KİŞİSEL VERİLERİN KORUNMASI ŞİRKET POLİTİKALARI
1.Amaç ve Kapsam
6698 sayılı Kişisel verilerin korunması kanun kapsamında veri sorumlusu olan şirketin, şirket politikası olarak kişisel verilerin nasıl işleneceği, saklanacağı, bu yönde hangi tedbirlerin alınacağı, kimlere aktarılacağı, nasıl imha edileceği ile ilgili, şirket iç prosedürlerinin belirleyerek, hangi kişisel verilerin hangi amaçlarla işleneceğini, ilgili kişilerin Anayasa md.20′ de tanımlı haklarını korumak amacıyla işbu kişisel verilerin koruması politikasını hazırlamıştır. Bu kapsamda, şirket aşağıda belirtilen tüm tedbirleri şeffaflık ve ölçülülük ilkesi doğrultusunda kişisel verilerin korunması hakkının kurum kültürüne hakim olması için gerekli tüm tedbirleri almaya ve tüm hak sahipleriyle hakkın özünün korunması amacıyla işbirliği içerisinde olmaya hazır olduğunu kabul ve taahhüt eder. Kişisel verilerin korunması hakkı, başta çalışanlarımız, müşterilerimiz ve hak sahibi tüm gerçek kişilerin verilerinin korunması için hukuka ve dürüstlük kurallarına uyarak, tüm kuralları kurum kültürüne yerleştirmeyi ve devamlı politikalarla kalıcı olarak anılan hak sahiplerinin kişisel verilerini korumayı ve işlemeyi hedefler.
2.İdari Tedbirler
Şirketimiz işlediği verilerin özel nitelikte veriler olup olmadığını tasnif ederek, işlenen verilerin hak sahiplerinin kanunda öngörülen haklarını korumak için azami çabayı göstermeyi taahhüt eder. Bu kapsamda, düzenli veri analizi yaparak, veri envanteri oluşturma, hak sahiplerinin özel nitelikteki verilerini işleme ve saklama prosedürlerini etkin bir şekilde işletir. Yine şirket, hak sahiplerinin kişisel verilerini korumak amacıyla, düzenli olarak risk analizi yapmayı, ortaya çıkabilecek tüm risklerle ilgili önlemler almayı, kişisel verilerin korunmasını öngörülebilir kılmayı hedefler. Bu doğrultuda düzenli kontroller sağlamayı ve şirket sözleşmelerinin tamamında KVKK’ yla uyumlu ek protokoller yapmayı taahhüt eder.
3.Teknik Tedbirler
Şirket kişisel verileri mümkün olduğunca özel önlemler alarak fiziki olarak saklar. Dijital olarak saklanan verilerin korunması için, gerekli tüm tedbirler alınır. Erişim engelleri aktif olarak kullanılır ve şirket bilgisayar kullanma talimatnamesi doğrultusunda dijital verilerin güvenliği sağlanır. Bu kapsamda erişim kayıtları tutulur ve ihlal olması durumunda kurum ve ilgili kişi derhal bilgilendirilir. Sorumluların belirlenmesi konusunda alınan tedbirler neticesinde ilgili kişi her aşamada bilgilendirilir ve ilgili kişinin haklarının korunması için şirket her türlü özen yükümlülüğüyle hareket eder. Bu kapsamda, dijital verilerin korunması için güvenlik duvarı, anti virüs programları ve log kayıtlarını saklar. Sızma olmaması için hassas nitelikteki veriler kapalı devre sistemlerde ve şifrelenmiş olarak korunur.
4.Şeffaflık ve Ölçülülük İlkesi
Şirket veri sorumlusu olarak, işlediği tüm verileri neden işlediğini ve işlediği verilerin kanunla uyumlu bir şekilde ölçülülük ilkesine uyarak işlediğini ortaya koyar. Şirket bünyesindeki kişisel verileri azaltma politikasını etkin bir şekilde uygulayarak, işlediği verileri asgari düzeyde tutup, buna uyumlu önlemler alır. Bu kapsamda hesap verilebilir ve gerekçe sunulabilir verileri asgari düzeyde işleyerek, bunu hak sahipleriyle şeffaf bir şekilde paylaşır.
