Soyap Madencilik Ziyaretçi Aydınlatma metnini okumak için tıklayınız.
Soyap Madencilik Kişisel Verilerin Erişim, Bilgi Güvenliği ve Kullanım Politikası metnini okumak için tıklayınız.
Soyap Madencilik Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası metnini okumak için tıklayınız
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU UYARINCA KİŞİSEL VERİLERİN KORUNMASI HAKKINDA ZİYARETÇİ AYDINLATMA METNİ
Soyap Madencilik San. Ve Tic. A.Ş, ("Soyap", "Şirket"); veri sorumlusu sıfatıyla aşağıda detay ve içeriği belirtilen kapsamda kişisel verilerinizi işlemektedir.
İşlenen Kişisel Veriler: Kimlik Verileri: Soyap'a ait alanlara giriş-çıkış yaparken ziyaretçi giriş kartı karşılığında geçici süreliğine teslim ettiğiniz kimlikte yer alan bilgiler
İletişim Bilgisi: Cep telefonu numarası
Güvenlik Bilgileri: Ziyaretiniz kapsamında size tahsis edilen giriş kartı bilgisi, giriş/çıkış tarih ve zaman bilgileri
Görsel Veriler: Kapalı devre güvenlik kamerası görüntüleri
İşlem Güvenliği: Kullanıcı IP, Mac ID, cihaz adı, erişim kayıtları
Diğer: Araç Bilgisi, Plaka Bilgisi
Kişisel Verilerin İşlenme Amaçları:
Veri Sorumlusunun işyerlerine, alanlarına, ofislerine yaptığınız ziyaretler kapsamında; Soyap'ın ziyaretçi takibini sağlıklı bir şekilde yapabilmesi, acil durum süreçlerinin yönetilmesi, işyeri sağlığı ile çalışanlarının güvenliğinin sağlanabilmesi amaçlarıyla kimlik verileri, güvenlik bilgileri, görsel veriler ve araç ile plaka bilgisi gibi diğer veriler işlenebilmektedir.
Ayrıca Soyap'ın sunmuş olduğu wifi hizmetinden ziyaretçi olarak yararlanmanız halinde bilgi güvenliği süreçlerinin sağlanması ve 5651 Sayılı Kanuna uyum sağlanması amaçlarıyla cep telefonu bilgisi ve işlem güvenliği verileri işlenebilmektedir.
Dünya Sağlık Örgütü tarafından pandemi olarak ilan edilen Covid-19 salgını süresince vücut ısınız kamu sağlığı açısından Şirket işyeri giriş çıkışlarında işlenebilmektedir.
Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebepler:
Verileriniz, Soyap'ın meşru menfaati ve hukuki yükümlülüklerini yerine getirmesi için zorunlu olması sebepleriyle; Veri Sorumlusu tarafından yerleştirilen kameralar aracılığıyla görsel verilerinizi, araç ve plaka bilgilerinizi; kimlik verilerinizi sözlü, yazılı ya da fiziksel yollarla iletmeniz vasıtasıyla toplanmaktadır. İşlem güvenliğine dair verileriniz ile cep telefonu numaranız ise Soyap tarafından ziyaretçilere tanınan wifi imkanı vasıtasıyla elektronik ortamda işlenmektedir.
Kişisel Verilerin Aktarıldığı Taraflar ve Amaçları:
Kişisel verileriniz mahkemeler, savcılık, icra daireleri, kamu kuruluşları ile diğer resmi mercilerden herhangi bir talep gelmedikçe üçüncü kişilerle paylaşılmamaktadır.
Kişisel Verilerin Korunması Kanunu'nun 11. maddesi kapsamındaki taleplerinizi, "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe" göre Gayrettepe Mah. Gönenoğlu Sk. No:7 34349 Beşiktaş İstanbul adresine yazılı olarak iletebilirsiniz.
SOYAP KİŞİSEL VERİLERİN ERİŞİM, BİLGİ GÜVENLİĞİ VE KULLANIM POLİTİKASI
1. GİRİŞ
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası ("Politika") ile kişisel verilerin korunması ve işlenmesi konusunda Soyap Madencilik San. Ve Tic. A.Ş ("Soyap", "Şirket") ve bünyesinde bulunan diğer grup şirketleri tarafından uygulamada dikkate alınacak hususlar ortaya konulmaktadır.
