THIERRY DİNİZ OTOMOTİV SANAYİ VE TİCARET A.Ş.
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
ÖNSÖZ
THIERRY DİNİZ OTOMOTİV SANAYİ VE
TİCARET A.Ş. olarak biz,
anayasal bir hak olarak düzenlenen kişisel verilerin korunması ve
hukuken güvence altına alınması konusunda, sorumluluğumuzun farkındayız ve
Şirketimiz bünyesinde işlenen kişisel verilerinizin gizliliğine ve güvenliğine
son derece önem vermekteyiz.
Bu doğrultuda, 6698 sayılı Kişisel Verilerin Korunması Kanunu
başta olmak üzere ilgili tüm mevzuata uyum sağlanması bakımından gerekli her
türlü faaliyetin yürütülmesine ilişkin sistemler kurmaktayız ve bu sistemlerin
işlerliğini titizlikle denetlemekteyiz.
6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili
mevzuat çerçevesinde öngörülen yükümlülükler ile bu kapsamda uygulanacak usul
ve esasları düzenleyen “Kişisel Verilerin İşlenmesi ve Korunması Politikası”
Şirketimiz tarafından tanzim edilerek yürürlüğe girmiştir.
Bu eserin tüm hakları saklıdır.
İÇİNDEKİLER
1.1. Tanımlar
ve Kısaltmalar: 4
1.2. Politikanın
Amacı ve Kapsamı : 5
1.3. Politika’nın
ve İlgili Mevzuatın Uygulanması: 5
1.4. Politika’nın
Yürürlüğü: 5
2. BÖLÜM
: KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR.. 5
2.1. Kişisel
Verilerin Güvenliğinin Sağlanması : 5
2.3. Özel
Nitelikli Kişisel Verilerin Korunması : 6
3. BÖLÜM
: KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR.. 6
4. BÖLÜM:
ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI 8
5. BÖLÜM:
KİŞİSEL VERİ GÜVENLİĞİ 9
6. BÖLÜM:
KİŞİSEL VERİ SAHİPLERİNİN BAŞVURU HAKKI VE BU HAKKIN KULLANILMASI 10
7. BÖLÜM:
KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR.. 11
7.1. Güvenlik
Kamerası ile İzleme Faaliyetleri: 11
6.1.1 İşleme Faaliyetinin Amacı: 11
6.1.2 Erişime Yetkili Kişiler: 12
6.1.3 Aktarılan Üçüncü Kişiler : 12
8. BÖLÜM
: VERİ SORUMLULARI SİCİLİNE KAYIT OLMA YÜKÜMLÜLÜĞÜ.. 13
9. BÖLÜM:
KİŞİSEL VERİLERİN İMHA EDİLMESİ 13
11. BÖLÜM:
POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI 13
1.
BÖLÜM : GİRİŞ
1.1. Tanımlar
ve Kısaltmalar:
Açık
Rıza |
Belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
Aydınlatma
Tebliği |
10 Mart 2018 tarihli ve 30356 sayılı Resmi
Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak
Usul ve Esaslar Hakkında Tebliğ’dir. |
Kişisel
Veri |
Kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü bilgidir. (ad-soyad, T.C. Kimlik, pasaport, e-posta,
adres, doğum tarihi, IBAN no, kredi kartı numarası vb.) |
Kişisel
Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü
işlemi ifade etmektedir. |
İlgili Kişi (ler) |
Kişisel verisi işlenen gerçek kişileri ifade
etmektedir. Bu kişiler, Şirketin ticari ilişki içinde bulunduğu çalışanları,
müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri,
aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, iş birliği
içinde çalıştığı kurumların çalışanları, üçüncü kişiler ve burada
sayılanlarla sınırlı olmamak üzere diğer kişiler gibi kişisel verisi işlenen
gerçek kişiler olabilir. |
İmha
Yönetmeliği |
28 Ekim 2017 tarihli 30224 sayılı Resmi
Gazete’de yayımlanan ve 1 Ocak 2018 tarihi itibariyle yürürlüğe giren Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında
Yönetmelik’tir. |
KVKK/Kurul |
Kişisel Verileri Koruma Kurumu’nu ifade
etmektedir. |
KVK
Kanunu/Kanun |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi
Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. |
Özel
Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileridir. |
Periyodik
İmha |
Kanunda
yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması
durumunda tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme
veya anonim hale getirme işlemidir. |
Veri
İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak
onun adına kişisel verileri işleyen veya verilerin teknik olarak korunması,
depolanması ve yedeklenmesinden sorumlu kişi ya da birim hariç olmak üzere
veri sorumlusu organizasyonu içerisinde kişisel verileri işleyen kişi gerçek
veya tüzel kişiyi ifade etmektedir. |
Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. |
|
Veri
Sorumlusu’na Başvuru Tebliği |
10 Mart 2018 tarihli ve 30356 sayılı Resmi
Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğ’i ifade etmektedir. |
Veri
Sorumluları Sicili Hakkında Yönetmelik |
30 Aralık 2017 tarihli ve 30286 sayılı Resmi
Gazete’de yayımlanan yönetmeliği ifade etmektedir. |
1.2.
Politikanın Amacı ve Kapsamı :
Kişisel verilerin
korunması THIERRY DİNİZ OTOMOTİV SANAYİ VE TİCARET A.Ş. ’nin (“THIERRY
DİNİZ” veya “Şirket”) öncelikli değerleri arasında olup Şirket, bu hususta
yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret
göstermektedir. İşbu, THIERRY
DİNİZ OTOMOTİV SANAYİ VE TİCARET A.Ş. ‘ye ait Kişisel Verilerin Korunması ve
İşlenmesi Politikası ( “Politika” ), kişisel veri işleme faaliyetleri esnasında
ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ( “Kanun” ) yer alan
düzenlemeler doğrultusunda benimsenen ilke ve prosedürleri içermektedir. Bu
ilke ve prosedürler çerçevesinde Şirketimiz, İlgili Kişileri bilgilendirerek
gerekli şeffaflığı sağlamaktadır. Bu konudaki sorumluluğumuzun tam bilinci ile
kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
Bu Politikanın
temel amacı, Şirketimiz bünyesinde hukuka uygun şekilde yürütülen kişisel veri
işleme faaliyetlerinin ve kişisel verilerin korunmasına yönelik sistemlerin
açıklanması ve İlgili Kişilerin bilgilendirilmesidir. Şirketimizde kişisel
verileri işlenen İlgili Kişi grupları; çalışan adaylarımız, ziyaretçilerimiz,
şirket hissedarları; potansiyel müşteri ve tedarikçilerimiz ile üçüncü
kişilerdir.
