Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası

Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası

  1. GİRİŞ
  • Amaç

Özel nitelikli kişisel verilerin korunması, Kürkçüoğlu Jeneratör Sanayi ve Ticaret A.Ş.’nin (‘’Kürkçüoğlu’’ veya ‘’Şirket’’) en önemli öncelikleri arasında olup, Şirket, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için en üst düzeyde gayret göstermektedir. Kürkçüoğlu Jeneratör Sanayi ve Ticaret A.Ş. bu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikasında (‘’Politika’’) özel nitelikli kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda, diğer ikincil mevzuatta ve Kurul Kararlarında (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketin, özel nitelikli kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlaması amaçlanmaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile özel nitelikli kişisel verileri işbu Politika kapsamında işlenmekte ve korunmaktadır.

  • Kapsam

Bu Politikanın kapsamını Kürkçüoğlu tarafından, otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, özel nitelikli kişisel verileri işlenen çalışan adaylarının, çalışanların, alt işveren çalışanlarının, stajyerlerin, şirket hissedarlarının, ziyaretçilerimizin, işbirliği içinde olduğumuz kurum ve kuruluşların çalışanları, hissedarlarının ve diğer üçüncü kişilerin özel nitelikli kişilerin kişisel verilerinin korunması ve işlenmesi oluşturmaktadır.

Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, Kürkçüoğlu işbu Politika ile yönetilen; çalışan adaylarımızın, çalışanlarımızın, stajyerlerimizin şirket hissedarlarının, ziyaretçilerimizin ve iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve ilişkili olduğumuz diğer üçüncü kişilerin özel nitelikli kişisel verilerinin korunması için gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir. Bu kapsamda bu Politika’da kişisel verilerin işlenmesi süreçleri için Kürkçüoğlu’nun benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:

  • Özel nitelikli kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
  • Özel nitelikli kişisel verileri doğru ve gerektiğinde güncel tutma,
  • Özel nitelikli kişisel verileri belirli, açık ve meşru amaçlar için işleme,
  • Özel nitelikli kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
  • Özel nitelikli kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
  • Özel nitelikli kişisel veri sahiplerini aydınlatma ve bilgilendirme,
  • Özel nitelikli kişisel veri sahiplerinin haklarını kullanması için gerekli altyapıyı oluşturma,
  • Özel nitelikli kişisel verilerin korunması için gerekli tedbirleri alma,
  • Özel nitelikli kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve Kurum düzenlemelerine uygun davranma
    • Politikanın Yayınlanması, Güncellenmesi ve Saklanması

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında www.kj.com.tr/TR da kamuya açıklanır. Basılı kâğıt nüshası da Genel Müdürlükte dosyasında saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

  • Politikanın Yürürlüğü ve Yürürlükten Kaldırılması

Kürkçüoğlu tarafından hazırlanan bu politika, Genel Müdür tarafından onaylanmasını müteakip internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir ve kişisel veri sahiplerinin erişimine sunulur. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Genel Müdür kararıyla iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Genel Müdürlükte dosyasında saklanır.

  • Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın Diğer Politikalarla Olan İlişkisi

Kürkçüoğlu, bu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt politikaların yanı sıra Şirket içinde temel politikalar oluşturabilir. Bu iç politikaların esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve Şirket’in yürütmekte olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap verilebilirliğin sağlanması hedeflenmiştir.

 

  1. REFERANSLAR
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 4857 sayılı İş Kanunu
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ
  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
  • Veri Sorumluluğu Sicil Yönetmeliği
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
  • Kurul Kararları
  • Kurul Kararları (Kişisel Verileri Koruma Kurulu’nun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı)

 

  1. KISALTMALAR VE TANIMLAR
  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
  • Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
  • Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
  • Elektronik Olmayan Ortam: Elektronik ortamlar dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
  • Hizmet Sağlayıcı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi
  • İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen şirketin organizasyonu dışındaki kişiler.
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
  • Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
  • Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
  • Kurul: Kişisel Verileri Koruma Kurulu
  • KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
  • Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
  • Politika: Kişisel Verileri Saklama ve İmha Politikası
  • Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
  • Şirket: Kürkçüoğlu Jeneratör Sanayi ve Ticaret A.Ş.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
  • Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
  • Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu tarafından oluşturulan ve yönetilen bilişim sistemi.
  • Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
  • Yok Etme: Bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir.
  • Ziyaretçiler: Şirket’in fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler

 

  1. SORUMLULUK ve YETKİ
  • Genel Müdür: Politikanın uygulanmasından ve çalışanların politikaya uygun hareket etmesinden sorumludur.
  • İnsan Kaynakları Müdürü/Sorumlusu: Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş ortakları nezdinde farkındalığı arttırmak amacı ile; Kişisel verilerin korunması ve politikaların uygulanması, veri sahiplerinin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve farkındalık eğitim faaliyetlerinin icrasını koordine etmek.
  • Yönetim Sistemleri Sorumlusu: Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
  • Bilgi İşlem Sorumlusu: Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
  • Bölüm Sorumluları: Görevlerine uygun olarak Politikanın yürütülmesi, Görevi dahilinde olan süreçlerdeki kişisel verilerin bu politikaya uygun şekilde korunması ve işlenmesinden sorumludur.

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce bu Politika kapsamında alınmakta olan tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDEKİ USUL VE ESASLAR

Kürkçüoğlu, özel nitelikli kişisel verileri Kanun ve ilgili diğer düzenlemelerde öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede, Şirket tarafından kişisel veriler işlenirken Kanunda yer alan aşağıdaki ilkelere uygun davranılmaktadır.

  1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Şirket, özel nitelikli kişisel verilerin işlenmesinde hukukun genel ilkeleri, uluslararası sözleşmeler, Anayasa, başta Kişisel Verilerin Korunması Kanunu olmak üzere diğer tüm kanunlar ve ikincil düzenlemelerle dürüstlük kuralına uygun hareket etmektedir.

 

  1. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirket tarafından işlenen özel nitelikli kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmelerde bulunularak veri sahiplerine özel nitelikli kişisel verilerinin güncellenmesi konusunda gerekli imkânlar tanınmaktadır. Şirketimiz bu kapsamda, özel nitelikli kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurmuştur.

  1. Belirli, Açık ve Meşru Amaçlarla İşleme

Şirket, yalnızca açık ve kesin olarak belirlenen meşru amaçlarla, özel nitelikli kişisel veri işleme faaliyetine başlamadan önce belirlenmiş olan açık ve hukuka uygun amaçlar dâhilinde veri işlemektedir. Bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, Şirket yalnızca veri sahipleriyle kurulan ilişki ile bağlantılı olarak ve bunlar açısından gerekli olması halinde özel nitelikli kişisel veri işlemektedir.

  1. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirket, özel nitelikli kişisel verileri faaliyetlerinin yürütülmesi için gerekli olan amaçlar dâhilinde ve belirlenen amaçların gerçekleştirilebilmesine elverişli olarak işlemektedir. Bu sebeple Şirket, özel nitelikli kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan özel nitelikli kişisel verilerin işlenmesinden kaçınmaktadır.

  1. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Şirket, özel nitelikli kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda; Şirket öncelikle ilgili mevzuatta özel nitelikli kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse özel nitelikli kişisel verileri işlendikleri amaç için gerekli olan ve ‘Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen süre kadar saklamaktadır.

Şirket, Kişisel Veri İşleme Envanterindeki saklama sürelerini esas almakta olup, burada belirtilen süreler sonunda Kanun kapsamındaki yükümlülükler çerçevesinde kişisel veriler, periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri kullanılarak silinmekte, yok edilmekte veya anonimleştirilmektedir. Şirket gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KANUNDA ÖNGÖRÜLEN ŞARTLARA UYGUN OLARAK İŞLENMESİ

Kürkçüoğlu, özel nitelikli kişisel verileri veri sahibinin açık rızası doğrultusunda veya Kanunun 6/3 maddesinde sayılmış olan açık rıza dışındaki kişisel veri işleme şartlarına bağlı olarak işleyecektir.

  1. Veri Sahibinin Açık Rızasının Bulunması

Şirket özel nitelikli kişisel verilerin işlenmesi sırasında öncelikle veri sahibinin açık rızasını aramaktadır. Açık rıza, özel nitelikli kişisel veri sahibinin işleme amacına yönelik bilgilendirilmeye dayalı olarak ve tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak özgür iradeyle onay vermesidir.

  1. Kanunlarda Açıkça Öngörülmesi

Veri sahibinin sağlık ve cinsel hayat ile ilgili özel nitelikli kişisel verileri, kanunlarda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunlarda, yönetmeliklerde ve diğer düzenlemelerde özel nitelikli kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde, özel nitelikli veri işleme şartının varlığından söz edilebilecektir. Böyle bir durumun mevcut olması durumunda özel nitelikli kişisel veriler açık rıza aranmadan Şirket tarafından işlenmektedir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise Şirket tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, işyeri hekimi tarafından ilgilinin açık rızası aranmaksızın işlenmektedir.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN USUL VE ESASLAR

7.1. Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler

         6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6. maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır. Özel nitelikli kişisel verilerin işlenmesi ve korunması sırasında, Kürkçüoğlu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilen idari ve teknik tedbirlerin yanı sıra aşağıda belirtilen önlemler de alınmaktadır.

         Bu çerçevede, Kanunun 22. maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı ile Kişisel Verileri Koruma Kurulu tarafından belirlenmiştir. Şirket Özel nitelikli kişisel verilerin işlenmesi esnasında Kurul tarafından belirlenen aşağıdaki önlemleri alacaktır.

7.1.1. Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Yönelik Alınan Önlemler

  • Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında her yıl en az 1 defa olmak üzere çalışanlara eğitimler verilmektedir.
  • Tüm çalışanların iş sözleşmelerine kişisel verin korunması ile ilgili hükümler eklenmiş, bu konuda çalışanların farkındalığı artırılmıştır.
  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
  • Altı aylık periyotlarda yetki kontrolleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması hususunda birim amirleri sorumlu tutulmuştur. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin, bilgisayarların, mobil cihazların, belge ve dökümanların birim amirleri tarafından derhal iade alınması sağlanmaktadır.
    • Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği ve/veya Erişildiği Ortamların, Elektronik Ortam Olması Halinde Alınan Önlemler
  • Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
  • Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
  • Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli ve zaman damgalı olarak loglanmaktadır.
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
  • Verilere bir yazılım aracılığı ile erişilmesi halinde bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
  • Verilere uzaktan erişim halinde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.
    • Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği ve/veya Erişildiği Ortamlar, Fiziksel Ortam İse Alınan Önlemler
  • Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
  • Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışları engellenmektedir.
    • Özel Nitelikli Kişisel Veriler Aktarılması Halinde Alınması Gereken Önlemler
  • Verilerin e-posta yoluyla aktarılması halinde şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır.
  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması halinde kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştirilmesi halinde, sunucular arasında VPN kurulmakta veya sFTP yöntemiyle veri aktarımının gerçekleştirilmektedir.
  • Verilerin kâğıt ortamı yoluyla aktarımı halinde evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

 

  1. DİĞER HUSUSLAR

Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmakta ve uyglanmaktadır.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI

Anayasa’nın 20. maddesine göre, herkesin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkı vardır. Bu yükümlülük, kişisel verilerin ilgili kişiden elde edilmesi halinde elde etme anında, veri doğrudan veri sahibinden elde edilmiyor ise makul süre içinde ve her durumda en geç ilk iletişim anında yerine getirilmektedir.

Kürkçüoğlu, Kanun’un 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'e uygun olarak özel nitelikli kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, özel nitelikli kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.

Öte yandan, Kanunun 28/1 maddesinde sayılan ve Kanunun uygulama alanının dışında tutulması nedeniyle Kanunun ilgili maddesinde sayılan durumlarda Şirket’in aydınlatma yükümlülüğü bulunmamaktadır. Bununla beraber, Kanunun 28/2 maddesinde belirtilen durumlarda da Şirketin aydınlatma yükümlülüğü bulunmamaktadır.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI  

Şirket, Kanununun 8.maddesine uygun olarak açık rızanız ile ya da Kanunlarda öngörülmesi halinde özel nitelikli kişisel verileri aşağıda sıralanan paydaşlara aktarılabilir.

  • Sözleşme ilişkisine bağlı olarak veri işleyenlere
  • İş ortaklarına,
  • Topluluk şirketlerine
  • Sigorta şirketlerine
  • Çalışanlara sağlık hizmeti sağlanan kurum ve kuruluşlara
  • Hukuken yetkili kamu kurum ve kuruluşlarına
  • Hukuk, mali ve vergi danışmanları ile diğer danışmanlara
  • Kanunda belirtilmiş yasal yükümlülüklerin yerine getirilmesini sağlamak üzere belirlenmiş kurum ve kuruluşlara
    • Özel Nitelikli Kişisel Verilerin Aktarılması (Yurtiçi)  

Kürkçüoğlu tarafından özel nitelikli kişisel verinin aktarılmasının gerekmesi halinde kişisel veri sahibinin açık rızasının alınması önceliklidir. Aşağıda belirtilen şartlarda ise açık rıza alınmadan da kişisel verilerin aktarılması mümkün olabilmektedir.

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile kanunlarda ve diğer düzenlemelerde kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir.
    • Özel Nitelikli Kişisel Verilerin Aktarılması (Yurtdışı)  

Özel Nitelikli Kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (Yeterli Korumaya Sahip Yabancı Ülke) kişisel veri sahibinin açık rızasının bulunması halinde veya Kanun’un m.6/3 de belirtilen şartların bulunması durumunda aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke) aktarılabilecektir. Şirket bu doğrultuda başta Kanunun 9. maddesinde öngörülen düzenleme olmak üzere diğer tüm düzenlemelere uygun hareket etmektedir.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ VE İMHASI

Kürkçüoğlu olarak elde ettiğimiz özel nitelikli kişisel veriler, Şirketin faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Özel nitelikli kişisel veriler, ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen maksimum sürelere uygun olarak, böyle bir sürenin bulunmaması halinde ise işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta özel nitelikli kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise özel nitelikli kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Özel nitelikli kişisel veriler belirlenen saklama sürelerinin sonunda ‘Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Bu konuda şirket personeline Türk Ceza Kanunu m.138 madde ile ilgili olarak bilgilendirme ve farkındalık eğitimleri yapılmaktadır.

Özel nitelikli kişisel verilerin ilgili mevzuatlar uyarınca, daha uzun süre saklanmasına izin verilen veya zorunlu tutulan haller istisna olmak kaydıyla, özel nitelikli kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Şirket tarafından re’sen yahut veri sahibi başvuru formu aracılığıyla ve kullanılabilecek farklı teknikler ile veri sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonimleştirilecektir. Özel nitelikli Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler ilgili kullanıcılar tarafından kullanılamayacak, yok edilmesi halinde ise hiç kimse tarafından kullanılamayacak şekilde imha edilecektir. Silme, yok etme veya anonim hale getirme ile ilgili işlemler sonucunda tutulacak tutanakların da 3 (üç) yıl boyunca saklanması sağlanmaktadır. Söz konusu faaliyetler kapsamında, Şirket tarafından kişisel verilerin korunmasına ilişkin olarak başta Kanun olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir.

 

Ek-1. Özel Nitelikli Kişisel Veri İşleme Amaçları

ANA AMAÇLAR

TALİ AMAÇLAR

Şirket'in İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi

Görevlendirme Süreçlerinin Yürütülmesi

Fiziksel Mekan Güvenliğinin Sağlanması Amacıyla

Veri Sorumlusunun İşlemiş olduğu Kişisel Verilerin Güvenliğini Sağlamak Amacıyla

Veri sorumlusunun finansal, stratejik ve gizli bilgilerinin güvenliğini temin etmek amacıyla

Yönetim Katında Bulunan Belge, Evrak ve Dokümanların Güvenliğini Temin Etmek Amacıyla

Sunucu Odasına Yetkisiz Kişilerce Girilmesinin Önlenmesi Amacıyla

Şirketin Denetim Faaliyetlerinin Planlanması ve İcrası

Denetim / Etik Faaliyetlerinin Yürütülmesi

İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi

Hukuk İşlerinin Takibi ve Yürütülmesi

 

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi

 

EK-2 Özel Nitelikli Kişisel Veri Sahipleri

KİŞİSEL VERİ SAHİBİ KATEGORİSİ

AÇIKLAMA

Çalışan Adayı, Stajyer Adayı

Şirkete herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine açmış olan gerçek kişiler

Çalışan, Stajyer

Şirket tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb faaliyetler çerçevesinde kişisel verileri işlenen Şirket çalışanları

 

EK-3 Özel Nitelikli Kişisel Veri Kategorileri

KİŞİSEL VERİ KATEGORİSİ

AÇIKLAMA

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler