | Şirket’in tüm veri işlediği dokümanlar, veri işleme süreçleri ve amaçlarının envanterinin tutulduğu envanter |
Süreç | Veri Envanteri’nde yer alan her bir veri işleme faaliyeti |
Kanunun 13’üncü maddesi, başvurunun “yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle” yapılacağını öngörmüştür. Kanunun 13’üncü maddesinin 1. Fıkrası ve 30356 sayılı ve 10.03.2018 tarihli Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ gereğince Türkçe ve yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletilebileceği düzenlenmiştir. Cevap vermeden önce kimlik doğrulama hakkımız saklıdır. Bu kapsamda yukarıda yöntemler aracılığı ile yazılı dilekçe veya başvuru formu aracılığı ile başvurular kabul edilir.
Yazılı olarak yapılacak başvurular, gerekli belgeler eklenerek veri sorumlusu olarak Şirketimizin Asmalımescit Mah. Meşrutiyet Cad. No: 67/2-3-4-5 Beyoğlu/İSTANBUL adresine verilir.
E-posta yoluyla yapılacak başvurular kvkk@tabanlioglu.com e-posta adresine iletilir.
KEP yoluyla yapılacak başvurular tabanlioglu@hs03.kep.tr KEP adresine iletilir.
Talebinizin niteliğine göre bilgi ve belgelerin eksiksiz ve doğru olarak tarafımıza sağlanması gerekmektedir.
Başvurularda Veri Sahibinin;
- a) Adı, soyadı ve başvuru yazılı ise imzası,
- b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancı ise uyruğu, pasaport numarası veya varsa kimlik numarası,
- c) Tebligata esas yerleşim yeri veya iş yeri adresi,
ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- d) Talep konusu,
bulunması zorunlu olup varsa konuya ilişkin bilgi ve belgelerin de başvuruya eklenmesi gerekmektedir.
- Başvurunun İçeriği
Başvuranın Kimliğinin Tespiti: Veri Sahibi taleplerinin değerlendirilebilmesi için öncelikle başvuruyu yapan kişinin, Şirket nezdinde işlenen kişisel verilerin sahibi olup olmadığı tespit edilir.
- Başvuruyu işleme alabilmek ve doğru kişiye sonucu iletebilmek için başvuranın kimlik bilgileri (Veri Sahibi’nin adı, soyadı, TC Kimlik numarası, iş veya ikametgâh adresi) tespit edilir.
- Elektronik ortamdan yapılan başvurularda yazılılık şartını sağlamak üzere, Veri Sahibi’nin başvurularında 5070 Sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza kullanılmalıdır. Güvenli elektronik imzaya dayalı nitelikli elektronik sertifika ile de başvurucunun kimliği hukuken tespit edilebilecektir.
Şarta bağlı olan taleplerle ilgili bu şartın nasıl gerçekleştiği yolunda veri sahibinden (örneği başvuru formunda gösterildiği şekilde) ekstra bilgi istenmeli ve bu iddiasını kanıtlayacak vesikalar Kanun uyarınca geçerli olmayan kanallardan da (örn. Call center, internet sitesi v.b.) başvurular alınabilir. Bu kanallardan başvuru alındığı takdirde veri sahibi Prosedür uyarınca tasarlanan geçerli başvuru kanallarına yönlendirecek uyarı ve yönlendirme metinleri dizayn edilmelidir.
Prosedürde belirlenen yollarla alınmayan başvurular için
- eğer başvurucunun kimliği tespit edilmiş ve
- formla istenen bilgiler sağlanmış ise
bu tür yolarla yapılan başvurular da değerlendirmeye alınabilir.
Bu niteliği taşımayan başvurular da değerlendirilerek formda istenen bilgiler elde edilene kadar başvurucu ile iletişimde bulunulmalı; usule uyulmadığı gerekçesiyle başvurunun reddedildiği belirtilmelidir.
Kanun’da Veri Sahibi’nin Veri Sorumlusu’na talepte bulunabileceği belirtilmiş olsa dahi başvuruyu Veri Sahibi’nin vekili veya kanuni temsilcinin yapmasını engelleyen bir kural bulunmamaktadır. Bu nedenle, bazı başvurular Veri Sahibi tarafından doğrudan yapılmayabilir.
Böyle bir durumda, başvuruda bulunan kişinin başvuruda bulunma yetkisinin varlığı kontrol edilmelidir. Örneğin başvuru, Veri Sahibi’nin avukatı tarafından gönderilebilir. Böyle bir durumda, avukatın yetkisini teyit etmek amacıyla avukattan vekaletname sureti talep edilmelidir.
Çocukların Kişisel Verilerini ilgilendiren talepler için başvuru yasal temsilci tarafından yapılabilecektir. Böyle bir durumda da mutlaka yasal temsilcinin yetkisini belirleyen belgelerin suretleri talep edilmelidir.
Toplu başvuru durumunda, başvuru yapan üçüncü kişi ile irtibata geçilerek öncelikle yetki durumu tespiti yapılır. Sonrasında talep yapılan her bir kişi için ayrı başvuru yapılması istenir. Gelen toplu başvuru değerlendirmeye alınmaz. Toplu başvuru yapan yetkili kişiye azami 10 iş günü içinde başvurunun usule uygun olmadığı gerekçesiyle başvurunun reddedildiği yazılı olarak bildirilir.
- Başvuru Ücreti
Kanun’da Veri Sorumlusu’nun kendisine iletilen talebi cevabın on sayfayı geçmediği hallerde ücretsiz olarak sonuçlandırması öngörülmüştür. Ancak, işlemin on sayfayı geçtiği hallerde Kurul on sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınacağını öngörmüş olup başvuruya verilecek cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Veri Sahibi kişi veya kişilerden talep edilecek olan ücret, kayıt ortamının maliyetini geçmeyecektir.
Veri Sahibi tarafından yapılan başvurularda yer alan taleplerde sunulması gereken arasında eksik bilgi olabilir, üçüncü kişilere ait bilgilere yer verilebilir veya çeşitli sebeplerle başvurunun reddedilmesi gerekebilir. Bu itibarla, tüm bu olasılıkların Şirket tarafından değerlendirilmesi gerekmektedir.
Üçüncü kişilere ait kişisel verileri paylaşmadan bilgi edinme talebinin yanıtlanması mümkün olmayan durumlarda aşağıdaki üç adımlı değerlendirme süreci uygulanabilecektir:
- Bilgi edinme talebinin, üçüncü kişiye ait kişisel verileri paylaşmadan yanıtlanması mümkün mü? (ör: 3. Kişiye ait bilginin üstünün kapatılması veya silinmesi gibi)
- Üçüncü kişi kendisi hakkında kişisel veri paylaşılmasına açık rıza vermiş midir?
- Üçüncü kişinin açık rızası alınamıyor ise, açık rıza alınmadan kişisel veri paylaşılması makul müdür?
Öncelikle, Kişisel Verisi açıklanmak durumunda kalınan Veri Sahibi’nden açık rıza alınması yoluna başvurulur.
Üçüncü kişi verilerinin paylaşılmasına rıza vermiyorsa, üçüncü kişinin bilgileri tamamen ayıklanarak başvuru yanıtlanır.
Eğer Kişisel Veri’si açıklanacak üçüncü kişi Verisi Sahibi’ne ulaşmak mümkün değilse, üçüncü kişi kişisel verisi içeren bilginin paylaşılması konusunda hassas davranılmalıdır. Gerekli olması halinde, üçüncü kişi Kişisel Veri’si içeren bilgiler de paylaşılabilecektir.
Başvuruların Değerlendirme Süreleri
Veri Sahibi taleplerinin Şirket tarafından en kısa sürede ve en geç başvuru tarihinden itibaren 30 gün içerisinde değerlendirilerek sonuçlandırılması gerekmektedir.
Başvuruların zamanında cevaplandırılabilmesi için Şirket içerisinde taleplerin işlenmesine ilişkin prosedürler geliştirilir. Bu prosedürlerde asgari olarak aşağıdaki sürelerin öngörülmesi gerekmektedir:
- Bir başvuru geldikten sonra, ilgili departmanlara başvuruya ilişkin bilgilerin ve taleplerin gönderilmesi için azami 3 günlük süre
- Gönderilen departmanların gelen talebe ilişkin yanıt vermesi için azami 1 hafta süre
- Örnek Değerlendirme Süreçleri
- Kanun m. 11/1 (a), (b), (c), (ç) uyarınca gelen başvurular
- Gelen başvuru KVK Sorumlusu tarafından kaydedilerek incelemeye alınır.
- Kişinin kimlik bilgileri kontrol edilerek başvuru yapmaya yetkili olup olmadığı tespit edilir.
iii. Başvuru Formu’nda yer alan bilgilerden hareketle Veri Envanteri’ndeki ilgili “Süreç” tespit edilir. İlgili “Süreç” tespit edilirken Veri Envanteri’ndeki Veri Kategorizasyonu ile Başvuru Formu’nda verilen bilgiler karşılaştırılır. Veri Kategorizasyonu ve Veri Sahibi Kategorizasyonu’ndan ilgili kategorilerde bulunan Süreç’lere sorgu indirgenir. Bu süreçte yer alan veri işleme amaçları ve paylaşılan taraflar bilgileri cevabın oluşturulmasında kullanılır.
- Veri Envanteri üzerinden yapılan incelemenin yanı sıra başvuru formunda yer alan Veri Sahibi bilgileri Şirket veri tabanları üzerinde aratılarak gerçek test uygulanır. Gerçek test sonuçları ile iii. adımında belirtilen Veri Envanteri adımları karşılaştırılır, gerçek test sonucunda Veri Envanteri’nde yer almama ihtimali bulunan veriler tespit edilmesi durumunda Veri Envanteri güncellenerek iii. adımındaki sorgu tekrarlanır.
- Eğer ilgili süreçlerde ve gerçekleştirilen gerçek testte Veri Sahibi’nin başvuru formunda belirttiği kişisel verilere rastlanmıyorsa «Başvuru sahibi ile ilgili kişisel veri kaydı yoktur; başvuru sahibi hakkında kişisel veri işlenmemektedir cevabı», KVK Sorumlusu bu doğrultuda başvuruyu cevaplar.
- Eğer ilgili süreçlerde ve gerçekleştirilen gerçek testte Veri Sahibi’nin başvuru formunda belirttiği kişisel verilere rastlanıyorsa; Veri Sahibi’nin talebi doğrultusunda, iii. başlıklı adımda belirtilen şekilde Veri Envanteri’nde yer alan veri işleme amacı, paylaşılan taraf ve paylaşma amacı bilgilerinden uygun olanlarına cevap metni içerisinde yer verilir.
vii. Yukarıda anılan aşamalarda, yapılan işlemler, işlem ve zaman olguları, oluşan olay kayıtları, evraklar ve sorgu sonuçları KVK Sorumlusu tarafından kayıt altına alınır ve bu konuda oluşturulan elektronik dizinde saklanır.
viii. Yukarıda yer alan 1. (i) ve (ii) numaralı adımlar izlenir.
- Veri Sahibi’nin ya da temsilcisinin sağladığı Kişisel Veriler ve bunları tevsik eden belgeler, Şirket kayıtlarında yer alan bilgilerle bilgiler karşılaştırılır ve talep kapsamında hatalı ya da eksik olduğu belirtilen bilgiler incelenir.
- Eğer sağlanan Kişisel Veri’ler ve tevsik edici belgelerdeki bilgiler MERNİS ve Adres Kayıt Sistemi gibi yerlerdeki bilgilerle de uyuşuyorsa kayıtların düzeltilmesi notu alınır. Gerekli düzeltmenin yapılması için veri tabanından sorumlu olan birime konu iletilir.
- Bu aşamada “Başvurunuzun incelenerek başvurunuzda belirttiğiniz bilgi ve belgelere dayalı olarak kişisel verileriniz güncelleştirilmiştir” notu veya muadili bir ileti KVK Sorumlusu’na gönderilir.
xii. Yukarıda yer alan 1. (vi) numaralı adım izlenir.
- Kanun m. 11/1 (e) uyarınca gelen başvurular
- Yukarıda yer alan 1 (i) (ii) ve (iii) numaralı adımlar izlenir.
- Veri Envanteri’nde hangi Süreç’lerde yasal zorunluluk nedeniyle saklama ve işleme yapılması gerektiği tespit edilir.
iii. Eğer yasal zorunluluk nedeniyle saklama ve işleme zorunluluğu yok ise «Talebiniz üzere Şirketimiz nezdindeki kişisel verileriniz silinmiş ve/veya anonimleştirilmiştir» cevabı hazırlanarak KVK Sorumlusu tarafından gönderilir ve paralelde kişisel verilerin silinmesi ve anonimleştirilmesi işlemi başlatılır.
- Eğer yasal zorunluluk nedeniyle işleme ve saklama zorunluluğu var ise “Yapmış olduğunuz başvuru neticesinde gerekli incelemeler yapılarak […] kişisel veri işleme faaliyetlerinin kişisel veri işlemeye temel olan hukuki amacın ortadan kalkmasından dolayı gerçekleştirilmediğini tespit ettiğimizi bildirmek isteriz. Bu çerçevede ilgili iş birimlerimizin de hukuki amacı ortadan kalkan veri işleme faaliyetinde bulunmaması için gerekli tedbirler alınmıştır. Bununla birlikte kişisel verileriniz Şirketimiz kanuni yükümlükleri çerçevesinde […] Amaçlarla ilgili mevzuatlarda öngörülen sürelerle işlenmek, saklanmak ve talep vukuunda açıklanmak zorunda olup; ancak bu yükümlülüğünü ortaya koyan mevzuatlar kapsamında yetkili kurum ve kuruşlardan gelen resmi taleplerin yanıtlanması ve/veya şirketimizin kanuni yükümlülükleri yerine getirmek amacıyla işlenecektir. Bu nedenle bahsi geçen amaçlar çerçevesinde kişisel verilerinizin işlenmesi kanuni yükümlülüğümüz olduğundan dolayı kişisel verilerinizin silinmesi veya anonimleştirilmesi talebinizi yerine getiremediğimizi ancak yukarıda belirttiğimiz şekilde sadece bu amaçlarla işleneceğini bildirmek isteriz” notu veya muadili bir ileti KVK Sorumlusu tarafından gönderilir.
- Yukarıda yer alan 1. (vi) numaralı adım izlenir.
- Kanun m. 11/1 (f) uyarınca gelen başvurular
- Yukarıda yer alan 1 (i) (ii) (iii) ve (iv) numaralı adımlar izlenir.
- İndirgenen süreçlerde Süreç Kartı’nın paylaşılan kişiler bölümünden kategorik halde paylaşılan kişiler tespit edilir.
iii. Eğer silme veya anonimleştirme talebi kabul görmüşse; ilgili üçüncü kişilerden bu talebin yerine getirilmesi talep edilir. Paralelde veri sahibine iletilmek üzere «Uygun bulunan silme veya anonimleştirme talebinize istinaden kişisel verilerinizin aktarıldığı kişilerdeki kişisel verileriniz silinmiş veya anonimleştirilmiştir» cevabı veya muadili bir cevap hazırlanarak KVK Sorumlusu tarafından gönderilir.
- Yukarıda yer alan 1. (vi) numaralı adım izlenir.
- Kanun m. 11/1 (g) uyarınca gelen başvurular
- Yukarıda yer alan 1. (i) ve (ii) numaralı adımlar izlenir.
- Veri Sahibi’nin ya da temsilcisinin sağladığı bilgi ve belgelerle, münhasıran otomatik sistemler vasıtasıyla gerçekleştirilen ve Veri Sahibi’nin aleyhine sonuç doğurduğu iddia ettiği süreç incelemeye alınır.
iii. Yapılan inceleme neticesinde otomatik Süreç’te ve bu Süreç içerisinde işlenen Kişisel Veri’lerde herhangi bir eksiklik ve hata olmadığı tespit ediliyorsa «Yapılan incelemeler neticesinde; Şirketimiz nezdindeki kişisel verileriniz kullanılarak oluşturulan raporlarda bir eksiklik ve yanlışlık tespit edilmemiş olduğunuzdan itirazınız reddedilmiştir.» cevabı veya muadili bir cevap hazırlanarak KVK Sorumlusu tarafından gönderilir.
- Eğer kişinin sağladığı bilgiler mevcut değerlendirme sürecindeki verilerde; dolayısıyla otomatik olarak oluşturulan sonuçta bir değişiklik yaratıyor ve kişi lehine bir sonuç yaratıyorsa bu sonuç cevap yapılarak, kişinin itirazının değişen sonuca göre kayıt altına alındığı ve sistemlerin bu şekilde güncellendiği bilgisi hazırlanarak KVK Sorumlusu tarafından gönderilir.
- Yukarıda yer alan 1. (vi) numaralı adım izlenir.
- Kanun m. 11/1 (ğ) uyarınca gelen başvurular
- Yukarıda yer alan 1. (i) ve (ii) numaralı adımlar izlenir.
- Veri Sahibi’nin ya da temsilcisinin sağladığı bilgiler ışığında zarar talebi, hukuk ve ilgili birimlerin katılımıyla incelemeye alınır.
iii. Bu inceleme neticesinde ortaya çıkan sonuç ve cevap tanzim edilerek KVK Sorumlusu tarafından gönderilir.
Tüm başvurular, KVK Sorumlusu tarafından yanıtlanır.
30 Gün İçinde Cevap Verilmesi: Şirket çalışan tarafından yapılan başvuruda yer alan talepleri inceler. Talebin niteliğine göre Şirket, en kısa sürede veya her halde en geç otuz (30) gün içinde talebi yerine getirmekle yükümlüdür. Bu süre içerisinde herhangi bir cevabın verilmemesi halinde başvuru sahibi Kurul’a şikâyette bulunabilecektir.
Şirket Cevabında Bulunması Gereken Bilgiler:
- Veri sorumlusunun başvuruya veya temsilcisine ait bilgileri,
- Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
- Talep konusunu,
- Talebin Alınma tarihi
- Taleple ilgili ekstra bilgi ve belge talep edilmiş ise; bu taleplerin tarihi ve ilgili cevapların alınması tarihi
- Taleple ilgili yapılan işlemler
- Taleplere Karşı Şirketin Cevapları
- Talep Yanıtlama Tarihi
- Yetkili İmza
Noter kanalıyla yapılan başvurulara verilen yanıtlar: Cevap, Şirket antetli kağıda basılarak Şirket’in Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında yetki olarak atadığı kişi tarafından iki nüsha imzalanır. Cevap posta yoluyla başvuru sahibine iletilmek üzere muhaberata verilir.
Elektronik imza ile verilen yanıtlar : Cevap Şirket antetli ve elektronik imzalı olarak Şirket’in Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında yetkili olarak atadığı kişi tarafından güvenli elektronik imza kullanılarak imzalanır. Cevap başvuru sahibinin elektronik posta hesabına gönderilir.
İlgili başvuruyla ilişkin oluşan olay kayıtları, evraklar ve sonuçları bu konuda oluşturulan elektronik dizinde saklanır. Yazılı gönderi kaydının da arşivde kopyası saklanır.
TABANLIOĞLU MİMARLIK ANONİM ŞİRKETİ GÖRÜNTÜ KAYITLARIN TOPLANMASI VE İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ
- Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun” veya “Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Tabanlıoğlu Mimarlık A.Ş. (“Şirket”) tarafından aşağıda açıklanan kapsamda işlenebilecektir.
- Kişisel Verilerin Hangi Amaçla İşleneceği
Toplanan kişisel verileriniz, Şirketimiz bina ve tesis güvenliğinin sağlanması ve Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki, teknik ve ticari güvenliğinin temini amaçlarıyla; 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
- İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Toplanan kişisel verileriniz; Şirketimiz bina ve tesis güvenliğinin sağlanması ve Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amaçlarıyla iş ortaklarımızla, tedarikçilerimizle, hissedarlarımızla, iştiraklerimizle, kanunen yetkili kamu kurumlarına ve özel kişilerle; güvenlik kamerası görüntülerini ise gerektiğinde kamera sistemini kuran şirket bina yönetimi; güvenlik ile bağlantılı olarak polis, jandarma ve diğer güvenlik görevlileri ile ve idari organlar ve yargı mercileri ile paylaşacaktır.
ç) Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz, Şirketimiz tarafından fiziki ortamda binamızda bulunan güvenlik kameraları ile ses ve görüntü elde edilmesi yoluyla toplanmaktadır. Şirket kişisel verilerinizi, doğrudan otomatik sistemler (kamera sistemleri) ile elektronik ortamlarda;
Kanun’un 5. ve 6. maddesinde belirtilmiş olan;
- Kanunlarda açıkça öngörülmüş olması,
- Şirketimizin hukuki yükümlülüğü yerine getirebilmek için zorunlu olması, ,
- Temel hak ve özgürlüklerinize zarar vermemek kaydıyla, Şirketimizin meşru menfaati için işlemenin zorunlu olması,
- Tarafınızca alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için işlemenin zorunlu olması,
hukuki sebeplerine dayanarak toplamaktadır.
- Kişisel Veri Sahibinin 6698 sayılı Kanun’un 11. maddesinde Sayılan Hakları
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi aşağıda düzenlenen yöntemlerle Şirket’e iletmeniz durumunda Şirket talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde sonuçlandıracaktır. Verilecek cevapta on sayfaya kadar ücret alınmayacaktır. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınacaktır. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Şirket tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçmeyecektir.
Bu kapsamda kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Yukarıda belirtilen haklarınızı kullanma ile ilgili talebinizi, 6698 sayılı Kanun’un 13. maddesinin 1. fıkrası ve 30356 sayılı ve 10.03.2018 tarihli Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ gereğince Türkçe ve yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Şirket’e daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletebilirsiniz. Şirket’in cevap vermeden önce kimliğinizi doğrulama hakkı saklıdır.
Başvurunuzda;
- Adınızın, soyadınızın ve başvuru yazılı ise imzanızın,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numaranızın, yabancı iseniz uyruğunuzun, pasaport numaranızın veya varsa kimlik numaranızın,
- Tebligata esas yerleşim yeri veya iş yeri adresinizin,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numaranızın,
- Talep konunuzun, bulunması zorunlu olup varsa konuya ilişkin bilgi ve belgelerin de başvuruya eklenmesi gerekmektedir.
Yazılı olarak yapmak istediğiniz başvurularınızı, gerekli belgeleri ekleyerek veri sorumlusu olarak Şirketimizin Asmalımescit Mah. Meşrutiyet Cad. No: 67/2-3-4-5 Beyoğlu/İSTANBUL adresine verebilirsiniz.
E-posta yoluyla yapmak istediğiniz başvurularınızı kvkk@tabanlioglu.com e-posta adresine yapabilirsiniz.
KEP yoluyla yapmak istediğiniz başvurularınızı tabanlioglu@hs03.kep.tr KEP adresimize yapabilirsiniz.
Talebinizin niteliğine göre bilgi ve belgelerin eksiksiz ve doğru olarak tarafımıza sağlanması gerekmektedir.
İstenilen bilgi ve belgelerin gereği gibi sağlanmaması durumunda, Şirket tarafından talebinize istinaden yapılacak araştırmaların tam ve nitelikli şekilde yürütülmesinde aksaklıklar yaşanabilecektir. Bu durumda, Şirket kanuni haklarını saklı tuttuğunu beyan eder. Bu nedenle, başvurunuzun talebinizin niteliğine göre eksiksiz ve istenilen bilgileri ve belgeleri içerecek şekilde gönderilmesi gerekmektedir.
TABANLIOĞLU MIMARLIK ANONIM ŞIRKETI
KAMERA KULLANIMINDA KİŞİSEL VERİLERİN KORUNMASI TALİMATI
I.AMAÇ
Tabanlıoğlu Mimarlık Anonim Şirketi (“Tabanlıoğlu Mimarlık A.Ş. ( “Şirket”) işyeri ve tesisleri içerisinde (servis alanları,ofisler, park alanı, sosyal alanlar, yemekhaneler, misafirhane vb.) çevrimiçi ve diğer kamera kayıt sistemlerinin kullanımının, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) ve yönetmelikleri çerçevesinde düzenlenmesini sağlamaktır.
II.ETKİLENEN BÖLÜMLER
Tüm bölümler.
III.SORUMLULUK VE YETKİ
Bu talimatın uygulanmasından başta İnsan Kaynakları Direktörü olmak üzere, Tabanlıoğlu Mimarlık A.Ş. işyeri ve tesislerindeki kamera kaydı sistemi kurmak, kullanmak, işletmek ve kamera kayıtlarına erişim ve işleme hususunda yetkilendirilmiş tüm bölüm müdürleri, güvenlik personeli ve çalışanlar sorumludur.
IV.TANIMLAR
İlgili kişi: Kişisel verisi işlenen gerçek kişidir.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişilerin görüntülerini içeren her türlü kamera kaydı da kişisel veri vasfındadır.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Güvenlik Birimi: Şirket’in güvenlik süreçlerini planlayan ve düzenleyen birimdir.
KVK Sorumlusu: Yasal düzenlemelere uyumun temin edilmesi amacıyla Kişisel Veri içeren tüm iş süreçlerinin, mevzuata ve Şirket Politikalarımıza uygun hale getirilmesine yönelik yürütülecek faaliyetlerde, bölümlere gereken rehberliği ve desteği sağlamakla ve çalışmaların koordinasyonu ile görevlendirilmiş çalışanlardır.
Özel Güvenlik Görevlisi (ÖGG): Tabanlıoğlu Mimarlık A.Ş.’nin özel güvenlik hizmeti satın aldığı şirketin Tesis sınırları içerisinde çalışan güvenlik personelidir.
İşyeri ve Tesis: Tabanlıoğlu Mimarlık A.Ş. ’ye ait tüm işyerlerinde mevcut tüm açık ve kapalı alanlar (sayılanlarla sınırlı olmamak üzere idari binalar, ofisler, sosyal alanlar, yemekhaneler, misafirhane, park ve depolama alanları, servis alanları vb).
V.GENEL
- Tabanlıoğlu Mimarlık A.Ş. işyeri ve tesislerinde can ve mal güvenliği, işyeri ve tesislerin fiziki güvenliği, trafik kontrolü, İşçi Sağlığı ve İş Güvenliği, proses ölçümü ve teknik nedenlerle izleme ve kayıt işlemi yapılmaktadır.
- Güvenlik Birimi dışında hiçbir birim kamera kaydedici sistem kuramaz kamera ile gözetim yapamaz. Aksi uygulama KVK Sorumlusu’nun yazılı onayını gerektirir.
- Kamera Kayıtları kişisel veri içerebileceğinden Gizli Bilgi olarak muhafaza edilir ve işlem görür.
- Kamera kayıtları içerisinde yer alabilecek Kişisel verilerin işlenmesinde Şirket aşağıdaki ilkelere uyar.
– Hukuka ve dürüstlük kurallarına uygun olma.
– Doğru ve gerektiğinde güncel olma.
– Belirli, açık ve meşru amaçlar için işlenme.
– İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
– İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Tüm çalışanlar, Kişisel Verilerin Korunması Hakkında Kanun’a uygun olmayan ve Türk Ceza Kanunu’nun ihlalini teşkil edebilecek kayıt faaliyetinin hapis cezasına varan yaptırımları olabileceğini bilir ve tereddüt duyulan her durumda Şirket avukatından görüş alır.
- Kamera ile kayıt ve izleme faaliyeti için:
- Bu yöntemle ulaşılmaya çalışan meşru bir amacın, çözülmeye çalışılan bir problemin bulunması gerekir. Hırsızlık ve terör eylemlerinin engellenmesi, yangın güvenliği, üretim proses güvenliği meşru amaca örnek olarak verilebilir.
- Kamera kullanımı bu meşru amacın gerçekleştirilebilmesi için gerekli ve elverişli olmalıdır.
- Hiçbir durumda tuvalet, duş, soyunma alanı, emzirme odası vb. kişisel ihtiyaçlara özgülenmiş alanlarda kamera ile izleme işlemi yapılmamalıdır.
- Orantılılık ilkesi gözetilmelidir; aynı amaca daha az mahremiyet ihlali yaratan bir yolla ulaşılabilecekse o yol tercih edilmelidir.
- Kamera kayıtları, bu kayıtların içeriğini oluşturan bilgiler arasındaki bütünlük sağlanacak şekilde saklanmalıdır.
- Kamera kayıtlarının saklanması ve silinmesine ilişkin işlemlerin kayıtları, (logların) olası idari/cezai soruşturma ve uyuşmazlık süreçlerinde delil olarak kullanılabilecek şekilde inkar edilemez ve değiştirilemez bir yapıda tutulmalıdır.
- Üçüncü kişiler arasındaki diyalogların video görüntüleme sistemleri yoluyla kaydedilmesi, veri sahiplerinin mahremiyetine ağır müdahale mahiyeti taşır. Kamera kaydıyla birlikte ses kaydının da yapılmasının meşru bir amaca dayanması ancak istisnai durumlarda kabul edilebilir. Eğitim filmi çekimi, bir açılışın kayda alınması vb. durumlar meşru amaca örnek olarak verilebilir.
- Video görüntüleme yoluyla gerçekleştirilen çalışan gözetiminin hukuka uygun olabilmesi için, faaliyetin çalışanlar üzerindeki olumsuz etkisinin işverenin veya veri sorumlusu üçüncü kişilerin üstün yararı ile meşrulaştırılması zorunludur. Amaçlanan yarar çalışan mahremiyetine daha az müdahale oluşturan alternatif yollarla sağlanabiliyorsa, bu alternatif yollar tercih edilmelidir.
- Kameralar, mümkünse sadece amaç için gerekli alanları görecek şekilde konumlandırmalıdır.
- Meşru iş amaçları doğrultusunda ses ve video kaydı yapılması planlanan durumlarda kayda konu olacak kişilere bildirim yapılır. Bu bildirim:
– Kolaylıkla görülebilir ve okunabilir veya bizzat kayda alınmış olmalıdır.
– Veri sorumlusuna ilişkin bilgileri, kaydın amacını içermelidir.
– Veri sorumlusuna erişilebilmesi için temel iletişim bilgilerini içermelidir.
- Çevrimiçi Kamera görüntüleri sadece nöbetçi güvenlik personeli ve gözetim için yazılı olarak yetkilendirilmiş personel tarafından izlenebilir. Bu izleme faaliyeti için gerekli gizlilik ve güvenlik talimatı ilgili birimler tarafından oluşturulur.
- Kamera kayıtlarının, kayıt altına alınması ve kopyalanması, sistemi kontrol eden birimler tarafından talimatlandırılır, yetkisiz kişilere erişim izni verilmez. Bu tip işleme faaliyeti için gerekli gizlilik ve güvenlik talimatı ilgili birimler tarafından oluşturulur.
- Fiziki güvenlik amacı ile kurulan kapalı devre kamera ve kayıt cihazlarının her altı (6) ayda bir envanter çalışması Güvenlik Birimi tarafından yapılır. Diğer bölümlerin sevk ve idaresindeki kamera sistemleri için envanter ilgili bölüm yöneticisi tarafından yapılır ve Güvenlik Birimi’ne bildirilir.
- TALİMAT
- Kamera izleme ve kayıt sorumlusu birim; kameraları yönetecek, izleme yapacak ve kayıtlarla işlem yapacak kişileri belirler, sorumluluklarını hatırlatır ve yazılı olarak yapılacak işlemleri tebliğ eder.
- Kamera kayıtları otuz (30) gün süre ile saklanır; daha uzun süreli saklama gerektiren prosesler için ilgili birimin talimat ve prosedüründe uzun süreli saklamayı gerektiren proses açıklaması yapılır. İdari ya da adli bir süreç ile ilgilendirilmesi olası kayıtlar (örneğin hırsızlık, kavga görüntüleri vb.) aksi yönde bir yargı kararı olmadığı takdirde 10 yıl süre ile saklanır.
- Kamera kayıtları, erişimin şifre ve kullanıcı ad ile yapıldığı güvenli alanlarda saklanır ve erişim kayıtları tutulur. Veri İşleyen, söz konusu kayıtlar için uygun bir şifre politikasına sahip olmalıdır. Tüm kullanıcı adları ve şifreler kişiye özeldir, hiçbir şekilde şifre paylaşımı yapılamaz. Veriye yetkisiz ve yasal olmayan erişimlerin tespit edilmesini sağlayan kayıtlar (log) tutulur, uygun bir süre saklanır ve düzenli olarak incelenir.
- Kamera kayıtlarına herhangi bir yetkisiz erişim veya ifşa olması durumunda derhal Güvenlik Birimi’ne ve ilgili KVK Sorumlusu’na bilgi verilir. İlgili tüm log kayıtları saklanır.
- Kamera kayıtlarının saklandığı ortamlar kötücül yazılımlardan korunma ve engelleme sağlayan uygun programlar (Örneğin anti-virüs yazılımları) ile korunmalı ve güncelliği sağlanmalıdır. Şirket dışındaki üçüncü kişilerin erişimine açık olan ortamlarda (Internet ortamı vb.)söz konusu kayıtlar saklanmaz.
- Kamera kayıtlarını silmek için uygun yöntemler kullanılır. Elektronik ortamlardaki silme işlemleri, geri döndürülemeyecek şekilde yapılır, diğer ortamlar için (kağıt vb.) uygun metotlar (kağıt öğütücü vb.) kullanılır. Söz konusu kayıtlar tutanakla imha edilir.
- Hareketli kameralar önceden programlanmış bölgeleri izler ve kayıtlarını yapar; şüpheli bir durum dışında sorumluluk sahası dışında görüntü kaydı ve yakın çekim yapılmaz.
- Kayıtların, talimatta belirtilen haller dışında ya da yazılı onay alınmadan kopyalanması, yetkisi olmayanlara izlettirilmesi, diğer cihazlarla ekran üzerinden veya diğer cihazlar ile kayıt altına alınması, elektronik veya diğer usullerle iletilmesi, adli süreçler dışında Şirket dışına çıkarılması yasaktır. Bu eylemleri yapanlar hakkında disiplin soruşturması yapılır.
- Veriler adli işlem kapsamında Emniyet yetkililerine, idari soruşturma nedeni ile iç denetim birimine ve kişisel veri içermeyen görüntüler sigorta hakları vs. kapsamında ilgili birimlere tutanak ile verilir.
- Görüntülerin ekran üzerinden ya da diğer yöntemler kullanılmak suretiyle çeşitli elektronik cihazlar ile kopyalanması veya yayın yolu ile başka cihazlara aktarılması gibi işlemler yasaktır.
- ÖGG, güvenlik kontrol noktasında bulunan kameraların yönünü değiştiremez, kayıt cihazlarına Güvenlik Birimi’nin yazılı talimatı olmadan müdahale edemez.
- ÖGG kamera operatörleri işyeri veya tesisin ilgili yerlerinde özel olarak tahsis edilmiş bulunan kapalı devre televizyon odalarından sorumludur, yetkisiz girişlere izin vermez. Görevlendirilen personele ilgili talimatlar tebliğ edilir.
- ÖGG, her türlü kapalı devre kamera ve kayıt sistemi ekipmanı arızasını, derhal Güvenlik Birimine raporlar.
TABANLIOĞLU MİMARLIK ANONİM ŞİRKETİ İNTERNET ERİŞİMLERİNE İLİŞKİN KVK AYDINLATMA METNİ
- Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun” veya “Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Tabanlıoğlu Mimarlık A.Ş. (“Şirket”) tarafından aşağıda açıklanan kapsamda işlenecektir.
- Kişisel Verilerin Hangi Amaçla İşleneceği
Şirket tarafından ziyaretçilere sunulmuş olan internet erişim imkanından faydalanırken tarafınızca iletilen kişisel verileriniz, erişim kayıtlarının yönetimi, başta 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun olmak üzere mevzuattan kaynaklı yükümlülüklerimizin yerine getirilmesi ve Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki, teknik ve ticari iş güvenliğinin temini amaçlarıyla işlenecektir.
- İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Toplanan kişisel verileriniz; erişim kayıtlarının yönetimi, mevzuattan kaynaklı yükümlülüklerimizin yerine getirilmesi ve Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki, teknik ve ticari iş güvenliğinin temini amaçlarıyla iş ortaklarımıza, hissedarlarımıza, iştiraklerimize, kanunen yetkili kamu kurumları ve özel kişilere 6698 sayılı Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılacaktır.
- Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz, elektronik ortamlarda Şirket içinden internete erişiminiz vasıtasıyla;
Kanun’un 5. ve 6. maddesinde belirtilmiş olan;
- Kanunlarda açıkça öngörülmüş olması,
- Şirketimizin hukuki yükümlülüğü yerine getirebilmek için zorunlu olması,
- Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olup işlemenin gerekli olması,
- Temel hak ve özgürlüklerinize zarar vermemek kaydıyla, Şirketimizin meşru menfaati için işlemenin zorunlu olması,
- Tarafınızca alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için işlemenin zorunlu olması,
- Açık rızanızın bulunması
hukuki sebeplerine dayanarak toplanmaktadır.
- Kişisel Veri Sahibinin 6698 sayılı Kanun’un 11. Maddesinde Sayılan Hakları
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi aşağıda düzenlenen yöntemlerle Şirket’e iletmeniz durumunda Şirket talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde sonuçlandıracaktır. Verilecek cevapta on sayfaya kadar ücret alınmayacaktır. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınacaktır. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Şirket tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçmeyecektir.
Bu kapsamda kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Yukarıda belirtilen haklarınızı kullanma ile ilgili talebinizi, 6698 sayılı Kanun’un 13. maddesinin 1. fıkrası ve 30356 sayılı ve 10.03.2018 tarihli Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ gereğince Türkçe ve yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Şirket’e daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletebilirsiniz. Şirket’in cevap vermeden önce kimliğinizi doğrulama hakkı saklıdır.
Başvurunuzda;
- Adınızın, soyadınızın ve başvuru yazılı ise imzanızın,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numaranızın, yabancı iseniz uyruğunuzun, pasaport numaranızın veya varsa kimlik numaranızın,
- Tebligata esas yerleşim yeri veya iş yeri adresinizin,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numaranızın,
- Talep konunuzun, bulunması zorunlu olup varsa konuya ilişkin bilgi ve belgelerin de başvuruya eklenmesi gerekmektedir.
Yazılı olarak yapmak istediğiniz başvurularınızı, gerekli belgeleri ekleyerek veri sorumlusu olarak Şirketimizin Asmalımescit Mah. Meşrutiyet Cad. No: 67/2-3-4-5 Beyoğlu/İSTANBUL adresine verebilirsiniz.
E-posta yoluyla yapmak istediğiniz başvurularınızı kvkk@tabanlioglu.com e-posta adresine yapabilirsiniz.
KEP yoluyla yapmak istediğiniz başvurularınızı tabanlioglu@hs03.kep.tr KEP adresimize yapabilirsiniz.
Talebinizin niteliğine göre bilgi ve belgelerin eksiksiz ve doğru olarak tarafımıza sağlanması gerekmektedir.
İstenilen bilgi ve belgelerin gereği gibi sağlanmaması durumunda, Şirket tarafından talebinize istinaden yapılacak araştırmaların tam ve nitelikli şekilde yürütülmesinde aksaklıklar yaşanabilecektir. Bu durumda, Şirket kanuni haklarını saklı tuttuğunu beyan eder. Bu nedenle, başvurunuzun talebinizin niteliğine göre eksiksiz ve istenilen bilgileri ve belgeleri içerecek şekilde gönderilmesi gerekmektedir.
6698 KVKK VERİ SAHİBİ BAŞVURU FORMU
GENEL AÇIKLAMALAR
6698 Sayılı Kişisel Verilerin Korunması Kanununda (“KVK Kanunu”) ilgili kişi olarak tanımlanan kişisel veri sahiplerine, KVK Kanununun 11. maddesinde kişisel verilerinin işlenmesine ilişkin belirli haklar tanınmıştır. KVK Kanunu’nun 13. maddesinin 1inci fıkrası uyarınca; veri sorumlusu olan Kurumumuza bu haklara ilişkin olarak yapılacak başvuruların;
- Kimlik teyidini sağlayacak bir belge ile birlikte ıslak imzalı başvuru formunun elden, noter aracılığı ile,
- 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza ile imzalanarak,
- Kişisel Verileri Koruma Kurulu tarafından öngörülen bir yöntemin izlenmesi
yöntemlerinden biri ile tarafımıza iletilmesi gerekmektedir.
Başvuru Yöntemi |
Başvurunun Yapılacağı Adres |
Dikkat Edilecekler |
Kimlik tespitini sağlayacak bir belge ile ıslak imzalı başvuru formunun elden, noter
aracılığı ile |
Asmalımescit Mah. Meşrutiyet Cad. No: 67/2-3-4-5 Beyoğlu/İSTANBUL | Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır |
5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik
imza ile imzalanarak |
kvkk@tabanlioglu.com | E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi”
yazılacaktır. |
Tarafımıza iletilmiş olan başvurularınız KVK Kanununun 13. maddesinin 2. fıkrası gereğince, talebin niteliğine göre talebinizin bizlere ulaştığı tarihten itibaren “en kısa sürede ve en geç otuz gün içinde” yanıtlandırılacaktır. Yanıtlarımız ilgili KVK Kanununun 13. maddesi hükmü gereğince yazılı veya elektronik ortamdan tarafınıza ulaştırılacaktır.
- Başvuru Sahibi İletişim Bilgileri
Ad Soyad : | |
TC Kimlik Numarası : | |
Telefon : | |
E- Posta : | |
Adres : |
- Kurumumuz İle Olan İlişkiniz
( ) Eski Çalışan | Çalıştığınız Yıllar: |
( ) Ziyaretçi | Görüştüğünüz Birim/Kişi: |
( ) Müşteri | Görüştüğünüz Birim/Kişi: |
( ) Özgeçmiş Paylaştım | Paylaştığınız Tarih: |
( ) Tedarikçi/Hizmet Sağlayıcı | Çalıştığınız Firma ve Pozisyonunuz: |
( ) Diğer |
- Lütfen KVK Kanunu Kapsamındaki Talebinizi Detaylı Olarak Belirtiniz:
- Lütfen Başvurunuza Vereceğimiz Yanıtın Tarafınıza Bildirilme Yöntemini Seçiniz:
( ) Adresime gönderilmesini istiyorum |
( ) E-posta adresime gönderilmesini istiyorum. |
İşbu başvuru formu, Kurumumuz ile olan ilişkinizi tespit ederek, varsa, Kurumumuz tarafından işlenen kişisel verilerinizi eksiksiz olarak, ilgili başvurunuza doğru ve kanuni süresinde cevap verilebilmesi için tanzim edilmiştir. Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için Kurumumuz ek evrak(Kimlik, ehliyet gibi.) talep etme hakkını saklı tutar. Form kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması ya da yetkisiz bir başvuru yapılması halinde Kurumumuz, söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı mesuliyet kabul etmemektedir.
Başvuruda Bulunan İlgili Kişi (Kişisel Veri Sahibi)
Adı Soyadı :
Başvuru Tarihi :
İmza :
TABANLIOĞLU MİMARLIK ANONİM ŞİRKETİ MÜŞTERİLERİN TALEP VE ŞİKAYETLERİNİN KARŞILANMASI KAPSAMINDA KİŞİSEL VERİLERİNİN İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ
- Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Tabanlıoğlu Mimarlık A.Ş. (“Şirket”) tarafından aşağıda açıklanan kapsamda işlenmektedir.
- Kişisel Verilerin Hangi Amaçla İşleneceği
Toplanan kişisel verileriniz, kişisel verilerinizi bizlere açıklamanıza konu olan; ilettiğiniz mesajlarınızın değerlendirilmesi, bilgi taleplerinizin karşılanması, şikayetinizin oluşturulması, işlenmesi ve sonuçlandırılması, müşteri memnuniyeti kapsamında görüşmelerin gerçekleştirilmesi, satış sonrası hizmetlerin sağlanması, hizmetlerimize ilişkin bilgi taleplerinizin karşılanması, ilgilendiğiniz hizmetlerimize ilişkin bildirimlerin ve güncellemelerin tarafınıza iletilmesi, talebinize istinaden hizmetlerimize ilişkin bilgilerin tarafınızca sağlanan iletişim adreslerine gönderilmesi amaçlarıyla ve ayrıca Şirketimiz tarafından sunulan hizmetlerden sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması; Şirketimiz tarafından sunulan hizmetlerin sizlerin beğeni ve ihtiyaçlarına göre özelleştirilerek sizlere önerilmesi; Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
- İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Toplanan kişisel verileriniz; bize ilettiğiniz mesajların değerlendirilmesi, bilgi taleplerinizin karşılanması, şikayetinizin oluşturulması, işlenmesi ve sonuçlandırılması, satış sonrası hizmetlerin sağlanması, kişisel verilerinizi bizlere açıklamanıza konu olan; hizmetlerimize ilişkin bilgi taleplerinizin karşılanması, ilgilendiğiniz hizmetlerimize ilişkin bildirimlerin ve güncellemelerin tarafınıza iletilmesi, talebinize istinaden hizmetlerimize ilişkin bilgilerin tarafınızca sağlanan iletişim adreslerine gönderilmesi amaçlarıyla ve ayrıca Şirketimiz tarafından sunulan hizmetlerden sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması; Şirketimiz tarafından sunulan hizmetlerin sizlerin beğeni ve ihtiyaçlarına göre özelleştirilerek sizlere önerilmesi; Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amaçlarıyla; iş ortaklarımıza, tedarikçilerimize, hissedarlarımıza, iştiraklerimize, kanunen yetkili kamu kurumları ve özel kişilere, 6698 sayılı Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılmaktadır.
ç) Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz Şirketimiz tarafından sunduğumuz ürün ile hizmetleri geliştirmek ve ticari faaliyetlerimizi yürütmek amacıyla toplanmaktadır. Bu süreçte toplanan kişisel verileriniz; internet ortamında internet sitelerimiz ve sosyal medya kanalları ile mobil ortamda uygulamalarımız kanallarıyla ya da çağrı merkezimiz aracılığıyla, mesajlarınızın değerlendirilmesi, bilgi taleplerinizin karşılanması, şikâyetinizin oluşturulması, işlenmesi ve sonuçlandırılması ve bu çerçevede satış sonrasına ilişkin hizmetlerin yürütülmesine yönelik yükümlülüklerimizi yerine getirmek, hizmetlerimize ilişkin bilgi taleplerinizin karşılanması, ilgilendiğiniz hizmetlerimize ilişkin bildirimlerin ve güncellemelerin tarafınıza iletilmesi, talebinize istinaden hizmetlerimize ilişkin bilgilerin tarafınızca sağlanan iletişim adreslerine gönderilmesi amaçlarıyla ve bu çerçevede sözleşmelerin kurulması ve ifasına yönelik yükümlülüklerimizi yerine getirmek ve ticari faaliyetlerimizi yürütmek hukuki sebebiyle, sosyal medya mesajları ve internet sitelerimiz ve mobil uygulamalarımızdaki bilgi ve iletişim formları aracılığıyla, çağrı merkezimiz aracılığıyla ya da bayiler vasıtasıyla fiziki ortamda toplanmaktadır.
Şirket, kişisel verileri Kanun’un 5. ve 6. maddesinde belirtilmiş olan;
- Kanunlarda açıkça öngörülmüş olması,
- Hukuki yükümlülüğünü yerine getirebilmek için zorunlu olması,
- Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olup işlemenin gerekli olması,
- Meşru menfaati için işlemenin zorunlu olması,
- Tarafınızca alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için işlemenin zorunlu olması,
- Açık rızanızın bulunması
sebepleriyle toplamaktadır.
- Kişisel Veri Sahibinin 6698 sayılı Kanun’un 11. maddesinde Sayılan Hakları
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi aşağıda düzenlenen yöntemlerle Şirket’e iletmeniz durumunda Şirket talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde sonuçlandıracaktır. Verilecek cevapta on sayfaya kadar ücret alınmayacaktır. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınacaktır. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Şirket tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçmeyecektir. Bu kapsamda kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Yukarıda belirtilen haklarınızı kullanma ile ilgili talebinizi, 6698 sayılı Kanun’un 13. maddesinin 1. fıkrası ve 30356 sayılı ve 10.03.2018 tarihli Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ gereğince Türkçe ve yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Şirket’e daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletebilirsiniz. Şirket’in cevap vermeden önce kimliğinizi doğrulama hakkı saklıdır.
Başvurunuzda;
- Adınızın, soyadınızın ve başvuru yazılı ise imzanızın,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numaranızın, yabancı iseniz uyruğunuzun, pasaport numaranızın veya varsa kimlik numaranızın,
- Tebligata esas yerleşim yeri veya iş yeri adresinizin,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numaranızın,
- Talep konunuzun, bulunması zorunlu olup varsa konuya ilişkin bilgi ve belgelerin de başvuruya eklenmesi gerekmektedir.
Yazılı olarak yapmak istediğiniz başvurularınızı, gerekli belgeleri ekleyerek veri sorumlusu olarak Şirketimizin Asmalımescit Mah. Meşrutiyet Cad. No: 67/2-3-4-5 Beyoğlu/İSTANBUL adresine verebilirsiniz.
E-posta yoluyla yapmak istediğiniz başvurularınızı kvkk@tabanlioglu.com e-posta adresine yapabilirsiniz.
KEP yoluyla yapmak istediğiniz başvurularınızı tabanlioglu@hs03.kep.tr KEP adresimize yapabilirsiniz.
Talebinizin niteliğine göre bilgi ve belgelerin eksiksiz ve doğru olarak tarafımıza sağlanması gerekmektedir.
İstenilen bilgi ve belgelerin gereği gibi sağlanmaması durumunda, Şirket tarafından talebinize istinaden yapılacak araştırmaların tam ve nitelikli şekilde yürütülmesinde aksaklıklar yaşanabilecektir. Bu durumda, Şirket kanuni haklarını saklı tuttuğunu beyan eder. Bu nedenle, başvurunuzun talebinizin niteliğine göre eksiksiz ve istenilen bilgileri ve belgeleri içerecek şekilde gönderilmesi gerekmektedir.