KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
- Politika’nın Amacı ve Kapsamı
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Ünsped Gümrük Müşavirliği ve Lojistik Hizmetleri A.Ş.’nin (“UGM” veya “Şirket”) operasyonları kapsamında gerçekleştirdiği kişisel veri işleme faaliyetleri ve bu faaliyetler kapsamında temel aldığı kurallar ve prensipler bütünü hakkında bilgi vermek amacıyla hazırlanmıştır.
Bu Politika, Şirket çalışanları dışında UGM tarafından kişisel verileri işlenen tüm gerçek kişileri kapsamaktadır. Tüzel kişiler ve tüzel kişiliğe ait bilgiler Politika kapsamında yer almamaktadır.
- Politika’da Yer Alan Tanımlar
Bu Politika’da yer alan tanımlar aşağıda belirtilen şekilde kullanılmaktadır. Burada belirtilmeyen tanımların, başta 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanun kapsamında oluşturulan ikincil düzenlemelerde tanımlandıkları haliyle kullanıldıkları kabul edilecektir.
“Açık Rıza” | Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. |
“Çalışan” | Şirket ve iştirakleri ile iş sözleşmesi veya vekalet sözleşmesine bağlı olarak işçiişveren benzeri ilişkisi olan gerçek kişi. |
“Elektronik Ortam” | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
“Elektronik Olmayan Ortam” | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
“İlgili Kişi” | Kişisel verisi işlenen gerçek kişi. |
“İmha” | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
“Kanun” | 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
“KVKK” | 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
“Kayıt Ortamı” | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
“Kişisel Veri” | Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi. |
“Kişisel Veri İşleme Envanteri” | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri. |
“Kişisel Verinin Anonim Hale Getirilmesi” | İşbu Politika kapsamında kişisel verinin anonim hale getirilmesi, zaman zaman Yönetmelik’te yapılabilecek değişiklikleri de kapsayacak şekilde kişisel verinin başka verilerle eşleştirilmesi dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemi. |
“Kişisel Verinin İşlenmesi” | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
“Kişisel Verinin Silinmesi” | İşbu Politika kapsamında kişisel verinin silinmesi, zaman zaman Yönetmelik’te yapılabilecek değişiklikleri de kapsayacak şekilde kişisel verinin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
“Kişisel Verinin Yok Edilmesi” | İşbu Politika kapsamında kişisel verinin yok edilmesi, zaman zaman Yönetmelik’te yapılabilecek değişiklikleri de kapsayacak şekilde kişisel verinin hiçbir kimse tarafından, hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
“Kurul” | Kişisel Verileri Koruma Kurulu. |
“Kurum” | Kişisel Verileri Koruma Kurumu. |
“Özel Nitelikli Kişisel Veri” | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
“Periyodik İmha” | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
“Politika” | İşbu Politika ve ileride kabul edilebilecek diğer politikaların tamamı. |
“Veri Sorumlusu” | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
“Veri Sorumlusu İrtibat Kişisi” | Veri Sorumlusu Şirket tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Veri Sorumluları Sicili’ne kayıt esnasında bildirilen gerçek kişi.İşbu Politika’nın yürürlük tarihi itibari ile Veri Sorumlusu İrtibat Kişisi olarak VERBİS’e kaydedilmek üzere Serkan Ayverdi seçilmiştir. |
“Yönetmelik” | 28.10.2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
- Yürürlük ve Güncelleme
Bu Politika [12.09.2019] tarihinde yürürlüğe konulmuştur. Şirket Politika’yı mevzuat güncellemeleri başta olmak üzere gerekli gördüğü zamanlarda internet sitesi üzerinden en güncel versiyonu yayınlayarak güncelleme hakkına sahiptir. Bu nedenle ilgili kişilerin Politika hakkında bilgi almak istedikleri zaman internet sitesine girerek Politika’nın en güncel versiyonunu kontrol etmeleri gerekmektedir.
