KİŞİSEL VERİLERİN KORUNMASI POLİTİKAMIZ HAKKINDA
A.ŞİRKET AÇIKLAMASI
Verisorumlusu BEŞYILDIZİLETİŞİM SİSTEMLERİ ELEKTRONİK TİCARET VE SANAYİ LİMİTED ŞİRKETİ olarakfirmamız bünyesinde işlenen her türlü kişisel veri 6698 sayılı KişiselVerilerin Korunması Kanunu başta olmak üzere ilgili ulusal ve uluslararasımevzuat hükümleri kapsamında korunmaktadır. Şirketimiz gerekli korunmanınsağlanması adına teknik ve idari tedbirleri vaktinde gereği gibi almakta olupher hangi bir ihlal şüphesi karşısında yasal hükümler çerçevesinde ilgilişahıslara, kurum ve kuruluşlara gerekli bildirimleri en kısa süredeyapmaktadır.
Veri Sorumlusunun bilgileri aşağıdakigibidir:
| BEŞYILDIZ İLETİŞİM SİSTEMLERİ ELEKTRONİK TİCARET VE SANAYİ LİMİTED ŞİRKETİ | |
| MERSİS Numarası: | Vergi Numarası: 1660030957 |
| Adresi: | Macun Mahallesi 177 Cadde No: 19/4 Yenimahalle/ANKARA |
| Telefon: | 0542 635 20 10 |
| Faks: |
|
| E-mail: | info@besyildiztoptan.com |
B.POLİTİKA OLUŞTURMANIN ZORUNLULUĞU VE AMACI
Uzunbir süreç içinde gelişen insan hakları kapsamında bizi biz yapan değerlerinyani kişisel verilerin önemi geldiğimiz dünyada ayrıca bir önem kazanmış olup,gerek ceza gerekse tazminat hukuku bağlamında korunması için yasal mevzuatlarhazırlanmıştır. Bilişim Teknolojileri alanında görülen hızlı ilerleme sözkonusu kişisel verilerin paylaşılmalarını kolaylaştırmış ve keyfi uygulamalarıngelişmesine sebebiyet vermiştir. Bu bağlamda keyfiliğin önüne geçilmesimaksadıyla gerekli yasal ve idari düzenlemeler yapılarak kurumların veri korumapolitikaları belirlemeleri yasal zorunluluk haline getirilmiştir. Böylecekişilerin kişisel verilerinin keyfi kullanımının önüne geçilerek veriişlemelerinin belirli şarta bağlanması sağlanmıştır.
C. MUHATAP TANIMLAMASI
İşbu aydınlatma ve bilgilendirme metni şirketimizle her hangi bir şekilde ilişkikuran tüm muhataplara kanuni karşılığıyla ilgili kişilere hitabenyapılmaktadır. Bu kapsamdaki ilgili kişiler şunlardır:
· Şirketimizeait kanallarına bağlanan/kullanan tüm kullanıcılar (firmamız internet siteleri ve sosyal paylaşım sitesi adları şunlardır: https://………….. )
· Şirket’inofis, depo ve mağazalarındaki misafir ağına (wifi) bağlananlar
· ŞirketMobil uygulamalarını kullananlar ile şirket tahsisli özel programlarıkullananlar
· Şirketveri tabanında (CRM Sisteminde) yer alan tüm müşteriler
· Şirketmağazalarından ya da internet siteleri kanallarından alışveriş yapan müşteriler
· Şirketmağazalarımızı herhangi bir amaçla ziyaret edenler
· Şirketsosyal medya hesaplarından ŞİRKET ile iletişime geçen (yorum paylaşan, taleptebulunan dahil bunlarla sınırlı olmamak kaydıyla) tüm müşteriler
· Şirketimizledoğrudan veya aracı danışmalık firmaları vasıtasıyla ticari ilişki içine girenüçüncü kişiler
· Şirketçalışanları ve şirketin ortakları
· Şirketimiznezdinde adaylık sürecinde olanlar
· Şirket’inmüşterilerine tanıdığı fırsatlardan yararlanmak amacıyla anket, form doldurantüm müşteriler
· Şirket’eiş başvurusunda bulunmak amacıyla kariyer portallarından, İŞKUR, e-postaaracılığı ile, referans aracılığı ile, fiziki olarak başvuru formu doldurmaksureti ile özgeçmiş gönderen çalışan adaylarımız,
· Halihazırda Şirket bünyesinde çalışmaya devam eden çalışanlar
