QNB KADIKÖY TERMİNAL GAYRİMENKUL HİZMETLERİ TİCARET ANONİM ŞİRKETİ (“Şirket”) Kazım Özalp Mahallesi Koza Caddesi No: 22 Çankaya Ankara merkezinde yer almaktadır.
İşbu Politika ile Şirket tarafından KVK Kanunu’na uyum için aşağıda açıklanacak olan temel ilkeler çerçevesinde getirilecek düzenlemelerin Şirket bünyesinde pay sahipleri, yetkililer, çalışanlar, bağlı ortaklıklar, iştirakler ve iş ortakları tarafından etkin bir şekilde uygulanması amaçlanmaktadır.
Şirket’in tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVK Kanunu ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekle yükümlüdür.
| Kavram | Tanım |
|---|---|
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
| İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
| Kanun / KVKK | 6698 Sayılı Kişisel Verilerin Korunması Kanunu |
| Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
| Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
| Kişisel Verilerin Silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
| Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından erişilemeyecek, geri getirilemeyecek ve tekrar kullanılamayacak hale getirilmesi işlemi. |
| Kurul | Kişisel Verileri Koruma Kurulu. |
| Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
| Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
| Veri Sahibi / İlgili Kişi | Kişisel verisi işlenen gerçek kişi |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
| Yönetmelik | Veri Sorumluları Sicili Hakkında Yönetmelik |
Kanun kapsamında Şirket, Veri Sorumlusu sıfatını haizdir. Yönetmelik’in 11.maddesinin 1.fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır.
Yönetim Kurulu tarafından Türk Ticaret Kanunu (“TTK”)’nun ilgili maddeleri uyarınca sınırları belirlenmiş olarak şirketin yönetim ve temsili verilen kişiler TTK, Türk Borçlar Kanunu ve Türk Ceza Kanunu kapsamında kendi yetki sınırları dâhilinde gerçekleşen işlem ve eylemlerden sorumludur. Bunun yanında, her bir departmandaki en üst düzey çalışan, departmandaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika’ya uygun davranıp davranmadığını denetlemek ve Yönetim Kurulu’na raporlamakla yükümlü olacaktır.
C. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
Şirket, Kanun’un 4.maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:
- Hukuka ve dürüstlük kuralına uygunluk
Şirket, Veri Sorumlusu sıfatı ile ve basiretli bir tacir olarak Anayasa ve Kanun başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Türk Medeni Kanun’nun 2.maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir. - Doğruluk ve güncellik
Şirket, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır.
İlgili Kişi’nin Veri Sorumlusu sıfatı ile Şirket’e bildireceği talepler ve Şirket’in bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Şirket tarafından kurulan idari ve teknik mekanizmalar işletilecektir.
- Belirli, açık ve meşru amaçlarla işleme
Şirket tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.
- Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
Şirket tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.
- Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme
Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınmaktadır.
D. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVK Kanunu ile kişisel verilerin işlenme koşulları düzenlenmiş olup Şirket tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.
- Kişisel Verilerin İşlenmesi Şartları
KVK Kanunu’nda sayılan istisnalar dışında, Şirket ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir.
Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:
– Kanunlarda açıkça öngörülmesi,
– Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
– Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
– Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
– Veri sahibinin kendisi tarafından alenileştirilmiş olması,
– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
– Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise Şirket tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir.
Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:
– Kanunlarda açıkça öngörülmesi,
– Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
– İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
– Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
– Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
– İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
– Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
E. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ
Şirket, KVK Kanunu’na uygun olarak ve Yönetmelik’in 5., 7., 9.ve 10.maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanteri’ne dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir.
İşbu Politika’da ayrıca Kişisel Veri İşleme envanteri başlığına yer verilmemiş olsa da işbu başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır.
1. Kişisel veri işleme amaçları
2. Veri kategorisi
3. Verilerin aktarıldığı alıcı grubu veya alıcı grupları
4. Veri konusu kişi grupları
5. Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi
6. Yabancı ülkelere aktarımı öngörülen kişisel veriler
7. Veri güvenliğine ilişkin alınan tedbirler
8. Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre
Kişisel Veri Konusu Kişi Grupları
| Kişisel Veri Konusu Kişi Grupları | Açıklaması |
|---|---|
| Çalışan Adayı / Stajyer Adayı | Şirket bünyesinde çalışmak/staj yapmak için başvuru yapan gerçek kişiler |
| Çalışan / Stajyer | Şirket bünyesinde çalışan veya staj yapan gerçek kişiler |
| Çalışan Adayının Referans Gösterdiği Kişiler | Şirket bünyesinde çalışmak için başvuru yapan gerçek kişiler tarafından referans gösterilen gerçek kişiler |
| Çalışan Yakını | Şirket bünyesinde çalışanlar tarafından belirtilen çalışan yakınları |
| Acil Durumlarda Başvurulacak Çalışan Yakını | Şirket bünyesinde çalışanlar tarafından acil durumlarda bilgilendirilmesi istenen çalışan yakınları |
| Müşteri | Şirket’ten mal ve/veya hizmet alan gerçek kişiler |
| Tedarikçi/Danışman Çalışanı | Şirket’in mal ve hizmet aldığı tedarikçi/danışman kuruluşta çalışan gerçek kişiler |
| Tedarikçi/Danışman Yetkilisi | Şirket’in mal ve hizmet aldığı tedarikçi/danışman kuruluşta yetkili bulunan gerçek kişiler |
| Ziyaretçi | Herhangi bir sebeple Şirket binasını ziyaret eden gerçek kişiler |
| Pay Sahibi | Şirket’in paylarına sahip olan gerçek kişiler |
| Şirket Yetkilisi / Yöneticisi | Şirket’i temsil ve ilzama yetkili kişiler veya Şirket yöneticileri |
| Topluluk Çalışanı | Şirket’in bağlı olduğu doğrudan ve dolaylı şirketler ile aynı kontrol yapısı altında bulunan şirketlerde çalışan gerçek kişiler |
| Topluluk Yöneticisi | Şirket’in bağlı olduğu doğrudan ve dolaylı şirketler ile aynı kontrol yapısı altında bulunan şirketlerde yönetim yetkisi bulunan gerçek kişiler |
| Veri Kategorisi | Açıklaması |
|---|---|
| Kimlik | Ad soyad, Anne – baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no gibi bilgilerdir. |
| İletişim | Adres, Adres numarası, E-posta adresi, iletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon numarası gibi bilgilerdir. |
| Özlük | Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları, Yabancı dil bilgileri, Seyahat durumu, Çalışma gün sayısı gibi bilgilerdir. |
| Mesleki Deneyim | Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri gibi bilgilerdir. |
| Finans | Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri gibi bilgilerdir. |
| Risk Yönetimi | Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi bilgilerdir. |
| Hukuki İşlem | Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler, icra dosyasındaki bilgiler gibi bilgilerdir. |
| İşlem Güvenliği | IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri gibi bilgilerdir. |
| Görsel ve İşitsel Kayıtlar | Fotoğraf, kamera kaydı, ses kaydı ve sair görsel ve işitsel kayıtlardır. |
| Fiziksel Mekan Güvenliği | İşyerine giriş çıkış kayıt bilgileri, kamera kayıtları gibi verilerdir. |
| Dernek Üyeliği | Dernek üyeliği bilgileridir. |
| Vakıf Üyeliği | Vakıf üyeliği bilgileridir. |
| Sağlık Bilgileri | Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri, tahlil bilgileri gibi bilgilerdir. |
| Ceza Mahkumiyeti ve Güvenlik Tedbirleri | Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgilerdir. |
Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel Verilerinin Toplanması ve İşlenmesinin Amaçları
Şirket, bünyesinde çalışanların ve stajyerlerin kişisel verilerini, SGK kaydının yapılabilmesi için, yürürlükteki İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Özel Güvenlik Kanunu ve ilgili mevzuat uygulamaları kapsamında kişilerin personel özlük dosyasında bulunması zorunlu evrakların tamamlanması amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, işe giriş ve iş başvurusu aşamasında ilettikleri öz geçmiş, iş başvuru formları, aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri, mülakat esnasında kendilerine sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar aracılığıyla elde edilmektedir. Şirket, kendisine iş başvurusu yapan gerçek kişilerden kişisel verilerini, kişiyle işe alım sürecinde mülakat amaçlı iletişim kurmak ve mülakat sırasında kişinin nitelikleri ve deneyimleri ile işe alım yapılacak açık pozisyonun uyumlu olup olmadığını tespit etmek amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, başvuru yapan kişilerin öz geçmişlerini insan kaynakları departmanına yollamaları, mülakat esnasında kendi rızaları ile sorulan soruları yanıtlamaları ya da ilan yayınlama ve aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri ile elde edilmektedir.
Şirket, yukarıda belirtilen kişisel verileri, faaliyetlerini gerçekleştirmek amacıyla, TTK, Vergi Usul Kanunu, İş Kanunu ve ilgili sair mevzuattan kaynaklanan yasal yükümlülükleri çerçevesinde işlemektedir. Söz konusu kişisel veriler, resmi kurumlarda Şirket’e ilişkin olarak tutulan kayıtlardan, şirket genel kurul ve yönetim kurulu toplantı tutanaklarından, şirketin kurumsal ve yönetim süreçlerine ilişkin tutulan evraklardan elde edilmektedir.
Şirket, faaliyetlerinin yerine getirilmesinde yardımcı olan mal ve hizmet sağlayan tedarikçilerin, taşeronların, danışmanların yetkili gerçek kişilerinin ve bunlar tarafından görevlendirilen gerçek kişi çalışanlarının görevlerini yerine getirip getirmediğini kontrol etmek ve şirketin faaliyetlerinin düzenini sağlamak amacıyla kaydeder. Kişisel veriler, kendileri ile kurulan iletişim sonucu yollanan ve alınan e-mailler, yapılan sözleşme ve yazışmalar, telefon görüşmeleri ile kartvizit ve internet sitesi bilgilerinin aktarılması yoluyla elde edilmektedir.
Şirket, Şirket’in bağımsız bölümlerinde kira sözleşmesi çerçevesinde faaliyetini sürdüren kiracıların yetkili gerçek kişilerine ait veri kategorisinde yer alan verilerini; taraflar arasında bulunan kira sözleşmesinin ifasının sağlanabilmesi, Şirket’in genel güvenliğinin ve düzeninin sağlanmasında veri sorumlusunun üzerine düşen yükümlülük nedeniyle tüm kiracıların kurallara uygun davranmasının sağlanması ve sözleşmelerde yer alan yükümlülüklerin ihlali halinde sözleşmeye uygun ifanın sağlanabilmesi için ihtarnameler çekilebilmesi, icra ve dava yollarına başvurulabilmesi ve diğer tedbirlerin alınabilmesi amacıyla kaydeder. Şirket’te bulunan kiracıların kişisel verileri kira sözleşmesi, zeyilnameler, ek sözleşmeler, protokoller, mail yazışmaları aracılığı ile elde edilmektedir.
Şirket, işbirliği içerisinde olduğu iş ortaklarının çalışanları ve yetkili gerçek kişilerinin verilerini iş ortaklığının kurulma amaçları çerçevesinde kaydetmektedir. Mal ve hizmet tedarikçilerinden/danışmanlardan temin edilen hizmetlerin Şirket’e sunulmasının sağlanması ve bunun denetlenmesi amacıyla bu kişilerin kişisel verilerini kaydeder. İşbu kişisel veriler imzalanan sözleşmeler, gönderilen faturalar, cihaz teslim tutanakları, mail yazışmaları, telefon ve sair yollarla kurulan iletişim ile kartvizitlerden elde edilmektedir.
Şirket, yatırım, ortaklık, iş birliği yapmak ve/veya çeşitli yollarla faaliyetlerini sürdürmek amacıyla sözleşme ilişkisine girdiği resmi ve özel kurum ve kuruşların yetkililerine, çalışanlarına ait kişisel verileri amacı doğrultusunda işlemektedir.
Şirket’in faaliyet gösterdiği binaya gelen tüm ziyaretçilerin plaka bilgileri, şikâyet ve talep formunda yer alan bilgileri, kimlik bilgileri Şirket’in faaliyet gösterdiği binanın güvenliğinin sağlanması amacıyla elde edilmektedir. Web sitesinde, uygulamada veya Wİ-Fİ giriş ekranında kişiler tarafından sağlanan veriler, hizmet kalitesinin sağlanması, faaliyetlerin yerine getirilmesi ve güvenlik sebepleriyle işlenmektedir. Şirket’i her ne sebeple olursa olsun ziyaret eden kişilerin görüntüleri 7/24 güvenlik kamera görüntüsü yöntemleri ile elde edilmektedir.
Müşterilerin Şirket web sitesi ve/veya uygulama üzerinden kendilerinin sağladığı kişisel veriler, mal/hizmet satışı ve sipariş takibi, basın yayın işlerinin planlanması ve uygulanması, bilgi güvenliği süreçlerinin planlanması, uygulanması ve denetimi, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi, etkinlik yönetimi, internet sitesi yönetimi, iş faaliyetlerinin planlanması ve icrası, iş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası, kurumsal iletişim faaliyetlerinin planlanması ve icrası, kurumsal yönetim faaliyetlerin planlanması ve icrası, müşteri ilişkilerinin yürütülmesi, müşteri iletişim bilgilerinin güncellenmesi, müşteri şikayet ve ihtiyaçlarının değerlendirilmesi, reklam ve tanıtım faaliyetlerinde bulunulması, satış sonrası destek hizmetleri aktivitelerinin planlanması ve/veya icrası, sponsorluk, bağış ve yardım süreçlerinin planlanması ve uygulanması, tedarik zinciri yönetimi süreçlerinin planlanması ve icrası, ticari stratejilerin belirlenmesi ve uygulanması, üretim ve/veya operasyon süreçlerinin planlanması ve icrası, ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası, ürün ve/veya hizmetlerin satış ve pazarlama süreçlerinin planlanması ve icrası amaçları ile işlenmektedir.
Genel olarak Şirket, kişisel verileri; yönetim faaliyetlerinin yürütülmesi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, ücret politikasının yürütülmesi, talep/şikayetlerin takibi, sponsorluk faaliyetlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, performans değerlendirme süreçlerinin yürütülmesi, organizasyon ve etkinlik yönetimi, mal/hizmet satın alım süreçlerinin yürütülmesi, iş sağlığı/güvenliği faaliyetlerinin yürütülmesi iletişim faaliyetlerinin yürütülmesi, iç denetim / soruşturma/istihbarat faaliyetlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, görevlendirme süreçlerinin yürütülmesi, fiziksel mekan güvenliğinin temini, finans ve muhasebe işlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, erişim yetkilerinin yürütülmesi, eğitim faaliyetlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi, çalışan adayı/stajyer/öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, acil durum yönetimi süreçlerinin yürütülmesi, kurumsal kaynak planlaması yapılması (erp sistemine bilgi aktarımı, kaynakların planlı bir şekilde takibi), hisse satış/devir süreçlerinde veri odası oluşturulması ve danışmanlık alınması, fatura takibinin yapılması ve sap sistemine girilmesi, iç ve dış yazılı yayın yapılması, şirket internet sayfasının hazırlanması, faaliyet raporu yayınlanması, sosyal medyada şirketin tanıtılması, gelen/giden evrak takibinin yapılması, mal bildirimi yapılması, yasal harç, prim, kesinti ve idari cezaların ödenmesi, masraf takibinin yapılması, yönetici sorumluluk sigortası yapılması, finans sözleşmesi yapılması, borç/alacak, kıymetli evrak, teminat mektubu takibinin yapılması, ihale dosyası hazırlanması, ana sunucu ve donanım takibinin yapılması, uzaktan internet bağlantısının sağlanması, insan kaynakları süreçlerinin planlanması, denetim/etik faaliyetlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi/ denetimi amaçlarıyla işlemektedir.
Veri Konusu Kişi Grupları İle Bu Kişilere Ait Veri Kategorilerinin İlişkilendirilmesi
| Kişisel Veri Kategorisi | İlgili Olduğu Veri Sahibi Kategorileri |
|---|---|
| Kimlik | Çalışan Adayı , Stajyer Adayı, Çalışan, Stajyer, Çalışan Adayının Referans Gösterdiği Kişiler, Çalışan Yakını, Acil Durumlarda Başvurulacak Çalışan Yakını, Müşteri, Tedarikçi/Danışman Çalışanı, Tedarikçi/Danışman Yetkilisi, Ziyaretçi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| İletişim | Çalışan Adayı , Stajyer Adayı, Çalışan, Stajyer, Çalışan Adayının Referans Gösterdiği Kişiler, Çalışan Yakını, Acil Durumlarda Başvurulacak Çalışan Yakını, Müşteri, Tedarikçi/Danışman Çalışanı, Tedarikçi/Danışman Yetkilisi, Ziyaretçi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| Özlük | Çalışan Adayı , Stajyer Adayı, Çalışan, Stajyer, Tedarikçi/Danışman Çalışanı, Tedarikçi/Danışman Yetkilisi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| Hukuki İşlem | Çalışan, Stajyer, Müşteri, Tedarikçi/Danışman Çalışanı, Tedarikçi/Danışman Yetkilisi, Ziyaretçi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| Fiziksel Mekan Güvenliği | Çalışan Adayı , Stajyer Adayı, Çalışan, Stajyer, Çalışan Adayının Referans Gösterdiği Kişiler, Çalışan Yakını, Acil Durumlarda Başvurulacak Çalışan Yakını, Müşteri, Tedarikçi/Danışman Çalışanı, Tedarikçi/Danışman Yetkilisi, Ziyaretçi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| İşlem Güvenliği | Çalışan Adayı , Stajyer Adayı, Çalışan, Stajyer, Çalışan Adayının Referans Gösterdiği Kişiler, Müşteri, Tedarikçi/Danışman Çalışanı, Tedarikçi/Danışman Yetkilisi, Ziyaretçi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| Risk Yönetimi | Çalışan, Tedarikçi/Danışman Yetkilisi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| Finans | Çalışan, Stajyer, Müşteri, Tedarikçi/Danışman Çalışanı, Tedarikçi/Danışman Yetkilisi, Ziyaretçi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| Mesleki Deneyim | Çalışan Adayı , Stajyer Adayı, Çalışan, Stajyer, Tedarikçi/Danışman Çalışanı, Tedarikçi/Danışman Yetkilisi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| Görsel ve İşitsel Kayıtlar | Çalışan Adayı , Stajyer Adayı, Çalışan, Stajyer, Çalışan Adayının Referans Gösterdiği Kişiler, Çalışan Yakını, Acil Durumlarda Başvurulacak Çalışan Yakını, Müşteri, Tedarikçi/Danışman Çalışanı, Tedarikçi/Danışman Yetkilisi, Ziyaretçi, Pay Sahibi, Şirket Yetkilisi / Yöneticisi, Topluluk Çalışanı, Topluluk Yöneticisi |
| Lokasyon Bilgisi | Müşteri (uygulama üzerinden sipariş verildiğinde) |
| Sağlık Bilgileri | Çalışan, Stajyer |
| Ceza Mahkûmiyeti ve Güvenlik Tedbirleri | Çalışan |
F. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ
Şirket, veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5. ve 6.maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu Politika’da belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9. maddelerine uygun olmak suretiyle üçüncü kişi ve kurumlara aktarabilecektir.
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
| Veri Aktarımı Alıcı Grubu | Alıcı Grubunun Tanımı | Aktarım Amacı |
|---|---|---|
| Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçlarla sınırlı olarak |
| Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri | İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçlarla sınırlı olarak |
| Herkese Açık | Yazılı/görsel basın, medya, sosyal medya, web sayfası aracılığı ile aktarılan tüm gerçek kişiler | Şirketin yasal yükümlülüklerinin yerine getirilmesi, sosyal sorumluluk projelerinin yürütülmesi, Şirket tanıtımının yapılması gibi amaçlarla sınırlı olarak |
| Pay Sahipleri | Şirket’in hissedarı olan gerçek ve tüzel kişiler | Mevzuat kapsamında Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzey yönetimin sağlanması ve denetim amaçlarıyla sınırlı olarak |
| İş Ortakları | Şirketin faaliyetlerini yerine getirirken birlikte proje yürütülen, hizmet alınan veya ortaklık kurulan kurum ve kuruluşlar | İş ortaklığının faaliyet amaçları ile ilintili ve sınırlı olarak |
| Ana Şirketler, İştirakler ve Bağlı Ortaklıklar | Şirketin doğrudan veya dolaylı olarak bağlı bulunduğu şirketler ile iştirak ve bağlı ortaklığı konumundaki şirketler | Faaliyet amaçları ile ilintili ve sınırlı olarak |
| Topluluk Şirketleri | Şirket ile aynı kontrol yapısı altında bulunan şirketler | Faaliyet amaçları ile ilintili ve sınırlı olarak |
| Tedarikçiler | Şirket ticari faaliyetlerini yürütürken Şirket’in emir ve talimatlarına uygun olarak sözleşme temelli yahut sözleşme olmaksızın münferit olarak Şirket’e hizmet sunan tedarikçiler; Şirket’te sözleşme temelli olarak bağımsız bölümlerde ticari faaliyet sürdüren taraflar, kiracılar, Şirket’in faaliyetlerini yerine getirirken herhangi bir şekilde hizmet aldığı üçüncü kişi, firma ya da kuruluşlar, tedarikçiler, danışmanlar, avukatlar, vs | Sağlanan hizmetlerin yerine getirilmesi ile ilintili ve sınırlı olarak |
G. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Şirket, kişisel verileri, Kanun’un 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde yurt dışına aktarabilir.
Özel nitelikli kişisel veriler yurt dışına aktarılmamaktadır.
H. KİŞİSEL VERİLERİN SAKLANMASI
Elde edilen kişisel veriler, Şirket’in ticari faaliyetlerini yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır.
Söz konusu faaliyetler kapsamında, Şirket tarafından kişisel verilerin korunmasına ilişkin olarak KVK Kanunu başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir.
İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, kişisel veriler re’sen Şirket tarafından veya ilgililerin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir.
Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda veya Şirket’i ilgilendiren sair mevzuatta belirlenen zamanaşımı süreleri dolana kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler silinecek, yok edilecek yahut anonim hale getirilecektir.
İ. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
Şirket, KVK Kanunu’nda belirlenen şartlara uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Şirket bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
Alınan İdari ve Teknik Tedbirler
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Yangın söndürme sistemi, iklimlendirme sistemi ve yazılımsal güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler ile önlemler alınmakta ve elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınıflandırılmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanım (sistem) odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi bulunmakta, yerel alan ağı oluşturan kenar anahtarların fiziksel güvenliği sağlanmaktadır.
- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara düzenli eğitimler verilmekte, bu verilerin işlendiği ve saklandığı ortamların güvenliği sağlanmaktadır.
- İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- İş sözleşmesi, tedarik sözleşmesi ve diğer sözleşmelere gizlilik ve kişisel verilerin korunmasına ilişkin hükümler konulmaktadır.
Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
KVK Kanunu kapsamında Şirket veri sorumlusu sıfatını haizdir. Yönetmelik’in 11.maddesinin 1.fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır. Her bir departmanın en üst düzey yöneticisi, departmanlardaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika’ya uygun davranılıp davranılmadığını denetlemek ve Yönetim Kurulu’na raporlamakla yükümlü olacaktır. Karar alınmasını gerektiren durumlarda Hukuk Müşavirliği’nin görüşü alındıktan Yönetim Kurulu’nun karar almasını müteakip alınan karar uygulamaya konulacaktır.
J. VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
Şirket, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir.
Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. Maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
KVK Kanunu’nun 10.maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:
1.Veri sorumlusunun ve varsa temsilcisinin kimliği, 2.Kişisel verilerin hangi amaçla işleneceği,
3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, 4.Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5.KVK Kanunu’nun 11.maddesinde sayılan diğer haklar.
Şirket, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVK Kanunu hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır.
Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, Şirket’in faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır.
Öte yandan, KVK Kanunu’nun 28(1).maddesi çerçevesinde sayılan durumlarda Şirket’in aydınlatma yükümlülüğü bulunmamaktadır.
K. ŞİRKET’İN BAŞVURULARA CEVAP VERMESİ
Şirket’in Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, talebini Şirket’e iletmesi durumunda Şirket talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Şirket tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
Şirket’in Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
Şirket’in Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Şirket, aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
L. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA
İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ilan edilecektir.
M. YÜRÜRLÜK
İşbu Politika yayımı tarihinde yürürlüğe girer.
N. YÜRÜTME
İşbu Politika’nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan yönetim kurulu ile tüm departman yöneticileri (departmandaki en yüksek unvanlı kişi) sorumludur.