Bu Politika
hükümleri, şirket hissedarlarımızın, istihdam ettiğimiz çalışanlarımızın,
çalışan adaylarımızın, ziyaretçilerimizin, mevcut ve potansiyel
müşterilerimizin ve tedarikçilerimizin veya diğer üçüncü kişilerin, tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla Şirketimiz bünyesinde işlenen tüm
kişisel verileri kapsamaktadır.
1.3.
Politika’nın ve İlgili Mevzuatın Uygulanması:
Kişisel verilerin işlenmesi ve korunması
konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama
alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk
bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı
bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan
kuralları Şirket uygulamaları kapsamında somutlaştırılarak
düzenlemektedir.
1.4.
Politika’nın Yürürlüğü:
İşbu Politika yayımlandığı tarih itibariyle
yürürlük girmiştir. Politika hükümlerinin tamamının veya bir kısmının
değiştirilmesi durumunda Politika’nın yürürlük tarihi güncellenecektir.
İşbu Politika, http://www.thierrydiniz.com/ adresinde yayımlanır ve İlgili Kişilerinin
talebi üzerine ilgili kişilerin erişimine sunulur.
2.
BÖLÜM : KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN
HUSUSLAR
2.1. Kişisel Verilerin
Güvenliğinin Sağlanması :
Şirketimiz, Kanun’un 12. maddesine uygun
olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini,
aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini
önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini
almaktadır. Bu kapsamda Şirketimiz, Kişisel Verileri Koruma Kurulu tarafından
yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya
yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
2.2.
Temel İlkeler :
Şirketimiz, yasal uyumluluğun sağlanması
amacıyla işlenen kişisel verilerin Anayasa’ya, KVK Kanunu ve ilgili diğer
mevzuat uyarınca belirlenen genel ilke ve hükümlere uygun olması gerektiğinin
bilincindedir. Bu çerçevede, KVK Kanunu madde 4 kapsamında tüm kişisel veri
işleme faaliyetlerinde temel ilkeler her zaman esas alınmaktadır:
a.
Hukuka ve
dürüstlük kurallarına uygun işleme ilkesi: Şirketimiz,
kişisel verilerin işlenmesinde, öngörülen hukuki düzenlemeler kapsamındaki
ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
b.
Doğru ve
gerektiğinde güncel olma ilkesi: Şirketimiz, İlgili Kişinin temel
haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel
verilerin doğru ve güncel olmasını sağlamak için gerekli sistemleri kurarak
uygulamaktadır.
c.
Belirli, açık ve
meşru amaçlar için işlenme ilkesi: Şirketimiz, kişisel veri işleme faaliyetini
gerçekleştirmeden önce ve/veya bu esnada, kişisel verilerin işlenme amaçlarını
yasal ve sözleşmesel dayanaklar çerçevesinde hukuka uygun ve açıklayıcı şekilde
belirlemiştir.
d.
İşlendikleri
amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi: İşlenen kişisel
veriler, yasal mevzuat, sözleşme hükümleri ve Şirket politikası tarafından
belirlenmiş amaçlar ile ilgili olarak yeterli, yerinde ve gerekli olanla
sınırlıdır. Bu temel ilke çerçevesinde Şirketimiz kişisel verilerin işlenmesini
minimize etmiştir.
e.
İlgili mevzuatta
öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
ilkesi: Şirketimiz, kişisel verileri işlerken
muhafaza edilmesi gereken süreyi Veri Sorumluları Sicili Hakkında Yönetmelik
madde 9 çerçevesinde tespit etmiştir. Bu doğrultuda, muhafaza sürelerine
belirlerken aşağıdaki hususlar dikkate alınmaktadır:
·
THIERRY DİNİZ’ in faaliyet gösterdiği sektörde
genel teamül gereği kabul edilen süreler,
·
İlgili veri kategorisinde yer alan kişisel
verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki
ilişkinin devam edeceği süre,
·
İlgili veri kategorisinin işlenme amacına
bağlı olarak THIERRY DİNİZ’ in elde edeceği meşru menfaatin hukuka ve dürüstlük
kurallarına uygun olarak geçerli olacağı süre,
·
İlgili veri kategorisinin işlenme amacına
bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken
devam edeceği süre,
·
Belirlenecek azami sürenin ilgili veri
kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
·
Veri sorumlusunun hukuki yükümlülüğü gereği
ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu
süre,
·
Veri sorumlusu tarafından, ilgili veri
kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için
belirlenen zamanaşımı süresi.
2.3.
Özel Nitelikli Kişisel Verilerin Korunması
:
Kanun ile birtakım kişisel verilere hukuka
aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma
riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet,
dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
verilerdir.
Kanunca “özel nitelikli” olarak tanımlanan ve
hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında
hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimizde kişisel verilerin
korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler
bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.
2.4.
Departmanların Kişisel Verilerin Korunması
ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
THIERRY DİNİZ, kişisel verilerin hukuka aykırı
olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye
ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması
için çalışanlara gerekli eğitimleri sağlamaktadır.
THIERRY DİNİZ
çalışanlarının kişisel verilerin korunması konusunda farkındalığının oluşması
için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde
danışmanlar ile çalışmaktadır. Bu doğrultuda Şirketimiz, çalışanlarına kişisel
verilerin korunması kanununun uygulanmasına yönelik eğitimler ve seminerler vermekte
olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini de
güncellemekte ve yenilemektedir.
3.
BÖLÜM : KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN
HUSUSLAR
3.1. Kişisel
Verilerin İşlenme Şartları:
İlgili Kişinin açık rıza vermesi haricinde kişisel veri işleme
faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği
gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı
olabilmektedir:
i.
