PSİKON SAĞLIK VE PSİKOLOJİK DANIŞMANLIK
SANAYİ TİCARET LTD. ŞTİ.
KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE İMHASI POLİTİKASI
A. GİRİŞ
1. Giriş
6698 Sayılı Kişisel Verilerin Korunması Kanunu (Kanun),07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
Psikon Sağlık Şirketler Grubu (Şirketler), veri sorumlusu olarak, gerek fiziksel gerekse dijital ortamdaki kayıtlı bulunan kişisel verilerin korunmasına son derece önem vermekte, kişisel verilerin korunması konusunda gerekli tüm tedbirleri alarak, Kanuna, Kanuna dayanılarak çıkarılan yönetmeliklere ve sair mevzuat hükümlerine uygun hareket etme konusunda azami özeni göstermektedir.
İşbu politika, Psikon Sağlık Şirketler Grubu iştirakleri olan, Psikon Sağlık ve Psikolojik Danışmanlık Sanayi Ticaret Ltd. Şti.’ni kapsamaktadır.
2. Politikanın Amacı
Şirketlerimiz tarafından gerçekleştirilen kişisel veri işleme ve koruma faaliyetleri, bu faaliyetlerin Kanuna uyumu, faaliyetlerin yürütülmesine ilişkin esaslar vs. işbu “Psikon Sağlık Şirketler Grubu Kişisel Verilerin İşlenmesi ve Korunması Politikası (Politika)” metninde belirtilmektedir. Politikanın belirlenmesi ve yayımlanmasındaki temel amacımız, kişisel veri sahiplerini, kişisel veri işleme ve koruma faaliyetlerimizin niteliği ve kapsamı hakkında bilgilendirmek; bu konuda şeffaflık sağlamaktır. Kişisel verilerinizi, işbu politika metninde belirtmiş olduğumuz hususlara azami dikkat ve özeni sarf ederek işlemekte ve her türlü teknik ve operasyonel tedbirlerle korunmasını sağlamaktayız.
3. Politikanın Kapsamı
İşbu politika, kişilerin, tamamen veya kısmen otomatik olan ya da (herhangi bir veri kayıt sisteminin parçası olmak kaydıyla) otomatik olmayan yollarla işlenen kişisel verilere ilişkindir. Politikadaki belirtilen maddeler, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek nitelikteki her türlü bilgi ve belgeyi; bunlarla ilgili alınan önlemleri ve yapılan düzenlemeleri de kapsar.
İşbu politikanın kapsamında yer alan kişiler ve şirketlerimizde kişisel verileri işlenen kişisel veri sahiplerinin kimlerden müteşekkil olduğu, işbu politika ekinde sunulan “Ek-1: Kişisel Veri Sahipleri” dokümanında belirtilmiş bulunmaktadır.
Birinci maddede belirtmiş olduğumuz şirketlerimiz işbu politika kapsamındadır. İşbu politika kapsamında Şirketlerimiz ile ilişkilendirilebilecek tüm hususlar, açıkça belirtilmese dahi Şirketlerimizin tamamını kapsar ve yapılan tüm atıflar şirketlerimizin tamamına yapılmış sayılır.
İşbu politikada yer alan hükümlerin mevzuat hükümleri ile çelişmesi halinde mevzuat hükümlerine öncelik verilecektir. Bunun yanında politikada hüküm bulunmayan hallerde de yine mevzuat hükümleri uygulanacaktır.
4. Tanımlar
İşbu politikanın uygulanmasında;
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Anonim Hâle Getirme : Kişisel verilerin, başka verilerle eşleştirilerek kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Çalışan Adayı : İşe alım amaçlı görüşülen adayı,
Çalışan : Şirketimiz ve iştiraki olan şirketler ile grup şirketlerimizde çalışanları,
Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları,
Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları,
Envanter : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini, kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları dokümanı,
Grup Şirketler (Şirketlerimiz) : Psikon Sağlık ve Psikolojik Danışmanlık Sanayi Ticaret Ltd. Şti.’ni
İlgili Kişi : Kişisel verisi işlenen gerçek kişiyi,
İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemini,
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel Verilerin Silinmesi : Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kişisel Verilerin Yok Edilmesi : Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kurul : Kişisel Verileri Koruma Kurulunu,
Kurum : Kişisel Verileri Koruma Kurumunu,
KVKK : 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve biyometrik ve genetik verileri,
Periyodik İmha : KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Politika : Psikon Sağlık Şirketler Grubu “Kişisel Verilerin İşlenmesi, Saklanması ve İmhası Politikası”nı,
Şirketler : Psikon Sağlık ve Psikolojik Danışmanlık Sanayi Ticaret Ltd. Şti.’ni
VERBİS (Veri Sicil Bilgi Sistemi) : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini,
Veri İşleyen : Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Kayıt Sistemi : Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
B. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASINA İLİŞKİN HUSUSLAR
Kişisel verilerin elde edilmesi sırasında veri sahipleri; kişisel verilerin kim tarafından toplandığı, hangi amaçla işlendiği kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, kişisel veri sahiplerinin sahip olduğu haklar konusunda Şirketlerimizce bilgilendirilmekte, kişisel verilerinin alınması ve işlenmesi konusunda açık rızası alınmaktadır. Aydınlatma ve bilgi edinme kolaylığı sağlaması bakımından işbu politikanın özeti mahiyetinde olarak hazırlanan “Aydınlatma Metni” de, Şirketlerimizce kişisel veri sahiplerine sunulmaktadır.
C. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
1. Kişisel Verilerin İşlenmesi İşlemleri
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi, veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir. Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet, Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.
2. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
i. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerine zarar verilmemesine büyük önem verilmektedir. Kişisel veriler, Şirketlerimizin işlem ve faaliyetlerinin gerektirdiği hususlarla sınırlı olarak ve mevzuatta öngörüldüğü surette işlenmektedir.
ii. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketlerimiz, işlendikleri ve saklandıkları süre boyunca, kişisel verilerin doğru ve güncel olması için gerekli tedbirleri almakta ve bunu sağlamaya yönelik mekanizmaları kurmaktadır.
iii. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketlerimiz, işbu politika ile kişisel verilerin işlenme amaçlarını açıkça ortaya koymaktadır. Prensibimiz, kişisel verilerin gizli; kişisel verilerin işlenme amaçlarının ve işlenme usulünün ise şeffaf olmasıdır. Şirketlerimizce işlenen veriler, yapmış olduğumuz iş veya sunmuş olduğumuz hizmetle bağlantılı ve bunlar için gerekli olan verilerdir. Kişisel veriler, şirketlerimizin faaliyetleri doğrultusunda ve bu faaliyetlerle ilişkili amaçlar kapsamında işlenmektedir.
iv. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kimlerin kişisel verilerinin hangi amaçla işlendiği, işbu politikada belirtilmektedir. Nitekim kişilerin Şirketlerimizce işlenen verileri, Şirketlerimizle olan irtibatına veya ilişkisine göre değişiklik arz edebilmektedir. Şirketlerimiz, kişisel verileri, bu ilişkilerin özelliklerini de dikkate alarak, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü biçimde işlemektedir.
v. İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
Şirketlerimiz, kişisel verileri, mevzuatta bir süre öngörülmüş ise bu süre; bir süre öngörülmemiş ise işlenen kişisel verinin işlendiği amaca uygun olan süre boyunca saklamaktadır. Kişisel veriler, mevzuatta belirtilen ve/veya işlendiği amaç için gerekli olan süre sona erdikten sonra ise dönemsel veya veri sahibinin başvurusuna uygun olarak, mevzuatla belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
Kişisel verilerin saklanacağı süre belirlenirken asgari olarak aşağıdaki hususlar dikkate alınmaktadır:
– İlgili veri kategorisine göre belirlenmek üzere Şirketlerimizin faaliyet gösterdiği sektörlerde genel teamül olarak kabul edilen süre,
– İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan hukuki ilişkinin devam edeceği süre,
– İlgili veri kategorisine göre belirlenmek üzere, işlenme amacına bağlı olarak Şirketlerimizin elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
– Kişisel verinin saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
– Şirketlerimizin hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
– İlgili kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı (on yıl) süresi.
3. Kişisel Verilerin İşlenme Şartları
Kişisel veriler, Şirketlerimizce, kişisel veri sahibinin açık rızası olmaksızın işlenebilmekte, aksi halde işlenmemektedir.
Ancak aşağıda belirtilen şartlardan herhangi birisinin varlığı halinde, kişisel veri sahibinin rızasının bulunması zorunluluğu ortadan kalkmaktadır. Aşağıdaki şartların birden fazlası veya tamamı, bir kişisel verinin açık rıza olmaksızın işlenmesi konusunda aynı anda dayanak oluşturabilecektir.
i. Kanunlarda Açıkça Öngörülmesi
Kişisel verilerin işlenmesi ve saklanması kanunlarda açıkça öngörülmekte ise, bu durumda kişisel veriler Şirketlerimizce, kişisel veri sahibinin rızası olmaksızın ve kanunda öngörüldüğü çerçevede işlenebilecektir.
ii. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, kişisel veriler kişisel veri sahibinin rızası olmaksızın Şirketlerimizce işlenebilecektir.
iii. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda, kişisel veriler Şirketlerimizce kişisel veri sahibinin rızası olmaksızın işlenebilecektir.
iv. Şirketlerin Hukuki Yükümlülüğünü Yerine Getirmesi
Veri sorumlusu olarak Şirketlerimizin hukuki yükümlülüklerini yerine getirmesi için zorunlu olması halinde kişisel veriler Şirketlerimizce kişisel veri sahibinin rızası olmaksızın işlenebilecektir.
v. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Kişisel veri sahibinin kişisel verilerini alenileştirmesi halinde, bu kişisel veriler alenileştirme amacı ile sınırlı ve bu amaca uygun olarak Şirketlerimizce kişisel veri sahibinin rızası olmaksızın işlenebilecektir.
vi. Bir Hakkın Tesisi veya Korunması İçin Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması halinde kişisel veriler Şirketlerimizce kişisel veri sahibinin rızası olmaksızın işlenebilecektir.
vii. Şirketlerimizin Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması
Veri sorumlusu olarak Şirketlerimizin meşru menfaatleri için veri işlenmesinin zorunlu olması halinde, veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, kişisel veriler Şirketlerimizce kişisel veri sahibinin rızası olmaksızın işlenebilecektir.
Verilerin “Özel Nitelikli Kişisel Veri” olması durumunda, işbu politikanın “B-4. Özel Nitelikli Kişisel Verilerin İşlenmesi” başlığı altında açıklanan şartlar dikkate alınacak ve uygulanacaktır.
4. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Birtakım kişisel veriler hassasiyet arz etmektedir ve bu kişisel verilerin hukuka aykırı olarak işlenmesi, veri sahiplerinin mağduriyetine ve ayrımcılığa sebep olabilmektedir. Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler, kanunda özel nitelikli kişisel veriler olarak ifade edilmiştir.
Şirketlerimizce, aşağıda belirtmiş olduğumuz şartlarda ve işbu politika metninde belirtmiş olduğumuz hususlara azami dikkat ve özen sarf edilerek işlenmekte olan özel nitelikli kişisel verilerin, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenen yeterli önlemler alınmak suretiyle ve her türlü teknik ve operasyonel tedbirlerle korunması sağlanmaktadır.
Özel nitelikli kişisel veriler Şirketlerimizce, kişisel veri sahibinin açık rızası ile işlenebilmekte, aksi halde işlenmemektedir. Ancak aşağıda belirtilen şartlardan herhangi birisinin varlığı halinde, kişisel veri sahibinin rızasının bulunması zorunluluğu ortadan kalkmaktadır.
a. Sağlık ve cinsel hayat dışındaki kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler), kanunlarda öngörülen hallerde veri sahibinin rızası olmaksızın Şirketimizce işlenebilecektir. İlgili kanunlarda bu verilerin işlenebileceği veya işlenmesi gerektiği konusunda açık bir hüküm bulunmaması halinde ise veri sahibinin açık rızası aranacak, aksi halde işlenmeyecektir.
b. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Aksi halde açık rıza aranacaktır.
5. Kişisel Verilerin Kategorileri ve İşlenme Amaçları
Kişisel veriler, Şirketlerimizce başlıca aşağıdaki amaçlarla işlenmektedir:
– Şirketlerimizin insan kaynakları politikalarının ve süreçlerinin planlanması ve/veya icra edilmesi,
– Şirketlerimizin ve Şirketlerimizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası,
– Şirketlerimiz tarafından ve/veya Şirketlerimiz nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak ve Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi için gerekli çalışmaların gerçekleştirilmesi ve ilgili iş süreçlerinin devamlılığının sağlanması,
– Şirketlerimiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
– Şirketlerimizin ticari hayatının ve iş geliştirme stratejilerinin planlanması, düzenlenmesi ve uygulanması,
– Diğer amaçlar.
Yukarıda ana başlıkları ile belirtilmiş olan kişisel verileri işleme amaçlarına daha kapsamlı olarak işbu politikanın ekinde yer alan “Ek-2 Kişisel Verileri İşleme Amaçları” dokümanından ulaşılması mümkündür. Yine aynı şekilde, kişisel verilerin kategorilerine de “Ek-3 Kişisel Veri Kategorileri” dokümanından ulaşılabilecektir.
6. Şirketlerimizin Tesisleri İçerisinde ve İnternet Sitesinde Gerçekleştirilen Kişisel Verilerin İşlenmesi Faaliyetleri
Şirketlerimiz tarafından bina tesis girişlerinde, tesis içerisinde ve internet sitemizde yapılan kişisel veri işleme faaliyetleri, Türkiye Cumhuriyeti Anayasası’na, Kanun’a ve diğer ilgili mevzuata uygun biçimde yürütülmektedir.
i. Tesis İçerisinde Yer Alan Kameralarla Kayıt Alınması
Şirketlerimiz tarafından KVK Kanunu uyarınca güvenliğin sağlanması ve bu politikada belirtilen amaçlarla, Şirketlerimiz binalarında, atölyelerinde, fabrikalarında, imalathanelerinde, şantiyelerinde ve tüm tesislerinde güvenlik kamerasıyla izleme faaliyeti ile personellerin, misafirlerin, taşeronların ve bunlara ait araçların giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Şirketlerimiz tarafından yürütülen kamera ile izleme ve kayıt altına alma faaliyeti, 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanuna ve bu kanunun uygulanmasına ait yönetmeliğe uygun ve Şirketlerimizin meşru menfaatine dayalı hukuki sebebe bağlı olarak sürdürülmektedir.
Kişisel veriler, Şirketlerimizin güvenliğinin sağlanması amacıyla elektronik ortamda kapalı devre kamera sistemleri vasıtasıyla KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde toplanmaktadır. Kişisel veri sahipleri Şirketlerimiz tarafından KVK Kanunu’nun 10. maddesine uygun olarak aydınlatılmaktadır.
Şirketlerimiz kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır. Şirketlerimiz tarafından kamera ile izleme faaliyetine yönelik olarak; izlemenin yapıldığı alanların girişlerine izleme yapıldığına/yapılacağına ilişkin bildirim yazısı asılmakta, bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlar (Örneğin, mescit, tuvaletler vb.) izlemeye tabi tutulmamaktadır. KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için Şirketlerimizce gerekli teknik ve idari tedbirler alınmaktadır. Kamera ile kayıt edilen kişisel verilerin saklanma süreleri 3 aydır. Kamera kayıtlarına yalnızca yetkili birimler erişebilmektedir.
ii. Tesis Girişlerinde Ve İçerisinde Yürütülen Misafir ve Taşeronların Giriş Çıkışlarının Takibi
Şirketlerimiz tarafından; güvenliğin sağlanması ve bu Politikada belirtilen amaçlarla, Şirketlerimiz binalarında, atölyelerinde, fabrikalarında, imalathanelerinde, şantiyelerinde ve tüm tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak gelen kişilerin isim ve soyadları elde edilirken bilgilendirme panolarına asılan veya diğer şekillerde erişime sunulan metinler aracılığıyla yazılı olarak kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde Şirketlerimizin meşru menfaatine ilişkin hukuki sebebe dayalı olarak toplanmakta ve veri kayıt sistemine kaydedilmektedir.
iii. İnternet Sitesinde Yapılan Ziyaretçi Takipleri
Şirketlerimiz tarafından; bu Politikada belirtilen amaçlarla, Şirketlerimizin internet sitelerini ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek, kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla site içerisindeki internet hareketleri teknik vasıtalarla kaydedilmektedir
iv. Ziyaretçilere Sunulan İnternet Erişimlerine İlişkin Takipler
Şirketlerimiz tarafından; bu Politikada belirtilen amaçlarla; talep eden ziyaretçilere, Şirketlerimiz binalarında, atölyelerinde, fabrikalarında, imalathanelerinde, şantiyelerinde ve tüm tesislerinde kaldığı sürece internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edildiğinde aktarılması veya Şirketlerimiz içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğün yerine getirilmesi amacıyla işlenmektedir. Bu çerçevede elde edilen log kayıtlarına yalnızca yetkili birimler erişebilmektedir.
7. Kişisel Verilerin İşlendiği ve Saklandığı Ortamlar
i. Elektronik Ortamlar
Kişisel veriler, aşağıda belirtilmiş olan elektronik ortamlarda işlenmekte ve saklanmaktadır:
– Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
– Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)
– Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
– Bilgisayarlar (Masaüstü, dizüstü)
– Mobil cihazlar (telefon, tablet vb.)
– Optik diskler (CD, DVD vb.)
– Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
– Yazıcı, tarayıcı, fotokopi makinesi.
ii. Elektronik Olmayan Ortamlar
Kişisel veriler, aşağıda belirtilmiş olan elektronik olmayan ortamlarda işlenmekte ve saklanmaktadır:
– Kâğıt,
– Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri),
– Yazılı, basılı, görsel ortamlar
D. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
1. Kişisel Verilerin Aktarılması
Kişisel veriler, Şirketlerimizce, kişisel veri sahibinin açık rızası olmaksızın üçüncü kişilere aktarılabilmekte, aksi halde aktarılmamaktadır.
Ancak aşağıda belirtilen şartlardan herhangi birisinin varlığı halinde, kişisel veri sahibinin rızasının bulunması zorunluluğu ortadan kalkmaktadır. Aşağıdaki şartların birden fazlası veya tamamı, bir kişisel verinin açık rıza olmaksızın üçüncü kişilere aktarılması konusunda aynı anda dayanak oluşturabilecektir.
a. Kanunlarda açıkça öngörülmesi.
b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması
d. Şirketlerimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
e. Kişisel veri sahibi tarafından alenileştirilmiş olması.
f. Bir hakkın tesisi, kullanılması veya korunması için veri aktarmanın zorunlu olması.
g. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketlerimizin meşru menfaatleri için veri aktarılmasının zorunlu olması.
2. Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel veriler Şirketlerimizce, kişisel veri sahibinin açık rızasının bulunması halinde üçüncü kişilere aktarılabilmekte, aksi halde aktarılmamaktadır.
Ancak aşağıda belirtilen şartlardan herhangi birisinin varlığı halinde, kişisel veri sahibinin rızasının bulunması zorunluluğu ortadan kalkmaktadır.
a. Sağlık ve cinsel hayat dışındaki kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler), kanunlarda öngörülen hallerde Şirketimizce veri sahibinin rızası olmaksızın üçüncü kişilere aktarılabilecektir. İlgili kanunlarda bu verilerin aktarılabileceği veya aktarılması gerektiği konusunda açık bir hüküm bulunmaması halinde ise veri sahibinin açık rızası aranacak, aksi halde aktarılmayacaktır.
b. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın üçüncü kişilere aktarılabilir. Aksi halde açık rıza aranacak, açık rıza bulunmaması halinde aktarılmayacaktır.
3. Kişisel Verilerin Yurtdışına Aktarılması
Kişisel veriler, Şirketlerimizce, kişisel veri sahibinin açık rızasının bulunması halinde yurt dışına aktarılabilmekte, aksi halde aktarılmamaktadır.
Ancak işbu Politikanın kişisel verilerin ve özel nitelikli kişisel verilerin aktarılmasına ilişkin D.1. ve D.2. bölümlerinde belirtilen hususlara ilave olarak, aşağıda belirtilen şartlardan herhangi birisinin de varlığı halinde, kişisel verilerin yurt dışına aktarılması hususunda kişisel veri sahibinin rızasının bulunması zorunluluğu ortadan kalkmaktadır.
a. Kişisel verinin aktarılacağı yabancı ülkede kişisel verilere yönelik yeterli korumanın bulunması ve aktarım yapılacak yabancı ülkenin Kurulca ilan edilmiş “aktarım yapılabilecek ülkeler” arasında yer alması,
b. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması.
4. Kişisel Verilerin Aktarılma Amaçları ve Aktarılabileceği Kişi Grupları
Kişisel Veriler, Şirketlerimizce, Grup Şirketlerimiz tarafından sunulan ürün ve hizmetlerden veri sahiplerini faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması, Şirketlerimiz tarafından sunulan ürün ve hizmetlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek veri sahiplerine önerilmesi, Şirketlerimizin ve Şirketlerimizle iş ilişkisi içerisinde olan 3. kişilerin hukuki ve ticari güvenliğinin temini, Şirketlerimiz tarafından yürütülen iletişime yönelik idari operasyonlar, Şirketlerimize ait lokasyonların fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/müşteri/tedarikçi/alt yüklenici (yetkili veya çalışanları) değerlendirme süreçleri, itibar araştırma süreçleri, hukuki uyum süreci, denetim, mali işler vb., Şirketlerimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile Şirketlerimizin insan kaynakları politikalarının yürütülmesinin temini amaçlarıyla iş ortaklarımıza, tedarikçilerimize, alt yüklenicilerimize, Grup Şirketlerimize, Şirketlerimiz yetkililerine, hissedarlarımıza, kanunen yetkili kamu kurumları ve özel kişilere, hizmetin ifası için zorunlu kişilere, kişisel verilerin paylaşılması kanunen zorunlu kişilere, danışmanlık ve yardımcı hizmet sağlayıcılarına, ajanslar ve reklam verenlere KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
Hizmetin İfası İçin Zorunlu Kişiler
Kişisel veriler, Şirketlerimize sunulan hizmetlerin tam ve kusursuz olmasını temin edebilmek amacıyla ve yalnızca hizmetin niteliğiyle uygun düştüğü ölçüde ihale makamları, üst işverenler, iş ve çözüm ortaklarımız, bankalar ile teknik, lojistik ve benzeri diğer işlemleri Şirketlerimiz adına gerçekleştiren üçüncü kişilerle paylaşılabilmektedir. Bu üçüncü kişiler ilgili hizmetlerin tam ve kusursuz temin edilebilmesi için ilgili bilgilere ulaşması zorunlu olan kişilerden ibarettir.
Paylaşılması Kanunen Zorunlu Kişiler
Şirketlerimizin hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmüş olması yahut yasalara uygun olarak verilmiş olan bir adli/idari emir bulunması gibi hallerde de kişisel veriler -yalnızca ilgili kişi ya da kurumla sınırlı olmak üzere- aktarılabilecektir.
Danışmanlık ve Yardımcı Hizmet Sağlayıcıları
Kişisel veriler, Şirketlerimizin ve/veya kişisel veri sahiplerinin haklarını korumak ve hukuki mükellefiyetleri yerine getirmek amaçlarıyla ve yalnızca bu amaçların ifası için veri aktarımının zorunlu olması halinde; depolama, arşivleme, bilişim teknolojileri desteği, güvenlik, çağrı merkezi gibi alanlarda destek alınan üçüncü kişilere; işbirliği yapılan ve/veya hizmet alınan iş ortaklarına, bankalara, finans kuruluşlarına; hukuk, vergi ve benzeri alanlarda destek alınan avukatlık ofislerine, danışmanlık firmalarına ve belirlenen amaçlarla aktarımın gerekli olduğu diğer ilişkili taraflar ile yetkili kurum ve kuruluşlara aktarılabilecektir.
Ajanslar ve Reklam Verenler
Kişisel verilerin bir kısmı, reklamların hedef kitleye uyarlanabilmesini sağlamak amacıyla, yalnızca diğer kullanıcılara ait bilgilerle birlikte toplu olarak anonimleştirilmiş bir şekilde reklam verenlerle paylaşılabilir. Anonimleştirilmiş veriler siz ziyaretçilerimiz/müşterilerimizle eşleştirilemeyecek bilgiler olup, kişisel veri sahiplerinin kimlik bilgilerini içermez ya da kimliklerini belirlenebilir kılmaz. Anonimleştirilmiş verilerde veri sahiplerinin gizliliği güvence altındadır.
Yukarıda ana hatları ile belirtilen kişisel verilerin aktarıldığı üçüncü kişiler ve aktarılma amaçları işbu politika ekinde sunulan “Ek-4 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları” dokümanında belirtilmiş bulunmaktadır.
E. KİŞİSEL VERİLERİN İMHASINA (SİLİNMESİNE, YOK EDİLMESİNE VEYA ANONİMLEŞTİRİLMESİNE İLİŞKİN HUSUSLAR
Mevzuata uygun biçimde işlenmiş olan kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, resen veya kişisel veri sahibinin talebi üzerine; silinmek, yok edilmek veya anonim hale getirilmek suretiyle imha edilmektedir.
1. İmhayı Gerektiren Sebepler
Kişisel veriler;
– İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
– İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
– Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
– Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
– Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
– Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Şirketlerimiz tarafından ilgili kişinin talebi üzerine ilgili kullanıcılar için hiçbir şekilde erişilemez hale getirilmek suretiyle silinmek; hiçbir kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmek suretiyle yok edilmek; başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmek suretiyle anonimleştirmek şeklinde imha edilmektedir.
Kişisel verilerin imhasında, Kanun’un 3. maddesinde ve işbu Politikada açıklanan genel ilkelere, veri sorumlusu olarak almış olduğumuz teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına azami biçimde dikkat edilmektedir.
Envanter, Veri Sorumlusu Temsilcisi tarafından 6 aylık periyodlar halinde kontrol edilmekte ve ayrıca kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler Şirketlerimizce kayıt altına alınmakta ve söz konusu kayıt logları (imha edilen doküman bilgisi), diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmaktadır.
2. İmha Teknikleri
i. Kişisel Verilerin Silinmesi
a. Kişisel Verilerin Silinmesi Süreci
Kişisel verilerin silinmesi işleminde izlenecek süreç aşağıdaki gibidir:
– Silme işlemine konu teşkil edecek kişisel verilerin “kişisel veri işleme envanteri formundan” belirlenmesi.
– Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi.
– İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
– İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.
b. Kişisel Verilerin Silinmesi Yöntemleri
Hizmet Olarak Uygulama Türü Bulut Çözümleri (Ofice 365, Salesforce, Dropbox gibi):Şirketimizde kişisel veriler bulut sisteminde saklanmamaktadır. Ancak saklanması halinde bulut sisteminde veriler silme komutu verilerek silinecektir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilecektir.
Kağıt Ortamında Bulunan Kişisel Veriler: Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
Merkezi Sunucuda Yer Alan Ofis Dosyaları: Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması şeklinde gerçekleştirilir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.
Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanmakta ve bu ortamlara uygun yazılımlar kullanılarak silinmektedir.
Veri Tabanları: Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir.
c. Kişisel Verilerin Silinmesi İşlemleri
Kişisel veriler aşağıdaki işlemlerle silinir:
Veri Kayıt Ortamı
Açıklama
Sunucularda Yer Alan Kişisel Veriler
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır
Elektronik Ortamda Yer Alan Kişisel Veriler
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek/kesilerek karartma işlemi de uygulanır
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
ii. Kişisel Verilerin Yok Edilmesi
a. Kişisel Verilerin Yok Edilmesi Süreci
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketlerimiz, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.
b. Kişisel Verilerin Yok Edilmesi Yöntemleri
Yerel Sistemler: Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılmaktadır.
– De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
– Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerçekleştirilmektedir.
– Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
Çevresel Sistemler: Ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer almaktadır:
– Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerçekleştirilmektedir.
– Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) ara yüzüne sahip olanları, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerçekleştirilmektedir.
– Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerçekleştirilmektedir.
– Manyetik disk gibi üniteler: Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerçekleştirilmektedir.
– Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Bu verilerin, belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerçekleştirilmektedir.
– Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerçekleştirilmektedir.
– Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerçekleştirilmektedir.
– Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır. Bu veriler uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerçekleştirilmektedir.
Kağıt ve Mikrofiş Ortamları: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makineleri ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir. Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerçekleştirilmektedir.
Bulut Ortamı: Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.
– Yukarıdaki ortamlara ek olarak; arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
– İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
– Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
– Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması.
c. Kişisel Verilerin Yok Edilmesi İşlemleri
Kişisel veriler Şirketimizce aşağıdaki yöntemlerle yok edilirler:
Veri Kayıt Ortamı
Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
iii. Kişisel Verilerin Anonim Hale Getirilmesi
a. Kişisel Verilerin Anonim Hale Getirilmesi Süreci
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Şirketlerimizce kişisel veriler belirtildiği şekilde anonim hale getirilmektedir.
b. Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri
Maskeleme: Veri maskeleme ile kişisel verinin temel belirleyici bilgisinin veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örn: “Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi”, “Kişinin kredi kartı numarasının bir kısmının yıldızlanması” durumunda maskeleme söz konusudur. (09988 **** **** 87806)”
Toplulaştırma: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örn.: “Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması”, “Şirkette kadın çalışan sayısının Z adet olması ve sayının %40’ının üniversite mezunu, %60’ının yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilebilmektedir.”
Veri Türetme: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örn: “Doğum tarihi bilgisinin Gün/Ay/Yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılabilmektedir.”
Veri Karma: Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örn: “Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi”, “Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi” suretiyle veri karması yapılabilmektedir.
3. İmza Sirküleri
Şirketlerimiz tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
– Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
– Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
– Süreç bazında saklama süreleri ise işbu Politikada yer almaktadır.
SÜREÇ
SAKLAMA SÜRESİ
İMHA SÜRESİ
Şirketlerimizin Ticari İş ve İşlemleri
10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmelerin Hazırlanması ve İcrası
Sözleşmenin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirketlerimizin İletişim Faaliyetlerinin İcrası
Faaliyetin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerinin Yürütülmesi
Faaliyetin sona ermesini takiben 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Adayı İş Başvuru Formu/CV
2 Yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takip Sistemleri
10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi
2 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi ve Toplantı Katılımcılarının Kaydı
Etkinliğin sona ermesini takiben 2 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları
3 ay
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Veri Sorumlusuna Başvuru Formu
10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kurumsal Hafıza
49 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Periyodik imha süreleri Şirketlerimizce 6 (altı) ay olarak belirlenmiştir.
F. AÇIK RIZANIN MAHİYETİ
İşbu Politikanın, “kişisel verilerin işlenmesi, aktarılması ve imhası” bölümlerinde, kişisel veri sahibinin açık rızasının önem taşıdığı belirgin biçimde vurgulanmaktadır. Şirketlerimiz, açık rıza ve açık rızanın alınması hususunda, aşağıdaki açıklamaları esas almaktadır.
Açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır.
Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine onay vermesi anlamını taşımaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır. Diğer mevzuattaki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkün olup, açık rızanın mevcudiyetine ilişkin ispat yükümlülüğü Şirketlerimize aittir.
Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilecektir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman Şirketlerimize vermiş olduğu açık rızasını geri alabilecektir.
Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının Şirketlerimize ulaştığı andan itibaren durdurulacaktır. Bir diğer deyişle, geri alma beyanı Şirketlerimize ulaştığı andan itibaren hüküm doğuracaktır.
G. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI, HAKLARIN KULLANILMASI VE ŞİRKETLERİMİZİN CEVAP YÜKÜMLÜLÜĞÜNE İLİŞKİN HUSUSLAR
1. Kişisel Veri Sahiplerinin Hakları
Kişisel veri sahipleri, aşağıda belirtilmiş olan haklara sahiptirler:
a. Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve ayrıca kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
f. Mevzuata uygun biçimde işlenmiş olan kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, silinmesini veya yok edilmesini, ayrıca bu durumun, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
2. Kişisel Veri Sahiplerinin Haklarını Kullanması ve Başvuru Yöntemleri
Kişisel veri sahipleri, yukarıda bildirilmiş olan haklara ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketlerimize iletebileceklerdir. Kişisel veri sahiplerinin haklarına ilişkin taleplerini https://www.psikologkonya.org adresinde yer alan veya Şirketlerimizin merkezlerinden temin edebilecekleri “Kişisel Veri Başvuru Formunu” doldurarak ve Başvuru Formunda belirtilen yöntemleri kullanarak gönderebileceklerdir.
3. Şirketlerimizin Başvurulara Cevap Vermesi
Şirketimiz, veri sahiplerinin başvurusunda yer alan taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilecektir.
Şirketlerimizce talebin reddedilmesi halinde bu durum gerekçesi ile birlikte belirtilecektir. Talebin kabulüne veya gerekçesi açıklanmak suretiyle reddine ilişkin cevaplar, Şirketlerimizce veri sahibine yazılı olarak veya elektronik ortamda bildirilecektir.Ayrıca talebin kabulü halinde ise kişisel verilerin imhasına karar verilmesi halinde gereği 30 (otuz) gün içerisinde yerine getirilecektir. Başvurunun Şirketlerimizin hatasından kaynaklanması hâlinde ise alınan ücret veri sahibine iade edilecektir.
H. VERİ GÜVENLİĞİNE İLİŞKİN HUSUSLAR
Şirketlerimizce kişisel verilerin güvenliğine azami ölçüde dikkat edilmektedir. Bu doğrultuda kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amaçlarına uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler Şirketlerimizce ve/veya verileri Şirketlerimiz adına işleyen gerçek veya tüzel kişilerce alınmış durumdadır. Bu husustaki denetimler de Şirketlerimizce sürekli olarak sağlanmaktadır.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumun en kısa sürede ilgilisine ve Kurula bildirileceği Şirketlerimizce taahhüt edilmektedir.
Kişisel veriler gibi, özel nitelikli kişisel verilerin de tüm teknik ve idari tedbirlerle korunması Şirketlerimizce sağlanmaktadır.
1. Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler
Şirketlerimiz tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
– Sızma (Penetrasyon) testleri ile Şirketlerimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
– Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
– Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
– Veri kaybı önleme yazılımları kullanılmaktadır.
– Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
– Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
– Güncel anti-virüs sistemleri kullanılmaktadır.
– Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
– Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
– Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
– Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
– Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
– Şirketlerimiz içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
– Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
– Şirketlerimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
– Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirketlerimiz tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
– Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
– Saldırı tespit ve önleme sistemleri kullanılmaktadır.
– Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
– Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmakta ve Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
– Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
– Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
– Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
– Şirket içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
– Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
– Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır.
– Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
– Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
2. Kişisel Veri Güvenliğine İlişkin İdari Tedbirler
Şirketlerimiz tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
– Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve ilgili mevzuat hakkında eğitimler verilmektedir.
– İmzalanan sözleşmeler veri güvenliği hükümleri içermekte veya bu hususta ek sözleşmeler düzenlenmektedir.
– Şirketlerimiz tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
– Kişisel veri işlemeye başlamadan önce Şirketlerimiz tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
– Kişisel veri işleme envanteri hazırlanmıştır.
– Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
– Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
– Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
I.POLİTİKA’NIN YAYINLANMASI, SAKLANMASI VE POLİTİKA’DA YAPILACAK GÜNCELLEMELER
İşbu Politika, gerek elektronik ortamda gerekse ıslak imzalı basılı kağıt olmak üzere iki farklı ortamda yayımlanmakta, Şirketlerimizin internet sayfasında kamuya açıklanmaktadır. Basılı kâğıt nüshası şirket nezdinde dosyasında saklanmaktadır. Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Şirketlerimizin imzaya yetkili kişisi/kişileri tarafından iptal edildiği üzerine şerh düşülmek suretiyle iptal edilerek imzalanır ve en az 5 yıl süre ile Şirketlerimiz tarafından saklanır. Politikada, ilgili mevzuatta değişiklikler yapılması ve gerekli görülmesi halinde güncellemeler yapılabilecek ve güncelleme yapılması halinde de yine gerek elektronik ortamda gerekse ıslak imzalı basılı kağıt olmak üzere yayımlanacaktır.
EK-1 Kişisel Veri Sahipleri
KİŞİSEL VERİ SAHİPLERİ | AÇIKLAMA |
Çalışanlar | Şirketlerimizle arasında yapılmış olan iş akdi gereğince firmamızda çalışmakta ve daha önce çalışmış olan kişiler |
Çalışan Adayı / Stajyer Adayı | Şirketlerimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketlerimizin incelemesine açmış olan gerçek kişidir. |
Etkinlik Katılımcısı | Şirketlerimizin düzenlenmiş olduğu etkinliklere, organizasyonlara ve benzeri faaliyetlere katılım sağlayan gerçek kişidir. |
Bursiyer | Sosyal sorumluluk faaliyetlerimiz doğrultusunda Şirketlerimizin mali yardım olanakların faydalanan gerçek kişidir. |
Görüş /Şikâyet / Öneri ve Bilgi Talebi Sahipleri | Şirketlerimiz ürün ve hizmetlerinden yararlanmış olsun veya olmasın görüşlerini/şikâyetlerini/önerilerini veya bilgi ve diğer taleplerini Şirketlerimize ileten gerçek kişidir. |
Ziyaretçi | Şirketlerimiz yerleşkelerini, tesislerini, internet sitelerini ziyaret eden veya Şirketlerimizin misafir internet ağına katılmış gerçek kişidir. |
Kampanya / Yarışma Katılımcısı | Şirketlerimizin düzenlemiş olduğu kampanyalara veya yarışmalara katılım sağlayan gerçek kişidir. |
Veri Sahibi Yakınları | Şirketlerimiz ürün ve/veya hizmetlerinden yararlanan kişilerin ve/veya çalışanlarımızın aile üyeleri ve yakınları olan kişidir. |
Tedarikçi Çalışanı / Yetkilisi / Hissedarı | Şirketlerimiz ile arasındaki mevcut ve/veya ileride kurulması muhtemel sözleşmeye istinaden Şirketlerimize mal ve/veya hizmet sağlayan şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişidir. |
İş Ortağı Çalışanı / Yetkilisi / Hissedarı | Şirketlerimizin ticari faaliyetlerini yürütürken şirketimizin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişidir. |
Taşeron Çalışanı / Yetkilisi / Hissedarı | Şirketlerimiz ile arasındaki mevcut ve/veya ileride kurulması muhtemel sözleşmeye istinaden Şirketlerimize ait bir işin herhangi bir bölümünü Şirketlerimiz hesabına yapmayı alt yüklenici sıfatıyla üstlenen üçüncü kişilerin hissedarları,yetkilileri veya çalışanları olan gerçek kişidir. |
Ek-2 Kişisel Verilerin İşlenme Amaçları
ANA AMAÇLAR | ALT AMAÇLAR |
Şirketimizin İnsan Kaynakları Politikalarının ve Süreçlerinin Planlanması ve/veya İcra Edilmesi | Çalışanların işe başlama ve/veya özlük süreçlerinin planlanması ve/veya yürütülmesi |
Çalışan adaylarının başvuru süreçlerinin yürütülmesi | |
Personel temini ve/veya Şirket güvenlik süreçleri için referans ve/veya istihbarat aktivitelerinin planlanması ve/veya icrası | |
Çalışan adayı / stajyer / öğrenci seçme, değerlendirme ve yerleştirme süreçlerinin yürütülmesi | |
İlgili mevzuatlar kapsamında yararlanabileceğimiz teşviklerin tespit edilmesi ve hesaplanması | |
Çalışanların bordrolama süreçlerinin planlanması ve/veya icrası | |
Performans değerlendirme süreçlerinin yürütülmesi | |
Çalışan memnuniyeti ve/veya bağlılığı süreçlerinin planlanması ve/veya icrası | |
Çalışan adayı ve/veya öğrenci ve/veya stajyer yerleştirilmesi için gerekli iç/dış iletişim aktivitelerinin planlanması ve/veya icrası | |
İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi | |
Yabancı personel çalışma ve oturma izni çalışmaları | |
Çalışanlar için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi | |
İşe giriş, atama, terfi, özel günler ve/veya çıkış hallerinde Şirket içi bilgilendirme duyurularının yapılması | |
Çalışanların görevlendirme süreçleri, ürün teslimi veya hizmet ilişkisinin yürütülmesi | |
Denetim ve etik faaliyetlerin yürütülmesi | |
Disiplin/etik süreçleri ile ilgili gerekli operasyonel faaliyetlerin planlanması ve/veya icrası | |
Çalışanların çıkış işlemlerinin planlanması ve/veya icrası | |
Çalışanların ücretlerinin planlanması ve/veya icrası | |
Çalışanların ücretli/ücretsiz izin planlamasının yapılması ve/veya takibi | |
Çalışanların yurt içi / yurt dışı seyahatlerinin (etkinlik, organizasyon, fuar ve benzeri) planlanması ve/veya icrası | |
Çalışanlara yönelik yan haklar ve/veya menfaatlerin planlanması ve/veya icrası | |
Çalışanların iş faaliyetlerinin takibi ve/veya denetimi | |
Şirket içi/dışı eğitim faaliyetlerinin planlanması ve/veya icrası | |
İş sağlığı ve/veya güvenliği çerçevesinde gerçekleştirilmesi gereken faaliyetlerin planlanması ve/veya icrası | |
Yetenek/kariyer gelişimi faaliyetlerinin planlanması ve/veya icrası | |
Personel atama/terfi süreçlerinin planlanması ve/veya icrası | |
Görevlendirme süreçlerinin yürütülmesi | |
Alt işveren çalışanlarının özlük kayıtlarının oluşturulması, denetimi ve/veya takibi faaliyetlerinin planlanması ve/veya icrası | |
Faaliyetlerin mevzuata uygun yönetilmesi | |
Çalışanlar için iş akdi ve yasal mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi | |
Şirketimizin Ve Şirketimizle İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki Ve Teknik Güvenliğinin Temini Faaliyetlerinin Planlanması ve/veya İcrası | Acil durum ve/veya olay yönetimi süreçlerinin planlanması ve/veya icrası |
Bilgi güvenliği süreçlerinin planlanması, denetimi ve/veya icrası | |
Bilgi teknolojileri alt yapısının oluşturulması ve/veya yönetilmesi | |
Erişim yetkilerinin yürütülmesi | |
Faaliyetlerin mevzuata uygun yürütülmesi | |
Fiziksel mekân güvenliğinin temini | |
Hukuk işlerinin, sözleşme süreçlerinin ve/veya hukuki taleplerin takibi, hukuki ilişkinin sona ermesinden sonra işlem geçmişine ilişkin bilgilerin uyuşmazlık halinde delil olarak kullanılması | |
