KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
GİRİŞ
Kişisel verilerin korunması, Stem Sağlık Ürünleri Kozmetik San. ve Tic. Ltd. Şti. ( “Şirket”) için büyük hassasiyet arz etmekte olup, şirketimizin öncelikleri arasında yer almaktadır. Şirket olarak, özel hayatın gizliliğinin temeli olan kişisel verilerin korunması ve işlenmesini sadece mevzuata uyum sağlamak doğrultusunda değerlendirmiyor, yaklaşımımızın temeline insana ve insani değerlere bakışımızı da ortaya koyuyoruz. Bu bilinçle şirket olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) kapsamında, kişisel verilerin korunması ve işlenmesi için tüm idari ve teknik tedbirleri eksiksiz olarak alıyoruz. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile Şirket tarafından hukuka ve amaca uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, Şirket tarafından hangi verilerin kişisel veri olduğu, hangi kişisel verilerin saklandığı, kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirler ile kişisel verilerin işlenmesinde, muhafaza edilmesinde, kişisel veri sahiplerinin aydınlatılması ve bilgilendirilmesinde, üçüncü kişilere aktarılması ve korunmasına ilişkin detaylı açıklamalarda bulunmak, ilgili kişilerin bilgilendirilmesi ve bu kapsamda şeffaflığı ve denetime elverişliliği sağlamak amacıyla hazırlanmıştır.
İçindekiler Tablosu
- GENEL AÇIKLAMA… 3
- KİŞİSEL VERİLERİN İŞLENMESİ. 4
- ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ 6
- KİŞİSEL VERİLERİN VE ÖZEL NİTELİKTE KİŞİSEL VERİLERİN AKTARILMASI. 17
- KİŞİSEL VERİLERİNİZİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI. 21
- KİŞİSEL VERİLERE İLİŞKİN HAKLAR VE YÜKÜMLÜLÜKLER… 24
- KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER… 28
- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ. 32
- KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ. 35
- KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ VE İMHASINDAN SORUMLU BİRİMİMİZ.. 36
- KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KAPSAMINDA ŞİRKET İÇİ VERİ KORUMA KURULU 36
Şirket bünyesinde kişisel veri işleyen ve saklayan aşağıdaki varlıklar ve bu varlıklara ilişkin tüm süreçler bu Politika kapsamındadır;
- Kişisel veri içeren bütün basılı veya yazılı belgeler, dokümanlar, dosyalar
- Kişisel veri içeren bütün veri tabanları
Bu kapsamda; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, ilgili kişilerin rızası ile toplanan kişisel verilerine ilişkindir. İstatistiki değerlendirmeler veya çalışmalar için elde edilen kişisel veri içermeyen veriler gibi anonim hale gelmiş ve tanımlanamayan veriler ile tüzel kişilere ilişkin veriler kişisel veri olarak kabul edilmemekte olup, işbu Politika’ya tabi değildir. İşbu Politika, Şirket’in ve kontrolü altındaki iştiraklerinin gerçek kişi müşterileri ile Şirket ve kontrolü altındaki iştirakleri ile belirli bir çerçeve sözleşmesi olmayan diğer gerçek kişilere de uygulanmaktadır. Bu Politikada yer alan Şirket ifadeleri kurum ve kontrolü altındaki iştiraklerini de kapsayacaktır.
Yukarıda belirtilen kişisel veri sahipleri gruplarına ilişkin işbu Politika’nın uygulama kapsamı Politika’nın tamamı olabileceği gibi yalnızca bir kısım hükümleri de olabilecektir.
İşbu Politika, Şirket tarafından otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, kişisel verileri işlenen gerçek kişilere yönelik olmakla birlikte, Şirket çalışanlarının kişisel verilerinin korunmasına ilişkin hususları da düzenlenmektedir
- Politika’nın ve İlgili Mevzuatın Uygulanması
Başta KVK Kanunu olmak üzere, kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirket yürürlükteki mevzuatı uygulayacağını kabul etmektedir.
Şirket olarak, KVK Kanunu uyarınca işlenen kişisel verilerin korunması için gereken idari ve teknik tedbirleri almaktayız.
Kişisel verilerin işlenmesinde (i) Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme, (ii) kişisel verileri doğru ve gerektiğinde güncel tutma, (iii) Kişisel verileri belirli, açık ve meşru amaçlar için işleme, (iv) Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme, (v) Kişisel verileri ilgili mevzuatta öngörülen veya işledikleri amaç için gerekli olan süre kadar muhafaza etme, (vi) Kişisel veri sahiplerini aydınlatma ve bilgilendirme, (vii) Kişisel veri sahiplerinin haklarını kullanması için gerekli teknik ve idari alt yapıyı oluşturma, (viii) Kişisel verilerin muhafazasında gerekli teknik ve idari tedbirleri alma, (ix) Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve Kişisel Verileri Koruma Kurulu’nun düzenlemelerine uygun davranma, (x) Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme ilkelerini benimsemekteyiz.