- Kişisel Veri İşleme Faaliyetleri Kapsamında Veri Sorumlusu
Ünsped Gümrük Müşavirliği ve Lojistik Hizmetleri A.Ş., Kanun kapsamında, Şirket operasyonlarını ve faaliyetlerini yürütürken işlediği kişisel verilere ilişkin, veri işleme amaçlarını ve vasıtalarını belirlemektedir. Bu kapsamda Şirket, kişisel verileri hangi amaçlarla ve nasıl işlediğine ilişkin, kişisel veri topladığı kanallarda ilgili kişileri aydınlatarak bilgilendirme yapmaktadır.
Benzer şekilde Şirket, söz konusu kişisel verilerin işlendiği veri kayıt sisteminin kurulması ve yönetilmesinden de sorumludur. Dolayısıyla Şirket, Kanun kapsamında işlediği kişisel verilerin birçoğu açısından veri sorumlusu olarak hareket etmektedir.
Şirket, bazı durumlarda, kişisel veri işleme amaçlarını ve vasıtalarını belirlemez; başka bir şirketin talimatları ile kişisel verileri işleyebilir. Bu durumda Şirket, Kanun kapsamında veri işleyen olarak hareket etmekte olup; bu Politika yalnızca Şirket’in veri sorumlusu olarak hareket ettiği kişisel veri işleme faaliyetlerine ilişkin olarak ilgili kişileri bilgilendirmeyi amaçlamaktadır.
- Kişisel Veri İşleme Faaliyetleri ve Amaçları
1 Ziyaretçi Kişisel Verilerinin İşlenmesi
Şirket binasına, yerleşkesine ziyaretçi olarak gelinmesi halinde, bina güvenliğinin sağlanması, ziyaretçilere dair kayıtların düzgün bir şekilde tutulabilmesi, suçun önlenmesi ve tespit edilebilmesi, gerektiği durumlarda yetkili kurum ve kuruluşlara bilgi verilebilmesi için kişisel veri işleme faaliyetlerinde bulunulmaktadır.
Bu kişisel veri işleme faaliyetleri:
- Bina içerisinde ve dışarında kamera (CCTV) izleme faaliyetleri kapsamında kamera kayıtlarının tutulması suretiyle,
- Ziyaretçilerin internet erişiminin sağlanması kapsamında, internet erişim kayıtlarının tutulması suretiyle,
- Ziyaretçilerin giriş çıkış kayıtlarının tutulması suretiyle,
gerçekleştirilmektedir.
- a)Kamera kayıtlarının tutulması
Şirket içerisinde ve dışarısında kameralarla izleme faaliyeti gerçekleştirilmektedir. Bu kameralar, güvenlik ofisinde girişte turnikeleri gören yerlerde, bina içerisinde ve dışarısında bazı lokasyonlarda bulunmaktadır. Söz konusu alanlarda, izlemeye ilişkin uyarı levhaları ile ilgili kişiler bilgilendirilmektedir.
Şirket aşağıdaki amaçlarla kamera ile izleme faaliyeti gerçekleştirmekte ve gerekli kayıtları tutmaktadır:
- Suçun önlenmesi ve tespit edilmesine yardımcı olmak;
- Suç işleyenler ve kamu düzenini bozanların belirlenmesini, tutuklanması ve yargılanmasını kolaylaştırmak;
- Kamu güvenliği ile binalarının güvenliğinin sağlanmasına yardımcı olmak;
- Çalışanlara karşı disiplin soruşturmasının başlatılması ile sonuçlanabilecek eylemlerin belirlenmesine yardımcı olmak.
Söz konusu kamera sistemi vasıtasıyla kaydedilen görüntüler, kanıt olarak veya suçun araştırılması için elde daha uzun bir süre tutulması gerekmediği veya yasal mevzuat kapsamında gerekmediği sürece, altına alındığı tarihten itibaren en fazla 3 ay boyunca muhafaza edilecektir.
Kamera görüntüleri, gerektiği durumlarda veya yasal bir talep olması halinde suçun önlenmesine ve tespit edilmesine yardımcı olmak, suç işleyenler ve kamu düzenini bozanların belirlenmesini, tutuklanmasını ve yargılanmasını kolaylaştırmak ve hukuki yükümlülüğümüzü yerine getirebilmek amaçlarıyla yetkili kurum ve kuruluşlarla paylaşılabilecektir. Şirket içerisinde kameraların işletimine ilişkin sorumluluk, yönetimi ve kamera işletim sistemi ile ilgili diğer tüm konular Satınalma Ve İdari İşler Müdürlüğü tarafından takip edilmektedir.
