Çağrı Merkezi: 0 542 220 13 14
Türkçe
İÇİNDEKİLER
Kişisel verilerin korunması, Anayasal bir hak olup, Veri Sorumlusu olarak “SİR Hazır Giyim Tekstil Sanayi ve Ticaret Ltd.Şti. (Bundan sonra “SİR Tekstil” veya “Şirket” olarak anılacaktır.)” ’nin öncelikleri kapsamında yer almaktadır. Bu amaç doğrultusunda devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve işbu politika oluşturulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, Veri Sorumlusu olarak, “SİR Hazır Giyim Tekstil Sanayi ve Ticaret Ltd.Şti. Meşrutiyet Mah. Hrant Dink Sok. No:27A Şişli- İSTANBUL“adresinde, genel aydınlatma yükümlülüğünü yerine getirmek ve Şirketimiz kişisel veri işleme kurallarının temel esaslarını belirlemek üzere işbu Politika yapılmakta ve bu kapsamda müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, stajyer ve öğrencilerimizin, tedarikçi/alt işveren çalışanlarının ve yetkililerinin, şirket hissedarlarımızın ve şirket ortaklarımızın, ziyaretçilerimizin ve diğer verisini işlediğimiz üçüncü kişilerin kişisel verilerinin korunması konusundaki temel esaslar düzenlenmektedir.
Bu Politika ’da belirtilen konuların uygulanmasına yönelik olarak Şirket içerisinde gerekli politika ve prosedürler düzenlenmekte, Kişisel Veri İşleme Envanteri ile uyumlu bilgilendirme (Aydınlatma) metinleri oluşturulmakta, kişisel verilere erişimi olan Şirket çalışanları ve üçüncü taraflarla kişisel verilerin korunması ve gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için “SİR Tekstil”tarafından gereken teknik ve idari tedbirler alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır. Kişisel Verilerin Korunması konusu üst yönetim tarafından da sahiplenilmekte, bu konuda özel bir Komite oluşturulmak (SİR Tekstil KVK Komitesi – Ekip Listesi) suretiyle kişisel verilerin korunması süreçleriyönetilmektedir.
Bu Politikanın temel amacı, Şirketimiz tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri şirketimiz tarafından işlenen kişileri aydınlatarak ve bilgilendirerek şeffaflığı sağlamaktır.
Bu Politika; “müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, stajyer tedarikçi/alt işveren çalışanları ve yetkilileri, şirket hissedarlarımız ve şirket ortaklarımız, ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler” başlıkları altında kategorize ettiğimiz kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilerine ilişkindir.
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
Politika Şirketimizin internet sitesinde (www.sir1967.com) yayımlanır ve İlgili kişinin (Veri Sahibi) erişimine sunulur ve gerektiğinde güncellenir.
ü Anayasa’nın 20. maddesine ve 6698 Sayılı KVK Kanunu’nun 4. maddesine uygun olarak; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunabilir. Şirketimiz kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verilerisaklamaktadır.
ü Anayasa’nın 20. ve KVK Kanunu’nun 5. maddeleri gereğince, kişisel verileri, bu verilerin işlenmesine ilişkin 6698 Sayılı KVK Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir.
ü Borçlar Kanunu’nun 419. maddesi gereğince, 6698 Sayılı KVK Kanunu’nu saklı kalmak kaydıyla, çalışanların ve çalışan adaylarının kişisel verilerini, işe yatkınlık ve iş sözleşmesinin ifası amaçlarına dayalı olarak işlemektedir.
ü Anayasa’nın 20. ve KVK Kanunu’nun 10. maddelerine uygun olarak, kişisel veri sahiplerini aydınlatmakta (Bilgilendirmekte) ve kişisel veri sahiplerinin bilgi talep etmeleri ve kanundan doğan haklarını kullanmak üzere başvurmaları durumunda gerekli bilgilendirmeyi yapmakta, başvurulara yasal süresi içinde yanıt vermektedir.
ü 6698 Sayılı KVK Kanunu’nun 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
ü 6698 Sayılı KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen kurallara uymakta ve KVK Kurulu tarafından alınan karar ve yayınlanan tebliğler ile güvenli ülke listelerini dikkate alarak uygulama yapmaktadır.
a) Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesini gerektirecek hukuksal dayanakları tespit ederek işlem yapmakta, ölçülülük gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamakta, kişilerin bilgisi dışında işleme faaliyeti yapmamaktadır.
b) Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta, bu doğrultuda gerekli tedbirleri almaktadır. Bu kapsamda tüm kişi kategorilerine ilişkin veriler güncel tutulmaya çalışılmaktadır. Özellikle müşteri ve potansiyel müşteri verileri özenle güncellenmekte, kişilere rızalarına aykırı biçimde pazarlama ve tanıtım amaçlı e-posta ve teklifler gönderilmemektedir.
c) Belirli, Açık ve Meşru Amaçlarla İşleme
Meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin işleneceği amaç işleme faaliyeti öncesi belirlenmekte ve “Kişisel Veri Envanteri” ‘ne de ayrıca işlenmektedir.
d) İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu kapsamda süreçler sürekli gözden geçirilmekte, “kişisel verilerin azaltılması” ilkesi hayata geçirilmeye çalışılmaktadır.
e) İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bu kapsamda hukuk ve ceza zamanaşımı sürelerini dikkate almakta ve kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin Kişisel Veri Saklama ve İmha Politikası ve BGYS Kapsamında “İMHA” prosedürüne göre silinmekte, yok (imha) edilmekte veya anonim halegetirilmektedir.
Kişisel verilerin korunması Anayasa’da tanımlanmış bir hak olup, temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimizce, kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin (Veri Sahibi) açık rızası aranmaksızın kişisel verileriişlenmektedir;
ü Kanunlarda açıkçaöngörülmesi,
ü Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunluolması,
ü Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekliolması,
ü Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
ü İlgili kişinin kendisi tarafından alenileştirilmişolması,
ü Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunluolması,
ü İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunluolması
Yukarıdaki şartların bulunmaması halinde Şirketimizce ilgilinin açık, özgür iradeye ve bilgilendirmeye dayalı rızasına başvurulmaktadır. Özellikle İnsan Kaynakları ve çalışma ilişkileri alanında, çalışanın bağımlılık ilişkisi dikkate alınarak verinin öncelikle rıza dışında kalan hukuka uygunluk sebeplerine dayanılması esas tutulmakta, ancak bu sebeplerin söz konusu olmaması durumunda açık rızaya başvurulmaktadır. Buna karşılık pazarlama gibi faaliyetlerde ilgilinin rızası esas alınarak işleme faaliyeti gerçekleştirilmektedir. Ancak her halde kişisel verilerin işlendiği tüm durumlarda kişiler mutlaka “Bilgilendirme (Aydınlatma) Formuna dayalı veri işleme faaliyetigerçekleştirilmektedir.
Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, 6698 Sayılı KVK Kanununda öngörülen düzenlemelere uygun davranılmaktadır. KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. KVK Kanununa uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler, gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
ü Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veya kişisel veri sahibinin açık rızası var ise buna dayalıolarak,
ü Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veya kişisel veri sahibinin açık rızası ile işlenmektedir.
ü Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (KVK Kanunu Md. 4).
Özel nitelikli verilerin korunması ile ilgili olarak şirketimizde iş bu “Kişisel Verilerin Korunması ve İşlenmesi Politikası” yürürlüğe konulmuş olup, iş birimlerimizde bu politika hükümlerine göre hareket edilmekte ve gereken tedbirler alınmaktadır.
Veri Sorumlusu olarak “SİR Tekstil”, 6698 Sayılı KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini bilgilendirmektedir. (Aydınlatmaktadır.) Bu kapsamda verisi işlenen ilgili kişiye (Veri Sahibi) kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel verisi işlenen ilgili kişinin (Veri Sahibi) hakları konusunda bilgilendirme (Aydınlatma) yapılmaktadır. KVK Kanunu’nun 11. maddesinde kişisel verisi işlenen ilgili kişinin (Veri Sahibi) hakları arasında “Bilgi Talep Etme” de sayılmış olup, Şirketimiz bu kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun 11. maddelerine uygun olarak kişisel verisi işlenen ilgili kişinin (Veri Sahibi) bilgi talep etmesi durumunda gerekli bilgilendirme yapılmakta, bu konuda SİR Tekstil Ofisimizden ve/veya SİR Tekstil’e ait Internet sitemiz üzerinden (www.sir1967.com) ‘de bulunan “ İlgili Kişi Veri Sahibi Başvuru formu“ ile işlem yapılmaktadır.
Veri Sorumlusu olarak “SİR Tekstil“ hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verisi işlenen ilgili kişinin (Veri Sahibi) kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirketimiz bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareketetmektedir.
Meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanunun 5.maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
Kişisel verisi işlenen ilgili kişinin (Veri Sahibi) açık rızası var ise buna dayalı olarak veya;
ü Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme varise,
ü Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerliliktanınmıyorsa;
ü Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekliise,
ü Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunluise,
ü Kişisel veriler, ilgili kişinin (Veri Sahibi) kendisi tarafından alenileştirilmişise,
ü Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunluise,
ü Kişisel verisi işlenen ilgili kişinin (Veri Sahibi) temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu iseaktarılmaktadır.
Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (KVK Kanunu Md. 4).
Veri Sorumlusu olarak “SİR Tekstil“ gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin (Veri Sahibi) özel nitelikli verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
ü İlgili kişinin açık rızası var ise buna dayalı olarak;
ü İlgili kişinin (Veri Sahibi) sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülenhallerde,
ü İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafındanişlenebilir.
Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (KVK Kanunu Md. 4).
Veri Sorumlusu olarak “SİR Tekstil“ Hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak işlediği kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından kişisel veriler; KVK Kurulu tarafından GDPR ’a uyum sağlamış ülkelere, yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır. Şirketimiz bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareketetmektedir.
Veri Sorumlusu olarak “SİR Tekstil“ Meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin (Veri Sahibi) açık rızası var ise veya kişisel verisi işlenen ilgili kişinin (Veri Sahibi) açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere ve GDPR ‘a uygunluk sağlamış ülkelere aktarabilmektedir:
ü Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme varise;
ü Kişisel verisi işlenen ilgili kişinin (Veri Sahibi) veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel verisi işlenen ilgili kişi (Veri Sahibi) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerliliktanınmıyorsa;
ü Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekliise;
ü Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunluise;
ü Kişisel veriler, ilgili kişinin (Veri Sahibi) kendisi tarafından alenileştirilmişise;
ü Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunluise;
ü Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunluise
Şirketimizin faaliyet ve kuruluş amaçlarının yerine getirilmesini sağlamak, Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak, Şirketimizin insan kaynakları ve istihdam politikalarının yürütülmesini sağlamak, Şirketimizin iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınmasını sağlamak gibi amaçlarla veri aktarımı gerçekleştirilmektedir.
b) Verilerin Aktarıldığı Kişiler
Şirketimiz 6698 Sayılı KVK Kanunu’nun 8. ve 9. maddelerine istinaden kişisel verileri aşağıda belirtilen kişi kategorilerine aktarılabilir:
|
Yetkili Kamu Kuruluşları |
Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları |
İlgili mevzuat hükümlerine göre veri paylaşımı yapılmaktadır. |
|
Yetkili Özel Hukuk Kişileri |
Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişileri |
İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak veri paylaşımı yapılmaktadır. |
|
Tedarikçiler
|
Şirketimizin ticari faaliyetlerini yürütürken Şirketimize hizmet sunan veya Şirketimiz tarafından hizmet sunulan taraflar |
Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize veya şirketimiz tarafından sunulmasını sağlamak amacıyla sınırlı olarak veri paylaşımı yapılmaktadır. |
Şirketimiz tarafından gerçekleştirilen aktarımlarda işbu Politika ile (Kişisel Verilerin Korunması ve İslenmesi Politikası) düzenlenmiş ilke ve kurallara uygun olarak hareket edilmektedir
Şirketimizde verisi işlenen kişiler ve bu kapsamda işlenen veriler aşağıdaki şekilde kategorize edilmektedir;
KİŞİ KATEGORİZASYONU
|
Çalışan Adayı |
Şirketimize herhangi bir yolla iş başvurusunda bulunmuş veya özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler |
|
Çalışan |
Şirketimizde çalışan gerçek kişiler |
|
Potansiyel Müşteri |
Hizmetlerimizi kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler |
|
Tedarikçi Çalışanı |
Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan gerçek kişiler |
|
Tedarikçi Yetkilisi |
Şirketimizin iş ilişkisi içerisinde bulunduğu kurumların hissedarları ve yetkilileri gerçek kişiler |
|
Müşteri |
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu hizmetleri kullanan veya kullanmış olan gerçek kişiler |
|
Ziyaretçi |
Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler |
|
DİĞER |
Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. Aile Bireyleri ve yakınlar) |
VERİ KATEGORİZASYONU
|
Kimlik Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı vs. dokümanlarda yer alanbilgiler |
|
İletişim Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail vs. gibi bilgiler |
|
Lokasyon Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibininhizmetlerimizi kullanımı sırasında veya çalışanlarımız ile iş birliği içerisinde olduğumuz kurumların çalışanlarının Şirketimizin araçlarını kullanırken bulunduğu yerin konumunu tespit edenbilgiler |
|
Özlük Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişiselveri |
|
Hukuki İşlem ve Uyum Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz |
|
Müşteri işlem Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler |
|
Fiziksel Mekân Güvenlik Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler |
|
İşlem Güvenlik Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; faaliyetler yürütülürken teknik, idari, hukuki ve ticari güvenliğin sağlaması için işlenen kişisel veriler. |
|
Risk Yönetim Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler |
|
Finansal Veriler |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler |
|
Performans ve Kariyer Gelişim Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişiselveriler |
|
Pazarlama Verileri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor vedeğerlendirmeler |
|
Görsel ve İşitsel Veriler |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik bir şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen kişisel veridir; Ör: fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
|
Özel Veriler (Sağlık, Cinsel Hayat) |
Sağlık ve cinsel hayata ilişkin veriler Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler |
Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4.maddesinde genel ilkelere uygun olarak hareket edilmektedir. Buna göre; her türlü veri işlemesinde,
a)Hukuka ve dürüstlük kurallarına uygunolma,
b)Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar içinişlenme,
d)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülüolma,
e)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme genel ilkeleri göz önündetutulmaktadır.
