Verilerin Korunması ve Kullanılması Hakkında Aydınlatma Metni

İşbu Kişisel Verilerin Korunması ve Kullanılması Hakkında Aydınlatma Metni ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu [“KVKK”] çerçevesinde kişisel verilerinizin korunması ve kullanılmasına ilişkin esaslar hakkında sizleri bilgilendirmek ve aydınlatmak isteriz. Öncelikle belirtmek isteriz ki, Şirketimiz, müşteriler, tedarikçiler, çalışanlar, işyeri ziyaretçileri vb. iletişime geçtiğimiz tüm kişilerin bilgilerinin gizli tutulmasına ve bu bilgilerin üçüncü kişilerle paylaşılmamasına büyük önem vermektedir.

Şirketimizce yürütülen faaliyetler sırasında, tarafımızdan herhangi bir vesileyle alınan kişisel verileriniz kapsamında Şirketimiz, mevzuat çerçevesinde “Veri Sorumlusu” konumundadır. Veri Sorumlusu olarak unvanımız ve iletişim bilgilerimiz aşağıdaki gibidir:

Unvan: [ ]

Adres: [ ]

Ticaret Sicil Bilgileri: [ ]

Vergi Numarası: [ ]

Şirketimiz ile paylaşılan tüm kişisel verileriniz, KVKK düzenlemelerine ve bu Aydınlatma Metni’nin esaslarına uygun olarak, faaliyetlerimizle bağlantılı ve sizlere karşı yükümlülüklerimizi yerine getirmek ve sizlerle iletişimimizi sağlamak amacıyla işlenebilir, saklanabilir, yurt içinde ve yurt dışında üçüncü kişilere aktarılabilir, güncellenebilir, devredilebilir ve KVKK’da sayılan diğer şekillerde işlenebilir.

Kişisel verileriniz; teklif formları, iletişim formları, kartvizitler, basılı veya elektronik ortamda doldurduğunuz iş başvuru formları, şirketimizle imzaladığınız sözleşmeler veya şirketimize gönderdiğiniz e-postalar, fakslar ve mektuplar ile şirketimizle yapılan yazılı veya sözlü iletişimler vb. yollarla sözlü, yazılı veya elektronik ortamda toplanabilir ancak bunlarla sınırlı değildir.

Veri Sahiplerinin Şirketimizce yönetilen [.tr] web sitesinden en verimli şekilde faydalanabilmesi ve kullanıcı deneyiminin geliştirilmesi amacıyla, web sitesine giriş anında verilen onay üzerine Çerezler kullanılmaktadır. Çerez (Cookie), tarayıcılar aracılığıyla ziyaret ettiğiniz web siteleri tarafından cihazınızda veya ağ sunucusunda depolanan küçük bir metin dosyasıdır.

Kişisel Verilerinizin İşlenme Amaçları Nelerdir?

Öncelikle, Şirketimiz ile paylaştığınız tüm kişisel verilerinizin hukuka ve dürüstlük kurallarına uygun, işleme amaçlarıyla bağlantılı, sınırlı ve ölçülü, doğru ve güncel olarak, belirli, açık ve meşru amaçlarla işleneceğini belirtmek isteriz. Bu temel prensip çerçevesinde ve açık rızanız doğrultusunda, kişisel verileriniz; sizlerle iletişimimizi geliştirmek, sözleşmelerimizin ifasını sağlamak, iletişim için adres ve diğer gerekli bilgileri kaydetmek, gerçekleştirdiğiniz işlemlerin kayıt ve belgelerini düzenlemek, ticari faaliyetlerimiz hakkında bilgi vermek, müşteri memnuniyetini artırmak, çeşitli pazarlama faaliyetlerinde kullanmak, hizmetlerimiz hakkında bilgilendirme yapmak, yasal yükümlülüklerimizi yerine getirmek, mevzuatla öngörülen diğer yükümlülükleri yerine getirmek, resmi ve dini bayramlarda tebrik etmek ve işyeri güvenliğini sağlamak gibi amaçlarla işlenebilir.

Hangi Kişisel Verileriniz İşlenmektedir?

Kişisel verilerinizin işlenme amaçları çerçevesinde; adınız, soyadınız, e-posta adresiniz, telefon numaranız, cinsiyetiniz, doğum tarihiniz, T.C. kimlik numaranız, vergi kimlik numaranız, fatura ve teslimat adresleriniz, paylaşmaya rıza gösterdiğiniz diğer bilgileriniz ve bunlarla sınırlı olmamak üzere, sizi doğrudan veya dolaylı olarak tanımlayan diğer bazı verileriniz işlenmektedir.