5.Veri İşleme Politikaları
5.1.Genel Nitelikli Kişisel Verilerin İşlenme Şartları
Şirket, Kişisel veri sahibinin açık rızanın bulunması, Kanunda öngörülmesi, Fiili imkansızlık nedeniyle kişinin rızasının alınamaması, Bir sözleşmenin kurulması veya ifasıyla doğrudan ilintili olması,
Şirketin hukuki yükümlülüğünü yerine getirmesi, Verinin ilgili kişi tarafından alenileştirilmesi,
Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması, Şirketin meşru menfaatinin bulunması durumlarında kişilerin verilerini işler. Şirket ticari faaliyetleri kapsamı dışında ve ticari faaliyetlerin devamı için zorunluluk arz eden haller dışında hiçbir kişisel veriyi bünyesinde tutmamaktadır. Şirket çalışanların özlük haklarının temini, ticari faaliyetlerin tanıtımı ve devamı, iş akış süreçlerinin zorunlu kıldığı
haller dışında ve bu hallerde de gerçek kişilerin açık rızasını alarak kişisel verileri işlemektedir.
5.2 Özel Nitelikli Verilerin İşlenme Şartları
Kanunun m.6/2′ de belirttiği kişisel veriler, kişilerin rızası alınmaksızın şirket tarafından işlenmez. Şirket özel nitelikli verileri kanunların öngördüğü hallerde ve açık rıza aranmaksızın işlemesi durumunda, bunu yine kanunun öngördüğü ölçülülük ilkesine bağlı kalarak yerine getirir. Sağlık ve cinsel hayata ilişkin kişisel veriler KVKK m.6/3′ te belirtilen şartların oluşması durumunda açık rıza aranmaksızın şirket tarafından gizlilik içerisinde işlenir. Özel nitelikli verilerin işlenmesi şartlarının oluşması durumunda şirket bu verileri gizlilik içerisinde işler.
6.Veri Saklama Politikaları
Şirket kişisel verileri kanunun öngördüğü yasal sürelerle bağlı kalarak saklar. Kanunda bir süre öngörülmemiş olan verileri, KVKK’ nın ruhu ve özü doğrultusunda ve kişisel verileri azaltma politikasıyla paralel olarak minimum sürelerde ve verinin şirketin ve ilgili kişinin meşru menfaatinin bulunduğu sürelerde saklar. Her halükarda şirket hakkın kötüye kullanılmasına yönelik sürelerde veri saklamaktan kaçınır. Bununla birlikte şirket veri politikası kapsamında, sürekli denetimlerle envanterinde tuttuğu kişisel verileri azaltma yolunda gerekli adımları atar ve kişisel verilerin önemi hakkında çalışanları da dahil olmak üzere, düzenli eğitimler ve denetimlerle kişisel veri kültürü oluşturmaya çalışır.
7.Veri Aktarım Politikaları
Şirket kişisel verileri, kanunun öngördüğü usuller dışında hiçbir kişi veya kuruma aktarmaz. Kişisel verileri aktarılan kişilerin açık rızaları alınır ve sadece işin gerektirdiği ölçüde kişisel verileri aktarır. Şirket politikası olarak şirket uhdesinde bulunan tüm kişisel veriler, şirketin ticari faaliyetlerini yürütmesi kapsamında saklanır ve aktarılır. Şirket uluslar arası ticaret dinamikleri kapsamında, yapılan işin gereği olarak ve sınırlı kalmak kaydıyla veri aktarımı yapar. Bu yönde şirket mümkün olduğunca gerçek kişilere ait az veriyi uhdesinde bulundurmayı şirket politikası haline getirmiştir.
8.İmha Politikaları
Şirket uhdesinde bulunan kişisel verileri, envanterde öngörülen veriler sonunda imha etmektedir. Bu kapsamda şirket imha matriksiyle, gerekli denetimler güncel tutulmaktadır. Şirketin kişisel veri envanterinde imhası öngörülen süreleri takip etmekle görevli çalışanları ve bu denetimi sağlayan personel belirlidir ve düzenli aralıklarla imha politikası tatbik edilmektedir. Şirket kurum kültürü olarak kişisel verileri azaltma yönünde politikasıyla birlikte, öngörülen sürelerin dışındaki tüm fiziksel ve dijital verileri kalıcı olarak yok etmektedir.