İlgili Kişinin açık
rızasının bulunması: Kişisel verilerin işlenme şartlarından biri İlgili
Kişinin açık rızasıdır. İlgili Kişinin açık rızası belirli bir konuya ilişkin,
bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Aşağıda yer alan kişisel veri işleme
şartlarının varlığı durumunda İlgili Kişinin açık rızasına gerek kalmaksızın
kişisel verileri işlenebilecektir.
ii.
Kanunlarda açıkça
öngörülmesi: İlgili
Kişinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile
ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması
halinde işbu veri işleme şartının varlığından söz edilebilecektir.
iii.
Fiili imkansızlık sebebiyle
ilgilinin açık rızasının alınamaması: Fiili imkansızlık nedeniyle
rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak
olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü
korumak için kişisel verisinin işlenmesinin zorunlu olması halinde İlgili
Kişinin kişisel verileri işlenebilecektir.
iv.
Sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgi olması: İlgili Kişinin taraf olduğu bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine
getirilmiş sayılabilecektir.
v.
Şirketin hukuki
yükümlülüğünü yerine getirmesi: Şirketimizin hukuki yükümlülüklerini yerine getirmesi için
işlemenin zorunlu olması halinde İlgili Kişinin kişisel verileri
işlenebilecektir.
vi.
İlgili Kişinin kişisel
verisini alenileştirmesi: İlgili Kişinin, kişisel verisini alenileştirmiş olması
halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak
işlenebilecektir.
vii.
Bir hakkın tesisi veya
korunması için veri işlemenin zorunlu olması: Bir hakkın tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması halinde İlgili
Kişinin kişisel verileri işlenebilecektir.
viii.
Şirketimizin meşru menfaati
için veri işlemenin zorunlu olması: İlgili Kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri
işlemesinin zorunlu olması halinde İlgili Kişinin kişisel verileri
işlenebilecektir.
3.2. Özel
Nitelikli Kişisel Verilerin İşlenmesi:
Özel nitelikli kişisel veriler
Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve
Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari
ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
3.2.1.
Sağlık ve cinsel hayat dışındaki
özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili
faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir
hüküm olması halinde İlgili Kişinin açık rızası aranmaksızın işlenebilecektir.
Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için İlgili
Kişinin açık rızası alınacaktır.
3.2.2.
Sağlık ve cinsel hayata ilişkin
özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli
kişisel verilerin işlenebilmesi için İlgili Kişinin açık rızası alınacaktır.
3.3. İlgili
Kişinin Aydınlatılması:
THIERRY DİNİZ, Kanun’un 10.
maddesine ve Aydınlatma Tebliği’ne uygun olarak, İlgili Kişileri kişisel
verilerin işlenmesi faaliyeti ile ilgili aydınlatmaktadır. Bu kapsamda
şirketimiz, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi
amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle
toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi
kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.
4.
BÖLÜM: ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL
VERİLERİN İŞLENME AMAÇLARI
Şirketimiz, KVK Kanunu madde 5 ve 6’da
öngörülen şartlar çerçevesinde aşağıdaki koşullarla sınırlı olarak ve aşağıdaki
amaçlar doğrultusunda kişisel verileri işlemektedir.
· Acil Durum Yönetimi Süreçlerinin Yürütülmesi
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Çalışan Adayı / Stajyer Seçme Süreçlerinin
Yürütülmesi
· Çalışan Adaylarının Başvuru Süreçlerinin
Yürütülmesi
· Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin
Yürütülmesi
· Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı
Yükümlülüklerin Yerine Getirilmesi
· Çalışanlar İçin Yan Haklar ve Menfaatleri
Süreçlerinin Yürütülmesi
· Denetim / Etik Faaliyetlerinin Yürütülmesi
· Eğitim Faaliyetlerinin Yürütülmesi
· Erişim Yetkilerinin Yürütülmesi
· Faaliyetlerin Mevzuata Uygun Yürütülmesi
· Finans ve Muhasebe İşlerinin Yürütülmesi
· Firma / Ürün / Hizmetlere Bağlılık
Süreçlerinin Yürütülmesi
· Fiziksel Mekân Güvenliğinin Temini
· Görevlendirme Süreçlerinin Yürütülmesi
· Hukuk İşlerinin Takibi ve Yürütülmesi
· İletişim Faaliyetlerinin Yürütülmesi
· İnsan Kaynakları Süreçlerinin Planlanması
· İş Faaliyetlerinin Yürütülmesi / Denetimi
· İş Sağlığı / Güvenliği Faaliyetlerinin
Yürütülmesi
· İş Süreçlerinin İyileştirilmesine Yönelik
Önerilerin Alınması ve Değerlendirilmesi
· İş Sürekliliğinin Sağlanması Faaliyetlerinin
Yürütülmesi
· Lojistik Faaliyetlerinin Yürütülmesi
· Mal / Hizmet Satın Alım Süreçlerinin
Yürütülmesi
· Mal / Hizmet Satış Sonrası Destek
Hizmetlerinin Yürütülmesi
· Mal / Hizmet Satış Süreçlerinin Yürütülmesi
· Mal / Hizmet Üretim ve Operasyon Süreçlerinin
Yürütülmesi
· Müşteri İlişkileri Yönetimi Süreçlerinin
Yürütülmesi
· Müşteri Memnuniyetine Yönelik Aktivitelerin
Yürütülmesi
· Organizasyon ve Etkinlik Yönetimi
· Pazarlama Analiz Çalışmalarının Yürütülmesi
· Performans Değerlendirme Süreçlerinin
Yürütülmesi
· Reklam / Kampanya / Promosyon Süreçlerinin
Yürütülmesi
· Risk Yönetimi Süreçlerinin Yürütülmesi
· Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
· Sosyal Sorumluluk ve Sivil Toplum
Aktivitelerinin Yürütülmesi
· Sözleşme Süreçlerinin Yürütülmesi
· Sponsorluk Faaliyetlerinin Yürütülmesi
· Stratejik Planlama Faaliyetlerinin Yürütülmesi
· Talep / Şikayetlerin Takibi
· Taşınır Mal ve Kaynakların Güvenliğinin Temini
· Tedarik Zinciri Yönetimi Süreçlerinin
Yürütülmesi
· Ücret Politikasının Yürütülmesi
· Ürün / Hizmetlerin Pazarlama Süreçlerinin
Yürütülmesi
· Veri Sorumlusu Operasyonlarının Güvenliğinin
Temini
· Yabancı Personel Çalışma ve Oturma İzni
İşlemleri
· Yatırım Süreçlerinin Yürütülmesi
· Yetenek / Kariyer Gelişimi Faaliyetlerinin
Yürütülmesi
· Yetkili Kişi, Kurum ve Kuruluşlara Bilgi
Verilmesi
· Yönetim Faaliyetlerinin Yürütülmesi
· Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
İşbu madde 3/1’de yer alan işlenme şartlarının
bulunmaması halinde; kişisel veri işleme faaliyetini gerçekleştirmek amacıyla
Şirket, İlgili Kişiler’in açık rızalarına başvurmaktadır.