Politika, Soyap'ın kuruluşundan bu yana kişisel verilerin korunmasına göstermiş̧ olduğu özen doğrultusunda yürütmekte olduğu faaliyetlerinin bu kez hukuka uygunluk, dürüstlük ve şeffaflık ilkeleri başta olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("Kanun") öngörülen ilkelere ve kurallara uygun olarak yürütülmesini hedeflemektedir.
Soyap'a bünyesinde Kanun'da ve işbu Politika metninde düzenlenen ilkeler doğrultusunda kişisel verilerin işlenmesi ve korunması bakımından gerekli her türlü teknik ve idari tedbirler alınmaktadır. Bu kapsamda çalışanların farkındalığının sağlanması için gerekli eğitimler düzenlenmektedir.
Konu hakkında kişisel veri sahiplerine gerekli bildirimler ve uyarılar yapılmaktadır.
2. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
2.1. Kişisel Veriler
Kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgilerdir. Kişisel verilerin korunması, sadece gerçek kişilerin verileri ile ilgilidir. Şirketimize ait, içerisinde gerçek kişilere ilişkin bilgi içermeyen veriler, kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika, Soyap'a ait diğer veriler için geçerli değildir.
2.2. Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya ilgili kişinin mağduriyetine neden olabilecek nitelikte verilerdir. Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verileridir.
Özel nitelikli kişisel verilerin işlenmesine ve korunmasına, Soyap ve grup şirketleri olarak ayrıca önem verilmektedir. Özel nitelikli kişisel veriler işlenirken öncelikle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartlarının varlığından emin olunduktan sonra veri işleme faaliyetleri yürütülmektedir. Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu'nun öngördüğü tedbirlere uygun olarak mevzuatın zorunlu kıldığı durumlarda doğrudan, diğer durumlarda ise özel nitelikli kişisel veri sahibinin açık rızası alınarak işlenmektedir.
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Soyap ve grup şirketleri, kişisel verileri aşağıda belirtilen ilkelerle uyumlu olarak işlemekte olup; mevzuatta ve diğer alanlarda olan değişiklikleri yakından takip etmektedir.
3.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme
Soyap, kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işlemektedir. Bu çerçevede, kişisel veriler Şirketimiz tarafından, iş faaliyetlerinin gerektirdiği ölçüde, sınırlı bilgiler ile işlenmektedir.
3.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Soyap, kişisel verilerin işlendiği süre boyunca doğruluğunu ve güncelliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almıştır. Veri sahibinin başvurusu üzerine veya tespit halinde verilerin düzeltilmesini temin eder.
3.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Soyap, kişisel verilerin işlenme amaçlarını belirli ve açık bir şekilde ortaya koymakta ve iş faaliyetleriyle bağlantılı olarak, meşru amaçlar doğrultusunda işlemektedir.
3.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Soyap, kişisel verileri, veri işleme şartları ile bağlantılı olarak, veri işleme amaçlarının gerçekleştirilmesi için gerektiği ölçüde işlemektedir.
3.5. Kişisel Verilerin Kanuni Düzenlemeler Tarafından Öngörülen ve Ticari Gereklilikler Süresince Saklanması
Soyap, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süreye uyar. Böyle bir süre belirlenmiş̧ ise, sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4. KİŞİSEL VERİLERİ İŞLEME AMAÇLARIMIZ
Soyap ve bünyesinde bulunan grup şirketlerinin kişisel veri işleme amaçları aşağıda örnek mahiyetinde belirtilmiştir:
- Çalışanlara yönelik ücret ödeme sürecinin yerine getirilmesi ve Kamu Kurumlarına yapılması zaruri olan bildirimlerin düzenlenmesi,
- Çalışanlara yönelik eğitimlerin düzenlenmesi,
- Çalışanlar için özlük dosyalarının oluşturulması,
- Finans işlemlerinin yürütülmesi,
- Pazarlama faaliyetlerinin yürütülmesi,
- Lojistik faaliyetlerinin yürütülmesi,
- Sözleşme süreçlerinin yürütülmesi,
- Mevzuata uyum sağlanması
- Finans ve muhasebe işlemlerinin yerine getirilmesi,
- Çalışanlar için vekaletname, yetki belgesi gibi temsil faaliyetlerini gerçekleştirmeye yönelik belgelerin düzenlenmesi,
- Bankalar ile gerekli irtibatın kurulması,
- Resmi makamlardan gelen tebligatlara yazılı olarak geri dönüş yapılması,
- Ticari ilişki içerisinde bulunan tüzel veya gerçek kişiler ile irtibat kurulması,
- İşyeri güvenliğinin sağlanması,
- Taşeron çalışanlara yönelik yükümlülüklerin yerine getirilmesi,
- İmzalanan sözleşmelere dair işlemlerin gerçekleştirilmesi,
- Yasal zorunlulukların yerine getirilmesi,
- Çalışan işe giriş saatlerinin takip edilmesi,
- 6331 Sayılı Kanun çerçevesinde öngörülen yükümlülüklerin yerine getirilmesi,
- Doğabilecek hukuki uyuşmazlıklar bakımından kayıtların tutulması
- 5651 Sayılı Kanun uyarınca internet erişimi kayıtlarının tutulması,
- Ziyaretçi kayıtlarının oluşturulması,
- Stratejik planlama faaliyetlerinin yürütülmesi,
- Fiziksel mekan güvenliğinin temin edilmesi
5. KİŞİSEL VERİLERİN AKTARILMASI
Soyap ve grup bünyesinde bulunan şirketler, kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak, hukuka uygun bir şekilde, kişisel veri sahiplerinin kişisel verilerini ve özel nitelikli kişisel verilerini yurt içindeki üçüncü kişilere aktarabilmektedir. Bu doğrultuda Kanunu'nun 8. maddesinde düzenlenmiş̧ olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.
5.1. Kişisel Verilerin Yurt İçinde Aktarılması
Soyap, Kanun'un 8. Maddesi gereğince, yurt içinde yürütülen veri aktarımı faaliyetlerinde veri işleme şartlarına uygun olarak hareket etmektedir. Dolayısıyla veri sahibinin açık rızası olmaksızın üçüncü kişilere aktarım yapılmaz. Ancak Kanun'da öngörülen istisnalar çerçevesinde, veri sahibinin açık rızası aranmayacak hallerden birinin mevcut olması halinde kişisel verilerin, veri sahibinin açık rızası olmaksızın yurt içinde üçüncü kişilere aktarımı mümkündür.
5.2. Kişisel Verilerin Yurt Dışına Aktarılması
Soyap ve bünyesindeki grup şirketleri, Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak Kişisel Veri Sahiplerinin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini yurt dışındaki üçüncü kişilere aktarabilir. Şirketimiz tarafından Kişisel Veriler; Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu'nun izninin bulunduğu yabancı ülkelere aktarılabilir.
5.3. Kişisel Verilerin Aktarılabileceği Üçüncü Kişiler
Soyap, Kanun'un 8. maddesine uygun olarak, işbu Politika'nın 3. maddesinde öngörülen ilkeler çerçevesinde, veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:
İşbirliği İçerisinde Olunan Üçüncü Taraf Şirketler,
- Resmi Merciler
- Bankalar
- Avukatlar
- İşyeri Hekimi
- Anlaşmalı OSGB Firmaları
- Şirket Hissedarları
- Grup Şirketleri
6. KİŞİSEL VERİLERİN İŞLENMESİNDE AÇIK RIZANIN ARANMADIĞI İSTİSNAİ HALLER
Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartların bulunması halinde; Şirket tarafından gerekli idari ve teknik tedbirler alınarak kişisel veriler işlenebilir.
- Kişisel veri işleme faaliyetinin kanunlarda açıkça öngörülmüş̧ olması,
- Fiili imkansızlık nedeniyle çalışan veri sahibinin açık rızasının elde edilememesi ve kişisel veri işlemenin zorunlu olması,
- Kişisel veri işleme faaliyetinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
- Şirket'in hukuki yükümlülüğünü yerine getirmesi için kişisel veri işleme faaliyeti yürütülmesinin zorunlu olması,
- Kişisel veri sahibinin kişisel verisini alenileştirmesi,
- Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
- Şirketimizin meşru menfaati için veri işlemenin zorunlu olması.
7. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN YÜKÜMLÜLÜKLER
7.1. Veri Sorumluları Siciline (VERBİS) Kaydolma Yükümlülüğü
Soyap ve bünyesinde bulunan diğer şirketler, öngörülen kıstasları taşıması halinde; Kanun'da ve Veri Sorumluları Sicili Hakkında Yönetmelik'te Kişisel Verileri Koruma Kurulu tarafınca kurulacağı öngörülen Veri Sorumluları Sicili‘ne kayıt yükümlülüğünü yerine getirecek olup, bu doğrultuda aşağıda yer alan bilgileri kamuoyuyla paylaşacaktır: – Veri sorumlusunun ve irtibat kişisi olarak veri sorumlusu temsilcisinin kimlik ve adres bilgileri, – Kişisel verilerin hangi amaçla işleneceği, – Veri kategorileri, – Kişisel verilerin aktarılacağı alıcı veya alıcı grupları, – Yabancı ülkelere aktarımı öngörülen kişisel veriler, – Kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirler, – Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
7.2. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
Soyap, kişisel verilerin elde edilmesi sırasında Kanun'un 10. maddesi kapsamında aşağıda yer alan bilgileri veri sahipleri ile paylaşacaktır
- Veri Sorumlusunun kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
- Veri sahibinin hakları.
7.3. Kişisel Veri Sahibinin Taleplerine Uyma Yükümlülüğü
Kişisel veri sahiplerinin, gerek duydukları hallerde yazılı olarak veya Kişisel Veri Koruma Kurulu'nun belirleyeceği diğer yöntemlerle başvuruda bulunarak Kanun'un 11. maddesi kapsamında kendi verilerine ilişkin bilgi talebinde bulunma hakları vardır. Bu kapsamda kişisel veri sahipleri;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış̧ işlenmiş̧ olması durumunda bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen kişisel verilerinin analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu duruma itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
7.4. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Soyap ve grup bünyesindeki diğer şirketler, kişisel verileri Kanun'un 12. maddesine uygun olarak, işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve söz konusu verilerin hukuka uygun olarak saklanmasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alır.
8. BAŞVURU
Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini Gayrettepe Mah. Gönenoğlu Sk. No:7 34349 Beşiktaş İstanbul / Türkiye adresine ıslak imzalı olarak veya mevzuatta belirlenen diğer yollarla bildirmeleri durumunda talepleri en geç 30 gün içinde sonuçlandırılır.
9. KİŞİSEL VERİLERİ KORUMA KURULU'NA ŞİKAYET HAKKI
Kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya zamanında başvuruya cevap verilmemesi durumunda 30 gün içinde Kişisel Verileri Koruma Kurulu'na şikayet hakkı bulunduğu konusunda bilgilendirilmelidir.
10. POLİTİKAYA UYUM
- Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesine ilişkin sistemler güncellenmektedir.
- Kişisel verilerin korunmasına ilişkin gerekli güvenlik sistemleri oluşturulmuştur. Sistemin güncelliği sağlanmaktadır.
- Kişisel veri sahipleri verilerin elde edilmesi sırasında aydınlatılmakta, bilgi talep etmesi durumunda gerekli bilgilendirme yapılmaktadır.
- Kişisel verilerin korunması ve işlenmesi politikalarını oluştururken Kanun'da ve ilgili mevzuatta öngörülen düzenlemelere uygun hareket edilmektedir.
11. POLİTİKANIN YAYINLANMASI VE YÜRÜRLÜLÜĞÜ
Soyap tarafından düzenlenerek yürürlüğe giren Politika, Şirket'in internet sitesinde ( www.soyapmadencilik.com ) yayımlanır ve talebi üzerine ilgili kişilerin erişimine sunulur. Politika düzenli olarak denetlenip, gerekli görülürse mevzuattaki gelişmeler de göz önünde bulundurularak güncellenir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
I.KAPSAM İşbu Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası Soyap Madencilik San. Ve Tic. A.Ş ve grup şirketi, bağlı şirketler ve ortaklıkları bünyesindeki diğer şirketler bünyesinde kişisel verileri işleyen herhangi bir sürece dahil olan tüm departmanları, çalışanları ve 3. kişileri kapsamaktadır.
İşbu Politika; Şirket'in Özel Nitelikli Kişisel Verilerin güvenliğine yönelik kuralları tanımlayacak ve bu alandaki yönetimi sağlayacak tüm faaliyetleri kapsayacak olup, bunu sürdürmek adına her adımda uygulanacaktır.
İşbu Politika Özel Nitelikli Kişisel Veri olmayan veriler hakkında uygulanmayacaktır.
