KİŞİSEL VERİLERİN KORUNMASI
1-FİRMA SUNUMU
ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş, inşaat sektöründe faaliyet gösteren bir firma olup ağırlık olarak da taahhüt ve gayrimenkul projeleri yapmaktadır. Türkiye’nin bir çok ilinde yapımı tamamlanan ve devam eden çok sayıda okul, cami, sosyal tesis, toplu yaşam alanı ,konut projesi bulunmaktadır.
ISO 9001:2015 Kalite Yönetim Sistemi, ISO 14001:2015 Çevre Yönetim Sistemi, OHSAS 45001:2018 İş Sağlığı ve Güvenliği Yönetim Sistemi ve ISO 10002:2014 Müşteri Memnuniyeti sistemleri gibi belgelere de sahip olan firmamız kaliteli işler yapmanın yanında temas ettiği kişilerin de kendini her anlamda güvende hissedeceği bir yer olmayı önemsemektedir.
Gerek faaliyet gösterdiğimiz alanlarda gerek faaliyetlerimizi doğrudan veya dolaylı olarak ilgilendiren her türlü işlemde bir taraftan işin ve faaliyetin teknik /idari/hukuki gereklerini yerine getirebilmek diğer yandan daha iyi hizmet sunup ticaret hacmimizi artırmak ve teknolojinin gereklerine uygun hareket edebilmek için temas ettiğimiz veri sahiplerinin kişisel verilerini işlememiz de kaçınılmaz hale gelmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu olan firmamız ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş, herhangi bir sebeple temas ettiği , akdi veya kanuni ilişki içinde bulunduğu kişilere ait her türlü kişisel verinin korunması ve güvenliğinin sağlanması konusunda da veri sahiplerinin kendilerini güvende hissetmelerini sağlayacak bilinç ve farkındalık ile hareket etmektedir.
Firmamız 6698 sayılı KVK Kanunu , Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumluları Sicili Hakkında Yönetmelik ve diğer ilgili mevzuat hükümlerine, Kişisel Verileri Koruma Kurul kararlarına uygun şekilde kişisel verilerin işlenip muhafaza edilmesi için mevcut teknolojik imkanları da kullanarak gerekli teknik ve idari tedbirleri almaktadır.
Yine süreç içinde rol alan kişilerin görev ve sorumlulukları açık ve net bir şekilde belirtilmek sureti ile iş bu politikada yer alan hususların yerine getirilmesi konusunda gerekli takip ve sürdürülebilirliğinin sağlanması, çalışanlarımızın da kişisel verilerin korunması hususunda yüksek farkındalık ve hassasiyet içinde görevlerini yerine getirmesi amaçlanmaktadır. Her alanda olduğu gibi kişisel verilerin işlenmesi hususunda da şeffaf ve hesap verilebilirlik ilkeleri çerçevesinde hareket edilmesi temel düsturumuzdur.
2– POLİTİKANIN KAPSAMI-VERİ SAHİBİ KATEGORİLERİ
2.1) İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”); ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş, (“Firma ”) faaliyet gösterdiği alan dâhilinde kişisel veri işlemesini gerektirecek herhangi bir sürece dâhil olan ve başta aşağıda belirtilen veri sahibi kategorileri olmak üzere firmamız ile herhangi bir şekilde ve sebeple temasa geçen tüm 3. gerçek kişileri kapsamaktadır.
Diğer yandan bu politika firmamızın 6698 sayılı KVK Kanuna uygun şekilde faaliyetlerini yürütmesi için çalışan, taşeron , çözüm ortağı , şirket yetkilisi gibi faaliyet süreçlerimizde yer alan /alacak herkesin uyması gereken hususları da kapsamaktadır.
POLİTİKA KAPSAMINA YER ALAN VERİ SAHİBİ KATEGORİLERİ
AÇIKLAMA –ÖRNEKLEME
Firma Çalışanları
:
Hâlihazırda çalışan ve daha önce çalışıp da herhangi bir sebeple hizmet akdi sona ermiş olan kişiler gibi
Çalışan Adayı
:
Firmamıza fiziki veya elektronik ortamda iş başvuru formu, CV gönderen kişiler ile kariyer siteleri vasıtası ile özgeçmiş bilgilerine ulaşılan kişiler gibi
Stajyer / Stajyer Adayı
Yasal yükümlülük ya da ihtiyari şekilde firmamızda staj yapmak üzere başvuran veya staj yapan öğrenciler gibi
Stajyer/Çalışan /Çalışan Adayı Yakını
:
Gerek iş başvuru formları gerek özlük dosyası içinde yer alan belgeler vasıtası ile firmamıza verileri bildirilen stajyer /çalışan/çalışan adayı yakınları gibi
Firma Yetkilileri
:
Firmada temsil yetkisi olan kişiler gibi
Ürün ve /veya Hizmet Alıcısı
:
Müşteri , kat malikleri, kiracı gibi
Potansiyel Ürün ve/veya Hizmet Alıcısı
:
Firmamız tarafından yapılan –yapımı devam eden projeleri görmeye gelen , firmamızdan sözlü ya da elektronik ortamda(telefon ,mail , sosyal medya vs.) temasa geçmek suretiyle teklif alan kişiler gibi
Tedarikçi adayları
:
Firmamıza herhangi bir ürün veya hizmete ilişkin pazarlama amacı ile fiziken ve/veya elektronik ortamda teklif sunan kişiler gibi
Tedarikçi
:
Herhangi bir ürün veya hizmet alınan tüm kişiler (alt yüklenici /Taşeron ,arsa sahibi , danışman, mali müşavir, kiraya veren, , tedarikçi yetkili ve/veya hissedarları, eğitmen, işyeri hekimi, iş güvenliği uzmanı, nakliyeci, banka, sigorta şirketleri, tercüman , avukat ,taşımacılar ,iş makinesi temin edilen kişiler ,teknoloji firmaları , reklam ajansları, teknik servis ) gibi
Veli /Vasi /Temsilci
:
Kanuni temsilci, veli, vasi, kayyım, yasal danışman, vekil gibi
Ziyaretçi
:
Firmamıza ait idari bina, şantiye ve diğer lokasyonlara gelen kişiler, firmamız internet sitesini, sosyal medya adreslerini ziyaret eden kişiler gibi
Yetkili Kurum/ Kuruluş/ Meslek Birliği , Özel Hukuk Gerçek veya Tüzel Kişi Çalışanları
:
Resmi Kurum Kuruluşlar, Odalar, Borsalar gibi Meslek Birlikleri TOKİ , Belediye ile yapılan görüşme ve yazışmalar, alınan raporlar neticesinde verileri alınan gerçek kişiler, tedarikçi çalışanları gibi
Referans
:
Çalışan, çalışan adayı tarafından referans bilgisi alabilmemiz için bildirilen önceki işveren yetkili veya çalışanları veya diğer 3. kişiler gibi
Kefil
:
Firmamıza borçlu bir kişinin borcunu ödemeyi Kefalet sözleşmesi , kıymetli evrak gibi herhangi bir belge ile üstlenmiş kişiler
Hamil /Ciranta
:
Firmamız kayıtlarındaki kıymetli evraklarda yer alan kişiler gibi
Diğer -3. Kişiler
:
Kaza tespit tutanaklarında yer alan kişiler ,temlik alacaklısı , müteahhitliği yapılan kooperatif üyeleri gibi
-
İşbu Politika; firmamızın her türlü kişisel veri üzerinde uygulayacağı tüm işleme faaliyetlerini (Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsayacaktır.
-
İşbu Politikanın ilgili maddeleri mevzuatta belirtilen emredici hususlara aykırılık teşkil etmediği sürece özel nitelikli kişisel veriler hakkında da uygulanacaktır. Özel nitelikli kişisel veriler ile ilgili ilave olarak uyulması gereken hususlar ayrıca da belirtilmiştir.
-
İş bu politikada belirtilen hususlar ile ilgili yeni bir mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, firmamız politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır. Ancak herhangi bir güncelleme yapılmasa dahi maddeler güncellenen mevzuat hükümlerine uygun şekilde yorumlanacak ve uygulanacaktır.
3– POLİTİKANIN AMACI VE İLKELERİ
3.1) İşbu Politika, 6698 sayılı Yasada tanımlanan kişisel verilerin firmamız işleyişi ve işlemleri esnasında işlenmesinde başta özel hayatın gizliliği olmak üzere veri sahibi kişilerin temel hak ve özgürlüklerini korumak ve koruma için yapılan iş ve işlemleri açıklamak amacıyla düzenlenmiştir.
3.2) İş bu politika ile gerek veri sorumlusu olarak firmamızın gerek veri işleyen sıfatı ile hareket edecek gerçek ve tüzel kişilerin, veri koruma sorumlusu/biriminin, Veri Saklama ve imha süreçlerinde yer alan kişilerin her türlü veri işleme faaliyeti ile ilgili yükümlülükleri ve uyacakları usul ve esaslar da belirlenmiş olmaktadır.
-
Firmamız VERBİS’e kayıt yükümlülüğü de olan bir Veri Sorumlusu olup VERBİS sisteminde firmamız ile ilgili belirtilen hususlara dair ihtiyaç duymaları halinde ilgili veri sahipleri gerekli ve ayrıntılı bilgiye bu politika vasıtası ile de sahip olabileceklerdir.
-
Firma faaliyetlerimiz ile ilgili olarak temas ettiğimiz veri sahiplerinin kişisel verilerinin işlenmesi, korunması ve imhası dâhil tüm süreçlerde 6698 sayılı Yasanın 4 üncü maddesindeki genel ilkelere uyulacaktır. Bu ilkeler şu şekildedir;
-
Hukuka ve dürüstlük kurallarına uygun olma
-
Doğru ve gerektiğinde güncel olma
-
Belirli, açık ve meşru amaçlar için işlenme
-
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
-
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
-
Firmamız işbu Politikayı hazırlamış olsa dahi Yönetmelik, Kanun vs. ilgili mevzuata ve bu mevzuatta meydana gelebilecek her türlü değişikliğe, Kurul tarafından alınacak kararlara uygun hareket edecek ve kendisini hukuka ve teknolojinin gereklerine uygun şekilde güncelleyecektir.
-
Kişisel verilerin firmamız adına ve firmamız tarafından yapılan yetkilendirmeye istinaden başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, belirtilen bu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğumuzun bilinci ile hareket edilerek gerekli takip ve kontrol yapılacak ve buna uygun akdi ilişkiler tesis edilecektir.
-
Firmamız mevzuat ve iş bu politika hükümlerinin uygulanmasını sağlamak, ülke genelinde de farkındalığı henüz istenen seviyede olmayan kişisel verilerin korunması ile ilgili farkındalık düzeyinin başta firmamız yetkili ve çalışanları olmak üzere temas ettiğimiz tüm gerçek ve tüzel kişiler nezdinde artırılması amacıyla gerekli çalışma ve denetimleri yapacak veya yaptıracaktır.
-
Firmamız tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin işlenmesi, aktarılması, korunması sırasında mevzuata ve İşbu Politikaya uygun hareket edecektir.
-
İş bu politika içinde geçen ibareler için 6698 sayılı Yasa ve bu yasa ile ilgili ikincil mevzuatta yer alan tanımlar esas alınmıştır.
4– KİŞİSEL VERİLERİN İŞLENMESİ
4.1 ) KİŞİSEL VERİLERİN İŞLENMESİ:
Hayatın doğal akışı içerisinde ve faaliyet alanımızın gereği olarak temas ettiğimiz gerçek kişilerin kişisel verilerinin işlenmesi bir gereklilik olmakla birlikte bu işlemler gelişigüzel ve sınırsız bir biçimde değil, belirli kural ve ilkelere uyularak gerçekleştirilmektedir.
Kişisel veriler 6698 sayılı KVKK’nın 4. Maddesinde belirtilen genel ilkeler uyarınca Kanun’un 5. Maddesine uygun olarak işlenir. Buna göre; Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenmemekte ancak;
-
Kanunlarda açıkça öngörülmesi,
-
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
-
Firmamızın hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
-
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
-
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
-
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, firmamızın meşru menfaatleri için veri işlenmesinin zorunlu olması halinde kişisel veri sahibinin açık rızası olmaksızın işlenmesi mümkündür.
Kişisel veri işleme faaliyetimiz, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden ayrıca açık rıza alınması şartı aranmamaktadır.
4.2 ) ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ:
Özel nitelikli kişisel veri olarak kabul edilen kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri 6698 sayılı KVKK’nın 4. Maddesinde belirtilen genel ilkeler uyarınca ve Kanun’un 6. Maddesinde uygun olarak işlenir.
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
-
Kamu sağlığının korunması,
-
Koruyucu hekimlik,
-
Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
-
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Yasal gereklilik olmadığı sürece de özel nitelikte kişisel verileri işlememekte veya işlememiz gerektiğinde gerekli ve yeterli koruma tedbirleri ve konuya ilişkin veri sahibinin açık rızası da alınmaktadır.
Özel nitelikli kişisel veri olarak kabul edilen;
-Din bilgisi verisine firmamızın herhangi bir işlem safhasında ihtiyacı hiçbir şekilde olmamakla birlikte kurum kuruluşlara gerekli bilgilerin verilmesi, tapu devir işlemlerinin yapılabilmesi gibi yasal işlem ve bildirimlerin yapılması amacıyla kimlik fotokopisi alınması gereken hallerde zorunlu ve dolaylı olarak alınmaktadır. Açık rıza bulunmayan veya alınamayacak hallerde kişilere ait eski kimliklerde yer alan din ve kan grubu bilgilerinin üzeri okunmayacak şekilde çizilerek karartılma yoluna gidilecektir. 6698 sayılı yasa öncesinde alınmış olan fotokopilerde de bu işlemler gerçekleştirilmektedir.
-Sağlık verileri , faaliyet alanımızın riskleri nedeni ile çalışanlarımızdan 6331 sayılı İş Sağlığı ve Güvenliği Yasası, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 4857 sayılı İş Kanunu ve bu kanunlara bağlı ikincil mevzuatlar gereği ortaya çıkan yasal zorunluluklar, GDPR madde 9/2/b hükmü doğrultusunda veri sahibinin istihdam, sosyal güvenlik ve İş güvenliği çerçevesindeki hak ve yükümlülüklerinin gerçekleştirilmesi amacıyla ve yasal zorunluluk nedeni ile alınmakta ve yine mevzuatta belirtilen süreler dâhilinde saklanmaktadır.
- Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler firma yetkilileri için firma adına yapılacak iş ve işlemlerde yetkili kurum ve kuruluşlara, ihale makamlarına, firmayı temsilen yer alınacak meslek odası veya birlikleri gibi kuruluşlara mevzuatta belirtilen zorunluluklar kapsamında ibraz amacıyla, çalışanlar için ise İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi, İnsan Kaynakları Süreçlerinin Planlanması, Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi amaçları ile işlenmekte adli sicilden silinmiş bir sabıka kaydının bildirilmesi de istenmemektedir. İşlenen bu veriler ise bu amaçlar harici kullanılmamaktadır.
- Biyometrik veriler, çalışanlarımızdan çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, denetim/ etik faaliyetlerinin yürütülmesi, erişim yetkilerinin yürütülmesi, fiziksel mekan güvenliğinin temini, yetkili kişi kurum kuruluşlara bilgi verilmesi amacıyla işlenmektedir.
