Kişisel Verilerin İşlenmesi ve Korunması Politikası

Kişisel Verilerin İşlenmesi ve Korunması Politikası

1. GİRİŞ

1.1 Amaç

Kişisel verilerin korunması, Kürkçüoğlu Jeneratör Sanayi ve Ticaret A.Ş. ‘nin (‘’Kürkçüoğlu’’ veya ‘’Şirket’’)  en önemli öncelikleri arasında olup, Şirket bu hususta yürürlükte bulunan (“Kanun veya KVKK”) tüm mevzuata uygun davranmak için en üst düzeyde gayret göstermektedir. Kürkçüoğlu Jeneratör Sanayi ve Ticaret A.Ş Kişisel Verilerin Korunması ve İşlenmesi Politikası (‘’Politika’’) çerçevesinde, Şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ve diğer ikincil mevzuatta ve Kurul Kararlarında (“Kanun veya KVKK”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirket, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamayı amaçlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.

1.2 Kapsam

İşbu Politikanın kapsamını, Kürkçüoğlu tarafından, otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, kişisel verileri işlenen müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, çalışanlarımızın, stajyerlerimizin şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, pazarlamacılarımızın, tedarikçilerimizin ve işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve ilişkili olduğumuz diğer üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi oluşturmaktadır.

Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, Şirket, işbu Politika ile yönetilen; hissedarların, müşterilerin, potansiyel müşterilerin, çalışan adaylarının, çalışanların, stajyerler adaylarının, stajyerlerin, ziyaretçilerin, pazarlamacıların, tedarikçilerin ve işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve ilişkili olunan diğer üçüncü kişilerin kişisel verilerinin korunması için gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir.

Bu kapsamda bu Politika’da kişisel verilerin işlenmesi süreçleri için Kürkçüoğlu’nun benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:

  • Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
  • Kişisel verileri doğru ve gerektiğinde güncel tutma,
  • Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
  • Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
  • Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
  • Kişisel veri sahiplerinin haklarını kullanması için gerekli altyapıyı oluşturma,
  • Kişisel verilerin korunması için uygun idari ve teknik tedbirleri alma,
  • Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve Kurum düzenlemelerine uygun davranma,

Özel nitelikli kişisel verilerin işlenme ve korunma hususları özel olarak ayrı bir politikada düzenlenmiştir.

1.3 Politikanın Yayınlanması, Güncellenmesi ve Saklanması

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında (www.kj.com.tr/TR) kamuya açıklanır. Basılı kâğıt nüshası da Genel Müdürlükte dosyasında saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

1.4 Politikanın Yürürlüğü ve Yürürlükten Kaldırılması

Kürkçüoğlu tarafından hazırlanan bu politika, Genel Müdür tarafından onaylanmasını müteakip internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir ve kişisel veri sahiplerinin erişimine sunulur. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Genel Müdür kararıyla iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Genel Müdürlükte dosyasında saklanır.

1.5 Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın Diğer Politikalarla Olan İlişkisi

Kürkçüoğlu, bu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt politikaların yanı sıra Şirket içinde temel politikalar oluşturabilir. Bu iç politikaların esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve Şirket’in yürütmekte olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap verilebilirliğin sağlanması hedeflenmiştir.

 

2. REFERANSLAR

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • 6098 sayılı Türk Borçlar Kanunu
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • 213 sayılı Vergi Usul Kanunu
  • 4857 sayılı İş Kanunu
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
  • 4982 Sayılı Bilgi Edinme Kanunu
  • 4632 sayılı Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanunu
  • 6102 sayılı Türk Ticaret Kanunu
  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
  • 6502 Sayılı Tüketicinin Korunması Hakkında Kanun
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik
  • Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
  • Veri Sorumluluğu Sicil Yönetmeliği
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
  • Kurul Kararları

 

3. KISALTMALAR VE TANIMLAR

  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
  • Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
  • Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
  • Elektronik Olmayan Ortam: Elektronik ortamlar dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
  • Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi
  • İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen şirketin organizasyonu dışındaki kişiler.
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
  • Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
  • Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
  • Kurul: Kişisel Verileri Koruma Kurulu
  • KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
  • Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
  • Politika: Kişisel Verileri Saklama ve İmha Politikası
  • Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
  • Şirket: Kürkçüoğlu Jeneratör Sanayi ve Ticaret A.Ş.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
  • Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
  • Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu tarafından oluşturulan ve yönetilen bilişim sistemi.
  • Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
  • Yok Etme: Bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir.
  • Ziyaretçiler: Şirket’in fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler

 

4. SORUMLULUK ve YETKİ

  • Genel Müdür: Politikanın uygulanmasından ve çalışanların politikaya uygun hareket etmesinden sorumludur.
  • İnsan Kaynakları Müdürü/Sorumlusu: Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş ortakları nezdinde farkındalığı arttırmak amacı ile; Kişisel verilerin korunması ve politikaların uygulanması, veri sahiplerinin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve farkındalık eğitim faaliyetlerinin icrasını koordine etmek.
  • Yönetim Sistemleri Sorumlusu: Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
  • Bilgi İşlem Sorumlusu: Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
  • Bölüm Sorumluları: Görevlerine uygun olarak Politikanın yürütülmesi, Görevi dahilinde olan süreçlerdeki kişisel verilerin bu politikaya uygun şekilde korunması ve işlenmesinden sorumludur.

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce bu Politika kapsamında alınmakta olan tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

 

5. KİŞİSEL VERİLERİN İŞLENMESİNDEKİ USUL VE ESASLAR

Kürkçüoğlu, kişisel verileri Kanun ve ilgili diğer düzenlemelerde öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede, Şirket tarafından kişisel veriler işlenirken Kanunda yer alan aşağıdaki ilkelere uygun davranılmaktadır.

  • Hukuka ve Dürüstlük Kuralına Uygun İşleme

Şirket, kişisel verilerin işlenmesinde hukukun genel ilkeleri, uluslararası sözleşmeler, Anayasa, başta Kişisel Verilerin Korunması Kanunu olmak üzere diğer tüm kanunlar ve ikincil düzenlemelerle dürüstlük kuralına uygun hareket etmektedir.

  • Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirket tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmelerde bulunularak veri sahiplerine kişisel verilerinin güncellenmesi konusunda gerekli imkanlar tanınmaktadır. Şirketimiz bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurmuştur.

  • Belirli, Açık ve Meşru Amaçlarla İşleme

Şirket, yalnızca açık ve kesin olarak belirlenen meşru amaçlarla, kişisel veri işleme faaliyetine başlamadan önce belirlenmiş olan açık ve hukuka uygun amaçlar dahilinde veri işlemektedir. Bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, Şirket yalnızca veri sahipleriyle kurulan ilişki ile bağlantılı olarak ve bunlar açısından gerekli olması halinde kişisel veri işlemektedir.

  • İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirket, kişisel verileri faaliyetlerinin yürütülmesi için gerekli olan amaçlar dahilinde ve belirlenen amaçların gerçekleştirilebilmesine elverişli olarak işlemektedir. Bu sebeple Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.

  • İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda; Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan ve ‘Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen süre kadar saklamaktadır.

Şirket, Kişisel Veri İşleme Envanterindeki saklama sürelerini esas almakta olup, burada belirtilen süreler sonunda Kanun kapsamındaki yükümlülükler çerçevesinde kişisel veriler, periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri kullanılarak silinmekte, yok edilmekte veya anonimleştirilmektedir. Şirket gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.

 

6. KİŞİSEL VERİLERİN KANUNDA ÖNGÖRÜLEN ŞARTLARA UYGUN OLARAK İŞLENMESİ

Kürkçüoğlu, Kanunun 5/2 maddesinde sayılmış olan aşağıdaki kişisel veri işleme şartlarından birini bulunması halinde bu şartların bir veya biden fazlasına dayanılarak işlenmektedir. Kanunun 5/2 maddesinde sayılan açık rıza dışındaki veri işleme şartlarının bulunmaması halinde ise ancak ilgili kişinin (veri sahibi) açık rızasına dayanılarak kişisel veri işlenmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, ‘Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’ içerisinde yer alan şartlar uygulanacaktır.

  • Veri Sahibinin Açık Rızasının Bulunması

Kürkçüoğlu, kişisel verilerin işlenmesi sırasında Kanunun 5/2 maddesinde yer alan ver işleme şartlarının bulunmaması halinde veri sahibinin açık rızasını aramaktadır. Açık rıza, kişisel veri sahibinin işleme amacına yönelik, belli bir konu ile sınırlı, bilgilendirilmeye dayalı olarak ve tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak özgür iradeyle onay vermesidir. Açık rıza dışındaki kişisel veri işleme şartlarından birinin bulunması halinde açık rıza almak yoluna gitmemektedir.

  • Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunlarda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunlarda, yönetmeliklerde ve diğer düzenlemelerde kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde, veri işleme şartının varlığından söz edilebilecektir. Böyle bir durumun mevcut olması durumunda kişisel veriler açık rıza aranmadan Şirket tarafından işlenmektedir. (Örnek: Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik, İş Kanunu gibi.)

  • Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. (Örnek: Baygınlık geçiren müşterinin kan grubu bilgisinin arkadaşları tarafından doktorlara verilmesi ya da Şirketimiz sınırları içinde rahatsızlık geçiren ziyaretçinin revire kaldırılması ve iletişim bilgilerinin kaydedilmesi)

  • Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde, kişisel veriler, ilgili kişinin açık rızası olmaksızın da işlenmektedir. (Örnek: Şirketimiz ürünlerini satın alan bir kişinin fatura bilgilerinin alınması ya da ürün satılan müşteriye satılan ürünün gönderilebilmesi için adres bilgilerinin işlenmesi)

  • Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenmektedir. (Örnek: 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun)

  • Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler sadece alenileştirme amacıyla sınırlı olarak işlenebilecektir.

  • Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. (Örnek: İşverene karşı dava açan iş sözleşmesi feshedilen eski işçisinin kişisel verilerinin dava sırasında işlenmesi)

  • İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Şirketin Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması

Şirket meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmemesi şartıyla veri işleme faaliyetini yürütmektedir. (Örnek: Ziyaretçi kayıtları tutulması ve kamera kaydı alınması)

 

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN USUL VE ESASLAR

Kanunun 6.maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Şirket tarafından, Kanunda “özel nitelikli kişisel veri” olarak belirlenen kişisel verilerin işlenmesinde ve korunması için idari-teknik tedbirlerin alınmasında, Kanunda ve 31.01.2018 tarihli ve 2018/10 sayılı Kurul Kararında öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. Özel nitelikli kişisel verilerin işlenmesi sırasında alınacak tedbirler ayrı bir politika olarak ‘Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’nda ayrıntılı olarak açıklanmıştır.

 

8. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN USUL VE ESASLAR

  • Kişisel Verilerin Güvenliğinin Sağlanması

Kürkçüoğlu, Kanunun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli iç ve dış denetimleri yapmak veya yaptırmaktadır.

  • Özel Nitelikli Kişisel Verilerin Korunması

Şirket tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında Kurul’un 31/01/2018 Tarihli ve 2018/10 Sayılı Kararına uygun hareket edilmekte ve gerekli idari ve teknik tedbirler alınmaktadır. Bu hususlar ‘Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’nda da ayrıntılı olarak açıklanmıştır.

  • Görevi Gereği Özel Nitelikli Kişisel Veri İşleyen Çalışanların Uyması Gereken Kurallar

Görevlerinin bir gereği olarak ve görevleri esnasında Şirket adına Özel Nitelikli Kişisel Veri işlemekte olan çalışanların bu prosedürün diğer maddelerinde sözü edilen hususları gözetmelerinin yanı sıra iş sözleşmelerine kişisel verilerin korunması ile ilgili hükümler eklenmekte ve belli periyotlarda farkındalık eğitimleri düzenlenmektedir.

  • İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi

Kürkçüoğlu, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır. Kürkçüoğlu çalışanlarının, kişisel verilerin korunması konusunda farkındalığının oluşması için konunun uzmanları tarafından şirket içinde farkındalık eğitimleri yapılmakta ve bu eğitimler yıllık periyotlarda ve yeni personelin işe başlaması halinde yenilenmektedir.

 

9. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI

Anayasa’nın 20. maddesine göre, herkesin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkı vardır. Aydınlatma yükümlülüğü, kişisel verilerin ilgili kişiden elde edilmesi halinde elde etme anında, veri doğrudan veri sahibinden elde edilmiyor ise makul süre içinde ve her halükârda en geç ilk iletişim anında yerine getirilmektedir.

Kürkçüoğlu, Kanun’un 10. maddesine ve ‘Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'e uygun olarak kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, kişisel verilerin, veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir. Aydınlatma metinlerini internet sitesinde paylaşmakta, uygun vasıtalarla ilgili kişilerin bilgisine sunmaktadır.

Öte yandan, Kanunun 28/1 maddesinde sayılan ve Kanunun uygulama alanının dışında tutulması nedeniyle aşağıda sayılan durumlarda Şirket’in aydınlatma yükümlülüğü bulunmamaktadır.

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bununla beraber, Kanunun 28/2 maddesi çerçevesince, Şirketin aydınlatma yükümlülüğü aşağıdaki hallerde de uygulama alanı bulmayacaktır.

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

 

10. KİŞİSEL VERİLERİN AKTARILMASI

Kürkçüoğlu, Kanununun 8.maddesine uygun olarak iş süreçlerinin gerektirmesi halinde kişisel verileri yurtiçinde ve/veya yurt dışında bulunan aşağıda sıralanan paydaşlara aktarılabilir.

  • Sözleşme İlişkisine bağlı olarak Veri İşleyenlere
  • Kargo Şirketlerine
  • Ödeme Şirketlerine
  • İş ortaklarına, Topluluk şirketlerine
  • Denetim Firmalarına
  • Banka ve sigorta şirketlerine
  • Seyahat acentalarına
  • Çalışanlara sağlık hizmeti sağlanan kurum ve kuruluşlara
  • Otellere, Havayolu Şirketlerine
  • İş sağlığı ve güvenliği hizmeti veren Ortak Sağlık ve Güvenlik Birimlerine
  • Eğitim firmalarına,
  • Tedarikçilerine ve tedarikçi çalışanlarına,
  • Hukuken yetkili kamu kurum ve kuruluşlarına
  • Hukuk, mali ve vergi danışmanları ile diğer danışmanlara
  • Kanunda belirtilmiş yasal yükümlülüklerin yerine getirilmesini sağlamak üzere belirlenmiş kurum ve kuruluşlara
    • Kişisel Verilerin Aktarılması (Yurtiçi)  

Kürkçüoğlu tarafından kişisel verinin aktarılması için öncelikle aşağıda belirtilen Kanunun 5/2 maddesindeki veri işleme şartlarının bulunup bulunmadığına göre hareket edilir. Kanunun 5/2 maddesinde bulunan kişisel veri işleme şartlarının bulunmaması halinde kişisel veri sahibinin açık rızasının alınarak aktarma işlemi yapılabilmektedir.

  • Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
  • Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
  • Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması
    • Kişisel Verilerin Aktarılması (Yurtdışı)

Kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (Yeterli Korumaya Sahip Yabancı Ülke) kişisel veri sahibinin açık rızasının bulunması halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke) aktarılabilecektir. Şirket bu doğrultuda başta Kanunun 9. maddesinde öngörülen düzenleme olmak üzere diğer tüm düzenlemelere ve Kurul Kararlarına uygun hareket etmektedir. Halen güvenli ülke listesinin yayınlanmamış olması nedeniyle yurtdışına kişisel veri aktarılmasının gerekmesi halinde açık rıza almak yoluna gitmektedir.

  • Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel verilerin aktarılması halleri ‘Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’nda düzenlenmiştir.

 

11. ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLEME AMACI

Kanun’un 10. maddesi ve ikincil mevzuat uyarınca, Şirket tarafından; Veri sahibi ilgili kişiler aydınlatılarak, EK-1 (Kişisel Veri İşleme Amaçları) doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde, kişisel veriler ve özel nitelikli kişisel veriler işlenmektedir.

Bu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere bu Politikanın EK-3 (Kişisel Veri Kategorileri) dokümanından ulaşılabilecektir. Söz konusu kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler bu Politikanın EK-1 (Kişisel Veri İşleme Amaçları) dokümanında yer almaktadır.

 

12. KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ VE İMHASI

Kürkçüoğlu olarak elde ettiğimiz kişisel veriler, Şirketin faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda uygun idari ve teknik tedbirler altında saklanmaktadır. Şirket, kişisel verileri ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen sürelere uygun olarak, böyle bir sürenin bulunmaması halinde ise işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.

Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Aynı kişisel veri kategorisi için farklı düzenlemelerde farklı saklama süreleri öngörülmüşse bu sürelerden en uzun olan kadar kişisel veri saklanmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda, ‘Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen periyodik imha sürelerine göre, veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Bu konuda şirket personeline Türk Ceza Kanunu m.138  ile ilgili olarak bilgilendirme ve farkındalık eğitimleri yapılmaktadır.

Kişisel verilerin ilgili mevzuatlar uyarınca, daha uzun süre saklanmasına izin verilen veya zorunlu tutulan haller istisna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Şirket tarafından re’sen yahut veri sahibi başvuru formu aracılığıyla ve kullanılabilecek farklı teknikler ile veri sahiplerinin talebi üzerine, veriler silinecek, yok edilecek yahut anonimleştirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler ilgili kullanıcılar tarafından kullanılamayacak, yok edilmesi halinde ise hiç kimse tarafından kullanılamayacak şekilde imha edilecektir.

Söz konusu faaliyetler kapsamında, Şirket tarafından kişisel verilerin korunmasına ilişkin olarak başta Kanun olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir.

Ancak; Veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, şirketin meşru menfaatleri kapsamında belirlenecek süre kadar saklanabilecektir. Bu süreler kişisel verilerin korunması mevzuatıyla uyumlu olarak tespit edilmektedir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, ‘Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen yöntemlerle silinecek, yok edilecek yahut anonim hale getirilecektir. Silme, yok etme veya anonim hale getirme ile ilgili işlemler sonucunda tutulacak tutanakların da 3 (üç) yıl boyunca saklanması sağlanmaktadır.

Şirketimiz tarafından güvenliğin sağlanması ve bu Politika ‘da belirtilen amaçlarla; bina ve tesislerimiz içerisinde kaldığınız süre boyunca, talep eden ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda kişinin erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtlara yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi, iş sözleşmesinde veya veri işleyen sözleşmesinde yer alan kişisel verilerin korunması ile ilgili yükümlülüklere göre  eriştiği verilerin gizliliğini koruyacağını beyan ve taahhüt etmektedir.

 

13. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

  • Kişisel Veri Sahibinin Hakları

Kürkçüoğlu tarafından bu Politikada yer alan esaslara uygun olarak işlenen kişisel verilerle ilgili olarak, Kanunun 11. maddesinde veri sahipleri için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıştır. Bahse konu haklar şunlardır:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Talebinizce düzeltilen ya da silinen bilgilerinizin, eğer aktarılmış ise kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
    • Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri, yukarıda (Kişisel Veri Sahibinin Hakları) sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketimize iletebileceklerdir. Bu doğrultuda www.kj.com.tr/TR adresinden ulaşılabilecek ‘Başvuru Formundan’ yararlanabileceklerdir.

  • Şirketin Kişisel Veri Sahiplerinin Başvurularına Cevap Vermesi

Kürkçüoğlu, talebin niteliğine göre, talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirket tarafından Kurulca belirlenen tarifedeki ücret ilgililerden alınacaktır. Ayrıca, veri sahiplerinin taleplerinin sonuçlandırılması sürecinde, Şirket tarafından başvuruculardan ek bilgi veyahut belge talep edilebilecektir.

Öte yandan, Kanunun 28/1 maddesi çerçevesinde, veri sahipleri, aşağıda sayılan hallerde Kanunun 11. maddesinde sayılan yukarıdaki hakları kullanamaz.

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarat faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bununla beraber, Kanunun 28/2 maddesi çerçevesinde, zararın giderilmesi hakkı hariç olmak üzere, Kanunun 11. maddesinde sayılan yukarıdaki haklar aşağıdaki durumlarda uygulama alanı bulmayacaktır.

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

 

14. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Kürkçüoğlu, aşağıda belirtilen hususlarda veri güvenliği konusunda başta Kanun olmak üzere diğer mevzuat ve Kurum tarafından yayımlanan rehberlerde belirtilen teknik ve idari tedbirleri almakta, bu konuda en üst düzeyde dikkat ve özeni göstermektedir. Şirket tarafından Kanununun 12nci maddesi uyarınca “veri güvenliğini” sağlamaya yönelik alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir.

  • Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, uygun teknik ve idari tedbirler almaktadır.
  • Çalışanlar ve veri işleyenler, öğrendikleri kişisel verileri Kanun ve diğer mevzuat hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmakta, iş sözleşmelerine hükümler konulmaktadır.
  • Şirket, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için uygun teknik ve idari tedbirler almaktadır.
  • Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar nezdinde farkındalıkları arttırmaktadır.
  • Şirketimizin veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda geliştirdiği idari ve teknik tedbirlere uyma zorunluluğu; Şirketin çeşitli sıfatlarla ilişkide olduğu veri işleyenlere, faaliyetin niteliğiyle uyumlu bir şekilde sözleşmesel olarak yükletilmektedir. Şirketimiz, veri işleyen kurum ve kuruluşlarla yapmış olduğu sözleşmelere kişisel verilerin korunması ile ilgili hükümler ilave etmek suretiyle revize etmiştir.
  • Şirket, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için uygun teknik ve idari tedbirleri almaktadır.
  • Şirketimiz, Kanunun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
  • Şirketimiz, Kanunun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve en geç 72 saat içinde Kuruma bildirilmesini sağlayan sistemi yürütmektedir.

 

15. KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR (BİNA, TESİS GİRİŞLERİ İLE BİNA VE TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ)           

Kürkçüoğlu tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile bina ve tesis girişlerine misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır.

  • Şirket Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri

Şirket tarafından bina ve tesislerinde fiziki ve ticari güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir. Şirket, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır. Şirket tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin kişisel veri sahibi aydınlatılmaktadır. Ayrıca Şirket, Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemekte ve saklama süresinin sonunda imha etmektedir.

Şirket tarafından video kamera ile izleme faaliyeti bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izleme yapılmamaktadır.

Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda kişinin erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi, iş sözleşmesinde veya veri işleyen sözleşmesinde yer alan kişisel verilerin korunması ile ilgili yükümlülüklere göre ile eriştiği verilerin gizliliğini koruyacağını beyan ve taahhüt etmektedir.

  • İnternet Sitesi Ziyaretçileri

İnternet sitesi ziyaretçilerinin bilgileri aşağıda belirtilen amaçlar için işlenmektedir.

  • İnternet sitesindeki “İletişim” başlığının kullanılarak form doldurulması halinde, iş faaliyetlerinin yürütülmesi/denetlenmesi, talep ve şikayetlerin takibi ve bu kapsamda iletişim faaliyetlerinin yürütülmesi amacıyla
  • İnternet sitesi üzerinden sisteme özgeçmiş yüklenmesi halinde, ya da KariyerNet gibi insan kaynakları siteleri veya Linkedln gibi sosyal medya siteleri üzerinden başvuru alınması halinde, stajyer ve çalışan adaylarının başvuru süreçlerinin yürütülmesi amacıyla,
  • “İnternet trafik bilgileri” bilgi güvenliği süreçlerinin yürütülmesi amacıyla 5651 sayılı Kanun gereğince kişisel verilerin işlenebilecektir.

 

 

Ek-1. Kişisel Veri İşleme Amaçları

ANA AMAÇLAR

TALİ AMAÇLAR

Şirket'in İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

Eğitim Faaliyetlerinin Yürütülmesi

Görevlendirme Süreçlerinin Yürütülmesi

Organizasyon Ve Etkinlik Yönetimi

Performans Değerlendirme Süreçlerinin Yürütülmesi

Talep / Şikayetlerin Takibi

Ücret Politikasının Yürütülmesi

Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Finans Ve Muhasebe İşlerinin Yürütülmesi

İletişim Faaliyetlerinin Yürütülmesi

İş Faaliyetlerinin Yürütülmesi / Denetimi

İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi

İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

Kargo süreçlerinin yürütülmesi

Lojistik Faaliyetlerinin Yürütülmesi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi

Saklama ve Arşiv Faaliyetlerinin Yürütülmesi

Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

Erişim Yetkilerinin Yürütülmesi

Şirket'in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası

Pazarlama Analiz Çalışmalarının Yürütülmesi

Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

Stratejik Planlama Faaliyetlerinin Yürütülmesi

Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

Yönetim Faaliyetlerinin Yürütülmesi

Şirketin İtibarının Ticari Yaşam ve Tüketiciler Üzerinde Uyandırdığı Güvenin Korunması

Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi

Sponsorluk Faaliyetlerinin Yürütülmesi

Talep / Şikâyetlerin Takibi

Şirketin Denetim Faaliyetlerinin Planlanması ve İcrası

Denetim / Etik Faaliyetlerinin Yürütülmesi

İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temin

Acil Durum Yönetimi Süreçlerinin Yürütülmesi

Erişim Yetkilerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi

Fiziksel Mekân Güvenliğinin Temini

Hukuk İşlerinin Takibi ve Yürütülmesi

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

Risk Yönetimi Süreçlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Taşınır Mal ve Kaynakların Güvenliğinin Temini

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi

Ziyaretçi Kayıtlarının Oluşturulması ve Takibi


EK-2 Kişisel Veri Sahipleri  

KİŞİSEL VERİ SAHİBİ KATEGORİSİ

AÇIKLAMA

Müşteri

Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketin iş birimlerinin yürüttüğü operasyonlar kapsamında Şirketin iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler

Pazarlamacı

Şirket ile sözleşmesel ilişki içerisinde bulunan, şirketin ürünlerini pazarlayan gerçek kişi veya tüzel kişinin gerçek kişi çalışanı

Pazarlamacı Yetkilisi

Şirket ile sözleşmesel ilişki içerisinde bulunan, tüzel kişi pazarlamacının yetkilisi

Ziyaretçi

Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler

Çalışan Adayı

Şirkete herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine açmış olan gerçek kişiler

Çalışan

Şirket tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb faaliyetler çerçevesinde kişisel verileri işlenen Şirket çalışanları

Aile Birey ve Yakınları

Şirket tarafından yürütülen faaliyetler çerçevesinde bu Politika kapsamında kişisel verileri işlenen veri sahiplerinin eş, çocuk ve yakınları

Tedarikçi

Şirketin ticari faaliyetlerini yürütürken Şirketin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirkete mal ve hizmet sunan gerçek kişi, çalışanı, yetkilisi veya hissedarı olan gerçek kişiler

Şirket Hissedarı

Şirket hissedarı gerçek kişi

Şirket Yetkilisi

Şirketin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler

İş Birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri

Şirketin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler

 

 

EK-3 Kişisel Veri Kategorileri

 

KİŞİSEL VERİ KATEGORİSİ

AÇIKLAMA

Kimlik

Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b.

İletişim

Adres, e-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.

Lokasyon

Şirket tarafından temin edilen araçlarda bulunan, konum belirleme cihazları ile takip edilen araçların bulunduğu yerin konum bilgileri v.b.

Özlük, Mesleki Deneyim

İlgili kişilerin eğitim bilgilerini içeren transkript, diploma kayıtları ve sertifikalar, özgeçmiş, mesleki deneyimleri içeren kayıtlar ile referans mektupları, özlük bilgilerini içeren maaş, sosyal güvenlik, bordro ve performans değerlendirme kayıtları vb.

Hukuki İşlem

Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.

Müşteri İşlem

Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.

Fiziksel Mekân Güvenliği

Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b.

İşlem Güvenliği

IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, log kayıtları, Şifre ve parola bilgileri v.b.

Risk Yönetimi

Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.

Finans

Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.

Pazarlama

Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b.

Görsel/İşitsel Kayıtlar

Fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç) ve ses kayıtları

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler

Aile bireyleri ve yakını bilgisi

Şirket tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin başta ücret olmak üzere hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri (örneğin eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler

Denetim ve Teftiş Bilgisi

Şirketin operasyonel ve finansal, suistimal ve uyum denetimi faaliyetlerinin yürütülmesine ilişkin işlenen kişisel veriler

Talep/Şikâyet Yönetimi Bilgisi

Şirkete yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler

Ayakkabı Numarası ve Kıyafet Beden

Ölçüsü

Şirkette çalışan personelin İSG mevzuatı uyarınca zimmet formu ile kıyafet ve ayakkabı teslim edilerken işlenen kişisel verileridir.

Askerlik Durumu Bilgisi

İş başvuru formunda çalışan adayının ve çalışanın askerlik bilgisine ilişkin kişisel verilerdir.

Taşıt Plaka Bilgisi

Veri Sorumlusunun operasyonlarının güvenliğini temin etmek( özellikle ojistik) ayrıca fiziki mekan güvenliğini sağlamak amacıyla işlenen kişisel verilerdir.