BÖLÜM 1: GİRİŞ
1.1. GİRİŞ
Kişisel Verilerin Korunması Kanunu ile verileri işlenen kişilerin
verilerinin korunması konusu her şirket açısından temel bir zaruret
haline gelmiştir. Bu sebeple özellikle kişilerin özel hayatına ve
bilgilerine erişim hususunda azami ihtimam göstermek ve bu konuda
etkili ve caydırıcı önlemler almak ek olarak bütün bu işlemler
esnasında müşterilerimize, potansiyel müşterilerimize,
ziyaretçilerimize, şirket yetkililerimize, işbirliği içinde olduğumuz
taraf ve kurumların tamamına kısaca şirketimizle doğrudan veya dolaylı
olarak bağlantılı olan verilerini işlediğimiz her bir kişiye şeffaf
olmak şirket veri politikamızın temel hedefini oluşturmaktadır.
ŞirketimizKAR OTOMOTİV VE TEKSTİL TİCARET LİMİTED ŞİRKETİ işbu Politika ile kişisel verilerin işlenmesine
yönelik kurallarımızı şeffaflık ve açıklık ilkeleri çerçevesinde
belirlemekte ve hayata geçirmektedir.
1.2. POLİTİKANIN AMACI VE KAPSAMI
Bu politikanın temel amacı kişisel verilerin işlenmesinde başta özel
hayatın gizliliği olmak üzere verileri işlenmiş olan kişilerin temel
hak ve özgürlüklerini korumak ve bu anlamda şirketimizin yaptığı her
faaliyetin kamunun aydınlatılması yoluyla şeffaflığının sağlanmasıdır.
Bu politika hükümlerinin kapsamı doğrudan veya dolaylı olarak
verilerini işlediğimiz kişilerin bütün kişisel verileridir.
1.3. MEVZUATIN UYGULANMASI
Yürürlükte bulunan mevzuat ve politikamız arasında uyumsuzluk bulunması
halinde yürürlükte olan mevzuat öncelikli olarak uygulanacak olup bu
temel politikanın dışında daha özel amaçlar için aynı konuda
oluşturulan başka politika veya düzenleme bulunması halinde öncelikle
özel hükümler içeren maddeler uygulanır. Diğer politika ve dokümanların
bu politika ve ilgili mevzuat ile çelişen hükümleri uygulanmaz.
BÖLÜM 2: KİŞİSEL VERİLERİN
İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
2.1.1 Hukuka ve Dürüstlük Kurallarına Uygun Olması
Kişilerin verileri işlenirken işlenme sürecinde veriler hukuka ve
dürüstlük kurallarına uygun olarak elde edilmeli ve işlenmelidir.
ŞirketimizKAR OTOMOTİV VE TEKSTİL TİCARET LİMİTED ŞİRKETİ verileri işlerken hukuka ve dürüstlük kurallarına
uygun bir şekilde azami hassasiyet ve kontrol ile verileri
işlemektedir.
2.1.2 Doğru ve Gerektiğinde Güncel Olması
İşlenen verilerin doğru olması ve şahısların verileri hakkında
güncellik gerektiğinde güncel olması gerekmektedir. Şirketimiz işlenen
verilerin doğruluğunu her işleme seviyesinde kontrol etmekte ve
gerektiğinde güncel olması için gerekli hazırlıkları yapmaktadır.
2.1.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi
Verilerin işlenmesi esnasında hangi verilerin işlendiği belli ne
kadarlık bir kısmının işlendiği açık ve ne amaçla işlendiği belli,
hukuka uygun yani meşru olmalıdır. Şirketimiz sadece meşru amaçlar için
verileri işlemekte bu işleme sırasında elde edilecek olan verilerin
belirli olmasına özen göstermektedir. Şirketimiz elde edilen bilgilerin
farklı amaçlar için kullanılmaması ve yanlış anlaşılmaya sebebiyet
vermemesi adına net, açık bir şekilde verileri işlemektedir.
2.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Verilerin işlenme amacına sadık, amaçla bağlantılı o amaçla sınırlı ve
ölçülü bir şekilde kontrollü bir şekilde işlenmesi gerekir. Şirketimiz
veri işlerken yalnızca işlendikleri amaçla bağlı ve sınırlı olmak üzere
ölçülü bir şekilde veri sahiplerinin verilerini işlemektedir.
2.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli
Olan Süre Kadar Muhafaza Edilme
İşlenen kişisel veriler ilgili mevzuattaki süreye veya ilgili amaçta
belirtilen süreye uygun olarak azami koruma kastıyla hareket edilmesi
gerekir. Bu kapsamda, şirketimiz öncelikle ilgili mevzuatta kişisel
verilerin saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı
olarak kişisel verileri muhafaza etmektedir. Mevzuatta bir süre
belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren
hukuki bir sebep bulunmuyorsa, şirketimiz kişisel verileri işlendikleri
amaç için gerekli olan süre kadar saklamaktadır. Böylece veri
sahiplerinin güvenlikleri azami seviyede sağlanmaktadır. (Ayrıntılı bilgi için bknz. Bölüm 6.4’e).işbu politika
ve ilgili bütün mevzuat hükümlerine uygun olarak veri işleyen sıfatını
taşıyan çalışanlarımız kişisel verilerle ilgili sınırsız süreli sır
saklama yükümlülüğü altındadır.
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
2.2.1 Kişisel Verilerin İşlenme Şartları
Şirketimiz veri sahiplerinin verilerini kanuna ve hukuka uygun bir
biçimde aşağıda yer alan ilgili mevzuatın şartlarına uygun bir biçimde
işlemektedir.
Genel Kişisel Verilerin İşlenme Şartları
Genel Nitelikli Veri Kavramı:
Bu bölümde belirtilen özel nitelikli veri kategorisine girmeyen
şirketimiz tarafından işlenen her türlü kişisel veri kavramı genel
nitelikli kişisel veri kategorisini oluşturmaktadır.
Genel Şart:
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
İstisnalar:
Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık
rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b)
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün
korunması için zorunlu olması.
c)
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli
olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için
zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e)
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin
zorunlu olması.
f)
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,
veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenme şartları
Özel Nitelikli Veri Kavramı:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da
sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel
nitelikli kişisel veridir.
Genel Şart:
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın
işlenmesi yasaktır.
İstisnalar ve Özel Durumlar:
Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel
veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası
aranmaksızın işlenebilir.
· Şirketimiz özel sağlık problemlerinin kayıtlarının tutulması
hususunda özel nitelikli verileri işleyip, saklarken ilgili veri
sahiplerinin açık rızalarını almaktadır.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu
sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık
rızası aranmaksızın işlenebilir.
Kişisel Verileri Koruma Kurumu Kurulu Şartları:
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından
belirlenen yeterli önlemlerin alınması şarttır.
BÖLÜM 3: KİŞİSEL VERİLERİN KORUNMASI
3.1. KİŞİSEL VERİLERİN GÜVENLİĞİ
ŞirketimizKAR OTOMOTİV VE TEKSTİL TİCARET LİMİTED ŞİRKETİ , Kişisel Verilerin Korunması Kanunu’nun 12. maddesi1
gereğince, kişisel verilerin hukuka uygun işlenmesini sağlamak için,
teknolojik imkânlar ve uygulama maliyetine göre her türlü teknik ve
idari tedbirler alınmaktadır. Veri sorumluları ile veri işleyen
kişilerin öğrendikleri kişisel veriler,
1 MADDE 12-
(1)Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır.
bu kanun hükümlerine aykırı olarak başkalarına açıklanamaz ve işleme
amacı dışında kullanılamaz.
Teknik konularla ilgili şirket personeline gerekli eğitim verilmiştir;
bu konuda çalışanların farkındalığı yaratılmakta ve denetimler
yürütülmektedir. Böylece şirket bünyesinde bilgili personel istihdamı
sağlanmıştır. Şirketimizin ilgili departmanı ve anlaşmalı hukuki
danışmanlık şirketimiz bu konuda koordine halinde çalışmaktadır.
3.1.1. Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan
Tedbirler
Şirketimizce kişisel verilerin hukuka uygun işlenmesini sağlamak için
alınan başlıca teknik ve idari tedbirler:
· Şirketimiz bünyesinde gerçekleştirilen kişisel veri işleme
faaliyetleri teknik sistemlerle denetlenmekte ve ilgili kişilere
raporlandırılmaktadırlar.
· Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme
faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel
veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek
olan gereklilikler her bir departman ve ilgili birimin yürütmüş olduğu
faaliyet özelinde belirlenmektedir.
· Hukuka uygunluğun sağlanması ve ilgili departmanlar için hazırlanan
prosedüre uyulması devamlılığı ve denetimi idari tedbirler, şirket içi
politikalar ve eğitimler yoluyla hayata geçirilmektedir.
3.1.2. Hukuka Aykırı Erişimini Engellemek İçin Alınan Tedbirler
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak
açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm
hukuka aykırı erişimi önlemek için korunacak verinin niteliğine göre
teknik ve idari tedbirler almaktadır.
Şirketimizce kişisel verilerin hukuka aykırı erişimini engellemek için
alınan başlıca teknik ve idari tedbirler:
· Erişim ve yetkilendirme teknik çözümleri ile alınan teknik önlemler
periyodik olarak raporlanmakta, risk teşkil eden hususlar yeniden
değerlendirilerek gerekli teknolojik çözüm üretilmektedir. Loglama,
virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve
donanımlar kurulmaktadır.
· Teknik konularda bilgili personel istihdam edilmektedir.
· İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak şirket
içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta
ve uygulanmaktadır.
· Çalışanlar, öğrendikleri kişisel verileri, Kişisel Verileri Koruma
Kanunu hükümlerine ve sair ilgili tüm mevzuata aykırı olarak başkasına
açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu
yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda
bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler
alınmaktadır.
· Şirketimiz tarafından kişisel verilerin hukuka uygun olarak
aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin
aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli
güvenlik tedbirlerini alacağına ilişkin hükümleri eklenmekte ve/veya
karşılıklı mutabakat metinleri imzalanmaktadır.
3.1.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması Konusunda Alınan
Tedbirler
Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka
aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini
önlemek için gerekli teknik ve idari tedbirleri almaktadır.
Şirketimizce kişisel verilerin güvenli ortamlarda saklanması için
alınan başlıca teknik ve idari tedbirler:
· Kişisel verilerin güvenli ortamlarda saklanması için teknolojik
gelişmelere uygun sistemler kullanılmaktadır.
· Teknik konularda uzman personel istihdam edilmektedir.
· Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta,
alınan teknik önlemler ilgilisine raporlanmakta, risk teşkil eden
hususlar yeniden değerlendirilerek gerekli teknolojik çözüm
üretilmektedir.
· Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için
hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
· Dijital olmayan veriler kilitli dolaplarda tutulmak suretiyle sadece
yetkilendirilmiş kişiler tarafından erişilebilecektir.
3.2. DENETİM
Kişisel Verileri Koruma Kanunu’nun 12. maddesinin 3. fıkrası2 gereğince
veri sorumlusu, kendi kurum veya kuruluşunda, bu kanun hükümlerinin
uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya
yaptırmak zorundadır.
3.2.1. Kişisel Verilerin Korunmasında Alınacak Tedbirlerin Denetimi
Şirketimiz ve anlaşmalı hukuki danışmanlık şirketimiz yukarıda
açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini
ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve/veya
yaptırır.
2 (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun
hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak
veya yaptırmak zorundadır.
Bu denetim sonuçları şirketimizin iç işleyişi kapsamında konu ile
ilgili departman veya yönetime raporlanmakta ve alınan tedbirlerin
iyileştirilmesi için gerekli faaliyetler Kişisel Verileri Koruma Kanunu
ve sair mevzuat ve işbu şirket politikasına uygun şekilde
yürütülmektedir.
3.2.2.İş Birimlerinin Kişisel Verilerinin Korunması ve İşlenmesi
Konusunda Farkındalıklarının Artırılmasının Denetimi
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini,
verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin
korunmasını sağlamaya yönelik farkındalığın artırılması için iş
birimlerine gerekli eğitimlerin düzenlenmesini yürütülen eğitimler,
seminerler ve oturumlar aracılığı ile sağlamaktadır. Şirketimiz, ilgili
mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve
yenilemektedir. Kişisel verilerin korunması konusunda farkındalığın
oluşması için gerekli sistemler kurulmakta, konuya ilişkin denetimleri
şirketimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık
şirketimiz yapmaktadır.
Kişisel verilerin korunması ve işlenmesi konusunda farkındalığın
artırılmasına yönelik yürütülen eğitim sonuçları şirketimize
raporlanmakta olup söz konusu eğitimlere katılım şirketimiz tarafından
zorunlu tutulmakta ve kontrol edilmektedir.
3.3. GİZLİLİK
Şirketimiz kişisel verilerin kanun ve politika hükümlerine aykırı
olacak şekilde açıklanmaları ve aktarımını, bu verilere erişimin
sağlanmasını ve meydana gelebilecek diğer güvenlik eksikliklerinden
kaynaklanan işlemleri önlemek adına, imkanlar dahilinde ve korunacak
kişisel verinin niteliğine göre gerekli her türlü tedbiri almaktadır.
Şirket personeline bu konuda gerekli eğitimler verilmiş ve bu konuda
bilgi sahibi personel istihdamı sağlanmıştır. Şirket tarafından kişisel
veri işleme faaliyetleri ise detaylı şekilde ve periyodik olarak
incelenmekte ve denetlenmektedir. Teknolojinin imkan verdiği takdirde
kişisel verilerin işlenmesi faaliyetlerinde gerekli önlemler alınır ve
alınan önlemlerin güncellenmesi ve iyileştirilmesi esastır.
Şirketimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık
şirketimiz bu faaliyetleri yürütülmesinde ve denetlenmesinde koordine
edilmiş şekilde çalışmaktadır.
3.4. KİŞİSEL VERİLERİN YETKİSİZ İFŞASI
Kişisel verilerin yetkisiz ifşasına ilişkin suçlar bakımından 5237
sayılı Türk Ceza Kanununun 135 ila 140. madde hükümleri ve ilgili bütün
mevzuat uygulanır. İlgili bütün mevzuatın hükümleri şirketimizce
çalışanlara ve ilgili kişilere bildirir. Hukuka aykırı olarak kişisel
verileri kaydetme, kişisel verileri hukuka aykırı olarak bir başkasına
verme, yayma veya ele geçirme,
kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem
içinde yok etmeme ve
Kişisel Verileri Koruma Kanunun 7. maddesi3 hükmüne aykırı olarak;
kişisel verilerin saklanmasını veya işlenmesini meşru kılan sebeplerin
ortadan kalkmasına rağmen kişisel verileri silmeyen veya anonim hâle
getirmeyen gerçek kişiler Türk Ceza Kanununun 138. maddesine göre hapis
cezası ile cezalandırılır. Kişisel verilerin silinmesine, yok
edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar
yönetmelikle düzenlenir.
Türk Ceza Kanunu’nda yapılan düzenlemelere göre kişisel verileri hukuka
aykırı olarak bir başkasına veren, bu verileri hukuka aykırı olarak
yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası
ile cezalandırılmakla birlikte belli bir meslek ve sanatın sağladığı
kolaylıktan yararlanmak suretiyle bu suçu işleyen kişi cezanın
nitelikli halinden cezalandırılır. Kişisel veriyi işleme yetkisi
olmadan verileri görüntüleme, elde etme veya hack suçunu işleyen şirket
çalışanı, gecikmeksizin kişisel veri sahibine, savcılık ve ilgili
makamlara bildirilecek ve hakkında gerekli işlemler yürütülecek ve
suçun nitelikli halinden cezalandırılacaktır.
Kişisel Verileri Koruma Kanunu’nda Kabahatler başlığı altında
düzenlenen hüküm gereğince aydınlatma yükümlülüğünü veya veri
güvenliğine ilişkin yükümlülükleri yerine getirmeyenler, Kurul
tarafından verilen kararları yerine getirmeyenler veya Veri Sorumluları
Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler
hakkında da idari para cezaları uygulanır.
BÖLÜM 4: ŞİRKET KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK
ORGANİZASYONEL TEDBİRLER
Şirketimiz Kişisel Verilerin Korunması ile İşlenmesi Politikası’nın
yürürlüğünü sağlamak için bir yönetim yapısı oluşturmaktadır.
Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili
diğer politikaları yönetmek üzere komite kurulmaktadır. Kurulacak
komitenin görevleri aşağıda belirtilmektedir. Komite, bu görevlerin
dışında üst yönetimin vereceği diğer görevleri de yerine getirir.
Komite tüm faaliyetlerini üst yönetimin onayı ile gerçekleştirmektedir.
· Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel
politikaları ve gerekli olması halinde bu politikalar üzerinde
yapılacak değişiklikleri hazırlamak,
3MADDE 7- Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak
işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi
üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle
getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle
getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
· Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların
uygulanması ve uygulama takibinin ne şekilde yerine getirileceğine
karar vermek,
· Şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak,
· Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun
sağlanması için yapılması gereken hususları tespit etmek ve bu
hususların uygulanmasını sağlamak,
· Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde
ve Şirketin işbirliği yaptığı kurumlar nezdinde farkındalık yaratmak ve
bu kapsamda eğitimler düzenlemek,
· Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri
tespit ederek gerekli önlemlerin alınmasını temin etmek,
· Kişisel veri sahiplerinin başvurularını en üst düzeyde karara
bağlamak,
· Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri
takip etmek ve gerekli aksiyonları almak
İrtibat kişisi, anlaşmalı hukuki danışmanlık şirketi ve kurum ile
kurulacak iletişim için şirket tarafından sicile kayıt esnasında
bildirilen gerçek kişilerdir. Bu bildirilecek gerçek kişi veya kişiler
şirketimiz bünyesinde bu işi yapmakla görevlendirilmiş departmanımız
üyelerindendir.
Şirketimiz Veri Sorumluları Sicili Yönetmeliğine göre irtibat kişisinin
fonksiyonunu iletişim noktası olarak, ilgili kişilerin veri sorumlusuna
yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını
sağlamak olarak sınırlandırmıştır. Bu yolla kişisel verileri işlenen
veri sahiplerinin sorunlarına veya sorularına en hızlı ve açıklayıcı
bir biçimde cevap verilmesi amaçlanmıştır fakat irtibat görevlisi
hukuki açıdan veri sorumlusunu temsile yetkili değildir. Bu sebeple
bilgi vermek haricinde, şirket ile veri sahibinin veya irtibat
sorumlusu ile iletişime geçen ilgilinin sorularını hukuka uygun bir
biçimde cevaplamak ve şirketimizi bu hususta bilgilendirmek haricinde
bir görevi veya yetkisi bulunmamaktadır. Şirketimiz irtibat sorumlusu
tarafından bilgilendirildiği anda yine şirketimiz tarafından
görevlendirilmiş yetkili departman veya kurum tarafından en kısa sürede
sorunla ilgili işlemler yapılacak ve gereken prosedür yürütülecektir.
Bu işlemler sırasında kişisel veri sahibi veya ilgili kişi bütün bu
işlemler ve prosedürler ile ilgili bilgilendirilecek ve gerekirse
şirketimiz yetkili departmanı veya kurumu tarafından kişisel veri
sahibi veya ilgili kişilerle görüşmeler yürütülecektir.
BÖLÜM 5: KİŞİSEL VERİLERİN AKTARILDIĞI
ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Şirketimiz, KVK Kanunu’nun 10. maddesine4 uygun
olarak kişisel verilerin aktarıldığı kişi
gruplarını
kişisel veri sahibine bildirmektedir.
|
Şirketimiz KAR OTOMOTİV VE TEKSTİL TİCARET LİMİTED ŞİRKETİ, KVK
Kanunu’nun 8. ve 9. maddelerine uygun olarak ( bkz. Bölüm 2/Başlık 2.1.5) politika ile yönetilen veri
sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine
aktarılabilir:
Şirketin;
(i) İş ortaklarına,
(ii) Tedarikçilerine,
(iii) Topluluk şirketlerine,
(iv) Hissedarlarına,
(v) Yetkililerine,
(vi) Hukuken Yetkili kamu kurum ve kuruluşlarına
(vii) Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri
aktarım amaçları aşağıda belirtilmektedir.
|
Tanımı
|
Veri Aktarım Amacı
|
Topluluk - Grup Şirketleri
|
Şirketimize bağlı iş ortaklıklarını
|
Şirketlerinin
|
tanımlar. İş ortaklarımız ek
|
katılımını gerektiren her türlü
|
kısmında açıklanmıştır.
|
ticari ve organizasyonel
|
|
tedbirlerinin yürütülmesini
|
|
sağlamak amacıyla aktarılır.
|
4 MADDE 10- (1)-c) İşlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği,
Hissedarlar
|
Şirketin hissedarı olan
|
İlgili mevzuat hükümlerine göre
|
gerçek kişiler
|
şirketler hukuku, etkinlik
|
|
yönetimi ve kurumsal
|
|
iletişim süreçleri kapsamında
|
|
yürüttüğü faaliyetlerin
|
|
amaçlarıyla sınırlıdır.
|
Şirket Yetkilileri
|
Şirket yönetim kurulu
|
İlgili mevzuat hükümlerine göre
|
üyeleri ve diğer yetkili gerçek
|
şirketin ticari faaliyetlerine
|
kişiler
|
ilişkin stratejilerin tasarlanması,
|
|
en üst düzeyde yönetiminin
|
|
sağlanması ve denetim
|
|
amaçlarıyla sınırlı olarak
|
|
aktarım yapılmaktadır
|
Hukuken Yetkili Kamu Kurum
|
İlgili mevzuat hükümlerine
|
İlgili kamu kurum ve
|
ve Kuruluşları
|
göre şirketten bilgi ve
|
kuruluşlarının hukuki yetkisi
|
|
belge almaya yetkili kamu
|
dahilinde talep ettiği amaçla
|
|
kurum ve kuruluşları
|
sınırlı olarak aktarım yapılmaktadır
|
Hukuken Yetkili Özel Hukuk
|
İlgili mevzuat hükümlerine
|
İlgili özel hukuk kişilerinin
|
Kişileri
|
göre şirketten bilgi ve
|
hukuki yetkisi dahilinde talep
|
|
belge almaya yetkili özel
|
ettiği amaçla sınırlı olarak
|
|
hukuk kişileri
|
aktarım yapılmaktadır
|
Tedarikçi
|
Şirketin ticari faaliyetlerini
|
Şirketin tedarikçiden temin
|
yürütürken şirket emir ve
|
ettiği ve şirketin ticari ve
|
talimatlarına uygun olarak
|
organizasyonel faaliyetlerini
|
sözleşme temelli, şirkete hizmet
|
yerine getirmek için gerekli
|
sunan tarafları
|
hizmetlerin sunulmasını
|
tanımlamaktadır.
|
sağlamak amacıyla aktarım
|
|
yapılmaktadır.
|
BÖLÜM 6: KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ ve VERİ
ENVANTERİ
6.1.ŞİRKETİMİZİN YÜKÜMLÜLÜĞÜ
Şirketimiz, 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 7 ve
5237 sayılı Türk Ceza Kanunu madde 138’deki açıklamalara uygun olarak
işlenilmiş ve akabinde işleme ve saklama amacı ortadan kalkmış kişisel
verileri Türk Ticaret Kanunu’ndan kaynaklanan haklara, ilgili bütün
mevzuat hükümlerinin vermiş olduğu haklara ve işbu politikada
belirlenen esaslara(bkz. bölüm 2.2.1 (e) ve (f) )
istinaden vereceği karar ile veya şirketimizin ticari hayatındaki
menfaatlerini zarar getirmeyecek şekilde veri sahibinin açık talebiyle,
Kişisel Verilerin Korunması Kanunu madde 7 de belirtildiği gibi siler
veya yok eder veya anonimleştirilir.
6.2.KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ VE VERİ ENVANTERİ
6.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi
Kişisel verilerin silinmesi, yönetmeliğin 8.maddesinde ‘’kişisel
verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesi işlemidir’’ şeklinde tanımlanmıştır.
Kişisel verilerin yok edilmesi, yönetmeliğin 9.maddesinde ‘’kişisel
verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’
şeklinde tanımlanmıştır.
6.2.2. Kişisel Verilerin Silinme Yöntemleri
a) Hizmet Olarak Uygulama Türü Bulut Çözümleri(Office 365,Salesforce
vs.)
Bulut sistemindeki veriler silme komutu verilerek silinir. Anılan işlem
gerçekleşirken ilgili kullanıcı bulut sistemi üzerinde silinmiş
verileri geri getirme yetkisine sahip değildir.
b) Kağıt Ortamında Bulunan Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak
silinir. Karartma yöntemi, ilgili evrak üzerindeki kişisel verilerin,
mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri
döndürülmeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit
mürekkep kullanılarak ilgili kullanıcıların görünemez hale getirilmesi
şeklinde yapılır.
c) Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya
da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim
haklarının kaldırılmasıdır.
ç)Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak
saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir
d) Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile
silinir. Anılan işlemi gerçekleştiren ilgili kişi veri tabanı
yöneticisi değildir.
6.2.3. Kişisel Verilerin Yok Edilmesi Yöntemleri a)Fiziksel Olarak Yok
Etme
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler
yok edilirken kişisel verinin sonradan kullanılmayacak biçimde fiziksel
olarak yok edilmesi uygulanmaktadır.
b) De-manyetize Etme
Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir
manyetik alana maruz bırakılması ile üzerindeki verilerin anlaşılamaz
ve okunamaz bir hale getirilme işlemidir.
c) Kağıt Ortamları
Bu ortamdaki yok etme işlemleri kağıtların imha ve kırpma makineleri
ile anlaşılmaz boyutlara getirilerek yok edilmesi yöntemidir.
6.2.4. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, yönetmeliğin 10.maddesinde
‘’kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette
kimliği belirli veya belirlenebilir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesidir. ’’şeklinde tanımlanmıştır.
6.2.4.1. Kişisel Verilerin Anonim Hale Getirilme Yöntemleri
6.2.4.2. a)Maskeleme Yöntemi(Masking)
Verileri işlenen veri sahiplerinin belirgin sıfatlarının veya
özelliklerinin çıkarılarak veya silinerek sağlanan bir anonim hale
getirme yöntemidir.
Örnek: Kişisel Veri Sahibinin tanımlanmasını
sağlayan TC Kimlik No vb. gibi bilginin
çıkartılması yoluyla veri sahibinin tanınmasının
engellenmesi.
|
b) Veri Karma Yöntemi(Data Shuffling,Permutation)
Bu yöntemle sistem içerisinde verileri olan veri sahiplerinin
bilgilerinin bir kısmının yerini değiştirerek verileri anonim hale
getirmek amaçlanmaktadır
Örnek: Çalışan bilgilerinde ana kategori olarak
değerlendirilen verilerin yanında alt değerli
bilgilerin yer değiştirilmesi suretiyle Kişisel
Veri Sahibinin tanınmamasını sağlama.
|
c) Veri Türetme Yöntemi(Data Derivation)
Sistemde içerisinde yer alan verilerde bulunan değişkenlerde belli
ölçülerde ekleme veya çıkarma yapılarak bilgilerin tespit edilemeyecek
veya tanımlanamayacak hale gelmesi sağlanır.
Örnek: Verisi işlenen kişisel veri sahibinin
ikametgahının detaylı açıklanmasının yerine
yaşadığı mahalle veya ilçenin belirtilmesi.
|
d) Toplulaştırma Yöntemi(Aggregation)
İlgili kişisel veriyi özel bir değerden genel bir değere çevirme
yöntemidir. Bu yöntemle veriler genelleştirilmekte ve kişisel veriler
herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Örnek: Çalışanların yaşadığı mahallelerin tek tek
sayılması yerine X mahallesinde Y kadar çalışanın
yaşadığının belirtilmesi.
|
6.2.4.2.Şirketimizin Anonim Hale Getirme Yöntemini Seçme Usulü
Yukarıda açıklanan anonimleştirme yöntemlerinden bir veya birkaçı,
ilgili bütün mevzuat ve şirketimizin iş hayatındaki menfaatleri
doğrultusunda, şirket tarafından işbu politikanın yürürlüğünü sağlamak
için oluşturulan komite tarafından seçilecektir. Komite ile ilgili
ayrıntılı bilgiler daha önceki bölümde açıklanmıştır .( bkz. bölüm 4)
Seçilecek anonim hale getirme yöntemi, komite tarafından aşağıda
sayılan hususlar dikkate alınarak belirlenecektir:
- Verinin niteliği
- Verinin büyüklüğü
- Verinin fiziki ortamlarda bulunma yapısı
- Verinin çeşitliliği
- Verinin işlenme amacı
Anonim Hale Getirme işlemi işbu politikanın saklama süreleri ve kişisel
veri envanteri bölümlerinde belirtilen esaslara paralel olarak
gerçekleştirecektir.
6.3. SAKLAMA SÜRELERİ
Şirketimiz, ilgili bütün mevzuatta belirlenen sürelere uygun olarak,
veri envanterinde kişisel verileri saklamaktadır.
Bu süreleri ilişkin ilgili mevzuatta belirlenen herhangi bir sürenin
bulunmaması durumunda Şirketimiz, bulunduğu sektörden kaynaklanan
teamüller ve kanun ve mevzuata uygun olmak şartıyla şirketimizin
menfaatlerine uygun olarak belirlediği süreler içerisinde kişisel
verileri saklamaktadır, saklama işlemine gerek kalmadığı durumlarda
yukarıda açıklanan şekillerde silinir veya yok edilir veya
anonimleştirilir.
Kişisel verilerin işleme ve saklama amacı ortadan kalkmış ve kişisel
verilere ilişkin ilgili bütün mevzuatta ve şirketimiz tarafından işbu
politikada belirlenen esaslara (bkz. bölüm 2.2.1 (e) ve (f)) istinaden belirlenen süreler geçmiş ise
ileride doğabilecek her türlü hukuki uyuşmazlıklarda kullanılmak
amacıyla da kişisel veriler saklanabilmektedir. Bu kısımda belirtilen
kişisel veriler sadece hukuki uyuşmazlıklarda kullanılmak üzere
saklanır ve başka
herhangi bir amaç için kullanılamaz. Yukarıdaki açıklamalar
doğrultusunda şirketimiz tarafından, öngörülebilecek bütün önlem ve
tedbirler alınmaktadır.
Örneğin, İşyerinden ayrılan çalışan aleyhine, sözleşmenin haksız
feshedilmesinden kaynaklı açılacak davada yetkili mahkemenin
belirlenmesi amacıyla çalışanın yerleşim bölgesinin tespitinin
yapılması için veri sisteminde bulunan bilgilerin kullanılması bu
kapsamda değerlendirilebilir. (Yukarıdaki açıklamaların kapsamı verilen
örnek ile sınırlı değildir.)
6.4. KİŞİSEL VERİ ENVANTERİ
KVKK ve Veri Sorumluları Sicili Hakkında Yönetmelik’e uygun olarak
şirketimiz bünyesinde bulunan her departmanda ayrı ayrı işlenen
verilerin toplandığı ve yukarıda açıklandığı
şekillerde silme, yok etme, anonimleştirme işleminin mevzuata ve şirket
politikasına uygun olarak gerçekleştirildiği ve gerektiğinde KVK
Kurumuna ibraz edilebilen datayı(Word, excel vs.) ifade etmektedir.
Yönetmelikteki tanıma göre bir kişisel veri envanterinde bulunması
gerekenler:
i. Kişisel veri işleme amaçları
ii. Veri Kategorisi
iii. Aktarılan alıcı grubu ve veri konusu kişi grubuyla
ilişkilendirilerek oluşturulan ve kişisel verilerin işlenmesi için
gerekli olan azami süreler
iv. Yabancı ülkelere aktarımı öngörülen kişisel süreler
v. Veri güvenliğine ilişkin alınan tedbirler
Yukarıda belirtilen kriterler göz önüne alınarak kişisel verilerle
ilgili olarak bu verilerle
yapılacak işlemlere ilişkin bilgiler ilgili envanterde toplanacaktır.
Envanter içeriği, şirketimizin kanuna ve mevzuata uygun olarak kendi
menfaatleri doğrultusunda Word, Excel gibi dijital ortamlarda
saklanabileceği gibi dijital ortamlarda saklanması mümkün olmayan
içerik kağıt ortamlarında da saklanabilmektedir.
Bölüm 6 ‘da açıklanan kişisel verileri silme, yok etme, anonimleştirme
işlemleri şirketimiz tarafından veya şirketimizin yetki verdiği bir
görevli tarafından kişisel veri envanterinde gerçekleştirilir.
6.4.1.Kişisel Veri Envanterinin Hazırlanışı
Kişisel Veri Envanterinin hazırlanılış usulüne ilişkin ilgili mevzuatta
hüküm varsa kişisel veri envanteri bu hükümler doğrultusunda şirketimiz
tarafından hazırlanacaktır.
Kişisel Veri Envanterinin hazırlanış usulüne ilişkin ilgili mevzuatta
hüküm olmadığı durumlarda şirketimiz, kendi iç çalışma disiplini, iş
çalışma süreçlerini de dikkate alarak kişisel veri envanterini
hazırlama hususunda hangi usulü seçeceği konusunda serbesttir.
BÖLÜM 7: VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASINA İLİŞKİN
KURALLAR
7.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI
Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve
kişisel veri sahiplerine gereken bilgilendirmenin yapılması için
Kişisel Verileri Koruma Kanunu’nun 13. maddesine uygun olarak gerekli
kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini
yazılı olarak şirketimize iletmeleri durumunda şirketimiz talebin
niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak
sonuçlandırmaktadır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret
öngörülmesi hâlinde, şirketimiz tarafından başvuru sahibinden Kişisel
Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır.
Kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun
kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü
kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
· Kişisel Verileri Koruma Kanunu ve ilgili diğer kanun hükümlerine
uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya
yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya
çıkmasına itiraz etme,
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara
uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Kişisel Verileri Koruma Kanunu’nun 13. maddesi gereğince, kişisel veri
sahiplerinin
yukarıda belirtilen haklarını kullanmakla ilgili taleplerini “yazılı”
veya Kişisel Verilerin Korunması Kurulu’nun belirlediği diğer
yöntemlerle Şirketimize iletmeleri gerekmektedir.
7.1.1. Kişisel Verilere Erişim Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerine erişim
hakkı bulunmaktadır. Şirketin menfaati ve veriyi tutmasında meşru hakkı
Kişisel Verileri Koruma Kanunu ve ilgili mevzuat kapsamında korunur;
değiştirme ve silme hakkı gözetilir. Şirketimiz ilgili kişiye;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerinin işlenme amacını ve bunların amacına uygun
kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü
kişileri bilme isteğinde bulunma hakkı olduğu bilgisini vermektedir.
7.1.2. Kişisel Verilerini Değiştirme veya Sildirme Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerini değiştirme
veya sildirme hakkı bulunmaktadır. Bu kapsamda ilgili kişinin;
· Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde
bunların düzeltilmesini isteme,
· Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan
kalkması halinde kişisel verilerin silinmesini veya yok edilmesini
isteme,
5 MADDE 13- İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini
yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri
sorumlusuna iletir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en
kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.
Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca
belirlenen tarifedeki ücret alınabilir.
Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder
ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda
bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri
sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun
hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
· Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin,
kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
ve
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme hakkı
bulunmaktadır.
7.1.3. Kişisel Verilerin Güncelliğinin Sağlanması
Kişisel Verileri Koruma Kanunu uyarınca kişisel verilerin doğru ve
gerektiğinde güncel olmasını sağlama yükümlülüğü bulunmaktadır, bu
sebeple kişisel verilerin doğru ve güncel tutulması açısından ilgili
tarafından şirketimize mevcut durum değişikliklerinin bildirilmesi
gerekir. Şayet veri değişikliğinin ilgili kişi tarafından yazılı olarak
şirketimize bildirilmediği taktirde verinin güncellenmemesi nedeniyle
ortaya çıkan ya da çıkabilecek herhangi bir zarar ve yaptırımdan
şirketimiz sorumlu değildir.
7.2. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ
Kişisel Verileri Koruma Kanunu’nun 12. maddesi gereğince veri
sorumlusu;
· Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
· Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
· Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır.
Şirketimiz, ilgili kanun maddesi gereğince kişisel verilerin kendi
adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde
birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle
birlikte müştereken ve müteselsilen sorumludur. Şirketimiz kendi kurum
veya kuruluşunda bu kanun hükümlerinin uygulanmasını sağlamak amacıyla
gerekli denetimleri yapmaktadır.
Şirket tarafından işbu hüküm tüm sözleşme, taahhüt – mutabakat
metinlerine eklenerek işbu politikanın 5. Bölümünün 13. sayfasında veri
aktarımı yapabilecek kişiler ile paylaşılmıştır; fiili imkansızlık
sebebiyle ya da hayatın olağan akışına uygun olmaması nedeniyle
sözleşme veya mutabakat metni oluşturulamayan hallerde ise http://www.kargrup.com/ internet sitesinden işbu
politika kamuya açık hale getirildiğinden görülebilir.
7.3. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
Kişisel veri sahipleri, Kişisel Verileri Koruma Kanunu’nun 28. maddesi
gereğince aşağıdaki haller ilgili kanun kapsamı dışında tutulduğundan,
kişisel veri sahiplerinin bu konularda aşağıda sayılan haklarını ileri
süremezler:
· Kişisel verilerin resmi istatistik ile anonim hâle getirilmek
suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
· Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini,
kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya
kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla,
sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü
kapsamında işlenmesi,
· Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini,
kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla
görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen
önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi ve
· Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz
işlemlerine ilişkin olarak yargı makamları veya infaz mercileri
tarafından işlenmesi.
Kişisel Verileri Koruma Kanunu’nun 28. maddesi gereğince; aşağıda
sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep
etme hakkı hariç diğer haklarını ileri süremezler:
· Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç
soruşturması için gerekli olması,
· Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş
kişisel verilerin işlenmesi,
· Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve
yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek
kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile
disiplin soruşturma veya kovuşturması için gerekli olması.
BÖLÜM 8: ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ
Çalışan adaylarının işe alım sürecinde toplanan kişisel verileri ile
işin niteliğine göre toplanan özel nitelikli kişisel verileri, Şirket
tarafından; belirtilen ve aşağıda sıralanan amaçlarla işlenmektedir:
· Çalışan adayının niteliğini, tecrübesini ve ilgisini açık pozisyona
uygunluğunu değerlendirmek,
· Gerektiği takdirde, Çalışan adayının ilettiği bilgilerin doğruluğunun
kontrolünü yapmak veya üçüncü kişilerle iletişime geçip Çalışan Adayı
hakkında araştırma yapmak,
· Başvuru ve işe alım süreci hakkında Çalışan Adayı ile iletişime
geçmek veya uygun olduğu takdirde, sonradan yurtiçinde veya yurtdışında
açılan herhangi bir pozisyon için aday ile iletişime geçmek,
· İlgili mevzuatın gereklerini ya da yetkili kurum veya kuruluşların
taleplerini karşılamak,
· Şirketimizin uyguladığı işe alım ilkelerini geliştirmek ve
iyileştirmek. Çalışan adaylarının kişisel verileri aşağıdaki yöntem ve
vasıtalarla toplanabilmektedir:
Yazılı veya elektronik ortamda yayınlanan dijital başvuru formu;
· Çalışan adaylarının Şirkete e-posta, kargo, referans ve benzeri
yöntemlerle ulaştırdıkları özgeçmişler;
· İstihdam veya danışmanlık şirketleri; Çalışan adayları da veri sahibi
olmalarından kaynaklanan hakları ile ilgili taleplerini açıklanan
yöntemle iletebileceklerdir.
Video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılan
hallerde, mülakat sırasında;
- Çalışan adayı tarafından iletilen bilgilerin doğruluğunu teyit
etmek amacıyla yapılan kontroller ile şirket tarafından yapılan
araştırmalar;
· Tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları
incelenen yetenek ve kişilik özelliklerini tespit eden işe alım
testleri
BÖLÜM 9: ŞİRKET TESİSLERİ
İÇERİSİNDE YAPILAN KİŞİSEL VERİ
İŞLEME FAALİYETLERİ İLE İNTERNET
SİTESİ ÜZERİNDEN YAPILAN VERİ
İŞLEME FAALİYETLERİ
BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ
İŞLEME FAALİYETLERİ
Şirket tarafından bina tesis girişlerinde ve tesis içerisinde yapılan
kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili
diğer mevzuata uygun bir biçimde yürütülmektedir.
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve
tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş
çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde
bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt
altına alınması yoluyla Şirket tarafından kişisel veri işleme faaliyeti
yürütülmüş olmaktadır.
ŞİRKETİN BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE
İZLEME FAALİYETİ
Bu bölümde Şirketin kamera ile izleme sistemine ilişkin açıklamalar
yapılacak ve kişisel verilerin, gizliliğinin ve kişinin temel
haklarının nasıl korumaya alındığına ilişkin bilgilendirme
yapılacaktır.
Şirket, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve
diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak
gibi amaçlar taşımaktadır.
Kamera ile İzleme Faaliyetinin Yasal Dayanağı
Şirket tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik
Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak
sürdürülmektedir.
KVK Kanununa Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi
Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti
yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket
edilmektedir. Şirket, bina ve tesislerinde güvenliğin sağlanması
amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve
KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak
güvenlik kamerası izleme faaliyetinde bulunmaktadır.
Kamera ile İzleme Faaliyetinin Duyurulması
Şirket tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel
veri sahibi aydınlatılmaktadır. Şirket, genel hususlara ilişkin olarak
yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden
fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri
sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi,
şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması
amaçlanmaktadır.
Şirket tarafından kamera ile izleme faaliyetine yönelik olarak; Şirket
internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika
düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme
yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).
Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
Şirket, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri
işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde
işlemektedir.
Şirket tarafından video kamera ile izleme faaliyetinin
sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu
doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman
izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla
sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik
amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda
(örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.
Elde Edilen Verilerin Güvenliğinin Sağlanması
Şirket tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile
izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin
sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza
Süresi
Şirketin, kamera ile izleme faaliyeti ile elde edilen kişisel verileri
muhafaza süresi ile ilgili ayrıntılı bilgiye bu Politika’nın Kişisel
Verilerin Saklanma Süreleri isimli 6.4 maddesinde yer verilmiştir.
İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu
Bilgilerin Kimlere Aktarıldığı
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza
edilen kayıtlara yalnızca sınırlı sayıda şirket çalışanının erişimi
bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik
taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan
etmektedir.
ŞİRKETİN BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ
ÇIKIŞLARININ TAKİBİ
Şirket tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen
amaçlarla, şirket binalarında ve tesislerinde misafir giriş
çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde
bulunulmaktadır.
Misafir olarak şirket binalarına gelen kişilerin isim ve soyadları elde
edilirken ya da şirket nezdinde asılan ya da diğer şekillerde
misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel
veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış
takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla
işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt
sistemine kaydedilmektedir.
ŞİRKETİN MİSAFİRLERİNE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN
KAYITLARIN SAKLANMASI VE İNTERNET SİTESİ ZİYARETÇİLERİ
Şirketimiz tarafından güvenliğin sağlanması ve bu Politika’da
belirtilen amaçlarla; misafirlerin tesislerimiz içerisinde kaldığı süre
boyunca internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun
ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre
kayıt altına alınabilmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda
Şirketimiz çalışanlarının erişimi bulunmaktadır.
Bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep
edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde
ilgili hukuki yükümlülüğümüzü yerine getirmek
ve/veya hukuki haklarımızın korunması ve Şirketimizin savunma
haklarının tesisi amacıyla işlenmekte ve üçüncü kişilerle
paylaşılmaktadır
ŞİRKETİN İNTERNET SİTESİ ZİYARETÇİLERİ
Şirket sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden
kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir
şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş
içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde
bulunabilmek maksadıyla teknik vasıtalarla (Örn. cookie gibi) site
içerisindeki internet hareketlerini kaydedilmektedir.
Şirket yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin
korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet
sitelerinin “Şirketin İnternet Sitesi Gizlilik Politikası” metinleri
içerisinde yer almaktadır.
BÖLÜM 10: YÜRÜRLÜK VE GÜNCELLENEBİLİK
Şirket tarafından düzenlenerek 23.01.2020 tarihinde yürürlüğe
girmiştir. Politika’nın tamamında veya bir kısmında güncelleme
yapılabilir. Politika, Şirketin
http://www.kargrup.com/
sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili
kişilerin erişimine sunulur.
EK-1: TANIMLAR
Özel Nitelikli
|
Kişisel verilerin, başka verilerle eşleştirilerek dahi
hiçbir surette kimliği
|
Kişisel Veri
|
belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle
|
getirilmesini belirtir.
|
Kurum
|
Kişisel Verileri Koruma Kurumunu ifade eder.
|
Veri İşleyen
|
Veri sorumlusunun verdiği yetkiye dayanarak onun adına
kişisel verileri
|
işleyen gerçek veya tüzel kişiyi ifade eder.
|
Veri Sorumlusu
|
Kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt
|
sisteminin kurulmasından ve yönetilmesinden sorumlu olan
gerçek veya
|
tüzel kişiyi ifade eder.
|
Açık Rıza
|
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve
özgür iradeyle
|
açıklanan rızayı belirtir.
|
|
Kişisel verilerin, başka verilerle eşleştirilerek dahi
hiçbir surette kimliği
|
|
belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle
|
Anonim Hale
|
getirilmesini ifade eder.
|
Getirme
|
|
İş Ortağı
|
Şirketin ticari ve her türlü organizasyonel faaliyetlerini
yürütürken bizzat
|
veya topluluk şirketleri ile birlikte projeler yürütmek,
hizmet almak gibi
|
amaçlarla iş ortaklığı kurduğu ve kişisel verilerin
aktarıldığı firma ve
|
şirketleri ifade eder. (Kar Otomotiv Ve Servis Hizmetleri
Sanayi Ticaret Limited Şirketi , Kar Grup Sigorta Aracılık
Hizmetleri Kubilay Ercan Erdem, Kar Yedek Parça Ve Otomotiv
Sanayi Ticaret Limited Şirketi, Ford Otomotiv Sanayi Anonim
Şirketi-Ford Türkiye, Toyota Otomotiv Sanayi Türkiye A.Ş.,
Bosch Sanayi ve Ticaret Anonim Şirketi)
|
|
Kişisel Veri
|
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin
her türlü bilgiyi
|
belirtir.
|
|
EK-2 : KISALTMALAR
KVKK
|
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de
yayımlanan ,24 Mart 2016
|
tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
|
|
(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak
işlenmiş olmasına
|
|
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması
hâlinde kişisel veriler
|
KVKK
|
resen veya ilgili kişinin talebi üzerine veri sorumlusu
tarafından silinir, yok edilir
|
madde 7
|
veya anonim hâle getirilir.
|
|
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim
hâle getirilmesine ilişkin
|
|
diğer kanunlarda yer alan hükümler saklıdır.
|
|
(3) Kişisel verilerin silinmesine, yok edilmesine veya
anonim hâle getirilmesine
|
|
ilişkin usul ve esaslar yönetmelikle düzenlenir.
|
TCK
|
12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de
yayımlanan;26 Eylül 2004
|
tarihli ve 5237 sayılı Türk Ceza Kanunu
|
|
- (1) Kanunların belirlediği sürelerin geçmiş olmasına
karşın verileri sistem içinde
|
|
yok etmekle yükümlü olanlara görevlerini yerine
getirmediklerinde bir yıldan iki
|
TCK madde
|
yıla kadar hapis cezası verilir.
|
138
|
(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza
Muhakemesi Kanunu
|
|
hükümlerine göre ortadan kaldırılması veya yok edilmesi
gereken veri olması
|
|
hâlinde verilecek ceza bir kat artırılır.
|
Yönetmelik
|
28 Ekim 2017 Cumartesi Resmi Gazate’de yayımlanan 30224
sayılı Kişisel Verilerin
|
Silinmesi ,Yok Edilmesi veya Anonim Hale Getirilmesi
Hakkında Yönetmelik
|