5.
BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI
5.1.
Kişisel Verilerin Aktarılması:
Şirketimiz, hukuka uygun olan kişisel veri işleme amaçları
doğrultusunda gerekli güvenlik önlemlerini alarak İlgili Kişinin kişisel
verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi
şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir.
Şirketimiz bu doğrultuda Kanun’un 8. Ve 9. maddesinde öngörülen düzenlemelere
uygun hareket etmektedir.
5.1.1. Kişisel verilerin yurt içi
aktarımı:
Şirketimiz, kişisel verilerin aktarılması hususunda
Kanun’da öngörülen hükümlere ve KVKK tarafından alınan kararlara uyma
yükümlülüğünün bulunduğunun farkındadır ve bu yükümlülüğünü yerine getirebilmek
için büyük bir çaba sarf etmektedir.
Kural olarak kişisel veriler, İlgili Kişinin açık rızası
bulunmaksızın başka gerçek veya tüzel kişilere aktarılamaz. Bununla birlikte,
Kanun ve diğer mevzuatın zorunlu kıldığı durumlarda ilgilinin açık rızası
olmadan da veriler mevzuatta öngörülen şekilde ve genel ilkelere bağlı olarak
yetkili kılınan idari ve/veya adli mercilere aktarılabilir. Yalnızca bu durumda
değil aynı zamanda, Kanunun 5. ve 6. maddelerinde öngörülen hallerde, İlgili
Kişinin açık rızası olmaksızın da aktarım mümkündür.
5.1.2. Kişisel verilerin yurt dışına
aktarılması:
İlgili Kişinin aşağıda belirtilen şartlardan
bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen
gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm
güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere
aktarılabilecektir.
·
İlgili
Kişinin açık rızası
·
Kişisel
verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça
öngörülmesi,
·
Kişisel
verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili ve gerekli olması,
·
Kişisel
verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi
için zorunlu olması,
·
Kişisel
verilerin İlgili Kişi tarafından alenileştirilmiş olması şartıyla,
alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından
aktarılması,
·
Kişisel
verilerin Şirket tarafından aktarılmasının Şirket’in veya İlgili Kişinin veya
üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu
olması,
·
İlgili
Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru
menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu
olması,
·
Fiili
imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünü koruması için zorunlu olması.
Yukarıdakilere ek olarak kişisel veriler,
Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere
(“Güvenli Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde
aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta
öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı
ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği
ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden
Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.
Güvenli ülkeler listesinin açıklanmadığı
durumlarda ise ya İlgili Kişinin açık rızası alınarak ya da yabancı ülkede
bulunan şirketin taahhütnamesi imzalatılıp Kurul’un iznine sunularak kişisel
veri aktarımı yapılabilecektir.
Kişisel verilerin e-posta aracılığıyla
gönderilmesi durumunda, Şirketimizce sağlanan hizmetlerin etkinliğini ve
verimliliğini artırmak için harici bilgi teknolojileri hizmet sağlayıcılarına
ait sunucularda saklanabilmektedir.
“Özel Nitelikli
Kişisel Verilerin Aktarılması” hususunda Şirketimiz İlgili Kişi’nin rızası bulunmaksızın yurt dışına
aktarmamaktadır.
Özel nitelikli kişisel veriler Şirketimiz
tarafından, işbu Politika ’da belirtilen ilkelere uygun olarak ve Kurul’un
belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik
tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
(i)
Sağlık ve cinsel hayat dışındaki özel nitelikli
kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili
kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde
İlgili Kişinin açık rıza aranmaksızın işlenebilecektir. Aksi halde İlgili
Kişinin açık rızası alınacaktır.
(ii)
Sağlık ve cinsel hayata ilişkin özel nitelikli
kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis,
tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın
işlenebilecektir. Aksi halde İlgili Kişinin açık rızası alınacaktır.
Yukarıdakilere ek olarak kişisel veriler,
Güvenli Ülkeye yukarıdaki şartlardan herhangi birinin varlığı halinde
aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta
öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden
Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.
Şirketimiz Türkiye’de işlenerek veya Türkiye
dışında işlenip saklanmak üzere, dış kaynak kullanımı dâhil Kanunda ve ilgili
diğer mevzuatta öngörülen şartlara uygun olarak ve mevzuatta belirtilen veri güvenliği
ile ilgili idari ve teknik tedbirleri alarak; İlgili kişi ile imzalı mevcut bir
sözleşme var ise, söz konusu sözleşmede ve Kanun veya ilgili diğer mevzuatta
aksi düzenlenmediği sürece yurt dışına da aktarabilir.
Kanun’da belirtilen kişisel verilerin
aktarımına ilişkin açık rızanın aranmadığı istisnai durumlarda, rızasız işlenme
ve aktarma şartlarına ek olarak, verinin aktarılacağı ülkede yeterli korumanın
bulunması şartı aranmaktadır. Yeterli korumanın sağlanıp sağlanmadığını Kişisel
Verileri Koruma Kurulu belirleyecek olup; yeterli korumanın bulunmaması
durumunda ise hem Türkiye’deki hem de ilgili yabancı ülkedeki veri
sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kişisel
Verileri Koruma Kurulunun izninin bulunması gerekmektedir. Bu doğrultuda,
merkezi yurtdışında bulunan ve destek aldığımız servis sağlayıcıları için
lütfen https://www.thierrydiniz.com/
linkine başvurunuz.
