Kişisel
Verilerin Korunması ve Gizlilik Politikası
Doküman
Bilgileri |
|||
Doküman Adı: |
Kişisel Verilerin
Korunması ve Gizlilik Politikası |
||
Doküman No: |
P-1 |
||
Doküman İçeriği: |
Bu
politikanın amacı, Yenilikçi
Danışmanlık ve Eğitim Hizmetleri Sanayi Ticaret Limited Şirketi tarafından, Kişisel
Verilerin korunmasına yönelik yöntem ve süreçlere ilişkin esasları
belirlemektir. |
||
Yayınlanma Tarihi: |
09.05.2023 |
||
Versiyon No: |
1 |
||
Referans / Gerekçe |
6698
sayılı Kişisel Verilerin Korunması Kanunu |
||
Onaylayan: |
Yenilikçi
Danışmanlık Ve Eğitim Hizmetleri Sanayi Ticaret Limited Şirketi |
||
KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI
V. KİŞİSEL VERİ İŞLEMENİN İLKELERİ
VI. KİŞİSEL VERİLERİN İŞLENMESİ
VII. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
VIII. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM
HALE GETİRİLMESİ
IX. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN
ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ
X. ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ
XII. VERİ YÖNETİMİ VE GÜVENLİĞİ
XVII.POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI
1.1. İşbu
Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”), Yenilikçi
Danışmanlık Ve Eğitim Hizmetleri Sanayi Ticaret Limited Şirketi’dir (“Şirket”) 6698 Sayılı Kişisel Verilerin
Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca Kişisel
Verileri korumaya yönelik yükümlülüklerini yerine getirirken ve Kişisel
Verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken
esasları belirlemektedir.
1.2. Şirket,
kendi bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve
Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
İşbu
Politikanın temel amacı, Şirket tarafından Kişisel Verilerin korunmasına
yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
3.1. İşbu
Politika, Şirketin işlemekte olduğu Kişisel Verilere yönelik tüm faaliyetleri
kapsar ve söz konusu faaliyetlere uygulanır.
3.2. İşbu
Politika, Kişisel Veri niteliği taşımayan verilere uygulanmaz.
3.3. İşbu
Politika, KVK Düzenlemelerinin gerektirmesi halinde yahut Şirketin Veri
Sorumlusu Temsilcisi yahut Komite’nin gerekli gördüğü hallerde zaman zaman
müdürler kurulu onayı ile değiştirilebilir.
İşbu
Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder;
“Açık Rıza” Veri Öznesinin
Kişisel Verilerinin işlenmesine dair bilgilendirilmeye dayalı olarak ve özgür
iradeyle açıkladığı rızayı ifade eder.
“Anonim Hale Getirme”
Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesini ifade eder.
“Anonim Hale Getirilmiş Veri”
Gerçek kişi ile hiçbir şekilde ilişkisinin kurulması mümkün olmayan veriyi ifade eder.
“Kişisel Veri”
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde
aşağıda tanımlanan “Özel Nitelikli Kişisel Veriler”i de kapsayacaktır).
“Kişisel Veri İşleme”
Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri
üzerinde yapılan her türlü işlemi ifade eder.
“Komite” İşbu Politikanın ve Politikaya
bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden sorumlu komiteyi
ifade eder.
“Kurul” Kişisel Verileri
Koruma Kurulunu ifade eder.
“Kurum” Kişisel Verileri Koruma Kurumunu
ifade eder.
“KVKK” 6698 sayılı Kişisel
Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile
Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve
denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen,
bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin
korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü
mevzuatı ifade eder.
“KVK
Prosedürleri” Müdürler Kurulu tarafından onaylanarak yürürlüğe giren ve
Şirketin, çalışanların, Komitenin ve Veri Sorumlusu Temsilcisinin işbu Politika
kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri”
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi
veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri ifade eder.
“Silme veya Silinme”
Kişisel Verilerin geri döndürülemez biçimde imha edilmesini yahut yok
edilmesini ifade eder.
“Veri Envanteri” Şirketin
Kişisel Veri İşleme faaliyetlerine yönelik olarak Kişisel Veri İşleme süreç ve
yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin
aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifade eder.
“Veri İşleyen” Veri
Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri
işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Öznesi”
Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek
kişileri ifade eder.
“Veri Sorumlusu” Kişisel
Verileri İşleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt
sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel
kişiyi ifade eder.
“Veri Sorumlusu Temsilcisi” Komite
içerisinden seçilen ve Şirketin
Kurum ile olan ilişkilerini yürüten ve müdürler kurulu kararı ile atanan
çalışanı ifade eder.