Kamera kayıtlarının tutulması suretiyle kişisel verilerin işlenmesi, Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için kişisel veri işleme faaliyetinin gerekli olması, Şirket’in hukuki haklarını koruyabilmesi ve kullanabilmesi için kişisel veri işleme faaliyetinin gerçekleştirilmesi ve suçun önlenmesi ile güvenliğin sağlanmasında Şirket’in meşru menfaatinin bulunması hukuki sebeplerine dayanılarak gerçekleştirilmektedir.
- b)İnternet erişimi kayıtlarının tutulması
Ziyaretçilerin Şirket internet ağına misafir kullanıcı olarak bağlanması söz konusu olduğunda bazı kişisel verileri işlenmektedir.
Bu kişisel veriler, kişinin ad soyadı, internet kullanımına ilişkin log kayıtları, MAC ID, IP bilgisi, cep telefonu numarası, kullanıcı adı, şifre bilgisidir. Bu bilgiler, yasal bir talep olması halinde hukuki yükümlülüğümüzün yerine getirilebilmesi için yetkili kurum ve kuruluşlarla paylaşılması haricinde Şirket dışı herhangi bir üçüncü kişiye açıklanmamaktadır.
Belirtilen kişisel veriler, faaliyetlerin mevzuata uygun yürütülmesi, gerektiği durumlarda veya yasal bir talep olması halinde yetkili kişi/kurum ve kuruluşlara bilgi verilmesi, ziyaretçilere misafir kullanıcı olarak internet ağına erişim verilebilmesi ve bilgi güvenliğinin sağlanabilmesi amaçlarıyla işlenmektedir.
İnternet erişim kayıtlarının tutulması ile kişisel veriler, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da kişisel veri işleme faaliyetinin açıkça öngörülmesi, İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik (Resmî Gazete Tarihi ve Sayısı: 11.04.2017, 30035) kapsamında hukuki yükümlülüklerimizin yerine getirilmesi ve ziyaretçi olarak tarafınıza internet erişimi sağlanarak tarafınıza bir erişim hakkı sağlanması hukuki sebeplerine dayalı olarak elektronik ortamda işlenmektedir.
Bu kapsamda işlenen kişisel veriler yasal süre olan iki yıl boyunca tutulmaktadır.
- c)Ziyaretçi giriş çıkış kayıtlarının tutulması
Kişilerin ziyaretçi olarak Şirket’e gelmeleri durumunda bazı kişisel verileri işlenmektedir.
Bu kişisel veriler, adı soyadı, çalıştığı firma adı, ziyaret sebebi ve ziyaret edilen kişi şeklindeki ziyaret bilgileridir. Bu bilgiler, yasal bir talep olması halinde hukuki yükümlülüğümüzün yerine getirilebilmesi için yetkili kurum ve kuruluşlarla paylaşılması haricinde Şirket dışı herhangi bir üçüncü kişiye açıklanmamaktadır.
Belirtilen kişisel veriler, faaliyetlerin mevzuata uygun yürütülmesi, ziyaretçi kayıtlarının oluşturulması ve takibi, fiziksel mekân güvenliğinin temini, Şirket demirbaşlarının, çalışanlarının, bina güvenliğinin temini, yetkili kişi/kurum ve kuruluşlara bilgi verilmesi amaçlarıyla işlenmektedir.
Ziyaretçi giriş çıkış kayıtlarının tutulması ile kişisel veriler, hukuki yükümlülüklerimizin yerine getirilmesi ve Şirket binaları ile çalışanlarının güvenliğinin sağlanmasında Şirket’in meşru menfaati olması hukuki sebeplerine dayalı olarak fiziki ortamda işlenmektedir.
Bu kapsamda işlenen kişisel veriler ziyaretin bitiminden itibaren altı ay boyunca saklanmaktadır.
2 İşe Alım Süreçlerinde Adayların Kişisel Verilerinin İşlenmesi
Aday olarak, yayınlamış olduğumuz bir ilana başvuruda bulunulması veya İŞKUR aday veri tabanı, kariyer siteleri gibi alanlara iş başvurusu için verilmiş bilgiler kapsamında işe alım süreçlerinin yürütülebilmesi amacıyla kişisel veri işlenebilmektedir.
Kişisel veriler, doğrudan sizin tarafınızdan Şirket’imize iletilebildiği gibi, aday başvuruları kariyer siteleri, İŞKUR aday veri tabanı, işe alım süreçlerinde destek aldığımız iş ortaklarımız aracılığıyla elektronik veya fiziki ortamlarda Şirkete iletilebilmektedir.
Bu kapsamda başvurulan pozisyona göre, başvuru anında ve işe alım görüşmelerinde, adı soyadı, iletişim bilgisi, askerlik durumu, cinsiyet, doğum tarihi, eğitim bilgisi, geçmiş iş deneyimleri, sahip olunan sertifikalar, ehliyet bilgisi, yabancı dil bilgisi, referanslar, kullanabildiği bilgisayar programları, katılım gösterdiği seminer ve kurslar, almış olduğu burslar ve gerçekleştirdiği projeler şeklinde aday tarafından özgeçmiş içerisinde yer verilen tüm bilgiler, çalışma tercihlerine ilişkin bilgiler, Şirket’te yapmayı düşündüğü işler, işe başlayabileceği en yakın tarih, ücret beklentisi, daha önce Şirket’te herhangi bir pozisyona başvuru yapıp yapmadığı, gece çalışma yapıp yapmayacağı bilgisi, hobileri, bir önceki işyerinden neden ayrıldığı bilgisi, Şirket’imizde çalışan herhangi bir yakının bulunup bulunmadığı bilgisi, seyahat engeli olup olmadığı bilgisi, Şirket’te çalışmayı tercih ettiği departmanlar şeklinde iş görüşmelerinde aday tarafından verilen tüm kişisel veriler işlenmektedir.
Bazı pozisyonlarla ilgili işe alım süreçlerinde sadece adayın fiziki olarak işe uygun olup olmadığını değerlendirmek amacıyla sağlık bilgisi ve söz konusu pozisyonda çalışmasına yasal olarak engel bir durum olup olmadığının belirlenebilmesi amacıyla ceza mahkumiyeti/sabıka kaydı bilgileri işlenebilmektedir. Bu veriler, yalnızca belirtilen amaçlarla işlenmekte olup; başkaca amaçlarla kullanılmamaktadır.
İşe alım süreçlerinde adayların kişisel verilerin işlenmesi, adayın başvuru hakkını kullanabilmesinin sağlanabilmesi ve Şirket’in faaliyetlerini devam ettirebilmesi için gerekli insan kaynaklarını oluşturmasında meşru menfaatinin bulunması hukuki sebeplerine dayanılarak gerçekleştirilmektedir. Bu hukuki sebeplerin bulunmadığı hallerde, adayın kişisel veri işleme faaliyetine açık rıza göstermesi halinde “açık rıza” hukuki sebebine dayalı olarak kişisel veri işlenmektedir.
3 Tedarikçi ve İş Ortağı Çalışanları ile Yetkililerin Kişisel Verilerinin İşlenmesi
Tüzel kişilere ait verilerin kişisel veri olarak kabul edilmemesi sebebiyle, bu veriler söz konusu Politika kapsamında yer almamaktadır. Ancak mal ve hizmet tedariki kapsamında hizmet alınan tedarikçi şirketler ile Şirket faaliyetlerinin/operasyonlarının yürütülebilmesi için iş ortaklığı yaptığımız iş ortakları ile grup şirketlerinin çalışanları ve yetkililerinin kişisel verileri olağan operasyonel süreçlerimiz kapsamında işlenmektedir.
Tedarikçi ve iş ortağı çalışanları ile yetkililerinin kişisel verileri, olağan operasyonel süreçlerin yürütülmesi kapsamında, mal ve hizmet tedarikinin sağlanması, Şirket ziyaretleri için gerektiği durumlarda konaklama ve ulaşım planlarının yapılabilmesi, organizasyon ve etkinlik yönetimi, iş sağlığı ve güvenliği süreçlerinin planlanması ve icrası, işe uygunluğun değerlendirilebilmesi, iş süreçlerini yürütebilmek amacıyla iletişim kurulması, iş faaliyetlerinin planlanması ve icrası, bayilerle olan iletişimin yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, ürün ve hizmetlerin satış süreçlerinin yürütülmesi, ürünlerin sevkiyat süreçlerinin yürütülmesi, ürünlerin ithalat ve ihracat süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, denetim, soruşturma ve istihbarat faaliyetlerinin planlanması ve icrası, tedarikçi araştırması ve teklif alma süreçlerinin yürütülmesi, tedarikçi kaydının yapılabilmesi için risk sorgulamalarının yapılması, tedarikçi ve iş ortakları ile ilgili raporlamaların yapılması, yetkili kurum ve kuruluşlara bilgi verilmesi, faaliyetlerin mevzuata uygun yürütülmesi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi amaçlarıyla işlenmektedir.
Tedarikçi ve iş ortakları ile sözleşme imzalanması süreçlerinin yürütülmesi kapsamında şirket imza sirkülerinde imza yetkililerine ait yer alan kişisel veriler de işlenmektedir.
- Kişisel Veri İşleme İlkeleri
Şirket, Kanun’a uygun bir şekilde kişisel verilerin toplandığı andan başlayarak, imha edildiği ana kadar kişisel veriler üzerinde gerçekleştirdiği tüm işlemlerde aşağıda belirtilen beş ana ilkeye uyum sağlayabilmek için çalışanlarını bilgilendirmekte ve gerekli tüm idari/teknik tedbirleri almaktadır:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu kapsamda Şirket olarak kişisel veri işlerken, mevzuata uygun şekilde ve iyi niyet kuralları çerçevesinde hareket edilmektedir. Bu kapsamda ilgili kişiler, ilgili kanallarda aydınlatma metinleri ile kişisel veri işleme faaliyetleri ile ilgili bilgilendirilerek, kişisel verilerin belirli açık ve meşru amaçlarla işlenmesi ve bu amaçlarla bağlantılı, sınırlı ve ölçülü olması ilkelerine uyumluluk sağlanmaktadır. Kişisel veriler, işleme amacı ortadan kalktığında silinmekte, yok edilmekte veya anonim hale getirilmektedir.
- Kişisel Veri İşleme Şartları
Kişisel veri işleme şartları Kanun’un 5. ve 6. maddelerinde yer almaktadır. Şirket, özel nitelikli olmayan kişisel verileri işlerken Kanun’un 5. maddesinde, özel nitelikli kişisel verileri işlerken de Kanun’un 6. maddesinde yer alan veri işleme şartlarını göz önünde bulundurmaktadır.
1 Özel Nitelikli Olmayan Kişisel Verilerin İşleme Şartları
Özel nitelikli olmayan kişisel verilerin işlenebilmesi için gereken şartlar Kanun’un 5. maddesinde aşağıdaki şekilde belirtilmektedir:
- Kanunlarda açıkça öngörülme,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için veri işleme faaliyetinin zorunlu olması,
- Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
- Veri işlemenin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Veri işlemenin Şirket’in meşru menfaatleri için zorunlu olması,
- Yukarıda belirtilen veri işleme şartlarından en az birinin bulunmadığı durumlarda ilgili kişinin açık rızasının bulunması.
Belirtilen veri işleme şartlarına ilişkin örnekler ise aşağıdaki tabloda yer almaktadır: | |
---|---|
Veri İşleme Şartı | Örnek |
Kanunlarda açıkça öngörülme | Çalışana ait özlük bilgilerinin İş Kanunu kapsamında tutulması. |
Fiili imkânsızlık | Bilinci kapalı bir hastanın kimlik bilgilerinin hastane sistemine işlenmesi. |
Sözleşmenin kurulması veya ifası | Satın alınan ürünün gönderilebilmesi için kişinin adres bilgilerinin kaydedilmesi. |
Veri sorumlusunun hukuki yükümlüğü | Mahkemeden istenilen bilgilerin paylaşılması. |
Alenileştirme | İletişime geçilebilmesi adına kişinin iletişim bilgilerini internet sitesinde yayınlaması. |
Hakkın tesisi, korunması, kullanılması | Misafir kullanıcılara internet erişimi sağlanabilmesi adına kullanıcı adı ve şifre bilgilerinin sisteme girilmesi. |
Meşru menfaat | Güvenlik amacıyla ziyaretçilerin adı ve soyadı bilgilerinin kontrol edilerek bir deftere kaydedilmesi. |
Bunlardan en az birinin olmadığı durumlarda kişisel verilerin işlenebilmesi için ilgili kişilerden açık rızaları alınmaktadır.
2 Özel Nitelikli Olan Kişisel Verilerin İşleme Şartları
Özel nitelikli kişisel veriler Kanun’da ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inanç, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler olarak belirtilmektedir. Söz konusu özel nitelikli kişisel verilerin işlenebilmesi için gereken şartlar Kanun’un 6. maddesinde aşağıdaki şekilde belirtilmektedir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli veriler için kanunda açıkça öngörülme,
- Sağlık ve cinsel hayata ilişkin bilgiler için ise, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarından biri ile bu verilerin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
- Yukarıda belirtilen veri işleme şartlarından en az birinin bulunmadığı durumlarda ilgili kişinin açık rızasının bulunması.
Belirtilen veri işleme şartlarına ilişkin örnekler ise aşağıdaki tabloda yer almaktadır: | |
---|---|
Veri İşleme Şartı | Örnek |
Kanunlarda açıkça öngörülme | Çalışanın sendika bilgisinin özlük dosyasında ilgili mevzuat gereği tutulması. |
Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarından biri ile bu verilerin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi | Periyodik sağlık raporlarının işyeri hekimi tarafından tutulması. |
Belirtilen veri işleme şartlarından birinin olmadığı durumlarda kişisel verilerin işlenebilmesi için ilgili kişilerden açık rızaları alınmaktadır.
- Kişisel Veri Paylaşımı
Şirket tarafından işlenen kişisel veriler Kanun’da belirtilen esaslar çerçevesinde üçüncü kişilere aktarılabilmektedir. Bu kapsamda kişisel veriler, aşağıda belirtilen taraflarla ve amaçlarla yurt içinde paylaşılmaktadır:
- Raporlama süreçlerinin yürütülebilmesi, teklif ve sözleşme süreçlerinin takibi ile yönetimi, ürün ve hizmetlerin sipariş, üretim, stok ve operasyon süreçlerinin yürütülmesi, lojistik faaliyetlerin takibi ve yürütülmesi, potansiyel iş ortakları ve tedarikçilerin seçme-değerlendirme süreçlerinin yürütülmesi ve bu kapsamda ön araştırma yapılması, denetim, hukuk ve yasal uyum süreçlerinin takibi ve icrası amaçlarıyla UGM ile,
- Şirket’e mal ve hizmet alımı, tedarik süreçlerinin yürütülmesi amaçlarıyla mal ve hizmet alınan danışmanlarla, tedarikçilerle ve iş ortaklarıyla,
- Faaliyetlerin mevzuata uygun yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, yetkili kişi/kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kanunen yetkili kamu kurum ve kuruluşları ile kişilerle.
Söz konusu kişisel veri paylaşımları çerçevesinde kişisel veriler, bir hakkın tesisi, korunması, kullanılması, veri sorumlusunun hukuki yükümlülüğü, meşru menfaat hukuki sebeplerinden bir veya birkaçına dayalı olarak belirtilen taraflarla paylaşılmaktadır.
- Kişisel Verilerin Saklanması ve Veri Güvenliği İçin Alınan Tedbirler
Kişisel verileriniz Şirket tarafından aşağıda yer alan süreler doğrultusunda saklanabilmektedir:
- Yürürlükte olan ve Şirket’in tabi olduğu tüm mevzuatlarda öngörülen süreler;
- Kişisel verilerinizin işleme amaçları ortadan kalkana kadar;
- Ürün ve hizmetlerimizi sunabilmemiz için gerekli olan süre boyunca.
Bu sürelerin hiçbirinin kişisel veri işleme faaliyetini devam ettirebilmek için mevcut olmadığı durumda, kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Bununla birlikte Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin güvenli bir şekilde muhafazasını sağlamak adına gerekli teknik ve idari önlemleri almaktadır.