Kişisel Verileriniz Üçüncü Kişilerle Paylaşılmakta mıdır?

Şirketimizce kullanılan kişisel verileriniz, sözleşmesel ilişkilerimizin yerine getirilmesi amacıyla grup şirketlerimizle ve bunlarla sınırlı olmamak üzere; iş ortaklarımızla, performans yardımcılarımızla, alt yüklenicilerimizle ve işbirliği yaptığımız diğer üçüncü kişilerle (kargo, kurye şirketleri vb. hizmet sağlayıcıları) sözleşmelerimizin ifasını sağlamak amacıyla paylaşılabilir. Ayrıca, yasal yükümlülüklerimizin yerine getirilmesi amacıyla resmi merciler ve kurumlarla da paylaşılabilir. Kişisel verileriniz hiçbir şekilde ticari amaçlarla üçüncü kişilerle paylaşılmayacak ve/veya bu amaçla üçüncü kişilere devredilmeyecektir.

Kişisel Veri Sahibi Olarak Haklarınız Nelerdir?

KVKK ve ilgili diğer mevzuat çerçevesinde, kişisel veri sahibi olarak aşağıdaki haklara sahipsiniz:

Bu kapsamda söz konusu haklarınıza ilişkin taleplerinizi, web sitemizde bulunan formu doldurarak veya kendi talebinizi Kişisel Verileri Koruma Kurulu tarafından belirlenen şartları taşır şekilde oluşturarak, Kişisel Verileri Koruma Kurulu tarafından belirlenen yöntemlerle aşağıda verilen e-posta adresimize veya posta adresimize iletebilirsiniz. Şirketimiz, talebin niteliğine göre talebi en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Taleplerin sonuçlandırılması için Şirketimiz tarafından ek bir maliyetin ortaya çıkması halinde, Şirketimiz Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücretleri talep edebilir.

Posta adresi: [ ]

E-posta adresi: [ ]

Kişisel veri mevzuatındaki ve uygulamalarımızdaki değişiklikleri web sitemizin ilgili sayfasından her zaman takip edebilirsiniz. Taleplerinize ilişkin başvurularınızda, taleplerinizin açık ve anlaşılır bir şekilde yazılması, taleplerinizin şahsınızla ilgili olması, kimlik, adres bilgileriniz ile kimliğinizi doğrulayıcı belgelerin başvuruya eklenmesi gerekmektedir.

Kişisel Verileriniz Ne Kadar Süreyle Saklanır?

Kişisel verileriniz, KVKK ve diğer yasal düzenlemelere uygun olarak işlenirken, işleme nedenlerinin ortadan kalkması veya talebiniz üzerine silinir, yok edilir veya anonim hale getirilir.

Sınırlı süreli açık rızanın bulunması halinde, kişisel verileriniz sürenin sonunda silinir, yok edilir veya anonim hale getirilir. Sözleşmesel bir ilişkinin varlığı halinde, kişisel veriler yasal zamanaşımı sürelerinin sonuna kadar muhafaza edilir.

İş kanunu mevzuatı, sosyal güvenlik mevzuatı, iş güvenliği mevzuatı, vergi mevzuatı, gümrük mevzuatı vb. yasal sürelerin varlığı halinde, kişisel verileriniz ilgili yasal sürelerin sonunda silinir, yok edilir veya anonim hale getirilir.

Şirketimiz işyerlerindeki kamera kayıtları 10 günlük periyotlarda silinmektedir.

Şirketimizde giriş çıkış için oluşturulan kayıtlar 120 günlük periyotlarda silinir, yok edilir veya anonim hale getirilir.

6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca, onayın geri alındığına ilişkin kayıtlar bu tarihten itibaren 1 (bir) yıl, ticari elektronik iletinin içeriği ve gönderiye ilişkin diğer tüm kayıtlar ise gerektiğinde ilgili Bakanlığa sunulmak üzere 3 (üç) yıl süreyle saklanacaktır.

Kişisel Veri Saklama, İşleme ve İmha Prosedürü

AMAÇ: Bu prosedür, çalışanlarımızın görevleri sırasında edindikleri veya bilgi sahibi oldukları tüm Kişisel Verileri (aşağıdaki tanımlara bakınız) gizli tutmalarını sağlamak ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “KVKK” olarak anılacaktır) ile bu Kanundan türetilen ikincil mevzuata ve Kişisel Verileri Koruma Kurulu tarafından alınan kararlara uygun hareket etmelerini temin etmek amacıyla tasarlanmış ve yayımlanmıştır.