a) Kişisel Veri Sahibinin Açık RızasınınBulunması
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
b) Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
Örneğin, Kimlik Bildirme Mevzuatı uyarınca Çalışanlarımızın kimliklerinin yetkili mercilere bildirilmesi.
c) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, kaza ve benzeri durumlarda ilgili kişinin (Veri Sahibi) kan grubu veya sağlık bilgilerinin sağlık görevlisi veya hekim ile paylaşılması.
d) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin, iş sözleşmesinin ifa edilmesi için adaydan CV alınması, sözleşme kapsamında tebligat yapılabilmesi için adres alınması gibi.
e) Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
f) Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
İlgili Kişi (Veri sahibi)’nin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde kişisel veriler işlenebilecektir. Örneğin, Veri Sorumlusu olan Şirketimiz müşterilerinin internet üzerinde herkese açık bir platformda şikâyet, talep veya önerilerini sunması halinde bu müşteriler ilgili bilgilerini alenileştirmiş olur. Bu durumda Veri Sorumlusu olan Şirketimiz tarafından, şikâyet, talep veya önerilere cevap verme amacıyla sınırlı olmak kaydıyla verilerin işlenmesi mümkündür.
g) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, ispat niteliği olan verilerin (satış sözleşmesinin, faturanın) saklanması ve gerekli olduğu anda kullanılması.
h) Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Veri Sorumlusu Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Şirketin güvenlik kamerası ile hırsızlığa karşı veya iş güvenliği amacıyla kritik noktalarının izlenmesi.
Veri Sorumlusu Şirketimiz tarafından özel nitelikli kişisel veriler, kişisel veri sahibinin açık rızasının olmaması durumunda ancak, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla kanunlarda öngörülen hallerde işlenebilir. Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü dahilinde bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır (KVK Kanunu Md. 4).
Veri Sorumlusu olarak şirketimiz 6698 Sayılı KVK Kanunun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel veriler işlemektedir. Veri işleme sürecinde yukarıda belirtilen hukuki dayanaklar dikkate alınmakta, diğer hukuka uygunluk sebepleri bulunmuyor ise ilgilinin Açık Rızası talep edilmektedir. İlgilinin Açık Rızası Kanunda belirtildiği üzere "Aydınlatma ilkeleri doğrultusunda, bilgilendirmeye ve özgür iradeye dayalı biçimde" alınmaktadır. Kişisel verilerin işlenme amaçları Veri Sorumlusu Şirketimizin “Kişisel Veri Envanteri” nde de ayrıca belirtilmektedir.
Şirketimiz birimlerinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir;
ü İşveren olarak iş sözleşmesinden doğan karşılıklı yükümlülüklerin yerine getirebilmesi için çalışanların kişisel verilerinin işlenmesi gerekmektedir. Çalışanların kişisel verileri; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlenmekte ve saklanmaktadır. Bu kapsamda, çalışanların kanunlara uygun olarak çalıştırılabilmesi için gerekli olan amaçlar doğrultusunda, iş sözleşmesinin kurulması, ifası ve sona ermesi süreçlerinin hukuka uygun şekilde yürütülmesi, temel hak ve özgürlüklere aykırı olmamak koşuluyla Şirketin meşru menfaatleri, kanunda açık olarak öngörülen durumlar, çalışan istihdamına bağlı hukuki yükümlülüklerin yerine getirilmesi, yasal takip durumlarında hakkın tesisi, kullanılması ve korunması için veri işlemenin zorunlu olması durumları ve bunların dışında kalan durumlarda çalışanlardan talep edilecek açık, bilgilendirmeye dayanan ve çalışanların özgür iradesi ile açıklayacağı rızası, kişisel veri işlemesinin hukuki dayanaklarınıoluşturmaktadır.
ü Şirketin iştigal konusunun gerektirdiği faaliyetler kapsamında, işverenin meşru menfaatleri çalışanların kişisel verilerinin işlenmesini gerekli kılmaktadır. Bu nedenle olası suistimallerin önlenmesi, hırsızlığın engellenmesi, genel güvenlik veya iş sağlığı ve güvenliğinin sağlanması gibi nedenlerle çalışanların kişisel verilerini işleme faaliyeti yapılmıştır/yapılabilmektedir. Ancak, bu durumda da çalışanların temel hak ve özgürlüklerine zarar verilmemesine büyük bir özengösterilmektedir.
ü İşlenmekte olan çalışanların kişisel verilerinin büyük bir çoğunluğu çalışanlar tarafından Şirkete verilen bilgilerden elde edilmektedir. Bazı durumlarda, Şirket yöneticileri gibi iç kaynaklardan veya çalışanların referanslarından veya çalışma hayatı gereklilikleri nedeniyle kamu kurum vekuruluşları tarafından tesis edilmiş olan sistemlerdeki verilerden de çalışanların kişisel verileri Şirkete gelebilmektedir.
ü İşlenmekte olan çalışanların kişisel verileri, başvuru formaları ve çalışanların referansları, iş sözleşmeleri ve değişiklikleri, çalışanların iletişim bilgileri, bordro için gerekli olan bilgiler, acil durumlarda iletişim kurulacak kişiler gibi aile veya yakın bilgileri, çalışanların eğitim kayıtları, performans değerlendirme kayıtları, disiplin kayıtları, kamera kayıtları gibi bilgilerdenoluşmaktadır.
ü Çalışanların kişisel bilgilerinin işlenmesi ile ilgili olarak, birçok Şirket politika ve prosedüründe kurallar bulunmaktadır. Bu konuda özellikle Veri Sorumlusu Şirketin web sitesinde (www.sir1967.com) bulunan “Kişisel Verilerin Korunması ve İşlenmesi Politikası” incelenebilir.
ü Çalışanların sağlık bilgileri de işlenen kişisel veriler arasında yer almaktadır. Çalışanların sağlık ve cinsel hayatlarına ilişkin bilgiler kural olarak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir. Bu kapsamda, çalışanların sağlık verileri ve bunlarla ilgili detaylar kural olarak işyeri hekiminde ve sağlık birimindebulunmaktadır.
ü “Çalışan” statüsüne geçildikten sonra (çalışan adaylığı sürecince bazı bilgiler talep edilmemektedir) gerekliliklerinin yapılabilmesi için kanunun açık hükümleri gereği işlenebilmektedir. Bunun dışında çalışanların, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet ile biyometrik ve genetik verileri kural olarak kanunda açıkça öngörülmüş olmadığı sürece, işlenen kişisel veriler arasında yer almamakta, istisnai bir uygulamaya gidilecek ise, kişisel veriler işlenmeden önce gereklilikler özenle değerlendirilmektedir.
ü Şirketin bilgi iletişim araçları (telefon, mobil telefonlar, bilgisayarlar ve internet) üzerinde denetim ve gözetimleri söz konusudur. 5651 sayılı Kanun ve Veri Sorumlusu olarak şirketimizin meşru menfaatleri söz konusu uygulamaların hukuki dayanaklarınıoluşturmaktadır.
ü Şirketimizin insan kaynakları politikalarının yürütülmesinin sağlanması amacı doğrultusunda; insan kaynakları politikalarına uygun şekilde açık pozisyonlara uygun personel temini, insan kaynakları operasyonlarının yürütülmesi, çalışan adayı seçimi, özlük işlerinin yönetilmesi, eğitim ve kariyer planlarının belirlenmesi, iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması kişisel verilerin işlenme amaçlarınıoluşturmaktadır.
ü Tedarikçi / alt işveren çalışanlarının kişisel verileri de Kurumumuzca gerektiğinde işlenebilmektedir. 6331 sayılı Kanunda da belirlendiği üzere asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlar ile ilgili olarak kontrol edilmesi gereken belgeler ve bilgiler belirtilmiş bulunmaktadır ve ayrıca 4857 sayılı iş kanununda, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nda da alt işveren işçileri ve geçici işçiler ile ilgili asıl işverene yükümlülükler getirilmiş ve bu kapsamda kontrol edilmesi gereken hususlar belirtilmiştir. Söz konusu bu kanunlara istinaden tedarikçi ve başka işverene bağlı olarak işyerimizde çalışan işçilerin kişisel verilerinin işlenmesi başta söz konusu yasal düzelmeler olmak üzere veri sorumlusu olarak işletmemizin meşru menfaatlerine dayanmaktadır.