Bu kapsamda, işbu Politika, ilgili mevzuat tarafından ortaya konulan kuralların Şirket uygulamaları kapsamında somutlaştırılarak düzenlenmesinden ibarettir.
- Politika’nın Yürürlüğü
İşbu Politika, Şirket tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Şirket, yasal düzenlemelere paralel olarak işbu Politika’ da değişiklik yapma hakkını saklı tutar.
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır. Şirket’in kişisel veri işleme faaliyeti, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar. Şirket, hizmetlerinin kullanıldığı süre boyunca ve ilişkinin sona ermesinin ardından da aşağıda yer verilen ilkelere uymak suretiyle, bir veri sahibinin bilgilerini işleme hakkına sahiptir. Şirket, aşağıda belirtilenler dahil olmak ancak bununla sınırlı olmamak üzere, veri sahibinin veya veri sahibi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir:
- Şirket, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar nezdinde farkındalıklarını arttırmaktadır.
- Şirket’in veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu kurumun tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri işleyen kurumlara, veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde yükletilmektedir.
- Şirket, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
- Şirket, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
- Şirket, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.
Şirket, tarafından yapılan kişisel veri işleme faaliyeti, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar. Diğer bir ifadeyle, kişisel veri işleme faaliyeti; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla veri sahibi veya üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, ses kaydı alınması, video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanması, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi anlamına gelmektedir.
- ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
- Kişisel Verilerin Kategorizasyonu
Şirket nezdinde; Şirket’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle (çalışan adaylarımız, , işbirliği içinde olduğumuz kurumların çalışanları ve yetkilileri, müşterilerimiz, potansiyel müşterilerimiz, üyelerimiz, diğer üçüncü kişiler) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, KVK Kanunu’nun 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir:
- Kişisel Veri Sahipleri
Kişisel Veri Sahibi Kategorisi | Açıklaması |
Çalışan Adayları | Şirket’ e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler. |
İş birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri | Şirket’in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler. |
Müşteriler | Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın şirketimizin sunmuş olduğu ürün ve hizmetleri satın alan gerçek kişiler. |
Potansiyel Müşteriler | Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişilerdir. |
Üçüncü Kişiler | Bu politika ve Şirket Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına girmeyen diğer gerçek kişiler (Örneğin; uzmanlar, doktorlar, eğitmenler, modeller, kiraya veren gayrimenkul malikleri, kefil, refakatçi, çalışan aile bireyleri ve yakınlar, eski çalışanlar) |
- Kişisel Veri Kategorizasyonu ve İlgili Veri Sahipleri
KİŞİSEL VERİ KATEGORİZASYONU | KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA | KİŞİSEL VERİ SAHİBİ KATEGORİZASYONU |
Kimlik Bilgisi | Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum tarihi, doğum yeri, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, t v.b. bilgiler | Çalışan Adaylarımız, Çalışanlar, İş birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Müşterilerimiz, Potansiyel Müşterilerimiz, ve Diğer Üçüncü Kişiler |
İletişim Bilgisi | Telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler | Çalışan Adaylarımız, Çalışanlar, İş birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Müşterilerimiz, Potansiyel Müşterilerimiz, Üyelerimiz ve Diğer Üçüncü Kişiler |
Müşteri ve Üye Bilgisi | Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, Doğum Tarihi, Cinsiyet, Çocuk Bilgisi, Çocuk Doğum Tarihi, Kredi Kartı ve/veya Banka Kartı Bilgileri, Pasaport Numarası, Telefon Numarası, E-Mail Adresi, Tebligat Adresi | Müşterilerimiz, |
Aile Bireyleri ve Yakın Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Şirket’in ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (ör: eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler | Çalışan Adayları, Çalışanalar ve diğer Üçüncü Kişileri |
Finansal Bilgi | Şirket’in kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler | Çalışanlar, İş birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Müşterilerimiz, Diğer Üçüncü Kişiler |
Görsel/İşitsel Bilgi | Her türlü fotoğraf ve kamera kayıtları,ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler | Çalışan Adaylarımız, Çalışanalrar, İş birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Müşterilerimiz, Potansiyel Müşterilerimiz, Üyelerimiz ve Diğer Üçüncü Kişiler |
Özlük Bilgisi | Özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri (Özgeçmiş, vb.) | Çalışan Adaylarımız ve Çalışanalar |
Özel Nitelikli Kişisel Veri | Reçete bilgisi, doktor raporu, tahlil ve radyoloji sonuçları, sağlık raporu, kan grubu, genetik verisi, vb. gibi her türlü sağlık verisi ile din, üye olunan dernek verisi, vb. | Çalışan Adaylarımız, Çalışanalar, Şirket Hissedarları, Şirket Yetkilileri, İş birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Müşterilerimiz, ve Diğer Üçüncü Kişiler |
Talep/Şikâyet Yönetimi Bilgisi | Şirket’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler | Çalışan Adaylarımız, Çalışanalar Müşterilerimiz, Potansiyel Müşterilerimiz, ve Diğer Üçüncü Kişiler |
Hukuki İşlem Bilgisi | Şirket’in hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlükleri kapsamında işlenen veriler ile müşterilerin hak ve menfaatlerinin korunması yönünden Şirket’ten talep edilmesi muhtemel veriler ile yargı mercileri, hakem heyetleri vb. vasıtasıyla bildirilen veriler ve kanuni yükümlülüklerin | Çalışan Adaylarımız, Çalışanalar, İş birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Müşterilerimiz, Potansiyel Müşterilerimiz, Web Sitesi Ziyaretçileri, ve Diğer Üçüncü Kişiler |
- Kişisel Verilerin İşlenme İlkeleri
KVK Kanunu’nun 5. maddesi uyarınca kişisel veriler ancak KVK Kanunu ve diğer ilgili yasal mevzuatta öngörülen usul ve esaslara uygun olarak işlenebilir. Şirket olarak gerek KVK Kanunu gerekse ilgili diğer yasal mevzuat kapsamında belirtilen usul ve ilkelere uygun olarak kişisel veriler işlenmekte olup; KVK Kanunu kapsamında, kişisel verilerin işlenmesinde aşağıda yer alan ilkelere uyulması gerektiği açıkça düzenlenmiştir.
- Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi
Şirket; kişisel verilerin işlenmesi faaliyetini Türkiye Cumhuriyeti Anayasası ile KVK Kanunu ve ilgili diğer yasal mevzuat başta olmak üzere hukuksal düzenlemelere ve güven ilişkisi esas olmak üzere dürüstlük kuralına uygun olarak yürütmektedir.
- İşlenen Kişisel Verilerin Doğruluğunu ve Güncel Olmasını Sağlama
Şirket; kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve süreçleri kurgulamış bulunmaktadır. Bu kapsamda, Şirket, kişisel veri sahiplerinin kişisel verilerini düzeltme ve doğruluğunu teyit etmeleri amacı ile gerekli önlemleri almaktadır.
- Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi
Şirket, KVK Kanunu’nun 10. maddesinde yer alan aydınlatma yükümlülüğü kapsamında, kişisel verilerin işlenmesi faaliyetine başlamadan önce kişisel veri işleme amacını açık ve kesin olarak belirleyerek ortaya koymakta, açık ve hukuka uygun amaçlar dahilinde işlemektedir.
- Kişisel Verilerin Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi
Şirket, kişisel verileri, işleme faaliyetine başlamadan önce belirlediği ve sunduğu hizmetin gerçekleştirilebilmesi amacı ile bağlantılı olarak ve gerektiği ölçüde işlemektedir. Şirket, amacın gerçekleştirilmesiyle ilgili olmayan veya ileride ihtiyaç duyulması varsayımı ile kişisel veri işleme faaliyeti yürütmemektedir. Kişisel verilerin işlenmesi Şirket’in faaliyetleri ve yasal yükümlülükler ile sınırlıdır.
- Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi
Şirket, kişisel verileri, KVK Kanunu ve ilgili yasal mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda, Şirket kişisel verileri, ilgili mevzuatta bir süre öngörülmüş ise bu süre ile sınırlı olarak, bir süre öngörülmemişse işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Şirket, ileride kullanma ihtimali ile kişisel veri saklamamaktadır. Şirket, sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.
- Kişisel Verilerin İşlenme Şartları
Şirket KVK Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak açık rızanız ile kişisel verileri işlemektedir.
Aşağıdaki koşullar dahilinde kişisel verileriniz açık rızanız olmaksızın işlenebilecektir.
- Kişisel verilerinizin işlenmesine ilişkin Şirket’in ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi,
- Kişisel verilerinizin Şirket tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerinizin işlenmesinin Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından işlenmesi,
- Kişisel verilerinizin Şirket tarafından işlenmesinin Şirket’in veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
- Şirket tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağılığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından islenmesidir.
- Kişisel Verilerin İşlenme Amaçları
Şirket, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir:
- Şirket iç operasyonlarının, iş faaliyetlerinin yürütülmesi ve Şirket operasyonlarının güvenliğinin temin edilmesi, iş faaliyetlerinin etkinlik, verimlilik, yerindelik analizlerinin gerçekleştirilmesi için gerekli faaliyetlerinin yürütülmesi,
- Strateji planlama faaliyetlerinin ve İş Ortakları veya Tedarikçilerle olan ilişkilerin yönetimi ve icrası,
- Üretim ve/veya operasyon süreçlerinin yürütülmesi,
- İş sürekliliğinin sağlanması ve kurumsal yönetim ve sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
- Etkinlik yönetimi,
- Şirket personel temin (işe alım) süreçlerinin yürütülmesi,
- Satın alma faaliyetlerinin planlanması, değerlendirilmesi ve takibi,
- Şirket hukuk işlerinin icrası/takibi,
- Hukuksal, teknik ve idari sonucu olan faaliyetlerin yürütülmesi ve yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuksal taleplere ilişkin faaliyetler ile hukuki işlerin yürütülmesi,
- Verilerin doğru ve güncel tutulması,
- Veri sahibinin şikâyeti, soru, talep ve önerilerinin toplanması, değerlendirilmesi ve karşılanması,
- Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,
- Müşteri memnuniyeti aktivitelerinin planlanması ve/veya icrası,
- Müşterilerle akdedilen sözleşmelerin gereğinin yerine getirilmesi,
- Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icrası,
- Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
- Mevzuata uyum,
- Talep ve şikâyet yönetimi,
- İlgililerin olası hak ve alacak taleplerinin tesisi,
- Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi
- Bilgi güvenliği süreçleri ile bilgi teknoloji alt yapısına ilişkin faaliyetlerin yürütülmesi,
- Acil durum yönetimi süreçlerinin planlanması ve icrası, iş sağlığı ve/veya güvenliği süreçlerinin yürütülmesi,
- Çeşitli raporların, araştırmaların ve/veya sunumların hazırlanması ve sunulması;
- Pazarlama ve satış faaliyetlerinin yürütülmesi,
- KİŞİSEL VERİLERİNİZİN TOPLANMA YÖNTEMİ
İşbu Politika kapsamında kişisel verileri işlenen kişilerin kişisel verileri, Şirketimiz/ internet sitemiz/ / ortak veya tedarikçi firmalar, ve bunlarla sınırlı olmamak üzere her türlü kanallar aracılığıyla, yazılı veya elektronik ortamda elektronik posta (e-posta), kısa mesaj (sms), çevrimiçi veya fiziki başvuru formu, teklifler, iletişim formu, vb. formlar, sosyal medya mecraları, ses kaydı, video ve kamera kaydı yöntemleriyle önceden belirlenen ve işbu Politika’da açıklanan amaçlar kapsamında toplanmaktadır.
–Doğrudan Tarafımıza Vermiş Olduğunuz Veriler: Bu kişisel veriler, doğrudan çalışan adaylarımız, çalışanlarımız, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, müşterilerimiz, potansiyel müşterilerimiz, üyelerimiz ve diğer üçüncü kişiler tarafından Şirket’e verilen tüm kişisel verileri kapsar. Örneğin, ad-soyad, iletişim bilgileri, kimlik bilgileri, anketlere verilen cevaplar, demografik veriler ve içerik bilgileri bu tür verilere girmektedir.
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVK Kanunu kapsamında öngörülen koşullardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından açık rızanız usul ve yasaya uygun olarak temin edilmektedir. Yukarıda yazılı koşullardan herhangi birinin varlığı halinde açık rızanız olmaksızın verileriniz diğer ilkelere riayet edilmek suretiyle işlenebilmektedir.
Bunun yanı sıra Şirket’in en çok kişisel veri topladığı veri sahibi kategorisi olan Çalışan Aday’larının işe alım sürecinde Şirket tarafından toplanan kişisel veriler ile işin niteliğine göre toplanan özel nitelikli kişisel veriler aşağıda açıklanan amaçlar kapsamında işlemektedir:
- Çalışan Adayının niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek,
- Üçüncü kişiler ile iletişime geçerek Çalışan Adayı hakkında araştırma yapmak,
- Başvuru ve işe alım süreci hakkında Çalışan Adayı ile iletişime geçmek,
- Sonradan pozisyon açılması durumunda Çalışan Adayı ile iletişime geçmek,
- İlgili mevzuatın gereklerini ve/veya yetkili kurum ve kuruluşların taleplerini karşılamak.
Bu kapsamda, Çalışan Adaylarının (i) yazılı veya elektronik ortamda yayınlanan dijital başvuru formu, (ii) Şirket’e e-posta, kargo, referans vb. yollarla ulaştırdıkları özgeçmişler ve (iii) istihdam ve kariyer sitesileri aracılığı, (iv) yüz yüze yapılan mülakatlar sırasında, (v) işe alım sürecinde, (vi) işe alım sonrası önceden belirlenen bir amaç kapsamında toplanmaktadır.
Çalışan Adayları diledikleri takdirde Veri Sahibi olmalarından kaynaklanan ve Kanun’dan doğan hakları ile ilgili taleplerini işbu Politika’da açıklanan başvuru yöntemi ile iletebilirler.
- Kişisel Verilerin Saklanma Süreleri
Şirket, Kişisel Verileri, ilgili mevzuata ve dürüstlük kuralının gereklerine uygun olarak işlenir ve bu sınırlar içerisinde kullanılır. Bu kapsamda, Şirket kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
Şirketimiz, Kişisel Veri Sahiplerinin temel haklarını ve meşru menfaatlerini dikkate alarak işlediği Kişisel Verilerin doğru ve güncel olmasını sağlar. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususları özenle dikkate alır.