5.1. Kişisel Verilerin Hukuka ve Dürüstlük
Kurallarına Uygunluk Olarak İşlenme
Kişisel
Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük
esasına dayalı olarak işlenir.
5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel
Olması için Gerekli Önlemlerin Alınması
Şirket,
Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli
önlemleri alır ve Veri Öznesinin Kişisel Verilere yönelik değişiklik talep
etmesi durumunda ilgili Kişisel Verileri günceller.
5.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar
Doğrultusunda İşlenmesi
Kişisel
Verilerin İşlenmesinden önce Şirket tarafından Kişisel Verilerin hangi amaçla
işleneceği belirlenir. Bu kapsamda, Veri Öznesi KVK Düzenlemeleri kapsamında
aydınlatılır ve gereken hallerde Açık Rızaları alınır.
5.4. Kişisel Verilerin İşlendikleri Amaçla
Bağlantılı, Sınırlı ve Ölçülü Olması
Şirket,
Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında istisnai hallerde (KVKK
Madde 5.2 ve Madde 6.3) veya Veri Öznesinden alınan Açık Rıza kapsamındaki amaç
doğrultusunda (KVKK Madde 5.1 ve Madde 6.2) ve ölçülülük esasına uygun olarak
işler.
5.5. Kişisel Verilerin Gerektiği Kadar Muhafaza
Edilmesi ve Sonrasında Silinmesi
5.5.1.
Şirket, Kişisel Verileri amaca uygun olarak
gerektiği kadar muhafaza eder. Şirketin, KVK Düzenlemelerinde
öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir
süreyle Kişisel Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde
belirtilen yükümlülüklere uygun davranır.
5.5.2.
Kişisel Veri İşleme amacının gerektirdiği süre
sona erdikten sonra Kişisel Veriler Silinir veya Anonim Hale Getirilir. İşbu
halde, Şirketin Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri
Silmesi yahut Anonim Hale Getirmesi sağlanır.
5.5.3.
Silme ve Anonim Hale Getirme süreçlerinin
işletilmesinden Veri Sorumlusu Temsilcisi ve Komite sorumludur. Bu kapsamda
gerekli prosedür Veri Sorumlusu Temsilcisi ve Komite tarafından
oluşturulur.
Kişisel
Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında
işlenebilir.
6.1. Açık Rıza
6.1.1.
Kişisel Veriler, Veri Öznelerine Aydınlatma
Yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası
ve Veri Öznelerinin Açık Rıza vermesi halinde işlenir.
6.1.2.
Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza
alınmadan önce Veri Öznelerine hakları bildirilir.
6.1.3.
Veri Öznesinin Açık Rızası, KVK
Düzenlemelerine uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde
Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza
edilir.
6.1.4.
Veri Sorumlusu Temsilcisi ve Komite, tüm
Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğü’nün yerine
getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve muhafazasını
sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman çalışanları Veri
Sorumlusu Temsilcisi ve Komitenin talimatlarına, işbu Politika’ya ve bu
Politika’nın eki olan KVK Prosedürlerine uymakla yükümlüdür.
6.2. Kişisel Verilerin Açık Rıza Alınmaksızın
İşlenmesi
6.2.1
KVK Düzenlemeleri kapsamında Açık Rıza
alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde
5.2 ve Madde 6.3), Şirket Veri Öznesinin Açık Rızasını almaksızın Kişisel
Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi durumunda Şirket
KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde Kişisel Verileri İşler. Bu
kapsamda:
6.2.1.1. Fiili imkânsızlık
nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan Veri Öznesinin ve/veya Veri Öznesi dışındaki bir kişinin
hayatının veya beden bütünlüğünün korunması için Kişisel Veriler Şirket
tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.2. Bir sözleşmenin
kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan doğruya ilgili
olması şartları sağlanıyorsa, sözleşmenin taraflarına ait Kişisel Veriler Veri
Öznelerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.3. Kişisel Verilerin
İşlenmesi Şirketin hukuki yükümlülüğünü yerine getirmesi için zorunluysa,
Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket tarafından
işlenebilir.
6.2.1.4. Veri Öznesi tarafından
alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafından
işlenebilir.
6.2.1.5. Kişisel Verilerin Açık
Rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması veya korunması için
tek mümkün yol ise Kişisel Veriler Açık Rıza alınmaksızın Veri Sorumlusu
Temsilcisinin bilgisi dâhilinde Şirket tarafından işlenebilir.
