Yel Teneke Kutu Sanayi ve Ticaret A.Ş. Kişisel Verilerin İşlenmesi ve Korunması Politikası
Yel Teneke Kutu Sanayi ve Ticaret A.Ş. (“Yel Teneke” veya “Şirket”), kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve sair mevzuat tarafından getirilmiş yasal düzenlemelere uymayı ve Yel Teneke tarafından verileri işlenen bireylerin hak ve özgürlüklerini korumayı taahhüt etmektedir. Bu amaçla Veri Sorumlusu olarak; Şirketimiz tarafından yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunmak, uygulamada şeffaflığı ve hukuka uygunluğu sağlamak, kişisel verileri Şirketimiz tarafından işlenen veri sahibi gerçek kişileri bilgilendirmek ve yeni yasal düzenlemeler doğrultusunda geliştirilmek üzere işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (‘Politika’) hazırlanmıştır.
1. Tanımlar
Kişisel Verilerin İşlenmesi ve Korunması Politikasında yer alan tanımların açıklamaları aşağıda yer almaktadır;
KVKK: 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete de yayımlanan Kişisel Verilerin Korunması Kanunu
KVK Kurulu: Kişisel Verileri Koruma Kurulu
Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan Şirket “Kişisel Veri Saklama ve İmha Politikası”.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi çalışanlar, çalışan adayları, stajyerler, tedarikçiler ve çalışanları, ortaklar, müşteriler, Şirketle yapılmış sözleşme kapsamındaki diğer üçüncü şahıs gerçek kişiler.
Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik bilgileridir. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişidir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişidir.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Anonim Hale Getirilmesi: Verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek bir hale getirilmesidir.
2. Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Temel İlkeler
2.1. Kişisel verilerin korunması ve işlenmesinde KVKK ile bu kanuna bağlı çıkartılan diğer yasal düzenlemelerde belirtilen hükümler esas alınır.
2.2. Bu Politika ile çalışanlarımızın, stajyerlerimizin, çalışan adaylarımızın, hissedarlarımızın, potansiyel ürün ve/veya hizmet alıcılarının(gerçek kişi/çalışanları), ürün ve hizmet alıcılarının (gerçek kişi/çalışanları), tedarikçilerimizin (gerçek kişi/çalışanları), ziyaretçilerimizin, Şirketimiz ile Sözleşme ve iş ilişkisi bulunan danışman ve diğer üçüncü kişilerin kişisel verilerinin hukuka uygun şekilde korunması ve işlenmesi ile özel nitelikli kişisel verilerinin, mevzuat kapsamında belirtilen esaslar dahilinde Şirketimiz tarafından işlenmesi ve korunmasının prensipleri oluşturulmaktadır.
2.3. Kişisel veriler, Veri Sahibinin açık rızası olmadan işlenemez, başka bir kişiye/sisteme aktarılamaz, kullanılamaz ve sunulamaz. Kişinin açık rızası; açık, bilgilendirmeye ve özgür iradeye dayalı bir biçimde alınmaktadır.
2.4. Kişisel veriler, Şirketin belirlemiş olduğu bölüm ve sistemlerde saklanır. Kişisel verilerin işlenmesi, verilere erişim ve bu verilerin kullanımı sadece Kişisel Veri Koruma Sorumlusu tarafından yetkilendirilmiş kişilerce yapılır.
2.5. Kişisel verilerin korunması anayasal bir hak olup, Şirketimizin öncelikleri arasında yer almaktadır. Bu amaçla; kişisel verilerin korunması süreçlerinin yönetimi, gelişmelerin takibi ve analizi amacıyla Şirket bünyesinde “Kişisel Veri Koruma Görevlisi” atanmış olup, Kişisel Veri Koruma Görevlisi, işbu Politika’nın yürütülmesi amacıyla Şirketimizde yer alan departmanlardan atayacağı kişiler ile Kişisel Verilerin Korunması Komitesi (“Komite”) kurulmuştur.