Şirket, veri işleme amacını açık ve kesin olarak belirler ve bu amacın meşru olmasını sağlar. Amacın meşru olması, Şirket’in işlediği Kişisel Verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir. Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
Şirket, işlenen Kişisel Verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını sağlar ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verilerin işlenmesinden kaçınır. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlemek için, işlemeye ilk kez başlıyor gibi, Kanun’da düzenlenmiş olan Kişisel Verilerin işlenme şartlarını gerçekleştirir. Ayrıca işlenen veriyi, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
Şirket, ilgili yasal mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda Kişisel Verileri, ancak işlendikleri amaç için gerekli olan süreye kadar muhafaza eder. Bu süre Şirket tarafından tayin edilir. Şirketimiz tarafından bir Kişisel Verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, söz konusu veri silinir, yok edilir veya anonim hale getirilir.
KVK Kanunu ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Tanımlar kısmında da belirtildiği üzere, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Özel Nitelikli Kişisel Veridir.
Şirketimiz tarafından Özel Nitelikli kişisel Verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınır, bu sebeple hukuka uygun olarak işlenen bu tür kişisel verilerin korunması için gerekli tüm tedbirler hassasiyetle alınır.
Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Şirket hukuka uygun olan alınan işlenen kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak, veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket, bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Şirket, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda ve bazı durumlarda veri güvenliğini artırmak amacıyla aşağıda sayılan KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
- Kişisel veri sahibinin açık rızası var ise,
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
Ayrıca, Şirket, kanuni zorunluluk halleri ayrı kalmak şartıyla, kişisel veri sahibinin açık rızasını alarak aşağıdaki hallerde kişisel verileri üçüncü kişilere aktarabilmektedir:
- Üyelik Sözleşmesi ve Hizmetler’in ifası,
- Hizmetlerin geliştirilmesi,
- Operasyonel değerlendirme araştırılmasının icrası,
- Satış ve pazarlama faaliyetleri için,
- Şirket tarafından sunulan ürün ve hizmetlerden faydalanılması için gerekli çalışmaların iş birimleri tarafından yapılması, Şirket tarafından sunulan ürün ve hizmetlerin müşterilerin beğeni ve ihtiyaçlarına göre özelleştirilerek önerilmesi,
- Şirket ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini (Şirket tarafından yürütülen iletişime yönelik idari operasyonlar, iş ortağı/müşteri/tedarikçi yetkili veya çalışanları değerlendirme süreçleri, hukuki uyum süreci, denetim, mali işler vb.),
- Şirket’in ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile kurumun insan kaynakları politikalarının yürütülmesinin temini,
- işbu Gizlilik Politikasında yer alan amaçlardan herhangi birisini gerçekleştirebilmek amacıyla: (i) bakanlıklar, yargı mercileri ile benzeri yetkili kamu kurum ve kuruluşları, (ii) dış kaynak hizmet sağlayıcılar, (iii) kargo şirketleri, (iv) danışmanlık şirketleri,
- Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul tarafından yayınlanan yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
- Kişisel Verilerin Yurtdışına Aktarılması
Şirket, Kişisel Veri işleme amaçları doğrultusunda veri güvenliğini sağlamak ve diğer meşru amaçları dahilinde, gerekli güvenlik önlemleri alarak Kişisel Veri Sahiplerinin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini yurt dışındaki üçüncü kişilere aktarabilir.
Şirket tarafından Kişisel Veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere aktarabilir. Şirket, bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Şirket, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
4.3.1 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.
Özel nitelikli kişisel veriler, e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi yönünde gerekli önlem ve tedbirler alınmaktadır.
Şirket, KVK Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.
Şirket, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
- Şirket İş Ortaklarına,
- Şirket Tedarikçilerine,
- Şirket yetkililerine,
- Hukuken Yetkili kamu kurum ve kuruluşlarına,
- Hukuken yetkili özel hukuk kişilerine,
- Veri aktarım şartlarına uygun olarak diğer üçüncü kişilere.
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
VERİ AKTARIMI YAPABİLECEK KİŞİLER | TANIMI | VERİ AKTARIM AMACI |
İş Ortağı | Şirket’in ticari faaliyetlerini yürütürken bizzat muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak (ör: kargo şirketler, ajanslar, sunucu desteği ve bulut bilişim hizmetini veren şirketler, IT desteği veren, trafik / müşteri memnuniyeti ölçümleme, profilleme ve segmenyasyon desteği veren, satış ve pazarlama alanında sms, mailing, arşivleme başta olmak üzere kişisel verilerin işlenmesi gereken konularda destek veren, Alt yapı sağlayıcılarına, hizmet alınan lojistik, çağrı merkezi ve danışman vb. gibi çözüm ortaklarına ve bu alanda hizmet veren firmalar, vb.) |
Tedarikçi | Şirket’in ticari faaliyetlerini yürütürken Şirket’in emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan tarafları tanımlamaktadır. | Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak. |
Şirket Yetkilileri | İlgili mevzuat hükümlerine göre Şirket’den bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili mevzuat hükümlerine göre Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirket’den bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri | İlgili mevzuat hükümlerine göre Şirket’den bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak (ör: Hukuk büroları, denetim firmaları, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik uyarınca kimlik doğrulaması gerçekleştirilmesi amacıyla ödeme kuruluşları) |
- KİŞİSEL VERİLERE İLİŞKİN HAKLAR VE YÜKÜMLÜLÜKLER
- Kişisel Veri Sahiplerinin Şirket Tarafından Aydınlatılması Yükümlülüğü
Şirket, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Şirket” bu kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun 11. maddelerine uygun olarak Kişisel Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
- Kişisel Veri Sahibinin Hakları ve Başvuru Yöntemi
Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmeleri durumunda talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Şirket tarafından KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Bu ücret konusunda da ivedi olarak ilgililerine bilgilendirme yapılacaktır.
Kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp, kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasın rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Kişisel Veri Sahipleri KVK Kanunu madde 11’de sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Şirket’e ücretsiz olarak iletebileceklerdir:
https://stemturk.com.tr/ adresinde bulunan başvuru formunu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile İçerenköy Mah. Merkez Camii Sok. İçerenköy İş Merkezi No:15-17 Kat:5 Ataşehir/İstanbul, adresine iletilmesi,
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
- Kişisel Veri Sahibinin Hakları Dışında Kalan Haller
KVK Kanunu’nun 28. maddesi gereğince; aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda işbu Politika’nın 6.2 maddesinde sayılan haklarını ileri süremezler. Bu haller,
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, işbu Politika’nın 6.2. maddesinde sayılan diğer haklarını ileri süremezler:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
- Veri Sahibinin Başvurularına Cevap Verilmesi Hakkında Usul Ve Esaslar
Şirket’e yalnızca Şirket’in KVK Kanunu kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Bu durum, Şirket’in doğrudan ilgili kişiden kişisel veri topladığı KVK Kanunu kapsamında veri sorumlusundan veri sorumlusuna veri transferi sayıldığı durumlarda mevcut olabilmektedir.
- Şirket’in Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, işbu Politika’nın 6.2. maddesinde yer alan usule uygun olarak talebini Şirket’e iletmesi durumunda Şirket talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Şirket tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
- Şirket’in Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirket, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
- Şirket’in Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Şirket, KVK Kanunu’nun 28. Maddesinde bahsedilen haller ve aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
- Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
- Orantısız çaba gerektiren taleplerde bulunulmuş olması.
- Talep edilen bilginin kamuya açık bir bilgi olması.
- Kişisel Veri Sahibinin Kvk Kurulu’na Şikâyette Bulunma Hakkı
Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirket’in cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
- KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
Şirket olarak, verilerin hukuka uygun şekilde işlenmesi, işlenen verilerin saklanması ve bu verilerin hukuka aykırı erişimlere karşı korunması yönünden KVK Kanunu’nun 12. maddesi’ne uygun olarak teknik ve idari tedbirler eksiksiz olarak alınmaktadır.
- Kişisel Verilerin İşlenmesinde Gizlilik
Şirket tarafından hukuka uygun olarak işlenen kişisel veriler, veri güvenliğine tabidir. Şirket, özel nitelikli kişisel veriler ve Web Sitemiz üzerinden toplanan kişisel verilerinizin gizliliğini ve güvenliğini sağlamak üzere tüm gerekli teknik ve organizasyonel önlemleri almaktadır.
Şirket’in herhangi bir çalışanının bu verilere yetkisiz şekilde erişmesi, bu verileri işlemesi veya özel veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle paylaşması veya başka bir yöntemle bu verileri erişilebilir hale getirmeleri yasaktır. Şirket’in çalışanları kişisel verilere ancak söz konusu görevlerinin türü ve kapsamı çerçevesinde uygun şekilde erişebilir. Bunun için rol ve sorumluluklar detaylandırılmakta ve ayrıştırılmaktadır. Şirket’in meşru görevi çerçevesinde yetkilendirilmemiş olan herhangi bir çalışanının bu verileri işlemesi yetkisiz işlem anlamına gelmektedir.
Yöneticiler, istihdam ilişkisinin başlangıç aşamasında çalışanlarını veri gizliliğini koruma yükümlülüğü hususunda bilgilendirmelidir. Söz konusu yükümlülük istihdamın sona ermesinden sonra da devam edecektir.
- Kişisel Verilerin İşlenmesinde Güvenlik
Kişisel veriler, yetkisiz erişime, yasa dışı veri işleme veya ifşaya ve verilerin kazara kaybına, değiştirilmesine veya imhasına karşı Şirket tarafından korunmaktadır. Kişisel verilerinizin halka açık olmayan ve sadece yetkili Şirket çalışanları, aracılarımız ve yüklenicilerimiz tarafından erişilebilen güvenli çalışma ortamlarında saklanmaktadır.
- Şirket Tarafından Kişisel Verilerin Gizliliği ve Güvenliğine İlişkin Alınan Teknik Tedbirler
Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kapsamında alınan teknik önlemler aşağıdaki gibidir:
- Üst düzey teknik sistemler kullanılmakta ve bu sistemler periyodik olarak denetlenmektedir.
- Teknik konularda ilgili kişi/departmanlara eğitimler verilmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
- Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
- Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
- Teknik konularda ilgili birim sürekli olarak bilgilendirilmektedir.
- Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta,
- Teknolojideki gelişmelere uygun teknik önlemler alınmakta, yazılımlar kullanılmakta ve alınan önlemler periyodik olarak gerek doğal gereklilikler gerekse de yasal mevzuat gereklilikleri kapsamında güncellenmekte ve yenilenmektedir.
- İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.
- Şirket Tarafından Kişisel Verilerin Gizliliği ve Güvenliğine İlişkin Alınan İdari Tedbirler
Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kapsamında alınan idari önlemler aşağıdaki gibidir:
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak ve hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda bilgilendirilmekte ve eğitilmektedir. Bu sayede yükümlülükler yönünden güncel tutulma olgusunun da sağlanması amaçlanmaktadır.
- Şirket’in yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
- Şirket’in iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVK Kanunu’nun aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
- Gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
- Şirket ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirket’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
- Ticari faaliyetler kapsamında 3. Kişiler yönünden kişisel verilerin korunmasına yönelik taahhütler alınmaktadır.
- Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ve kişisel verilerin saklanması konusunda üçüncü kişilerden teknik hizmet alınması halinde bu kişiler ile akdedilen sözleşmelere; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda gerekli tedbirlerin alınması ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
- İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
- Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
- Şirket, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
- Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine, iş ortaklarına ve tedarikçilerine gerekli eğitimlerin düzenlenmesini sağlamaktadır. Şirket, bu doğrultuda ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır. Şirket, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
- Muhtemel akdi ilişki kapsamında edinilen veriler yönünden de yasal mevzuat hükümlerine riayet edilmekte ve ilgililer hakları konusunda eksiksiz olarak bilgilendirilmektedir.
- Kişisel Verilerin Kanuni Olmayan Şekilde İfşa Olması Durumunda Alınacak Tedbirler
Şirket, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. Kişisel verilerin kanuni olmayan şekilde ifşa olması durumunda Şirket en geç 72 saat içerisinde KVK Kurul’una bildirimde bulunacak olup, derhal güncel gelişmelere uygun aksiyonları da tesis edecektir.
KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
- Denetim Faaliyetlerinin Yürütülmesi
Şirket, KVK Kanunu’nun 12. maddesine uygun olarak, kendi ve iş ortakları bünyesinde gerekli denetimleri yapmakta veya 3. Kişi firmalar ile yapılan sözleşmeler çerçevesinde yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tüm tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 2 yıl süreyle saklanır.
Şirket kişisel verilerinizi aşağıdaki sebeplerle imha eder:
- Kişisel verilerin saklanmasına ilişkin yasalarla belirlenmiş sürelerin sona ermesi,
- Şirket tarafından Silme ve İmha Politikası’nda belirlenen imha süresinin sona ermesi,
- Şirket tarafından Silme ve İmha Politikası’nda belirlenen periyodik imha süresinin sona ermesi,
- Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İlgili sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
- Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
- Şirket’ in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kuruluna şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
- KVK Kanunu’nun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
- Kişisel Verilerin Silinmesi, Yok Edilmesi Teknikleri
Şirket ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Kişisel verilerin silinmesi ya da yok edilmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu kapsamda, Şirket, aşağıda yer verilen teknikleri kullanmak sureti ile kişisel verileri silmekte veya yok etmektedir:
- Şirket, silinen kişisel verilerin ilgili kullanıcılar tarafından erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır,
- Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise Şirket aşağıdaki kuralları uygular;
- Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi,
- Başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olması,
- Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması,
- Gerçek kişiler tarafından direkt olarak silme talebinin iletilmesi durumunda ise ilgili kişiye ait kişisel verilerin Şirket sistemlerinden silinmesi.
Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi;
- Gerekli olmayan kişisel verilerin karartılması,
- Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin maskelenmesi yoluyla gerçekleştirilir.
Yukarıda belirtilen silme koşulları Şirket tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
- Fiziksel Olarak Yok Etme (Physical Destruction): Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
- Yazılımdan Güvenli Olarak Silme (Secure Deletion Software): Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
- Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion): Şirket, bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
- Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirket, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından Politika’nın 6. maddesinde düzenlenen haklar bu veriler için geçerli olmayacaktır. Şirket tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
- Maskeleme (Masking): Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
- Toplulaştırma (Aggregation): Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
- Veri Türetme (Data Derivation): Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
- Veri Karma (Data Shuffling, Permutation): Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
Şirket, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı altı aydır. Kişisel verilere ilişkin olarak saklama süreleri ise KVK Kanunu’na ve iş süreçlerine uygun olarak belirlenmiştir. KVK Kurulu, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilmektedir.
Kişisel Veri Sahibi gerçek kişi, KVK Kanunu’nun 13. maddesine istinaden Şirket’e başvurarak, kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi halinde, Şirket:
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Şirket, Kişisel Veri Sahibi gerçek kişinin talebini en geç otuz gün içinde sonuçlandırır ve veri sahibi gerçek kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Şirket, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından KVK Kanunu’nun 13. Maddesinin 3. fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
- Kişisel Verilerin Resen Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Süreleri
Şirket, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreleri dikkate alır:
- Yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde
- Periyodik imha süresi her halde 180 günden (6 ay) uzun olamaz.
- İlgili Kişinin Talep Etmesi Durumunda Kişisel Verileri Silme ve Yok Etme Süreleri
İlgili kişi, Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri silebilir, yok edebilir veya anonim hale getirebilir. İlgili kişilerin silme veya yok etme talepleri Şirket tarafından en geç otuz gün içerisinde sonuçlandırılır.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Şirket, işlemiş olduğu verilerin, KVK Kanunu ve ilgili yönetmelik ve sair yasal düzenlemelerin uygunluğunun sağlanması, muhafazası ve sürdürülmesi kapsamında şirket bünyesinde gerekli koordinasyonu “Üst Yönetim” ile sağlamaktadır. Bu departman, hak ve yükümlülüklerin yerine getirilmesi, kurulan sistemin yürütülmesi ve iyileştirilmesi ile güncelleştirmelerinden sorumludur.
İşbu Politika, yılda bir kez gözden geçirilir ve yasal mevzuata uygunluk kapsamında güncelliği sağlanır. Politikada yer verilen hususlar, yasal mevzuata uygunluk şartını sağlamak kaydıyla Şirket tarafından değiştirilebilir.
Şirket bünyesinde, 6698 sayılı Kanun’a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla Kişisel Verilerin Korunması Komitesi (“Komite“) kurulmuştur. Komite’nin başlıca görevleri aşağıda belirtilmektedir:
Komitenin görevleri:
- Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
- Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içinde gerekli görev dağılımını yapmak ve koordinasyonu sağlamak
- 6698 sayılı ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
- Kişisel verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirket iş ortakları nezdinde farkındalığı arttırmak,
- Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayına sunmak,
- Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip etmek, hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,
- Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
- Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak,
- Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
- Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
- KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
- Üst yönetimin kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
- Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini sunmak.
EK-1 KISALTMALAR VE TANIMLAR
KVK Kanunu | : | 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu |
Kurul | : | Kişisel Verileri Koruma Kurulu |
Kurum | : | Kişisel Verileri Koruma Kurumu |
Şirket | : | Stem Sağlık Ürünleri Kozmetik San. ve Tic. Ltd. Şti. |
Şirket Yetkilisi | : | Şirket yönetim kurulu üyesi ve diğer yetkili gerçek kişiler |
Şirket Hissedarı | : | Şirket’in hisselerine sahip gerçek kişi veya tüzel kişi temsilcisi gerçek kişiler |
Kişisel Veri | : | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb. |
Özel Nitelikli Kişisel Veri | : | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler |
Kişisel Veri Sahibi | : | Kişisel verisi işlenen gerçek kişi. Örneğin; çalışan adaylar |
Kişisel Verilerin İşlenmesi | : | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Veri İşleyen | : | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. Örneğin, Şirket’in verilerini tutan bulut bilişim firması, scriptler çerçevesinde arama yapan çağrı merkezi firması vb. |
Veri Sorumlusu | : | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi |
İrtibat Kişisi | : | Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi |
Açık Rıza | : | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Silme/Yok Etme | : | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
Anonim Hale Getirme | : | Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi |
İmha | : | Kişisel verilerin, silinmesi, yok edilmesi veya anonim hale getirilmesi |
Başvuru Formu | : | Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu” |
Çalışan Adayı | : | Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişiler. |
İş birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri | : | Şirket’in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler. |
İş Ortağı | : | Şirket’in ticari faaliyetlerini yürütürken bizzat veya Topluluk Şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar. |
Tedarikçi | : | Şirket’in ticari faaliyetlerini yürütürken Şirket’in emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan taraflar. |
Müşteri | : | Şirket ürün ve/veya hizmetlerini satın alan gerçek kişi. |
Üçüncü Kişi | : | Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri Politika kapsamında işlenen gerçek kişiler (Örneğin, Potansiyel müşteriler, Kefil, refakatçi, aile bireyleri ve yakınlar, eski çalışanlar). |
Ziyaretçi | : | Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan gerçek kişiler. |
Şirket Merkez Binası | : | Şirket’in İçerenköy, İstanbul’da bulunan merkez binası. |
Depolar | : | Şirket’in sahip olduğu ve depolama alanı olarak kullandığı yerler |
Web Sitesi | : | https://stemturk.com.tr/ |
Web Sitesi Ziyaretçileri | : | Web Sitesini ziyaret eden gerçek kişilerdir. |