· Şirketimiznezdinde staj yapan yahut deneme süresi içinde çalışan kişiler
· Herhangibir sebeple iş akdi sona ermiş eski çalışanlar
· Ticarifaaliyetimiz kapsamındaki tüm iş ortaklarımıza ve bunların çalışanlarına
· Yüzyüze, mesafeli, sözlü, yazılı ya da elektronik yolla kişisel verilerini şirket ilepaylaşmış/paylaşacak; doğrudan vermiş/verecek veya şirket tarafından eldeedilmesine olanak sağlamış/sağlayacak olan tüm gerçek kişiler,
· Şirketfaaliyetleri kapsamında tedarikçi ve nakliyeci firmalar,
Yukarıdayer verilen ilgili kişiler haricinde de firmamızla herhangi bir hukuki, insani,ticari yahut sair bir ilişki içerisine giren herkes işbu metnin muhatabıdır.
Şirketimiztarafından sunulan hizmetler kapsamında elde edilen kişisel veriler (online formortamları yahut kasada firmamıza tahsisli … uygulaması üzerinden işlenenveriler) kesinlikle üçüncü kişilerle paylaşılmamakta olup, ilgili kişilereimzalatılan aydınlatılmış rıza metinleri ile yasal yükümlülükler kapsamındasadece ilgili veri işleyenler tarafından gizlilik ve güvenlik politikalarımızçerçevesinde muhafaza edilmektedir. İşin gereği yahut açık rızanın varlığıhallerinde söz konusu bilgileriniz nakliye firması gibi destek saylayıcıfirmalar yahut hizmet sağlayıcılarla gizlilik politikaları kapsamındapaylaşılabilecektir.
D. KİŞİSEL VERİLERİNİŞLENMESİ VE VERİ İŞLENMESİNE HAKİM OLAN TEMEL İLKELER
Kişiselverilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıtsisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yenidendüzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâlegetirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi verilerüzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarakkabul edilmektedir. Kişisel verilerin belirtilen şekilde toplandıktan sonrasilme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçtegerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerinişlenmesi olarak değerlendirilmektedir.
Kişiselverileriniz şirketimiz bünyesindeki ticari faaliyetin, iş yeri düzeni ve genelişleyişin gerekleriyle bağlantılı olarak 4857 sayılı İş Kanunu, 6698 sayılıKişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 5510sayılı Sosyal Sigortalar, Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığıve Güvenliği Kanunu, 6502 sayılı Tüketicinin Korunması Hakkında Kanun ve 29166sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun başta olmak üzere sairkanunlardaki hükümler ve bu hükümler minvalinde çıkarılan sair mevzuatlarkapsamında işlenmektedir. Söz konusu veriler, iş sözleşmesi, ticarisözleşmeler, sair akdi ilişkiler kapsamındaki bilgiler ile tarafın özlükdosyası, tarafınızca sunulan bilgi ve belgeler ile ilgili kurumlardan yasalolarak elde edilen yahut kurumlarca tarafımıza bildirilen bilgi ve belgelerdenelde edilmektedir.
Kişiselverileriniz otomatik ya da otomatik olmayan yollarla, şirketimiz birimleri veofisleri, internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzerivasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir. Çağrımerkezlerimizi veya internet sayfamızı kullandığınızda veya internet sitemizi,sosyal medya mecralarını ziyaret ettiğinizde, kişisel verileriniz oluşturularakve güncellenerek işlenebilecektir.