KAPSAM: Bu prosedürün kapsamı, müşterilerimiz, potansiyel müşterilerimiz, iş başvurusunda bulunanlar, şirket hissedarları, şirket yetkilileri, ziyaretçilerimiz, çalışanlarımız, işbirliği yaptığımız kurumların hissedarları ve yetkilileri ile diğer üçüncü kişilerin otomatik yollarla veya bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerini içermektedir. Çalışanların kişisel verilerinin korunması ve işlenmesine ilişkin hususlar, Kişisel Veri Saklama, İşleme ve İmha Prosedürü kapsamında uygulanır.

KISALTMALAR VE TANIMLAR:

Kişisel Veri: İlgili Kişiye ait ad, adres, telefon numarası, e-posta adresi veya benzeri tanımlayıcı bilgiler gibi herhangi bir bilgiyi ifade eder.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Sağlık Verisi: Kimliği belirli veya belirlenebilir gerçek kişiye ait fiziksel ve ruhsal sağlığa ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri ifade eder.

Müşteriler/Potansiyel Müşteriler: Şirketimiz tarafından yürütülen faaliyetler kapsamında iş ilişkisi nedeniyle kişisel verileri elde edilen, sözleşmesel ilişki olup olmadığına bakılmaksızın gerçek kişiler.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

Üçüncü Kişiler: Bu Prosedürde tanımlanmamış olsa dahi, bu Prosedür kapsamında kişisel verileri işlenen tedarikçiler, mağdurlar, aile üyeleri vb. diğer gerçek kişiler.

VERBİS: Veri sorumluları (Şirketimiz) veri kayıt bilgi sistemi.

Veri İrtibat Kişisi: Şirketimiz Yönetim Kurulu tarafından Kişisel Verileri Koruma Kurumu ile iletişimi sağlamak üzere VERBİS’e kayıt esnasında bildirilen gerçek kişi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Ziyaretçiler: Şirketimizin fiziksel tesislerine çeşitli amaçlarla girmiş olan veya web sitelerini ziyaret eden gerçek kişiler.

REFERANS BELGELER:

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kişisel Verilerin Korunması ve İşlenmesi Hakkında Aydınlatma Metni

UYGULAMA DETAYLARI:

5.1. KİŞİSEL VERİ SAKLAMA VE İŞLEME FAALİYETLERİ

İş faaliyetleri sırasında, çalışanlarımız kişisel verileri bu prosedürde belirtilen usulleri kullanarak toplar, işler, saklar ve imha eder. Bu bağlamda, saklama ve imhaya ilişkin detaylı açıklamalar aşağıda sırasıyla sunulmuştur.

5.1.1. Saklamaya İlişkin Açıklamalar

KVKK’nın 3. maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış, 4. maddesinde ise işlenen kişisel verilerin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi” gerektiği belirtilmiştir. 5. ve 6. maddelerde ise “kişisel veri işleme şartları” sıralanmıştır.

Buna göre, kişisel veriler, Şirketimizin iş faaliyetleri çerçevesinde ilgili mevzuatta öngörülen süreler veya işleme amaçlarına uygun süreler ve bu prosedürün 5.8. maddesinde belirtilen süreler boyunca saklanır.

5.1.3. İşlemeyi Gerektiren Saklama Amaçları

Kişisel veriler, Şirketimiz Kişisel Verileri Koruma ve İşleme Yönetmeliği’nde detaylı olarak belirtilen ve aşağıda sıralanan amaçlar doğrultusunda saklanır:

5.1.4. İmha Edilmesini Gerektiren Nedenler

Kişisel veriler, ilgili mevzuat hükümlerine uygun olarak, re’sen (periyodik imha süreleri) veya veri sahibinin talebi üzerine Şirketimiz tarafından aşağıdaki durumlarda silinir, yok edilir veya anonim hale getirilir:

5.2. KAYIT ORTAMLARI

Kişisel veriler, Şirketimiz tarafından Tablo 1’de listelenen ortamlarda güvenli ve hukuka uygun olarak saklanır.

Tablo 1: Kişisel Veri Saklama Ortamları

Elektronik Ortamlar: 1. Yazılımlar (Sunucu, Netsis), 2. Güvenlik Duvarı: Draytek Güvenlik Duvarı, 3. Antivirüs: AVG business, 4. Kişisel bilgisayarlar, 5. Cep telefonları, 6. Tabletler, 7. Optik diskler, 8. Kamera kayıt sistemleri, 9. Ses kayıt sistemleri, 10. Yazıcılar, 11. Fotokopi makineleri

Elektronik Olmayan Ortamlar: 1. Manuel veri kayıt ortamları (Formlar, Belgeler, Ziyaretçi defteri)

5.3. KİŞİSEL VERİ İŞLEME ŞARTLARI

Kişisel verilerin bu prosedür ve Şirketimiz Kişisel Verileri Koruma ve İşleme Yönetmeliği’ne uygun olarak işlenebilmesi ve kullanılabilmesi için Veri Sahibinin işleme faaliyetleri hakkında aydınlatılması, kişisel veri işleme için izin istenmesi ve Veri Sahibinin açık rızasının alınması gerekmektedir. Bu amaçla, çalışanlarımız onaylanmış formlar, sözleşmeler ve açık rıza metinlerine göre çalışmalıdır. Ancak, aşağıdaki istisnalardan birinin uygulanması halinde Veri Sahibinden açık rıza alma şartı uygulanmamalıdır:

5.3.1. Şirketimizin Veri Sorumlusu Olarak Bilgilendirme Yükümlülüğü

Bu prosedürün 5.5. maddesinde belirtildiği gibi Kişisel Verilerin işlenmesi için her zaman Veri Sahibinden açık rıza alınması gerekmese de, Şirketimizin Veri Sahiplerini her zaman aşağıdaki konularda bilgilendirme yükümlülüğü vardır:

Şirketimiz, kişisel verilerin edinilmesi sırasında veri sahiplerini bilgilendirir. Bu kapsamda, web sitesinde bir Aydınlatma Metni yayınlamıştır. Şirketimiz, iş süreçlerini yürütmek ve iletişimi sağlamak amacıyla zaman zaman tedarikçilerinin kişisel verilerine ihtiyaç duyabilir. Bu durumda, ilgili Şirketimiz yetkililerinin söz konusu tedarikçiye karşı Şirketimizin aydınlatma yükümlülüğünün yerine getirilmesini sağlamak amacıyla bir “Tedarikçi Açık Rıza ve Aydınlatma Metni Sözleşmesi” göndermesi mümkündür.

5.3.2. Özel Nitelikli Kişisel Verilerin İşlenmesinde Uyulması Gereken Kurallar:

İş kanunları ve mevzuattan kaynaklanan belirli hakların kullanılması veya belirli yükümlülüklerin yerine getirilmesi için gerekli olmadıkça ve bu prosedür de dahil olmak üzere diğer ilgili mevzuat tarafından izin ve yetki verilen durumlar dışında, Özel Nitelikli Kişisel Verilerin işlenmesinden önce daima veri sahibinin açık izni ve rızası alınmalıdır.

5.3.3. Çalışanların ve İş Başvurusu Sahiplerinin Kişisel Verilerinin İşlenmesinde Uyulması Gereken Kurallar

Çalışanlara ait Özel Nitelikli Kişisel Veriler de dahil olmak üzere Kişisel Verilerin, İş Kanunu ve ilgili diğer mevzuata uygun olarak veya Şirketimiz tarafından belirlenen diğer amaçlarla işlenmesi için, mevcut Şirketimiz çalışanlarına “KVKK Personel Bilgilendirme ve Rıza Formu” imzalatılarak aydınlatma ve açık rıza alma yükümlülüğü yerine getirilmelidir. Şu anda Şirketimiz çalışanı olmayan ancak işe alım süreci başarıyla tamamlanacak kişiler için, bilgilendirme yükümlülüğü, ilgili kişinin imzalayacağı iş sözleşmesine “İş Sözleşmesine Eklenecek Kişisel Verilerin Korunması Maddesi”nin eklenmesi ve iş sözleşmesinin bu haliyle imzalanması ile yerine getirilebilir.

5.3.4. Müşterilerin Pazarlama Amaçlı Kişisel Verilerinin İşlenmesi ve Kullanılmasında Uyulması Gereken İlkeler

Müşterilerin kişisel verilerinin doğrudan veya dolaylı pazarlama amaçlarıyla toplanması ve işlenmesi için, kişisel veriler toplanmadan önce ilgili veri sahibi müşterinin açık rızası alınmalıdır. Ayrıca, ticari iletişim için Veri Sahiplerine rızalarını geri çekme imkanı hem rıza alımı sırasında hem de her iletişimde sağlanmalıdır.

5.3.5. Görevleri Gereği Kişisel Veri İşleyen Çalışanlardan Beklenen Özel Hususlar

Görevlerinin bir gereği olarak ve görevleri sırasında Şirketimiz adına Kişisel Verileri işlerken, çalışanlarımızdan bu prosedürde yer alan hususlara ek olarak aşağıdaki hususlara dikkat etmeleri beklenir:

5.3.6. Görevleri Gereği Özel Nitelikli Kişisel Veri İşleyen Çalışanların Uyması Gereken Kurallar

Görevlerinin bir gereği olarak ve görevleri sırasında Şirketimiz adına Özel Nitelikli Kişisel Verileri işleyen çalışanlar, bu prosedürün diğer maddelerine ve 5.3.6. maddesinde belirtilen hususlara ek olarak, KVKK mevzuatına uygun olarak bir Gizlilik Sözleşmesi imzalamalıdır.

5.3.7. Kişisel Veri Aktarırken ve Devrederken Uyulması Gereken Kurallar

Çalışanlarımız, bu prosedürde belirtilen şartlar dışında herhangi bir üçüncü kişiye veri aktarmayacaktır.

5.4. TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verileri Koruma Kanunu çerçevesinde yeterli önlemler dahilinde teknik ve idari tedbirler almaktadır.

5.4.1. Teknik Tedbirler

Şirketimiz tarafından işlenen kişisel verilere ilişkin alınan teknik tedbirler aşağıda sıralanmıştır:

5.4.2. İdari Tedbirler

Şirketimiz tarafından işlenen kişisel verilere ilişkin alınan idari tedbirler aşağıda sıralanmıştır:

5.5. VERİ SAHİPLERİNİN HAKLARI

Kişisel verileri Şirketimiz tarafından işlenen veri sahipleri, Şirketimize başvurarak kendileri hakkında aşağıdaki konularda bilgi talep edebilirler:

5.6. GÜVENLİK KOŞULLARI

Şirketimiz çalışanları, Kişisel Verileri, yanlışlıkla veya hukuka aykırı olarak imha edilme, kaybolma, değiştirilme, yetkisiz açıklanma veya yetkisiz erişim (Güvenlik Olayı) risklerine karşı korumak için aşağıdakiler de dahil olmak üzere tüm makul güvenlik önlemlerini alır:

5.7. KİŞİSEL VERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen sürenin veya işlendikleri amaç için gerekli saklama süresinin sonunda, kişisel veriler Şirketimiz tarafından, re’sen (periyodik imha süreleri) veya veri sahibinin talebi üzerine, ilgili mevzuat hükümlerine uygun olarak, aşağıda belirtilen teknikler kullanılarak imha edilir.

Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı: Sunuculardaki Kişisel Veriler, Elektronik Ortamdaki Kişisel Veriler, Fiziksel Ortamdaki Kişisel Veriler, Taşınabilir Ortamdaki Kişisel Veriler.

Kişisel Verilerin Yok Edilmesi

Fiziksel Ortamdaki Kişisel Veriler: Saklama süresi dolan kağıt üzerindeki kişisel veriler, kağıt imha makinelerinde geri dönülemez bir şekilde yok edilir.

Optik / Manyetik Ortamdaki Kişisel Veriler: Saklama süresi dolan optik ortamlar ve manyetik ortamlar üzerindeki kişisel veriler için eritme, yakma veya toz haline getirme gibi fiziksel imha yöntemleri uygulanır.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilerek dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

5.8. VERİ TÜRLERİNE GÖRE SAKLAMA VE İMHA SÜRELERİ

Aşağıdaki tabloda belirtilen verilerin ilgili saklama süreleri boyunca muhafaza edilmesinden departman yöneticileri sorumludur. Şirketimizin periyodik imha süresi, departman yöneticilerinin takibinden sorumlu olduğu süre olarak 1 yıl belirlenmiştir. Departman yöneticileri, imhaların bu sürelere uygun olarak yapılmasını sağlamaktan ve saklama süresi dolan kişisel verilerin imhası konusunda gerekli hatırlatmaları yapmaktan sorumlu ve yetkilidir.

Tablo 4: Kişisel Veri Saklama ve İmha Süreleri