2.6. İşbu Politikada belirtilen hususların uygulanmasına yönelik Şirket bünyesinde gerekli prosedürler oluşturulmuş, aydınlatma metinleri düzenlenmiş, gizlilik sözleşmeleri yapılmış, görev tanımları revize edilmiş, kişisel verilerin korunması için gerekli idari ve teknik tedbirlerin tamamı alınmıştır.
2.7. Tüm Yel Teneke çalışanları, kişisel verilerin korunması ve güvenliğinden bizzat sorumludur. KVKK ile buna bağlı diğer yasal düzenlemelere ve işbu Politikaya uyum konusunda periyodik olarak denetim yapılır.
2.8. Şirket tarafından düzenlenerek yayınlandığı tarihte yürürlüğe giren işbu Politika, Şirket’in internet sitesinde yayımlanır ve Kişisel Veri Sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. Şirket, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar. Politika’nın güncel versiyonuna Şirket web sitesinden erişilebilir.
2.9. İşbu politikada belirtilen esaslara ve yasal mevzuata aykırı olarak kişisel verileri kaydeden, paylaşan ve/veya gerektiğinde silmeyen kişilere Türk Ceza Kanunu’nun (TCK) 135-140. maddelerinde belirtilen yaptırımlar uygulanır.
3. Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler
Şirket tarafından Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirket, Kişisel Verileri işlerken, KVKK madde 4 kapsamında, aşağıdaki ilkelerle hareket eder:
- Kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi: Şirket, kişisel verilerinizin işlenmesinde kanunlara, ikincil düzenlemelere ve hukukun genel ilkelerine uygun olarak hareket eder; kişisel verileri işlenme amacı ile sınırlı olarak işlemeye ve veri sahiplerinin makul beklentilerini dikkate almaya önem verir.
- Kişisel verilerin doğru ve güncel olması: Şirket tarafından işlenen kişisel verilerinizin güncel olup olmadığına, buna ilişkin kontrollerin yapılmasına dikkat edilir. Veri sahiplerine bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesini veya silinmesini isteme hakkı tanınır.
- Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi: Şirket, her bir kişisel veri işleme faaliyetinden önce veri işleme amaçlarını tespit eder ve bu amaçların hukuka aykırı olmamasına dikkat eder.
- Kişisel verilerin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması: Şirket tarafından veri işleme faaliyeti toplama amacını gerçekleştirme için gerekli olan kişisel verilerle sınırlandırılmakta ve bu amaçla ilişkili olmayan kişisel verilerin işlenmemesi için gerekli adımlar atılmaktadır.
- Kişisel verilerin mevzuatın ya da işleme amaçlarının gerektirdiği süre kadar saklanması: Şirket tarafından kişisel veri işleme amacının ortadan kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması ile kişisel veriler silinmekte, yok edilmekte veya anonimleştirilmektedir.
4. Kişisel Verilerin İşlenmesine Yönelik Hususlar
4.1. Kişisel Verilerin İşlenme Şartları:
Kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından açık rıza temin edilmektedir. Kanunun 5. maddesinin 1. fıkrasında yer alan “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez” düzenlemesi çerçevesinde, Şirketimiz Kanunun tanıdığı istisnai haller dışında, açık rızanın bulunması halinde kişisel veri işlemektedir.
KVKK m.5 uyarınca aşağıda belirtilen şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilir:
- Kanunlarda açıkça öngörülmesi: Veri sahibinin kişisel verileri, kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
- Fiili imkansızlık nedeniyle ilgilinin açık rızasının alınamaması: Fiili imkansızlık nedeniyle ilgilinin açık rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması: Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılacaktır.
- Şirketin hukuki yükümlülüğünü yerine getirmesi: Kişisel veri işlemenin, veri sorumlusu olan Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde kişisel veri işlenebilecektir.
