AYDINLATMA METNİ

AYDINLATMA METNİ (İNTERNET)

A.         ŞİRKET AÇIKLAMASI

Veri sorumlusu ASYA OTOMASYON SANAYİ VE TİCARET LİMİTED ŞİRKETİ olarak firmamız bünyesinde işlenen her türlü kişisel veri 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili ulusal ve uluslararası mevzuat hükümleri kapsamında korunmaktadır. Şirketimiz gerekli korunmanın sağlanması adına teknik ve idari tedbirleri vaktinde gereği gibi almakta olup her hangi bir ihlal şüphesi karşısında yasal hükümler çerçevesinde ilgili şahıslara, kurum ve kuruluşlara gerekli bildirimleri en kısa sürede yapmaktadır.

B.            KİŞİSEL VERİ KAVRAMI VE BU KAVRAMIN GELİŞİMİ ÜZERİNE AÇIKLAMALAR

Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir. Örneğin; ad, soyad, doğum tarihi, cep telefonu numarası, e-posta, cinsiyet, adres, meslek, eğitim, alışveriş noktası ve zamanı, ne kadar ödeme yaptığı, hangi kampanyadan faydalandığı, aldığı indirim tutarı, alışverişindeki ürün bilgileri, uygulama üzerindeki gezinme ve tıklama bilgileri, uygulamayı açtığı lokasyon bilgileri, vs.

Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alınan temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluşturulması gerekmektedir. Kişisel verilerin işlenebilmesi hususunda özel bir kanun ve etkin bir denetim mekanizmasının bulunmaması toplumumuzda olumsuz bir algının oluşmasına sebebiyet vermektedir. Oluşan bu algının ortadan kaldırılması için kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esasların belirlenmesi gerekmektedir.

Çağımızda insan haklarının korunması bilincinin gelişmesine paralel olarak, kişisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu nedenle günümüzde gelişmiş ülkelerde kişisel verilerin korunması alanında detaylı kanuni düzenlemelerin uygulanmakta olduğu görülmektedir.

Buna karşın ülkemizde, kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun bulunmamakta, bu konuya ilişkin hükümler farklı kanunlarda yer almaktadır. Ayrıca ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır. Bunun bir sonucu olarak, halen kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.

Ülkemizde kişisel verilerin korunmasını sağlayacak bir kanunun yürürlüğe girmesini gerektiren değişik sebepler bulunmaktadır. Öncelikle, 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir.

Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanunla Anayasanın 20 nci maddesinde yapılan düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür.

Yine ülkemizle ilgili olarak devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü, doğrudan kişisel verilerle ilgilidir. Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesi gerekmektedir.

Kişisel verilerin korunması konusu 1980’li yıllardan itibaren uluslararası belgelerde yer almaya başlamıştır. İlk olarak, ülkemizin de üyesi bulunduğu, İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23/9/1980 tarihinde “Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber İlkeler” kabul edilmiştir. Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır.

Avrupa Konseyi ayrıca, kişisel verilerin korunmasına yönelik, tıbbi veri bankaları, bilimsel araştırma ve istatistik, doğrudan pazarlama, sosyal güvenlik, sigorta, polis kayıtları, istihdam, elektronik ödeme, telekomünikasyon ve internet gibi çeşitli sektörlerde uygulanacak ilkeleri belirleyen tavsiye kararları da kabul etmiştir. Tasarının hazırlanması sırasında, söz konusu tavsiye kararları gözönüne alınmakla beraber, Tasarının “çerçeve tasarı” niteliği korunmuştur. Tüm sektörlerle ilgili düzenlemelere yer verilmesi halinde, Tasarının hacminin çok genişleyeceği düşünülerek, söz konusu tavsiye kararları Tasarıya alınmamıştır. Bu tavsiye kararlarında yer alan ilkelere, ilerleyen süreçte, değişik sektörlerle ilgili yapılacak düzenlemelerde yer verilebileceği değerlendirilmiştir.

Öte yandan, Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin mevzuatı arasında uyum sağlamak üzere, 24/10/1995 tarihinde “Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi”ni (95/46/EC) yürürlüğe koymuştur. Bu Direktifle, üye ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır. Kişisel verilerin korunmasına yönelik uluslararası belgeler göz önüne alındığında; bu konuya ilişkin hazırlanacak kanunda, kişisel verilerin işlenme şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin gerekli tedbirlerin alınmasının temel ilkeler olarak kabul edildiği görülmektedir.