Resmi kurum ve/veya kuruluşlardan talep edilen bilgi veya belge ile taleplerin sağlanması ve kayıt altına alınması faaliyetlerinin planlanması ve/veya icrası | |
Suç gelirlerinin aklanması, terörizmin finansmanı ile mücadele, müşterinin tanı (KYC) ve benzeri yasal ve ticari risklerin tespiti faaliyetlerinin planlanması ve/veya icrası | |
Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini | |
Şirket dışındaki kişilerin bilgiye erişim yetkisinin tanımlanması ve/veya denetimi | |
Şirket faaliyetlerinin Şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve/veya icrası ve güvenliği ile faaliyetlerin mevzuata uygun yürütülmesi | |
Şirket operasyonlarının güvenliğinin temini | |
Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini | |
Şirketlerimizin iç/dış denetim, teftiş, soruşturma ve/veya kontrol faaliyetlerinin planlanması ve/veya icrası | |
Şirket iç/dış denetim, teftiş, soruşturma ve/veya kontrol faaliyetlerinin planlanması ve/veya icrası | |
Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası | |
Taşınır mal ve kaynakların güvenliğinin temini | |
Tedarik zinciri yönetimi süreçlerinin yürütülmesi | |
Verilerin doğru ve/veya güncel olmasının sağlanması | |
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi | |
Şirketlerimiz Tarafından ve/veya Şirket Nam Ve Hesabına Sunulan Ürün ve/veya Hizmetlerden İlgili Kişileri Faydalandırmak ve Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi İçin Gerekli Çalışmaların Gerçekleştirilmesi ve İlgili İş Süreçlerinin Devamlılığının Sağlanması | Dijital ve/veya diğer mecralar aracılığı ile toplanan müşteri talep ve/veya şikâyetlerinin değerlendirilmesi |
Dijital ve/veya diğer mecralarda reklam ve/veya tanıtım ve/veya pazarlama aktivitelerinin tasarlanması ve/veya icrası | |
Kurumsal iletişim ve bu kapsamda sair etkinlik, kampanya ve davetlerin düzenlenmesi ve bunlar hakkında bilgilendirme yapılması | |
Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi | |
Pazar araştırma çalışmalarının yürütülmesi | |
Satış ve pazarlama analiz çalışmalarının ile ürün/hizmetlerin pazarlama süreçlerinin yönetilmesi | |
Sosyal medya veya afiş/katalog/bülten gibi şirketin haberlerinin ve reklamlarının geçtiği tüm belge ve mecralarda yayınlanması/paylaşılması | |
Şirket Web sitesi de dâhil olmak üzere yazılı ve görsel basın | |
Ziyaretçi kayıtlarının oluşturulması ve takibi | |
Şirketlerimiz Tarafından Yürütülen Ticari ve/veya Operasyonel Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması Ve Buna Bağlı İş Süreçlerinin Yürütülmesi | Finans ve/veya muhasebe işlerinin takibi |
İş faaliyetlerinin verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası | |
İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi | |
Kurumsal iletişim faaliyetlerinin planlanması ve yürütülmesi | |
Kurumsal yönetim faaliyetlerinin planlanması ve/veya icrası | |
Mal hizmet satış sonrası destek hizmetlerin yürütülmesi | |
Mal/hizmet satın alma süreçlerinin planlanması ve yürütülmesi | |
Mal/hizmet satış süreçlerinin planlanması ve yürütülmesi | |
Operasyon ve/veya verimlilik süreçlerinin planlanması ve/veya uygulanması | |
Sosyal sorumluluk ve/veya sivil toplum aktivitelerinin planlanması ve/veya icrası | |
Çağrı merkezi hizmetlerinin sunumu, raporlamalar | |
Sosyal sorumluluk ve/veya sivil toplum aktivitelerinin planlanması ve/veya icrası | |
Şirket içi/dışı raporlama faaliyetlerinin planlanması ve/veya icrası | |
Şirketimiz ürünlerinin stok ve/veya sevkiyat işlemlerinin planlanması ve/veya icrası | |
Ürün ve hizmetlerle ilgili güvenlik tedbirlerinin alınmasına yönelik faaliyetlerin planlanması ve/veya icrası | |
Şirketlerimizin Ticari Hayatının ve İş Geliştirme Stratejilerinin Planlanması, Düzenlenmesi ve Uygulanması | Hissedarları, bağlı ortaklıkları ve iştirakleri ile olan organik bağ süreçlerinin getirdiği faaliyetlerin düzenlenmesi ve süreçlerin yönetimi |
İş ortakları /tedarikçi ve taşeronlarla olan ilişkilerin yönetimi | |
Potansiyel iş ortağı/tedarikçi/alt yüklenici seçimi için risk değerlendirme faaliyetlerinin ve/veya fizibilite çalışmalarının planlanması ve/veya icrası | |
Saklama ve arşiv faaliyetlerinin yürütülmesi | |
Şirketlerimizin finansal risk süreçlerinin planlanması ve/veya icrası | |
Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası | |
Yatırım süreçlerinin yönetilmesi |
EK-3 Kişisel Veri Kategorileri
KİŞİSEL VERİ KATEGORİSİ | AÇIKLAMA |
Aile Bireyleri ve Yakın Verisi | Şirketimizin iş birimleri tarafından yürütülen operasyonlar çerçevesinde Şirketlerimizin ve veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki kişisel verilerdir. |
Aile Bireyleri ve Yakın Verisi | Çalışanlarımızın aile bireyleri ve yakınları hakkındaki bilgiler anlamına gelmektedir. |
Araç Verisi | Veri sahibi ile ilişkilendirilen araçlar ile ilgili plaka vb verilerdir. |
Çalışan Adayı/Stajyer Adayı Verisi | Şirketlerimize herhangi bir yolla iş başvurusunda bulunmuş ya da çalışan ve/veya stajyer adaylarının özgeçmiş, mülakat notları gibi kişisel verileridir. |
Çalışan İşlem Verisi | Çalışanlarımızın Şirketlerimiz iş ve işlemlerine yönelik her türlü işleme ilişkin işlenen kişisel veriler anlamına gelmektedir. |
Çalışan Performans ve Kariyer Gelişim Verisi | Çalışanlarımızın performanslarının ölçülmesi ile kariyer gelişimlerinin Şirketlerimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler anlamına gelmektedir. |
Denetim ve Teftiş Verisi | Şirketlerimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında iç veya dış denetim faaliyetleri sırasında işlenen kişisel veriler. |
Finansal Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ilgili kişi ile kurulmuş olan hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, harcama bilgisi, mal varlığı bilgileri, gelir bilgisi, ödeme bilgisi, belge, kart bilgisi, borç bakiyesi, alacak bakiyesi, banka hesap numarası, IBAN numarası, vb. gibi bilgiler. |
Fiziksel Mekân Güvenlik Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin ziyaretçi defteri kayıtları, giriş çıkış logları, ziyaret bilgileri, kamera kayıtları vb. gibi bilgiler. |
Görsel/İşitsel Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik bir şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen kişisel veriler. Örneğin; fotoğraf ve kamera kayıtları, ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
Hukuki İşlem Verisi | Hukuki alacak ve hakların tespiti, takibi ve borçların ifası ile kanuni yükümlülükler ve Şirketlerimizin politikalarına uyum kapsamında işlenen kişisel veriler ile icra takip dosyalarına ilişkin dosya ve borç bilgileri (Mahkeme ve idari merci kararları gibi belgelerde yer alan bilgiler). |
İletişim Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, kep adresi, e-mail, fax numarası, Ip adresi gibi bilgiler. |
İşlem Güvenliği Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari yükümlülüklerin gerçekleştirilmesinin temini amaçları için işlenen kişisel veriler. Örneğin; ilgili kişiyle ilişkilendirilen işlem ile o kişiyi eşleştirmeye ve kişinin o işlemi yapmaya yetkili olduğunu gösteren internet sitesi şifre ve parolası gibi bilgiler. |
Kimlik Verisi | Çalışanlardan, müşterilerden, ziyaretçilerden, tedarikçilerden, taşeronlardan, tedarikçi/taşeron çalışanlarından, işbirliği içinde olduğumuz firmalardan, iş ortaklarından ve diğer üçüncü kişilerden, kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Ad-Soyad, T.C. Kimlik numarası pasaport numarası, cinsiyet, vergi numarası, uyruk bilgisi, anne adı- baba adı, medeni hal, nüfus cüzdanı seri numarası, nüfus cüzdanı sıra numarası, kimlik numarası, doğum yeri, doğum tarihi, cinsiyet, din gibi bilgeleri içeren ehliyet, nüfus cüzdanı sureti gibi belgeler, imza/paraf gibi bilgiler. |
Lokasyon Verisi | Çalışanlarımız ile iş birliği içerisinde olduğumuz kurumların çalışanlarının Şirketlerimizin araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler anlamına gelmektedir. |
Müşteri İşlem Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri, müşteri numarası, fatura, çek senet bilgileri, müşteri hizmetleri kayıtları, sipariş ve talep bilgisi, başvuru ve şikayet formları, rezervasyon ve konaklama bilgisi gibi bilgiler |
Müşteri Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler. Örneğin meslek, müşteri kategorisi gibi. |
Özel Nitelikli Kişisel Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini içerir kişisel veriler. Örneğin; alerji bilgisi, kan grubu, din bilgisi, vb. gibi bilgiler. |
Özlük Verisi | Şirketlerimiz ile çalışma ilişkisi içerisinde olan gerçek kişilerin bordro bilgileri, hizmet dökümü, disiplin soruşturması, mesleki yeterlilik belgesi, iş sağlığı ve güvenliği eğitim bilgileri, işe giriş belgesi kayıtları, psiko-teknik rapor, özgeçmiş, adli sicil kaydı, adli sicil arşiv kaydı belgeleri gibi özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veriler anlamına gelmektedir. |
Pazarlama Verisi | Müşterilerden ve ziyaretçilerden pazarlama amacıyla topladığımız; anket kayıtları, çerez kayıtları, başvuru ve şikâyet formları gibi kampanya çalışması ile elde edilen veriler. |
Risk Yönetimi Verisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen IP adresi, Mac ID, log kayıtları vb. kayıtlar internet sitesi giriş çıkış bilgileri gibi kişisel veriler. |
Talep / Şikâyet Yönetimi Verisi | Şirketlerimize yöneltilmiş olan her türlü talep ve/veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler. |
Yan Haklar ve Menfaatler Verisi | Çalışanlarımıza sunduğumuz ve sunacağımız yan haklar ve menfaatlerin planlanması, bunlara hak kazanılması ile ilgili objektif kriterlerin belirlenmesi ve bunları hak edişlerin takibi için işlenen kişisel veriler anlamına gelmektedir. |
EK-4 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
VERİ AKTARIMI YAPILABİLECEK KİŞİLER | TANIMI | VERİ AKTARIM AMACI |
Grup Şirketleri | Psikon Sağlık ve Psikolojik Danışmanlık Sanayi Ticaret Ltd. Şti. | Şirketlerimizin ticari faaliyetlerine ilişkin stratejilerinin planlanması ve faaliyetlerinin sürdürülmesi, denetim, çalışan aday değerlendirilmesi gibi amaçlarla sınırlı olarak kişisel veriler aktarılmaktadır. |
Hissedarlar | İlgili mevzuat hükümlerine göre Şirketlerimizin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan gerçek ve tüzel kişi hissedarlardır. | İlgili mevzuat hükümlerine göre Şirketlerimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak kişisel veriler aktarılmaktadır. |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirketlerimizden bilgi/belge talep etmeye yetkili mahkemeler, vergi daireleri v.b kamu kurum ve kuruluşlarıdır. | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak kişisel veriler aktarılmaktadır. |
Hukuken Yetkili Özel Kurum ve Kuruluşlar | İlgili mevzuat hükümleri uyarınca kanunen belirlenmiş belirli şartlara uygun olarak kurulmuş ve yine kanunun belirlediği çerçevede faaliyetlerini devam ettiren kurum veya kuruluşlardır. | İlgili özel kurum ve kuruluşların yürütmekte oldukları faaliyetler kapsamında giren konular ile ilgili sınırlı olarak kişisel veriler paylaşılmaktadır |
İhale Makamları | Şirketlerimiz ile özel hukuk ilişkisi kuran kamu kurum ve kuruluşları ile kamu tüzel kişileridir. | Şirketlerimizin Kamu İhale Kanunu veya diğer kanunlar kapsamında olmak üzere sözleşme imzaladığı kamu kurum ve kuruluşları ile kamu tüzel kişileridir. |
İş Birimleri | Şirketlerimiz bünyesinde yer alan aktarım yapılması gereken iş birimlerimiz | Organizasyon yapımız içerisinde iş süreçlerinin yürütülmesi amacı ve kapsamıyla sınırlı olarak |
İş Ortakları | Şirketlerimizin muhtelif ticari faaliyetlerin yürütülmesi amacıyla iş ortaklığı kurduğu taraflardır. | İş ortaklığının kurulması ve sürdürülmesinin temini amacıyla sınırlı olarak kişisel veriler aktarılmaktadır. |
İştirakler | Şirketlerimizin hissedarı olduğu şirketler | Şirketlerimizin iştiraklerin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etme amacıyla sınırlı olarak kişisel veriler aktarılmaktadır. |
Şirket Yetkilileri | Şirketlerimizin yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler | İlgili mevzuat hükümlerine göre firmamızın ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetimi amacıyla sınırlı olarak kişisel veriler aktarılmaktadır. |
Taşeronlar | Şirketlerimiz ile arasındaki mevcut ve/veya ileride kurulması muhtemel sözleşmeye istinaden Şirketlerimize ait bir işin herhangi bir bölümünü Şirketlerimiz hesabına yapmayı alt yüklenici sıfatıyla üstlenen üçüncü kişilerdir. | Şirketlerimizin taşeronlardan temin ettiği ve Şirketlerimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını ve işlerin yapılmasını sağlamak amacıyla sınırlı olarak kişisel veriler aktarılmaktadır. |
Tedarikçiler | Şirketlerimizin ticari faaliyetlerinin yürütülmesi kapsamında Şirketlerimizin veri işleme amaçları ve talimatları doğrultusunda Şirketlerimize hizmet sunan taraflardır. | Şirketlerimizin tedarikçiden temin ettiği ve Şirketlerimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak kişisel veriler aktarılmaktadır. |