KİŞİSEL VERİLERİN KORUNMASI POLİTİKAMIZ HAKKINDA
Veri sorumlusu EAG Demir Sanayi ve Ticaret A.Ş olarak firmamız bünyesinde işlenen her türlü kişisel veri 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili ulusal ve uluslararası mevzuat hükümleri kapsamında korunmaktadır. Şirketimiz gerekli korunmanın sağlanması adına teknik ve idari tedbirleri vaktinde gereği gibi almakta olup her hangi bir ihlal şüphesi karşısında yasal hükümler çerçevesinde ilgili şahıslara, kurum ve kuruluşlara gerekli bildirimleri en kısa sürede yapmaktadır.
Ver Sorumlusunun bilgileri aşağıdaki gibidir:
ÜNVANI |
EAG Demir Sanayi ve Ticaret A.Ş. |
MERSİS NUMARASI |
0323047069000015 |
ADRESİ |
100.Yıl Bulvarı 1235. Cadde No:11-13-17-19 Ostim-Ankara |
TELEFONU |
0 312 385 29 19 |
FAX |
(312) 354 53 03 |
|
info@eagdemir.com.tr |
KEP( KAYITLI ELEKTRONİK POSTA) |
|
Uzun bir süreç içinde gelişen insan hakları kapsamında bizi biz yapan değerlerin yani kişisel verilerin önemi geldiğimiz dünyada ayrıca bir önem kazanmış olup, gerek ceza gerekse tazminat hukuku bağlamında korunması için yasal mevzuatlar hazırlanmıştır. Bilişim Teknolojileri alanında görülen hızlı ilerleme söz konusu kişisel verilerin paylaşılmalarını kolaylaştırmış ve keyfi uygulamaların gelişmesine sebebiyet vermiştir. Bu bağlamda keyfiliğin önüne geçilmesi maksadıyla gerekli yasal ve idari düzenlemeler yapılarak kurumların veri koruma politikaları belirlemeleri yasal zorunluluk haline getirilmiştir. Böylece kişilerin kişisel verilerinin keyfi kullanımının önüne geçilerek veri işlemelerinin belirli şarta bağlanması sağlanmıştır.
İş bu aydınlatma ve bilgilendirme metni şirketimizle her hangi bir şekilde ilişki kuran tüm muhataplara kanuni karşılığıyla ilgili kişilere hitaben yapılmaktadır. Bu kapsamdaki ilgili kişiler şunlardır:
Yukarıda yer verilen ilgili kişiler haricinde de firmamızla herhangi bir hukuki, insani, ticari yahut sair bir ilişki içerisine giren herkes işbu metnin muhatabıdır.
Şirketimiz tarafından sunulan hizmetler kapsamında elde edilen kişisel veriler (online form ortamları yahut kasada firmamıza tahsisli … uygulaması üzerinden işlenen veriler) kesinlikle üçüncü kişilerle paylaşılmamakta olup, ilgili kişilere imzalatılan aydınlatılmış rıza metinleri ile yasal yükümlülükler kapsamında sadece ilgili veri işleyenler tarafından gizlilik ve güvenlik politikalarımız çerçevesinde muhafaza edilmektedir. İşin gereği yahut açık rızanın varlığı hallerinde söz konusu bilgileriniz nakliye firması gibi destek saylayıcı firmalar yahut hizmet sağlayıcılarla gizlilik politikaları kapsamında paylaşılabilecektir.
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir. Kişisel verilerin belirtilen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet Kanun kapsamında kişisel verilerin işlenmesi olarak değerlendirilmektedir.
Kişisel verileriniz şirketimiz bünyesindeki ticari faaliyetin, iş yeri düzeni ve genel işleyişin gerekleriyle bağlantılı olarak 4857 sayılı İş Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar, Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 6502 sayılı Tüketicinin Korunması Hakkında Kanun ve 29166 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun başta olmak üzere sair kanunlardaki hükümler ve bu hükümler minvalinde çıkarılan sair mevzuatlar kapsamında işlenmektedir. Söz konusu veriler, iş sözleşmesi, ticari sözleşmeler, sair akdi ilişkiler kapsamındaki bilgiler ile tarafın özlük dosyası, tarafınızca sunulan bilgi ve belgeler ile ilgili kurumlardan yasal olarak elde edilen yahut kurumlarca tarafımıza bildirilen bilgi ve belgelerden elde edilmektedir.
Kişisel verileriniz otomatik ya da otomatik olmayan yollarla, şirketimiz birimleri ve ofisleri, internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir. Çağrı merkezlerimizi veya internet sayfamızı kullandığınızda veya internet sitemizi, sosyal medya mecralarını ziyaret ettiğinizde, kişisel verileriniz oluşturularak ve güncellenerek işlenebilecektir.