5.2.
İlgili Kişinin Aydınlatılması:
THIERRY DİNİZ, Kanun’un 10. maddesine ve
Aydınlatma Tebliği’ne uygun olarak, İlgili Kişileri aktarılan kişisel
verilerine ilişkin olarak aydınlatmaktadır. Bu kapsamda şirketimiz, kişisel
verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği,
hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki
sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip
olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.
6.
BÖLÜM: KİŞİSEL VERİ GÜVENLİĞİ
KVK
Kanunu madde 12 gereğince Şirketimiz, kişisel verilerin hukuka aykırı olarak
işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve
idari tedbirleri almak ile yükümlüdür. Bu doğrultuda Şirketimiz imkanları
dahilinde, korunacak verinin niteliğine göre gerekli her türlü idari ve teknik
tedbirleri almaktadır.
Şirket
bünyesinde işlenen her türlü kişisel veri titizlikle ve gizli olarak muhafaza
edilmekte ve bu verilere erişim sınırlandırılmıştır. KVK Kanunu madde 5 ve 8
uyarınca hukuka uygun işleme şartları kapsamında yer almayan hiçbir kişisel veri,
üçüncü kişiler ile paylaşılmamaktadır.
Şirket,
işlenen kişisel verilerin hukuka veya dürüstlük kuralına aykırı yollar ile
üçüncü kişiler tarafından elde edilmesi durumunun tespiti halinde bahsi geçen
bu durumu mümkün olan en kısa sürede ilgili İlgili Kişine ve gerektiğinde
KVKK’ya bildirmekle yükümlüdür.
Şirketimiz
tarafından işlenen kişisel veri güvenliği ihlali riskini verilerin korunmasına
ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığı ve durumunun tespiti
halinde yol açacağı kayıplar doğru bir şekilde belirlenerek buna uygun teknik ve
idari tedbirler derhal alınmaktadır. Bu riskler belirlenirken öncelikle kişisel
verilerin
(i)
Özel nitelikli kişisel veri olup olmadığı,
(ii) Mahiyeti gereği hangi derecede gizlilik
seviyesi gerektirdiği ve
(iii) Güvenlik ihlali halinde ilgili kişi
bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınacaktır.
Bu
risklerin tanımlanması ve önceliğinin belirlenmesinden sonra, söz konusu
risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm
alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda
değerlendirilmekte olup gerekli teknik ve idari tedbirler planlanarak
uygulamaya konulmaktadır.
6.1. Teknik
Tedbirler
Şirket tarafından, işlediği kişisel verilerle
ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
ü Şirketin
bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için
gerekli önlemler alınmaktadır.
ü Çevresel
tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal
(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol
sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar
anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi,
iklimlendirme sistemi vb.) önlemler alınmaktadır.
ü Kişisel
verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
ü Kişisel
verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama)
sistemleri kullanılmaktadır.
ü Kişisel verilerin güvenli olarak saklanmasını
sağlayan veri yedekleme programları kullanılmaktadır.
ü Şirket
internet sayfasına erişimde güvenli protokol (HTTPS) uygulamasına geçilmek
üzere çalışmalar devam etmektedir.
ü Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika
belirlenmektedir.
ü Özel nitelikli kişisel
verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar
kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarlar
güvenli ortamlarda tutulması, tüm işlem kayıtları loglanması, ortamların
güvenlik güncellemeleri sürekli takip edilmesi, gerekli güvenlik testlerinin
düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına
alınmasına yönelik çalışmalar sürdürülmektedir.
ü Özel nitelikli kişisel
verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların
yeterli güvenlik önlemleri alınması, fiziksel güvenliği sağlanarak yetkisiz
giriş çıkışlar engellenmesine yönelik çalışmalar sürdürülmektedir.
ü Özel nitelikli kişisel
veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta
adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD,
DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle
şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmasına yönelik
çalışmalar devam etmektedir. Farklı fiziksel ortamlardaki sunucular arasında
aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP
yöntemiyle veri aktarımı gerçekleştirilmesine yönelik çalışmalar devam
etmektedir.
ü Kağıt ortamı yoluyla
aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler
tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli”
formatta gönderilmektedir.
ü Özel nitelikli kişisel
veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel
veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış,
verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
ü Erişim logları düzenli olarak tutulmaktadır.
ü Erişim, bilgi güvenliği, kullanım, saklama ve
imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
ü Bilgi teknolojileri sistemleri tedarik,
geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
ü Anahtar yönetimi uygulanmaktadır.
ü Güncel anti-virüs sistemleri kullanılmaktadır.
ü Gerektiğinde veri maskeleme önlemi
uygulanmaktadır.
ü Ağ yoluyla kişisel veri aktarımlarında kapalı
sistem ağ kullanılmaktadır.
ü Log kayıtları kullanıcı müdahalesi olmayacak
şekilde tutulmaktadır.
ü Bulutta depolanan kişisel verilerin güvenliği
sağlanmaktadır.
ü Güvenlik duvarları kullanılmaktadır.
ü Çalışanlar için yetki matrisi oluşturulmuştur.
ü Kişisel veri güvenliği sorunları hızlı bir
şekilde raporlanmaktadır.
ü Kişisel veri güvenliğinin takibi
yapılmaktadır.
ü Kişisel veri içeren fiziksel ortamlara giriş
çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
ü Kişisel veri içeren fiziksel ortamların dış
risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
ü Kişisel veri içeren ortamların güvenliği
sağlanmaktadır.
ü Kişisel veriler mümkün olduğunca
azaltılmaktadır.
ü Kişisel veriler yedeklenmekte ve yedeklenen
kişisel verilerin güvenliği de sağlanmaktadır.
ü Mevcut risk ve tehditler belirlenmiştir.
ü Özel nitelikli kişisel veri güvenliğine
yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
ü Özel nitelikli kişisel veriler elektronik
posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta
hesabı kullanılarak gönderilmektedir.
ü Özel nitelikli kişisel veriler için güvenli
şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce
yönetilmektedir.
ü Şifreleme yapılmaktadır.
ü Ağ güvenliği ve uygulama güvenliği
sağlanmaktadır.
ü Kağıt yoluyla aktarılan kişisel veriler için
ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge
formatında gönderilmektedir.
ü Görev değişikliği olan ya da işten ayrılan
çalışanların bu alandaki yetkileri kaldırılmaktadır.
ü Kullanıcı hesap yönetimi ve yetki kontrol
sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
6.2.
İdari Tedbirler
Şirket
tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler
aşağıda sayılmıştır:
ü Firma çalışanları, kişisel verilerin korunması hukuku ve kişisel verilerin
hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir. Bununla beraber,
gerektiğinde güncel değişiklikler ve konu ile ilintili şirket içi politikalar
hakkında da eğitimler düzenlenmektedir.
ü Firma bünyesinde yürütülmüş ve yürütülmekte olan tüm faaliyetler detaylı
olarak tüm departmanlar özelinde analiz edilecek ve bu analiz neticesinde
“kişisel veri envanteri” oluşturulmuştur. Departmanların gerçekleştirmiş olduğu
ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya
konulmuştur.
ü Organizasyon şeması kapsamında, departman bazlı belirlenen KVK Kanunu
kapsamında hukuksal uyum gerekliliklerinin sağlanması için ilgili departmanlar
özelinde farkındalık yaratılmıştır.
ü “İzin verilmedikçe her şey yasak.”
ilkesi benimsenmiştir. Firma çalışanları, mümkün olduğunca minimum düzeyde
kişisel veri talep etme konusunda gerekli çabayı göstermektedir.
ü Uygulama kuralları belirlenmeye başlanmış; bu hususların denetimini ve
uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler, şirket-içi
politikalar ve bilgilendirmeler yoluyla hayata geçirilmeye başlanmıştır.
ü Kişisel verilere erişim, kişisel verilerin işlenmesi gerekçesine uygun
belirlenen çalışanlar ile sınırlandırılmıştır. Çalışanların, görevleri gereği
kullanmadıkları kişisel verilere erişim yetkisi kaldırılacaktır.
ü Söz konusu teknik önlemler belirli aralıklar ile Firmamız tarafından
belirlenen iç denetim sistemi kurulmasına yönelik çalışmalar devam etmektedir.
ü Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka
aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak
erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim
teknikleri, teknik bilgi beceri, ilgili diğer mevzuat hakkında eğitimler
verilmektedir.
ü Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik
sözleşmeleri imzalatılmaktadır.
ü Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak
disiplin prosedürü hazırlanmıştır.
ü Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri
aydınlatma yükümlülüğü yerine getirilmektedir.
ü Çalışanlara yönelik bilgi güvenliği farkındalık eğitimleri verilmektedir.
ü Çalışanlar için veri güvenliği hükümleri
içeren disiplin düzenlemeleri mevcuttur.
ü Kurum içi periyodik ve/veya rastgele
denetimler yapılmakta ve yaptırılmaktadır.
ü İmzalanan sözleşmeler veri güvenliği hükümleri
içermektedir.
ü Veri işleyen hizmet sağlayıcılarının veri
güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
ü Veri işleyen hizmet sağlayıcılarının, veri
güvenliği konusunda farkındalığı sağlanmaktadır.
ü Çalışanlar için veri güvenliği konusunda belli
aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
ü Gizlilik taahhütnameleri yapılmaktadır.
7.
BÖLÜM: KİŞİSEL VERİ SAHİPLERİNİN BAŞVURU HAKKI VE
BU HAKKIN KULLANILMASI
Şirketimiz
bünyesinde işlenen kişisel verileri ile ilgili İlgili Kişileri veri sorumlusu
olan Şirketimize başvurarak KVK Kanunu madde 11 ve Veri Sorumlusu’na Başvuru
Tebliğ çerçevesinde öngörülen bazı haklardan yararlanabilecektirler. Bu çerçevede,
İlgili Kişiler aşağıdaki haklara sahiptir:
·
Kişisel veri işlenip işlenmediğini öğrenme,
·
Kişisel verileri işlenmişse buna ilişkin bilgi
talep etme,
·
Kişisel verilerin işlenme amacını ve bunların
amacına uygun kullanılıp kullanılmadığını öğrenme,
·
Yurt içinde veya yurt dışında kişisel verilerin
aktarıldığı üçüncü kişileri bilme,
·
Kişisel verilerin eksik veya yanlış işlenmiş
olması hâlinde bunların düzeltilmesini isteme,
·
Kişisel verilerin silinmesini veya yok
edilmesini isteme,
·
Yapılan işlemlerin ve kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
·
İşlenen verilerin münhasıran otomatik
sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir
sonucun ortaya çıkmasına itiraz etme,
·
Kişisel verilerin kanuna aykırı olarak işlenmesi
sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri Sorumlusu’na
Başvuru Tebliği’nde yer alan esas ve usuller uyarınca, İlgili Kişileri bahsi
geçen bu hakları Şirketimizin internet sitesinde ( http://www.thierrydiniz.com/ ) yer alan “Başvuru Formu” nu doldurularak ve doldurulan bu formun Başvuru
Formu’nda belirtilen kanallar üzerinden Şirketimize ulaşmasını sağlayarak bu
haklardan yararlanabilecektirler. KVK Kanunu madde 13 ile uyumlu olarak Başvuru
Formu’nda öngörülen başvuru usulüne uyulmaması sonucunda, İlgili Kişileri
tarafından gönderilen başvurular dikkate alınmayacaktır.
Şirketimiz,
aşağıdaki durumlarda başvuruda bulunan kişinin başvurusunu gerekçesi ile
reddedebilir:
·
Kişisel verilerin
soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı
makamları veya infaz mercileri tarafından işlenmesi.
·
Kişisel verilerin
millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği,
özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil
etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi.
·
Kişisel verilerin
millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve
kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi.
·
Kişisel verilerin
resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve
istatistik gibi amaçlarla işlenmesi.
·
Kişisel veri
işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
·
İlgili
Kişi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi.
·
Kişisel veri
işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve
kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması
için gerekli olması.
·
Kişisel veri
işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve
mali çıkarlarının korunması için gerekli olması.
·
İlgili
Kişinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali
olması.
·
Orantısız
çaba gerektiren taleplerde bulunulmuş olması.
·
Talep
edilen bilginin kamuya açık bir bilgi olması.
8.
BÖLÜM: KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
8.1.
Güvenlik Kamerası ile İzleme Faaliyetleri:
Şirket
tarafından güvenliğin sağlanması amacıyla, Şirket binasındaki koridorlar ve
üretim sahası ile sınırlı olmak üzere ve misafir giriş çıkışlarının takibine
yönelik bina ve otopark girişinde tesislerinde güvenlik kamerasıyla izleme
faaliyeti gerçekleştirilmektedir. Bu konu ile ilgili bilgilendirme kameraların
altında bulunan tabelalarda ve internet sitemizde yer almaktadır.
Şirketimiz
güvenlik kamerasıyla izleme faaliyetlerini KVK Kanunu’na ve işbu Politika’da
yer alan hükümlere ve temel ilkelere uygun olarak işlemektedir. Şöyle ki:
8.1.1 İşleme Faaliyetinin
Amacı:
Şirketimiz,
güvenlik kamerası ile izleme faaliyeti esnasında kişisel verileri işlerken KVK
Kanunu madde 4 kapsamında öngörülen hukuka ve dürüstlük kurallarına uygunluk,
belirli ve meşru amaçlar ile işlenme ile işlendikleri amaçla bağlantılı,
sınırlı ve ölçülü bir biçimde işleme ilkelerine uygun olarak hareket
etmektedir.
Fiziksel mekan güvenliğini temin
etmek, şirketin üretim ve ticari sırlarının korunmak, şirket verilerinin güvenliğini
sağlanmak, İlgili Kişinin ve diğer kişilerin can ve mal
güvenliğini sağlamak ve hem veri sahiplerinin hem de şirketin meşru
menfaatlerini korumak gibi amaçlar doğrultusunda veri kayıt sistemine otomatik
olarak kaydedilmesi suretiyle THIERRY DİNİZ tarafından kişisel veri işleme
faaliyeti yürütülmektedir.
Güvenlik
kamerası kayıt bölgeleri, son derece sınırlı düzeyde olup güvenlik kamerasıyla
izleme amacına uygun olarak Şirketimiz tarafından belirlenmiştir. Güvenlik
kamerası kayıt bölgeleri; bina ve tesis girişleri, koridorlar, yemekhane,
üretim sahası vb. güvenlik riskinin yüksek olduğu bölgeleri ile sınırlıdır.
Toplantı odaları, ofisler, tuvaletler ve soyunma odaları güvenlik kamerası
kayıt bölgelerinin dışında tutulmaktadır[SS1] .
Güvenlik
kamerası ile izleme faaliyeti; hem Şirket çalışanlarımızın, müşterilerimizin,
tedarikçilerimizin ve diğer kişilerin güvenliğinin sağlanması hem de
Şirketimizin ticari sırlarının ve müşteri menfaatlerinin korunması açısından
son derece gerekli olup bu amaçlar ile sınırlandırılmıştır.
Tüm
bu amaçlar doğrultusunda Şirketimizdeki güvenlik kamerası kayıt sistemi, 7 gün
24 saat kayıt halindedir.
8.1.2 Erişime Yetkili Kişiler:
Dijital
ortamda muhafaza edilen güvenlik kamerası kayıtlarına erişim ancak Şirketimizin
yetkilendirdiği kişiler ile sınırlı olup, bu kişilerin bilgisayarlarından veya
monitörlerinden görüntülenmektedir.
Güvenlik
kamerası kayıtlarına, Genel Müdür, İnsan Kaynakları Müdürü, Bilgi İşlem
Sorumlusu’nun kendisi ve yetkilendirdiği kişilerin erişim yetkisi vardır.
Otopark girişindeki güvenlik görevlileri, misafir giriş ve çıkış kontrollerinin
sağlanması amacıyla monitörlerden canlı ve anlık olarak takip etmektedir.
Güvenlik
kayıtları erişimine yetkili olan sınırlı sayıdaki kişiler iş sözleşmeleri,
şirket içi politikalar, güvenlik talimatı ve gizlilik taahhütnameleri ile
eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
8.1.3 Aktarılan Üçüncü
Kişiler :
Güvenlik
kamerası kayıtları, gerekli hallerde resen veya talep üzerine yalnızca kolluk
kuvvetlerine ve ilgili yargı mercileri ile CD ya da harici bellek vasıtasıyla
paylaşılmaktadır.
8.1.4 Saklanma Süresi :
THIERRY DİNİZ,
kamera kayıtlarını 15 gün süre ile saklı tutmaktadır. Bu kayıtlar, 15 günde 1
üzerine yazdırılması yolu ile otomatik olarak silinmektedir.[SS2]
8.2. İnternet Ağı Ziyaretçileri:
Şirketimiz tarafından, şirket internet ağını
kullanmak için, ziyaretçiler tarafından paylaşılan kişisel veriler, ilgilinin açık rızasına dayanarak şirkete ait
misafir internet ağı sistemine kayıt olmak suretiyle otomatik yollarla
işlenmektedir.
8.2.1. İşleme Faaliyetinin Amacı:
Şirketimiz, internet ağını
kullanan ziyaretçilerin kişisel verilerini işlerken KVK Kanunu madde 4
kapsamında öngörülen hukuka ve dürüstlük kurallarına uygunluk, belirli ve meşru
amaçlar ile işlenme ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir
biçimde işleme ilkelerine uygun olarak hareket etmektedir. Şirketin internet ağını
kullanmak için, ziyaretçilerin kişisel verilerini,
·
Bilgi Güvenliği Süreçlerinin Yürütülmesi
·
Faaliyetlerin mevzuata uygun yürütülmesi
·
Denetim / Etik Faaliyetlerinin Yürütülmesi,
·
Erişim Yetkilerinin Yürütülmesi,
·
Faaliyetlerin Mevzuata Uygun Yürütülmesi,
·
Risk Yönetimi
Süreçlerinin Yürütülmesi,
amaçlarıyla sınırlı olarak
işlenmektedir.
8.2.2. Erişime Yetkili
Kişiler:
Dijital ortamda
muhafaza edilen internet ağı ziyaretçilerine ilişkin kayıtlara erişim ancak
Şirketimizin yetkilendirdiği kişiler ile sınırlı olup, bu kişilerin
bilgisayarlarından veya monitörlerinden görüntülenmektedir.
İnternet
ağı ziyaretçilerine ilişkin kayıtlara, Bilgi İşlem Sorumlusu’nun kendisi ve
yetkilendirdiği kişilerin erişim yetkisi vardır. İnternet ağı ziyaretçilerine
ilişkin kayıtların erişimine yetkili olan sınırlı sayıdaki kişiler iş
sözleşmeleri, şirket içi politikalar, güvenlik talimatı ve gizlilik
taahhütnameleri ile eriştiği verilerin gizliliğini koruyacağını beyan
etmektedir.
8.2.3. Aktarılan Üçüncü
Kişiler:
Bahsi geçen bu kişisel veriler
gizli tutulmaktadır. Mevcut durumda sunuculara dışarıdan bir bağlantı yoktur
ancak; herhangi teknik bir bilgi teknolojilerine yönelik gerek donanımsal
gerekse yazılımsal destek gerektiği durumda dışarıdan destek alındığı hallerde
ilgili şirketin erişimi mümkün olabilecektir. Bu erişim, yalnızca sizin misafir
internet ağımıza bağlanmanızı sağlamak için söz konusu teknik ya da yazılımsal
problemlemin çözümü ile sınırlı olacaktır. Bunların yanında, hukuki
uyuşmazlıkların giderilmesi veya ilgili mevzuat gereği ve gerekçe gösterilerek
talep edildiğinde adli merciiler ve idari otoriteler ile paylaşılması söz
konusu olabilecektir.
8.2.4. Saklanma Süresi:
THIERRY DİNİZ,
internet ağı ziyaretçilerine ilişkin kayıtları 15 gün süre ile saklı
tutmaktadır. [SS3]
9.
BÖLÜM : VERİ SORUMLULARI
SİCİLİNE KAYIT OLMA YÜKÜMLÜLÜĞÜ
THIERRY DİNİZ, 26 Kasım 2019 tarihinde
Veri Sorumluları Sicili’ne kayıt olacaktır. KVKK tarafından talep edilebilecek
ek bilgi ve belgeler haricinde Veri Sorumluları Sicili’ne ibraz edilen bilgiler
aşağıdaki gibidir:
ü Veri sorumlusu
olarak Şirketin ve varsa temsilcisinin kimlik ve adres bilgileri,
ü Kişisel verilerin
hangi amaçla işleneceği,
ü Veri konusu kişi
grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ü Kişisel verilerin
aktarılabileceği alıcı veya alıcı grupları,
ü Yabancı ülkelere
aktarımı öngörülen kişisel veriler,
ü Kişisel veri güvenliğine
ilişkin alınan tedbirler,
ü Kişisel verilerin
işlendikleri amaç için gerekli olan azami süre.
10.
BÖLÜM: KİŞİSEL VERİLERİN İMHA EDİLMESİ
Şirketimiz,
kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin
tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza
etmektedir. Bu kapsamda, 5237 sayılı Türk Ceza Kanunu madde 138; KVK Kanunu
madde 7 ve İmha Yönetmeliği uyarınca, hukuka uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimiz
tarafından, kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu
doğrultuda Şirketimizce kişisel verilerin silinmesi, yok edilmesi veya anonim
hale getirilmesi esas ve usullerini içerir bir “Kişisel Verileri Saklama ve
İmha Politikası” hazırlanmıştır.
Bu
İmha Politikası doğrultusunda, THIERRY DİNİZ’in ilgili mevzuat hükümleri
gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan
durumlarda İlgili Kişi’nin talebini yerine getirmeme hakkı saklıdır.
11.
BÖLÜM: İRTİBAT KİŞİSİ
KVK
Kanunu kapsamındaki yükümlülükleri ve Şirket bünyesindeki politika ve
prosedürlerin takibini sağlamak ile Şirketimizin İlgili Kişiler ve Kurul ile
daha iyi bir iletişim kurmasını sağlamak amacıyla bir İrtibat Kişisi
atanmıştır.
12.
BÖLÜM: POLİTİKANIN VE İLGİLİ MEVZUATIN
UYGULANMASI
İşbu Politika, KVK Kanunu ve diğer ilgili
mevzuat tarafından öngörülen kuralları somutlaştırma amacını taşımakta olup söz
konusu amaca hizmet edecek yöntemleri belirleyen ve yol gösterici bir nitelik
taşıyan bir düzenlemedir. Bu kapsamda, Şirketimiz bu Politika’yı rehber
edinerek gerçekleştirilen veri işleme faaliyetlerini analiz edecek, gerekli tüm
aksiyonları belirleyecek ve gerekli her türlü idari ve teknik önlemleri
alacaktır. Aksiyonların uygulanmaya başlanması ile iç denetim sistemi
işletilerek işbu Politika’ya uyumluluk sağlanacak ve sağlanan bu uyumluluk
korunacaktır. İç denetim uygulamasının yanı sıra, çalışanların farkındalığının
sağlanması için çalışmalar yapılacak, Şirketimiz bünyesine yeni dahil olmuş
çalışanlar için gerekli uyum süreçleri işletilecek ve Şirketimizin bağlı
ortaklıkları ve iş ortakları ile ilişkilerinde gerekli düzenlemeler
yapılacaktır.
Kişisel verilerin işlenmesi ve korunması konusunda
yürürlükte bulunan kanuni düzenlemeler, Şirket bünyesinde öncelikli olarak
uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında
herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde, Şirketimiz
yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. İşbu
Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların
THIERRY DİNİZ uygulamaları çerçevesinde somutlaştırılmış olup Şirketimiz KVK
Kanunu kapsamında öngörülen sürelere uygun hareket etmek üzere gerekli sistem
ve hazırlıklarını yürütmektedir.