6.2.1.6. Veri Öznesinin temel
hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için
veri işlenmesinin zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık
Rıza olmaksızın işlenebilir.
7.1. Özel
Nitelikli Kişisel Veriler yalnızca Veri Öznesinin Açık Rızasının bulunması
yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel
Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde
işlenebilir.
7.2. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ancak
kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla Açık Rıza
almaksızın işlenebilir. Dolayısıyla KVK Düzenlemelerinde aksi öngörülene dek
kişisel sağlık verileri ve cinsel hayat verileri yalnızca Açık Rıza kapsamında
yahut sır saklama yükümlülüğü altında olan Şirket hekimi tarafından
işlenebilir.
7.3. Özel
Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler
alınır.
7.4. Özel
Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan
tarafından Veri Sorumlusu Temsilcisi bilgilendirilir.
7.5. Bir
verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise
ilgili departman tarafından Veri Sorumlusu Temsilcisinden görüş alınır.
Kişisel Veriler, Şirket bünyesinde ilgili
yasal saklama süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili
faaliyetlerin ve işbu Politika’da da belirtilen amaçların gerçekleştirilmesi
için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal
saklama süresi sona eren kişisel veriler ise, KVKK’nın 7’nci maddesi uyarınca
Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
9.1.
Kişisel
Verinin İşlenmesine yönelik meşru amaç ortadan kalktığında, ilgili Kişisel
Veriler Silinir yahut Anonim Hale Getirilir. Kişisel Verilerin Silinmesi yahut
Anonim Hale Getirilmesi gereken durumlar Veri Sorumlusu Temsilcisi ve Komite
tarafından takip edilir.
9.2.
Silme ve Anonim Hale
Getirme süreçlerinin işletilmesinden Veri Sorumlusu Temsilcisi ve Komite
sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi ve Komite
tarafından oluşturulur.
9.3.
Şirket
Kişisel Verileri gelecekte kullanma ihtimalini göz önünde bulundurarak
saklamaz.
9.4.
Şirket’in
Kişisel Veriler üzerinde uygulayacağı tüm Silme, Yok Etme ve Anonim Hale
Getirme faaliyetleri Kişisel Veri Saklama ve İmha Politikası’nda belirtilen
esaslara uygun olarak gerçekleştirilecektir.
Şirket,
üçüncü bir gerçek ya da tüzel kişiye (“Yüklenici”)
KVK Düzenlemelerine uygun şekilde Kişisel Veri aktarabilir. Bu durumda Şirket,
Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlar. Bu
kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler
eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen
sözleşmelere eklenecek madde ise Veri Sorumlusu Temsilcisinden temin edilir.
Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer
alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Temsilcisi tarafından
iletilen maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep
etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Temsilcisine
bildirir.
10.1.
Türkiye’de
Bulunan Üçüncü Kişilere Kişisel Veri Aktarım
10.1.1. Kişisel
Veriler, KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai hallerde Açık
Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı
ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Şirket
tarafından aktarılabilir.
10.1.2. Kişisel
Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemelerine
uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Temsilcisi
müteselsilen sorumludur.
10.2. Yurt Dışında Bulunan Üçüncü Kişilere Aktarım
10.2.1. Şirket
tarafından yurt dışına herhangi bir kişisel veri aktarımı yapılmamaktadır.
11.1. Şirket, KVKK’nın 10. Maddesine uygun olarak,
Kişisel Verilerin İşlenmesinden önce
Veri Öznelerini aydınlatır. Bu kapsamda Şirket, Kişisel Verilerin elde
edilmesi sırasında Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma
Yükümlülüğü kapsamında Veri Öznelerine yapılacak olan bildirim sırasıyla şu
unsurları içerir:
11.1.1.
Veri Sorumlusunun ve varsa temsilcisinin kimliği,
11.1.2. Kişisel
Verilerin hangi amaçla işleneceği,
11.1.3. İşlenen
Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
11.1.4. Kişisel
Veri toplamanın yöntemi ve hukuki sebebi,
11.1.5. Veri
Öznelerinin hakları.
11.2.
Şirket, Türkiye
Cumhuriyeti Anayasası’nın 20. ve KVKK’nın 11. Maddesine uygun olarak Veri
Öznesinin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.
11.3.
Veri Özneleri
tarafından talep edilmesi halinde Şirket Veri Öznesinin işlediği Kişisel Verilerini Veri Öznesine bildirir.
11.4.
Kişisel Verilerin
İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine getirilmesini
sağlamaktan ilgili süreci takip eden çalışan ve Veri Sorumlusu Temsilcisi
müteselsilen sorumludur. Bu kapsamda her bir yeni işleme sürecinin Veri
Sorumlusu Temsilcisine raporlanması amacı ile gerekli KVK Prosedürü Veri
Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.
11.5. Veri İşleyenin Şirket haricinde üçüncü bir kişi olması
halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı
yazılı bir sözleşme ile Kişisel Veri İşlemeye başlanmadan önce üçüncü kişi
tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirkete Kişisel Veri aktardığı
durumlarda sözleşmelere eklenecek madde Veri Sorumlusu Temsilcisinden temin
edilir. Her bir çalışan Şirkete üçüncü bir kişi tarafından Kişisel Veri
aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle
yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel
Verileri aktaran üçüncü kişinin değişiklik talep etmesi halinde durum derhal
çalışan tarafından Veri Sorumlusu Temsilcisine bildirir.
12.1. Şirket
Kişisel Verisini elinde bulundurduğu Veri Öznelerinin aşağıda belirtilen
kendileriyle ilgili taleplerine KVK Düzenlemelerine uygun şekilde cevap verir:
12.1.1. Şirket
tarafından Kişisel Veri işlenip işlenmediği öğrenme,
12.1.2. Kişisel
Verilerinin işlenmesi halinde buna ilişkin bilgi talep etme,
12.1.3. Kişisel
Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
12.1.4. Yurt
içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
12.1.5. Kişisel
Verilerin Şirket tarafından eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme,
12.1.6. Amaç,
süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel
Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket
tarafından Kişisel Verilerin Silmesini veya yok edilmesini isteme,
12.1.7. İşlenen
Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
durumunda Veri Öznesinin aleyhine bir sonucun ortaya çıkması halinde bu sonuca
itiraz etme,
12.1.8. Kişisel
Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Veri Öznesinin zarara
uğraması hâlinde zararın giderilmesini talep etme.
Veri Özneleri haklarını kullanmak istediği
ve/veya Kişisel Verileri işlerken Şirketin işbu Politika kapsamında hareket
etmediğini düşündüğü durumlarda taleplerini, Veri Sorumlusu ile ilgili aşağıda
verilen ve zaman zaman değişebilecek olan e-posta adresine güvenli elektronik
imzalı olarak yahut yine aşağıda yer alan ve zaman zaman değişebilecek olan
posta adresine kimliklerini tespit edici belgeler ile ıslak imzalı bir dilekçe
ile elden teslim edebilir ya da noter aracılığıyla gönderebilir.
Veri Sorumlusu:
Yenilikçi Danışmanlık Ve
Eğitim Hizmetleri Sanayi Ticaret Limited Şirketi
E-posta: [email protected]
Posta: Güzeloba Mah. Rauf Denktaş Cad. No:56 İç Kapı
No: 102
12.2. Veri
Öznelerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak
Şirkete iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz
gün içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından
sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri
Koruma Kurulunca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep
edilebilir.
13.1. Şirket,
KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu
Politikanın uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak
ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Veri
Sorumlusu Temsilcisi atar ve Komite oluşturur.
13.2. Kişisel
Verilerin işbu Politika ve KVK Prosedürlerine uygun şekilde korunmasından
ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.
13.3. Şirket
tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama
maliyetine göre teknik sistemlerle denetlenmektedir.
13.4. Kişisel
Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam
edilmektedir.
13.5. Şirket
çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine
yönelik olarak bilgilendirilmekte ve eğitilmektedir.
13.6. Şirket
çalışanları, Kişisel Verilere üzerinde yalnızca kendilerine tanımlanan yetki
dâhilinde ve ilgili KVK Prosedürüne uygun olarak erişebilir. Çalışanın
yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı
olup iş akdinin haklı nedenle feshi sebebidir.
13.7. Şirket
çalışanın Kişisel Verilerin güvenliğinin yeterince sağlanmadığı şüphesinde
olması yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal
durumu Veri Sorumlusu Temsilcisi’ne bildirir.
13.8. Kişisel
Verilerin güvenliğine yönelik detaylı KVK Prosedürü Veri Sorumlusu Temsilcisi
ve Komite tarafından oluşturulur.
13.9. Kendisine
Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen
cihazlarının güvenliğinden sorumludur.
13.10. Her
Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında
yer alan fiziki dosyaların güvenliğinden sorumludur.
