|
DORUK TEKNİK ORGANİZASYON VE DIŞ TİCARET AŞ. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI |
Doküman No |
KVİ.01.01 |
|
|
Yürürlük Tarihi |
05.07.2023 |
||
|
Revize Tarihi |
0 |
||
|
Revize No |
0 |
1. GİRİŞ
1.1.Giriş
Kişisel Verilerin Korunması İşlenmesi ve Korunması Politikasını Doruk Teknik tarafından benimsemiş ve temel bir insan hakkı olması sebebiyle, DORUK TEKNİK ORGANİZASYON VE DIŞ TİCARET AŞ.’nin (Doruk Teknik) en önemli öncelikleri arasına dahil etmiştir.
Doruk Teknik kişisel verilerin korunması hakkını güvence altında tutabilmek adına, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir.
Doruk Teknik Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Doruk Teknik tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Doruk Teknik’in veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Doruk Teknik, ilgili kişileri bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
1.2. Kapsam
Doruk Teknik Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), kişisel verilere ilişkin mevzuat çerçevesinde "kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amaçlanarak hazırlanmıştır.
“Politika” hazırlanırken öncelikle Doruk Teknik organizasyon şeması dahilinde çalışma birimlerinin hangi verileri, neden topladıkları ve bu verileri neden üçüncü kişilere aktarma gereksinimi olduğunu belirlemek ve Doruk Teknik’in kişisel veri işleme usulünü anlamak temel ilke olarak belirlenmiştir. İlgili mevzuatın gereksinimleri “Politika”ya aktarılırken, özelleştirilerek, Doruk Teknik’in hangi verileri neden temin ettiğini, bu verileri neden işlediğini sade ve anlaşılır bir dil ile izah etmek kişisel verilerin korunması gerekliliği dahilinde duyulan hassasiyet çerçevesinde ilke edinilmiştir. Ayrıca, Doruk Teknik organizasyonu içinde ve organizasyon dışında veri gizliliğinin korunması için gerekli idari ve teknik tedbirleri almak ve verileri işlenen bireyleri bilgilendirmek ve aydınlatmak hedeflenmektedir.
“Politika” kapsamına Doruk Teknik tarafından verileri işlenen tüm gerçek kişiler girmektedir.
İş bu “Politika” kapsamında Doruk Teknik organizasyonunda yer alan işlem ve faaliyetler çerçevesinde işlenen veriler, verilerin kategorizasyonu, veri alıcı grupları, veri toplama hukuki sebebi ve yöntemi, verilerin aktarıldığı üçüncü kişi grupları, verilerin işleme süreleri, verilerin silinme süreleri hakkında özelleştirilmiş bilgilere yer verilmeye çalışılmıştır. Ancak hali hazırdaki işleme faaliyetlerinin dışında Doruk Teknik tarafından veri işleme yapılması/yapılacak olması halinde harici bir aydınlatma metni dahilinde, işbu politikada belirtilen temel ilke ve prensiplere uyulmak kaydıyla işleme faaliyeti yürütülmesi ve aydınlatma yapılması mümkündür. Bu durumda yapılan aydınlatma işbu “Politika”nın ayrılmaz bir parçasını teşkil edecek olup, İşbu “Politika” da yer almadığı iddia edilemeyecektir. Nitekim Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. maddesi kapsamında aydınlatmanın sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle yapılması mümkündür.
1.3. Politika ve KVKK Mevzuatının Uygulanması
Kişisel verilerin işlenmesi ve korunması konusunda öncelikle yürürlükte bulunan ilgili kanuni düzenlemeler uygulanacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Doruk Teknik yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Doruk Teknik uygulamaları kapsamında somutlaştırılarak düzenlemektedir.
2.KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1.Kişisel Verilerin Güvenliğinin Sağlanması
Doruk Teknik, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Doruk Teknik, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
2.2.Özel Nitelikli Kişisel Verilerin Korunması
Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Doruk Teknik tarafından, Kanun ile "özel nitelikli" olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen bu kapsamda, Doruk Teknik tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Doruk Teknik bünyesinde gerekli denetimler sağlanmaktadır.
2.3. Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu çerçevede, Kanunun 22.nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:
1-Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6- Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
2.4.İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetim
Doruk Teknik kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için düzenli aralıklarla eğitimler düzenlemektedir.
Doruk Teknik çalışanlarının kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Doruk Teknik, başta Kişisel Verileri Koruma Kurumunun hazırlamış oldukları gelmek üzere ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına çalışanları vasıtasıyla katılım sağlamakta olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini yenilemektedir.
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1.Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
3.1.1.Hukuka ve Dürüstlük Kuralına Uygun İşleme
Doruk Teknik kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kişisel veriler Doruk Teknik’in iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
3.1.2.Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Doruk Teknik kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Doruk Teknik kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
3.1.4.İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Doruk Teknik kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
3.1.5.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Doruk Teknik kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Doruk Teknik öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
3.2.Kişisel Verilerin İşlenme Şartları
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 3.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.
i. Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
ii. Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
iii. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
iv. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
v. Doruk Teknik’in Hukuki Yükümlülüğünü Yerine Getirmesi
Doruk Teknik’in hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
vi. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
vii. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
viii. Doruk Teknik’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Doruk Teknik’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel veriler Doruk Teknik tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
(i)Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
(ii)Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
3.4. İlgili Kişilerin Aydınlatılması
Doruk Teknik Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Doruk Teknik kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.
3.5. Kişisel Verilerin Aktarılması
Doruk Teknik hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Doruk Teknik bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Bu konu ile ilgili ayrıntılı bilgiye işbu Politika’nın ekinden ulaşabilirsiniz
3.5.1. Kişisel Verilerin Aktarılması
Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Doruk Teknik tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
•Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
•Kişisel verilerin Doruk Teknik tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
•Kişisel verilerin aktarılmasının Doruk Teknik’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
•Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Doruk Teknik tarafından aktarılması,
•Kişisel verilerin Doruk Teknik tarafından aktarılmasının Doruk Teknik’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
•Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Doruk Teknik meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
•Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilecek yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.
3.5.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel veriler Doruk Teknik tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
(i)Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
(ii)Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.
4. DORUK TEKNİK TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
Doruk Teknik nezdinde, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Doruk Teknik’in kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir. İşbu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politika’nın ekinde bulabilirsiniz.
5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Doruk Teknik, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Doruk Teknik öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
6. İLGİLİ KİŞİNİN HAKLARI
6.1.İlgili Kişinin Hakları
i.Kişisel Verilerinizin işlenip işlenmediğini öğrenme,
ii. Kişisel Verileriniz işlenmişse buna ilişkin bilgi talep etme,
iii. Kişisel Verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
iv. Yurtiçinde veya yurtdışında Kişisel Verilerinizin aktarıldığı üçüncü kişileri bilme,
v. Kişisel Verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
vi. KVKK mevzuatında öngörülen şartlar çerçevesinde Kişisel Verilerinizin silinmesini veya yok edilmesini isteme,
vii. v. ve vi. maddeleri kapsamında yapılan işlemlerin Kişisel Verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
viii. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
ix. Kişisel Verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde bu zararın giderilmesini talep etme haklarına sahipsiniz.
6.2. İlgili Kişinin Haklarını Kullanma Şekilleri
6.2.1. Doruk Teknik’in https://dorukteknik.com internet sayfasını kullanarak haklarını detaylı şekilde öğrenme,
6.2.1.1. Yine bu internet bağlantısını kullanarak indirebileceğiniz “İlgili Kişi Başvuru Formu”nu talebiniz/şikâyetiniz doğrultusunda doldurarak, söz konusu formu info@dorukteknik.com e-posta adresi üzerinde Doruk Teknik’a iletebilir,
6.2.1.2. Veya aynı formu doldurarak Doruk Teknik Teknik Organizasyon ve Dış Ticaret Aş.- Levent Mahallesi, Zambaklı sokak, No: 31 Levent Beşiktaş / İstanbul adresimize, ıslak imzalı müracaat formu ile, posta, kargo veya elden yahut ta yetkilendirdiğiniz bir vekiliniz ile elden iletebilirsiniz.
Talebinizi üstte gösterilen yöntemlerden birisini kullanarak tarafımıza iletmeniz durumunda KVKK md. 13/2 gereğince, talebiniz en geç 30 gün içinde değerlendirilecek ve tarafınıza konuyla ilgili bilgi verilecektir. Eğer talebiniz kabul edilirse, gerekli işlemler derhal veri sorumlusu tarafından yerine getirilecektir.
Talepler kural olarak ücretsiz karşılanır ancak, talebin gereğini yerine getirmek masraf gerektiriyorsa “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliğ” madde 7’de öngörülen; “İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, 10 sayfaya kadar ücret alınmaz. 10 sayfanın üzerindeki her sayfa için 1 TL işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.” Hükmü gereğince Doruk Teknik tarafından ücret istenebilecektir.
7.KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
7.1.Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri
Doruk Teknik tarafından güvenliğin sağlanması amacıyla binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır
7.2.Doruk Teknik Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışların Takibi
Misafirlere ait işletme güvenliği açısından ve fiziksel mekan güvenliği kaydı verileri işlenmekte olup, 30 gün süre ile kaydedilmekte ve 31. gün kayıtlar silinmektedir.
8. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER
Doruk Teknik, işlemekte olduğu kişisel verilerin gizliliğinin ve güvenliğinin sağlanması konusunda, köklü bir Şirket olmanın da verdiği sorumluluk bilinciyle, gereken her türlü makul dikkat ve özeni sağlamaktadır. Doruk Teknik, ilgili mevzuatının gereklilikleri yanında KVKK’nın 12. maddesi çerçevesinde veri gizliliğinin ve güvenliğinin sağlanması için de gereken teknik ve idari tedbirlerini makul düzeyde almaktadır. Söz konusu idari ve teknik güvenlik tedbirleriyle birlikte kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ile kişisel verilerin uygun güvenlik düzeyinde muhafaza edilmesi hedeflenmektedir.
Doruk Teknik, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin ilgili veri işleyenler tarafından da alınması için gerekli tedbirleri alacaktır.
Kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi halinde, ilgili mevzuat hükümleri uyarınca veri sahiplerine, Kurul’a ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunacaktır.
Kişisel verilerin güvenliğine ilişkin tedbirler alınırken Kurul tarafından yayınlanmış olan Kişisel Veri Güvenliği Rehberi ( İdari ve Teknik Tedbirler) göz önünde bulundurulmaktadır.
8.1.Veri Güvenliği Tedbirleri
9. YÜRÜTME
Kişisel Verilerin İşlenmesi ve Korunma Politikası kapsamında tüm çalışmalar Veri Sorumlusu başkanlığında yürütülür.
10. VERİ GÜVENLİĞİNİN KORUNMASI VE GEREKLİ GÜNCELLEMELER
10.1.Doruk Teknik, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda, Verisi işlenen kişiler olduğunda veri işleme faaliyetinden önce Aydınlatma yapar ve Aydınlatma metni alır.
10.1.1. Ayrıca veri güvenliğinin sağlanması amacıyla veri işleme faaliyetinden önce gizlilik sözleşmesi, disiplin gereklilikleri vb. alır, gerekli taahhütnameleri veri sahipleri ile karşılıklı imzalar.
10.1.2. Verbis bildirimi dışında veri işleme faaliyeti oluşması durumunda işleme faaliyetinden önce (Veri işleme faaliyetinden vazgeçilmesi veya yeni veri işleme konusu gündeme geldiğinde) Kvk Kurumuna bildirim yapar.
10.2. Doruk Teknik, Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
10.3.Kişisel Verileri Korunması Politikası, toplam beş (5) sayfa ve ekleri ile birlikte on sayfa (10) dan ibaret olup, Verbis bilgileri esas alınarak düzenlenmiş ve yürürlüğe girmiştir.
10.4.Veri işleme esas ve amaçlarında değişiklik politika revize edilerek (revizyon tarih ve nosu ile) www.dorukteknik.com internet adresinde yayımlanacaktır.
Güncelleme Tarihi : 05.07.2023
Revizyon N0 : 23.001
DORUK TEKNİK ORGANİZASYON VE DIŞ TİCARET AŞ.
|
KİŞİSEL VERİLERİ KORUMA KANUNU KAPSAMINDA YER ALAN TEMEL TANIMLAR |
EK-1 |
||
|
VERİ SORUMLUSU VE ADRESİ |
DORUK TEKNİK ORGANİZASYON VE DIŞ TİCARET AŞ. Levent Mahallesi, Zambaklı Sokak, No: 31 Levent Beşiktaş / İSTANBUL |
||
|
KVKK KANUNU |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
||
|
YÖNETMELİK |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği |
||
|
KURUL |
Kişisel Verileri Koruma Kurulu |
||
|
POLİTİKA |
Kişisel Verileri İşlenmesi ve Korunması Politikası |
||
|
VERİ SORUMLUSU |
Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdikleri faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. |
||
|
İRTİBAT KİŞİSİ |
Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi. (İrtibat kişisi Veri Sorumlusunu temsile yetkili değildir. Adından anlaşılacağı üzere yalnızca veri sorumlusu ile ilgili kişilerin ve Kurumun iletişimini “irtibatı” sağlamak üzere görevlendirilen kişidir.) |
||
|
VERİ İŞLEYEN / İLGİLİ KULLANICI |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır. Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu, hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir. |
||
|
KİŞİSEL VERİ |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişilerin adı, soyadı, doğum tarihi ve doğum yeri, kişinin fiziki, ailevi, ekonomik ve sair özelliklerine ilişkin bilgiler, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası gibi veriler kişisel veridir. Bu anlamda, kişisel verinin, kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir nitelik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayacak nitelikte olması gerekir. |
||
|
ÖZEL NİTELİKLİ KİŞİSEL VERİ |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Kanun’da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiş olup, kıyas yoluyla genişletilmesi mümkün değildir. |
||
|
KİŞİSEL VERİNİN İŞLENMESİ |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınırlandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
||
|
OTOMATİK OLARAK VERİ İŞLEME |
Bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir. |
||
|
AYDINLATMA YÜKÜMLÜLÜĞÜ |
Veri sorumlusunun, kişisel verilerini işlediği kişilere, bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vermesi yükümlülüğüdür. Aydınlatma yükümlülüğü kapsamında kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebepleri hakkında verisi işlenen kişilere bilgi verilmesi gerekir. |
||
|
AÇIK RIZA |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
||
|
İLGİLİ KİŞİ / VERİ SAHİBİ |
Kişisel verisi işlenen gerçek kişidir. Tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde bu veriler Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. |
||
|
DEPARTMAN |
Bir işyerinde ya da kuruluşta belli bir işi yapmak üzere ayrılmış olan bölümlerden her biri |
||
|
KAYIT ORTAMI |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
||
|
VERİ KAYIT SİSTEMİ |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Veri kayıt sisteminde kişisel veriler; ad-soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak sınıflandırma da bu kapsamda değerlendirilecektir. |
||
|
VERİ GÜVENLİĞİ |
Kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemeye ve bunların hukuka uygun olarak muhafazasını sağlamaya yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasıdır. |
||
|
VERİ ALICI GRUBU |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini, |
||
|
DOĞRUDAN TANIMLAYICILAR |
Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları, |
||
|
DOLAYLI TANIMLAYICILAR |
Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları, |
||
|
VERİ ENVANTERİ |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları çalışmalardır. |
||
|
VERİ SORUMLULARI SİCİLİ |
6698 sayılı Kanuna göre veri sorumlusu olanların kaydolmak zorunda oldukları Kişisel Verilerin Korunması Kurumu Başkanlığı tarafından kamuya açık olarak tutulması öngörülen bir kayıt sistemidir. |
||
|
KİŞİSEL VERİLERİN AKTARILMASI |
Veri sorumlularının uhdesinde bulunan kişisel verilerin aktarılmasıdır. Kural olarak, kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz. |
||
|
ÇEREZ ( Cookie) |
Kullanıcıların bilgisayarlarına yahut mobil cihazlarına kaydedilen ve ziyaret ettikleri web sayfalarındaki tercihleri ve diğer bilgileri depolamaya yardımcı olan küçük dosyalardır |
||
|
ANONİM HALE GETİRME (ANONİMLEŞTİRME) |
Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Bununla birlikte anonim hale getirme ile anonim veri birbiri ile karıştırılmamalıdır. Anonim veri baştan itibaren belirli bir kişi ile ilişkilendirilmeden elde edilen ve daha sonra da belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veridir. Anonim hale getirilmiş verinin anonim veriden farkı başlangıçta kime ait olduğunun bilinmesi ve ilgili kişi ile arasındaki bağın daha sonra ortadan kaldırılmasıdır. |
||
|
ALENİLEŞTİRME |
“Herkes tarafından bilinir kılma” anlamında olan alenileştirme kavramı, 6698 sayılı Kanunun 5. maddesinde, kişisel verilerin açık rıza aranmaksızın işlenebileceği hallerden biri olarak sayılmıştır. Buna göre, ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle ilgili kişinin alenileştirme iradesi ile herhangi bir şekilde kamuoyuna açıklamış olduğu kişisel veriler, ayrıca ilgili kişinin açık rızası olmaksızın alenileştirme amacı ve Kanunun 4. maddesinde düzenlenen genel ilkeler kapsamında işlenebilecektir. |
||
|
SİLME |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
||
|
YOK ETME |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir |
||
|
İMHA |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemidir. |
||
|
KARARTMA |
Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri, |
||
|
MASKELEME |
Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemlerdir. |
||
|
PERİYODİK İMHA |
Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
||
|
KAYNAK |
6698 sayılı Kişisel Verilerin Korunması Kanunu- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik - Veri Sorumluları Sicili Hakkında Yönetmelik - Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ - Veri Sorumlusuna Başvuru ve Usul Esasları Hakkında Tebliğ Veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ |
||
|
KATEGORİLER |
EK-2 |
|
İŞLENEN VERİ KATEGORİLERİ |
VERİ TÜRÜ |
|
1-Kimlik Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b |
Kişisel Veri |
|
2-İletişim Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b. |
Kişisel Veri |
|
3-Lokasyon Bulunduğu yerin konum bilgileri v.b. |
Kişisel Veri |
|
4-Özlük Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b. |
Kişisel Veri |
|
5-Hukuki İşlem Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b. |
Kişisel Veri |
|
6-Müşteri İşlem Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b. |
Kişisel Veri |
|
7-Fiziksel Mekan Güvenliği Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b. |
Kişisel Veri |
|
8-İşlem Güvenliği IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b. |
Kişisel Veri |
|
9-Risk Yönetimi Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b. |
Kişisel Veri |
|
10-Finans Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b. |
Kişisel Veri |
|
11-Mesleki Deneyim Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b. |
Kişisel Veri |
|
12-Pazarlama Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b. |
Kişisel Veri |
|
13-Görsel Ve İşitsel Kayıtlar Görsel ve İşitsel kayıtlar v.b. |
Kişisel Veri |
|
14-Irk Ve Etnik Köken Irk ve etnik kökeni bilgileri v.b. |
Özel Nitelikli Kişisel Veri |
|
21-Sağlık Bilgileri Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b. |
Özel Nitelikli Kişisel Veri |
|
23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b. |
Özel Nitelikli Kişisel Veri |
|
KİŞİSEL VERİ İŞLEME AMAÇLARI |
EK-3 |
|
VERİ AKTARIM ALICI GRUPLARI |
EK-4 |
|
VERİ SAKLAMA SÜRELERİ |
EK- 5 |
|
|
Veri Kategorileri |
Saklama Süreleri |
|
|
1-Kimlik |
Kişisel Veri |
Hukuki İş İlişkisi + 10 yıl |
|
2-İletişim |
Kişisel Veri |
Hukuki İş İlişkisi + 10 yıl |
|
3-Lokasyon |
Kişisel Veri |
Hukuki İş İlişkisi + 2 yıl |
|
4-Özlük |
Kişisel Veri |
Hukuki İş İlişkisi + 10 yıl |
|
5-Hukuki İşlem |
Kişisel Veri |
Hukuki İş İlişkisi + 5 yıl |
|
6-Müşteri İşlem |
Kişisel Veri |
Hukuki İş İlişkisi + 5 yıl |
|
7-Fiziksel Mekan Güvenliği |
Kişisel Veri |
1 Ay |
|
8-İşlem Güvenliği |
Kişisel Veri |
Hukuki İş İlişkisi + 2 yıl |
|
9-Risk Yönetimi |
Kişisel Veri |
Hukuki İş İlişkisi + 5 yıl |
|
10-Finans |
Kişisel Veri |
Hukuki İş İlişkisi + 5 yıl |
|
11-Mesleki Deneyim |
Kişisel Veri |
Hukuki İş İlişkisi + 2 yıl |
|
12-Pazarlama |
Kişisel Veri |
Hukuki İş İlişkisi + 2 yıl |
|
13-Görsel Ve İşitsel Kayıtlar |
Kişisel Veri |
Hukuki İş İlişkisi + 2 yıl |
|
14-Irk Ve Etnik Köken |
Özel Nitelikli Kişisel Veri |
Hukuki İş İlişkisi + 2 yıl |
|
21-Sağlık Bilgileri |
Özel Nitelikli Kişisel Veri |
Hukuki İş İlişkisi + 15 yıl |
|
23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Özel Nitelikli Kişisel Veri |
Hukuki İş İlişkisi + 1 yıl |
|
KİŞİSEL VERİ KATEGORİLERİ VE VERİ KONUSU KİŞİ GRUPLARI |
EK-6 |
1-Kimlik
Çalışan Adayı
Çalışan
Hissedar/Ortak
Potansiyel Ürün veya Hizmet Alıcısı
Stajyer
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
2-İletişim
Çalışan Adayı
Çalışan
Hissedar/Ortak
Potansiyel Ürün veya Hizmet Alıcısı
Stajyer
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
3-Lokasyon
Çalışan Adayı
Çalışan
Hissedar/Ortak
Potansiyel Ürün veya Hizmet Alıcısı
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
Ziyaretçi
4-Özlük
Çalışan
Hissedar/Ortak
Stajyer
5-Hukuki İşlem
Çalışan
Hissedar/Ortak
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
6-Müşteri İşlem
Hissedar/Ortak
Potansiyel Ürün veya Hizmet Alıcısı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
7-Fiziksel Mekan Güvenliği
Çalışan Adayı
Çalışan
Hissedar/Ortak
Potansiyel Ürün veya Hizmet Alıcısı
Stajyer
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
Veli / Vasi / Temsilci
Ziyaretçi
8-İşlem Güvenliği
Potansiyel Ürün veya Hizmet Alıcısı
Ürün veya Hizmet Alan Kişi
9-Risk Yönetimi
Çalışan
Hissedar/Ortak
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
10-Finans
Çalışan
Hissedar/Ortak
Tedarikçi Yetkilisi
Ürün veya Hizmet Alan Kişi
11-Mesleki Deneyim
Çalışan
Hissedar/Ortak
Stajyer
12-Pazarlama
Potansiyel Ürün veya Hizmet Alıcısı
Ürün veya Hizmet Alan Kişi
13-Görsel Ve İşitsel Kayıtlar
Çalışan
Stajyer
14-Irk Ve Etnik Köken
Hissedar/Ortak
Tedarikçi Çalışanı
Tedarikçi Yetkilisi
Ziyaretçi
21-Sağlık Bilgileri
Çalışan
Stajyer
23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri
Çalışan
Stajyer
|
YABANCI ÜLKELER |
EK- 7 |
|
|
Yabancı Ülkelere Aktarılacak Bilgiler |
Aktarılıp, Aktarılmadığı |
|
|
1-Kimlik |
Kişisel Veri |
Aktarılıyor |
|
2-İletişim |
Kişisel Veri |
Aktarılıyor |
|
3-Lokasyon |
Kişisel Veri |
Aktarılıyor |
|
4-Özlük |
Kişisel Veri |
Aktarılmıyor |
|
5-Hukuki İşlem |
Kişisel Veri |
Aktarılmıyor |
|
6-Müşteri İşlem |
Kişisel Veri |
Aktarılıyor |
|
7-Fiziksel Mekan Güvenliği |
Kişisel Veri |
Aktarılmıyor |
|
8-İşlem Güvenliği |
Kişisel Veri |
Aktarılmıyor |
|
9-Risk Yönetimi |
Kişisel Veri |
Aktarılmıyor |
|
10-Finans |
Kişisel Veri |
Aktarılıyor |
|
11-Mesleki Deneyim |
Kişisel Veri |
Aktarılmıyor |
|
12-Pazarlama |
Kişisel Veri |
Aktarılmıyor |
|
13-Görsel Ve İşitsel Kayıtlar |
Kişisel Veri |
Aktarılmıyor |
|
14-Irk Ve Etnik Köken |
Özel Nitelikli Kişisel Veri |
Aktarılmıyor |
|
21-Sağlık Bilgileri |
Özel Nitelikli Kişisel Veri |
Aktarılmıyor |
|
23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Özel Nitelikli Kişisel Veri |
Aktarılmıyor |
|
VERİ GÜVENLİĞİ TEBDİRLERİ |
EK-8 |