I. VERİ GİZLİLİĞİ TAAHHÜDÜ
- İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası “Politika”, Gersan Elektrik Tic. Ve San. A.Ş. “Gersan”ın 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve ekli Yönetmelik ve Tebliğler ile sair mevzuat hükümleri uyarınca kişisel verilerin güvenli şekilde muhafazasını ve hukuka uygun olarak işlenmesini sağlamak için yükümlülüklerini ve Şirket nezdindeki kişisel verilerin korunmasına dair temel prensipleri belirlemektedir.
- Gersan, şirket nezdinde yer alan Kişisel Verilerin tümü bakımından işbu Politikaya ve tamamlayıcı işlem ve kararlara uygun davranmayı taahhüt eder.
II. POLİTİKANIN AMACI
Bu politikanın amacı Gersan’ın, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmış olan Kişisel Verilerin Korunması Kanunu’na (kısaca “KVKK”) uyumlu bir şekilde veri işleme ve koruma faaliyetlerini yürütmek için izlenecek yöntem ve ilkeleri belirlemektir. Bu çerçevede, Gersan olarak sınırlı sayıda olmamak kaydı ile çalışanlarımız, müşterilerimiz, ziyaretçilerimiz, hissedarlarımız, iş ortaklarımız ve taşeronlarımız çalışanları ve yetkilileri ve üçüncü kişilere ait kişisel verilerin işlenmesi ve korunmasına dair faaliyetlerimize dair şeffaflığı da sağlamaktayız.
III. POLİTİKANIN KAPSAMI
Politikamızın kapsamı şu şekildedir: müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, iş ortaklarımız ve taşeronlarımız çalışanları ve yetkilileri ve üçüncü kişilere ait kişisel verilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
IV. TANIMLAR, VERİ KATEGORİZASYONU ve VERİ GRUPLARI
İşbu Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder;
KİŞİSEL VERİLERİ KORUMA KANUNU (KVKK) |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmış olan Kişisel Verilerin Korunması Kanunu |
KVKK’YI TAMAMLAYICI MAHİYETTEKİ DİĞER MEVZUAT |
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ gibi KVVK’daki bazı hususları detaylandırmak amacı ile çıkarılan ikincil mevzuat kalemleridir. |
VERİ SORUMLUSU |
Kişisel Verileri İşleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder. |
VERİ İŞLEYEN |
Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder |
VERİ SORUMLUSU TEMSİLCİSİ |
Şirket tarafından seçilen ve Şirketin Kurum ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan çalışanı ifade eder |
KİŞİSEL VERİ |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder |
ÖZEL NİTELİKLİ KİŞİSEL VERİ |
Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Sınırlı sayıda olmamak kaydı ile örneğin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti… |
VERİ ENVANTERİ |
Şirketin Kişisel Veri İşleme faaliyetlerine yönelik olarak temel bilgileri ihtiva eden envanteri ifade eder. |
PERİYODİK İMHA |
Birincil ve İkincil Mevzuatta yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
AÇIK RIZA |
Kişilerin Kişisel Verilerinin işlenmesine dair aydınlatılmış onam akabinde alınan özgürce karar verilmesi akabinde alınan rızayı ifade eder. |
ANONİM HALE GETİRME |
Kişisel Verilerin, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. |
SİLME VEYA SİLİNME |
Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. |
İMHA ETME |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve kullanılamaz hale getirilmesi işlemidir. |
VERBİS |
Veri Sorumluları Sicil Bilgi Sistemi |
GERSAN tarafından yürütülen veri işleme faaliyetleri kapsamında kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ait olduğu gerçek kişi belirlenen ve/veya belirlenebilir olan kişisel veri kategorileri ve açıklamaları ile veri grupları aşağıda yer almaktadır:
Kişisel Veriler |
Kimliği belirli ya da belirlenebilir nitelikteki gerçek kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Bu çerçevede kimlik bilgisi, vergi numarası, SGK numarası bilgileri, imza bilgisi; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi iletişim bilgileri, aile bireyleri ve yakın bilgisi ve kamera kayıtları, taşıt plaka bilgileri, güvenlik noktasında alınan kayıtlar, telefon aramalarında alınan ses kayıtları v.b. güvenlik verileridir. |
Özel nitelik taşıyan kişisel veriler |
Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir. Bu çerçevede GERSAN tarafından bu tür kişisel veriler KVKK gereği işlenmesine izin verilen durumlar dışında işlenmez veya ilgilinin açıkça rızası alınarak mevzuatta belirtilen şartlara uygun olarak işlenir. |
KİŞİSEL VERİ KİŞİ GRUPLARI |
AÇIKLAMASI |
GERSAN Hissedarları |
GERSAN hissedarı gerçek kişiler |
GERSAN Yöneticilileri |
GERSAN yönetim kurulu üyesi ve diğer yetkili gerçek kişiler |
GERSAN Taşeronları |
GERSAN güvenliğinin ve düzeninin sağlanmasında yardımcı olan taşeronların yetkili gerçek kişileri ve bu taşeronlar tarafından görevlendirilen gerçek kişi çalışanlar |
Çalışan/Stajyerler |
GERSAN bünyesinde çalışan veya staj yapan gerçek kişiler |
Çalışan Adayları |
GERSAN bünyesinde çalışmak amacı ile iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini iş bulmaya yönelik veri tabanları veya şirketler/aracılar vasıtası ile GERSAN bilgilerine açmış olan gerçek kişiler |
GERSAN’ın Ticari veya İdari İlişkiler Yürüttüğü Kişiler, Kurumlar ve Çalışanları, Hissedarları ve Yetkilileri (Tedarikçiler, Satış Yapılan Firmalar vs.) |
GERSAN’ın yazılı olarak sözleşme akdettiği veya yazılı olmasa dahi ticari işleyişin devam edebilmesi için iş ilişkisi kurduğu kişiler veya kurumlar ve bunların hissedarları, çalışanları ve yetkilileri dahil olmak üzere gerçek kişiler |
Ziyaretçiler |
GERSAN idari merkez ve fabrikasını fiziken ziyaret eden veya GERSAN internet sitesine herhangi bir amaçla giriş yapan gerçek kişilerdir. |
V. KİŞİSEL VERİ İŞLEMENİN İLKELERİ
- HUKUKA VE DÜRÜSTLÜK KURALINA UYGUN İŞLEME
Gersan, kişisel verilerin işlenmesinde hukuka ve dürüstlük kuralına uygun davranmaktır. Bu kapsamda Gersan, hukuka uygun amaçlarla ve hukuki sınırlara bağlı kalarak, ölçülülük ilkesini de dikkate alarak, kişisel verileri amacı dışında kullanmamakta, kişisel verilerin işlenmesini gerektirecek hukuksal dayanakları tespit ederek işlem yapmakta, ölçüü davranmakta ve kişisel verileri amacın gerektirdiği dışında kullanmamaktadır. Aydınlatılmış onam akabinde ayrıca açık rıza alınmaksızın veri işleme ve aktarmaya yönelik herhangi bir işlem gerçekleştirilmemektedir. - KİŞİSEL VERİLERİN DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMASINI SAĞLAMA
Şirketimiz; işlediği kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır. - BELİRLİ, AÇIK VE MEŞRU AMAÇLARLA İŞLEME
Şirketimiz, açık ve meşru bir amaç olmaksızın veri işleme faaliyetinde bulunmamakta ve bu açık/meşru amaç sınırları içinde hareket etmektedir. - İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMA
Şirketimiz, kişisel verileri işlendiği amaç gerektirdiği şekilde sınırlarda ve ölçüde işlemekte olup, amacın gerektirmediği veriler ise kesinlikle işlenmemektedir. - İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN SÜRE KADAR MUHAFAZA ETME
Gersan kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle mevzuat gereği kişisel verilerin saklanması için bağlı olunan bir süre olup olmadığını tespit ederek, bu sürede verileri gerekli önlemleri alarak saklamakta; mevzuatta saklanmayı gerekli kılan bir süre yer almıyor ise kişisel verileri işlendikleri amaç için gerekli olan süre kadar ve her hâlükârda ilgili mevzuatta yer alan silme/yok etme sürelerine riayet ederek saklamaktadır. Sürenin dolması, verinin işlenmesini gerektiren sebeplerin ortadan kalkması veya veri sahibinin bu yöndeki (mevzuata uygun) bir talebinin varlığı halinde kişisel veriler Gersan tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
VI. KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel Verilerin Gersan tarafından işlenmesine dair prensipler alttaki şekildedir:
KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Gersan, KVKK ve tamamlayıcı mahiyetteki diğer mevzuatta belirlenen şekilde, kişisel verilerin elde edilmesi öncesinde kişisel veri sahiplerini temel olarak alttaki hususlarda aydınlatmaktadır.
- Şirketi unvanı, adresi ve iletişim bilgileri;
- kişisel verilerin hangi hukuki sebebe dayanılarak toplandığı/işlendiği;
- Hangi amaçla işleneceği,
- işlenen kişisel verilerin yurtiçi ve yurtdışı aktarılmasına dair bilgilendirme,
- kişisel veri toplamanın yöntem(ler)i
- ilgili mevzuat uyarınca (KVKK Kanunu’nun 11. Maddesi) Veri Sahibi Hakları ve Başvuru Usulü
Kişisel veriler ancak kanunda öngörülen hallerde veya kişinin hür iradesi ile verdiği açık rızası varsa işlenebilecektir. Gersan bu prensibe kesinlikle bağlıdır.
Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce kişilere gerekli bilgilendirmede bulunulur ve KVKK 11. Maddesi kapsamındaki hakları ve başvuru prosedürü de bildirilir.
Açık Rıza, aydınlatılmış açık onam akabinde ve hangi hususlara dair onam alındığı net şekilde rıza metninde yer verilerek alınmaktadır.
Kişisel veri alan ve işleyen tüm çalışan ve yöneticiler veri alınması öncesini de kapsayacak şekilde, işbu Politika’ya uymakla yükümlüdür.
AÇIK RIZA HARİCİ DİĞER HALLER
- Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
- Gersan olarak hukuki yükümlülüklerimizyerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
VII. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir. Bu çerçevede Gersan tarafından bu tür kişisel veriler KVKK gereği işlenmesine izin verilen durumlar dışında işlenmez veya ilgilinin açıkça rızası alınarak mevzuatta belirtilen şartlara uygun olarak ve gerekli tüm fiziki ve elektronik ve sair önlemler alınarak işlenir.
- Özel Nitelikli Kişisel Veriler yalnızca kişilerin Açık Rızasının bulunması yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir
- Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından Veri Sorumlusu Temsilcisi bilgilendirilir.
- Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından Veri Sorumlusu Temsilcisinden görüş alınır.
- Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima bu metinde yer verilen veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır.
VIII. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ ile SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Gersan, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Gersan uygulamaları ve ticari yaşamın teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra hazırlanmış olan Veri Saklama, Maskeleme, Anonimleştirme ve Silme Politikası doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş ve ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Gersan’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Gersan, ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Gersan’ın kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler, yok eder veya anonim hâle getirir. Bu yönde detay bilgi ihtiva eden silme-yol etme ve anonimleştirme politikası hazırlanmış ve ilan edilmiştir.
Gersan bu yönde gerekli teknik ve idari tedbirleri alarak ilgili iş birimlerini eğitmekte, görevlendirme ve farkındalıklarını sağlamaktadır.
IX. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ
Gersan, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, üçüncü bir kişiye KVKK ve ekli mevzuatta belirlenen sınırlara ve şekillere uygun kalmak kaydı ile Kişisel Veri aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer alan sürece riayet etmekle mükelleftir.
Gersan, hukuka uygun kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemleri alarak kişisel verileri ve (mevzuata uygun olmak kaydı ile) özel nitelikli kişisel verileri yurtiçi ve yurtdışındaki üçüncü kişilere aktarabilmektedir. Özel nitelikli kişisel veriler ancak;
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılabilir.
Şirketimiz tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır. Şirketimiz bu doğrultuda KVKK 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Özel nitelikli kişisel veriler, özel koruma önlemleri alınarak ve mevzuata sıkı sıkıya bağlı kalınmak kaydı ile aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
X. KİŞİSEL VERİLERİN KORUNMASI VE İFŞA HALİNDE İZLENMESİ GEREKEN YOL
Gersan, kişisel verilerin neler olduğunu ve bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin neler olduğunu tespit eden bir risk analizi yapmaktadır. Gersan, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmaktadır.
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler alttaki şekildedir:
Gersan, kişisel verilerin hukuka uygun işlenmesini sağlamak için, risk düzeyine, teknolojik imkânlara göre teknik ve idari tedbirler almaktadır. Gersan, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için gerekli teknik ve idari tedbirleri alır. Gersan, KVKK’nın 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır.
Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Gersan, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan Prosedürü yürütmektedir.
Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Hususlar:
Gersan tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Gersan bünyesinde gerekli denetimler sağlanmaktadır. Bu kapsamda alınan bazı tedbirler şunlardır; Özel nitelikli kişisel verilerin güvenliğine yönelik Bilgi Güvenliği yönetim Sistemi kapsamında prosedürler çerçevesinde çalışma yöntemleri hazırlanmış ve uygulanmaktadır. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilir, gizlilik sözleşmeleri yapılır, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır, Periyodik olarak yetki kontrolleri gerçekleştirilir, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınır veya envantere erişimine son verilir. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler kriptografik yöntemler kullanılarak muhafaza edilir, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır, verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilir ve gerekli güvenlik testleri düzenli olarak yapılır ve/veya yaptırılır, test sonuçları kayıt altına alınır. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin kullanımı sağlanır. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunur, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenir. Muhafaza konusunda hizmet alınan taraflarla Kişisel Verilerin korunması kapsamında gerekli kuralları içeren hizmet sözleşmesi yapılarak, sözleşme şartlarına uyum denetimlerle takip edilir. Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografık yöntemlerle şifrelenir ve kriptografık anahtar farklı ortamda tutulur, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN veya FTP yöntemiyle veri aktarımı gerçekleştirilir. Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” formatında gönderilir.
XI- VERİ SAHİPLERİNİN BAŞVURU HAKKI
KVKK ilgili kişi olarak tanımlanan kişisel veri sahiplerine (Bundan sonra “Başvuru Sahibi” olarak anılacaktır) KVK Kanunu’un 11’inci maddesinde kişisel verilerinin işlenmesine ilişkin birtakım taleplerde bulunma hakkı (kısaca “başvuru hakkı”) tanınmıştır.
KVKK 11. maddesi kapsamında kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, • KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Bu çerçevede Gersan’a yapılacak başvurular, veri sahibi başvuru formunun çıktısı alınarak (internet sitemizde mevcuttur) ;
- Başvuru Sahibi’nin şahsen başvurusu ile,
- Noter vasıtasıyla,
- Başvuru Sahibi’nce 5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik imza” ile imzalanarak Şirket kayıtlı elektronik posta adresine gönderilmek suretiyle, tarafımıza iletilebilecektir.
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 5. maddesinde belirtilen bilgi ve belgeler ile birlikte başvuru yapılması gerekmektedir.