Aşağıda Şirket tarafından veri güvenliğine ilişkin alınan başlıca teknik ve idari önlemleri bulabilirsiniz:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarına kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Siber güvenlik önlemleri alınmış olup, uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
- Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Burada belirtilenler dışında da kişisel verilerin niteliği ve ne derece gizlilik gerektirdiği hususları dikkate alınarak özel ek teknik ve idari tedbirler de Şirket tarafından alınmaktadır.
- Kişisel Verilere İlişkin Haklar
Şirket, kişisel verilerinizin işlenmesine ilişkin veri sorumlusu sıfatına sahiptir. Bu sebeple, ilgili kişiler kişisel verilerinin işlenmesine ilişkin Şirket’e aşağıda yer alan haklarına ilişkin başvurabilirler:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme – Kişisel verilerinizi işleyip işlemediğimiz hakkında bizden bilgi alabilirsiniz.
- Kişisel verilerinizi işliyor isek buna ilişkin bilgi talep etme – Kişisel verilerinizi nasıl işlediğimiz hakkında bilgi alma hakkına sahipsiniz.
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme – Kişisel verilerinizi elde edilme amacı doğrultusunda kullanıp kullanmadığımız hakkında bilgi alma hakkına sahipsiniz.
- Yurt içinde veya yurt dışında kişisel verilerinizi -var ise- aktardığımız üçüncü kişileri bilme – Kişisel verilerinizi aktardığımız üçüncü kişiler var ise bunlar hakkında bizden bilgi alabilirsiniz.
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin -var ise- kişisel verileri aktardığımız üçüncü kişilere bildirmemizi isteme – Eksik veya yanlış işlediğimizi düşündüğünüz kişisel verilerin düzeltilmesi için bize başvurabilirsiniz. Bu durumda, isteğiniz doğrultusunda verilerinizi güncelleriz. Kişisel verileri üçüncü kişilere aktardığımız durumlarda verilerin düzeltilmesi için üçüncü kişileri de bilgilendiririz.
- Kanun ve ilgili mevzuata uygun olarak işlenmiş olmamıza rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin -var ise- kişisel verilerinizi aktardığımız üçüncü kişilere bildirmemizi isteme – Kişisel verilerinizin silinmesini veya yok edilmesini isteme hakkına sahipsiniz. Kişisel verilerinizi işlememizi gerektiren sebebin ortadan kalktığı durumlarda lütfen bizi bilgilendiriniz. Bu talebinizi yerine getiremeyeceğimiz durumlarda, nedenine ilişkin (örneğin kişisel verilerinizi saklamamızı gerektiren hukuki bir yükümlülüğümüzün olması gibi) sizi bilgilendiriyor olacağız.
- İşlediğimiz kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıktığı durumlar var ise bunlara itiraz etme – Kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edildiği durumlarda ortayan çıkan sonucun aleyhinize olduğunu düşünüyorsanız, bu konuda bize başvurma hakkına sahipsiniz. İtirazının olumlu değerlendirilmesi üzerine ilgili sonucun düzeltilmesini sağlayacağız.
- Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararınızın giderilmesini talep etme – Kişisel verilerinizin hukuka aykırı olarak işlenmesi sebebiyle bir zarara uğramanız halinde, zararınızın giderilmesini talep etme hakkına sahipsiniz.
Haklarınızın kapsamı hakkında daha fazla bilgi almak ve haklarınızı kullanmak için her zaman bizimle iletişime geçebilirsiniz. Haklarınıza ilişkin talebinizi bize iletmeniz halinde, talebinizin niteliğini göz önünde bulundurarak en kısa sürede ve en geç otuz gün içerisinde başvurunuzu sonuçlandırıyor olacağız. Aşağıdaki link ile bu süreci başlatabilirisiniz.
https://ugm.com.tr/kvkk-basvuru-formu
Bu Politika kişisel verilerinizin işlenmesine ilişkin tüm konularda ilgili kişileri bilgilendirmek amacıyla hazırlanmıştır. Bununla birlikte, bu Politika kapsamında kişisel veriler ile ilgili tüm soruların şeffaf ve anlaşılır bir şekilde yanıtlanması Şirket’in genel prensiplerindendir. Bu nedenle Politika’ya ilişkin sorularınız olur ise kvkk@ugm.com.tr mail gönderebilirisiniz. |