5- FİRMAMIZ TARAFINDAN İŞLENEN VERİ KATEGORİLERİ
Firmamızda 6698 sayılı Kanun çerçevesinde işlemeye tabi tutulan veri kategorileri ile bu veri kategorileri içine aldığımız veri çeşitlerine dair açıklamalarımız aşağıda belirtilmiştir;
Sıra No
Veri Kate
gorisi
Veri Çeşitleri
1
Kimlik
Ad soyad, anne - baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra numarası, TC kimlik numarası, pasaport numarası, fotoğraf, ehliyet, kimlik fotokopisi, imza, plaka numarası, vergi numarası, vergi dairesi gibi
2
İletişim
İkamet Adresi, işyeri adresi, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon numarası, fax numarası, sosyal medya hesabı gibi
3
Lokasyon
Kişinin bulunduğu yerin konum bilgisi (GPS bilgileri gibi)
4
Özlük
Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, fazla çalışma bilgileri, kıdem bilgileri, aile bildirim formu, askerlik bilgileri, SGK bilgileri, iş kazası bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları, tutanaklar, çalışma belgesi, izin belgeleri, BES , AGİ bilgileri , , maaş kesintileri , zimmet bilgileri gibi
5
Hukuki İşlem
Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler, yasal hak ve alacak takip bilgisi gibi
6
Müşteri İşlem
Fatura, senet, çek bilgileri,daire satış bilgileri , Erkut destek servis bilgisi, talep bilgisi, mail order formları, teslim belgesi, teknik servis formu, teminat ,kefalet , ticaret sicil gazetesi bilgileri , müşteri bilgi formu , portföy kaynağı , portföy durumu gibi
7
Fiziksel Mekân Güvenliği
Çalışan ve zi
yaretçilerin giriş çıkış kayıt bilgileri, ziyaretçi defter bilgileri, kamera kayıtları gibi
8
İşlem Güvenliği
IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri, kimlik doğrulama bilgileri, IP adresi izleme, Mac ID, dijital iz gibi
9
Risk Yönetimi
Ticari, teknik, idari risklerin yönetilmesi için genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler (Findeks sorgusu, MERNİS sorgusu, Ticari Sicil Sorgusu, Ambargo Sorgusu, Sigorta Poliçe Sorgulamaları, Muhtelif risklere dair sigorta işlemleri, log kayıtları, yetki sorgulamaları, deney –test-kontrol raporları, denetim –teftiş, tatbikat raporları, gelen-giden evrak kayıt verileri gibi)
10
Finans
Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri, banka hesap bilgileri, vergi levhası, gelir bilgisi, kredi kartı bilgileri, ödeme geçmişine dair bilgiler, tapu bilgileri, envanter verileri, kantar fişleri, akaryakıt fişleri, gibi
11
Mesleki Deneyim
Diploma bilgileri, sicil bilgileri, okul bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, unvan, iş bitirme belgesi, kariyer gelişimi için alınan her türlü eğitim, emeklilik, yabancı dil bilgisi, operatör belgesi , sürücülük bilgisi gibi her türlü sertifika bilgileri
12
Görsel ve İşitsel Kayıtlar
Fotoğraf, video vs. gibi görsel ve işitsel kayıtlar
13
Din Verisi
Dini aidiyetine ilişkin bilgiler
14
Sağlık Bilgileri
Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri, işitme testi, ağır ve tehlikeli işlerde çalışılabileceğine dair rapor , periyodik rapor , sürekli ve geçici iş göremezlik gibi
15
Ceza Mahkûmiyeti Ve Güvenlik Tedbi
rleri
Adli Sicil Kaydı gibi ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi
16
Kurumsal İlişki ve İtibar Yönetimi Süreçlerine da
r veriler
Kişilerden gelen talep/şikayet /iletişim form/beğeni/yorum verileri, anket verileri, itibar yönetimi için işlenen veriler, firma faaliyetleri sosyal sorumluluk projeleri ile ilgili haber ve duyuru amaçlı internet sitesinde , sosyal medya adreslerinde işlenen görsel ve işitsel veriler de dahil her türlü veri
17
Seyahat
Verisi
Uçuş bilgisi, uçuş kartı, tur rotası, konaklama verisi, seyahat verisi
18
Biyometrik Veri
Yetkili personelin erişimini sağlamak ve personel devam takibi için alınan parmak izi, yüz tarama verisi
6- VERİ SAHİBİ KATEGORİLERİ İLE VERİ KATEGORİLERİNİN VE İŞLEME AMAÇLARININ İLİŞKİLENDİRİLMESİ
İş bu politikamızda belirlemeler yapılırken veri sahibi kategorisi ile esas temas amaçları dikkate alınarak veri kategorileri belirlenmiştir. Elbette bir veri sahibi kategorisinde yer alan kişi aynı anda veya farklı anlarda farklı veri sahibi kategorisine girebilecek şekilde firmamız ile temasa geçebilir. Örneğin; taşeron ya da potansiyel müşteri olan bir kişinin firmamızı ziyaret etmesi durumunda ziyaretçi kategorisi için belirtilen verileri de işlenmiş olacaktır.
POLİTİKA KAPSAMINA YER ALAN VERİ SAHİBİ KATEGORİLERİ
İŞLENEN VERİ KATEGORİLERİ
KİŞİSEL VERİ TOPLAMA VE İŞLEME AMAÇLARI
Firma Çalışanları
Kimlik, İletişim, Lokasyon Özlük, Hukuki İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Risk Yönetimi, Finans, Mesleki Deneyim, Görsel İşitsel kayıtlar, Sağlık, Ceza Mahkûmiyeti ve Güvenlik Tedbi
rleri, Seyahat, Biyometrik, Kurumsal iletişim ve itibar yönetimi
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı
Yükümlülüklerin Yerine Getirilmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Fiziksel Mekan Güvenliğinin Temini
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İç Denetim/ Soruşturma / İstihbarat
Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin
Yürütülmesi
Performans Değerlendirme Süreçlerinin Yürütülmesi
İhalelere katılım gibi yatırım süreçlerinin yürütülmesi
Lojistik Faaliyetlerinin Yürütülmesi
Organizasyon Etkinlik Yönetimi
Risk Yönetimi Süreçlerinin Yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Taşınır Mal Ve Kaynakların Güvenliğinin Temini
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
Ücret Politikasının Yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yetenek /Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
Yetkili kişi kurum ve kuruluşlara bilgi verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
Ziyaretçi Kayıtlarının Oluşturulması,
Kurumsal ilişki ve itibar yönetimi süreçlerinin yürütülmesi ve icrası
Eski kimliklerde yer alması nedeniyle kimlik fotokopisi alınması gereken hallerde dolaylı ve zorunlu olarak işlenmesinin gerekmesi
Stajyer / Stajyer Adayı
Kimlik, İletişim, Finans, Mesleki Deneyim, Özlük, Sağlık, Fiziki Mekan Güvenliği, Görsel-işitsel kayıt,
Stajyerler için mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Yetkili kişi kurum ve kuruluşlara bilgi verilmesi
Sözleşme Süreçlerinin Yürütülmesi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İletişim Faaliyetlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Stajyer Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Eski kimliklerde yer alması nedeniyle kimlik fotokopisi alınması gereken hallerde dolaylı ve zorunlu olarak işlenmesinin gerekmesi
Veri sorumlusu operasyonlarının güvenliğinin temini
Fiziksel Mekan Güvenliğinin Temini
Çalışan Adayı
Kimlik, İletişim, Mesleki Deneyim, Görsel Kayıtlar,
Çalışan adaylarının başvuru süreçlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, iç denetim/ soruşturma/ istihbarat faaliyetlerinin yürütülmesi,
Çalışan Yakını
Kimlik, Mesleki Deneyim, İletişim, Sağlık Görsel İşitsel Kayıtlar
Acil durum yönetimi süreçlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, yetkili kişi/ kurum/ kuruluşlara bilgi verilmesi, faaliyetlerin mevzuata uygun olarak yürütülmesi, Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
Firma Yetkilileri
Kimlik, İletişim, İşlem Güvenliği, Finans, Mesleki Deneyim, Görsel işitsel Kayıtlar, Ceza Mahkûmiyeti Ve Güvenlik Tedbi
rleri, Sağlık, Seyahat