II.TANIMLAR
Kanun 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik
Kurul Kişisel Verileri Koruma Kurulu
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Politika İşbu Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası
Kişisel Veri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandıran envanter
Özel Nitelikli Kişisel Veri KVKK kapsamında ilgili kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Şirket Soyap Madencilik San. Ve Tic. A.Ş ve grup şirketi, bağlı şirketler ve ortaklıkları bünyesindeki diğer şirketler
İlgili Kişi VERBİS Kişisel verisi işlenen gerçek kişiler Başkanlık tarafından tutulan Veri Sorumluları Sicili
III.AMAÇ
İşbu Politika, Kanun uyarınca veri sorumlusu sıfatını haiz Şirket nezdinde tutulan Özel Nitelikli Kişisel Veri niteliğindeki verilerin, veri güvenliği kapsamında korunması ve işlenmesi usul ve esaslarını belirlemek maksadıyla oluşturulmuştur.
Şirket, VERBİS’e kayıt yükümlülüğü olan bir veri sorumlusu olarak, uhdesinde bulunan Özel Nitelikli Kişisel Verileri; Kişisel Veri İşleme Envanterine uygun bir şekilde saklamaktan, bu verilerin güvenliğine yönelik kuralları tanımlamaktan ve yönetimini sağlayacağı tüm faaliyetleri kapsayarak, bunu sürdürmek adına uygulayacak bir Politika hazırlayarak bu Politikaya uygun hareket etmekle yükümlüdür.
Kişisel Verilerin saklanması ve imhasında Kanun ve ilgili mevzuatta bulunan şartlar ve ilkeler geçerli olacaktır.
IV.ÖZEL NİTELİKLİ KİŞİSEL VERİ
1)Özel Nitelikli Kişisel Veri İşlenmesine İlişkin Genel İlkeler
Şirket, Kişisel Verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
Şirket, Kişisel Verileri Kanun'da belirtildiği şeklin aksine bir şekilde işlemeyeceğini taahhüt eder.
Şirketin, Kanun'un 6. Maddesi 3.fıkrasındaki Özel Nitelikli Kişisel Verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece; Kanun'da belirtilen istisnalar dışında açık rızasını almadığı kişilerin Özel Nitelikli Kişisel Verilerini saklaması yasaktır. Şirket, Özel Nitelikli Kişisel Verileri sakladığı durumlarda, verileri ilgili mevzuata bağlı kalarak açık rıza alınması durumunda işler.
2)Şirket Tarafından İşlenen Özel Nitelikli Kişisel Veriler
Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir durumdadır.
Sağlık ve cinsel hayata ilişkin Özel Nitelikli Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir durumdadır.
Özel Nitelikli Kişisel Veriler Şirket bünyesinde veri sahiplerinden alınan açık rıza aracılığıyla işlenmekte olup, bu veriler ancak işbu Politikanın 'Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler' bölümünde belirtilen kontroller çerçevesinde işlem görmektedir. Şirket ile İlgili Kişi arasındaki ilişkinin türüne ve niteliğine, kullanılan iletişim kanallarına ve bahsi geçen amaç bilgisine bağlı olarak çeşitlenmekte ve farklılaşmaktadır.
3)Özel Nitelikli Kişisel Verilerin İşlenme Amaçları
Kişisel Veriler, Kişisel Veri İşleme Envanteri içerisinde belirtilen amaçlar kapsamında işlenebilmekte olup, bu amaçların ve ilgili yasal sürelerin öngördüğü müddetçe saklanabilmektedir.
4)Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket, işbu Politikanın 'Özel Nitelikli Kişisel Verilerin İşlenme Amaçları' bölümünde örneklendirilen amaçlar çerçevesinde ve Kanun’un 8 ve 9'uncu maddeleri uyarınca yurt içi ve yurt dışı veri aktarımı yapmaktadır ve Kişisel Veriler bu kapsamda kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir. Şirket tarafından hazırlanmış Kişisel Veri İşleme Envanterinde veri aktarımı gerçekleşen taraflar ve veri aktarım amaçları detaylı bir şekilde belirtilmiştir. Yapılan bu aktarımların niteliği ve paylaşım yapılan taraflar, İlgili Kişi ile Şirket arasındaki ilişki türüne ve niteliğine, aktarımın amacına ve ilgili yasal dayanağa bağlı olarak değişmekte olup, bu kapsamda alınan tedbirler, uygulama esas usulleri ve bu çerçevede alınacak olan işlemler geçerlidir.
Şirket, Özel Nitelikli Kişisel Verileri aktaracak ise; Kanun ve ilgili mevzuatta belirtilen hüküm ve şartlara uygun olarak gerekli önlemleri almak suretiyle aktarımı gerçekleştirir.
5)Veri İşleme Şartlarının Ortadan Kalkması
Şirket, Özel Nitelikli Kişisel Veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.
Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. Şirket, şartların ortadan kalktığı ortamları ilgililerin talebi üzerine veya resen işbu Politika'ya uygun bir şekilde ortadan kaldırmakla yükümlüdür.
Şirket aşağıda örnek olarak listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda Özel Nitelikli Kişisel Veri işlenme şartlarının ortadan kalktığını kabul eder:
- Kişisel Verilerin işlenmesini gerektiren amacın ortadan kalkması,
- Kişisel Verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
- Kişisel Verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması.
6)Özel Nitelikli Kişisel Verilerin Güvenliği
Şirket, veri sorumlusu sıfatıyla aşağıda belirtilen önlemleri almaktadır:
i) İdari Tedbirler:
- Çalışanlar için çalışanların niteliği ve teknik bilgi/becerisinin geliştirilmesi, Kişisel Verilerin hukuka aykırı işlenmesinin önlenmesi, Kişisel Verilere hukuka aykırı erişilmesinin önlenmesi, Kişisel Verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Kişisel Veri İşleme Envanteri hazırlanmıştır.
- Saklama ve imha konularında kurumsal politikalar hazırlanmıştır.
- Kişisel Veri işlemeye başlamadan önce, İlgili Kişileri aydınlatma ve açık rızalarını alma yükümlülükleri yerine getirilmektedir.
- Kişisel Veriler mümkün olduğunca azaltılmaktadır.
- Periyodik ve rastgele denetimler yapılmaktadır.
- VERBİS kaydı yapılmaktadır.
- Kişisel Veriler için alınan idari tedbirlerin yanı sıra; Özel Nitelikli Kişisel Verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmektedir.
- Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak belirlenmektedir.
- Periyodik olarak yetki kontrollerinin gerçekleştirilmektedir.
ii) Teknik Tedbirler:
- Kişisel Veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel Veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel Veri güvenliğinin takibi yapılmaktadır.
- Kişisel Veri saklama ve imha politikasına uygun olarak silme, yok etme veya anonim hale getirme işlemleri periyodik olarak uygulanmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Kişisel Veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel Veri içeren ortamların güvenliği sağlanmaktadır.
- Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmaktadır.
- Erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Yetki matrisi yapılmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kişisel Veriler yedeklenmekte ve yedeklenen Kişisel Verilerin güvenliği de sağlanmaktadır.
- Kişisel Veriler için alınan teknik tedbirlerin yanı sıra; Özel Nitelikli Kişisel Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
- Verilere uzaktan erişim gerektiğinde en az iki kademeli kimlik doğrulama sistemi uygulanmaktadır.
- Verilerin e-posta yoluyla aktarılması gerektiğinde şifreli olarak kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılmaktadır.
- Kişisel Veriler için alınan teknik tedbirlerin yanı sıra; Özel Nitelikli Kişisel Verilerin bulunduğu ortam için yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
- Özel Nitelikli Kişisel Verilerin bulunduğu ortama yetkisiz giriş çıkışlar engellenmektedir.
- Özel Nitelikli Kişisel Verilerin kâğıt ortamı ile aktarımında evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
7)Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket, hukuka uygun olarak elde etmiş olduğu Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, İlgili Kişi’nin Özel Nitelikli Kişisel Verilerini üçüncü kişilere aktarabilmektedir. Bu doğrultuda, Şirket, Özel Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir:
- İlgili Kişi’nin açık rızası var ise,
- Kanunlarda Özel Nitelikli Kişisel Veri’nin aktarılacağına ilişkin açık bir düzenleme var ise,
- İlgili Kişi’nin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve İlgili Kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel Verinin aktarılması gerekli ise,
- Şirket’in hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunlu ise,
- Özel Nitelikli Kişisel Veriler, İlgili Kişi tarafından alenileştirilmiş ise,
- Özel Nitelikli Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için Kişisel Veri aktarımı zorunlu ise.
8)Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda, İlgili Kişi’nin Özel Nitelikli Kişisel Veriler’ini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir:
- İlgili Kişi’nin açık rızası var ise veya
- İlgili Kişi’nin açık rızası yok ise; o İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde, o İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.
V.GÜNCELLEME
Konuyla alakalı yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, Şirket politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.