- Kişisel verinin, ilgili kişi tarafından alenileştirilmiş olması: Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması: Kişisel Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
4.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Özel nitelikli kişisel veriler Şirket tarafından, işbu Politika’da belirtilen ilkelere uygun olarak gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir: Özel nitelikteki verilerin işlenebilmesi için aşağıda Kanunun 6. maddesinde de yer verilen istisnalar dışında veri sahibinin açık rızasının alınması zorunludur.
Kişisel veri sahibinin sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileri: Kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir.
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler: Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi şeklinde olup; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza almadan” işlenebilmektedir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
5. Kişisel Verilerin Korunmasına Yönelik Hususlar
Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tüm idari ve teknik tedbirlerini almaktadır. İdari ve teknik tedbirlere, işbu Protokol’ün “Kişisel Verilerin Gizliliği ve Güvenliğinin Sağlanması” başlıklı 13. Maddesinde ayrıntılı olarak yer verilmiştir.
5.1. Özel Nitelikli Kişisel Verilerin Korunması
Şirketimiz için KVKK kapsamında “Özel Nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunması özel öneme sahiptir. KVKK’nın 6.maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir.
KVKK ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ‘ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik’ verilerdir.
Şirketimiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle ve özel olarak uygulanmaktadır.
Özel Nitelikli Veri kapsamında, Şirket bünyesinde adli sicil belgesi ve kan grubu, sağlık raporları gibi sağlık bilgilerini içeren belgeler ile dernek, vakıf ve sendika üyeliği bilgilerini içeren özgeçmişler özlük dosyalarında bulunmaktadır. Bu özel nitelikli kişisel verilere erişebilen personele periyodik gizlilik eğitimleri verilmekte, erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal iptal edilmektedir.
Çalışanların özlük dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece görevlendirilen yetkili işyeri hekiminin ve özlük dosyaları kapsamında yetkilendirilen insan kaynakları uzmanının erişebildiği alanlarda saklanmaktadır.
6. Yel Teneke Tarafından İşlenen Kişisel Verilerin Kategorizasyonu ve İşlenme Amaçları
6.1. Kişisel Veri Kategorileri ve Açıklamaları:
YEL TENEKE tarafından KVKK ve işbu Politikada belirtilen amaçlar ve şartlar çerçevesinde işlenen kişisel veri kategorileri ile kategorilerin açıklamalarına aşağıda yer verilmektedir;
| Kimlik Verisi: | Ad, soyadı, doğum tarihi, doğduğu ülke, doğduğu şehir, cinsiyet, medeni durumu, milliyeti, TC kimlik kartı üzerindeki bilgileri (TCKN, seri no, cüzdan numarası ile sıra no, cilt no, kayıt no, nüfusa kayıtlı olunan il/ilçe/köy/mahalle, verildiği yer, veriliş sebebi, veriliş tarihi, mensup olunan din bilgisi), vergi numarası, imza bilgisi vb. bilgiler. |
| İletişim Verisi: | Adres bilgisi, telefon numarası, e-posta adresi, cep telefonu numarası, kurumsal e-posta adresi, kep adresi, şirket içi iletişim bilgileri, dahili telefon numarası, faks numarası vb. bilgiler. |
| Müşteri İşlem: | Fatura düzenlenebilmesi amacıyla kimlik ve fatura bilgileri (TC kimlik numarası, vergi numarası, şahıs şirketi bilgileri), sipariş talep formu, satış teklif formu, malzeme talep formu, tedarikçi denetim soru listesi vb. bilgiler. |
| Hukuki İşlem: | Haciz ihbarnamesi/maaş kesintisi bilgileri, adli makamlarla yazışmalar, Çalışan/stajyerin icra takip dosyalarına ilişkin dosya ve borç bilgileri Vekaletname, hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükler kapsamında işlenen veriler. |
| Finans: | Finansal veriler ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil-performans bilgileri, malvarlığı verisi, gelir bilgisi gibi veriler, bilanço bilgileri. |
| Fiziksel Mekan Güvenliği: | Kamera kayıtları, işe giriş çıkış bilgileri. |
| Özlük Bilgileri: | Sicil numarası, pozisyon adı, departmanı ve birimi, unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik tahsis numarası, sosyal güvenlik numarası, vergi dairesi numarası, aylık toplam mesai bilgisi, İzin belgeleri, izin çıkış/dönüş tarihi, fotoğraf ve imza, güncel özgeçmiş, ayrılan personel ibra formu, askerlik terhis belgesi, kullanılan cihaz ve protez bilgisi, Personel Sözleşmesi ve Görev Tanımları, Savunma ve ihtar belgeleri, tutanaklar, Bakmakla yükümlü olunan kişilerin adı ve soyadı, evlilik cüzdanı; eş ve çocuklarının adı, soyadı ve T.C. Kimlik Numaraları cinsiyeti, doğum tarihi, AGİ Belgesi, Çalışan yakını telefon numarası, performans değerlendirme formu, aktivite bilgileri. |
| Mesleki Deneyim: | Sertifika, diploma ve ustalık bilgileri, yabancı dil bilgileri, eğitim ve beceriler, aldığı kurslar katıldığı seminerler, geçmiş unvanları-görevleri, Güncel özgeçmişte yer alan bilgiler, lisans, bilgisayar programları bilgi düzeyisertifikası, becerileri, referanslarının bilgisi (Referans kişileri adı/soyadı, cep telefonu, şirket telefonu, şirket adı, görevi, e-mail adresi). |
| Özel Nitelikli Kişisel Veri: | Eski hükümlü olma durumu/sabıka kaydı, sakatlık durumu, tanımı, yüzdesi, sağlık verisi, kan grubu, sağlık raporları, Özgeçmişlerde yazan dernek, vakıf ve sendika üyeliği bilgileri. |
| Görsel ve İşitsel Veri: | Fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamına giren kayıtlar hariç), Ses kayıtları verileri. |
| Pazarlama: | Alışveriş geçmişi bilgileri, Ürün ve hizmetlerimizin kişisel veri sahibinin ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler. |
| Risk Yönetimi: | Ticari risklerin yönetilmesi için işlenen bilgiler. |
| Talep/Şikayet Yönetimi: | Şirket’e yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler. |
6.2. Kişisel Veri İşlenme Amaçları:
KVKK kapsamında işlenen kişisel verilerinizin işlenme amaçları aşağıda sıralanmıştır. Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
Kişisel Veriler; hukuka ve Kanun’un amacına uygun olarak Şirket’in;
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adayı / Stajyer Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Lojistik Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
Organizasyon Ve Etkinlik Yönetimi
Pazarlama Analiz Çalışmalarının Yürütülmesi
Performans Değerlendirme Süreçlerinin Yürütülmesi
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
Risk Yönetimi Süreçlerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Stratejik Planlama Faaliyetlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Taşınır Mal Ve Kaynakların Güvenliğinin Temini
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
Ücret Politikasının Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Yatırım Süreçlerinin Yürütülmesi
Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi amaçları ile sınırlı kalmamak koşuluyla Yel Teneke aydınlatma metinlerinin 2/b maddesi altında bahsi geçen faaliyetler ve iş süreçlerinin yürütülmesi amaçlarıyla işlenmektedir.
Kişisel verilerin işlenme amacında herhangi bir değişiklik olması halinde ayrıca açık rıza alınacaktır.
Verilerin işlendiği yeni süreçler ve yeni aktarım alıcılarının olması halinde işbu Politika’nın güncellenmesi sağlanacaktır.
7. Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi
Kişisel verileriniz, YEL TENEKE ile aranızdaki ilişkiye bağlı olarak değişkenlik gösterebilmekle birlikte; otomatik ya da otomatik olmayan yöntemlerle sizlerle faaliyetlerimizi yürütmek noktasında; meşru menfaat gereği bizzat talep ettiğimiz bilgiler, sözlü, yazılı, görsel ya da elektronik ortamda, internet sitesi, sözlü, yazılı, e-mail ile iletilen ve elde edilen bilgiler, sözleşmelerde yer alan bilgileriniz, iş ilişkisi kapsamında bizimle paylaştığınız kişisel verileriniz, tarafınızca alenileştirilen kişisel bilgiler, Şirketimize hizmet vermekte olan İK kuruluşları ve hukuki yükümlülüklerimizi yerine getirmek için bize iletilen hukuki belge ve tebligatlar vasıtasıyla toplanmaktadır.
Kişisel verileriniz KVKK’nın 5. Ve 6.Maddesi kapsamında belirtilen hukuki sebepler ile gerektiğinde açık rıza hükmüne dayanarak toplanmakta ve işlenmektedir.
Veri işleme faaliyeti başlamadan önce, veri envanterine kaydedilen verilerle ilgili, Kanun’un 5. maddesi ve özel nitelikli verilerle ilgili 6. maddesinde yer alan hukuki sebeplerden en az birinin varlığı tespit edilmediği takdirde mutlaka açık rıza teminine gidilmekte, açık rıza alınamaması durumunda veri işlenmemekte işleme hemen durdurulmaktadır.
8. Kişisel Verilerin Aktarılma Amaçları
8.1. Kişisel Verilerin Aktarılması:
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, Kişisel Veri Sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini KVKK madde 5’de yer alan şartlardan birinin varlığı halinde üçüncü kişilere ve kurumlara aktarabilmektedir.
KVK Kurulu'nca yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere kişisel veriler aktarılabilmektedir.
Kişisel veriler, Şirket iş süreçlerinin gerçekleştirilmesi ve ayrıca yukarıda belirtilen amaçlarla; KVKK 8. ve 9. maddelerinde belirtilen kişisel veri aktarma şartları ile işbu Politika çerçevesinde sınırlı olarak ve kanunlarda öngörülmesi halinde ilgili mevzuat gereği resmi makamlara, yetkili kamu kurumlarına, gerçek veya özel hukuk tüzel kişilerine, sözleşmeye dayalı iş ilişkisinde olunan avukatlar, vergi ve finans danışmanları da dâhil olmak üzere danışmanlık alınan üçüncü kişilere, tedarikçiler, tedarikçi çalışanı ve yetkililerine ve Şirket hissedar ve yetkililerine aktarılabilmektedir.
Kişisel verileriniz KVKK Md. 28/1 çerçevesinde talep edilmesi halinde aydınlatma yükümlülüğü olmadan ve açık rızanız aranmadan ilgili makamlara aktarılabilir.
8.2. Özel Nitelikli Kişisel Verilerin Aktarılması:
Özel nitelikli kişisel veriler, Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve gerekli güvenlik önlemleri alınarak KVKK madde 6’da yer alan şartların birinin varlığı halinde aktarılabilmektedir.
Özel nitelikteki verilerin aktarılabilmesi için aşağıda Kanunun 6. maddesinde de yer verilen istisnalar dışında veri sahibinin açık rızasının alınması zorunludur.
“Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi şeklinde olup; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza almadan” aktarılabilmektedir.
9. İşlenen Kişisel Verilerin Saklanma Süreleri
Şirket, Kişisel Verileri mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde yer alır.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
10. Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Yükümlülüğü
Kanunun 7. maddesinde, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi düzenlenmiştir. Buna göre, kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilmektedir:
- Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
- Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
- Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, Kanunun 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
- Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
- Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması;
Belirtilen hallerde kişisel veriler, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin silinmesi işlemi, “söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Bu kapsamda, bir verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, söz konusu verinin yedeklemeler dahil tüm ortamlardan geri dönülmez şekilde silinmesi sağlanmaktadır.
Kişisel verilerin silinmesi ve yok edilmesi teknikleri ve kişisel verilerin anonim hale getirilmesi tekniklerinden hangisinin uygulanacağına dair karar Veri Koruma Görevlisi tarafından verilir.