Söz konusu veriler veri sorumlusu şirketimiz denetim ve sorumluluğunda veri işleyenler İnsan Kaynağı, Veri Koruma Birimi (DPO), Muhasebe, Bilgi İşlem, Çağrı Merkezi, Destek Hizmetleri ve diğer hizmet birimleri personel veya personelleri tarafından münhasır amaçlarıyla sınırlı olarak yasal çerçeveler içinde işlenmektedir. Yine kurum doktoru ve avukat/avukatları tarafından da işin gereği ve yasal gerekler minvalinde amaçla sınırlı olarak verilerin işlenmesi söz konusu olabilmektedir.
Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunlardır:
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. Yukarıdaki ilkeler merkezinde verilerin korunması için gerekli teknik, hukuki ve idari gerekli tedbirleri almaktayız. Bu bağlamda şirketimiz bünyesinde gerekli çalışmalar yapılmış olup Kişisel Verilerin Korunması Kurumu Genel Kurulu kararları ve mevzuat değişiklikleri minvalinde söz konusu faaliyetler güncellenmektedir.
Kişisel verilerin işlenmesi 6698 sayılı kanunun 3/e bendinde şu şekilde tanımlanmıştır:
‘’ Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,’’
Söz konusu kişisel veri niteliğindeki bilgilerin ne şekilde işleneceği aynı kanunun 5. maddesinde şu şekilde ifade edilmiştir:
‘’ Kişisel verilerin işlenme şartları MADDE 5-
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
Bazı veriler nitelikleri ve doğası gereği diğer kişisel haklara nazaran daha vazgeçilmez niteliktedir. Bu nedenle iş bu hakların korunması ve işlenmesi söz konusu yasa kapsamında ayrıca ve sıkı şekil şartlarıyla birlikte düzenlenmiştir. Özel nitelikteki kişisel haklar kanunun 6/1 fıkrasında şu şekilde tanımlanmış ve sayılmıştır :
‘’Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.’’
Söz konusu hakların ne şekilde işlenebileceği ise aynı maddenin diğer fıkralarında şu şekilde ifade olunmuştur:
‘’ (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.’’
Siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve oluşumlar, kendi üye ve mensuplarının özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin, bir siyasi partinin veya sendikanın üyelerine ilişkin kimlik ve iletişim bilgilerini, fıkrada belirtilen şartlarla tutması, bu bent kapsamında değerlendirilecektir. Bu kuruluşlar, sadece kendi faaliyet alanlarıyla sınırlı olarak özel nitelikli veri işleyebileceklerdir. Örneğin, bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işleyemeyecektir.
İlgili kişinin kendisi tarafından kamuoyuna açıklanmış olan özel nitelikli kişisel verileri işlenebilecektir. Zira ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.
Özel niteliği olan kişisel verilerin, bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması halinde söz konusu veriler rıza olmasa da işlenebilir. Örneğin, bir işverenin, engelli çalıştırma zorunluluğu kapsamında, işyerinde, bu statüde çalıştırdığı kişilere ilişkin rapor ve belgeleri işlemesi bu kapsamda değerlendirilecektir. Yine engelli bir kişinin özel tüketim vergisinden muaf özel donanımlı araç almak hakkından yararlanabilmesi için, engelliliğine ilişkin sağlık raporlarının vergi dairesi tarafından edinilmesi ve işlenmesi de bu bent kapsamında değerlendirilecektir.
İlgili kişilerle akdedilen sözleşmeler, kurulan hukuki ilişkinin yasal gereği olarak tarafların bir birlerine sundukları bilgi ve belgeler, internet ortamında ya da fiziken doldurulan formlar, çağrı merkezi yahut ilgili birim temsilcimize bırakmış olduğunuz bilgiler, çerez politikası kapsamında elde edilen veriler ile sair temaslardan elde edilen bilgi ve belgeler başlıca veri kaynaklarıdır.
Şirketimiz internet siteleri şunlardır; https://www.eagdemir.com/Contact
Çağrı merkezi numaramız ise:0 312 385 29 19
Şirket irtibat numaralarımız ile faks bilgilerimiz; 0 312 385 29 19 , Faks:0 312 354 53 03
Yine dijital ortamlarda müşterilere ve diğer üçüncü kişilere daha iyi hizmet verme ve lehlerine olacak şekilde indirim ve sair fırsatlardan haberdar etmek için çerez politikaları uygulanmaktadır. Çerezler: bir web sayfası ziyaret edildiği zaman tarayıcılardaki kullanıcıların depolandığı küçük dosyalardır. Kişilerin web siteleri üzerinde aradıklarını tarayıcı geçmişinde kayıt tutar. Site üzerindeki hareketleri tarayıcı kayıtlarında tutarak bir web sitesine izin verir. Cookies 1994 yılında Netscape firması tarafından kullanılmaya başlanmıştır. İlk kullanım amacı bir kullanıcının girdiği siteye, tekrar girip girmediğini kontrol etmek içindi. Günümüzde cookies esas amacından fazla sapmadan fakat çok daha fazla bilgi almak için kullanılmaktadır. Hatırlanmamızı sağlayan cookies yani çerez ya da kurabiye dediğimiz text dosyalarıdır. Bilgilerimiz bu dosyalara yazıldığında aynı sitelere girdiğimizde bizi tanıyarak tekrar bilgilerimizi yazmaya gerek kalmaz. İnternette çeşitli web sitelerinde dolaşır, bazılarına üye oluruz. Üye olduğumuz bu sitelere girerken her seferinde kullanıcı adı ve şifremizi girmemek için beni hatırla ikonuna tıklarız. Bu ikona tıkladığımız andan itibaren çerezler devreye girer. Bize özel text dosyasına bilgilerimiz kaydedilir. Cookies’lerden okunan bilgiler sayesinde, siteyi açtığımız andan itibaren bilgilerimiz siteye ulaşır ve bizi tanır. Şirketimiz bünyesinde ayrıca bir çerez politikası mevcut olup bu politikalara şu linkten ulaşabilirsiniz https://www.eagdemir.com/Contact
Söz konusu çerez politikası ve sanal ortamlardan elde edilen verileriniz pazarlama ve reklam politikalarının oluşturulması amacıyla sınırlı olarak yasal hükümler çerçevesinde korunacaktır. Yine iş başvuruları, eğitim amaçlı sanal ortamda doldurulan formlar, anketler ve sair bilgi edinme formları münhasır amaçlarıyla sınırlı olarak yasal çerçevelerde korunacaktır. İnsan Kaynakları politikasının yürütülmesi çerçevesinde söz konusu veriler sadece bu departman bünyesinde bu amaçla ayrıca işlenebilecektir. Formlarda bildirim olması halinde bünyemizdeki başka bir veri işleyen birim tarafından da verilerin değerlendirilmesi söz konusu olabilecektir. Yine müşterilerle girilen hukuki ilişkinin gereği olarak söz konusu veriler kullanılabilecektir. Örneğin, teslimat yapılacaksa ikamet adresi ve kimlik bilgileri bankadan ödeme alınacaksa yahut yapılacak müşteri hesap bilgisi, kredi kartı bilgisi gibi.
IT BİRİMİYLE İRTİBATA GEÇİLİP BU KISIMA EK LER YAPILABİLİR
Talep edilen veriler ilgili kişilerin şirketimizle kurdukları ilişkilere göre çeşitlilik göstermekle birlikte başlık olarak şu şekilde kategorize dilebilir:
Kimlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren sürücü belgesi, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası vb. bilgiler |
İletişim Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler |
Aile Bireyleri ve Yakın Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz iş birimleri tarafından yürütülen operasyonlar çerçevesinde, kişisel veri sahibi tarafından Şirketimiz’e bildirilen aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler |
Güvenlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket merkezi, şubeleri, satış ofisleri ile her türlü tesislerine girişte, bu yerler içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar vb. |
Mali Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz’in kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü mali bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler |
Görsel/İşitsel Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fotoğraf ve kamera kayıtları (Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
Özlük Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri |
Özel Nitelikli Kişisel Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi) |
Talep/Şikâyet Yönetimi Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketimiz’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
Diğer |
|
Kişisel verilerin işlenme şartları ise Kanunun 5. maddesinde sayılmış olup, buna göre aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür:
Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiş olup, bu şartlar genişletilemez.
Özel nitelikteki kişisel veriler ise ancak ilgili kişinin rızasıyla işlenebilir. Yine bunun yanında sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikteki kişisel veriler rıza şartı aranmaksızın kanuni şartlar kapsamında işlenebilir ( KVKK 6/2) . Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Yukarıda bahsedildiği şekilde elde edilen bilgi ve belgeler şirketimiz nezdinde korunacak olup korunma ve tutulma şekilleri aşağıdaki gibidir:
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.) Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.) Yazıcı, tarayıcı, fotokopi makinesi
|
Kağıt Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) Yazılı, basılı, görsel ortamlar
|
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Saklamayı Gerektiren Hukuki Sebepler
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
Bu kanunlar ve yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
Yukarıdaki mevzuat hükümleri ve sözleşme gerekleri kapsamında elde edilen veriler veri sorumlusunun gözetiminde gizlilikleri korunarak yasal süreler içerisinde veri işleyenler tarafından korunacaktır. Şirketimiz veri işleyenleri şunlardır:
Söz konusu işin niteliğine göre başka kişilerde veri işleyen olarak halin ve işin icabı gereği bu statüye girebilir. Her kim veri işleyen sıfatını almış ise ilgili mevzuat gereği veri güvenliğini sağlamaya çalışacak olup söz konusu verileri amaçla sınırlı olarak kullanacaktır. Örneğin, sağlık kayıtları muhasebe birimi tarafından incelenmeyecektir.
Kişisel veriler veri işleyenler tarafından herkesin ulaşamayacağı yerde sadece işleyen kişiye tahsisli anahtarla kilitli olarak muhafaza edilecektir. Söz konusu verilerin güvenlikleri 24 saat usulü çalışan kameralarla sağlanacaktır.
Söz konusu verilerin dijital ortamlarda işlenmesi halinde özel kilitli doyalar içinde tutulacak olup söz konusu dijital ortamın güvenliği sağlanmakla birlikte dosya şifreleri sadece işleyenlere tahsisli olacaktır.
Şirketimiz bünyesinde verilerin imhası için yılın Ocak ve Temmuz ayları imha dönemleri olarak belirlenmiştir. İlgili kişilerden elde edilen kişisel veriler saklama sürelerinin bitiminden itibaren takip eden imha dönemi içinde şirket bünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından silinecek, yok edilecek veya anonim hale getirilecektir. İmha işlemine ilişkin tutanaklar bağımsız bir yerde şirket bünyesindeki verilerin korunmasından sorumlu personel/personeller tarafından 3 (üç) yıl süreyle tutulacaktır. Üç yıl sonra söz konusu tutanaklarda imha edilecektir. İmha işlemine ilişkin 28 Ekim 2017 tarih ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri esas alınacaktır.
Kişisel verilerin ülke sınırları içinde ne şekilde ve ne şartlar altında üçüncü kişilere aktarılacağı Kişisel Verilerin Korunması Kanunu’nun 8.maddesi kapsamında düzenlenmiştir. İş bu maddeye göre ancak kişilerin açık rızalarının olması halinde kişisel verilerin aktarılması mümkündür. Ancak yine aynı kanun maddesinde 5.ve 6. madde kapsamındaki şartların olması halinde açık rıza olmaksızın da kişisel verilerin aktarılabileceğini kaleme alınmıştır. Söz konusu kanun maddelerinin birlikte yorumlanmasından çıkan sonuç;
Özel nitelikteki kişisel verilerin aktarılabilmesi için ise;
Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir. Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de Kanunun 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.
Kişisel verilerin şirketimiz faaliyet kapsamı ve ticari menfaatleri kapsamında kişisel verileri yurt dışındaki kamu ve özel tüzel kişilere yasal şartlar minvalinde aktarması mümkündür. Kanun’un 9. maddesine göre, yurt dışına veri aktarımı;
Veri sorumlusu olarak, üçüncü kişilerin talepleri doğrultusunda menfaatlerinin sağlanması, şirket amaçlarının gerektirmesi, kamu kurumlarına karşı yükümlülüklerin yerine getirilmesi, kanuni yükümlülüklerin ifası ve diğer maksatlar doğrultusunda yukarıdaki şartların varlığıyla birlikte kişisel verilerin ve özel nitelikteki kişisel verilerin üçüncü kişilere aktarılabilmesi mümkündür. Söz konusu veriler şirketimiz ilgili personeli, bağlantılı şirketlerimiz, doğrudan / dolaylı yurt içi / yurt dışı iştiraklerimiz, hizmet aldığımız kuruluşlar, kullandığımız yurt içi ve yurt dışı server (sunucular), bulut hizmeti aldığımız yurt içi/yurt dışı kurumlar, veri sorumlusu adına veri işleyen, ölçümleme, hedefleme, profilleme desteği veren kişi ve kuruluşlar, denetim şirketleri iş ve çözüm ortakları, tedarikçiler, kamu ve özel tüzel kişilikleriyle paylaşılabilecektir.
Kişisel veri kategorilerine göre ilgili veri işleyenlerin listesi aşağıdaki gibidir;
Kimlik Bilgisi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
İletişim Bilgisi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
Lokasyon Verisi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları |
İşlem Güvenliği Bilgisi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
Aile Bireyleri ve Yakın Bilgisi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket Çalışanları, Şirket İş Ortakları |
Fiziksel Mekan Güvenlik Bilgisi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
Finansal Bilgi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
Görsel/İşitsel Bilgi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
Özlük Bilgisi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları |
Hukuki İşlem Bilgisi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
Özel Nitelikli Kişisel Veri |
Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
Talep/Şikayet Yönetimi Bilgisi |
Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler |
GÜNCELLEME VE UYUM
Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.
İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.
Bu Politika EAG DEMİR İcra Komitesi tarafından …/…/… tarihinde onaylanmıştır. Bu tarih itibariyle geçerli ve bağlayıcı olacaktır.