Büyük ŞirketKobiYardım MerkeziİletişimBlog
Giriş YapDemo Talep Et

Kişisel Verilerin Korunması Kanunu

1. AMAÇ

Yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması hakkındaki Kanunu ile, kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir. Söz konusu düzenleme de dikkate alınarak hazırlanan politikamızın amacı; kişisel verilerin korunması hakkındaki yükümlülüklere uyumun sağlanması, kuruluşumuzun gerçekleştirdiği faaliyetler kapsamında temin edilen bilgilerin işlenmesi, aktarılması ve gizliliğinin korunması ile ilgili hususların risk temelli bir yaklaşımla değerlendirilerek, stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile kurum çalışanlarının bu konularda bilinçlendirilmesidir. Aynı zamanda; müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, Kuruluş hissedarlarımız, Kuruluş yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kurum/kuruluşların çalışanları, hissedarları ve yetkilileri ve üçüncü kişiler başta olmak üzere kişisel verileri Kuruluşumuz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamak amaçlanmaktadır.

2. KAPSAM

Bu politika; müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, Şirket hissedarlarının, Şirket yetkililerinin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

3. UYGULAMALAR 3.1. Veri Kategorileri

Kuruluş aşağıdaki veri kategorilerine ilişkin verileri kaydedebilir, işleyebilir veya aktarabilir.

  • Kimlik (ad soyad, anne - baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali,nüfus cüzdanı seri sıra no, tc kimlik no gibi)

  • İletişim (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi)

  • Lokasyon (bulunduğu yerin konum bilgileri)

  • Özlük (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi)

  • Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)

  • Müşteri İşlem (çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi)

  • Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi)

  • İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi)

  • Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)

  • Finans (bilanço bilgileri, fi nansal performans bilgileri, kredi ve risk bilgileri, mal varlığı bilgileri gibi)

  • Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifi kalar, transkript bilgileri gibi)

  • Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)

  • Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar gibi)

  • Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)

3.2. Kişisel Veri İşleme Araçları

Kuruluşumuz aşağıdaki amaçlara göre kişisel verileri kaydedebilir, işleyebilir veya aktarabilir.

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi

  • Bilgi Güvenliği Süreçlerinin Yürütülmesi

  • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

  • Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

  • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

  • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

  • Denetim / Etik Faaliyetlerinin Yürütülmesi

  • Eğitim Faaliyetlerinin Yürütülmesi

  • Erişim Yetkilerinin Yürütülmesi

  • Faaliyetlerin Mevzuata Uygun Yürütülmesi

  • Finans Ve Muhasebe İşlerinin Yürütülmesi

  • Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

  • Fiziksel Mekan Güvenliğinin Temini

  • Görevlendirme Süreçlerinin Yürütülmesi

  • Hukuk İşlerinin Takibi Ve Yürütülmesi

  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

  • İletişim Faaliyetlerinin Yürütülmesi

  • İnsan Kaynakları Süreçlerinin Planlanması

  • İş Faaliyetlerinin Yürütülmesi / Denetimi

  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

  • Lojistik Faaliyetlerinin Yürütülmesi

  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

  • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi

  • Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

  • Organizasyon Ve Etkinlik Yönetimi

  • Pazarlama Analiz Çalışmalarının Yürütülmesi

  • Performans Değerlendirme Süreçlerinin Yürütülmesi

  • Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

  • Risk Yönetimi Süreçlerinin Yürütülmesi

  • Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

  • Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi

  • Sözleşme Süreçlerinin Yürütülmesi

  • Sponsorluk Faaliyetlerinin Yürütülmesi

  • Stratejik Planlama Faaliyetlerinin Yürütülmesi

  • Talep / Şikayetlerin Takibi

  • Taşınır Mal Ve Kaynakların Güvenliğinin Temini

  • Ücret Politikasının Yürütülmesi

  • Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

  • Yabancı Personel Çalışma Ve Oturma İzni İşlemleri

  • Yatırım Süreçlerinin Yürütülmesi

  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

  • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

  • Yönetim Faaliyetlerinin Yürütülmesi

  • Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

3.3. Kişisel Veri Aktarım Alıcı Grupları

Kuruluşumuz aşağıdaki Kişisel Veri Aktarı Alıcı gruplarına kişisel verileri aktarabilir.

  • Gerçek Kişiler Ve Özel Hukuk Tüzel Kişileri

  • Hissedarlar

  • İş Ortağı

  • İştirak Ve Bağlı Ortaklıklar

  • Tedarikçi

  • Topluluk Şirketi

  • Yetkili Kamu Kurum Ve Kuruluşları

3.4. Kişisel Veri Konusu Kişiler

Kuruluşumuz aşağıdaki kişi türlerine göre kişisel verileri kaydedebilir, işleyebilir veya aktarabilir.

  • Çalışan Adayı

  • Çalışan

  • Hissedar/Ortak

  • Potansiyel Ürün Ve Hizmet Alıcısı

  • Stajyer

  • Tedarikçi Çalışan

  • Tedarikçi Yetkilisi

  • Ürün Veya Hizmet Alan Kişi

  • Veli/Vasi/Temsilci

  • Ziyaretçi

3.5. Kişisel Veri Saklama Süreleri

Kişisel verileri saklama süreleri; Kişisel veri Saklama ve İmha politikasında ayrıntılı olarak düzenlenmiştir.

3.6. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

  • Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

  • Veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

  • Bu hususlara ilişkin yapılması gereken işlemler Kişisel veri saklama ve imha politikasında ayrıntılı olarak açıklanmıştır.

3.7. Kişisel Verilerin Aktarılması

Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel veriler, Kanunda belirtilen şekillerde üçüncü kişilere aktarılabilir.

  • Yurtiçi aktarım: Kişisel veriler ve özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz. İstisna olarak ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar Kanunda belirtilmiştir (Kanunlarda açıkça öngörülmesi, Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin tarafl arına ait kişisel verilerin işlenmesinin gerekli olması, Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, İlgili kişinin kendisi tarafından alenileştirilmiş olması, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması).

  • Yurt dışı aktarım: 6698 sayılı Kanununda Kanun yapılan değişiklikle kişisel verilerin yurt dışına aktarımında aşamalı bir rejim yürürlüğe konulmuştur, bu kapsamda kişisel veriler; Kanun'un 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde yurt dışına aktarılabilir. Yeterlilik kararının bulunmaması durumunda ise kişisel veriler Kanun'un 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla Kanun'da belirtilen uygun güvencelerden birinin tarafl arca sağlanması halinde yurt dışına aktarılabilir. Yeterlilik kararının bulunmaması ve Kanun'da öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla ve sadece Kanun'da bulunan hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir.

3.8. Kişisel Verilerin İşlenmesinde Genel (Temel) İlkeler:

Kişisel veriler, işbu Politika’da ayrıntılı olarak belirtildiği şekilde aşağıdaki temel ilkelere uygun olarak işlenecektir.

  • Hukuka ve dürüstlük kurallarına uygun olma,

  • Doğru ve gerektiğinde güncel olma,

  • Belirli, açık ve meşru amaçlar için işlenme,

  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

3.9. Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Açık rıza’nın Belirli bir konuya ilişkin olması, Rızanın bilgilendirmeye dayanması ve Özgür iradeyle açıklanması gereklidir.

3.10. Aydınlatma yükümlülüğü

Kişisel verilerin elde edilmesi sırasında şirket tarafından ilgili kişilerin bilgilendirilir. Aydınlatma Metninde ayrıntılı olarak düzenlendiği üzere bu bilgilendirme asgari olarak aşağıdaki konuları içermektedir.

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,

  • Kişisel verilerin hangi amaçla işleneceği,

  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,

İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

3.11. İlgili Kişinin Hakları

Kanunun ilgili kişinin haklarını düzenleyen 11. maddesi gereği ilgili kişiler kişisel verilerinin;

  • İşlenip işlenmediğini öğrenme,

  • İşlenmişse bilgi talep etme,

  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,

  • Yurt içinde / yurt dışında aktarıldığı 3. kişileri bilme, d) eksik / yanlış işlenmişse düzeltilmesini isteme,

  • KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme,

  • Aktarıldığı 3. kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,

  • Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

  • Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkı kapsamındaki talepleri bulunmaktadır.

3.12. İlgili Kişinin Hak Arama Yöntemleri

İlgili kişilerin, Şirkete başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. İlgili kişi ayrıntıları aşağıda belirtildiği üzere başvuru, başvuru yolu ve şikayet haklarını kullanabilir.

  • Başvuru : İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.

  • Başvuru Yolu: İlgili kişiler, aydınlatma metinlerde de belirtildiği üzere “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre kimliğin tanımlayan bilgilerle birlikte “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e göre 0324043614900001 MERSİS numaralı Eçözüm Bilgi Teknolojileri A.Ş.’nin Çifte Havuzlar, Mahallesi, YTÜ-Davutpaşa Kampüsü No:151 A1 Blok Esenler/İstanbul adresine şahsen yazılı başvurarak veya kayıtlı elektronik posta aracılığıyla [email protected] adresine iletebilir.

  • Şikayet : İlgili kişinin şikayet yoluna başvurulabilmesi için Şirkete başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gereklidir. İlgili kişilerin Şirkete başvurmadan doğrudan Kurula şikayet yoluna gitmesi mümkün değildir.

3.13. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların Şirket tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Şirket, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirir.

3.14. Veri Sorumluları Sicili (VERBİS) kayıt yükümlülüğü

Kuruluşumuz, Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri kayıt sistemine kayıt olur ve bu kayıtları günceller.

3.15. Kişisel Veri İhlali

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Kuruluş bu durumu en kısa sürede mevzuata uygun olarak ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

3.16. Kişisel Veri Güvenliği Tedbirleri

Kuruluşumuz Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak için aşağıdaki teknik ve idari tedbirleri Kuruluş yapısına uygun düzeyde almaktadır.

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

  • Anahtar yönetimi uygulanmaktadır.

  • Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

  • Eğitim konusu mailing yöntemleri aracılığıyla farklı materyaller ile desteklenmektedir.

  • Çalışanlar için yetki matrisi oluşturulmuştur.

  • Yetkiler periyodik aralıklar ile gözden geçirilmektedir.

  • Erişim logları düzenli olarak tutulmaktadır.

  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

  • Gizlilik taahhütnameleri yapılmaktadır.

  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

  • Güncel anti-virüs sistemleri kullanılmaktadır.

  • Güvenlik duvarları kullanılmaktadır.

  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

  • Kişisel veri güvenliğinin takibi yapılmaktadır.

  • Kişisel veri içeren fi ziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

  • Kişisel veri içeren fi ziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

  • Kişisel veriler mümkün olduğunca azaltılmaktadır.

  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

  • Mevcut risk ve tehditler belirlenmiştir.

  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografi k anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.

  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.

  • Sızma testi uygulanmaktadır.

  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. Şifreleme yapılmaktadır.

  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

  • Veri kaybı önleme yazılımları kullanılmaktadır.