KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
İÇİNDEKİLER
ÖNSÖZ
1. Amaç ve Kapsam
2. Tanımlar
3. Veri Sorumlusu Kimliği
4. Veri İşleme Amaçları
5. Veri Sorumlusu Organizasyon Şeması
5.1. Şirket Organları
5.2. Yönetim Kurulu Yapılanması
6. Kişisel Verilerin Korunması Organizasyon Yapısı
6.1. Kişisel Verileri Koruma Birimi
6.2. İrtibat Kişisi
7. Kişisel Verilerin İşlenmesinde Genel İlkeler
8. Kişisel Verilerin İşlenme Şartları
9. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
10. Kişisel ve Özel Nitelikli Verilerin İşlenmesinde Kanuni İstisnalar ve Açık Rıza Açıklaması
10.1. Kişisel Verilerin Açık Rıza Olmaksızın İşlenmesi
10.2. Özel Nitelikli Verilerin Açık Rıza Olmaksızın İşlenmesi
10.3. KVKK Kanunun Uygulanmayacağı Tam İstisna Halleri
10.4. Kısmı İstisna Halleri
11. Kişisel Verilerin İşlenmesine İlişkin Genel Bilgiler
11.1. Kişisel Verilerin Elde Edildiği Kanallar
11.2. Kişisel Verilerin Kategorizasyonu
11.3. Veri Sahibi Kategorizasyonu
12. Kişisel Verilerin Saklanması ve İmhası
13. Kişisel Verilerin Üçüncü Kişilerle Paylaşılması
14. Aydınlatma Yükümlülüğü
15. Veri Sahibinin Hakları
16. Kişisel Verilerin Güvenliğine İlişkin Tedbirler
17. Ziyaretçilere Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması
18. Çerezler Üzerinden Toplanan Kişisel Verilerin İşlenmesi
19. Diğer Hükümler
ÖNSÖZ
Kişisel Verilerin Korunması hakkı temel insan hakkı olarak Avrupa Birliği Temel Haklar Bildirgesi’nin 8. ve Avrupa Birliği’nin İşleyişi Hakkında Antlaşma’nın 16. maddelerinde yerini almıştır. Ayrıca kişisel veri, Türkiye Cumhuriyeti Anayasa’sının “Özel Hayatın Gizliliği” başlıklı 20. maddesinde de düzenleme altına alınarak, temel haklar arasına dahil edilmiştir.
Bu önemi sebebiyle, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) gerçek kişilere ait kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gerekli usul ve esasları düzenlemek maksadıyla 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanmıştır.
1. AMAÇ VE KAPSAM
Arma Bağlantı Sistemleri Sanayi ve Ticaret A.Ş. (“ŞİRKET”) Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), kişisel verilere ilişkin mevzuat çerçevesinde kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amaçlanarak hazırlanmıştır.
“Politika” hazırlanırken öncelikle “ŞİRKET” organizasyon şeması dahilinde çalışma birimlerinin hangi verileri, neden topladıkları ve bu verileri neden üçüncü kişilere aktarma gereksinimi olduğunu belirlemek ve ŞİRKET’nün kişisel veri işleme usulünü anlamak temel ilke olarak belirlenmiştir. İlgili mevzuatın gereksinimleri “Politika”ya aktarılırken, özelleştirilerek, “ŞİRKET”nün hangi verileri neden temin ettiğini, bu verileri neden işlediğini sade ve anlaşılır bir dil ile izah etmek kişisel verilerin korunması gerekliliği dahilinde duyulan hassasiyet çerçevesinde ilke edinilmiştir. Ayrıca, “ŞİRKET” organizasyonu içinde ve organizasyon dışında veri gizliliğinin korunması için gerekli idari ve teknik tedbirleri almak ve verileri işlenen bireyleri bilgilendirmek ve aydınlatmak hedeflenmektedir.
“Politika” kapsamına “ŞİRKET” tarafından verileri işlenen tüm gerçek kişiler girmektedir.
2. TANIMLAR
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
Şirket | Ömerli Mahallesi Adnan Kahveci Caddesi No: 34/1 34555 |
Çerez (Cookie) | Kullanıcıların bilgisayarlarına yahut mobil cihazlarına kaydedilen ve ziyaret ettikleri web sayfalarındaki tercihleri ve diğer bilgileri depolamaya yardımcı olan küçük dosyalardır. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
İrtibat Kişisi | Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi. (İrtibat kişisi Veri Sorumlusunu temsile yetkili değildir. Adından anlaşılacağı üzere yalnızca veri sorumlusu ile ilgili kişilerin ve Kurumun iletişimini “irtibatı” sağlamak üzere görevlendirilen kişidir.) |
Kanun/KVKK | 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
|
Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Kişisel Verilerin Silinmesi | Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, Şirket, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
Periyodik İmha | Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika | Şirket tarafından oluşturulan kişisel veri koruma politikası. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği. |
Kaynak: | 6698 sayılı Kişisel Verilerin Korunması Kanunu- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik - Veri Sorumluları Sicili Hakkında Yönetmelik - Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ - Veri Sorumlusuna Başvuru ve Usul Esasları Hakkında Tebliğ Veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ |
|
|
3. VERİ SORUMLUSU KİMLİĞİ
Bu politikanın kapsamına giren her türlü kişisel veri işleme faaliyeti için veri sorumlusunun kimliğine ilişkin bilgiler aşağıda verilmektedir.
Veri Sorumlusu | ŞİRKET ARMA BAĞLANTI SİSTEMLERİ SANAYİ VE TİCARET A.Ş. |
Adres | Ömerli Mahallesi Adnan Kahveci Caddesi No: 34/1 34555 |
Telefon | 0 212 549 57 31-32, 0 (212) 798 34 07-08 |
Fax | 0 (212) 549 57 33 |
KEP | armakalip@hs01.kep.tr |
İnternet Sitesi | www.armafixing.com.tr |
4. KİŞİSEL VERİLERİN KORUNMASI ORGANİZASYON YAPISI
4.1. İrtibat Kişisi
Şirketmizin kişisel verilerin korunması mevzuatına uyuma yönelik almış olduğu önlemlerin etkinliğini takip etmek üzere İrtibat Kişisi belirlenmiştir. İrtibat Kişisi’nin başlıca sorumluluğu, KVKK Birimi’nin Merkezi Politikalar görev ve sorumluluklarını yerine getirmesine yönelik çalışmaktır. İrtibat Kişisi, KVKK Birimi üyesi olup, ihtiyaç halinde KVKK Birimi’ni toplantıya çağırır.
İrtibat Kişisi aynı zamanda Şirketmizin veri sorumluları sicili ve Kişisel Verileri Koruma Kurulu nezdinde KVKK Mevzuatı kapsamında irtibat kişisi olarak hareket eder.
İrtibat Kişisi’nin izin ve/veya sair nedenlere bağlı olarak Şirketmizde bulunmaması durumunda, yerine vekalet edecek kişi KVKK Birimi tarafından geçici olarak görevlendirilir. Bu durumda geçici olarak görevlendirilen kişi, Kişisel Verilerin Korunması Politikası kapsamında İrtibat Kişisi’ne atanan tüm görevlerin yerine getirilmesinden sorumludur.
5. KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI, İŞLEDİĞİMİZ KİŞİSEL VERİLERİNİZ, TOPLANMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ
i. İşlenme Amaçları
Kişisel verileriniz KVKKK’da öngörülen sınırlara riayet edilerek ve 2547 sayılı Yükseköğretim Kanunu’na uygun biçimde, ŞİRKET mevzuatında gösterilen amaçları gerçekleştirmek için kullanılacaktır. İşleme amaçlar şunlardır;
a. KVK Kanunu tarafından öngörülen Veri İşleme faaliyetlerine ve denetime ilişkin yükümlülüklerin karşılanması,
b. 4857 sayılı İş Kanunu Mevzuatı kapsamında İşçi çalıştırma faaliyetinden kaynaklı hakların tesis edilmesi,
ç. Şirketimiz tarafından sunulan hizmetlerden yararlanmanız için gereken çalışmaların ilgili birimlerce yapılması,
d. Tarafımızla paylaştığınız iletişim kanallarınız üzerinden Şirketimiz ve faaliyetlerinin tanıtımı amacıyla sizinle iletişime geçilmesi,
e. Şirketin ihtiyaç duyduğu alanlarda personel temini, 4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu başta gelmek üzere iş hayatını düzenleyen mevzuat kapsamında hak ve yükümlülüklerin yerine getirilmesi,
g. Personele ilişkin maaş ödeme, harcırah temini, döner sermaye ödemelerinin gerçekleştirilebilmesi vb. faaliyetlerin yürütülmesi, Şirket içi yazışmaların yapılması,
ğ. Yetkili kamu kurum ve kuruluşları ile adli ve yargı makamlarına kanunlarda gösterilen haller dahilinde bilgi-belge temini,
h. Şirketdeki organizasyon ve etkinlik (seminer, konferans, toplantı, eğitim, sempozyum vb.) yönetimi süreçlerinin işlerliğinin sağlanarak kamuoyuna duyurulması, Şirketnin kamuoyunda bilinirliğinin sağlanması ve güncelliğinin korunabilmesi için internet sayfası ve sosyal medya hesaplarının güncel verilerle sürekliliğinin sağlanması, tanıtım ve reklam süreçlerinin yönetilmesi,
ı. Saklama ve arşiv faaliyetlerinin yürütülebilmesi ve yıllık birim faaliyet raporlarının oluşturulabilmesi amacıyla mevzuatta gösterilen usullerle arşiv tutulması,
i. Ziyaretçi kayıtlarının oluşturulması ve takibi,
j. Bina, personel ve ziyaretçi güvenliğinin temini,
l. Verilerin anonim hale getirilerek araştırma amacıyla istatistiki faaliyetlerde kullanılabilmesi,
m. Şirket adına Strateji Geliştirme Daire Başkanlığı öncülüğünde yeni stratejilerin geliştirilebilmesi, eski stratejilerin güncellenebilmesi ve gerekli analizlerin yapılması,
n. Örgün/online, sertifikalı/sertifikasız eğitimlerin düzenlenebilmesi,
o. KVKK kapsamında yapılacak ilgili kişi başvurularının alınması ve yanıtlanabilmesi.
ii. İşlediğimiz Kişisel Verileriniz
Kimlik Bilgileri : İsminiz, soy isminiz, T.C. kimlik numaranız, anne adı, baba adı, doğum yeri ve tarihi, personel sicil numaranız, uyruk bilginiz ve Şirket’e tarafınızca açık rızanız dahilinde temin edilen sair bilgiler.
İletişim Bilgileri : İkamet adresiniz, işyeri adresiniz, telefon numaranız ve e-posta adresiniz, KEP adresi ile var ise Şirket’ye tarafınızla iletişim kurulması için tercih ettiğinizi bildirdiğiniz cep telefonu numaranız, faks numaranız veya size ulaşabilmemiz için rızanız ile temin etmiş olduğunuz diğer iletişim kanallarına ilişkin bilgileriniz.
Çalışma ve Eğitim Bilgileriniz : Şirket’e başvuru (iş başvurusu, sertifikalı/sertifikasız eğitimlere katılma başvurusu) için doldurmuş olduğunuz başvuru formu, kayıt evrakı kapsamında ve/veya Şirket resmi e-posta adresi olan web@armafixing.com adresine gönderilen iş başvuru formlarında yahut Şirket tarafından sağlanan çevrimiçi ya da fiziki başka başvuru usulleri kullanılmak suretiyle kimlik bilgileriniz, iş durumunuza ait bilgiler, iletişim bilgileriniz ile eğitim durumunuza ait (“Üniversite mezunu, yüksek lisans mezunu, fizik bölümü mezunu” gibi) bilgileriniz ve geçmiş mezuniyet bilgileriniz, katıldığınız kurs/seminer bilgileriniz, sertifika bilgileriniz ile ulusal yahut uluslararası sınav sonuçlarınız.
Finansal/Mali Bilgileriniz : Maaş ve yan hakların ödenmesi, fazla ve yersiz alınan ödemelerin iadesi, döner sermayeden yapılacak ödemelerin gerçekleştirilebilmesi, Şirket dışı görevlendirmelerde ödemelerin yapılabilmesi amacıyla edinilen; banka isim ve şube bilgisi, banka hesap no bilgisi, IBAN no bilgisi.
Görsel/İşitsel Bilgiler : Şirket’in düzenlediği konferans, seminer, tiyatro gösterisi, sergi, münazara ve benzeri etkinliklerde etkinlikle ilgili olarak; etkinliği tanıtmak, duyurmak, yaygınlaşmasını sağlamak gibi amaçlar için etkinliğin gerçekleştiği yerin ve katılanların durağan veya akan görüntüleri ve/veya sesleri ile Şirket merkez, şube ve temsilciliklerinde güvenliği sağlamak için kurulmuş olan kameraların sağladığı görsel/işitsel bilgiler. Söz konusu etkinliklerde elde edilen görsel/işitsel bilgiler Şirket faaliyetlerini aşmayacak ve etkinliğin amacı ile sınırlı olacak şekilde Şirket’in internet sitesinde, Şirket tarafından kullanılan sosyal paylaşım platformlarında, Şirket tarafından basılan eserlerde kullanılabilecektir. Yahut Şirket’in izniyle ve kontrolü altında basılmak/yayınlanmak üzere 3. kişilere (basımevi, yayıncı, kurum, kuruluş…) gönderilebilecektir. Bu kullanım usulü güvenlik kamera görüntülerini kapsamayacak olup, ilgili görsel/işitsel kişisel veriler kullanılmadan önce (Misalen; etkinliğin başında) katılımcılara ayrıca bilgilendirme yapılacak olup, açık rızaları alınacaktır.
Özel Nitelikli Kişisel Veriler : Şirket bünyesinde mevzuat kaynaklı çalıştırma yükümlülüklerini yerine getirebilmek amacıyla çalıştırılan engelli ve hakkında mahkumiyet kararı verilmiş ve/veya güvenlik tedbiri uygulanmış kişilere ilişkin sağlık, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin özel nitelikli kişisel veriler işlenmektedir.
Şirket’in bu amaçlar haricinde başka herhangi bir doğrudan özel nitelikli kişisel veri işleme amacı olmamakla birlikte Şirket’e sunmuş olduğunuz kimlik belgesi, fotoğraflar yahut etkinlikler kapsamında durağan/akan görüntülerden elde edilen veriler kapsamında dolaylı olarak edinilme ihtimali olan din, kılık-kıyafet, felsefi inanç, siyasi düşünce ve sağlık verileriniz (örneğin fotoğraftan anlaşılan kıyafet, cihaz ve protezler) ile Şirket tarafından sağlanan bir evrakta ihtiyari olarak belirttiğiniz özel nitelikli sair bilgiler.
iii. Kişisel Verilerinizin Toplanma Yöntemleri
Kişisel verileriniz üye kayıt formu, internet üzerinden doldurulan kayıt/başvuru formları, alındı ve harcama belgeleri, etkinliklerde kullanılan görüntü ve ses kayıt cihazları, güvenlik kamera kayıtları ve ŞİRKET resmi e-mail adresine kişisel veri gönderilmesi durumunda söz konusu iletişim kanalları vasıtasıyla toplanmaktadır.
Kişisel veriler, fiziken evrak gönderilmesi, Şirket’nin sağladığı bir evrakın fiziken doldurulması suretiyle de toplanmaktadır.
Kişisel verileriniz ayrıca otomatik yollarla www.armafixing.com.tr adresi ve uzantılarında kullanılan çerezler (cookie) vasıtasıyla da toplanmaktadır. Söz konusu çerezler, yalnızca ziyaretçinin siteyi tam verimlilikte kullanabilmesi için gerekli çerezler olup ziyaretçinin tercihlerini hatırlamak amacıyla kullanılmakta ve başka bir kişisel veri temin etmemektedir. Çerez politikamıza adresinden ulaşabilirsiniz.
iv. Kişisel Veri İşlemenin Hukuki Sebepleri
KVKK, kişisel verilerin işlenme şartlarını 5. maddesinin 2. fıkrasında listelemektedir. Eğer bir veri sorumlusu tarafından kişisel verilerin işlenme amaçları, KVKK’da listelenmiş olan kişisel veri işleme şartları çerçevesinde değerlendirilebiliyorsa, o veri sorumlusu kişisel verileri hukuka uygun olarak işleyebilmektedir. Bu kapsamda Şirket tarafından da güdülmekte olan kişisel veri işleme amaçlarının, KVKK’da düzenlenen kişisel veri işleme şartları kapsamında değerlendirilebildiği durumlarda Şirket tarafından kişisel veri işleme faaliyetleri gerçekleştirilmektedir. Şirket kişisel veri işleme şartları kapsamına girmeyen herhangi bir kişisel veri işleme faaliyetinde bulunmamaktadır.
KVKK’da yer alan kişisel veri işleme şartları şunlardır;
- İlgili kişinin açık rızasının bulunması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Veri sahibinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel veriler için de temel işleme şartı açık rızadır ve Şirket temelde özel nitelikli kişisel veri işleme amacı gütmemektedir. Ancak faaliyetimiz gereği işlememiz gereken veya açık rızanız ile onay verdiğiniz özel nitelikli kişisel verileriniz de mevzuat dahilinde ölçülü olarak işlenmektedir.
KVKK’da özel nitelikli kişisel verilerin işlenebilmesi için sayılan şartlar şunlardır;
- İlgili kişinin açık rızasının bulunması,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler için kanunlarda açıkça öngörülmesi,
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak,
- Kamu sağlığının korunması,
- Koruyucu hekimlik,
- Tıbbî teşhis,
- Tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Bir kişisel veri işleme faaliyetini hukuka uygun kılan bir veya birden fazla kişisel veri işleme şartı aynı anda bulunabilmektedir.
Söz konusu amaçlarımızı gerçekleştirebilmek için yukarıda belirttiğimiz verilerinizin işlenmesi gereği hasıl olmaktadır. Şirketmize, kimlik bilgileri aktarılırken aslında işleme amaçlarımız dahilinde olmayan veriler de tarafımıza aktarılabilmektedir. İdari ve teknik tedbirler dahilinde söz konusu verileri mevzuatta öngörülen süreler sonunda siliyor ve/veya anonim hale getiriyoruz ancak her koşulda bu durumu temin etmek mümkün olmamaktadır. Bu halde, söz konusu verilerin işlenmesi amacıyla açık rızanıza başvurmak gerekmektedir.
7. KİŞİSEL VERİLERİN AKTARIMI
Kişisel verileriniz bu Politika'da gösterilen amaçlar için ve buradaki vasıtalarla, yetkili kamu kurum ve kuruluşları, yargı mercileri, infaz mercileri, emniyet birimleri ile sözleşmeli ürün ve veya hizmet alınan tedarikçiler ile paylaşılmaktadır. Paylaşım yapılan tarafları gösteren tablo aşağıdadır:
PAYLAŞILAN TARAFLAR | PAYLAŞIM ÖRNEKLERİ |
Hukuken Yetkili Kamu/Özel Kurum veya Kuruluşu | Hazine ve Maliye Bakanlığı, İç Denetim Koordinasyon Kurulu, Sayıştay, Yargı ve İnfaz mercileri, diğer kamu ve vakıf Şirketleri, uluslararası programlar için yurtdışında yer alan Şirketler, Noterler gibi resmi kurum ve kuruluşlarla veri paylaşılabilmektedir. |
Organizasyon Şirketleri | Şirket Faaliyetlerinin Organizasyon şirketleri dahli ile planlanması halinde katılımcı listeleri söz konusu organizasyon şirket yetkilileri ile paylaşılmaktadır. |
Tedarikçi/İş Ortağı/Danışman | Şirketin faaliyetlerinin tamamlayıcısı niteliğindeki hizmetleri aldığı, işbirliği yaptığı danışman, kuruluş ve taraflarla yürüttükleri faaliyetlerin amaçlarıyla sınırlı olarak veri paylaşılabilmektedir. |
Aktarılan Taraflar | Aktarılan Veri Türleri |
Şirket amaçlarını ilgilendirmeyen hiçbir veri aktarımı yapılmamaktadır. Örneğin; rızanız doğrultusunda elde etmiş olsak dahi IP adresi bilginiz veya araç plakanıza ait bilgiler yukarıda gösterilen kişi ve kurumlar da dahil olmak üzere hiçbir 3. kişi ile paylaşılmamaktadır. Bu belirlemenin istisnası, söz konusu veriye ilişkin aktarımın mevzuat ile zorunlu kılınması, yahut bir suç soruşturması için mecburi olması veya resmî bir makamca mevzuata dayalı olarak ve gerekçesi gösterilerek talep edilmesidir.
8. İLGİLİ KİŞİNİN HAKLARI
KVKKK kapsamında
- Kişisel Verilerinizin işlenip işlenmediğini öğrenme,
- Kişisel Verileriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel Verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurtiçinde veya yurtdışında Kişisel Verilerinizin aktarıldığı üçüncü kişileri bilme,
- Kişisel Verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- KVKKK mevzuatında öngörülen şartlar çerçevesinde Kişisel Verilerinizin silinmesini veya yok edilmesini isteme,
- v. ve vi. maddeleri kapsamında yapılan işlemlerin Kişisel Verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel Verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde bu zararın giderilmesini talep etme haklarına sahipsiniz.
Haklarınızı Nasıl Kullanabilirsiniz?
www.armafixing.com.tr web adresinden indirebileceğiniz “başvuru formu”nu talebiniz/şikâyetiniz doğrultusunda doldurarak, söz konusu formu www.armafixing.com.tr adresi üzerinden tarafımıza iletebilir veya formu fiziki olarak doldurarak “Ömerli Mahallesi Adnan Kahveci Caddesi No: 34/1 34555 Arnavutköy – Hadımköy / İSTANBUL” adresine kargo/posta vasıtasıyla gönderebilirsiniz.
Talebinizi üstte gösterilen yöntemlerden birisini kullanarak tarafımıza iletmeniz durumunda KVKK md. 13/2 gereğince, talebiniz en geç 30 gün içinde değerlendirilecek ve tarafınıza konuyla ilgili bilgi verilecektir. Eğer talebiniz kabul edilirse, gerekli işlemler derhal veri sorumlusu ŞİRKET tarafından yerine getirilecektir.
Talepler kural olarak ücretsiz karşılanır ancak, talebin gereğini yerine getirmek masraf gerektiriyorsa “Veri Sorumlusuna Başvuru Usul ve Esasları Hk. Tebliğ” madde 7’de öngörülen; “İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, 10 sayfaya kadar ücret alınmaz. 10 sayfanın üzerindeki her sayfa için 1 TL işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.” Hükmü gereğince ŞİRKET tarafından ücret istenebilecektir.
9. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
KVKK m. 4, kişisel verilerin işlenmesi için uyulması gereken temel ilkeleri listelemektedir. Söz konusu ilkeler, “ŞİRKET” tarafından gerçekleştirilen tüm kişisel veri işleme faaliyetleri kapsamında dikkate alınmakta ve titizlikle uygulanmaktadır. Bahsi geçen ilkeler ve bunlara ilişkin açıklamalar aşağıda yer almaktadır:
Hukuka ve Dürüstlük Kuralına Uygun Olmak: “ŞİRKET”, kişisel verilerin işlenmesi ve korunması yükümlülüğünü yerine getirirken, hukukun genel ilkelerine ve Türk Medeni Kanununda düzenlenmiş olan dürüstlük kuralına uygun olarak hareket etmektedir.
Kişisel Verilerin Doğru ve Güncel Olmasını Sağlamak: Kişisel verilerin bireyler hakkında doğru ve güncel bilgileri sağlaması, bireylerin haklarının korunması için büyük bir önem taşımaktadır. “ŞİRKET” işlenmekte olan kişisel verilerin doğru ve güncel olmasını sağlamak adına kendisinden beklenecek makul düzeyde özeni göstermektedir.
Belirli, Açık ve Meşru Amaçlarla Kişisel Veri İşlemek: Kişisel verilerin işlenmesi ile ulaşılmak istenilen amaçlar, kişisel veri işleme faaliyetinin hukuka uygun olup olmadığının belirlenmesinde en önemli kriteri oluşturmaktadır. Bu kapsamda KVKK veri işleme faaliyetlerinin belirli, açık ve meşru amaçlarla işlenmesini gerektirmektedir. “ŞİRKET” de bu ilke çerçevesinde faaliyetlerinin gerektirdiği belirli, açık ve meşru amaçlarla kişisel veri işleme faaliyetleri yürütmektedir.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olmak: “ŞİRKET”, kişisel verileri yürüttüğü faaliyetler kapsamında belirlenen amaçları gerçekleştirmesine yetecek kadar işlemektedir. “ŞİRKET” ayrıca ihtiyaç olmayan kişisel verileri işlemekten kaçınarak sınırlı ve ölçülü olmak prensibine uygun hareket etmektedir.
İlgili Mevzuatta Öngörülen veya İşlendiği Amaç için Gerekli Olan Süre Kadar Muhafaza Etmek: “ŞİRKET” tarafından işlenmekte olan kişisel veriler, kişisel veri işleme şartları kapsamında değerlendirilebilecek kişisel veri işleme amaçlarının ortadan kalkmasına kadar geçecek süre boyunca muhafaza edilmektedir. Söz konusu amaçlar ortadan kalktığında, “ŞİRKET” tarafından ilgili kişisel verilerin muhafaza edilmesi işlemleri sonlandırılacaktır.
10. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVKK, kişisel verilerin işlenme şartlarını 5 numaralı maddesi altında listelemektedir. Eğer bir veri sorumlusu tarafından kişisel verilerin işlenme amaçları, KVKK’da listelenmiş olan kişisel veri işleme şartları çerçevesinde değerlendirilebiliyorsa, o veri sorumlusu kişisel verileri hukuka uygun olarak işleyebilmektedir. Bu kapsamda “ŞİRKET” tarafından da güdülmekte olan kişisel veri işleme amaçlarının, KVKK’da düzenlenen kişisel veri işleme şartları kapsamında değerlendirilebildiği durumlarda “ŞİRKET” tarafından kişisel veri işleme faaliyetleri gerçekleştirilmektedir. “ŞİRKET” kişisel veri işleme şartları kapsamına girmeyen herhangi bir kişisel veri işleme faaliyetinde bulunmamaktadır.
KVKK’da yer alan kişisel veri işleme şartları aşağıda paylaşılmaktadır:
- İlgili kişinin açık rızasının bulunması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Veri sahibinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bir kişisel veri işleme faaliyetini hukuka uygun kılan bir ya da birden fazla kişisel veri işleme şartı aynı anda uygulanabilmektedir.
11. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI
“ŞİRKET” KVKK’nın 6. maddesinde yer alan veri işleme koşullarının varlığı halinde özel nitelikli kişisel verileri işleyebilmektedir. Özel nitelikli kişisel veriler, bireyler arasında ayrımcılık yapılmasına yol açacak herhangi bir amaçla ya da bir bireyin hukuka aykırı muamelelere maruz kalmasına sebep olacak şekilde işlenmemektedir. Ayrıca “ŞİRKET” tarafından ilgili mevzuatta öngörüldüğü şekilde ek güvenlik önlemleri, özel nitelikli kişisel verilerin güvenliğinin sağlanması amacıyla alınmaktadır.
KVKK m. 6’da yer alan özel nitelikli kişisel verilerin işlenme şartları şunlardır:
- Özel nitelikli veri sahibinin açık rızası,
- Sağlık ve cinsel hayata ilişkin kişisel veriler dışındaki kişisel veriler için kanunlarda öngörülen hâller,
- Sağlık ve cinsel hayata ilişkin kişisel veriler için ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenme.
12. KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE KANUNİ İSTİSNALAR ve AÇIK RIZA AÇIKLAMASI
KVKK aşağıdaki sıralanan hallerde veri sorumlusunun ilgili kişinin açık rızası olmaksızın veri işleme faaliyetinin yürütülebileceğini belirtmiştir.
İşbu Politika’da belirtilen işleme amaç ve şartları dikkate alındığında kanuni istisnalar kapsamına giren veri işleme şartları bakımından ilgili kişilerin rızalarının alınması gereği bulunmamaktadır. Ancak istisnaların ve işleme ilkelerinin yorumlanmasından ortaya çıkabilecek ihtilafların bertaraf edilmesi, bir belge içinde yer alan birden fazla verinin bir kısmının istisna kapsamına girerken, diğer kısmının istisna kapsamında değerlendirilmemesi, veri sorumlusunun meşru menfaat kavramının farklı yorumlanması, KVKK ve ilgili mevzuatı dahilinde içtihat ve yüksek mahkeme kararlarının az sayıda olması; kanunen işlenmesi, saklanması ve aktarılması zorunlu verilerin düzenleyici işlemlerde tek tek sayılmaması, saklama sürelerinin belirtilmemesi ve/veya muğlak olması ve/veya fiili uygulamada talep edilmesi ile yaptırımların ağır olması hususları birlikte değerlendirildiğinde, “ŞİRKET” tarafından ilke olarak ilgili kişilerin “açık rızalarına” başvurma yönteminin benimsenmesi arzu edilmektedir.
Ancak bu hal hiçbir koşulda “ŞİRKET” nün istisna hükümlerden yararlanmayacağı ve/veya her durumda açık rıza alma yolunu seçeceği şeklinde yorumlanmamalıdır. “ŞİRKET” kanuni istisna kapsamında yer alan işleme faaliyetlerinden açık rıza almadan yararlanabilecektir.
12.1. Kişisel Verilerin Açık Rıza Olmaksızın İşlenmesi:
Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
12.2. Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenmesi:
- Kişilerin vakıf ya da sendika üyeliği, sağlık bilgileri (cinsel yolla edindiği ancak cinsel yol dışında da bulaşabilen hastalıkları da dahil olmak üzere), ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
- KVKK md:6 hükmü gereği özel nitelikli işbu kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır ve bu verilerin tamamı aşağıda belirtilen istisnalar hariç olmak üzere ilgilinin açık rızası ile işlenebilir.
- Yukarıda belirtilen sağlık ve cinsel hastalık dışındaki kişisel veriler, ancak ve sadece kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
- Sağlık ve cinsel hastalıklara ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
- Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
12.3. KVKK’nın Uygulanmayacağı Tam İstisna Halleri
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarat faaliyetleri kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
12.4. Kısmi İstisna Halleri:
KVKK’nın amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
13. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN BİLGİLER
“ŞİRKET” tarafından gerçekleştirilen kişisel veri işleme faaliyetleri, bir kişisel verinin “ŞİRKET” hakimiyet alanına girmesinden bu verilerin imhasına kadar geçen tüm süre için bütüncül bir yaklaşımla detaylıca incelenmekte ve planlanmaktadır. Kişisel veri işleme faaliyetleri sırasında verilerin kişisel veri işleme prensiplerine uygun şekilde işlenmesi için gereken önlemler alınmaktadır.
Kişisel veriler, “ŞİRKET” tarafından değişik kanallardan elde edilmektedir. Toplanan kişisel veriler ile “ŞİRKET”’nün kişisel verilerini işlediği veri sahipleri/ilgili kişiler ayrı ayrı kategorize edilmektedir. Aynı şekilde “ŞİRKET”’nün kişisel veri işleme amaçları da kategoriler altında sınıflandırılmıştır. “ŞİRKET” nün kişisel veri işleme faaliyetleri, işte bu üç temel kategori (veri kategorileri, veri sahibi kategorileri ve veri işleme amaçları) dikkate alınarak hazırlanmıştır.
Veri Sorumluları Sicili Hakkında Yönetmeliğin 5/ç maddesi gereğince sicile kayıt yükümlülüğü olan veri sorumlularının “Kişisel Veri İşleme Envanteri” hazırlamakla yükümlü olduğu belirtilmiştir. İlaveten, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. maddesi kapsamında KVKK’nın 16. maddesi gereğince “Veri Sorumluları Siciline” kaydolmakla yükümlü olan veri sorumlularının kişisel veri işleme envanterine uygun olarak “Kişisel Veri Saklama Ve İmha Politikası” hazırlamakla yükümlü olduğu belirtilmektedir.
Şirketmizin “Kişisel Veri İşleme Envanteri” ve “Kişisel Veri Saklama Ve İmha Politikası” hazırlama ilgili mevzuat dahilinde yükümlülüğü mevcut olup, söz konusu yükümlülükler yerine getirilmiştir.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5/i maddesi gereğince, “kişisel verilerin tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangileri ile elde edildiğinin” açık bir şekilde belirtilmesi gerekmektedir.
Bu durumda otomatik yollarla veri işlemenin ne demek olduğu Şirketmizce nasıl anlaşıldığının da izahı zorunlu hale gelmektedir.
Şirketmizce , “Otomatik olarak veri işlenmesi”; bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyeti, “bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme” ise; manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyeti olarak anlaşılmaktadır.
Şirketmizce yapılan işleme faaliyetleri aşağıda belirtilen işleme kanallarından elde edilen veriler dahilinde tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmektedir.
13.1. Kişisel Verilerin Elde Edildiği Kanallar
Şirket tüzüğü dahilinde faaliyetlerini yürütmekte olan “ŞİRKET”’in kişisel veri elde etme kanalları aşağıda listelenmektedir:
- Çalışanların Özlük Dosyası Belgeleri
- Faaliyetler ve Sözleşmeler Dahilindeki İşlemlerin İfa Edilmesi İçin Finans Verileri
- Kartvizitler
- CCTV (Kapalı Devre Kamera Kayıtları),
- SMS/E-Posta, Telefon
- İnternet Sitesi, Uygulamalar, Çerezler (Cookies) ve Benzer Takip Teknolojileri,
- Faks,
- Posta, Kargo ya da Kurye Hizmetleri,
- Diğer Fiziki ve Elektronik Ortamlar.
Teknolojik gelişmelere bağlı olarak “ŞİRKET” tarafından yukarıdaki kişisel veri elde etme kanallarına yeni eklemeler yapılabilecek ya da mevcut kanallardan bazılarının kullanılmasından vazgeçilebilecektir. Böyle durumlarda da şeffaflığı ve hesap verilebilirliği korumak adına Politika’nın güncellenmesi yoluyla kullanılan kanalların doğru bir şekilde ifade edilmesi sağlanacaktır.
13.2. Kişisel Verilerin Kategorizasyonu
Kişisel verilere ilişkin mevzuata uyum sağlanması için kişisel verilerin kategorize edilmesi mutlak bir gerekliliktir. “ŞİRKET” işlemekte olduğu kişisel verileri temel olarak kişisel veriler ve özel nitelikli kişisel veriler olarak iki kategori altında toplamaktadır. Söz konusu kategoriler altında da veri tiplerine göre kategorizasyon yapılmıştır.
“ŞİRKET”’in kişisel verilere ve özel nitelikli kişisel verilere ilişkin kategoriler aşağıdaki tabloda paylaşılmaktadır:
| |
KİŞİSEL VERİ KATEGORİSİ | KATEGORİZASYON AÇIKLAMASI |
Kimlik Verileri | Gerçek kişilerin kimlik bilgilerine ilişkin kişisel verileri bu kategori altında değerlendirilecektir. (ad soyad, anne - baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, tc kimlik no) |
İletişim Verileri | Kişilerle iletişim amacıyla kullanılabilecek her türlü kişisel veri bu kategori altında değerlendirilecektir. (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no) |
Aile Durumuna İlişkin Veriler | Kişilerin aile ve yakınlarına ilişkin bilgilere bu kategori altında yer verilecektir. İlgili kişinin müşteri, çalışan ya da diğer bir veri sahibi kategorisine ait olmasının herhangi bir önemi bulunmamaktadır. |
Özlük Dosyası Verileri | Şirket çalışanların ilgili mevzuat kapsamında özlük dosyasında bulunan veriler (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, izin bilgileri, özgeçmiş bilgileri, diploma, doğum izni, çalışamaz raporu, askerlik, performans değerlendirme raporları ve hükümlü başvurularında, ceza mahkumiyetleri ve güvenlik tedbirleri kayıtları (adli sicil kaydı), sağlık bilgileri yer almaktadır. "Genel olarak özlük dosyalarında aşağıdaki evraklara rastlanmaktadır. 1. Adli sicil kaydı 2. Aile durum bildirimi formu 3. Çalışma Belgesi/Hizmet Belgesi 4. Çok tehlikeli işler için ağır ve tehlikeli işlerde çalışabilir raporu 5. Diploma fotokopisi 6. Doğum izni, çalışabilir/çalışamaz raporları, emzirme izni dilekçeleri, 7. Engelli işçi ise sakatlık raporu, İŞKUR müracaat kayıt belgesi 8. Erkek işçiler için askerlik durumunu gösterir belgeler 9. Eski hükümlü, terör mağduru işçinin İŞKUR müracaat kayıt evrakı 12. Fazla çalışmalar için işçi onay yazısı 13. Geçici olarak bir başka işyerine devredilecek işçinin rızasını gösteren belge 14. Haklı fesih varsa bu durumu kanıtlayan belgeler, istifa dilekçesi veya fesih bildirimi 15. İbraname 16. İkametgâh ilmühaberi "17. İş sözleşmesi 18. İşçi hakkında yapılan tüm yazışmalar ve tutulan kayıtlar 19. İşçilerin, iş sağlığı ve güvenliği, mesleki riskler, alınması gerekli tedbirler ve yasal hak ve sorumluluklar konusunda bilgilendirildiklerine dair yazı. 20. İşçiye ait bordrolar ve ödemeye ilişkin belgeler 21. İşe giriş ve işten ayrılış bildirgeleri 22. İşe izinsiz gelmeme / iş geç gelme tutanağı ve ihtarname 23. Kan grubu kartı 24. Kıdem ve ihbar tazminatı bordroları 25. Nüfus cüzdanı fotokopisi 26. Özgeçmiş 27. Sağlık raporu ve periyodik sağlık muayene raporları 28. Resim 29. Sağlık Raporu 30. Sakatlık indiriminden yararlanacaklar için Gelir İdaresi Başkanlığından indirim uygulanacağına dair yazı 31. Sigorta olaylarında yapılması gereken idari işlemlere ilişkin (iş kazası tutanağı, iş kazası bildirimi vb.) belgeler 32. Teslim edilen araç gereçler var ise bunların zimmet belgesi 33. Ücretsiz izinler ve yıllık ücretli izin ile ilgili dilekçe, form ve cetveller 34. Varsa almış olduğu eğitim sertifikaları 35. Yabancı işçiler için çalışabilir belgesi |
Eğitim, İş ve Profesyonel Yaşama İlişkin Veriler | Kişilerin eğitim ve çalışma hayatlarına ilişkin her türlü veriye bu kategori altında yer verilecektir. (Eğitim- Diploma- Sertifika, Transkript, Meslek İçi Eğitim Bilgileri) |
Finansal Veriler | Kişilerin hesap, banka, fatura bilgileri |
Görsel İşitsel Kayıtlar | Organizasyon ve etkinliklerle yapılan kayıtlar ile güvelik amacı ile tutulan görsel/işitsel kayıtlar |
Dijital Ortam Kullanım Verileri | Kullanıcıların dijital ortamdaki faaliyetlerinin takibi neticesinde elde edilen her türlü kişisel veri bu kategori altında sınıflandırılacaktır. |
|
|
13.3. Veri Sahibi Kategorizasyonu
Veri sahipleri yani kişisel verileri işlenmekte olan ilgili kişiler, bu politikanın ve dolayısıyla “ŞİRKET”’nün kişisel veri işleme faaliyetlerinin odak noktasını oluşturmaktadır. Yapılan kategorizasyon, veri sahiplerinin haklarının daha etkin bir şekilde korunması ile veri sahipleri ile verimli bir şekilde iletişim kurulmasına imkân vermektedir. “ŞİRKET”’nün veri sahiplerine ilişkin kategorizasyonu aşağıdaki tabloda gösterilmektedir:
| |
KİŞİSEL VERİ SAHİBİ KATEGORİSİ | KATEGORİZASYON AÇIKLAMASI |
Şirket Personeli | İdari personel. |
Yönetim Kurulu, Senato Üyeleri | Şirketin organlarında ve çalışmalarında yer alan üyelerin verileri |
Şirket Çalışmalarına Katılan 3. Kişiler | Şirket komisyon, çalışma grupları ve organizasyonlarına dahil olan 3. kişiler |
Şirket Faaliyetleri Davetlileri | Şirketin organizasyonlarına davet edilen gerçek kişiler |
Şirket Faaliyetleri Katılımcıları | Şirket organizasyonlarına katılan kişiler |
Ödeme Muhatabı/Hizmet Alınan Kişi | Şirket Faaliyetlerinde ödeme yapılması gereken 3. kişiler |
Şirket Çalışanları Yakınları | Şirket Çalışanı Yakını, Aynı ikamette oturan kişiler ve bakmakla yükümlü olunan kişiler |
Potansiyel Çalışanlar | Şirkete çalışmak üzere başvuru yapan potansiyel çalışanlar |
Tedarikçi | “ŞİRKET”ye mal veya hizmet sağlayan kişiler, kuruluşlar veya bunlarla ilişkili kişilerdir. |
Proje Ortağı | “ŞİRKET”in yürütmekte olduğu projelere dahli olan kişiler |
Danışman | “ŞİRKET”e dış danışmanlık hizmeti sağlayan kişiler, kuruluşlar veya bunlarla ilişkili kişilerdir. |
Diğer | Yukarıdakiler dışında, “ŞİRKET” ile sürekli veya arızi, doğrudan ya da dolaylı ilişki kurmuş kişiler, kuruluşlar veya bunlarla ilişkili kişilerdir. |
14. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
“ŞİRKET” kişisel verilerini işlemekte olduğu veri sahiplerinin kişisel verilerini elektronik ve fiziki ortamlarda gerekli teknik ve idari güvenlik tedbirlerini alarak saklamaktadır.
“ŞİRKET”’in kişisel verileri saklama süresi ilgili mevzuatta belirlenen süreler dikkate alınarak hesaplanmaktadır. Bununla beraber, Şirket faaliyetlerinin yürütülmesi amacıyla Şirketnin bireylerle iletişim halinde olması Şirket mevzuatındaki amacı gerçekleştirmek bakımından önem taşımaktadır. Bu nedenle ilgili mevzuatta öngörülen sürelerin haricinde “ŞİRKET”, bireylerin “açık rıza”larını temin etmek suretiyle özellikle “ad/soyad/görev/iletişim” bilgilerini her daim güncelleyerek saklamayı arzu etmektedir.
KVKK’da yer alan kişisel veri işleme şartlarının varlığını ortadan kaldıracak kişisel veri işleme amaçlarının sona ermesi halinde, “ŞİRKET” tarafından kişisel veriler imha edilecektir. Söz konusu imha işlemleri ilgili mevzuatın hükümlerine uygun olarak 6 aylık periyotlarla re’sen gerçekleştirilmekte ya da veri sahiplerinden gelen taleplerin gerektirmesi halinde neticeye bağlanmaktadır. Yönetmeliğin 12. maddesi gereğince ise, ilgili kişinin silme ve/veya yok etme taleplerini “ŞİRKET” mevzuatta başkaca bir süre öngörülmediği takdirde en geç 30 gün içinde yerine getirerek ilgili kişiye bilgi verecektir.
Kişisel Verilerin imhası ile ilgili tutanaklar ise “ŞİRKET” tarafından mevzuat gereğince başkaca bir süre belirlenmediği takdirde 3 yıl süre ile saklanacaktır.
“ŞİRKET” tarafından kişisel verilerin imhası, kişisel verilerin yer aldığı ortamlara göre silme, anonimleştirme ya da yok etme teknikleri kullanılarak yerine getirilmektedir. Söz konusu teknikler hakkında detaylı bilgiler Kurul tarafından yayınlanmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi içerisinde yer almaktadır.
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemine kişisel verinin silinmesi denir. İlgili Kullanıcı tabiri ise, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. Bu halde “ŞİRKET” imha sistemi kapsamında verilerin işlenme amaçları dahilinde öncelikli olarak “Silme” prosedürü uygulanacaktır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7/5. maddesi gereğince veri işleme sebeplerinin ortadan kalkması halinde ve/veya ilgili kişinin talebi üzerine (Eğer ki KVKK m. 5/2 ve 6/3 dahilinde yer alan açık rıza alınmasına gerek olmayacak şekilde veya KVKK m. 28 dahilinde kanuni istisna kapsamına girmiyorsa) “ŞİRKET” bünyesinde oluşturulan “KVKK Birimi” tarafından kişisel veriler ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek şekilde silinecektir.
ŞİRKET için esas imha usulü “silme” olmakla beraber, eğer ki tüm şartlar sağlanmış ve değerlendirme sonucunda uygun bulunmuşsa “yok etme” veya “anonim hale getirme” imha usulleri de ŞİRKET tarafından uygulanabilecektir.
15. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI
Şirket faaliyetlerinin gereklilikleri nedeniyle “ŞİRKET” tarafından kişisel verilerin yurtiçinde veya yurtdışında bulunan kişilerle/kurumlarla paylaşılması söz konusu olabilmektedir. Söz konusu paylaşımların gerçekleştirilebilmesi için “ŞİRKET” tarafından KVKK’nın gereklerine ve veri işleme şartlarını sağlayan amaçların varlığına büyük bir özen gösterilmektedir. Ayrıca veri paylaşımları sırasında mevzuatın gerekliliklerine uygun seviyede güvenlik önleminin sağlanması amacıyla gereken teknik ve idari önlemler alınmaktadır.
“ŞİRKET” tarafından kişisel veri paylaşımlarının takip edilmesi amacıyla, paylaşım yapılan kişiler aşağıda yer alan kategorilere ayrılmıştır:
Yurtiçi aktarım: Bilindiği üzere, KVKK 8/2.a ve b maddesi gereğince kişisel verilerin KVKK 5/2 ve 6/3 maddesi kapsamında işlenmesi halinde açık rıza alınmaksızın yurtiçinde aktarılması mümkündür. “ŞİRKET” tarafından ilgili hükümler gözetilerek 3. kişilere aktarım yapılmakta olup, söz konusu hükümler kapsamına girilmemesi halinde ise ilgili kişilerin açık rızasına başvurulmaktadır.
Yurtdışı aktarım: “ŞİRKET” tarafından kural olarak yurtdışı aktarım yapılmamaktadır. Ancak, “ŞİRKET” tarafından işlenen veri ve belgelerin Şirket dışında bulunan bilgisayarlarda tutulması, e-mail gönderilmesi ve kayıtlara söz konusu bilgisayarlardan erişilmesi, bu verilerin tutulduğu, aktarıldığı sistemlerin ve/veya e-mail sağlayıcılarının veri tabanlarının yurtdışında konumlandırılmış olması mümkün olabilmektedir. İlaveten özellikle yurtdışı organizasyon, etkinlik düzenlemelerinde, otel konaklamaları, vizelerin alınması, uçak biletlerinin alınması, yurtdışı etkinliğin yürütülmesi ve planlanmasında kişisel verilerin yurtdışına aktarılması zarureti bulunabilmektedir. Bu halde ise KVKK’nın 9. maddesi hükümlerine riayet edilmek suretiyle aktarım yapılacaktır.
16. AYDINLATMA YÜKÜMLÜLÜĞÜ
KVKK’nın 10. maddesi uyarınca “ŞİRKET”; kişisel verilerin elde edilmesi sırasında aşağıdaki bilgileri ilgili veri sahiplerine sunarak KVKK’da bahsedilen aydınlatma yükümlülüğünü yerine getirecektir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- 11 inci maddede sayılan diğer hakları.
“ŞİRKET”, aydınlatma yükümlülüğünü yerine getirmek amacıyla, Şirket faaliyetlerini yürütürken veri sahipleriyle temas edilen noktalarda kullanılmak üzere uygun aydınlatma metinleri hazırlamakta ve bunları veri sahiplerine sunmaktadır. Ayrıca bu politika da aydınlatma yükümlülüğünün yerine getirilmesi amacına hizmet etmektedir.
17. VERİ SAHİBİNİN HAKLARI
KVKK’nın 11. maddesi kapsamında veri sahiplerine tanınan haklar aşağıda sıralanmaktadır:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
“ŞİRKET”, her veri sahibinin KVKK’nın veri sahiplerine tanıdığı hakların rahatça kullanabilmesi konusunda mevzuatın gerekliliklerine uygun olarak gerekli idari ve teknik önemleri almaktadır. Veri sahipleri, yukarıda sayılan haklarını www.armafixing.com.tr
adresinde yayınlanan ya da “ŞİRKET” merkezinden temin edebilecekleri başvuru formunu doldurarak aşağıdaki yöntemlerle Şirketmize iletebilirler.
Başvuru usulünde “ŞİRKET” Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında işlemlerini yürütmektedir. Bu kapsamda başvurunun adı geçen tebliğin 5. maddesine uygun yapılması gerekmektedir.
Form eksiksiz bir şekilde doldurulup;
- Kimlik tespitini sağlayacak bir belge ile birlikte eksiksiz olarak doldurulmuş İşbu Başvuru Formu’nun ıslak imzalı bir kopyasını Arma Bağlantı Sistemleri Sanayi ve Ticaret A.Ş. Ömerli Mahallesi Adnan Kahveci Caddesi No: 34/1 34555 Arnavutköy – Hadımköy / İSTANBUL Adresine şahsen ibraz etmek suretiyle,
- Kimlik tespitini sağlayacak bir belge ile birlikte eksiksiz olarak doldurulmuş İşbu Başvuru Formu’nun ıslak imzalı bir kopyasını Arma Bağlantı Sistemleri Sanayi ve Ticaret A.Ş. Ömerli Mahallesi Adnan Kahveci Caddesi No: 34/1 34555 Arnavutköy – Hadımköy / İSTANBUL Adresine noter vasıtasıyla göndermek suretiyle,
İşbu Başvuru Formu’nu 5070 sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik imza” ile imzalayarak www.armafixing.com.tr adresine göndermek suretiyle,
- Kayıtlı Elektronik Posta (KEP) hesabından armakalip@hs01.kep.tr adresine KEP ile göndererek,
- Ayrıca işbu başvuru formunu doldurup imzalamak ve ıslak imzalı formu taratarak bilgisayara yüklemek suretiyle www.armafixing.com.tr adresine mail atarak, (bu usulün tercih edilmesi durumunda maile kimlik tespitini sağlayacak bir evrakın da eklenmesi gerekmektedir)
- Veya Kurul tarafından belirlenecek diğer yöntemler kullanılarak tarafımıza iletilmelidir.
Başvuruda;
- Ad, soyad ve imza,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu bulunması zorunludur.
- Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
- Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.
- Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir
“ŞİRKET”, kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin yazılı olarak ya da Kurul tarafından belirlenecek diğer yöntemlerle iletecekleri taleplerini, iletim tarihinden sonra en kısa sürede ve en geç otuz günde sonuçlandıracaktır. Kurul tarafından yayınlanan tarifeler çerçevesinde veri sahiplerinin başvuruları ücretlendirilebilecektir. İlgili Tebliğ’in 7. maddesi gereğince, İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.
Veri sahipleri tarafından yapılan başvuruların yanıtlanması amacıyla “ŞİRKET” tarafından başvurucunun kimliğinin doğrulanması, ilgisiz kişilere bir başka kişinin kişisel verilerinin hukuka aykırı olarak iletilmesinin önüne geçilmesi ile başvurucu talebinin netleştirilmesi amacıyla ek bilgi ve belge talep edilebilecektir. Söz konusu bilgi ve belgelerin paylaşılmaması halinde veri sahibinin başvurusu cevaplanamayabilecektir.
Başvurunun “kimlik sahibi” ve/veya yetkili kişi tarafından yapılmış olduğunun teyit edilmesi ciddi önem taşımaktadır. Keza amaç kişisel verilerin korunması iken, kimlik doğrulamanın yapılamamasından ötürü 3. kişilere kişisel verilerin verilmesi ve KVKK’nın 11. maddesinde izah edilen haklar dahilinde işlem yapılması ilgili kişinin korunması gereken menfaatini zedeleyecektir. Bu nedenle kimlik doğrulama işlemleri bakımından hassasiyetimizi anlayışla karşılayacağınızı ve Şirketmize yardımcı olacağınızı temenni etmekteyiz.
“ŞİRKET”, talepleri en kısa sürede ve en geç 30 gün içinde sonuçlandırır. Değerlendirme sonucu yazılı olarak veya elektronik ortamda ilgiliye bildirilir ve talebin kabulü halinde KVKK’ya uygun şekilde gereği yapılır.
Kişisel Veri Sahiplerinin başvurularının reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi cevabı öğrendiği tarihten itibaren 30 gün içinde Kişisel Verilerin Korunması Kurulu’na KVKK madde 14 uyarınca şikayette bulunabilir.
16. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER
“ŞİRKET”, işlemekte olduğu kişisel verilerin gizliliğinin ve güvenliğinin sağlanması konusunda, bir devlet Şirketsi olmanın da verdiği sorumluluk bilinciyle, gereken her türlü makul dikkat ve özeni sağlamaktadır. “ŞİRKET”, ilgili mevzuatının gereklilikleri yanında KVKK’nın 12. maddesi çerçevesinde veri gizliliğinin ve güvenliğinin sağlanması için de gereken teknik ve idari tedbirlerini makul düzeyde almaktadır. Söz konusu idari ve teknik güvenlik tedbirleriyle birlikte kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ile kişisel verilerin uygun güvenlik düzeyinde muhafaza edilmesi hedeflenmektedir.
“ŞİRKET”, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin ilgili veri işleyenler tarafından da alınması için gerekli tedbirleri alacaktır.
Kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi halinde, ilgili mevzuat hükümleri uyarınca veri sahiplerine, Kurul’a ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunacaktır.
Kişisel verilerin güvenliğine ilişkin tedbirler alınırken Kurul tarafından yayınlanmış olan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) göz önünde bulundurulmaktadır.
- Şirket bünyesinde bilgi güvenliği yönetim sisteminin kurulması ve işletilmesi,
- Şirket personelleri ve ilgili taraflar ile taahhütnameler ve gizlilik sözleşmelerinin imzalanması,
- İş süreçleri üzerinde risk analizlerinin gerçekleştirilmesi,
- Kişisel veri envanterlerinin oluşturulması,
- Bilgi güvenliği politika ve prosedürlerinin işletilmesi,
- Bilgi güvenliği ve kişisel veri işleme faaliyetleri hakkında eğitimlerin düzenlenmesi ve değerlendirilmesi,
- Çalışan bilgisayar vb. araç gereçlerine yetkisiz erişimlerin önüne geçmek adına söz konusu araç ve gereçleri yalnızca yetkili kişilerin kullanması,
- Şirket içi ya da bağımsız denetimler ile faaliyetlerin gözden geçirilmesi,
- Yapılan işlemler için objektif delil üretecek kayıtların oluşturulması,
- Sızma testleri ile Şirket bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
- Şirketnin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlerle ilgili teknik kontroller yapılmaktadır.
- Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun hazırlık çalışmaları yapılmıştır.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
- Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir. (Periyodik Sağlık verileri, Adli Sicil Kaydı)
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
- Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
18. ŞİRKET ADINA SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
“ŞİRKET” tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; “ŞİRKET” tarafından “ŞİRKET” yerleşkesinde kaldığı süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu erişimin sağlanabilmesi adına ziyaretçilerden ad- soyad ve TC Kimlik numarası bilgileri talep edilmektedir. Ayrıca internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya “ŞİRKET” içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.
Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşlardan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilere aktarmaktadır.
19. ÇEREZLER ÜZERİNDEN TOPLANAN KİŞİSEL VERİLERİN İŞLENMESİ
Şirketmiz; Çerezleri, internet sayfalarımız veya mobil uygulamalarımızın işleyiş biçimini ve kullanımını geliştirmeye yönelik olarak kullanmakta ve dijital platformlarımızda geçirdiğiniz vakti daha verimli ve keyifli hale getirmeye çalışmaktadır.
Ayrıca internet sitelerimiz ve mobil uygulamalarımızda yaptığınız tercihleri hatırlamaya yönelik bazı çerezlerden yararlanmakta ve bu sayede size geliştirilmiş ve tercihlerinize yönelik kişiselleştirilmiş bir deneyim sağlamaktadır. Dijital platformlarımızda yer alan çerezler üzerinden kişisel verileriniz işlenmekte ve aktarılmaktadır.
Şirketmiz tarafından KVKK madde 12’ye uygun olarak, çerezler üzerinden toplanan kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Ayrıntılı bilgi için armafixing.com.tr/cerez-politikasi bağlantısını kullanarak çerez politikamıza erişebilirsiniz.
20. DİĞER HÜKÜMLER
“ŞİRKET”, bu Politika’nın diğer “ŞİRKET” politikaları ile uyuşmaması durumunda, her iki politika arasında KVKK veya ilgili ikincil düzenlemeleri dikkate alarak uyum sağlayacaktır. Politika ile mevzuat arasında uyumsuzluk olması durumunda öncelikli olarak ilgili mevzuat uygulanacaktır.
Bu politika yayınlandığı tarihte yürürlüğe girer. Politika zaman içerisinde değişen durum ve ihtiyaçlar kapsamında güncellenebilecektir.
Son Güncelleme Tarihi: 11.05.2023