Yetkili kişi kurum ve kuruluşlara bilgi verilmesi
Yönetim Faaliyetlerinin Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Yatırım süreçlerinin yürütülmesi,
İş Faaliyetlerinin Yürütülmesi / Denetimi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Acil Durum Yönetimi Süreçlerinin Yürütülmesi, Görevlendirme Süreçlerinin Yürütülmesi,
Ürün ve /veya Hizmet Alıcısı
Kimlik, İletişim, Müşteri İşlem, Mesleki Deneyim, Finans, İşlem Güvenliği, Risk Yönetimi, Kurumsal İletişim ve İtibar Yönetimi
Faaliyetlerin mevzuata uygun yürütülmesi, veri sorumlusu operasyonlarının güvenliğinin temini, yetkili kişi kurum kuruluşlara bilgi verilmesi, iş faaliyetlerinin yürütülmesi / denetimi, Finans ve Muhasebe İşlemlerinin Yürütülmesi, İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi, İletişim Faaliyetlerinin Yürütülmesi, Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi, Talep / Şikayetlerin Takibi, Mal-Hizmet satış süreçlerinin yürütülmesi, Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi, Mal/ hizmet satış sonrası destek hizmetlerinin yürütülmesi, İç Denetim / Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi, Firma/ürün/hizmetlere bağlılık süreçlerinin yürütülmesi, Organizasyon ve Etkinlik Yönetimi, Ürün ve Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi, Pazarlama Analiz Çalışmalarının Yürütülmesi, Risk Yönetimi Süreçlerinin Yürütülmesi, Faaliyetlerin mevzuata uygun yürütülmesi, erişim yetkilerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, Reklam Kampanya /Promosyon Süreçlerinin Yürütülmesi , Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Potansiyel Ürün ve/veya Hizmet Alıcısı
Kimlik , İletişim , Mesleki Deneyim ,
Pazarlama Analiz Çalışmalarının Yürütülmesi , Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi, Ürün ve Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi, Reklam Kampanya /Promosyon Süreçlerinin Yürütülmesi
Tedarikçi adayları
Kimlik, İletişim, Mesleki Deneyim, Finans, Risk Yönetimi
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi, Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi, Risk yönetimi süreçlerinin yürütülmesi,
Tedarikçi /Taşeron
Kimlik, İletişim, Mesleki Deneyim, Finans, Görsel İşitsel Kayıtlar, Risk Yönetimi, Hukuki İşlem, Seyahat Verisi Kurumsal iletişim ve itibar yönetimi,
İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
denetim/ etik faaliyetlerinin yürütülmesi,
Yetkili kişi kurum kuruluşlara bilgi verilmesi,
Faaliyetlerin mevzuata uygun olarak yürütülmesi,
eğitim faaliyetlerinin yürütülmesi, yetenek kariyer gelişimi faaliyetlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, Sözleşme süreçlerinin yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, acil durum yönetimi süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, mal-hizmet satın alım süreçlerinin yürütülmesi, tedarik zinciri yönetimi süreçlerinin yürütülmesi, taşınır mal ve kaynakların güvenliğinin temini, Performans değerlendirme süreçlerinin yürütülmesi, ,veri sorumlusu operasyonlarının güvenliğinin temini, mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi, Mal /hizmet kiralama süreçlerinin yürütülmesi, Kurumsal İletişim faaliyetlerinin planlanması ve icrası, lojistik faaliyetlerin yürütülmesi, iş faaliyetlerinin yürütülmesi/denetimi, İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi, İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,
Bilgi Güvenliği Süreçlerinin Yürütülmesi , yasal yükümlülüklerin yerine getirilmesi
Hukuk işlerinin Takibi ve yürütülmesi, Saklama ve arşiv faaliyetlerinin yürütülmesi , talep / şikayetlerin takibi, yapılacak işlemlerin firma prosedürlerimize /mevzuat hükümlerine uygun olması için gereken operasyonel faaliyetlerin yürütülmesi , uzmanlık gerektiren konularda hizmet alınabilmesi ve/veya teknoloji hizmeti alınması maksadıyla konusunda uzman kuruluşların faydalarının şirket işleyişine dahil edilmesi ve bu faydaların iş ortaklarına , tedarikçilerimize sunulması, şirket içi raporlama, her türlü pazarlama ve reklam faaliyetlerinin yürütülebilmesi, Firma ticari güvenilirliğinin sağlanabilmesi , Firmamızın ve iş ortaklarının hukuki, ticari ve fiziki güvenliğinin temini amaçları için işlenmektedir
Veli /Vasi /Temsilci
Kimlik, İletişim
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi, Hukuk İşlerinin Takibi Ve Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi
Ziyaretçi
Kimlik, İletişim, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Görsel İşitsel Kayıtlar,
Fiziksel Mekan Güvenliğinin Temini, Acil Durum Yönetimi Süreçlerinin Yürütülmesi, Bilgi Güvenliği Süreçlerinin Yürütülmesi, Denetim / Etik Faaliyetlerinin Yürütülmesi, Faaliyetlerin Mevzuata Uygun Yürütülmesi, Erişim Yetkilerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, Taşınır Mal Ve Kaynakların Güvenliğinin Temini, Veri Sorumlusu Operasyonlarının Güvenliğinin Temini, Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi, Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi, Kurumsal İlişki ve İtibar Yönetimi Süreçlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, iş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi, talep ve şikayetlerin takibi
Yetkili Kurum /Kuruluş/Meslek Birliği ,Özel Hukuk Gerçek veya Tüzel Kişi çalışanları
Kimlik, İletişim, Mesleki Deneyim
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi, Veri Sorumlusu Operasyonlarının Güvenliğinin Temini, Acil Durum Yönetimi Süreçlerinin Yürütülmesi, Bilgi Güvenliği Süreçlerinin Yürütülmesi, Erişim Yetkilerinin Yürütülmesi, Denetim / Etik Faaliyetlerinin Yürütülmesi, Faaliyetlerin Mevzuata Uygun Yürütülmesi, Finans Ve Muhasebe İşlerinin Yürütülmesi, İş Faaliyetlerinin Yürütülmesi / Denetimi, Ürün ve Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi, Yatırım Süreçlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, Taşınır Mal ve Kaynakların Güvenliğinin Temini, Mal/ Hizmet Satış Süreçlerinin Yürütülmesi, Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Referans
Kimlik, İletişim
Gerektiği takdirde, adayın ilettiği bilgilerin doğruluğunun kontrolünü yapmak , aday hakkında araştırma yapmak
Kefil
Kimlik, İletişim,Risk Yönetimi , finans
Finans Ve Muhasebe İşlerinin Yürütülmesi, Sözleşme süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, Hukuk işlerinin Takibi ve yürütülmesi
Hamil /Ciranta
Kimlik, İletişim, Risk Yönetimi , finans
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi Finans Ve Muhasebe İşlerinin Yürütülmesi, Sözleşme süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, Hukuk işlerinin Takibi ve yürütülmesi
3.Kişi
Kimlik, İletişim
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi Finans Ve Muhasebe İşlerinin Yürütülmesi, Sözleşme süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, Hukuk işlerinin Takibi ve yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi
7- KAYIT ORTAMLARI VE KİŞİSEL VERİLERİN TOPLANMA ŞEKLİ
Firmamız, İşbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Politikanın kapsamına dahil etmeyi kabul eder.
-
Sunucular (Yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
-
Yazılımlar (Netsis , ofis yazılımları,
-
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.
-
Bilgisayarlar (Masaüstü, dizüstü)
-
Bulut sistemi
-
Mobil cihazlar (telefon, tablet vb.)
-
Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri, Optik diskler (CD, DVD vb.)
-
Güvenlik Kamera kayıtları
-
Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
-
Yazıcı, tarayıcı, fotokopi makinesi, faks cihazı, telefon hafıza kayıtları
-
Manuel veri kayıt ortamları/Kağıt ortamı (Her türlü form, sözleşme , fotokopi, anket formları, ziyaretçi giriş defteri, şikayet/talep yazıları gibi)
-
Ve diğer Yazılı, basılı, görsel ortamlar
VERİ TOPLAMA ŞEKLİ:
Firmamız hali hazırda aşağıda belirtilmiş olan kısmen veya tamamen otomatik olan veya veri kayıt sistemimizin parçası olmak kaydı ile otomatik olmayan yöntemlerle veri toplamaktadır;
-
Firmamız faaliyetlerinin sürdürülmesi amacı ile kullanılan her türlü basılı ve dijital belge/evrak/ resmi evrak/ formların/sözleşmelerin doldurulması veya beyan sureti ile sözlü, fiziki veya elektronik ortamlar vasıtası ile
-
Güvenlik Kamerası, Tanıtım videoları, Fotoğraf çekimleri, canlı yayın bağlantısı sureti ile
-
Firmamıza ait erkut.com.tr internet sitesi üzerinden ve mobil uygulamalarındaki formların doldurulması sureti ile ad, soyad, adres, telefon, iş , mesleki deneyim veya özel e-posta adresi gibi bilgiler ile; kullanıcı adı ve şifresi kullanılarak giriş yapılan sayfalardaki tercihler, gerçekleştirilen işlemlerin IP kayıtları şeklinde
-
Firmamıza gelen her türlü mail, faks, mektup, posta, kargo gönderisi vasıtası ile
-
Lokasyonlarımızda bulunan kişilerin internet servis hizmeti almak için Wi-fi bağlantısı kurması sureti ile internet trafik bilgileri şeklinde
-
Ziyaretçi kayıt defteri ve güvenlik kamera kayıtları ile,
-
Özlük dosyası oluşturma faaliyetleri esnasında çalışan tarafından veya taşeronlar tarafından getirilen fiziki belgelerin dosyalanması sureti ile
-
Firmamıza iş başvurusu yapmak, firmamız ile mal/hizmet alım veya satımı için ticari ilişki kurmak, firmamıza teklif vermek gibi amaçlarla mail göndermek, kartvizit, özgeçmiş (cv), teklif verilmesi sureti ile
-
Kariyer siteleri, İş-Kur ve sair yollarla kişisel verilerini paylaşan kişilerin verilerine ulaşılması suretiyle
-
Sosyal medya platformları (Facebook, Twitter, Google, Instagram vs) gibi sosyal paylaşım sitelerinden paylaşıma açık profil ve verilerden
-
Denetim, anket, rapor çalışmalarından,
-
Kişi, Kurum ve Kuruluşlar ile yapılan yazışmalardan ve bunlar tarafından sunulan internet uygulamalarından
işlenebilmekte ve toplanabilmektedir.
Veri sahipleri tarafından firmamıza bildirilecek 3. Kişilere ait (veri sahibi yakını, referans kişi/kişiler gibi ) kişisel veriler (isim, soy isim, telefon, e-posta gibi ) için, söz konusu kişinin bilgilendirilmesi ve açık rızasının alınması veriyi aktaran kişinin sorumluluğunda olacaktır.
8- 18 YAŞINI DOLDURMAMIŞ OLAN KİŞİLERİN KİŞİSEL VERİLERİNİN İŞLENMESİ
18 yaşını doldurmamış kişilerin kişisel verileri velilerinin bilgisi ve onayı dahilinde stajyerler ve çalışan çocuklarının kişisel verileri aşağıdaki amaçlarla işlenmektedir;
-Yasal zorunluluk veya ihtiyari şekilde çalıştırılan stajyerler ile ilgili stajyer dosyası oluşturma ve stajyerlere karşı mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi
-Çalışanlarımız için mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, yan menfaatlerin yerine getirilmesi, organizasyon ve aktivite süreçlerinin takibi ,ziyaretçi kayıtları oluşturulması amacı ile
18 yaş altı veri sahibi kategorisinde yer alan kişiler varsa açık rıza hukuki sebebine dayalı olarak işlenen kişisel verileri ile ilgili olarak 18 yaşını doldurmasından itibaren iş bu politikada belirtilen veri kayıt ortamlarından kendisine ait verilerin silinmesi, yok edilmesi veya anonimleştirilmesi de dahil olmak üzere kişisel verilerine ilişkin taleplerini yasal temsilci veya veli icazeti olmaksızın bireysel olarak talep etme hakkına sahiptir.
9- GÜVENLİK KAMERALARI VASITASI İLE FİRMAMIZA AİT LOKASYONLARDA YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Firmamızda iş sağlığı ve güvenliğinin sağlanması, firmamıza ait taşınır ve taşınmaz mallar ile toplanan her türlü kişisel verinin güvenliğinin sağlanması , hukuki, teknik, ticari denetim ve güvenliğin temini ile misafir giriş çıkışlarının takibi amacıyla kapalı devre kamera kayıt sistemleri vasıtasıyla elektronik ortamda veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla hukuki yükümlülüğün yerine getirilmesi ve firmamız meşru menfaatleri için, kişisel veri işleme faaliyetinde bulunulmakta, şantiye alanlarımızdan canlı yayın bağlantısı da yapılmaktadır.
Bu izleme faaliyetleri 6698 sayılı KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Ayrıca firmamız internet sitesinde de bu hususta aydınlatma metni bulunmaktadır.
Güvenlik kameraları vasıtası gerçekleştirilen veri işleme faaliyetlerinde işleme amacı ile ölçülü şekilde hareket edilmesi ve kişilerin mahremiyet alanına ölçüsüz müdahalede bulunulmaması esastır. Tuvalet, lavabo, soyunma odası gibi alanlarda güvenlik kamerası bulunmamaktadır.
Firmamız tarafından 6698 sayılı KKVK Kanunu’nun 12. maddesine uygun olarak ve iş bu politikada belirtilen hususlar çerçevesinde kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. Firmamız içinde kayıtlara erişimi olan sınırlı sayıdaki çalışandan da gizlilik taahhütnamesi alınmakta ve bu kişilerin eriştiği verilerin gizliliğini koruma hususunda hassasiyet göstermeleri istenmektedir.
Güvenlik kameraları vasıtası ile toplanan kişisel veriler yukarıda belirtilen amaçların gerçekleştirilmesi kapsamında, gerekli olması durumunda ve gereklilik ölçütüne dikkat ederek güvenlik sistemleri ile ilgili hizmet aldığımız tedarikçilerimize ve kanunen yetkili kamu kurumları ile özel kişilere Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
10-FİRMAMIZA AİT LOKASYONLARDA İNTERNET ERİŞİMİ ESNASINDA YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Firmamız lokasyonlarında veri sahiplerine sağlanan internet erişim hizmetlerine bağlı olarak 5651 sayılı yasa ve bu yasaya bağlı ikincil mevzuat hükümlerinin belirlediği hususlar dahilinde veri sahiplerine ilişkin IP adresi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri gibi internet trafik bilgileri kanunlarda açıkça öngörülmesi sebebiyle işlenmekte ve saklanmaktadır. Bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya firmamız içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla yetkili kişi, kurum ve kuruluşlara aktarılmaktadır.
11- KİŞİSEL VERİLERİN YURT İÇİ VE YURT DIŞINA AKTARILMASI
-
YURT İÇİNDE VERİ AKTARIMI
-
KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILABİLMESİ İÇİN KİŞİSEL VERİ SAHİBİNİN AÇIK RIZASI OLMASI GEREKMEKTEDİR AÇIK RIZANIN OLMADIĞI HALLERDE;
-
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme mevcut ise,
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılması gerekli ise,
-
Firmamızın hukuki yükümlülüğü gereği kişisel verilerin aktarılması zorunlu ise,
-
Bir hakkın tesisi, kullanılması, korunması için kişisel verilerin aktarılması zorunlu ise,
-
Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
-
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ölçülü ve amaca uygun şekilde firmamızın meşru menfaatlerinin gereği aktarma zorunluluk arz ediyorsa
Aktarılmaktadır.
2 – ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILABİLMESİ İÇİN İSE; AŞAĞIDAKİ HALLERDEN BİRİNİN BULUNMASI GEREKMEKTEDİR.
-
İlgili kişinin açık rızasının alınması halinde,
-
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
-
Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından yine sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarılabilir.
Firmamız, hukuka uygun olan ve iş bu politikada işleme amacı olarak da belirtilen kişisel veri işleme amaçları doğrultusunda gerekli idari, hukuki, teknik tedbirleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir.