2010 yılında 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile Anayasa’nın 20. maddesine ilave bir fıkra eklenmiştir. Söz konusu fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmiştir.

Anayasada da, kişisel verilerin korunmasıyla ilgili detaylı düzenlemelerin kanunla yapılacağı belirtilmektedir. Bu kapsamda 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Tasarıyla, kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.

C.       MUHATAP TANIMLAMASI

İş bu aydınlatma ve bilgilendirme metni şirketimizle her hangi bir şekilde ilişki kuran tüm muhataplara kanuni karşılığıyla ilgili kişilere hitaben yapılmaktadır. Bu kapsamdaki ilgili kişiler şunlardır:

  • Şirketimize ait kanallarına bağlanan/kullanan tüm kullanıcılar ( firmamız internet siteleri ve sosyal paylaşım sitesi adları şunlardır: https://asyaotomasyon.com )
  • Şirket’in ofis, depo ve mağazalarındaki misafir ağına (wifi) bağlananlar
  • Şirket Mobil uygulamalarını kullananlar ile şirket tahsisli özel programları kullananlar
  • Şirket veri tabanında (CRM Sisteminde) yer alan tüm müşteriler
  • Şirket mağazalarından ya da internet siteleri kanallarından alışveriş yapan müşteriler
  • Şirket mağazalarımızı herhangi bir amaçla ziyaret edenler
  • Şirket sosyal medya hesaplarından ŞİRKET ile iletişime geçen (yorum paylaşan, talepte bulunan dahil bunlarla sınırlı olmamak kaydıyla) tüm müşteriler
  • Şirketimizle doğrudan veya aracı danışmalık firmaları vasıtasıyla ticari ilişki içine giren üçüncü kişiler
  • Şirket çalışanları ve şirketin ortakları
  • Şirketimiz nezdinde adaylık sürecinde olanlar
  • Şirket’in müşterilerine tanıdığı fırsatlardan yararlanmak amacıyla anket, form dolduran tüm müşteriler
  • Şirket’e iş başvurusunda bulunmak amacıyla kariyer portallarından, İŞKUR, e-posta aracılığı ile, referans aracılığı ile, fiziki olarak başvuru formu doldurmak sureti ile özgeçmiş gönderen çalışan adaylarımız,
  • Hali hazırda Şirket bünyesinde çalışmaya devam eden çalışanlar
  • Şirketimiz nezdinde staj yapan yahut deneme süresi içinde çalışan kişiler
  • Herhangi bir sebeple iş akdi sona ermiş eski çalışanlar
  • Ticari faaliyetimiz kapsamındaki tüm iş ortaklarımıza ve bunların çalışanlarına
  • Yüz yüze, mesafeli, sözlü, yazılı ya da elektronik yolla kişisel verilerini şirket ile paylaşmış/paylaşacak; doğrudan vermiş/verecek veya şirket tarafından elde edilmesine olanak sağlamış/sağlayacak olan tüm gerçek kişilere

Yukarıda yer verilen ilgili kişiler haricinde de firmamızla herhangi bir hukuki, insani, ticari yahut sair bir ilişki içerisine giren herkes işbu metnin muhatabıdır.

Şirketimiz tarafından sunulan hizmetler kapsamında elde edilen kişisel veriler (online form ortamları yahut kasada firmamıza tahsisli … uygulaması üzerinden işlenen veriler) kesinlikle üçüncü kişilerle paylaşılmamakta olup, ilgili kişilere imzalatılan aydınlatılmış rıza metinleri ile yasal yükümlülükler kapsamında sadece ilgili veri işleyenler tarafından gizlilik ve güvenlik politikalarımız çerçevesinde muhafaza edilmektedir. İşin gereği yahut açık rızanın varlığı hallerinde söz konusu bilgileriniz nakliye firması gibi destek saylayıcı firmalar yahut hizmet sağlayıcılarla gizlilik politikaları kapsamında paylaşılabilecektir.

D.        KİŞİSEL VERİLERİN İŞLENMESİ VE VERİ İŞLENMESİNE HAKİM OLAN TEMEL İLKELER

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir. Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.

Kişisel verileriniz şirketimiz bünyesindeki ticari faaliyetin, iş yeri düzeni ve genel işleyişin gerekleriyle bağlantılı olarak 4857 sayılı İş Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar, Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 6502 sayılı Tüketicinin Korunması Hakkında Kanun ve 29166 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun başta olmak üzere sair kanunlardaki hükümler ve bu hükümler minvalinde çıkarılan sair mevzuatlar kapsamında işlenmektedir.

Kişisel verileriniz otomatik ya da otomatik olmayan yollarla, şirketimiz birimleri ve ofisleri, internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir. Çağrı merkezlerimizi veya internet sayfamızı kullandığınızda veya internet sitemizi, sosyal medya mecralarını ziyaret ettiğinizde, kişisel verileriniz oluşturularak ve güncellenerek işlenebilecektir.

Söz konusu veriler veri sorumlusu şirketimiz denetim ve sorumluluğunda veri işleyenler İnsan Kaynağı, Veri Koruma Birimi (DPO), Muhasebe, Bilgi İşlem, Çağrı Merkezi, Destek Hizmetleri ve diğer hizmet birimleri personel veya personelleri tarafından münhasır amaçlarıyla sınırlı olarak yasal çerçeveler içinde işlenmektedir. Yine kurum doktoru ve avukat/avukatları tarafından da işin gereği ve yasal gerekler minvalinde amaçla sınırlı olarak verilerin işlenmesi söz konusu olabilmektedir.

Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunlardır:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. Yukarıdaki ilkeler merkezinde verilerin korunması için gerekli teknik, hukuki ve idari gerekli tedbirleri almaktayız. Bu bağlamda şirketimiz bünyesinde gerekli çalışmalar yapılmış olup Kişisel Verilerin Korunması Kurumu Genel Kurulu kararları ve mevzuat değişiklikleri minvalinde söz konusu faaliyetler güncellenmektedir.

 

E.      KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

            Kişisel verilerin işlenmesi 6698 sayılı kanunun 3/e bendinde şu şekilde tanımlanmıştır:

‘’ Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,’’

            Söz konusu kişisel veri niteliğindeki bilgilerin ne şekilde işleneceği aynı kanunun 5. maddesinde şu şekilde ifade edilmiştir:

‘’ Kişisel verilerin işlenme şartları MADDE 5-

            (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

             (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

            ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’’

F.      ÖZEL NİTELİKTEKİ KİŞİSEL VERİ VE İŞLENME ŞARTLARI

            Bazı veriler nitelikleri ve doğası gereği diğer kişisel haklara nazaran daha vazgeçilmez niteliktedir. Bu nedenle iş bu hakların korunması ve işlenmesi söz konusu yasa kapsamında ayrıca ve sıkı şekil şartlarıyla birlikte düzenlenmiştir. Özel nitelikteki kişisel haklar kanunun 6/1 fıkrasında şu şekilde tanımlanmış ve sayılmıştır :

‘’Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.’’

            Söz konusu hakların ne şekilde işlenebileceği ise aynı maddenin diğer fıkralarında şu şekilde ifade olunmuştur:

‘’ (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

            3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

            (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.’’

            Siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve oluşumlar, kendi üye ve mensuplarının özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin, bir siyasi partinin veya sendikanın üyelerine ilişkin kimlik ve iletişim bilgilerini, fıkrada belirtilen şartlarla tutması, bu bent kapsamında değerlendirilecektir. Bu kuruluşlar, sadece kendi faaliyet alanlarıyla sınırlı olarak özel nitelikli veri işleyebileceklerdir. Örneğin, bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işleyemeyecektir.

İlgili kişinin kendisi tarafından kamuoyuna açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir. Zira ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.

Özel niteliği olan kişisel verilerin, bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması halinde söz konusu veriler rıza olmasa da işlenebilir. Örneğin, bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve işlenmesi de bu bent kapsamında değerlendirilecektir.

 

G.       TALEP EDİLEN KİŞİSEL VERİLER VE BUNLARIN İŞLENME AMAÇLARI

İlgili kişilerle akdedilen sözleşmeler, kurulan hukuki ilişkinin yasal gereği olarak tarafların bir birlerine sundukları bilgi ve belgeler, internet ortamında ya da fiziken doldurulan formlar, çağrı merkezi yahut ilgili birim temsilcimize bırakmış olduğunuz bilgiler, çerez politikası kapsamında elde edilen veriler ile sair temaslardan elde edilen bilgi ve belgeler başlıca veri kaynaklarıdır.

Yine dijital ortamlarda müşterilere ve diğer üçüncü kişilere daha iyi hizmet verme ve lehlerine olacak şekilde indirim ve sair fırsatlardan haberdar etmek için çerez politikaları uygulanmaktadır. Çerezler: bir web sayfası ziyaret edildiği zaman tarayıcılardaki kullanıcıların depolandığı küçük dosyalardır. Kişilerin web siteleri üzerinde aradıklarını tarayıcı geçmişinde kayıt tutar. Site üzerindeki hareketleri tarayıcı kayıtlarında tutarak bir web sitesine izin verir. Cookies 1994 yılında Netscape firması tarafından kullanılmaya başlanmıştır. İlk kullanım amacı bir kullanıcının girdiği siteye, tekrar girip girmediğini kontrol etmek içindi. Günümüzde cookies esas amacından fazla sapmadan fakat çok daha fazla bilgi almak için kullanılmaktadır. Hatırlanmamızı sağlayan cookies yani çerez ya da kurabiye dediğimiz text dosyalarıdır. Bilgilerimiz bu dosyalara yazıldığında aynı sitelere girdiğimizde bizi tanıyarak tekrar bilgilerimizi yazmaya gerek kalmaz. İnternette çeşitli web sitelerinde dolaşır, bazılarına üye oluruz. Üye olduğumuz bu sitelere girerken her seferinde kullanıcı adı ve şifremizi girmemek için beni hatırla ikonuna tıklarız. Bu ikona tıkladığımız andan itibaren çerezler devreye girer. Bize özel text dosyasına bilgilerimiz kaydedilir. Cookies’lerden okunan bilgiler sayesinde, siteyi açtığımız andan itibaren bilgilerimiz siteye ulaşır ve bizi tanır.

Talep edilen veriler ilgili kişilerin şirketimizle kurdukları ilişkilere göre çeşitlilik göstermekle birlikte başlık olarak şu şekilde kategorize dilebilir:

Kimlik Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren sürücü belgesi, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası vb. bilgiler
İletişim Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler
Aile Bireyleri ve Yakın Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz iş birimleri tarafından yürütülen operasyonlar çerçevesinde, kişisel veri sahibi tarafından Şirketimiz’e bildirilen aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
Güvenlik Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket merkezi, şubeleri, satış ofisleri ile her türlü tesislerine girişte, bu yerler içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar vb.
Mali Bilgi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz’in kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü mali bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler
Görsel/İşitsel Bilgi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fotoğraf ve kamera kayıtları (Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler
Özlük Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
Özel Nitelikli Kişisel Veri Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi)
Talep/Şikâyet Yönetimi Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler
Diğer

 

Kişisel verilerin işlenme şartları ise Kanunun 5. maddesinde sayılmış olup, buna göre aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür:

  • İlgili kişinin açık rızasının varlığı,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının 1 hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiş olup, bu şartlar genişletilemez.

Özel nitelikteki kişisel veriler ise ancak ilgili kişinin rızasıyla işlenebilir. Yine bunun yanında sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikteki kişisel veriler rıza şartı aranmaksızın kanuni şartlar kapsamında işlenebilir ( KVKK 6/2) .  Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Yukarıda bahsedildiği şekilde elde edilen bilgi ve belgeler şirketimiz nezdinde korunacak olup korunma ve tutulma şekilleri aşağıdaki gibidir:

Elektronik Ortamlar Elektronik Olmayan Ortamlar
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)

Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )

Kişisel bilgisayarlar (Masaüstü, dizüstü)

Mobil cihazlar (telefon, tablet vb.)

Optik diskler (CD, DVD vb.)

Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

Yazıcı, tarayıcı, fotokopi makinesi

 

 

Kağıt

Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)

Yazılı, basılı, görsel ortamlar

 

 

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

 Saklamayı Gerektiren Hukuki Sebepler

Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 4734 sayılı Kamu İhale Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 5018 sayılı Kamu Mali Yönetimi Kanunu,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 5434 sayılı Emekli Sağlığı Kanunu,
  • 6102 sayılı Türk Ticaret Kanunu
  • 6502 sayılı Tüketicinin Korunması Hakkında Kanun
  • 29166 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
  • 213 Sayılı Vergi Usul Kanunu
  • 193 Sayılı Gelir Vergisi Kanunu
  • 27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik
  • 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
  • 29029 Sayılı ve 13.06.2014 Tarihli Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği
  • 26751 Sayılı Suç Gelirlerinin Aklanmasının Ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

  • İnsan kaynakları süreçlerini yürütmek.
  • Şirket içi iletişimi sağlamak.
  • Şirket ve şirket çalışanları ile üçüncü kişi konum undakilerin güvenliğini sağlamak,
  • İstatistiksel çalışmalar yapabilmek.
  • Kurum içi etkinlik yönetimini sağlamak
  •  İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi
  • Talep ve şikayet yönetimi
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
  • Kişisel Verilerin Korunması Hakkında Kanun ve Kurul kararı doğrultusunda VERBİS sistemi için gerekli bilgi ve belgeleri temin edip Kuruma bildirmek
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
  • Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
  • Şirketin üretim ve ticari politikaları kapsamında işlemleri yürütmek.
  • Yasal raporlamalar yapmak.
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

Yukarıdaki mevzuat hükümleri ve sözleşme gerekleri kapsamında elde edilen veriler veri sorumlusunun gözetiminde gizlilikleri korunarak yasal süreler içerisinde veri işleyenler tarafından korunacaktır. Şirketimiz veri işleyenleri şunlardır:

  • Şirketimiz muhasebe departmanı/birimi
  • Şirketimiz insan kaynakları departmanı/birimi
  • Şirketimiz disiplin kurulu
  • Şirketimiz Kişisel Verilerin Korunmasından Sorumlu kişiler
  • Şirketimiz irtibat kişisi (bu kişi aynı zamanda kişisel verilerin korunmasından sorumlu kişidir)
  • İşe alımlarda ve şirket içi yetkilendirme ile işçi görüşmelerinde idari personel
  • Şirket doktoru
  • Performans değerlendirmeleri bakımından birim şefleri
  • Şirket avukatları
  • Mali müşavirler
  • Özel hizmet sağlayıcıları

Söz konusu işin niteliğine göre başka kişilerde veri işleyen olarak halin ve işin icabı gereği bu statüye girebilir. Her kim veri işleyen sıfatını almış ise ilgili mevzuat gereği veri güvenliğini sağlamaya çalışacak olup söz konusu verileri amaçla sınırlı olarak kullanacaktır. Örneğin,  sağlık kayıtları muhasebe birimi tarafından incelenmeyecektir.

Kişisel veriler veri işleyenler tarafından herkesin ulaşamayacağı yerde sadece işleyen kişiye tahsisli anahtarla kilitli olarak muhafaza edilecektir. Söz konusu verilerin güvenlikleri 24 saat usulü çalışan kameralarla sağlanacaktır.

Söz konusu verilerin dijital ortamlarda işlenmesi halinde özel kilitli doyalar içinde tutulacak olup söz konusu dijital ortamın güvenliği sağlanmakla birlikte dosya şifreleri sadece işleyenlere tahsisli olacaktır.

H.     KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ VE İMHALARI

Şirketimiz bünyesinde verilerin imhası için yılın Ocak ve Temmuz ayları imha dönemleri olarak belirlenmiştir. İlgili kişilerden elde edilen kişisel veriler saklama sürelerinin bitiminden itibaren takip eden imha dönemi içinde şirket bünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından silinecek, yok edilecek veya anonim hale getirilecektir. İmha işlemine ilişkin tutanaklar bağımsız bir yerde şirket bünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından 3 (üç) yıl süreyle tutulacaktır. Üç yıl sonra söz konusu tutanaklarda imha edilecektir. İmha işlemine ilişkin 28 Ekim 2017 tarih ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri esas alınacaktır.

İmhayı gerektiren sebepler şunlardır:

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmamasıdır.

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.