Kişisel Veri İşleme ve Koruma Politikası

Ana Sayfa » Kişisel Veri İşleme ve Koruma Politikası

CDT İNŞAAT ANONİM ŞİRKETİ

 

 

KİŞİSEL VERİLERİ İŞLEME VE

KORUMA POLİTİKASI 

 

ANKARA 2023

(Yürürlük Tarihi: 01/09/2023)

 

 

 

CDT İnşaat Anonim Şirketi olarak altyapıda bölünmüş yol, havaalanı, otoyol, metro, YHT  demiryolu, sulama  kanalı, gölet; üstyapıda konut, kamu  binaları, otel, eğitim  tesisleri, dini  ibadet  tesisleri, alışveriş  merkezi  inşaatlar ile faaliyetlerine  devam  etmektedir.

Profesyonel ekibimiz, güçlü makine parkımız, güçlü mali yapımız ile yeni teknolojileri de takip ederek yaptığımız işlerle örnek olmaya, turizm ve fabrika yatırımlarımız ile ülkemize katma değer sağlamaya devam edeceğiz.

Diğer taraftan en az ana faaliyet konularımızdaki başarı kadar, mevzuat ve en iyi uygulamalara uyum sağlamanın büyük önem taşıdığının bilincindeyiz.

Çalışanlarımız, tedarikçilerimiz ve ilişki içerisinde olduğumuz tüm menfaat sahiplerine ilişkin kişisel verilerin hukuka uygun surette işlenmesi, mevzuatta gerekliliği olması yanında en iyi yönetim uygulamalarına uyum açısından da kuşkusuz önemli bir yere sahiptir.

Bu bağlamda, faaliyetlerimiz sırasında toplayarak işlediğimiz kişisel verilere ilişkin kapsamlı ve sistematik bir politika belgesinin hazırlanarak Şirket yönetim belgelerimiz arasına konulmasını, çalışanlarımızdan tedarikçilerimize kadar olan yelpazedeki çözüm ortaklarımız ile karşılıklı güven, etkin iletişim ve ekip çalışması temelinde yükselen, katılımcı ve yatay yönetim anlayışımızın önemli bir bileşeni olarak görmekteyiz.

Bu belge ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil düzenlemeler çerçevesinde hazırladığımız, Şirketimizdeki Kişisel Verileri İşleme ve Koruma Politikası tespit edilmektedir.

Bu politika metninin Şirketimizce kabul edilmiş olması, Kişisel Veri İzleme Komitesinin oluşturulmuş olması, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuattan kaynaklanan hukuki yükümlülüklerimizi yerine getirdiğimiz, kişisel verilerin işlenmesine ilişkin prosedürleri tamamlayarak gerekli belgelendirme sistemini hayata geçirdiğimizin bir göstergesidir.

Bütün bunlara ek olarak, Şirketimizin kişisel verileri işleme politikasının önemli bir bileşeni olan bu politika metnini, mevzuattaki gelişmeler ve ihtiyaçlara bağlı olarak belirli aralıklarla gözden geçirerek ihtiyaçlara cevap veren ve iş ve işlemlere ışık tutan niteliğini canlı tutmak konusundaki kararlılığımızı açıkça ifade etmek isteriz.

Saygılarımızla.

 

 

 

 

 

 

CDT İNŞAAT ANONİM ŞİRKETİ

İÇİNDEKİLER

  1. GENEL OLARAK KİŞİSEL VERİLERİ İŞLEME VE SAKLAMA POLİTİKA METNİ. 3

1.1.       Politika Metninin Hedefleri 3

1.2.       Teknik İfadeler. 4

1.3.       İlkeler. 4

  1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI. 5

2.1.       Genel Olarak. 5

2.2.       Özel Nitelikli Kişisel Verilerin İşlenme Şartları 5

  1. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERE İLİŞKİN TEMEL BİLGİLER.. 6

3.1.       Toplanan Kişisel Veri Kategorileri 6

3.1.1.        Kimlik Bilgisi 6

3.1.2.        İletişim Bilgisi 7

3.1.3.        Özlük Bilgileri 7

3.1.4.        Hukuki İşlem Bilgisi 8

3.1.5.        Fiziksel Mekân Güvenliği Bilgisi 8

3.1.6.        İşlem Güvenliği Bilgisi 8

3.1.7.        Finans Bilgisi 8

3.1.8.        Mesleki Deneyim Bilgisi 8

3.1.9.        Görsel ve İşitsel Kayıtlar. 9

3.1.10.      Sağlık Bilgileri 9

3.1.11.      Ceza Mahkûmiyeti ve Güvenlik Tedbiri Bilgisi 9

3.1.12.     Biyometrik Veri……………………………………………………………………..…9

3.1.13.     Pazarlama Bilgisi……………………………………..…………………………..……….9

3.1.14.    Müşteri İşlem……………………………………………………….…..………………..9

3.2.       Kişisel Verilerin Toplanma Yöntemleri 10

3.2.1.        Fiziki 10

3.2.2.        Bilgi Sistemleri (Elektronik) 10

3.2.3.        CCTV.. 10

3.3.       Toplanan Kişisel Verilerin Sahipleri 10

3.4.       Toplanan Kişisel Verilerin İşlenmesinin Hukuki Nedeni 11

3.5.       Toplanan Kişisel Verilerin Hangi Amaçlarla İşlendiği 11

  1. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN AKTARILMASI VE HUKUKİ DAYANAĞI. 12
  2. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN SAKLANMASI VE İMHA EDİLMESİ. 13

5.1.       Kişisel Verilerin Saklanması 13

5.1.1.        İdari Tedbirler. 14

5.1.2.        Teknik Tedbirler. 14

5.2.       Kişisel Verilerin İmhası 15

  1. VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI. 16
  2. KİŞİSEL VERİ ÇALIŞMA KOMİTESİ. 16
  3. POLİTİKA METNİNİN YÜRÜRLÜĞÜ VE REVİZYONU.. 17

 

 

 

 

 

1.     GENEL OLARAK KİŞİSEL VERİLERİ İŞLEME VE SAKLAMA POLİTİKA METNİ

Şirketimizin Kişisel Verileri İşleme Ve Korunma Politika Metni (“Politika Metni”) ile:

  • Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”) ve ilgili mevzuattan kaynaklanan hukuki yükümlülüklerin yerine getirilmesi,
  • Kişisel verilerin işlenmesine ilişkin olarak öngörülen uygulamaların hayata geçirilmesi
  • Kişisel verilerin işlenmesi konusunda kurum içi farkındalık oluşturulması ve bunun sürekliliğinin sağlanması

amaçlanmakta ve nihayet, bunun Şirketimizin toplam kalite hedefleyen bütüncül perspektifli yönetim anlayışımızın önemli bir bileşeni haline getirilmesi öngörülmektedir.

1.1.Politika Metninin Hedefleri

Politika Metni, Şirketimizde hakim olan yönetim anlayışının, kişisel verilerin korunması hukuku çerçevesinde geliştirilmesi; bu bağlamda, kişisel veriler konusunda Şirketimiz, personel, misafir, tedarikçi, ziyaretçi, çalışan ve diğer ilgili kişilerin hak ve yükümlülüklerini, bu konuda Şirketimizce yapılacak iş ve işlemleri, ilgili kişilerin haklarını kullanma esaslarını toplu ve tutarlı ve sistematik bir şekilde ortaya koymaktadır.

Politika Metni, şu hedefleri gerçekleştirmek üzere hazırlanmıştır:

  • KVKK ve ilgili mevzuatta yer alan yükümlülüğün yerine getirilmesi,
  • Şirketimizin kişisel verilerin işlenmesi ve korunması konusundaki durumumun topluca ortaya konulması,
  • Şirketimizin faaliyetlerini sürdürmesi sırasında karşılaşacağı kişisel verilerin işlenmesi hususlarına ilişkin bir rehber oluşturulması,
  • Kişisel verilerin işlenmesi ve korunması anlayışının Şirket yönetiminin bir parçası haline getirilmesi,
  • Şirket yönetiminin bir parçası haline gelen bu esasların, değişiklik ve yeniliklere uyum sağlayabilmesi için güncellenmesine ilişkin bir düzen getirilmesi.

1.2.Teknik İfadeler

Bu Politika Metninde yer alan hukuki ifadeler KVKK ve ilgili mevzuatta kullanıldıkları kapsam ve içerikte kullanılmıştır.

1.3.İlkeler

Bu Politika Metni, KVKK md.4/2’de yer alan şu 5 ilke üzerine hazırlanmıştır:

  • Hukuka ve dürüstlük kuralına uygunluk,
  • Doğruluk ve güncellik,
  • Belirli, açık ve meşru amaçlarla işleme,
  • Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme,
  • Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme.

Şirketimiz, kişisel verilerin işlenmesi konusundaki uygulamalarını, mevzuata ve bu 5 ilkeye dayandırmaktadır. Özellikle mevzuatta açıklık bulunmayan hallerde veya uygulamada tereddüt yaşandığı durumlarda, Şirketimiz, şartların mümkün kıldığı özen çerçevesinde gerekli incelemeleri ve araştırmaları yaptıktan sonra, uygulamasına bu ilkeler çerçevesinde yön verecektir.

Şirketimizin yönetim belgeleri içerisinde yer alan Kişisel Veri Saklama ve İmha Politikası Metni Şirketimizin, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak alınan politikayı ortaya koyan bir metin olup, bu Politika Metninin bir tamamlayıcısıdır.

Kısaca imha politikası metni olarak adlandıracağımız bu metne ilişkin ilkeler ise şunlardır:

  1. İşlenme şartları tamamen ortadan kalkan kişisel veriler re’sen veya ilgili kişinin talebi üzerine imha edilir.
  2. Kişisel verilerin imhası konusunda KVKK md.5’te yer alan ilkelere, ilgili diğer mevzuat hükümlerine ve imha politikası metninde yer alan esaslara uyulur.
  3. Kişisel verilerin imhasına ilişkin olarak yapılan bütün işlemler kayıt altına alınır ve bu kayıtlar en az üç yıl süreyle saklanır.
  4. Kişisel verilerin imha yöntemine ilişkin olarak aksi öngörülmedikçe, Şirketimiz ilgili kişinin varsa talebini de dikkate alarak en uygun yöntemi seçer, gerekçelerini açıklar.

2.     KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

2.1.Genel Olarak

Şirketimiz bulundurduğu kişisel verileri, KVKK md.5’te yer alan aşağıdaki şartlar dâhilinde işleyecektir:

  1. Şirketimizce toplanan kişisel veriler, kural olarak ilgili kişinin açık rızası var ise işlenir.
  2. Şirketimizin bulundurduğu kişisel veriler ilgili kişinin açık rızası olmasa dahi, KVKK md. 5/2’de sayılan şu hallerde işlenebilir.
    1. Kanunlarda açıkça öngörülmesi.
    2. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması.
    3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
    4. Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
    5. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
    6. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.
    7. KVKK md.5/2’de fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (md.5/2.b) durumunda açık rıza olmasa dahi kişisel verilerin işlene ifade edilmiştir. Bu şart, diğer şartlara göre, daha genel nitelikli ve daha geniş kapsamlı olup, Şirketimizin faaliyet konuları, topladığı kişisel veriler ve bunları işleyiş şekilleri göz önüne alındığında, Şirketimiz özelinde uygulanabilir görünmemektedir. Bununla birlikte, çok istisnai de olsa bu halin açık rıza olmasa dahi kişisel verilerin Şirketimizce işlenmesi şartları içerisinde yer alabileceği belirtilmelidir.

2.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Özel nitelikli kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınması şarttır. Ancak şu hallerde özel nitelikli kişisel veriler açık rıza aranmaksızın Şirketimizce işlenebilir:

  1. Sağlık ve cinsel hayat dışındaki kişisel veriler söz konusu olduğunda kanunlarda öngörülen hâllerde,
  2. Sağlık ve cinsel hayata ilişkin kişisel veriler söz konusu olduğunda ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunduğumuz hallerde.

KVKK md.6/1’de özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kapsamak üzere şekilde sınırlı olarak sayılmıştır.

Şirketimiz ana faaliyet konularına ilişkin normal işleyişinde özel nitelikli kişisel verilerin işlenmesi nadir karşılaşılan bir durumdur. Bununla birlikte, bu tür kişisel verilerin işlenmesinin gerektiği durumlarda veri sahibinden açık rıza alınmaktadır.

Özel nitelikli kişisel verilerin işlenmesinde, Kişisel Veri Koruma Kurumu (“KVK Kurumu”) tarafından belirlenen önlemlerin de alınacağı tabiidir.

3.     ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERE İLİŞKİN TEMEL BİLGİLER

Bu bölümdeki bilgiler, Şirketimizce işlenen kişisel verilere KVK Kurumu bünyesindeki Veri Sorumluları Sicil Bilgi Sistemine kaydı yapılmış bulunan Şirketimiz Veri Envanterine dayanmaktadır.

3.1.Toplanan Kişisel Veri Kategorileri

Şirketimizde aşağıdaki 14 kategori altında kişisel veri toplanmaktadır:

3.1.1.     Kimlik Bilgisi

Her ticari işletmede olduğu gibi, Kimlik Bilgisi kategorisine giren kişisel veriler, Şirketimiz tarafından çok çeşitli amaçlarla yoğun olarak toplanmakta ve işlenmektedir. Şirketimizde; bilgi güvenliği süreçlerinin yürütülmesi, çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi, çalışan adaylarının başvuru süreçlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi, denetim / etik faaliyetlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, görevlendirme süreçlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, iş faaliyetlerinin yürütülmesi/ denetimi, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi, mal / hizmet satın alım süreçlerinin yürütülmesi, reklam / kampanya / promosyon süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, tedarik zinciri yönetimi süreçlerinin yürütülmesi, ücret politikasının yürütülmesi, yetkili kamu kurum ve kuruluşlara bilgi verilmesi, yönetim faaliyetlerinin yürütülmesi, ziyaretçi kayıtlarının tutulması amacıyla kişisel veriler toplanmakta ve işlenmektedir.

3.1.2.     İletişim Bilgisi

İletişim bilgileri kategorisindeki kişisel veriler, doğrudan Şirketimiz faaliyetlerinin sürdürülmesi için her aşamada büyük önemi haiz olan kişisel verilerdir. Bu bilgilerin sağlıklı ve güncel olması gereklidir. Şirketimizde iletişim bilgileri; çalışan adaylarının başvuru süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, görevlendirme süreçlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, iş faaliyetlerinin yürütülmesi/denetimi, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi, mal / hizmet satın alım süreçlerinin yürütülmesi, reklam / kampanya / promosyon süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, tedarik zinciri yönetimi süreçlerinin yürütülmesi, yetkili kişi  kurum ve kuruluşlara bilgi verilmesi, yönetim faaliyetlerinin yürütülmesi, ziyaretçi kayıtlarının tutulması amaçlarıyla işlenmektedir.

3.1.3.     Özlük Bilgileri

Şirketimizde sadece çalışanlarımızın özlük bilgileri; çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi, çalışan adaylarının başvuru süreçlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, görevlendirme süreçlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, iş faaliyetlerinin yürütülmesi / denetimi, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amaçlarıyla işlenmektedir.

3.1.4.     Hukuki İşlem Bilgisi

Şirketimizde, Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, faaliyetlerin mevzuata uygun yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, finans ve muhasebe işlerinin yürütülmesi amacıyla çalışanlarımızın hukuki işlem bilgileri toplanmakta ve işlenmektedir.

3.1.5.     Fiziksel Mekân Güvenliği Bilgisi

Şirketimizde fiziksel mekân güvenliğinin temini, ziyaretçi kayıtlarının oluşturulması ve takibi, denetim/etik faaliyetlerinin yürütülmesi, yönetim faaliyetlerinin yürütülmesi amacıyla mevcut kamera güvenlik sistemi ile 7 gün 24 saat boyunca kişisel veri toplanmaktadır.

3.1.6.     İşlem Güvenliği Bilgisi

Şirketimizde, internete erişim imkânı sağlanmaktadır. Bu imkânı kullanan çalışanlarımızın, misafirlerimizin ve ziyaretçilerimizin IP adresleri, kullanıcı adları ve parolaları belirli bir sistemde loglanarak; bilgi güvenliği süreçlerinin yürütülmesi, denetim / etik faaliyetlerinin yürütülmesi amacıyla toplanmakta ve işlenmektedir.

3.1.7.     Finans Bilgisi

Bilindiği üzere, ticari faaliyet sırasında ödemelerin öngörülebilir ve kesintisiz bir şekilde sürmesini sağlamak işlerin sürdürülebilirliği için en önemli unsurdur. Şirketimiz, Şirket ortaklarından, çalışanlardan, misafirlerimizden ve tedarikçi yetkililerinden finans bilgilerini toplamakta ve bunları işlemektedir. Şirketimiz bu finans bilgilerini; yetkili kamu kurum ve kuruluşlara bilgi verilmesi, mal / hizmet satın alma süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi amacıyla işlemektedir.

3.1.8.     Mesleki Deneyim Bilgisi

Şirketimizde çalışan, çalışan adayı, tedarikçi yetkilisi/çalışanına ilişkin mesleki deneyim bilgileri işlenmektedir. İş bu bilgiler, çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, iş faaliyetlerinin yürütülmesi / denetimi, mal / hizmet satın alım süreçlerinin yürütülmesi, tedarik zinciri yönetimi süreçlerinin yürütülmesi, yetkili kişi kurum ve kuruluşlara bilgi verilmesi amacıyla toplanmakta ve işlenmektedir.

3.1.9.     Sağlık Bilgileri

Sağlık Bilgileri kategorisine giren kişisel veriler özel nitelikli kişisel verilerdir. Şirketimizde, insan kaynakları süreçlerinin planlanması, iş faaliyetlerinin yürütülmesi / denetimi, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, görevlendirme süreçlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi / denetimi, yetkili kişi  kurum ve kuruluşlara bilgi verilmesi amacıyla toplanmakta ve işlenmektedir. Bu kategorideki kişisel verileri alınan çalışanlardan açık rızaları alınmaktadır.

3.1.10.  Ceza Mahkûmiyeti ve Güvenlik Tedbiri Bilgisi

Ceza Mahkûmiyeti ve Güvenlik Tedbiri kategorisine giren kişisel veriler özel nitelikli kişisel verilerdir. Şirketimizde yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, çalışanlar için iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması, görevlendirme süreçlerinin yürütülmesi amacıyla çalışanlarımızın ceza mahkûmiyeti ve güvenlik tedbiri bilgileri fiziki olarak toplanmakta ve işlenmektedir. Bu kategorideki kişisel bilginin işlenmesi için çalışanlardan açık rızası alınmaktadır.

3.1.11.  Pazarlama Bilgisi

Web sitesi ziyaretçisine ilişkin zorunlu çerezler sebebiyle çerez kayıtları tutulmaktadır. Bu kayıtlar bilgi güvenliği süreçlerinin yürütülmesi, reklam / kampanya / promosyon süreçlerinin yürütülmesi, ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi amaçlarıyla işlenmektedir.

3.2.Kişisel Verilerin Toplanma Yöntemleri

Şirketimizde aşağıda sayılan 3’ü ana olmak üzere toplam 7 yöntem ile kişisel veri toplanmaktadır:

3.2.1.     Fiziki

  1. İş başvuru formu,
  2. Form oluşturulması
  3. İmzalanan Sözleşmeler

3.2.2.     Bilgi Sistemleri (Elektronik)

  1. Alınan fiziki bilgilerin Şirket içi uygulamaları yüklenmesi
  2. E-mail aracılığıyla
  3. Hot-Spot İnternet Sağlayıcılığı

3.2.3.     CCTV

  1. Kamera Kayıtları

3.3.Toplanan Kişisel Verilerin Sahipleri

Şirketimizce toplanan kişisel verilerin sahipleri aşağıda sıralanmıştır:

  • Çalışanlar
  • Tedarikçi Çalışanı/ Yetkilisi
  • Çalışan Adayı
  • Ziyaretçi
  • Web Sitesi Ziyaretçisi
  • Stajyer/Öğrenci

3.4.Toplanan Kişisel Verilerin İşlenmesinin Hukuki Nedeni

Şirketimizce toplanan kişisel veriler KVKK md.5’te sayılan şartlardan aşağıda yer verilen hukuki nedenlere dayanarak işlenmektedir. Bunlar:

  • Kişisel veri sahibinin açık rızası.
  • Kanunlarda açıkça öngörülmesi.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, söz konusu kişisel verilerin işlenmesinin gerekli olması.
  • Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması
  • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.

Şirketimiz tarafından işlenen özel nitelikli kişisel veriler ise KVKK md.6’ya uygun şekilde veri sahibinin açık rızası ve kanunlarda yer alan hallere münhasır olarak işlenmektedir.

3.5.Toplanan Kişisel Verilerin Hangi Amaçlarla İşlendiği

Yukarıda kişisel veri kategorileri altında ilişkilendirdiğimiz Şirketimizin kişisel veri işleme amaçlarını aşağıda yalnızca saymayı yeterli görüyoruz:

  1. Bilgi Güvenliği Süreçlerinin Yürütülmesi
  2. Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
  3. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  4. Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  5. Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
  6. Denetim / Etik Faaliyetlerinin Yürütülmesi
  7. Faaliyetlerin Mevzuata Uygun Yürütülmesi
  8. Finans Ve Muhasebe İşlerinin Yürütülmesi
  9. Fiziksel Mekan Güvenliğinin Temini
  10. Görevlendirme Süreçlerinin Yürütülmesi
  11. Hukuk İşlerinin Takibi Ve Yürütülmesi
  12. İletişim Faaliyetlerinin Yürütülmesi
  13. İnsan Kaynakları Süreçlerinin Planlanması
  14. İş Faaliyetlerinin Yürütülmesi / Denetimi
  15. İş Sağlığı ve Güvenliği Faaliyetlerinin Yürütülmesi
  16. Mal / Hizmet Satın Alma Süreçlerinin Yürütülmesi
  17. Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
  18. Sözleşme Süreçlerinin Yürütülmesi
  19. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  20. Ücret Politikasının Yürütülmesi
  21. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  22. Yetkili Kamu Kurum Ve Kuruluşlara Bilgi Verilmesi
  23. Yönetim Faaliyetlerinin Yürütülmesi
  24. Ziyaretçi Kayıtlarının Tutulması

4.     ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN AKTARILMASI VE HUKUKİ DAYANAĞI

Yukarıda detaylı olarak ortaya konulduğu üzere, Şirketimizce 11 kategori altında kişisel veri toplanmaktadır. Bu kişisel verilerin aktarılma durumları şu şekildedir:

Özel nitelikli kişisel veri haricindeki kişisel veriler ile özel nitelikli kişisel veri olan çalışanlarımıza ve çalışan adaylarına ait adli sicil raporu, sağlık bilgileri/raporu, engellilik durumu ve istirahat raporları yalnızca gerekli olan hallerde Şirket ortaklarına, kanunen yetkili kamu kurum ve kuruluşlara aktarılmaktadır. Özel nitelikli kişisel verilerin bu çerçevede işlenmesi için alınması gerekli açık rıza veri sahiplerinden alınmıştır.

Şirketimiz tarafından kişisel veriler, KVKK md.8’in atıfta bulunduğu md.5/2’de sayılan hukuki gerekçelerden aşağıdakilere dayanarak aktarılmaktadır:

  • Kanun Md. 5/1: Açık Rızanın Alınması
  • Kanun Md. 5/2-a: Kanunlarda Açıkça Öngörülmesi
  • Kanun Md. 5/2-c: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Kanun Md. 5/2-ç: Hukuki Yükümlülüğünün Yerine Getirilmesi
  • Kanun Md. 5/2-e: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • Kanun Md. 5/2-f: Veri Sorumlusunun Meşru Menfaati

5.     ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN SAKLANMASI VE İMHA EDİLMESİ

5.1.Kişisel Verilerin Saklanması

Şirketimiz yalnızca mevcut gerçek bir veri işleme gerekçesinin mevcudiyetine bağlı olarak kişisel verileri işlemektedir. Şirketimiz, KVKK md.7/3 uyarınca KVK tarafından çıkarılan ve 28/10/2017 tarih ve 30224 sayılı Resmi Gazete’de yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik md.5/1 uyarınca bir Kişisel Veri Saklama ve İmha Politikası hazırlayarak kabul etmiştir.

Genel olarak bahsetmek gerekirse, Şirketimizde bulunan kişisel veriler,

  1. Ticari faaliyetlerin sürdürülebilmesi,
  2. Hukuki yükümlülüklerin yerine getirilebilmesi,
  3. Çalışan haklarının ve yan haklarının planlanması ve ifası ile özlük dosyası oluşturulması
  4. Müşteri ilişkilerinin yönetilebilmesi,
  5. Finans ve muhasebe işlerinin yürütülmesi

amaçlarıyla KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

KVKK md.12 uyarınca Şirketimiz;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almıştır. Şirketimiz, bulundurduğu kişisel verilerin güvenliğini temel olarak güvenli fiziki mekân belirlenmesi, uygun yetkilendirme esaslarına işlerlik kazandırılması ve elektronik ortamdaki kişisel verilere ilişkin alınan önlemler sayesinde mevzuata ve halin gerekliliklerine uygun şekilde sağlamaktadır.

İdari Tedbirler ve Teknik Tedbirler olarak iki başlık altında sınıflandırılan bu tedbirler şöyledir:

5.1.1.     İdari Tedbirler

  1. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır
  2. Gizlilik taahhütnameleri yapılmaktadır
  3. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir
  4. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir
  5. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır
  6. Kişisel veri güvenliğinin takibi yapılmaktadır
  7. Kişisel veriler mümkün olduğunca azaltılmaktadır
  8. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır
  9. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır
  10. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.sağlanmaktadır.

5.1.2.     Teknik Tedbirler

  1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  2. Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır,
  3. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır,
  4. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır,
  5. Güncel anti-virüs sistemleri kullanılmaktadır,
  6. Güvenlik duvarları kullanılmaktadır,
  7. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır,
  8. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır,
  9. Saldırı tespit ve önleme sistemleri kullanılmaktadır.

Şirketimizde bulunan kişisel verilerden çalışan adayları ilişkin kişisel veriler en fazla 1 yıl, bilişim sistemi üzerinden çalışanlarımıza ilişkin edinilen kullanıcı adı ve parola bilgileri 2 yıl, log kayıtları ise 2 yıl, kamera kayıtları üzerinden edinilen kişisel veriler 45 gün ve diğer kişisel veriler mevzuatla belirlenen süre veya Şirketimizin meşru menfaatinin mevcudiyeti süresince saklanır.

Şirketimizde bulunan kişisel verilerin fiziki güvenliği için de gerekli tedbirler alınmıştır. Şirketimizdeki kişisel verilerden fiziki varlığa bağlanmış olanlar faaliyet bazında her birim yöneticisinin kendi odasında bulunan kilitli arşivinde saklanmaktadır. Fiziki varlığa bağlanmayan bilişim sistemi üzerinden elde edilen kişisel veriler uygun güvenlik tedbirleri ile korunmaya alınmış sunucular üzerinde saklanmaktadır.

5.2.Kişisel Verilerin İmhası

Türk Ceza Kanunu md.138. ve KVKK md.7 çerçevesinde bulundurulan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde veri sahibinin talebi ile veya re’sen söz konusu kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

Şirketimiz KVKK ve ikincil mevzuata uygun olarak ve bu Politika Metninde yer alan şekilde sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da re’sen Kişisel Veri Saklama ve İmha Politikasına uygun surette belirtilen süreler içinde siler, yok eder veya anonim hale getirir.

Kişisel verilerin Şirketimizce imhasına ilişkin silme, yok etme ve anonim hale getirme teknikleri ve bu konularda uygulanacak prosedürler Kişisel Veri Saklama ve İmha Politikasında detaylı olarak yer almaktadır.

6.     VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

KVKK md.11 uyarınca herkes, Şirketimize başvurarak kendisiyle ilgili;

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, hakkına sahiptir.

Veri sahibinin bu haklarını etkin bir şekilde kullanmasını sağlamak üzere, Şirketimizde, bu başvuruların karşılanmasına dair bir iç düzenleme yapılmış ve gerek ilgililerden alınan açık rıza metinlerinde gerekse Şirketimiz web sitesinde, bu hakların neler olduğuna ve nasıl kullanılacağına ilişkin bilgi ve imkân sağlanmıştır. KVKK md.13 uyarınca veri sahibinden gelecek bu yöndeki başvurular değerlendirilerek, Şirketimizce 30 gün içerisinde muhataplara olumlu veya olumsuz olarak dönüş yapılacaktır. Bu işlemler için muhataplardan ücret talep edilmeyecektir.

7.     KİŞİSEL VERİ ÇALIŞMA KOMİTESİ

Şirketimizde, kişisel verilerin işlenmesi, kişisel verilerin işlenmesine ilişkin konulardaki mevzuat değişikliklerinin izlenmesi, yönetime değerlendirmelerin sunulması, Şirketimiz çalışanlarında kişisel verilerin işlenmesi konusundaki farkındalığın artırılması ve bunun kurum kültürünün bir parçası haline getirilmesi için yapılabilecek faaliyetler konusunda çalışma yapılması, kişisel verilerin işlenmesi konusunda yürürlüğe konulan yönetim belgelerinde gerekli değişiklik ve düzenlemelerin yapılması amacıyla genel müdür/sorumlu müdür tarafından, belirlenecek 2 personelden (insan kaynakları ve mali işler) oluşan Kişisel Veri İzleme Komitesi ihdas edilmiştir. Gerekli hallerde teknik bilgi ve deneyim için Şirket dışından hizmet alınacaktır.

8.     POLİTİKA METNİNİN YÜRÜRLÜĞÜ VE REVİZYONU

Şirketimiz, KVVK ve ilgili mevzuata uyum için gerekli işlemleri yapmış ve yükümlülükler yerine getirmiştir. Bunun yanında, bu Politika Metni Şirketimiz yönetim kurulu tarafından 01/09/2023 tarihinde kabul edilerek 01/09/2023 tarihi itibariyle yürürlüğe konulmuştur.

Bu Politika Metninde yapılması gerekli görülen revizyon teklifleri, Kişisel Veri İzleme Komitesi tarafından en kısa sürede genel müdüre/sorumlu müdüre sunulur.

Revizyon Tarihi Revizyon Maddesi ve Konu
1.  
2.