9.Eğitim Politikası
Şirket kişisel veri kültürünün oluşması için, bünyesinde bulunan tüm departman ve çalışanların kişisel verilerin önemi konusunda eğitim vermekte, bu yönde rastgele denetimlerle de bu kültürü kalıcı hale getirmeyi amaçlamaktadır. Bu kapsamda şirket, teknolojinin artık günlük hayatımız için kaçınılmaz hale gelmesiyle birlikte, çalışanların şirket ticari faaliyetleri kapsamında kullanılan teknolojinin hassasiyeti konusunda alınan idari tedbirlere de riayet etmesi için eğitimler vermekte ve bu yönde yönetmeliklerle çalışanların eğitimlerini sürekli kılmaktadır. Çalışanların gerçek kişilere ait hassas verileri nasıl
saklayacağı ve buna ilişkin prosedürleri yönetmelik haline getirmesi ve bu yöndeki eğitimleriyle, şirketin veri saklama ve imha politikaları da güçlendirilmektedir.
10.Aydınlatma Yükümlülüğü Politikaları
Şirket işlediği verileri neden işlediğiyle ilgili kişisel veri politikası gereğince şeffaflıkla hareket eder ve verileri işlenen kişilerin verilerinin işlenme amacı, saklama koşulları ve süreçle ilgili bilgilendirir. Bu yönde iş ortaklarını, tedarikçilerini, müşterilerini ve şirket hissedarlarını bilgilendirir. Yine aydınlatma yükümlülüğü çerçevesinde idari tedbirleri almakla birlikte, bununla ilgili çalışanlarını da eğitir. Şeffaflık ilkesi gereğince, verileri işlenen kişiler, işlenen verilerinin neler olduğunu, hangi amaçla saklandığını ve ne kadar süreyle saklandığını, bu verilerin aktarılıp aktarılmadığı konusunda bilgi sahibi olurlar.
Kanunun öngördüğü ve açık rızanın arandığı hallerde şirket bu bilgilendirmeyi yapar ve yazılı olarak açık rızası bulunması halinde kişisel verileri işler. Bu kapsamda şirket kişisel verilerin işlenmesini bir zorunluluk olarak gerçek kişilere dayatmayacağını taahhüt eder. Şirket tüm sözleşmelerini bu yönde revize ederek, tüm işlenen veri sahiplerine şirket politikası doğrultusunda bilgi vermeyi taahhüt eder.
11.Kişisel Veri Envanteri Oluşturma Politikaları
Şirket şeffaflık ilkesi neticesinde, tüm ilgili kişilere envanterini açık bir şekilde tutar. Bu kapsamda, şirket veri envanteri oluştururken, şirket uhdesinde bulunan tüm verileri titizlikle inceler ve günceller. Kişisel veri envanteri oluşturulurken şirket, açık ve yalın bir şekilde envanterini oluşturur ve işlenen verilerin hangi ortamda bulunduğunu, işbu verilerin nasıl kullanıldığını, ne kadar süre saklandığını, kimlerle paylaşıldığını belirtir. Bu hususta verilerin saklanma sürelerinin asgari düzeyde tutulması şirket politikasıdır. Envanter, şirketin oluşturduğu departman tarafından sürekli güncel tutularak kişisel verilerin güvenliğini sağlar ve veri azaltma politikasını günceller. İlgili kişilerin bilgi edinme hakkına saygı duyar ve
ilgili kişinin talebi doğrultusunda ve 30 günlük süre içerisinde envanteri paylaşmayı taahhüt eder.
12.Hak Kullanımı
Şirket ilgili kişinin talebi üzerine 30 günlük süre içerisinde, hangi verilerin işlendiği hakkında ilgili kişiyi bilgilendireceğini taahhüt eder. Bu kapsamda, kanunun öngördüğü zorunlu haller dışında ve kişilerin talebi doğrultusunda ve işlenen verilerin silinmesi, anonim hale getirilmesi gibi tedbirleri derhal uygular. Yine kanunun öngördüğü veya şirket ticari faaliyetlerinin zorunlu kıldığı haller dışında veri aktarımı yapmaz ve ilgili kişinin talebi doğrultusunda hangi verilerin aktarıldığını talep üzerine ilgili kişiye açıklar.
13.Politikanın Yürürlüğü
Martan Metal Plastik tarafından düzenlenen bu Politika 18 Ocak 2021 tarihinde yürürlüğe konulmuş olan Veri İşleme Politikası’ nın güncel versiyonu olup 18.01.2021 tarihinde yayınlanmıştır. Bu Politika, plastikmetalavm’ nin internet sitesinde (www.plastikmetalavm.com) yayımlanır ve ilgili kişilerin erişimine sunulur.