13.11. KVK
Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek
olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar
ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini
sağlamak ile yükümlüdür.
13.12. Şirkette
Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere
uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar
ve donanımlar kurulmaktadır.
13.13. Şirkette
Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme
programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.
13.14. Şirkette
Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle
korunmaktadır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde
saklanmaz. Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler
masaüstüne veya ortak klasöre taşınmaz, Veri Sorumlusu Temsilcisinin önceden
yazılı onayı alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir
aygıta aktarılamaz, Şirket dışına çıkartılamaz.
13.15. Komite,
Müdürler Kurulu ile birlikte Şirket içerisinde bulunan tüm Kişisel Verilerin
korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari
faaliyetleri sürekli takip etmekle ve gerekli KVK Prosedürlerini hazırlayarak
Müdürler Kurulu onayına sunmak, onay akabinde Şirket içerisinde duyurmak ve
bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve
Veri Sorumlusu Temsilcisi çalışanların farkındalığını artırmak üzere gerekli
eğitimleri düzenler.
13.16. Şirket
içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman,
Komite tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği
hakkında bilgilendirilir ve ilgili departman Komite talimatlarına uygun hareket
ederler. Özel Nitelikli Kişisel Verilere erişim yetkisi yalnızca sınırlı
çalışanlara verilir ve bunların listesi ve takibi Komite tarafından yapılır.
13.17. Şirket
içerisinde işlenen Kişisel Verilerin tamamı Şirket tarafından “Gizli Bilgi”
olarak kabul edilir.
13.18. Şirket
çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin
yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği
konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları
yönünde taahhüt alınmıştır.
14.1.
Genel
Kullanılmakta
olan internet tarayıcısı aracılığı ile internet ağ sunucusu tarafından
kullanıcıların cihazlarına gönderilen küçük veri dosyaları çerez olarak
anılmakta olup, internet siteleri bu çerezler vasıtası ile kullanıcıları
tanımaktadır ve çerezlerin ömrü tarayıcı ayarlarına bağlı olarak
farklılaşmaktadır.
Bu
çerezler, Şirket tarafından yönetilmekte olan sistemler aracılığıyla
oluşturulmakla birlikte, aynı zamanda Şirket tarafından yetkilendirilen bazı
hizmet sağlayıcılar kullanıcıların cihazlarına benzeri teknolojiler
yerleştirerek IP adresi, benzersiz tanımlayıcı ve cihaz tanımlayıcı bilgileri
edinebilmektedir. Ayrıca, Şirket sistemlerinde bulunan üçüncü taraflara ait
linkler, bu üçüncü taraflara ait gizlilik politikalarına tabi olmakla birlikte,
gizlilik uygulamalarına ait sorumluluk Şirket’e ait olmamaktadır ve bu bağlamda
ilgili link kapsamındaki site ziyaret edildiğinde siteye ait gizlilik
politikasının okunması önerilmektedir.
Şirket
çerez kullanımı bakımından KVKK Düzenlemeleri özelinde gerekli değerlendirmeyi
yapar ve KVKK Düzenlemeleri kapsamında gerekli yükümlülükleri ayrıca yerine
getirir.
Ana
kullanım amacı kullanıcılara kolaylık sağlamak olan çerezler, temel olarak 4
ana grupta toplanmaktadır:
·
Oturum Çerezleri:
İnternet sayfaları arasında bilgi taşınması ve kullanıcı tarafından girilen
bilgilerin sistemsel olarak hatırlanması gibi çeşitli özelliklerden
faydalanmaya olanak sağlayan çerezlerdir ve Şirket internet sitesine ait
fonksiyonların düzgün bir şekilde işleyebilmesi için gereklidir.
·
Performans Çerezleri:
Sayfaların ziyaret edilme frekansı, olası hata iletileri, kullanıcıların ilgili
sayfada harcadıkları toplam zaman ile birlikte siteyi kullanım desenleri
konularında bilgi toplayan çerezlerdir ve Şirket internet sitesinin
performansını arttırma amacıyla kullanılmaktadır.
·
Fonksiyonel Çerezler:
Kullanıcıya kolaylık sağlanması amacıyla önceden seçili olan seçeneklerin
hatırlatılmasını sağlayan çerezlerdir ve Şirket internet sitesi kapsamında
kullanıcılara gelişmiş internet özellikleri sağlanmasını hedeflemektedir.
·
Reklam Ve Üçüncü Taraf Çerezleri: Üçüncü
parti tedarikçilere ait çerezlerdir ve Şirket internet sitesindeki bazı
fonksiyonların kullanımına ve reklam takibinin yapılmasına olanak
sağlamaktadır.
14.3. Çerezlerin Kullanım Amaçları
Şirket
tarafından kullanılmakta olan çerezlere ait kullanım amaçları aşağıdaki
gibidir:
· Operasyonel amaçlı kullanımlar: Şirket, sistemlerinin idaresi ve güvenliğinin sağlanması
amacıyla, bu sitedeki fonksiyonlardan yararlanmayı sağlayan veyahut ta düzensiz
davranışları tespit eden çerezler kullanabilmektedir.
· İşlevselliğe yönelik kullanımlar: Şirket, sistemlerinin kullanımını kolaylaştırmak ve
kullanıcı özelinde kullanım özellikleri sağlamak amacıyla, kullanıcıların
bilgilerini ve geçmiş seçimlerini hatırlatan çerezler kullanabilmektedir.
· Performansa yönelik kullanımlar: Şirket, sistemlerinin performansının artırılması ve
ölçülmesi amacıyla, gönderilen iletilerle olan etkileşimi ve kullanıcı
davranışlarını değerlendiren ve analiz eden çerezler kullanabilmektedir.
· Reklam
amaçlı kullanımlar: Şirket, kendine
veya üçüncü taraflara ait sistemlerin üzerinden kullanıcıların ilgi alanları
kapsamında reklam ve benzeri içeriklerin iletilmesi amacıyla, bu reklamların
etkinliğini ölçen veya tıklanma durumunu analiz eden çerezler
kullanabilmektedir.
14.4. Çerezleri Devre Dışı Bırakmak
Çerez
kullanımı birçok tarayıcıda önceden tanımlı bir şekilde seçili olarak
bulunmaktadır ve kullanıcılar bu seçim durumunu tarayıcı ayarlarından
değiştirebilmekte ve dolayısıyla da mevcut çerezleri silip ileriki çerez
kullanımlarını da reddedebilmektedir; nitekim çerez kullanımının iptal edilmesi
halinde Şirket sistemlerindeki bir takım özelliklerden faydalanılamaması söz
konusu olabilmektedir.
Çerez
kullanım seçiminin değiştirilmesine ait yöntem, tarayıcı tipine bağlı olarak
değişmekte olup, ilgili hizmet sağlayıcıdan dilendiği zaman
öğrenilebilmektedir.
15.1. Şirket,
Kişisel Verilerin korunması konusunda çalışanlarına Politika ve ekinde yer alan
KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir.
15.2. Eğitimlerde Özel Nitelikli Kişisel Verilerin
tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
15.3. Şirket
çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa,
Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar
programı) eğitim verir.
Şirket,
işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve
yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde
bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda
gerekli rutin denetimleri yapar. Komite ve Veri Sorumlusu Temsilcisi bu
denetimlere dair KVK Prosedürü oluşturur, Müdürler Kurulu’nun onayına sunar ve
anılan prosedürün uygulanmasını sağlar.
15.1. Şirketin
her bir çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında belirtilen
usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Komiteye
raporlar. Bu kapsamda ilgili ihlale yönelik Komite, işbu Politika ve KVK
Prosedürlerine uygun şekilde eylem planı oluşturur.
15.2. Yapılan
bilgilendirmeler sonucunda Komite KVK Düzenlemeleri başta olmak üzere konuya
ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri
Öznesi veya Kurum’a yapılacak bildirimi hazırlar. Veri Sorumlusu Temsilcisi Kurum ile yapılan
yazışma ve iletişimi yürütür.
Şirket
içerisinde sorumluluklar sırasıyla çalışan, departman, Veri Sorumlusu
Temsilcisi şeklindedir. Bu kapsamda;
16.1. Politika’nın
uygulanmasından sorumlu Komite ve Veri Sorumlusun Temsilcisi Şirket müdürler
kurulu tarafından müdürler kurulu kararı ile atanır ve bu kapsamda
değişiklikler de yine anılan yolla yapılır.
17.1. Şirket
tarafından işbu Politika zaman zaman Müdürler Kurulu onayı ile
değiştirilebilir.
17.2. Şirket,
Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen
Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web
adresi üzerinden çalışanların ve Veri Öznelerinin erişimine sunar.
İlgili
web adresi: https://www.pdevco.com.tr
İşbu
Politika’nın işbu versiyonu 09.05.2023
tarihinde Şirket Müdürler Kurulu tarafından onaylanarak yürürlüğe girmiştir.