Silme işlemine konu teşkil edecek kişisel veriler belirlenir. Silme işlemleri önceden belirlenmiş personel vasıtasıyla yerine getirilir. Bu personelin yetkileri özel olarak düzenlenir. Silme işlemi yapan personelin silinen datayı geri getirme, tekrar kullanma erişim yetkileri kaldırılır.
Silinmesi gereken verilerin silme, yok etme veya anonimleştirilmesinin, kanun, yönetmelik ve Şirket politika ve prosedürlerine uygun olarak yapıldığının ve işlemlere ilişkin oluşturulan bilgi kaydı doğruluğunun kontrolü Şirket Veri Koruma Görevlisi tarafından yapılır.
11. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi
Şirket, Kanun’un 10. maddesine uygun olarak, Kişisel Verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda, kişisel verilerin kim tarafından, hangi amaçlarla işlenebileceği, işlenen Kişisel Verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
KVKK madde 10 kapsamında, “Aydınlatma Metni” ile verisi işlenecek gerçek kişilere iletilerek bilgilendirme yapılmaktadır. Gerçek kişi müşteriler, ziyaretçiler, tedarikçiler, danışmanlar, çalışanlar, stajyerler ve çalışan adaylarına yönelik Aydınlatma Metinleri ilgili kişilerin kendilerine iletilmekte, Genel Aydınlatma Metni’ne Şirketimiz web sitesinde yer verilmekte ve şirket içerisinde fiziki şekilde tutularak ilgililerin incelemesine sunulmaktadır. Aydınlatma metinleri ile veri sahipleri, iş/sözleşme ilişkisi kurulmasından önce açık bir şekilde bilgilendirilmektedir.
12. Veri Sahibinin Hakları ve Bu Hakları Kullanması
12.1. Kişisel Veri Sahibinin KVKK Uyarınca Hakları:
Şirketimizce KVKK madde 11’e uygun olarak Kişisel Veri Sahibinin bilgi talep etmesi durumunda, ilgili kişiye gerekli bilgilendirmeleri süresi içinde yapılmaktadır. Başvurulara cevap verilmesi zamanında ve hukuka uygun olarak gerçekleştirilmektedir.
Şirket, Kanun’un 11.maddesi uyarınca Kişisel Verileri alınan kişilere;
- Kişisel Veri işlenip işlenmediğini öğrenme,
- Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel Verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde Kişisel Verilerin silinmesini veya yok edilmesini isteme,
- Kanun’un 11. Maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarının olduğunu açıklar.
12.2. Kişisel Veri Sahibinin Haklarını Kullanması:
Veri sahibi, KVKK’nın 13. maddesinin 1. fıkrası gereğince yukarıda 11. madde kapsamında sayılan hakları kullanabilir.
KVKK’nın 11. maddesinde belirtilen hakların kullanılması için; başvuru, www.yelteneke.com.tr adresinden ulaşabilecek olan Kişisel Veri Sahibi Başvuru Formu’nun doldurularak Yavuz Sultan Selim Bulvarı No:4 Büyükçekmece– İstanbul adresine bizzat teslim edilmesi veya (KEP) Kayıtlı Elektronik Posta yelteneke@hs03.kep.tr adresine güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresi kanalıyla iletilebilir. Veri Sahibinin talebi, niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılır. İşlemin YEL TENEKE için ayrıca bir maliyet oluşturması halinde, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirtilen ücret talep edilebilecektir. Talebin reddedilmesi halinde, red nedenleri Veri Sahibine yazılı olarak veya elektronik ortamda gerekçeleriyle bildirilir.
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.
Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.
Kişisel veri sahibi, KVKK’nın 14. Maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, Şirketin cevabını öğrendiği tarihten itibaren otuz ve her halükarda başvuru tarihinden itibaren altmış gün içinde KVK Kuruluna şikayette bulunabilir.
12.3. Şirketin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı:
Şirket aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
- Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
- Talep edilen bilginin kamuya açık bir bilgi olması.
- Kişisel verilerin anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi resmi amaçlarla işlenmesi.
- Kişisel verilerin millî savunma, millî güvenlik ve kamu güvenliği, ekonomik güvenlik alanlarında kamu düzeni sağlamaya yönelik kanunla yetki verilen kamu kuruluşları ve kurumları tarafından yürütülen güvenlik ve istihbarat faaliyet kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı tarafından işlenmesi.
- Kişisel veri işlemenin görevli ve yetkili kamu kurum ve kuruluşları tarafından yürütülen soruşturma veya inceleme için gerekli olması.
Şirket başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden ek bilgi ve belge talep edebilir ve kişisel veri sahibine başvurusunda yer alan hususlarla ilgili soru yöneltebilir.
13. Kişisel Verilerin Gizliliği ve Güvenliğinin Sağlanması
13.1. Teknik Tedbirler:
Güvenlik sistemi kişisel verilerin kişilere ait bilgi sistemlerinde bulunduğu esnada tüm tehditlere karşı korunmasıdır.
Bilgi güvenliği tehditleri arasında, Şirket bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz iç tehditler çok önemli bir yer tutmaktadır.
Şirket bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler dikkate alınarak bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirilmiştir.
Çalışanların günlük faaliyetlerinin yetki profillerine uyum sağlayıp sağlamadığı Şirket bilgi sistem birimi tarafından düzenli olarak kontrol edilmektedir.
Yetki düzeyi onayları Veri Koruma Görevlisi tarafından verilmektedir.
Kişisel veri kaynaklarına erişim için personel veya üçüncü şahıslar tarafından kullanılan şifreler, ilgili sistemler için tanımlanmış olan şifre belirleme kurallarına uyumlu olarak düzenlenmektedir.
Şirkette dış ağlardan gelebilecek tehditlere karşı katmanlı ağ güvenlik tedbirleri tesis edilmiştir. Kurum Bilgisayar sistemlerinde anti virüs yazılımları, güvenlik duvarları, merkezi yönetim yazılımları kullanılmaktadır.
Virüslerin en çok yayıldığı servisler olan e-mail, http ve ftp trafikleri firewall mantığı esas alınarak anti virüs ağ geçidine yönlendirilir. Buradaki tarama işleminden sonra gerekli yerlere yönlendirilme yapılır. Bu sistemle dışarıdan gelecek olan virüsler engellenmiş olur. Mail sunucuları üzerine kurulan anti virüs sistemiyle yerel ağ içerisinde e-mail aracılığıyla dolaşan virüslerde etkisiz hale getirilmiş olur.
Sunucu bilgisayarları üzerine kurulan virüs koruma yazılımları ve Şirket çalışanlarının sistemlerini kontrol edecek yazılımlarla Şirket içerisinde kurumsal anti virüs çözümü sağlanmış olmaktadır. Bu denetleme çalışmaları; bilinen açıklara karşı güvenlik taraması, uygulama tipine göre uygulamaya yönelik güvenlik taramaları ve sistem yapılandırma kontrollerini kapsamaktadır. Kullanılan log programları sistem yöneticilerinin sistemi güçlü bir şekilde izlemesine yardımcı olmaktadır. Yedekleme için yedekleme prosedürü düzenlenerek kritik sistemlerin yedekleri periyodik olarak alınmakta, yedekler belirli aralıklarla dış ortama taşınmakta ve belirlenen zamanlarda geri dönüş testleri yapılmaktadır.
13.2. İdari Tedbirler:
Şirketimizin Veri Güvenliğine ilişkin hazırladığı politikaların temel amacı, yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunmak, kişisel verileri Şirket tarafından işlenen veri sahibi gerçek kişileri bilgilendirmek, uygulamada şeffaflığı ve veri güvenliğini ve Kanuna uyumu sağlamaktır.
Şirket bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler ve dış ağlardan gelebilecek tehlikelerin işlendiği ‘Risk ve Tehditler Tablosu’ Veri Güvenlik Komitesi tarafından periyodik incelenmekte ve tedbirler güncellenmektedir.
Uygulamalar üzerinde teknik kontrol sistemleri kurulmuştur. Veri sorumlusu olarak kurum içi sistematik periyodik denetimleri Veri Koruma Görevlisi kanalıyla yapmaktadır. Denetimler gerek görüldüğünde uzman şirketlere veya bağımsız denetim şirketlerine yaptırılacaktır.
Bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek, veri güvenliğini sağlamak, hukuka uygun saklama ve imha işlemleri uygulamaları için ilgili alanlarda, ‘Erişim ve Yetkilendirme Prosedürü’ ve ‘Kişisel Veri Saklama ve İmha Politikası‘ hazırlanmış ve uygulamaya alınmıştır. Veri ihlalinin tespiti halinde Kişisel Verilerin Korunması Kurulu ve veri sahiplerinin bilgilendirilmesi ihlalle ilgili önleyici tedbirlerin derhal alınmasının sağlanmasını teminen Veri Müdahale Planı ve Veri İhlali Bildirim Prosedürü yürürlüğe konularak görevlendirmeler yapılmıştır.
Gizlilik taahhütnameleri; “Veri sorumluları ile veri işleyen gerçek veya tüzel kişiler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamazlar. Bu yükümlülük görevden ayrılmalarından veya hizmet sözleşmelerinin sona ermesinden sonra da devam eder.
Kanunun 12. Maddesi ikinci fıkrası gereği Veri İşleyenler, kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusu ile müştereken sorumludur.” hükmü kapsamında;
Kanuna ve gizlilik esaslarına uyumu içeren ve veri sorumlusu yükümlülüklerine veri işleyenleri de tabi tutan ve kanunu ihlal durumunda veri işleyeni de müşterek sorumlu tutan hükmü içeren sözleşmesi veri işleyenlere imzalatılmaktadır. Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişi ve şirketler ile yapılan ve yapılacak sözleşmelere; kişisel verilerin korunması amacıyla gerekli güvenlik ve gizlilik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına dair müşterek sorumluluk hükümleri eklenmektedir.
Veri gizliliğinin sağlanması ve güvenlik tedbirlerine uyulması konusunda tüm çalışanlardan ve veri işleyen diğer şahıs veya kurumlardan taahhütname alınması zorunlu kılınmıştır.
Çalışanlar, danışmanlar, bilgi sistem destek şirketleri ve diğer üçüncü kişi veya şirketler yapılan sözleşmelere de bu kapsamda gizlilik taahhütnameleri eklenmektedir.
Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirket çalışanlarının kişisel verileri özel veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle paylaşması veya başka bir yöntemle bu verileri erişilebilir hale getirmeleri yasaktır.
Şirket çalışanlarının kişisel bilgilere ancak söz konusu görevlerinin türü ve kapsamı çerçevesinde yetkiye dayalı şekilde erişebilir. Bunun için rol ve sorumlulukların detaylandırılması, ayrıştırılması ve hayata geçirilmesi yetki matrisi ile sağlanmıştır.
Şirket mevcut çalışanlarının ve bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, eğitimler vermekte konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır.
14. Politika'nın ve İlgili Mevzuatın Uygulanması
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz, yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
15. Politika'nın Yürürlüğü
Şirket tarafından düzenlenen bu Politika 01/12/2020 tarihinde yürürlüğe girmiştir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Politika, Yel Teneke’nin internet sitesinde yayınlanır. İşbu Politikanın gözden geçirilme ve güncellenmesi Yönetim Kurulu tarafından yetkilendirilen Veri Koruma Görevlisi tarafından yerine getirilir. Yapılan güncellemeler Yönetim Kurulu onayıyla yürürlüğe girer. Politika her yıl en az bir kez gözden geçirilir.