ü Acil durum yönetimi süreçlerininyürütülmesi
ü Bilgi güvenliği yönetim süreçlerininyürütülmesi
ü Denetim/etik faaliyetlerininyürütülmesi
ü Erişim yetkilerininyürütülmesi
ü Faaliyetlerin mevzuata uygunyürütülmesi
ü Finans ve muhasebe işlerininyürütülmesi
ü Firma/hizmetlere bağlılık süreçlerininyürütülmesi
ü Fiziksel mekân güvenliğinintemini
ü Hukuk işlerinin takibi ve yürütülmesi
ü İç denetim/soruşturma/istihbarat faaliyetlerininyürütülmesi
ü İletişim faaliyetlerininyürütülmesi
ü Hizmet ve operasyon süreçlerininyürütülmesi
ü Müşteri ilişkileri süreçlerininyürütülmesi
ü Müşteri memnuniyetine yönelik aktivitelerinyürütülmesi
ü Pazarlama analiz çalışmalarınınyürütülmesi
ü Performans değerlendirme süreçlerininyürütülmesi
ü Saklama ve arşiv faaliyetlerininyürütülmesi
ü Sözleşme süreçlerininyürütülmesi
ü Stratejik planlama faaliyetlerininyürütülmesi
ü Talep / şikâyetlerintakibi
ü Taşınır mal ve kaynakların güvenliğinintemini
ü Tedarik zinciri yönetimi süreçlerininyürütülmesi
ü Veri sorumlusu operasyonlarının güvenliğinintemini
ü Yetkili kişi, kurum ve kuruluşlara bilgiverilmesi
ü Yönetim faaliyetlerininyürütülmesi
ü İş sağlığı ve güvenliği, genel güvenlik, ürün güvenliği amaçlarıyla işyerinde kamera ile izleme faaliyeti, Şirketin meşru menfaatleri dikkate alınarak, ziyaretçilerimizin, bu kapsamda verisi işlenen kişilerin ve özellikle çalışanların temel hak ve özgürlüklerine zarar vermemek
Kaydıylagerçekleştirilmektedir.
Veri Sorumlusu olarak, Türk Ceza Kanunu’nun 138.maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok (imha) edilir veya anonim hâle getirilmektedir.
Veri Sorumlusu olarak şirketimiz, ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler o veriyi işlerken sunduğu hizmetlerle bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte, hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok (imha) edilmekte veya anonim hale getirilmektedir.
Türk Ceza Kanunu’nun 138.Maddesinde ve KVK Kanunu’nun 7.maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinmekte, yok (imha) edilmekte veya anonim hâle getirilmektedir. Bu kapsamda Şirketimiz ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.
a) Kişisel Verilerin Silinmesiİşlemi
Veri Sorumlusu olarak şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimizce, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler BGYS ve KVK Kanunu Kapsamında alınmaktadır.
b) Kişisel Verilerin Silinmesi Süreci
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
ü Silme işlemine konu teşkil edecek kişisel verilerinbelirlenmesi.
ü Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespitedilmesi.
ü İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespitedilmesi.
ü İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadankaldırılması.
c) Kişisel Verilerin Silinmesi Yöntemleri
Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle silinmektedir.
a) Kişisel Verilerin Yok (imha) Edilmesiİşlemi
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri yok (imha) edebilir. Kişisel verilerin yok (imha) edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, kişisel verilerin yok (imha) edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri BGYS ve KVK Kanunu Kapsamında almaktadır.
b) Kişisel Verilerin Yok Edilmesi Yöntemleri
Kişisel verilerin yok (imha) edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemler tek tek yok edilir.
d) Kişisel Verilerin Anonimleştirilmesiİşlemi
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Veri sorumlusu olarak, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. Kişisel veriler, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi suretiyle anonimleştirilmesi gerçekleştirilmektedir. Şirketimiz, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri BGYS ve KVK Kanunu kapsamında almaktadır. KVK Kanunu’nun 28. maddesine uygun olarak anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
e) Kişisel Verilerin Anonimleştirilmesi Yöntemleri
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin (Veri Sahibi) kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir kişiyi tanımlayamaz olmasıgerekmektedir.
Şirketimizce kişisel verisi işlenen kişiler aşağıda yer alan haklara sahiptir:
ü Kişisel veri işlenip işlenmediğiniöğrenme, işlenmişse buna ilişkin bilgi talepetme,
ü Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığınıöğrenme,
ü Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesiniisteme,
ü Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileribilme,
ü KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
ü İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itirazetme,
ü Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talepetme.
İlgili Kişilerin (Veri Sahibi) KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarını kullanmakla ilgili taleplerini, aşağıdaki yöntemlerle Şirketimize iletmesi gerekli ve yeterlidir;
|
Başvuru Yöntemi |
Başvurunun Yapılacağı Adres |
Başvuru Gönderiminde Belirtilecek Bilgi |
|
Şahsen Başvuru (Başvuru sahibinin Bizzat gelerek Kimliğini tevsik Edici belge ile Başvurması) |
Meşrutiyet Mah. Hrant Dink Sok. No:27A Şişli- İSTANBUL |
Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” Yazılacaktır. |
|
Noter vasıtasıyla Tebligat |
Meşrutiyet Mah. Hrant Dink Sok. No:27A Şişli- İSTANBUL |
Tebligat Zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” Yazılacaktır. |
|
“Güvenli Elektronik imza” İle imzalanarak Elektronik Posta Yoluyla |
|
E-Postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” Yazılacaktır. |
Başvuruda;
Ad, soyada ve başvuru yazılı ise imza, T.C. vatandaşları için T.C. Kimlik Numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenir.
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.
Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda özel olarak yetkili olmanız ve yetkinizi belgelendirilmesi, başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin eklenmesigerekmektedir. Veri sahiplerine ilişkin başvuru formu, Şirketimizin web sitesinden (www.sir1967.com) temin edebilirsiniz.
Kişisel veri sahibinin, talebini öngörülen usule uygun olarak Şirketimize iletmesi durumunda talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden (Veri Sahibi) bilgi talep edebilir. Kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir. Başvurular İlgili Kişi Veri Sahibi Başvuru ‘suna göre Şirketimiz içinde yönetilmektedir.
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari tedbirleri BGYS ve 6698 sayılı KVK Kanunu Kapsamında almaktadır. Bu kapsamda,
ü “SİR Tekstil“‘de VERBİS sistemine uyumlu Veri Envanteri çıkarılmakta, hukuka ve amaca uygunluk denetimleriyapılmaktadır.
ü Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir.
ü “SİR Tekstil“‘in yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme faaliyetleri ortayakonulmaktadır.
ü “SİR Tekstil“‘in iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı KVK Kanunu’nun aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelindebelirlenmektedir.
ü “SİR Tekstil“ ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Veri Sorumlusu olarak “SİR Tekstil“‘in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler BGYS ve KVK Kanunu Kapsamında yürütülmektedir. Şirketimiz ile Şirketimizin sorumlu olduğu verileri işleyen üçüncü taraflar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda BGYS ve KVK Kanunu Kapsamında “Tedarikçi / Yüklenici Gizlilik Sözleşmesi” yürürlüğe konulmuş bulunulmaktadır.
KVK Kanunu ile bir takım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
“SİR Tekstil“ tarafından, 6698 sayılı KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da özenle uygulanmakta ve gerekli denetimler sağlanmaktadır. Bu kapsamda;
ü Özel nitelikli kişisel verilerin güvenliğine ve işlenme esaslarına ilişkin olarak iş bu “Kişisel Verilerin Korunması ve İşlenmesi Politikası” hazırlanmıştır.(Ayrıca Özel Nitelikli Kişisel Veri Politikası incelenebilir)
ü Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmakta, yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen zimmet formu ile iadealınmaktadır.
ü Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler şifreleme yöntemi kullanılarak muhafaza edilmektedir. BGYS Kapsamında şifreleme yöntemi ile güvenli ve farklı ortamlarda tutulmakta veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta, verilerin bulunduğu ortamlara ait güvenlik güncellemeleri takip edilmekte ve gerekli güvenlik testleri yapılmakta, test sonuçları kayıt altınaalınmaktadır.
ü Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, bu ortamların fiziksel güvenliği BGYS Kapsamında sağlanarak yetkisiz giriş çıkışlarengellenmektedir.
ü Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması BGYS Kapsamında sağlanmaktadır.
ü Özel Veriler, Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa BGYS Kapsamında şifreleme yöntemi ile şifrelenmekte ve farklı ortamdatutulmaktadır.
ü Özel verilerin, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Özel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik BGYS ve KVK Kanunu Kapsamında teknik ve idari tedbirler de dikkatealınmaktadır.
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için BGYS ve KVK Kanunu Kapsamında teknik ve idari tedbirler almaktadır.
“SİR Tekstil“ tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
a) Siber Güvenliğin Sağlanması
Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta olup tedbirler bununla sınırlı kalmamaktadır. BGYS Kapsamında Güvenlik duvarı ve ağ geçidi gibi tedbirler alınmaktadır. Kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır.
BGYS Kapsamında Yama ve yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır.
Kişisel veri içeren sistemlere erişimlerde sınırlandırılma yapılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, BGYS Kapsamındaki Parola Oluşturma ve Kullanımı Prosedürüne uygun parolaların oluşturulması ve tercih edilmesi sağlanmaktadır. Ayrıca, erişim yetki ve kontrol matrisioluşturulmaktadır.
Güçlü şifre ve parola kullanımının yanısıra, şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi BGYS Kapsamındaki yöntemlerle erişimin sınırlandırılması yapılmaktadır.
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünler kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyalar düzenli olarak taranmaktadır. Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi BGYS Kapsamında sağlanmaktadır.
f) Kişisel Veri Güvenliğinin Takibi
ü Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontroledilmesi,
ü Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığınınbelirlenmesi,
ü Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtlarıgibi),
ü Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilderaporlanması,
BGYS Kapsamında gerçekleştirilmekte, çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için BGYS Kapsamında bir raporlama ile oluşturulmaktadır.
Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller BGYS Kapsamında bulunan prosedürler yardımı ile toplanmakta ve güvenli bir şekilde saklanmaktadır.
g) Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Kişisel veriler, veri sorumlularının merkez ofislerinde yer alan cihazlarda ya da kâğıt ortamında muhafaza ediliyorsa, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır. Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) BGYS Kapsamında bulunan prosedürler vasıtası ile uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar aynı şekilde BGYS Kapsamında kontrol altına alınmaktadır.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında BGYS Kapsamında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır.
Aynı seviyedeki önlemler Şirket Merkez Ofisleri dışında yer alan ve Şirkete ait kişisel veri içeren kâğıt ortamları, elektronik ortam ve cihazlar (dizüstü bilgisayar, cep telefonu, flaş bellekler) için de alınmaktadır. Elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler BGYS Kapsamında alınarak gönderilmektedir.
Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de BGYS Kapsamında yeterli güvenlik tedbirleri alınmaktadır.
BGYS Kapsamında Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.
BGYS Kapsamında Kişisel veri içeren kâğıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.
h) Kişisel Verilerin Bulutta Depolanması
Kişisel verilerin bulutta depolanması uygulamalarına gerektiğinde başvurulabilmektedir. Bu durumda, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Şirket tarafından değerlendirilmesi gerekmektedir. Bu kapsamda, KVK Kurulunun rehber ve tavsiyelerinde belirtilen önlemler dikkate alınmaktadır.
i) Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
Şirket tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken BGYS ve KVK Kanunu Kapsamında güvenlik gereksinimleri göz önüne alınmaktadır.
j) Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok (İmha) olması, çalınması veya kaybolması gibi durumlarda BGYS Kapsamında Şirket, yedeklenen tüm verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır. Yedeklenen tüm (kişisel veriler dahil) veriler sadece sistem yöneticisi tarafından erişilebilir olup, alınan bu veriye ait yedekler mevcut ağ dışında tutulmaktadır.
Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için BGYS Kapsamında KVK Kanununa istinaden alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
ü Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda bilgilendirilmekte veeğitilmektedir.
üÇalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütleralınmaktadır.
ü Kişisel Veri Güvenliği; Politikalarla ve BGYS Kapsamında prosedürlerle belirlenmekte, politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte, geliştirilmesi gereken hususlar belirlenmektedir. Yine, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkçabelirlenmektedir.
Kişisel Verilerin Mümkün Olduğunca Azaltılması: Kişisel veriler, doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Ancak, doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen verilere hala ihtiyaç olup olmadığının değerlendirilmekte ve ihtiyaç duyulmayan kişisel veriler ise kişisel veri saklama ve imha politikası ile silinmekte, yok (imha) edilmekte veya anonim halegetirilmektedir. (Ne Kadar Az Veri O Kadar Az Risk)
Veri İşleyenler ile İlişkilerin Yönetimi: “SİR Tekstil“ BT ihtiyacını karşılamak için veri işleyenlerden hizmet aldığı zaman, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağlandığından emin olarak KVK Kanunu ve BGYS Kapsamında işlem yapılmaktadır. Bu kapsamda, veri işleyen ile imzalanan sözleşmelere kişisel verilerin korunması ile ilgili koruyucu düzenlemeler (tedbirler) getirilmektedir.
Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok (imha) edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri BGYS Kapsamında almaktadır.
“SİR Tekstil“ tarafından kişisel verilerin güvenli ortamlarda saklanması için BGYS Kapsamında alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
üKişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
üSaklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözümüretilmektedir.
üKişiselverileringüvenlibirbiçimdesaklanmasınısağlamakiçinhukukauygunbirbiçimdetümgerekli altyapılar kullanılmaktadır.
“SİR Tekstil“ tarafından kişisel verilerin güvenli ortamlarda saklanması için 6698 sayılı KVK Kanunu ve BGYS Kapsamında alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
üÇalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda bilgilendirilmektedirler.
ü“SİR Tekstil“ tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
ü“SİR Tekstil“‘ de, BGYS ve KVK Kanun Düzenlemeleri kapsamında Kişisel Verilerin korunması konusunda çalışanlarına, gerekli eğitimleriverilmektedir. Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilmektedir. Şirketimiz çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, çalışana bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitimverilmektedir.
“SİR Tekstil“ kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bildirimlerin yapılmasını KVK Kanun’un öngördüğü ve BGYS Kapsamında belirtildiği şekilde sağlamaktadır.
“SİR Tekstil “ kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına gerekli bilgilendirmeler yapmaktadır.
“SİR Tekstil“ işbu Politika ve KVK Kanun’unun Düzenlemelerine tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve Re ’sen denetleme hakkını haizdir. Bu kapsamda gerekli rutin denetimleri yapmakta veya yaptırmaktadır. Denetim sonuçları “ SİR Tekstil“ ‘in iç işleyişi kapsamında değerlendirilmekte ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler:
“SİR Tekstil“, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişi ’ye (Veri Sahibi) ve KVK Kurulu’na bildirilmesini sağlayan sistemiyürütmektedir. (Kişisel Veri İhlal Bildirim Prosedürü)
© 2023 SİR HAZIR GİYİM SAN. VE TİC. LTD. ŞTİ. - Tüm Hakları Saklıdır.