Martan Metal Plastik Sanayi ve Ticaret Limited Şirketi KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ
İşbu Aydınlatma Metni, Martan Metal Plastik Sanayi ve Ticaret Limited Şirketi (“Şirket”) tarafından Şirket’in müşterilerinin, tedarikçilerinin, iş ortaklarının, danışmanlarının ve çalışanlarının 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında kişisel verilerinin Şirket tarafından işlenmesine ilişkin olarak aydınlatılması amacıyla hazırlanmıştır. Kişisel verilerinizin işbu Aydınlatma Metni kapsamında işlenmesine ilişkin detaylı bilgilere [www.plastikmetalavm.com] adresinde yer alan Martan Metal Plastik Kişisel Veri Politikası’ ndan ulaşabilirsiniz. a) Kişisel Verilerin Elde Edilme Yöntemleri ve Hukuki Sebepleri Kişisel verileriniz, dijital veya fiziki ortamda toplanmaktadır. İşbu Aydınlatma Metni’nde belirtilen hukuki sebeplerle toplanan kişisel verileriniz Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde işlenebilmekte ve paylaşılabilmektedir. b) Kişisel Verilerin İşleme Amaçları Kişisel verileriniz, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde Şirket tarafından sunulan ürün ve hizmetlerin, ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası, Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi, Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, Şirket‘in ticari ve/veya iş stratejilerinin planlanması ve icrası ve Şirket‘in ve Şirket‘le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini amaçlarıyla işlenmektedir. c) Kişisel Verilerin Paylaşılabileceği Taraflar ve Paylaşım Amaçları Kişisel verileriniz, Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde, Şirket tarafından sunulan ürün ve hizmetlerin, ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası, Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi, Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, Şirket‘in ticarive/veya iş stratejilerinin planlanması ve icrası ve Şirket‘in ve Şirket‘le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini amaçları dahilinde Şirket’in iş ortakları ve tedarikçileri ile hukuken yetkili kurum ve kuruluşlar ile hukuken yetkili özel hukuk tüzel kişileriyle paylaşılabilecektir. d) Veri Sahiplerinin Hakları ve Bu Hakların Kullanılması Kişisel veri sahipleri olarak aşağıda belirtilen haklarınıza ilişkin taleplerinizi Veri Sahipleri Tarafından Hakların Kullanılması başlığı altında belirtilen yöntemlerle Şirket’e iletmeniz durumunda talepleriniz Şirketimiz tarafından mümkün olan en kısa sürede ve her halde 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır.
Kanun’un 11. maddesi uyarınca kişisel veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- 4. Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme, Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
- Kanun’un 28. maddesinin 2. fıkrası veri sahiplerinin talep hakkı bulunmayan halleri sıralamış olup bu kapsamda; Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, 1. 2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, 3. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması, hallerinde verilere yönelik olarak yukarıda belirlenen haklar kullanılamayacaktır. 4. Kanun’un 28. maddesinin 1. fıkrasına göre ise aşağıdaki durumlarda veriler Kanun kapsamı dışında olacağından, veri sahiplerinin talepleri bu veriler bakımından da işleme alınmayacaktır: Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
- Veri Sahipleri Tarafından Hakların Kullanılması Veri sahipleri, yukarıda bahsi geçen hakları kullanmak için yukarıda belirtilen şirket adresine ya da şirket mail adresine yapacakları yazılı başvuruyla haklarını kullanabilecektir. Başvurular, ilgili veri sahibinin kimliğini tespit edecek belgelerle birlikte, aşağıdaki yöntemlerden biri ile gerçekleştirilecektir: Formun doldurularak ıslak imzalı kopyasının elden, noter aracılığı ile veya iadeli taahhütlü mektupla [Emka Sanayi Sitesi Anbar Mahallesi 879. Sokak 3/ C C blok Melikgazi Kayseri-Türkiye] adresine iletilmesi, Formun 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza ile imzalanarak , info@plastikmetalavm.com
adresine kayıtlı elektronik posta ile gönderilmesi, Kişisel Verileri Koruma Kurulu tarafından öngörülen bir yöntemin izlenmesi. Şirket, Kanun’da öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen veri sahiplerine, yine Kanun’da öngörülen şekilde azami otuz (30) gün içerisinde cevap vermektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde 1. bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
- Veri sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından öngörülen ücret tarifesi[1] üzerinden ücretlendirme yapılabilecektir.
2.Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir