EVEREST MAD. İNŞ. NAK. SAN. VE TİC. A.Ş
KİŞİSEL VERİ İŞLEME, SAKLAMA, KORUMA ve İMHA POLİTİKASI
İLETİŞİM BİLGİLERİ Veri Sorumlusunun
Ünvanı/Adı : EVEREST MAD. İNŞ. NAK. SAN. VE TİC. A.Ş Mersis No : 0382022599300025
İletişim Linki : www.everestmadencilik.com.tr
E- Posta ve KEP: info@everestmadencilik.com.tr - everestmadencilik@hs01.kep.tr Tel ve Faks : 0312 466 2106-0312 466 2107
Adres : İlkbahar Mahallesi 610. Sokak 10/1-7 ÇANKAYA/ANKARA
Bu Politika metninde yer alan tüm içeriklerin, bireysel kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayımlanması ve dağıtılması yasaktır.
Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.
A.) GİRİŞ
1.) Amaç
Kişisel Verileri İşleme, Saklama, Koruma ve İmha Politikası (“Politika”), EVEREST MAD. İNŞ.
NAK. SAN. VE TİC. A.Ş. şirketi tarafından (“Şirket”) gerçekleştirilmekte olan işleme, saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Kişisel Verileri İşleme, Saklama, Koruma ve İmha Politikasının amacı, Şirket’in mevcut ve potansiyel müşterileri, iş ortakları, taşeronları, ziyaretçileri, şirket çalışanları, çalışan adayları, işbirliği içinde bulunulan şirket çalışanları ile ilgili üçüncü kişilere ait kişisel verilerin işlenmesi, saklanması, imhası ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanması standartlarının Anayasa’nın 20’nci maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’), Veri Sorumluları Sicili Hakkında Yönetmelik, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile bu Kanun’un ikincil düzenlemeleri başta olmak üzere ilgili mevzuatın belirttiği usul ve esaslara göre belirlenmesidir.
2.) Kapsam
Bu Politika şirket çalışanları, çalışan adayları, ziyaretçiler, iş birliği ve ticari ilişki içerisinde olduğumuz üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup şirketin sahip olduğu kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır. Bu politika tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin işlenmesi, saklanması ve imhasına ilişkindir.
3.) Tanımlar
Mevzuat Kişisel Verilerin Korunması Kanunu ve Sair Kanun ve Yönetmelikler Kurul/Kurum Kişisel Verileri Koruma Kurulu/Kişisel Verileri Koruma Kurumu Şirket EVEREST MAD. İNŞ. NAK. SAN. VE TİC. A.Ş.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
İlgili Kişi Kişisel verisi işlenen gerçek kişi
Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kişisel Verilerin
İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
B.) SORUMLULUK VE GÖREV DAĞILIMLARI
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka
Özel Nitelikli Kişisel Veri (Hassas Veri)
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Aydınlatma Yükümlülüğü
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
Veri sorumlusunun ve varsa temsilcisinin kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11 inci maddesinde sayılan diğer hakları, konusunda bilgi vermek.
Veri Sorumluları Sicil Bilgi Sistemi
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
Veri Kayıt Sistemi
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Kişisel Veri
İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Elektronik Ortam
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Politika Kişisel Verileri İşleme, Saklama, Koruma ve İmha Politikası
DYS Doküman Yönetim Sistemi (Bilgilerin işlendiği sistem ve programlar) İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri İşleme Saklama, Koruma ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Anonim Hâle Getirme
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında verilen görevleri yerine getirecektir.
Şirket tarafından, KVK Kanunu düzenlemelerine uygun hareket edilmesi ve Kişisel Verileri İşleme, Saklama, Koruma ve İmha Politikası’nın yürürlüğünü sağlamak ve Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politika, prosedür ve yönetmek üzere “Kişisel Verilerin Korunması Komitesi” kurulmuştur. Kişisel Verilerin Korunması Komitesinin görevleri aşağıda belirtilmektedir.
• Kişisel Verileri İşleme, Saklama, Koruma ve İmhası ile ilgili temel politika, prosedür ve talimatların oluşturulmasını sağlamak ve bunları devreye almak.
• Kişisel Verileri İşleme, Saklama, Koruma ve İmhasına ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak.
• Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek; ilgili bölümleri yükümlendirmek, uygulanmasını gözetmek ve koordinasyonunu sağlamak.
• Kişisel Verileri İşleme, Saklama, Koruma ve İmhası konusunda Şirket içerisinde ve Şirketin iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak.
• Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak.
• Kişisel Verileri İşleme, Saklama, Koruma ve İmhası politika, prosedür ve talimatların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak.
• Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak.
• Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerini koordine etmek.
• Kişisel Verileri İşleme, Saklama, Koruma ve İmhası ile ilgili temel politika, prosedür ve talimatlardaki değişikliklerin hazırlanmasını ve yürürlüğe konulmasını sağlamak.
• Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak.
• Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek.
• Şirket yönetiminin kişisel verilerin korunması konusunda vereceği görevleri icra etmek.
C.) VERİ KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, şirket tarafından aşağıda sayılan ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
Elektronik Ortamlar
• Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım, vb.)
• Yazılımlar (ofis yazılımları, portal,)
• Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb.)
• Video Kaydı ve Kamera sistemleri
• Kişisel bilgisayarlar (Masaüstü, dizüstü)
• Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
• Yazıcı, tarayıcı, fotokopi makinesi
• E-fatura sistemi-E-defter sistemi
• Muhasebe ve Finans Sistemi Elektronik Olmayan Ortamlar
• Kâğıt
Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) Yazılı, basılı, görsel ortamlar
Birim Dolapları Arşiv
D.) KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE İMHASI
1.) Kişisel Verilerin İşlenmesi ile İlgili Temel Kurallar
a) Hukuka ve dürüstlük kurallarına uygun olma: Şirket, topladığı ya da kendisine diğer şirketlerden gelen verilerin kaynağını sorgular ve bunların hukuka uygun ve dürüstlük kuralları çerçevesinde elde edilmesine önem verir. Bu çerçevede Şirket in sunduğu hizmetleri satan üçüncü taraflara (acentelerin ve diğer aracı kurumların da) kişisel verilere korunması amacıyla gerekli uyarı ve bildirimleri yapar.
b) Doğru ve gerektiğinde güncel olma: Şirket, şirket bünyesinde bulunan bütün verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve nihayet kişisel verilerde değişiklik olduğu takdirde bunları kendisine iletildiği takdirde güncellemeye önem verir.
c) Belirli, açık ve meşru amaçlar için işlenme: Şirket, ancak sunduğu ve hizmet sırasında kişilerden onayını aldığı amaçlarla sınırlı şekilde verileri işler. İş amacı dışında verileri işlemez, kullanmaz ve kullandırtmaz.
d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirket, sadece verileri işlendikleri amaçla sınırlı ve hizmetin gerektirdiği ölçüde kullanır.
e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Şirket sözleşmeden kaynaklı verileri Kanunun ihtilaf çıkma süreleri, ticaret ve vergi hukukunun, ilgili mevzuatların gereklilikleri kadar bünyesinde muhafaza eder.
f) Doğruluk ve Veri Güncelliği, Şirket bünyesinde bulunan veriler, kural olarak ilgili kişilerin beyanı üzerine beyan ettiği şekilde işlenir. Şirket müşteriler ya da Şirket ile temas kuran kişilerin beyan ettiği verilerin doğruluğunu araştırmak zorunda olmadığı gibi bu hukuken ve çalışma ilkelerimiz nedeniyle de yapılmaz. Beyan edilen veriler, doğru kabul edilir. Kişisel verilerin doğruluğu ve güncelliği ilkesi Şirket tarafından da benimsenmiştir. Şirketimizin kendisine ulaşan resmî belgelerden veya ilgilisinin talebi üzerine işlemiş olduğu kişisel verileri günceller. Bunun için gerekli önlemleri alır.
g) Azami Tasarruf İlkesi/Cimrilik İlkesi
Azami tasarruf ilkesi ya da cimrilik ilkesi adı verilen bu ilkemize göre Şirketimize ulaşan veriler, ancak gerekli olduğu kadar sisteme işlenir. Bu nedenle hangi verileri toplayacağımız amaca göre belirlenir. Gerekli olmayan veriler toplanmaz. Şirketimize intikal eden diğer veriler de aynı şekilde şirket bilişim sistemlerine aktarılır. Fazlalık bilgiler, sisteme kaydedilmez, silinir ya da anonim hale getirilir. Bu veriler, istatistiki amaçlarla kullanılabilir. Özel nitelikli verilerden sağlık verileri sadece müşterilere daha iyi hizmet vermek ve onların sağlığını korumak amacıyla alınır ve sistemde özenle tutulur.
2.) Kişisel Verilerin İşlenmesi
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu maddeleri gereğince, kişisel veriler, kişisel verilerin işlenmesine ilişkin KVK Kanunu’nun belirtilen şartlardan bir veya birkaçına dayalı olarak işlemektedir. Şirketimiz, Anayasa’nın 20. maddesine ve KVK Kanunu’na uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel;
belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde ve KVK
Kanunu’nda düzenlenen bütün yükümlülüklere uyarak işbu Politika kapsamındaki süjelerle sınırlı olarak kişisel verileri işlemektedir.
Şirketimiz, Anayasa’nın 20 ve KVK Kanunu maddelerine uygun olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır. Şirketimiz, KVK Kanunu maddelerine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir. Şirketimiz, KVK Kanunu’nun maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.
3.) Kişisel Verileri İşleme Amaçları
Kişisel veriler, şirket tarafından özellikle ticari faaliyetlerin sürdürülmesi, hukuki yükümlülüklerin yerine getirilmesi, personel süreçlerinin planlanması ve yönetilmesi, dava ve icra takipleri başta olmak üzere hukuki ihtilafların yönetilmesi amacıyla fiziki veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Kişisel veriler aşağıdaki amaçlarla işlenmektedir:
Kişisel verilerinizin işlenmesine ilişkin Şirketimizin ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi
Kişisel verilerinizin Şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması
Kişisel verilerinizin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından işlenmesi
Kişisel verilerinizin Şirketimiz tarafından işlenmesinin Şirketimizin veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması
Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimiz meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması
Şirketimiz tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması
Kanun’a göre Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Şirket ayrıca, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemleri alır.
Özel nitelikli kişisel veriler kişinin onayı olmaksızın ancak Kanunda izin verilen hallerle ilgili ve sınırlı olarak işlenebilir. Çalışanlarımızın sigorta ve sağlık hizmetlerinden yararlanabilmesi için kendilerinden alınmış olan nitelikli veriler sadece amaca özgülenerek kullanılır. Şirket, hizmetlerin daha iyi verilebilmesi için kişilerin onayı ile özel nitelikli verileri ancak toplandıkları amaç için işleyebilir.
Şirketimiz, kişisel verileri; Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi; Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini; Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası; Şirket'in ticari ve/veya iş stratejilerinin planlanması ve icrası;
Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların
iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi; Şirket'in insan kaynakları politikaları ve süreçlerinin planlanmasının ve icra edilmesi kapsamında aşağıdaki amaçlarla ancak bunlarla sınırlı olmamak üzere işlemektedir.
Personel temin ve kariyer süreçlerinin izlenmesi, yönetilmesi, raporlanması ve analizi, Acil durum yönetimi süreçlerinin planlanması ve icrası
Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi
Çalışan memnuniyetinin ve/veya bağlılığı süreçlerinin planlanması ve icrası Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası
Çalışanların bilgiye erişim yetkilerinin planlanması ve icrası Çalışanların iş faaliyetlerinin takibi ve/veya denetimi
Etkinlik yönetimi
Finans ve/veya muhasebe işlerinin takibi Hukuk işlerinin takibi
İnsan kaynakları süreçlerinin planlanması İş faaliyetlerinin planlanması ve icrası
İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi
Kurumsal iletişim faaliyetlerinin planlanması ve icrası
Kurumsal risk yönetimi faaliyetlerinin planlanması ve/veya icrası Kurumsal sürdürülebilirlik faaliyetlerin planlanması ve icrası Kurumsal yönetim faaliyetlerin planlanması ve icrası
Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası Memnuniyeti süreçlerinin planlanması ve/veya takibi
Talep ve/veya şikayetlerinin takibi Personel temin süreçlerinin yürütülmesi
Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini Şirket denetim faaliyetlerinin planlanması ve icrası
Şirket dışı eğitim faaliyetlerinin planlanması ve icrası
Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası
Şirket içi atama-terfi ve işten ayrılma süreçlerinin planlanması ve icrası Şirket yerleşkesinin güvenliğinin temini
Şirketin finansal risk süreçlerinin planlanması ve/veya icrası Şirketin operasyonel risk süreçlerinin planlanması ve/veya icrası Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi Stratejik planlama faaliyetlerinin icrası
Tedarik zinciri yönetimi süreçlerinin planlanması ve icrası Verilerin doğru ve güncel olmasının sağlanması
Yetenek- kariyer gelişimi faaliyetlerinin planlanması ve icrası Yetkili kişi ve/veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi Ziyaretçi kayıtlarının oluşturulması ve takibi
Şirket adına muhtelif işlerin yürütülmesi amacıyla üst yönetim tarafından vekil tayin edilen çalışanlara vekaletname hazırlanması ve noterliklere onaylatılması,
Bireysel emeklilik kesintilerinin yasal oranlarda gerçekleştirilerek çalışan adına anlaşmalı bankalara bildirilmesi,
Kolluk Kuvvetleri, Mahkemeler, İcra Müdürlükleri, SGK, İŞKUR gibi resmi makamların yazılı taleplerine cevap verilmesi
Kurumsal iletişimin sağlanması,
Şirket ile iş ilişkisi içerisinde bulunan gerçek veya tüzel kişilerle irtibat sağlanması, Şirket güvenliğinin sağlanması,
VERBİS kapsamında, çalışanların, veri sorumlularının, irtibat kişilerinin, veri sorumlusu temsilcilerinin ve veri işleyenlerin tercih ve ihtiyaçlarının tespit edilmesi, verilen hizmetlerin buna göre düzenlenmesi ve gerekmesi halinde güncellenmesi,
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesinin sağlanması,
İleride doğabilecek hukuki uyuşmazlıklarda ispat yükümlülüğünün yerine getirilebilmesi amacıyla delil olarak kullanılması.
4.) Kişisel Verilerin Saklanması
Kanunda kişisel verilerin işlenmesi kavramı tanımlanmış ve işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, kişisel verilerin işleme şartları sayılmıştır.
Şirketimiz, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5.) Saklamayı Gerektiren Hukuki Sebepler
Şirketimiz kanunlarda ve ilgili diğer mevzuatlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
Bu kapsamda kişisel veriler; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 6102 sayılı Türk Ticaret Kanunu, 4734 sayılı Kamu İhale Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 213 sayılı Vergi Usul Kanunu, 4982 Sayılı Bilgi Edinme Kanunu, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun, 4857 sayılı İş Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, Sair diğer mevzuat hükümleri Bu kanun ve diğer mevzuat uyarınca yürürlükte olan diğer ikincil düzenlemeler
E.) KİŞİSEL VERİLERİN AKTARILMASI
Güvenliğiniz ve Şirketimizin yasalar karşısındaki yükümlülüklerini ifa etmesi amacıyla kişisel verileriniz, İş Kanunu, İşçi Sağlığı ve İş Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, Türk Ticaret Kanunu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kimlik
Bildirme Kanunu ve fakat bununla sınırlı olmamak üzere sair mevzuat hükümleri izin verdiği ve gerektirdiği ölçüde ilgili kurum veya kuruluşlar; Kişisel Verileri Koruma Kurumu, Maliye Bakanlığı, Gümrük ve Ticaret Bakanlığı, Çalışma ve Sosyal Güvenlik Bakanlığı, Türkiye İş Kurumu (İş-Kur), Bilgi Teknolojileri ve İletişim Kurumu gibi kamu tüzel kişileri ile paylaşılabilir.
Şirket tarafından toplanan kişisel veriler ve özel nitelikli kişisel veriler, Kanunda belirtilen kişisel veri işleme şartları kapsamında ve işbu dokümanda belirtilmiş amaçlarla sınırlı olarak, Kanun hükümlerine uygun olmak suretiyle üçüncü kişi ve kurumlara aktarabilecektir. Bu kişi ve Kurumlar Şirket’in hizmet aldığı veya iş ilişkisi kurduğu; danışmanları, çözüm ortakları gerçek kişiler veya özel hukuk tüzel kişileri, iş Ortakları, iştirakler ve bağlı ortaklıklar, topluluk şirketleri ve hukuken yetkili Yetkili Kamu Kurum ve Kuruluşları, özel hukuk / kamu hukuk tüzel kişileridir.
Kişisel veriler, KVKK’ da öngörülen ilkeler ışığında "açık rıza temini" suretiyle veya kanunda öngörülen durumların varlığı halinde "açık rıza temin edilmeksizin" ve Kanunda belirtilen kurallar uyarınca, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından tespit edilecek yeterli korumaya sahip yabancı ülkeler ilan edildikten sonra sadece bu ülkelerde yerleşik kişi ve kuruluşlara, yeterli korumanın bulunmadığı tespit ve ilan edilen ülkeler için ise, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve ilgili aktarım açısından Kurul’un izninin temin edilebildiği hallerle sınırlı olmak kaydıyla aktarılabilecektir
F.) KİŞİSEL VERİLERİN İMHASI 1.) İmhayı Gerektiren Sebepler Kişisel veriler;
Kişisel verilerin işlenmesine, saklanmasına ve imhasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması, Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı gerektirecek herhangi bir şartın olmaması, kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmelik hükümleri kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.
2.) Periyodik Kontrol ve İmha Süreçleri
Kişisel veriyi işleyen ya da saklayan tüm kullanıcılar ve veri sahibi şirket birimleri işlemeyle ilgili şartların ortadan kalkıp kalkmadığını en geç altı aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçireceklerdir. Kişisel veri sahibinin başvurusu ya da Kurulun veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarında bu gözden geçirmeyi yapacaklardır.
Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi, ilgili kişisel verinin kendi uhdesinde bulunan kayıt ortamından işbu politikaya göre silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunda sayılan genel ilkeler ile kanun hükümlerine göre alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun hareket edilmesi zorunludur.
Bir kişisel verinin sahibi gerçek kişi, Kanunda hükümlerine istinaden şirkete başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, ilgili veri sahibi iş birimi, kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığını inceler. İşleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Bu durumda detayları Veri İmha Prosedüründe belirleneceği şekilde; talep, başvuru tarihinden itibaren en geç otuz gün içinde sonuçlandırılır ve ilgili kişiye Kişisel Verilerin Korunması Komitesi aracılığıyla bilgi verilir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa, ilgili veri sahibi iş birimi bu durumu derhal aktarım yapılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamının ortadan kalkmadığı durumlarda, kişisel veri sahiplerinin verilerinin silinmesi veya yok edilmesine yönelik talepleri şirket tarafından Kanuna uygun olarak gerekçesi açıklanarak reddedilebilir. Ret cevabı ilgili kişiye en geç 30 gün içerisinde yazılı olarak ya da elektronik ortamda bildirilir.
Kişisel verilerin silinmesi ya da yok edilmesine yönelik talepler ancak ilgili kişinin kimlik tespitinin yapılmış olması kaydıyla değerlendirilecektir. Söz konusu kanallar dışında yapılacak taleplerde ilgili kişiler kimlik tespitinin ya da doğrulamasının yapılabileceği kanallara yönlendirilecektir.
G.) KİŞİSEL VERİLERİN KORUNMASI ve GÜVENLİĞİNİN SAĞLANMASI Şirketimiz, KVK Kanunu hükümlerine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak ve kişisel verilerin hukuka uygun olarak imha edilmesi için uygun güvenlik düzeyini sağlamaya yönelik Kanun hükümleri gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
1.) Teknik Tedbirler
Şirket tarafından, işlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Şirketin bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıkların ortaya çıkarılması için gerekli önlemler alınmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi ve erişimi güvenlik politikaları aracılığı ile yapılmaktadır.
Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Komiteye bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar gerekli güvenlik tedbirleri alınarak muhafaza edilmekte, ortamların güvenlik güncellemeleri sürekli takip edilmektedir.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa şifrelenerek gönderilmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
2.) İdari Tedbirler
Şirket tarafından, işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
H.) KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
1.) Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı Açıklama
Sunucularda Yer Alan Kişisel Veriler
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik
Ortamlarda Yer Alan Kişisel Veriler
Elektronik ortamda yer alan kişisel verilerin saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiç bir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
2.) Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.
Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
3.) Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
I.) SAKLAMA VE İMHA SÜRELERİ
Şirketimiz tarafından, faaliyetleri kapsamında işlenmekte olan kişisel veriler yasalarda öngörülen süreler ile zamanaşımı boyunca saklanmakta olup, saklama süreleri genel olarak;
Kişisel verilerin, veri bazında saklama ve imha süreleri “Kişisel Verileri İşleme Envanteri” nde
Veri kategorileri bazında VERBİS’e kayıtta, Belirtilen sürelerle saklanır.
Periyodik imha ya da talep üzerine gerçekleştirilecek imha işlemlerinde söz konusu saklama ve imha süreleri dikkate alınacaktır. Kişisel Verileri Saklama ve İmha Süreleri yasal mevzuata uygun olarak güncellenecektir.
Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
İ.) İHLAL DURUMLARI VE YAPTIRIMLAR
Şirket çalışanlarının Politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
Politika gereklerinin yerine getirilmesi için şirket tarafından; mevzuatta öngörülen ve sair gerekli diğer tedbirler de dahil olmak üzere gerekli tüm güvenlik önlemleri alınmaktadır.
Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari ve hukuki işlem yapılacaktır. Bu kapsamda;
Yapılan ihlalin ilgili kanunlar gereği suç ve ceza öngören bir fiil olması halinde, ilgili çalışan hakkında suç duyurusunda bulunulur.
Kişisel veriler ile gizli bilgilerin hukuka aykırı olarak üçüncü kişilere aktarılması ve/veya onların erişimine açılması ya da kullanımına sunulması hâlinde;
- Cezaî bakımdan 5237 sayılı Türk Ceza Kanunu’nun madde 135 vd. hükümlerine,
- İdarî bakımdan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18 inci madde hükmüne, - Hukukî bakımdan 4721 sayılı Türk Medeni Kanunu’nun madde 23 vd. hükümlerine,
- Sözleşme hukuku kapsamında muhtelif konulara ilişkin süreçler bakımından 6098 sayılı Türk Borçlar Kanunu’nun madde 112 vd. hükümlerine göre, söz konusu hükümlerin ilgili durum bakımından yasal uygulama alanlarının bulunduğu ölçüde, yetkili merci ve kişilerce işlem tesis edilir.
J.) KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE HAKLARIN KULLANILMASI Şirketimiz, KVK Kanunu hükümlerine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanununda belirtilen usullere uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
1.) Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
2.) Kişisel Veri Sahiplerinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, KVK Kanunu gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda haklarını ileri süremezler:
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK Kanunu maddeleri gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç sayılan diğer haklarını ileri süremezler:
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• Kişiselverisahibitarafındankendisitarafındanalenileştirilmişkişiselverilerinişlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
3.) Kişisel Veri Sahiplerinin Haklarını Kullanması
Kişisel veri sahipleri haklarına ilişkin taleplerini aşağıda belirtilen yöntemle Şirketimize ücretsiz olarak iletebileceklerdir:
Başvuru Yöntemi
Başvuru Adresi Başvuruda Gösterilecek Bilgi
Yazılı Olarak Islak imzalı şahsen başvuru veya Noter vasıtasıyla
İlkbahar Mahallesi 610. Sokak
10/1-7 ÇANKAYA/ANKARA Zarfın/tebligatın üzerine
“Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Kayıtlı Elektronik Posta (KEP) Yoluyla
Kayıtlı elektronik posta (KEP) adresi ile
E-Posta:
info@everestmadencilik.com.tr Kep:
everestmadencilik@hs01.kep.tr
E-posta’nın konu kısmına
“Kişisel Verilerin Korunması Kanunu Bilgi Talebi”
yazılacaktır.
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.
Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname aslı ibraz edilmelidir. Kişisel veri sahipleri, haklarını kullanmak için yapacakları başvuruda, yukarıda bağlantı sağlanan “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”nu dolduracaklardır. Bu formda yapılacak başvurunun yöntemi de ayrıntılı bir şekilde anlatılmaktadır. Kişisel veri sahibinin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Bu ücretin yatırılması usulü Başvuru Formunda belirtilecektir.
Bu ücretin tarif edilen usule uygun olarak yatırılmaması halinde başvurular dikkate alınmayacaktır.
4.) Kişisel Veri Sahiplerinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Kişisel veri sahibi KVK Kanunu hükümleri gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirketimizin cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
5.) Başvurulara Cevap Verilmesi
a) Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, usule uygun olarak talebini Şirketimize iletmesi durumunda Şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi sonuçlandıracaktır.
b) Başvuru Sahibinden Talep Edebilecek Bilgiler
Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirketimiz, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
c) Başvurunun Reddedilebileceği Haller
Şirketimiz aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum
ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
• Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
• Orantısız çaba gerektiren taleplerde bulunulmuş olması.
• Talep edilen bilginin kamuya açık bir bilgi olması.
K.) POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Kişisel Verilerin Korunması Komitesi tarafından tutulan dosyasında saklanır.
Şirket tarafından düzenlenen işbu Politika 17/12/2019 tarihinde yürürlüğe girmiştir. Politika Şirketimize ait www.everestmadencilik.com.tr internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilere de iletilir. Bu Politika’nın Şirket genelinde uygulanmasından, Kişisel Verilerin Korunması Komitesi sorumludur.
L.) POLİTİKA’NIN GÜNCELLENMESİ
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
M.) POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, şirket nezdinde kişisel veri işleyen herkes için bağlayıcı olacaktır.
Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Kişisel Verilerin Korunması Komitesi tarafından iptal edilerek üzerine iptal yazılarak) imzalanır ve en az 5 yıl süre ile Kişisel Verilerin Korunması Komitesi tarafından saklanır.