Sözkonusu veriler veri sorumlusu şirketimiz denetim ve sorumluluğunda veriişleyenler İnsan Kaynağı, Veri Koruma Birimi (DPO), Muhasebe, Bilgi İşlem,Çağrı Merkezi, Destek Hizmetleri ve diğer hizmet birimleri personel veyapersonelleri tarafından münhasır amaçlarıyla sınırlı olarak yasal çerçeveleriçinde işlenmektedir. Yine kurum doktoru ve avukat/avukatları tarafından daişin gereği ve yasal gerekler minvalinde amaçla sınırlı olarak verilerinişlenmesi söz konusu olabilmektedir.
Uluslararasıbelgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişiselverilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kişisel VerilerinKorunması Kanunu’nun 4. Maddesinde kişisel verilerin işlenmesine ilişkin usulve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifineparalel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerinişlenmesinde sayılan genel (temel) ilkeler şunlardır:
• Hukuka ve dürüstlük kurallarınauygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlariçin işlenme,
• İşlendikleri amaçla bağlantılı,sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veyaişlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesineilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı vetüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarakgerçekleştirilmelidir. Yukarıdaki ilkeler merkezinde verilerin korunması içingerekli teknik, hukuki ve idari gerekli tedbirleri almaktayız. Bu bağlamdaşirketimiz bünyesinde gerekli çalışmalar yapılmış olup Kişisel VerilerinKorunması Kurumu Genel Kurulu kararları ve mevzuat değişiklikleri minvalindesöz konusu faaliyetler güncellenmektedir.
E. KİŞİSEL VERİLERİNİŞLENME ŞARTLARI
Kişisel verilerin işlenmesi 6698 sayılı kanunun 3/ebendinde şu şekilde tanımlanmıştır:
‘’Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatikolan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatikolmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasınınengellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,’’
Sözkonusu kişisel veri niteliğindeki bilgilerin ne şekilde işleneceği aynı kanunun5. maddesinde şu şekilde ifade edilmiştir:
‘’Kişisel verilerin işlenme şartları MADDE5-
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızınişlenemez.
(2) Aşağıdakişartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızınkişisel verilerinin işlenmesi mümkündür:
a) Kanunlardaaçıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacakdurumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisininya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunluolması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudandoğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerinişlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerinegetirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmişolması.
e) Bir hakkın tesisi, kullanılması veya korunması içinveri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zararvermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunluolması’’
F. ÖZEL NİTELİKTEKİKİŞİSEL VERİ VE İŞLENME ŞARTLARI
Bazı verilernitelikleri ve doğası gereği diğer kişisel haklara nazaran daha vazgeçilmezniteliktedir. Bu nedenle iş bu hakların korunması ve işlenmesi söz konusu yasakapsamında ayrıca ve sıkı şekil şartlarıyla birlikte düzenlenmiştir. Özelnitelikteki kişisel haklar kanunun 6/1 fıkrasında şu şekilde tanımlanmış vesayılmıştır :
‘’Kişilerinırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğerinançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ilebiyometrik ve genetik verileri özel nitelikli kişisel veridir.’’
Söz konusu hakların neşekilde işlenebileceği ise aynı maddenin diğer fıkralarında şu şekilde ifadeolunmuştur:
‘’(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızınişlenmesi yasaktır.
3) Birinci fıkrada sayılan sağlık ve cinsel hayatdışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açıkrızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişiselveriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis,tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanınınplanlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunankişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızınişlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıcaKurul tarafından belirlenen yeterli önlemlerin alınması şarttır.’’
Siyasi parti, vakıf,dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından,özel nitelikli kişisel verilerden bazılarının işlenebilmesi düzenlenmektedir.Buna göre, bu kuruluş ve oluşumlar, kendi üye ve mensuplarının özel nitelikliverilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyetalanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıylaişleyebileceklerdir. Örneğin, bir siyasi partinin veya sendikanın üyelerineilişkin kimlik ve iletişim bilgilerini, fıkrada belirtilen şartlarla tutması,bu bent kapsamında değerlendirilecektir. Bu kuruluşlar, sadece kendi faaliyetalanlarıyla sınırlı olarak özel nitelikli veri işleyebileceklerdir. Örneğin,bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendikaüyeliğiyle ilgili verileri işleyebilecektir. Buna karşın üyelerin sağlık veyadin ya da mezhebine yönelik kişisel verileri, faaliyet alanıyla ve amacıylailgisi olmaması sebebiyle işleyemeyecektir.
İlgili kişinin kendisi tarafındankamuoyuna açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir.Zira ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafındanbilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadankalktığı kabul edilmektedir.
Özel niteliği olan kişiselverilerin, bir hakkın tesisi, kullanılması veya korunması için işlenmesininzorunlu olması halinde söz konusu veriler rıza olmasa da işlenebilir. Örneğin,bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüdeçalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamdadeğerlendirilecektir. Yine engelli bir kişinin özel tüketim vergisinden muafözel donanımlı araç almak hakkından yararlanabilmesi için, engelliliğineilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve işlenmesi debu bent kapsamında değerlendirilecektir.
G. TALEP EDİLEN KİŞİSELVERİLER VE BUNLARIN İŞLENME AMAÇLARI
İlgilikişilerle akdedilen sözleşmeler, kurulan hukuki ilişkinin yasal gereği olaraktarafların bir birlerine sundukları bilgi ve belgeler, internet ortamında ya dafiziken doldurulan formlar, çağrı merkezi yahut ilgili birim temsilcimizebırakmış olduğunuz bilgiler, çerez politikası kapsamında elde edilen verilerile sair temaslardan elde edilen bilgi ve belgeler başlıca veri kaynaklarıdır.
Şirketimiz internet siteleri şunlardır; https://…………..
Şirket irtibat numaralarımız; 0542 635 20 10
Yinedijital ortamlarda müşterilere ve diğer üçüncü kişilere daha iyi hizmet vermeve lehlerine olacak şekilde indirim ve sair fırsatlardan haberdar etmek içinçerez politikaları uygulanmaktadır. Çerezler: bir web sayfası ziyaret edildiğizaman tarayıcılardaki kullanıcıların depolandığı küçük dosyalardır. Kişilerinweb siteleri üzerinde aradıklarını tarayıcı geçmişinde kayıt tutar. Siteüzerindeki hareketleri tarayıcı kayıtlarında tutarak bir web sitesine izin verir.Cookies 1994 yılında Netscape firması tarafından kullanılmayabaşlanmıştır. İlk kullanım amacı bir kullanıcının girdiği siteye, tekrar giripgirmediğini kontrol etmek içindi. Günümüzde cookies esas amacından fazlasapmadan fakat çok daha fazla bilgi almak için kullanılmaktadır. Hatırlanmamızısağlayan cookies yani çerez ya da kurabiye dediğimiz text dosyalarıdır.Bilgilerimiz bu dosyalara yazıldığında aynı sitelere girdiğimizde bizitanıyarak tekrar bilgilerimizi yazmaya gerek kalmaz. İnternette çeşitli websitelerinde dolaşır, bazılarına üye oluruz. Üye olduğumuz bu sitelere girerkenher seferinde kullanıcı adı ve şifremizi girmemek için beni hatırla ikonunatıklarız. Bu ikona tıkladığımız andan itibaren çerezler devreye girer. Bizeözel text dosyasına bilgilerimiz kaydedilir. Cookies’lerden okunanbilgiler sayesinde, siteyi açtığımız andan itibaren bilgilerimiz siteye ulaşırve bizi tanır. Şirketimiz bünyesinde ayrıca bir çerezpolitikası mevcut olup bu politikalara şu linkten ulaşabilirsiniz; https://…………..
Söz konusu çerez politikası ve sanal ortamlardan elde edilenverileriniz pazarlama ve reklam politikalarının oluşturulması amacıyla sınırlıolarak yasal hükümler çerçevesinde korunacaktır. Yine iş başvuruları, eğitimamaçlı sanal ortamda doldurulan formlar, anketler ve sair bilgi edinme formlarımünhasır amaçlarıyla sınırlı olarak yasal çerçevelerde korunacaktır. İnsanKaynakları politikasının yürütülmesi çerçevesinde söz konusu veriler sadece budepartman bünyesinde bu amaçla ayrıca işlenebilecektir. Formlarda bildirimolması halinde bünyemizdeki başka bir veri işleyen birim tarafından daverilerin değerlendirilmesi söz konusu olabilecektir. Yine müşterilerle girilenhukuki ilişkinin gereği olarak söz konusu veriler kullanılabilecektir. Örneğin,teslimat yapılacaksa ikamet adresi ve kimlik bilgileri bankadan ödemealınacaksa yahut yapılacak müşteri hesap bilgisi, kredi kartı bilgisi gibi.
Talep edilen veriler ilgili kişilerin şirketimizle kurdukları ilişkileregöre çeşitlilik göstermekle birlikte başlık olarak şu şekilde kategorizedilebilir:
| Kimlik Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren sürücü belgesi, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası vb. bilgiler |
| İletişim Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler |
| Aile Bireyleri ve Yakın Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz iş birimleri tarafından yürütülen operasyonlar çerçevesinde, kişisel veri sahibi tarafından Şirketimiz’e bildirilen aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler |
| Güvenlik Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket merkezi, şubeleri, satış ofisleri ile her türlü tesislerine girişte, bu yerler içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar vb. |
| Mali Bilgi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz’in kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü mali bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler |
| Görsel/İşitsel Bilgi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fotoğraf ve kamera kayıtları (Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
| Özlük Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri |
| Özel Nitelikli Kişisel Veri | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi) |
| Talep/Şikâyet Yönetimi Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
| Diğer |
|
Kişisel verilerin işlenme şartları iseKanunun 5. maddesinde sayılmış olup, buna göre aşağıdaki hallerden en azbirinin bulunması durumunda kişisel verilerin işlenmesi mümkündür:
• İlgili kişinin açık rızasının varlığı,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık nedeniyle rızasınıaçıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayankişinin kendisinin ya da bir başkasının 1 hayatı veya beden bütünlüğününkorunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyladoğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişiselverilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünüyerine getirebilmesi için zorunlu olması, • İlgili kişinin kendisi tarafındanalenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veyakorunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerinezarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veriişlenmesinin zorunlu olması.
Kişisel verilerin işlenme şartları, yanihukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiş olup, bu şartlargenişletilemez.
Özel nitelikteki kişisel veriler ise ancak ilgili kişinin rızasıylaişlenebilir. Yine bunun yanında sağlık ve cinsel hayata ilişkin verilerdışındaki özel nitelikteki kişisel veriler rıza şartı aranmaksızın kanunişartlar kapsamında işlenebilir ( KVKK 6/2) . Sağlıkve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması,koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sırsaklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlartarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Yukarıda bahsedildiği şekilde elde edilenbilgi ve belgeler şirketimiz nezdinde korunacak olup korunma ve tutulmaşekilleri aşağıdaki gibidir:
| Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
| Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.) Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.) Yazıcı, tarayıcı, fotokopi makinesi
|
Kağıt Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) Yazılı, basılı, görsel ortamlar
|
Kanunun 3 üncü maddesinde kişiselverilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişiselverinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgilimevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafazaedilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişiselverilerin işleme şartları sayılmıştır.
Buna göre, Kurumumuz faaliyetleriçerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işlemeamaçlarımıza uygun süre kadar saklanır.
Saklamayı Gerektiren Hukuki Sebepler
Kurumda, faaliyetleri çerçevesinde işlenenkişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bukapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 4734 sayılı Kamu İhale Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 5018 sayılı Kamu Mali Yönetimi Kanunu,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 4857 sayılı İş Kanunu,
- 5434 sayılı Emekli Sağlığı Kanunu,
- 6102 sayılı Türk Ticaret Kanunu
- 6502 sayılı Tüketicinin Korunması Hakkında Kanun
- 29166 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
Bu kanunlar ve yürürlükte olan diğer ikincildüzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekteolduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
- İnsan kaynakları süreçlerini yürütmek.
- Şirket içi iletişimi sağlamak.
- Şirket ve şirket çalışanları ile üçüncü kişi konum undakilerin güvenliğini sağlamak,
- İstatistiksel çalışmalar yapabilmek.
- Kurum içi etkinlik yönetimini sağlamak
- İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi
- Talep ve şikayet yönetimi
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
- Kişisel Verilerin Korunması Hakkında Kanun ve Kurul kararı doğrultusunda VERBİS sistemi için gerekli bilgi ve belgeleri temin edip Kuruma bildirmek
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
- Şirketin üretim ve ticari politikaları kapsamında işlemleri yürütmek.
- Yasal raporlamalar yapmak.
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
Yukarıdaki mevzuat hükümleri ve sözleşmegerekleri kapsamında elde edilen veriler veri sorumlusunun gözetimindegizlilikleri korunarak yasal süreler içerisinde veri işleyenler tarafındankorunacaktır. Şirketimiz veri işleyenleri şunlardır:
· Şirketimiz muhasebe departmanı/birimi
· Şirketimiz insan kaynakları departmanı/birimi
· Şirketimiz disiplin kurulu
· Şirketimiz Kişisel Verilerin Korunmasından Sorumlu kişiler
· Şirketimiz irtibat kişisi (bu kişi aynı zamanda kişisel verilerinkorunmasından sorumlu kişidir)
· İşe alımlarda ve şirket içi yetkilendirme ile işçi görüşmelerinde idaripersonel
· Şirket doktoru
· Performans değerlendirmeleri bakımından birim şefleri
· Şirket avukatları
· Mali müşavirler
· Özel hizmet sağlayıcıları
Söz konusu işin niteliğine göre başkakişilerde veri işleyen olarak halin ve işin icabı gereği bu statüye girebilir.Her kim veri işleyen sıfatını almış ise ilgili mevzuat gereği veri güvenliğinisağlamaya çalışacak olup söz konusu verileri amaçla sınırlı olarakkullanacaktır. Örneğin, sağlık kayıtlarımuhasebe birimi tarafından incelenmeyecektir.
Kişisel veriler veri işleyenler tarafındanherkesin ulaşamayacağı yerde sadece işleyen kişiye tahsisli anahtarla kilitliolarak muhafaza edilecektir. Söz konusu verilerin güvenlikleri 24 saat usulüçalışan kameralarla sağlanacaktır.
Söz konusu verilerin dijital ortamlardaişlenmesi halinde özel kilitli doyalar içinde tutulacak olup söz konusu dijitalortamın güvenliği sağlanmakla birlikte dosya şifreleri sadece işleyenleretahsisli olacaktır.
H. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ VE İMHALARI
Şirketimiz bünyesinde verilerin imhası içinyılın Ocak ve Temmuz ayları imha dönemleri olarak belirlenmiştir. İlgilikişilerden elde edilen kişisel veriler saklama sürelerinin bitiminden itibarentakip eden imha dönemi içinde şirket bünyesindeki verilerin korunmasındansorumlu personel/personeller tarafından silinecek, yok edilecek veya anonimhale getirilecektir. İmha işlemine ilişkin tutanaklar bağımsız bir yerde şirketbünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından 3(üç) yıl süreyle tutulacaktır. Üç yıl sonra söz konusu tutanaklarda imhaedilecektir. İmha işlemine ilişkin 28 Ekim 2017 tarih ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi VeyaAnonim Hale Getirilmesi Hakkında Yönetmelik ile 6698 sayılı Kişisel VerilerinKorunması Kanunu hükümleri esas alınacaktır.
I. KİŞİSELVERİLERİN AKTARILMASI
Kişisel verilerin ülke sınırları içinde neşekilde ve ne şartlar altında üçüncü kişilere aktarılacağı Kişisel VerilerinKorunması Kanunu’nun 8.maddesi kapsamında düzenlenmiştir. İş bu maddeye göreancak kişilerin açık rızalarının olması halinde kişisel verilerin aktarılmasımümkündür. Ancak yine aynı kanun maddesinde 5.ve 6. madde kapsamındakişartların olması halinde açık rıza olmaksızın da kişisel verilerin aktarılabileceğinikaleme alınmıştır. Söz konusu kanun maddelerinin birlikte yorumlanmasındançıkan sonuç;
- İlgili kişinin açık rızasının alınması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde kişisel verilerin aktarılabilmesi mümkündür.
Özel nitelikteki kişisel verilerinaktarılabilmesi için ise;
- İlgili kişinin açık rızasının alınması halinde,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından özel nitelikteki kişisel veriler üçüncü kişilere aktarılabilir.
Kişisel verilerin yalnızca gerçek kişilereait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçekhem de tüzel kişi olabilmektedir. Kişisel veriler üzerinde işlem gerçekleştirenher türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerinegöre ya veri sorumlusu ya da veri işleyendir. Bu bağlamda, söz konusu ikikategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı içinde Kanunun 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.
Kişisel verilerin şirketimiz faaliyet kapsamıve ticari menfaatleri kapsamında kişisel verileri yurt dışındaki kamu ve özeltüzel kişilere yasal şartlar minvalinde aktarması mümkündür. Kanun’un 9.maddesine göre, yurt dışına veri aktarımı;
• İlgili kişinin açık rızasının bulunması,
• Kanun’da belirtilen hallerin varlığında(Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilenşartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafındangüvenli kabul edilen ülkeler),
• Kanun’da belirtilen hallerin varlığında(Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilenşartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurultarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un iznininbulunması durumlarında gerçekleştirilebilir.
Veri sorumlusu olarak, üçüncü kişilerintalepleri doğrultusunda menfaatlerinin sağlanması, şirket amaçlarınıngerektirmesi, kamu kurumlarına karşı yükümlülüklerin yerine getirilmesi, kanuniyükümlülüklerin ifası ve diğer maksatlar doğrultusunda yukarıdaki şartlarınvarlığıyla birlikte kişisel verilerin ve özel nitelikteki kişisel verilerinüçüncü kişilere aktarılabilmesi mümkündür. Söz konusu veriler şirketimiz ilgilipersoneli, bağlantılı şirketlerimiz, doğrudan / dolaylı yurt içi / yurt dışıiştiraklerimiz, hizmet aldığımız kuruluşlar, kullandığımızyurt içi ve yurt dışı server (sunucular), bulut hizmeti aldığımız yurt içi/yurtdışı kurumlar, veri sorumlusu adına veri işleyen, ölçümleme, hedefleme,profilleme desteği veren kişi ve kuruluşlar, denetim şirketleri iş ve çözümortakları, tedarikçiler, kamu ve özel tüzel kişilikleriyle paylaşılabilecektir.
Kişisel veri kategorilerine göreilgili veri işleyenlerin listesi aşağıdaki gibidir;
| Kimlik Bilgisi | Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
| İletişim Bilgisi | Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
| Lokasyon Verisi | Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları |
| İşlem Güvenliği Bilgisi | Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
| Aile Bireyleri ve Yakın Bilgisi | Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları, Şirket İş Ortakları |
| Fiziksel Mekan Güvenlik Bilgisi | Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
| Finansal Bilgi | Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
| Görsel/İşitsel Bilgi | Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
| Özlük Bilgisi | Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları |
| Hukuki İşlem Bilgisi | Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
| Özel Nitelikli Kişisel Veri | Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
| Talep/Şikayet Yönetimi Bilgisi | Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
GÜNCELLEME VE UYUM
Şirket, Kanun’da yapılan değişikliklernedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişimalanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı veilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.
İşbu Politika’da yapılan değişiklikler derhalmetne işlenir ve değişikliklere ilişkin açıklamalarPolitika’nın sonunda açıklanır.
BuPolitika BEŞYILDIZİLETİŞİM SİSTEMLERİ ELEKTRONİK TİCARET VE SANAYİ LİMİTED ŞİRKETİ İcra Komitesitarafından 1/1/2021 tarihinde onaylanmıştır. Bu tarih itibariyle geçerli vebağlayıcı olacaktır.