-
YURT DIŞINA VERİ AKTARIMI
1- KİŞİSEL VERİLERİN YURTDIŞINA AKTARILABİLMESİ İÇİN KİŞİSEL VERİ SAHİBİNİN AÇIK RIZASI OLMASI GEREKMEKTEDİR. AÇIK RIZANIN OLMADIĞI HALLERDE
KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen/edilecek yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu /bulunacağı yabancı ülkelere kişisel veriler aktarılabilmektedir. Bu hususta 6698 sayılı KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket edilecektir.
Bu çerçevede meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir;
-
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
-
Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
-
Firmamızın hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
-
Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
-
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
-
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, firmamızın meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
-
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILABİLMESİ İÇİN İSE; AŞAĞIDAKİ HALLERDEN BİRİNİN BULUNMASI GEREKMEKTEDİR
-
Veri sahibinin açık rızası var ise veya
-
Veri sahibinin açık rızası yok ise;
– Veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler), kanunlarda öngörülen hallerde,
– Veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında,
KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu /bulunacağı yabancı ülkelere kişisel veriler aktarılabilmektedir.
-
VERİ AKTARIMI YAPILAN ALICI KATEGORİLERİ İLE AKTARIM AMAÇLARI VE HUKUKİ SEBEPLERİ
Firmamız tarafından işlenen kişisel veriler işleme amaçları olarak belirtilen amaçlar doğrultusunda ve bu amaçların ifası için gerekli olması durumunda aşağıdaki alıcı kategorilerine aktarılabilmektedir;
Sıra No
Veri Aktarımı Yapılan Alıcı Kategorisi
AKTARIM AMACI
HUKUKİ
SEBEBİ
1
Herkese Açık
Firmamıza ait internet sitesinde, sosyal medya hesaplarında paylaşılan bilgiler ve görseller ile sınırlı olacak şekilde Kurumsal İletişim ve itibar yönetim süreçlerinin yürütülmesi amacıyla, Bilgi toplum hizmetleri gereklerinin yerine getirilmesi amacıyla
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, Kanunlarda açıkça öngörülmesi
2
Hissedarlar
Faaliyetlerin Mevzuata Uygun Yürütülmesi, Yönetim Faaliyetlerinin Yürütülmesi, İş Faaliyetlerinin Yürütülmesi / Denetimi, görevlendirme süreçlerinin yürütülmesi
Kanunlarda açıkça öngörülmesi, Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri aktarılmasının zorunlu olması
3
Mal ve Hizmet alınan Tedarikçiler/Taşeron
Firmamızın ihtiyacı olan her türlü mal ve hizmetin tedariki için gerekli olan ve/veya tedarikçi ile yapılan sözleşmenin ifası için gerekli hallerle sınırlı şekilde
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, sözleşmenin ifası, hukuki yükümlülüğün yerine getirilmesi ve veri sorumlusunun meşru menfaatleri için veri aktarılmasının zorunlu olması
4
Yetkili Kişi, Kurum, Kuruluş
TOKİ ,Belediye , Banka , Sigorta Şirketi , Bakanlıklar , Odalar gibi Yetkili kişi, kurum ve kuruluşlara verilen hukuki yetki ve görevler çerçevesinde bu kurum ve kuruluşlardaki işlemlerin yerine getirilmesi veya kişi , kurum ve kuruluşlardan gelen bilgi /belge taleplerinin yerine getirilmesi amaçları ile sınırlı şekilde
Kanunlarda öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Bir hakkın tesisi, kullanılması veya korunması için veri aktarılmasının zorunlu olması
Bulut depolama hizmeti kullanılıyor olması nedeni ile ve sadece bu amaçlarla işlenen kişisel veriler yurt dışına aktarılmaktadır.
12- SAKLAMA VE İMHA SÜREÇLERİ
Firmamız tarafından; temas ettiğimiz gerçek kişilere ait işlenen kişisel veriler mevzuata uygun şekilde saklanır ve imha edilir.
Firmamız tarafından işlenen kişisel verilerin tamamında işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme faaliyetinin gerçekleşmesine özen gösterilmektedir. Yine işlenen kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmektedir.
İşlenen her bir veri ile ilgili olarak ilgili birimler verinin ne kadar süre saklanacağını, veri işleme amacını da dikkate alarak yazılı olarak belirleyeceklerdir.
Firmamızda periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre, firmamızda her yıl Haziran ve Aralık aylarında periyodik olarak işlenen kişisel veriler ile ilgili saklama ve imha şartlarına ilişkin denetim yapılacak ve imha şartları oluşan veriler ile ilgili imha işlemi gerçekleştirilecektir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamaların yer aldığı ayrı bir politikada oluşturulmuş ve herkesin erişimine açık olacak şekilde firmamıza ait www.erkut.com.tr internet sitesinde yayınlanmıştır.
13- VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
İş bu politikanın amaç ve ilke bölümünde belirtilen hususlar çerçevesinde;
13.1 SİCİLE KAYIT YÜKÜMLÜLÜĞÜ
Firmamız tarafından hazırlanan veri envanterine ve iş bu politikada belirtilen hususlara uygun şekilde VERBİS kayıt başvurusunu yapmış olup yaptığı başvuru aşağıdaki bilgileri içermektedir:
- Veri sorumlusu ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenen başvuru formunda yer alan bilgiler,
- Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Kanunun 12. maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
- Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
Veri sorumluları sicilinde yer alan bilgilerimizden de aşağıdakiler kamuya açıklanmaktadır:
-
Veri sorumlusu, adresi ve KEP adresi,
-
Kişisel verilerin hangi amaçlarla işlenebileceği,
-
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
-
Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
-
Yabancı ülkelere aktarımı öngörülen kişisel veriler,
-
Sicile kayıt tarihi ile kaydın sona erdiği tarih,
-
Kişisel veri güvenliğine ilişkin alınan tedbirler,
-
Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
VERBİS’te kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikler, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirilecektir.
13.2. AYDINLATMA YÜKÜMLÜLÜĞÜ
13.2.1 Firmamız, Kanun’un 10. Maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ uyarınca kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermekte, veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamakta, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermektedir.
13.2.2 Kişisel veri sahiplerinin aydınlatılmasında ve ilgili kişiler tarafından gerekli ise açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Veri Sorumluları Sicili ’ne sunulan ve Sicilde yayınlanan bilgiler ile iş bu politikada belirtilen hususlar esas alınmaktadır.
-
6698 sayılı Kanun’un 28. maddesinin 1. fıkrası uyarınca;
-Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
-Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
-Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
-Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
-Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,
Durumunda aydınlatma yükümlülüğümüz bulunmamaktadır.
-
Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin talebine bağlı olmayıp, aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir. Bu çerçevede mail, mesaj gönderilmesi, internet sitesindeki bilgi paylaşımları, yazılı evrak, tabela gibi değişik ve duruma uygun düşecek yollar ile aydınlatma yükümlülüğümüzü yerine getirmekteyiz.
-
Kişisel verinin ilgili kişiden elde edilememesi halinde kişisel verinin elde edilmesinden itibaren makul süre içinde; kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda ilk iletişim kurulması esnasında, kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğü yerine getirilecektir.
-
Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilecektir.
13.3. KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMA YÜKÜMLÜLÜĞÜ
6698 sayılı Yasanın 12. Maddesi gereği kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle;
Firmamız kişisel verileri toplarken, işlerken yahut kişisel verilere erişirken,
-
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
-
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
-
Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır ve gerek yargı gerek kurul ilke kararlarına gerekse gelişen teknolojiye uygun şekilde almaya da devam edecektir.
13.4. KVK KURULU TARAFINDAN VERİLEN KARARLARI YERİNE GETİRME YÜKÜMLÜLÜĞÜ
Kanuni yükümlülüğün yanı sıra hali hazırdaki mevzuat düzenlemelerinin uygulanması ve somutlaştırılabilmesi için elbette kurul tarafından verilecek kararlar büyük önem arz etmektedir. Firmamız da mevzuata uyum sürecini sağlıklı yürütebilmek, yanlış yorumlamaya dayalı yapılan hatalı bir uygulama var ise buna dair uygulamasını da derhal düzeltmek amacı ile kurul kararlarına büyük önem vermekte ve hassasiyetle de takip etmektedir.
Bu çerçevede Firmamız kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak, özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, Veri Sorumluları Sicili’nin tutulmasını sağlamak, Kurul’un görev alanı ile Kurul’un işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak, veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak gibi görev ve yetkileri bulunan Kişisel verileri Koruma Kurulu tarafından verilen kararlara uygun hareket etmekte ve güncel olarak da bu kararları takip etmektedir.
13.5 VERİ SAHİBİ BAŞVURULARINA CEVAP VERME YÜKÜMLÜLÜĞÜ
ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş, Veri sorumlusu sıfatıyla 6698 sayılı KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırmak üzere gerekli idari ve teknik tedbirlerini almıştır.
Veri sahiplerinin bu haklarını kullanabilmesi için firmamız tarafından düzenlenen başvuru formu örneği aynı zamanda www.erkut.com.tr sitemizde de paylaşılmıştır.
13.6 VERİ İHLALİ YAŞANMASI DURUMUNDA KURULA VE VERİ SAHİPLERİNE BİLGİ VERME YÜKÜMLÜLÜĞÜ
Firmamız tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildirmekle yükümlü olup Kurul gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilecektir.
Herhangi bir veri ihlali durumunda Kişisel Verileri Koruma Kurulu tarafından yayımlanan 24.01.2019 tarih 2019/10 sayılı kararında belirtilen usul ve esaslara göre hareket edilecektir.
14- VERİ KORUMA SORUMLUSUNUN TESPİTİ İLE GÖREV VE YETKİLERİ
Gerek 6698 sayılı KVK Kanunu gerek bağlı ikincil mevzuat ve kurul kararları gerekse iş bu politika hükümleri ve ilişkili diğer politikaları yönetmek, uyum sürecini sağlıklı bir şekilde yürütmek üzere firmamız bünyesinde Kişisel Verilerin Korunmasında aktif şekilde çalışmak üzere veri koruma sorumlusu olarak kişi/birim ataması yapılmış olup bu kişi/birim tarafından yürütülecek temel faaliyetler, görev ve yetkiler aşağıda belirtilmiştir:
- Kişisel verilerin korunması ve işlenmesine ilişkin dokümantasyonun hazırlanmasının takibi ve dokümanların ilgili kişilerin onayına sunulması, firma internet sitesinde yayınlanmasının sağlanması, dokümanlarda güncelleme gereken hallerde güncellemelerin yapılmasının takibi
- Kişisel verilerin korunması ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yürütülmesinin sağlanması,
- Firmamız çalışanları, tedarikçileri ve temas ettiği 3. Kişiler tarafından kişisel verilerin korunmasına ilişkin mevzuat, kurul kararları ve iş bu politika hükümlerinin yerine getirilip getirilmediğinin takibi ve uyum süreçlerinin yürütülmesi için gerekli hususların belirlenmesi,
-Firmamız içinde kişisel veri işlemede yer alan çalışanların bilinçlendirilmesi, eğitilmesi
- Firmamız ile KVK Kurumu ve KVK Kurulu ile olan ilişkilerin, yazışma ve bildirimlerin takibi
- Başvuru sahipleri tarafından yapılan başvuruların mevzuatta belirtilen şartları taşıyıp taşımadığının kontrolü ve ilgili birimlerle görüşerek yasal süre içinde başvuruya cevap verilmesi
-İş bu politikada alındığı belirtilen tedbirlerin denetimini yapmak, olası riskleri belirleyerek ilgili birimlere gerekli bildirimlerde, tavsiyelerde bulunmak
Yukarıda belirtilen asgari görevlere ek olarak, güncel mevzuat hükümleri, kurul kararları, uygulama esnasında ortaya çıkacak ihtiyaçlar ve faaliyet konularında meydana gelebilecek değişiklikler dikkate alınarak ek görev ve sorumluluklar da belirlenebilecektir.
15- KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BAŞVURU SÜRECİ
15.1 Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir. İlgili kişiler, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.
15.2 Kişisel veri sahibi, Kanun ve yürürlükte bulunan diğer mevzuat çerçevesinde kalmak kaydıyla;
-
Kişisel verilerin işlenip işlenmediğini öğrenme,
-
Kişisel verilerin işlenmişse buna ilişkin bilgi talep etme,
-
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
-
Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
-
Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
-
KVKK mevzuatında öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
-
Eksik veya yanlış verilerin düzeltilmesi ile kişisel verilerin silinmesi veya yok edilmesini talep ettiğinde, bu durumun kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
-
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz etme,
-
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde bu zararın giderilmesini talep etme hakkına sahiptir.
-
Veri sahibi gerçek kişiler taleplerini; firmamız internet sitesinde de paylaşılmış olan başvuru formunun çıktısını almak suretiyle firmamıza şahsen başvuru yapmak veya noter vasıtası ile bildirimde bulunmak veya bu başvuru formunu Kayıtlı elektronik posta (KEP) adresi, Mobil imza, 5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik imza” ile imzalayarak firmamız KEP veya elektronik posta adresine göndermek ya da varsa firmamıza daha önce bildirilmiş ve firmamız sistemlerinde kayıtlı bulunan elektronik posta adresi kullanılmak suretiyle tarafımıza iletebilecektir
-
Başvuruda;
-
Ad, soyad ve başvuru yazılı ise imza, başkası adına başvuru yapılıyorsa bu konuda özel olarak yetkili olduğuna dair belge
-
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
-
Tebligata esas yerleşim yeri veya iş yeri adresi,
-
Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
-
Talep konusu,
Bulunması zorunludur. Konuya ilişkin bilgi ve belgeler başvuruya eklenir. Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir. Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
-
Firmamız, ilgili veri sahibi kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almış olup başvurunun içeriğine göre başvuruyu kabul eder veya gerekçesini açıklayarak reddedebilir. Firmamız ilgili veri sahibinin tercihini dikkate alarak cevabını yazılı olarak veya elektronik ortamda bildirir. Cevap yazısında asgari olarak aşağıdaki hususlar bulunacaktır;
-
a) Veri sorumlusu veya temsilcisine ait bilgileri,
-
b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
-
c) Talep konusunu,
ç) Veri sorumlusunun başvuruya ilişkin açıklamaları
-
Veri sahibinin başvurusunda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde ilgili veri sahibinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmayıp on sayfanın üzerindeki her sayfa için Kişisel Verileri Koruma Kurumu tarafından belirlenen tarife üzerinden işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde kayıt ortamının maliyetini geçmeyecek şekilde ücret talep edilebilir.
-
Başvurunun, firmamız hatasından kaynaklanması hâlinde alınan ücret ilgili veri sahibine iade edilir.
-
İlgili veri sahibinin talebinin kabul edilmesi hâlinde, talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir. Kişisel veri sahibi başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Firmamızın cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir. Firmamıza başvuru yolu tüketilmeden Kurul’a şikayette bulunulamaz.
-
Kişisel veri sahibi, 6698 sayılı Kanun’un 28. Maddesi uyarınca Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde bu zararın giderilmesini talep etme hakkı dışında öngörülen haklarını kullanamayacaktır.
16- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN İDARİ VE TEKNİK TEDBİRLER
İşlenen ve saklanan kişisel verilerin hukuka aykırı olarak işlenmesi engellemek, verilere hukuka aykırı şekilde erişimi önlemek, verileri güvenli şekilde muhafaza etmek amacıyla ilgili mevzuatta öngörülen tüm idari ve teknik tedbirleri almakta, uygun güvenlik düzeyinin sağlanması ve Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapma ve yaptırmaktadır.
16.1. İdari Tedbirler
Firmamız, uhdesinde bulunan kişisel verilerin güvenliği ve muhafazası için aşağıda belirtilen idari tedbirleri almaktadır:
-
Kişisel Veri işleme Envanteri hazırlanmıştır.
-
Veri İşleme, Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha, Veri Sahibinden gelebilecek başvuralar ile ilgili süreç yönetimi gibi hususlara dair kurumsal politikalar oluşturulmuştur.
-
İşlenen kişisel verilerin özel nitelikli kişisel veri olup olmadığı, gizlilik seviyesi, olası zararın niteliği ve niceliği belirlenmek suretiyle mevcut risk ve tehditler belirlenmek suretiyle belirlenen risklerin azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri üretilerek kısa vadede alınabilecek tedbirler alınmış uzun vadede alınabilecek olanlar için de uygulamaya yönelik planlamalar yapılmıştır.
-
Firma çalışanları, kişisel verilerin işlenmesi konusunda bilgilendirilmekte, eğitilmektedir.
-
Çalışanların ve yüklenicilerin bilgi güvenliği sorumluluklarının farkında olmaları ve yerine getirmelerini temin etmek üzere veri güvenliğine ilişkin rol ve sorumluluklar ile görev tanımları belirlenmiştir.
-
Çalışanların kişisel veri güvenliğini zedeleyecek saldırılar ve siber güvenliğe ilişkin ilk müdahaleyi yapacak şekilde bilinçlenmeleri sağlanmıştır.
-
Veri sorumlusunun çalışma sürecine ve işleyişine uygun politika ve prosedürler belirlenmiş olup bunlara uymaması durumunda devreye girecek bir disiplin süreci ve sözleşme hükümleri mevcuttur.
-
Gizlilik taahhütnameleri yapılmaktadır.
-
Çalışan, çalışan adayı, müşteri, tedarikçi, ziyaretçi vs. için aydınlatma metni mevcuttur.
-
Açık rıza alınması gereken süreçler belirlenmiş ve uygulanmaktadır.
-
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderilmekte, gerekli tedbirler alınmaktadır.
-
İşleme amacı bakımından bahsi geçen kişisel verilere ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır.
-
Bilgi teknolojileri ihtiyaçlarının karşılanması amacıyla çalışılan 3. Kişilerin de en az Firmamız tarafından sağlanan güvenlik tedbirlerini sağlamalarına önem verilmekte ve bu çerçevede sözleşmeler yapılmaktadır.
-
Veri İşleyenlere mevzuata uygun hareket etmesi konusunda gerekli bilgilendirme ve uyarılar yapılmakta, kişisel verilerin korunması mevzuatı ile uyumlu hareket edileceğine dair hükümlerin de bulunduğu yazılı sözleşmeler yapılmaktadır.
-
6698 sayılı Yasa öncesinde sözleşme yapılan ve hali hazırda sözleşme ilişkisinin devam ettiği kişilerle de KVKK uyum sürecinin tamamlanması için çalışmalar başlatılmıştır.
-
Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmek üzere çalışanlar tarafında gerekli önlemler alınmaktadır.
-
Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
-
Görev değişikliği olan veya işten ayrılan personelin bu alandaki yetkileri derhal kaldırılmakta, kendisine tahsis edilen envanterler iade alınmaktadır. Pozisyon değişikliği birim değişikliği veya uzun süreli ya da tamamen işten ayrılma halinde personelin yetkileri askıya alınmakta ya da tamamen iptal edilmektedir. Yine kendilerine verilen token, elektronik kart ve diğer envanterler iade alınmaktadır.
-
Mevzuat, kurul kararları ve politika hükümlerinin takibi ve uygulanması konusunda veri koruma sorumlu/sorumlular ataması yapılmıştır.
16.2. TEKNİK TEDBİRLER
Firmamız idari tedbirlerin yanında uhdesinde bulunan kişisel verilerin güvenliği ve muhafazası için aşağıda belirtilen teknik tedbirleri de almaktadır:
-
Ağ güvenliği ve uygulama güvenliği (anti-virüs sistemleri ve Güvenlik duvarları kullanılmak sureti ile )sağlanmakta olup İzinsiz erişim tehditler/siber saldırılara karşı güvenlik duvarı ve uygulama güvenliği açısından da antivirüs gibi gerekli yazılımlar kullanılmakta, periyodik güncellenmesi ve denetimleri yapılmaktadır. Firmamıza ait her ofiste güvenlik duvarları da kurulmaktadır.
-
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
-
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
-
Erişim logları düzenli olarak tutulmakta ve güvenlik duvarındaki ve dosya sunucularındaki erişim günlükleri izlenmektedir.
-
Erişim yetki ve kontrol matrisi oluşturulmuştur
-
Gerektiğinde veri maskeleme önlemi uygulanmaktadır
-
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. Firmamızda uygulanmakta olan İnsan Kaynakları el kitaplarında da kişisel veriler ile ilgili kontrol ve akış süreci çalışanlarımıza ayrıntısı ile izah edilmiştir.
-
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır
-
Kişisel veri güvenliğinin takibi yapılmaktadır
-
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır
-
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır
-
Kişisel veri içeren ortamların güvenliği (7/24 Güvenlik hizmeti uygulaması ve CCTV uygulaması ile ) sağlanmaktadır.
-
Kişisel veriler günlük olarak yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
-
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
-
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır
-
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır
-
Gerekli olması halinde özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
-
Gerekli olması halinde özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir
-
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
-
Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır
-
Sızma testi uygulanmaktadır.
-
Siber güvenlik önlemleri alınmıştır.
-
Şifreleme yapılmaktadır.
-
Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
-
Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağlamasına ilişkin takip, sınırlama vs. gibi güvenlik tedbirleri alınmaktadır.
-
Veri kaybı önleme yazılımları kullanılmaktadır
-
Kişisel verilere erişim yetkisi olanlara gerekli ölçüde erişim yetkisi tanınmış olup kullanıcı adı ile güçlü şifre kullanmak ve şifre girişi deneme sayısının sınırlandırılması suretiyle erişimleri sağlanmaktadır.
-
Uluslararası şifreleme programlarının kullanımına dikkat edilmekte ve asimetrik Şifreleme yönteminin kullanıldığı durumlarda anahtar yönetimi süreçlerine önem verilmektedir.
-
Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi 3. Kişilere gönderilecek cihazlarda bulunan kişisel veri saklama ortamları sökülerek saklanmakta veya kişisel verilerin kopyalanarak yetkisiz 3. Kişilere aktarılmasını engelleyecek önlemler alınmaktadır.
-
Veri seti yedekleri ağ dışında tutulmakta, fiziki olarak da güvenliği sağlanmaktadır.
-
Kişisel verilerin imha edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yapılmaktadır.
-
İnternet kullanımı sağlanan kullanıcılara ait dahili IP adresleri ve sisteme girişte kullanılan cihazlara ait MAC adresleri de loglanmaktadır.
16.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN ALINAN TEDBİRLER
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
-
Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte
-
Gizlilik sözleşmelerinin yapılmakta
-
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması yapılmakta
-
Periyodik olarak yetki kontrolleri gerçekleştirilmekte
-
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta bu kapsamda, firmamız tarafından kendisine tahsis edilen envanterin iade alınması sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
-
Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
-
Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
-
Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
-
Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
-
Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması
-
Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi uygulanması
tedbirlerinden uygun olanlar belirlenerek yerine getirilmesi sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
-
Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmıştır.
-
Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmekte, özel nitelikli kişisel verilerin kağıt ortamında dosyalandığı durumlarda dosyalar kilitli dolaplarda tutulmaktadır.
Özel nitelikli kişisel veriler aktarılacaksa;
-
Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
-
Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
-
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
-
Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi
Sağlanmakta ve belirtilen bu hususlara uygun işlemler yapılmaktadır.
17– POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
-
İlgili mevzuatta yapılacak her türlü resmi değişikliğin, Kurul tarafından alınacak kararların ardından bu değişikler ve kararlarla uyumlu olacak şekilde ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş, . tarafından İşbu Politika’da değişiklik yapılabilir.
-
ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş, . güncellenen Politikasını da internet üzerinden herkesin erişimine sunacaktır.
18– POLİTİKA YÜRÜRLÜLÜK TARİHİ
İşbu Politika 21.02.2020 tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir.