"KVKK"
Kişisel Verilerin İşlenmesi ve Korunması Genel Politikası ile (“Politika”) “Bosal Metal İşleme Sanayi Anonim Şirketi” ticari unvanlı şirketimizin (“Şirket”) bir veri sorumlusu olarak, işlediği kişisel veriler hakkında bilgilendirme amaçlanmıştır.
Bu politika ile şirketimiz, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere yürürlükte olan ilgili ve bağlı mevzuat hükümleri uyarınca kişisel verilerin işlenmesi ve korunmasına dair genel ilke ve esaslarını açıklamaktadır.
I-AMAÇ:
KVKK işbu Politikanın esas dayanağıdır. Bu doğrultuda, Şirketimiz, şirket ana sözleşmesinde belirtilen faaliyet ve eylemlerini yerine getirirken karşılaştığı ve ilişki kurduğu tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu çerçevede KVKK’nda yer alan gerekliliklerin eksiksiz olarak yerine getirilmesine önem vermektedir.
II-KAPSAM:
Politikanın temel amacı, Şirketimiz tarafından kişisel verilerin toplanması, saklanması, aktarılması ve silinmesi dahil tüm işleme süreçleri ile benimsediğimiz temel ilkeler hakkında, Şirket ortaklarımızı, yetkililerimizi, çalışanlarımızı, çalışan adaylarımızı, stajyerlerimizi, müşteri ve potansiyel müşterilerimizi, ziyaretçilerimizi, tedarikçilerimizi, işbirliği içinde olduğumuz kurumları ve bu kurumların çalışanları ile yetkililerini ve gerekli oldukça kişisel verileri Şirketimiz tarafından işlenen ilgili kişileri bilgilendirmektir.
III-KISALTMALAR(TANIMLAR):
Tanımı |
|
KVKK |
6698 sayılı Kişisel Verileri Koruma Kanunu’nu |
Kurul |
Kişisel Verileri Koruma Kurulu |
Kurum |
Kişisel Verileri Koruma Kurumu |
Bosal KVKK Kurulu |
Şirketimizin KVKK kapsamındaki eylem ve işlemlerini belirleyen, şikayetleri inceleyen yönetim kurulu kararı ile kurulmuş bulunan kurulu |
Açık rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Anonim hâle getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
İlgili kişi |
Kişisel verisi işlenen gerçek kişi (Politika’da “veri sahibi” şeklinde ifade edilmektedir) |
Kişisel veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Veri sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Kişisel verilerin işlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Veri kayıt sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistem |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinin üst kavramı |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri Envanteri |
Şirketimiz bünyesinde işlenen Kişisel Verilerin neler olduğunu süreç bazlı olarak gösteren bölüm yetkilileri tarafından düzenlenmiş ve imzalı bulunan envanter |
Kişisel Verilerin Silinmesi |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi |
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Veri Tabanı |
Veri kayıtlı olan dosyaların tümü. |
Kişisel Verilerin Anonim Hali Getirilmesi |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler. |
Periyodik İmha |
Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek imha işlemi. |
Veri Kayıt Sistemi |
Kişisel Verilerin Şirket bünyesinde işlendiği kayıt sistemleri. |
Veri konusu kişi grubu / İlgili Kişi |
Şirketimiz ve/veya Şirketimizin bağlı şirketleri ve iştiraklerinin çalışan ve stajyerleri, çalışan ve stajyer adayları; müşteri, potansiyel müşteri ve tedarikçilerinin ortak, yönetici ve çalışanları; Şirketimizin hissedarları, yetkilileri, ziyaretçileri, danışman, eğitmen ve denetçileri, iş birliği içinde çalıştığı kurumların çalışanları gibi kişisel verisi işlenen gerçek kişilerdir. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. İşbu Politikada geçen Veri Sorumlusu Bosal Metal İşleme Sanayi Anonim Şirketi unvanlı şirketimizdir. |
IV- KİŞİSEL VERİSİ İŞLENEN İLGİLİ KİŞİLER (VERİ KONUSU KİŞİ GRUPLARI) VE KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİMİZ
Veri Sorumlusu olarak Şirketimizin kişisel verisini işlediği ilgili kişiler sıklıkla aşağıda belirtilen gerçek kişilerdir. Bu Politika’nın uygulama alanı, aşağıdaki veri sahiplerine ait kişisel verilerin işlenme süreçleridir:
Stajyer |
Çalışan |
Aile Üyeleri |
Danışman |
Yönetici |
Veli/Vası |
Çalışan Adayı |
Ziyaretçi |
Taşeron |
Müşteri |
Tedarikçi |
Eski Çalışan |
Şirket Ortakları |
Üçüncü taraf |
Bu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir.
V-İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
Yukarıda yer verilen kişi gruplarına ait işlediğimiz Kişisel Veri kategorileri ise genel olarak aşağıda listelenenlerdir
Kimlik verileri, |
İletişim verileri, |
İşlem güvenliği verileri, |
Özlük verileri, |
Aile bireyleri ve yakınlarına ait veriler, |
Mesleki deneyim ve eğitim verileri, |
Talep, yorum ve öneriler, |
Müşteri ve Tedarikçilere ait işlem verileri, |
Finans veriler, |
Pazarlama verileri, |
Hukuki İşlem verileri, |
Fiziksel mekân güvenliğine dair veriler, |
Görsel ve işitsel kayıtlar, |
Sağlık verileri, |
Ceza mahkumiyeti verileri, |
Biyometrik veri, |
VI. KİŞİSEL VERİLER İŞLENİRKEN DİKKATE ALDIĞIMIZ GENEL İLKELER
Şirketimiz, Kişisel Verileri işlerken öncelikle Kanun’un 4. Maddesinde yazılı olan genel ilkelere uygun hareket eder. Bu doğrultuda, Kişisel Verileri sadece aşağıda bildirilen esaslara uygun olarak işlenmektedir:
KVKK’un 4. maddesi uyarınca veri sorumlusu konumundaki ABC Şirketi, kişisel verilerin işlenmesinde aşağıdaki ilkelere uygun hareket etmektedir:
- Hukuka ve dürüstlük kurallarına uyum: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmektedir. Bu doğrultuda veri sorumlusu olarak şirketimiz, her türlü kişisel veri işleme süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük kurallarına uymaktadır.
- Doğruluk ve güncellik: Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri kurgulamalıdır. Bu doğrultuda şirketimiz, veri sahiplerinin verilerini güncellemesi için olanak sağlamakta ve verilerin veri tabanlarına doğru bir şekilde aktarımını temin için gerekli önlemleri almaktadır.
- Belirli, açık ve meşru amaçlar için işleme: Veri sorumluları, KVKK kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda veri sorumlusu konumundaki şirketimiz veri işleme faaliyetlerini belirli ve meşru amaçlarla sınırlı tutmakta ve söz konusu amaçlara ilişkin olarak veri sahiplerini aydınlatma metinleri kapsamında açık bir şekilde bilgilendirmektedir.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirketimiz tarafından kişisel veriler, temin edildikleri sırada veri sahibine bildirilen amaç için gerektiği ölçüde, bu amaçla bağlantılı ve sınırlı olarak işlenmektedir.
- İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Veriler, yürürlükte bulunan mevzuat kapsamında belli bir süre belirlendiği takdirde bu süre boyunca muhafaza edilmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirketimiz prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Bahsi geçen sürelerin sona ermesini takiben ise veriler, şirketimiz prosedürleri doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel Verileri saklama sürelerimiz ve imha yöntemlerimiz “Saklama ve İmha Politikamızda” düzenlenmiştir.
VII. KİŞİSEL VERİLERİ İŞLEME ŞARTLARIMIZ VE İŞLEME AMAÇLARIMIZ
Şirketimiz, Kişisel Verileri, yukarıda bahsi geçen genel ilkelerle uyumlu şekilde Kanun’un 5. Maddesi ve Özel Nitelikli Kişisel Verileri için de 6. Maddesinde işleme şartlarına (hukuka uygunluk sebepleri) istinaden işlemektedir.
Buna göre Şirketimizde Kişisel Verileri Kanun’un 5. Maddesine istinaden aşağıdaki esaslara uygun olarak işlenmektedir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık sebebiyle İlgili Kişinin açık rızasının alınamaması,
- Sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri Sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
- İlgili Kişinin temel hal ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaati için veri işlemenin zorunlu olması işleme şartlarından bir veya birkaçına dayanarak
- Gereken hallerde İlgili Kişinin Açık Rızasının temin edilmesi suretiyle toplamakta ve işlemektedir.
Şirketimiz, Özel Nitelikli Kişisel Verileri ise Kanun’un 6. Maddesinde belirtilen işleme şartlarından birinin mevcut olması halinde işler. Buna göre;
- İlgili Kişinin Açık Rızasının mevcut olması,
- Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesinin kanunlarda öngörülmesi,
- Sağlık ve cinsel hayata ilişkin kişisel veriler için ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
Şirketimiz, Kişisel Veri İşleme Envanterinde yer alan süreçler bazında Kişisel Verileri genellikle aşağıdaki amaçlarla işlemektedir:
- Taraf olduğumuz sözleşmeler ve yürürlükteki mevzuat gereği üstlendiğimiz tüm edim ve taahhütleri yerine getirilebilmek, sahip olduğumuz hakları talep edebilmek, kanuni ve idari yükümlülüklerimizi ifa edebilmek,
- Genel anlamda Şirketimizin tüm amaç ve iş faaliyetlerini yürütebilmek;
- Ticari faaliyetlerimizi geliştirebilmek, ürünlerimizin kalitesini ve çeşitliliğini artırabilmek;
- Ürünlerimizin tadımlarını yapabilmek, sonuç ve beğenileri ölçümlemek ve iş süreçlerinin iyileştirilmesine ve geliştirilmesine yönelik önerileri almak ve değerlendirmek;
- Pazarlama, tanıtım, müşteri hizmetleri ve iletişim faaliyetlerini planlayabilmek ve yürütebilmek;
- Kurumsal satış, pazarlama, müşteri ilişkileri, bilgi teknolojileri, muhasebe süreçlerini etkin bir şekilde planlanmak ve uygulayabilmek;
- Kalite Kontrol ve Kalite Güvence için ihtiyaç duyulan teknik hizmetler ile EFQM mükemmellik modeli yolculuğu ve ödül sürecini planlamak ve yönetebilmek;
- Müşteri ilişkilerini kurmak, yönetmek, ürün teslimi ve tahsilat dahil ilgili tüm süreçleri yürütebilmek; Her türlü mal ve hizmet tedariki ilişkilerini kurmak, yönetmek, ödeme ve değerlenme dahil ilgili tüm süreçleri yürütebilmek;
- Her türlü etkinlik, organizasyon ve seyahatleri planlayabilmek;
- Her türlü muhasebe işlemlerini yürütmek, elektronik veya fiziki ortamda tüm mali kayıt ve belgeleri düzenlemek, tutmak;
- Yasal defterleri tutmak, fatura, e-fatura, makbuz vb. düzenlenmek;
- Cari hesap, borç-alacak kayıtlarını tutmak;
- Gümrük ve mali mevzuattan kaynaklı bilcümle taahhüt ve yükümlülüklerimizi yerine getirebilmek;
- Bilcümle borç, alacak ve bakiye ödemelerini takip etmek, ödeme yapmak, ödeme kabul etmek, teminat vermek ve kabul etmek;
- Şirketimizin bütçe, planlama, denetim, hukuk ve mali raporlama işlemlerini icra ve takip etmek;
- Kalite güvence ve kalite kontrol süreçlerini planlamak, ilgili denetimleri yapabilmek;
- Seçme ve yerleştirme süreçlerini planlamak ve yönetmek;
- İşe alım, performans yönetimi, yan hak ve sosyal menfaatlerin tesisi, terfi, ödüllendirme, disiplin gibi insan kaynakları süreçlerini planlanmak ve uygulamak;
- Başta İş Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Sağlığı ve Güvenliği Kanunu, Alt İşverenlik Yönetmeliği olmak üzere, yürürlükteki tüm iş ve sosyal güvenlik mevzuatından kaynaklanan yasal ve idari yükümlülüklerimizi yerine getirebilmek;
- İş sözleşmelerini kurmak, kurulan iş sözleşmeleri gereği üstlendiğimiz tüm taahhüt ve yükümlülüklerimizi yerine getirebilmek, haklarımızı talep edebilmek;
- Çalışanlarımızın bordro ve özlük işlemlerini takip etmek, bu kapsamda aylık bordroları düzenlemek, yasal bildirgeleri sunmak, ücret ve yan hakları ödemek ve/veya tahsis etmek, sosyal yardımları sağlamak, fazla çalışmaları ve tatilleri takip etmek, gereken kesintileri yapmak, iş göremezlik hallerini takip etmek,
- İş sağlığı ve güvenliği kural ve esasları kapsamında zorunlu olan takip ve kayıtları tutmak, işe giriş muayenelerini yapmak, iş sağlığı ve güvenliği kapsamında ilgili tüm süreçleri planlamak, yürütmek;
- Çalışanların çalışma süreleri, vardiya düzenleri, izin dönemlerini planlanmak;
- İç iletişimi yürütmek, kurumsal bağlılık, çalışan bağlılığı ve memnuniyetini artırmak amacıyla gerek görülen faaliyetleri planlanmak;
- İş seyahatleri, eğitim ve çalışanlara yönelik etkinlikleri planlamak;
- Sosyal sorumluluk faaliyetlerini yürütmek,
- Tüm İşyerlerimizin, iş ortamlarımızın, fiziki ve elektronik her türlü kayıt ortamlarımızın ve web-sitemizin ilgili mevzuata göre işletilebilmelerini ve genel olarak güvenliğini sağlayabilmek;
- Her türlü ziyaretçilerimizin kayıtlarını oluşturmak, takip etmek, yasal ve güvenlik gerekliliklerini takip etmek;
- Şirketimizin yönetici ve imza yetkililerini atamak, tescil ve ilan etmek, imza sirkülerini düzenlenmek, vekâletnameleri çıkartmak;
- Şirketimizin taraf olduğu her türlü hukuki ilişkinin ve sözleşmenin sona ermesine dair bilcümle süreçleri yürütmek;
- Şirketimizin taraf olduğu hukuki işlemlerin, Şirketimize tebliğ edilen tebligat ve taleplerin gerekliliklerini yerine getirebilmek;
- Bilgi ve veri güvenliği süreçlerini yürütmek, bu bağlamdaki yasal yükümlülükleri yerine getirebilmek, sistem ve sunucularımızın güvenliğini sağlayabilmek;
- Acil durum ve risk yönetimi süreçlerini planlamak, yürütebilmek;
- Mevzuattan doğan tüm yükümlülüklerimizi yerine getirmek;
- Kamu sağlığı, güvenliği ve düzenine ilişkin hususlarda kamu makamlarına bilgi vermek;
- İlgili resmi ve idari kurumlardan ya da yargı mercilerinden gelen bilcümle talepleri yanıtlamak, savunma hakkımızı kullanmak.
VII. KİŞİSEL VERİLERİN GÜVENLİĞİ
Şirketimiz, işlediği kişisel verilerin hukuka ve dürüstlük kurallarına aykırı olarak işlenmesini ve kişisel verilere yetkisiz ve hukuka aykırı erişilmesini önlemek, kişisel verilerin yeterli güvenlik seviyesinde saklanmasını ve gereken hallerde yeterli güvenlik seyisinde aktarılmasını temin etmek amaçlarıyla gerekli teknik ve idari tedbirleri almaktadır. Kanun, bağlı mevzuatı, Kurum’un Veri Güvenliği Rehberi başta olmak üzere ilgili rehber ve kılavuzları ile Kurul Kararları düzenli olarak takip edilmektedir.
Şirketimiz, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası sahibidir ve bu kapsamda da gerekli idari ve teknik tedbirleri almıştır.
Şirketimizin bir Veri Sorumlusu olarak, kişisel verilerin hukuka uygun ve korunaklı bir şekilde işlenmesini ve saklanmasını sağlamak amacıyla aldığı teknik ve idari tedbirlerden bazıları aşağıdaki gibidir:
- Teknik Tedbirler
Şirketimiz, öncelikle teknik olarak sahip olduğu tüm imkanlarla veri güvenliğini sağlamaya çalışmaktadır. Bu çerçevede, Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasının da sahibi olarak;
- Şirketin bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini sağlayacak şekilde ISO 27001 standardı kapsamında düzenli takibi ile sürekliliğinin sağlanması,
- Şirket çalışanlarının ve üçüncü tarafların Şirket tarafından tahsis edilen bilgi sistemleri kaynaklarını kullanırken yerine getirmesi gereken temel sorumlulukların belirlenmesi,
- Bu temel sorumlulukların ihlali durumunda izlenecek disiplin süreçlerinin belirlenmesi,
- Şirketin log (iz kaydı) yönetimi uygulama ve gereksinimlerinin log üretimi, depolama, iletim, erişim, saklama ve imha etme kurallarının belirlenmesi,
- Şirketin ilgili süreçler/birimlerde bulunan bilgi varlıklarının belirlenmesi, varlıkların sahiplerinin belirlenmesi, belirlenen bilgilerin sınıflandırılması ve bu sınıflara bağlı kullanım kurallarının tayin edilmesi,
- Taşınabilir cihazların teslimat şartlarının oluşturulması ve teslim edilmesi hakkındaki tanımların ve kuralların tayini için Şirket içi yönergeler oluşturmuş, tüm ilgililerle yazılı ve sözlü olarak paylaşmıştır.
Veri güvenliği için topladığımız kişisel verilere sadece yetkili birim ve kişilerce erişilmesine ve onlar tarafından işlenmesine izin veriyor, Şirket içi ve/veya Şirket kontrolündeki erişimlerde erişim yapılan bilgisayarın log kayıtlarını saklıyoruz. Bu doğrultuda, ihtiyaç halinde log verisi incelenmekte, raporlanmakta ve gerekli önlemler alınmaktadır. Log yönetim sistemlerinde, hiçbir personele yazma ve değişiklik amaçlı erişim izni verilmemektedir.
Kişisel Verilerin güvenliğinin tesis ve temini için Bilgi Teknolojileri Birimimiz azami özen ile çalışmaktadır. Kişisel Veriyi muhafaza ederken şifreli ve korunaklı programlar kullanılmaktadır, anti-virüs programı, firewall programı günceldir. Öte yandan ileti gönderimlerinin güvenliğini periyodik olarak denetliyor, saldırı tespit ve önleme yazılımları ve yedekleme sistemlerini de sistematik bir biçimde kullanıyoruz. Veriye erişim yetkisi olanların dışında hiç kimse ile şifre ve kullanıcı adlarını paylaşmıyoruz.
Otomatik olmayan yöntemlerle işlediğimiz ve kayıt altında tuttuğumuz Kişisel Verileri ise kilitli dolap ve kapalı zarflar içinde muhafaza ediyoruz. Kişisel Veri barındıran dolap ve saklama yerlerinin kilitleri sadece ilgili birim ve yetkilendirilmiş çalışanlarda mevcuttur. Şirket dışındaki ortamlarda toplanan Kişisel Veriler ilgili çalışanlarımızın denetiminde muhafaza edilerek, Şirketimize iletilmektedir.
- İdari Tedbirler
Şirketimizde işlenen Kişisel Veriler ilgili süreçler, veri işleyen birimler, işleme amaçları, veri kategorileri ve İlgili Kişiler temelinde analiz edilmiş ve bu kapsamda bir “Kişisel Veri İşleme Envanteri” oluşturulmuştur. Kişisel veri işlerken dayandığımız hukuka uygunluk sebeplerimiz de Kişisel Veri İşleme Envanterinde gösterilmiştir.
Kişisel Verileri her zaman Kanun’un 4. Maddesindeki genel ilkelere gözeterek, toplandıkları amaç ile sınırlı ve bağlantılı olarak, hukuken işlenebilir haller etrafında işler ve gerekli olan süreler kadar muhafaza ederiz. Bu bağlamda, Şirketimizin “Kişisel Veri Saklama ve İmha Politikası” da mevcuttur.
Çalışanlarımız, Kişisel Verilerin korunması konusunda bilgilendirilmekte ve eğitilmektedirler. Şirketimiz ile çalışanlar arasında akdedilen sözleşmelere Kişisel Verileri koruma, güvenliğini sağlama ve Şirketin açık talimatları ve kanunlarla getirilen istisnalar dışında ifşa etmeme ve kullanmama yükümlülüklerine dair taahhütler eklenmiştir.
Kişisel Veri içeren dosya ve klasörler, ilgili birim dolaplarında, arşivlerinde yetkisiz kişilerce erişilemeyecek şekilde saklanmakta, söz konusu dolap ve arşiv odaları kilitli olarak tutulmaktadır. Kişisel Verilerin muhafaza edildiği dolap ve odaların anahtarları/şifreleri yalnızca ilgili verilere erişim yetkisi olan sorumlularda bulunmakta ve söz konusu ortamlara yetkisiz erişim önlenmektedir.
Şirketimiz, Kişisel Verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi konusunda Şirket içindeki koordinasyonu sağlamak ve bu konuda Kanun’a olan uyumluluğu sağlamak amacıyla dahili Bosal Kişisel Verilerin Korunması Kurulunu oluşturmuştur.
Şirketimizin taraf olduğu sözleşmelere Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler konulmaktadır. Şirketimizin tedarikçileri ile imzaladığı gizlilik ve kişisel verilerin korunması taahhüdü mevcuttur.
Şirketimiz aydınlatma yükümlülüğünü yerine getirmekte ve İlgili Kişiler ve işleme amaçlarına göre hazırlanmış aydınlatma bildirimleri kullanmaktadır. Şayet işleme şartı Açık Rıza ise, İlgili Kişiden aydınlatmaya dayalı olarak Açık Rıza alınmaktadır.
Şirketimiz, Kanun ve ilgili mevzuat hükümleri ile kişisel verilerin güvenliğine ilişkin yürürlüğe koyduğu politikaların uygulanmasını sağlamak amacıyla gerekli denetimler yapmaktadır/yapacaktır. Veri İhlali Müdahale Planımız hazırdır.
Yukarıda “Teknik Tedbirler” başlığında açıkladığımız üzere Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Anılan Bilgi Güvenliği Sistemi ile teknik kurallara ilaveten, idari kurallar ve süreçler de yönergelerle tespit ve tayin edilmiştir.
Tüm bunlarla birlikte Şirketimize veri giriş kapıları, verinin içerideki akışı, verinin üçüncü kişilere aktarıldığı noktalar, verinin saklama ve kayıt ortamları azami ölçüde tespit edilmekte, buralara aydınlatma bildirimleri, gereken hallerde açık rıza formları, veri güvenliği ve gizliliği taahhütleri yerleştirilmektedir. Alınan tüm tedbirler periyodik olarak incelenmekte ve gerektiği zaman güncellenmektedir.
IX ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER
Özel Nitelikli Kişisel Veri kategorisinde kalan veriler, Kanun’un 6. maddesi ve Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı uyarınca ve yeterli güvenlik önlemlerini alınarak işlenmektedir. Bu kapsamda yukarıda sayılan teknik ve idari tedbirlere ek olarak;
- Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
- Eğitimler verilmektedir
- İş sözleşmelerine gizlilik hükmü eklenmiştir, ayrıca gizlilik taahhüdü alınmaktadır.
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri tanımlıdır.
- Periyodik olarak yetki kontrollerinin gerçekleştirilmektir.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlarda;
- Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte ve kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
- Veriler üzerinde gerçekleştirilen tüm hareketler ve işlem kayıtları güvenli olarak loglanmaktadır.
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta, test sonuçlarının kayıt altına alınmaktadır.
- Verilere erişilen yazılımların güvenlik testleri düzenli olarak yapılmakta ve kayıt altına alınmaktadır.
- Verilere uzaktan erişim halinde, kademeli kimlik doğrulama sisteminin sağlanmaktadır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda;
- Elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara tedbirler alınmaktadır.
- Yetkisiz giriş yapılmamaktadır. Kilitli çekmece ve dolaplarda muhafaza w
- Özel nitelikli kişisel verilerin aktarımında:
- Verilerin e-posta yoluyla aktarılması gerektiğinde, şifreli olarak kurumsal e-posta adresiyle aktarılacaktır.
- Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenerek ve anahtar farklı ortamda tutularak, aktarılacaktır.
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veri aktarımı gerçekleştirilecektir.
- Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerektiğinde evrakın “yüksek gizlilik” derecesi ile gönderilmesi sağlanacaktır.
X. KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz, topladığı kişisel verileri, Kanun’un 8. (yurt içi) ve 9. (yurt dışı) Maddeleri uyarınca, Kurul tarafından alınan kararlara ve ilan edilen ikincil düzenlemelere uygun olarak üçüncü kişilere aktarabilecektir.
Şirketimiz, Kişisel Verileri, gereken hallerde ve işleme amacı ile bağlantılı olarak, yurt içinde bulunan;
- Mahkemeler ve icra daireleri, vergi daireleri, noterler, Sosyal Güvenlik Kurumu Müdürlükleri, Bölge Çalışma Müdürlükleri, İş-Kur, Emniyet Müdürlükleri;
- Ticaret Bakanlığı, Ekonomi ve Hazine Bakanlığı, Tarım ve Orman Bakanlığı bünyesinde başta Gıda ve Kontrol Müdürlüğü olmak üzere ilgili bakanlıklar ve müdürlükler;
- Gümrükler;
- Yetkili kamu veya özel kurum ve kuruluşlar;
- Denetim, gümrük, hukuk, bordro-muhasebe, insan kaynakları, işe alım, eğitim danışmanlığı gibi hizmet tedariki firmaları;
- Hastaneler, sağlık kuruluşları, bankalar, sigorta ve emeklilik şirketleri;
- Mesleki dernekler;
- Personel taşımacılığı hizmeti sunan firmalar, personel devam kontrol kayıt sistemi hizmet sunucuları;
- Pazarlama ve reklam ajansları;
- e-finans şirketleri, telekomünikasyon şirketleri, arşiv, depolama, bilgi işlem ve veri tabanı sunucuları, hizmet aracıları;
- Organizasyon şirketleri, seyahat acenteleri, vize danışmanları, konaklama tesisleri gibi hizmetlerin tedarikçiliğini yapan firmalar ile paylaşabilecektir.
Kişisel Verilerin üçüncü kişilere aktarımına ilişkin olarak Şirketimiz, sözleşmelerinde veya bu amaçla hazırlanmış belgelerle karşı taraftan gizlilik ve uyumlu işleme taahhütleri almaktadır.
Şirketimiz, yurtdışına veri aktarımında bulunması gerektiğinde Kanun’un 9. maddesi sınırları içinde hareket eder. Bu bağlamda, verinin aktarılacağı ülke güvenli ülkeler arasında sayılmamış ise, ya ilgili kişinin açık rızasına başvurulur ya da ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği aktarım taahhütnamesi imzalanır ve Kurulun iznine başvurulur. Şirketimiz tarafından kişisel verilerin yurtdışına;
- Veri sahibinin açık rızasının bulunması halinde,
- Veri sahibinin açık rızası bulunmadığı ancak yukarıda belirtilen diğer şartlardan bir veya birkaçının karşılandığı hallerde;
- Verilerin aktarıldığı ülkede yeterli koruma bulunması ve
- Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ilgili yabancı ülkedeki veri sorumlusu ile şirketimize yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile
Yukarıdaki şartlar kapsamında şirketimiz tarafından kişisel veriler, aşağıdaki taraflara aktarılmaktadır:
- Şirketimiz tarafından dış kaynak kullandığı süreçlerde hizmet alımını temin amacıyla tedarikçilere.
- İş ortaklığının amaçlarının yerine getirilmesini temin amacıyla iş ortaklarına.
- Hukuki yetkileri çerçevesindeki talep edilen bilgilerle sınırlı olarak Hukuken yetkili kamu kuruluşları ve hukuken yetkili özel kişi veya kuruluşlara.
XI. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
Şirketimiz, Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini gerektiren durumlar karşısında Kanun’un 7. Maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik doğrultusunda hareket etmektedir.
Burada belirtilen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerine ilişkin usul ve esaslar ile çalışma prensiplerimizin detayları, Şirketimizin “Kişisel Veri Saklama ve İmha Politikası” ile düzenlenmiştir.
Bununla birlikte, İlgili Kişiler, Şirketimize yöneltecekleri talep ile kendilerine ait Kişisel Verilerin imha edilmesini talep edebilecektir. Söz konusu talebin Şirketimize ulaşması üzerine, Şirketimiz:
- Kişisel Verileri işleme şartlarının tamamı ortadan kalkmışsa, talebe konu Kişisel Veriler silinmek, yok edilmek veya anonim hale getirilmek yöntemlerinden öncelikle talep edilen yöntemle, şayet bu mümkün değilse, açıklaması ile birlikte mümkün olan yöntemle imha edilir. Bu surette ilgili kişinin talebi en geç otuz (30) gün içinde sonuçlandırılarak, kendisine bilgi verilir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirketimize yöneltilen talep, söz konusu durum hakkında gerekçeli bilgilendirme yapılarak, Kanun’un 13. maddesinin üçüncü fıkrası uyarınca reddedilir. Böyle bir durumda red cevabımız ilgili kişiye en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
- Kişisel verilerin işleme şartlarının tamamı ortadan kalkmış ve fakat ilgili kişinin talebine konu olan kişisel veriler üçüncü kişilerle paylaşılmış ise, Şirketimize yöneltilen talep verilerin paylaşıldığı üçüncü kişiye bildirilir ve üçüncü kişi tarafından bu Politika ve mevzuat çerçevesinde gerekli işlemlerin yapılması talep edilir.
XII. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
İlgili Kişiler, Kanun’un 11. Maddesi uyarınca aşağıdaki haklara sahiptirler:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurtdışında aktarıldığı üçüncü kişileri bilme,
- Eksik/yanlış işlenmişse düzeltilmesini isteme,
- Gereken şartlar çerçevesinde silinmesini, yok edilmesini isteme
- Yukarıda belirtilen düzeltme, silinme ve yok edilmeye ilişkin haklarınız uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen kişisel verilerinizin münhasıran otomatik yöntemlerle analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
Talepler aşağıdaki şekil ve şartlarda internet sitemizdeki “Başvuru Formu” açıklamalarına uygun olarak iletilebilir.
- Islak imzalı olarak ve geçerli bir kimlik belgesinin fotokopisi ile birlikte, Pelitli Mahallesi 4443. Sk.No:6 Gebze/Kocaeli adresine göndererek,
- Geçerli bir kimlik belgesi ile birlikte bizzat başvurarak,
- Kayıtlı elektronik posta (KEP) adresi ve güvenli elektronik imza kullanmak suretiyle ……………@hs02.kp.tr KEP adresimize göndererek,
- İlgili Kişi tarafından tarafımıza daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresinden …@......com.tr ve gelisim@aromsa.com adresimize e-posta ile göndererek,
Başvurularda;
- Ad, soyadı ve başvuru yazılı ise imzanız,
- Başvuran Türkiye Cumhuriyeti vatandaşı ise T.C. kimlik numarası, yabancı uyruklu ise uyruk bilgileri ve pasaport numarası veya varsa yabancı kimlik numarası
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve/veya faks numarası
- Başvuruya konu talepler açıkça yer almalıdır.
Konuya ilişkin bilgi ve belgeler başvuruya eklenmelidir. Şirketimiz, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek amacıyla başvurucudan bilgi ve belge talep etme ve yapılan başvuruda yer alan talepleri ve bilgileri açıklığa kavuşturmak amacıyla, İlgili Kişiye başvurusu ile ilgili soru yöneltme haklarına sahiptir. Talepler en kısa sürede, her halde en geç 30 gün içerisinde cevaplandırılacak ve sonuçlandırılacaktır.
XIII. KİŞİSEL VERİLERİN KORUNMASI İLE İLGİLİ ŞİRKET İÇİ YÖNETİMYAPISI
Şirketimiz bünyesinde, KVKK’a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla bir “Bosal Kişisel Verilerin Korunması Kurulu” kurulmuştur. Bu kurulun başlıca görevleri;
- Şirket bünyesinde kişisel verilerin korunması ve işlenmesi ile politika ve prosedürleri hazırlamak ve yürürlüğe konulması için gerekli aksiyonları almak,
- Politika ve prosedürlerin uygulanması için şirket bünyesinde gerekli görev dağılımını yapmak ve ilgili aksiyonların alındığının takibinin gerçekleştirmek,
- KVKK’un 12. maddesi uyarınca yapılacak denetimlerin takibini yapmak,
- KVKK’un uygulaması ile ilgili şirket bünyesinde farkındalığı arttırmak için alınacak aksiyonları belirlemek, aksiyonlara ilişkin gerekli görev dağılımını yapmak,
- KVKK ve/veya politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek soru ve sorunların çözümü için gerekli aksiyonların alınmasını sağlamak,
- Gereken hallerde veri sahibi başvurularının çözümü için gerekli aksiyonları almak,
- Kişisel Verileri Koruma Kurumu ile olan ilişkileri yürütmektir.
İşbu Kişisel Verilerin İşlenmesi ve Korunması Genel Politikası, Şirketimizin web sitesinde (www……..com), (www…..com.tr) yayımlanarak kamuoyuna sunulmuştur. Başta 6698 sayılı Kanun olmak üzere yürürlükteki Mevzuat ile bu Politikada yer verilen herhangi düzenlemenin çelişmesi halinde Mevzuat hükümleri uygulanır.
Şirket, yasal düzenlemelere paralel olarak Politikada tek taraflı olarak değişiklik yapma hakkını saklı tutar. Güncellenen versiyonlar aynı yöntem ile kamuoyunun bilgisine sunulur.
Veri Sorumlusu
BOSAL METAL İŞLEME SANAYİ A.Ş.
Mersis No: 0080031993300017
Adres: Pelitli Mahallesi 4443.Sk.No:6 Gebze/Kocaeli
Telefon: +90 262 …………..
Kep Adresi:……….a@hs02.kep.tr
E-posta: ……….@.......a.com.tr ve gelisim@aromsa.com
Kategori |
Açıklama |
Saklam Süresi |
Kimlik Bilgisi |
Ehliyet, Nüfus Cüzdanı, İkematgah, Pasaport, Diploma, Evllilik Cüzdanı, TCKN, Pasaport no, Nüfus Cüzdanı Seri No, ad-soyad, doğum yeri, doğum tarihi, nüfusa kayıtlı olduğu yer, meslek bilgisi, nüfus cüzdanı- ehliyet fotokopisi |
|
İletişim Bilgisi(*) |
Email, ev telefonu, cep telefonu, adres, KEP adresi, ikametgah |
|
Lokasyon Verisi |
Hizmete tahsis edilen şirket aracını takip için konum bilgisi, şirkete ait mobil uygulamanın eriştiği kullanıcı konum bilgisi |
|
Müşteri Bilgisi(*) |
Müşteri no, müşteri meslek bilgisi, araç plakası, araçla ilgili bilgiler, eğitim bilgisi, ayakkabı numarası, sigorta poliçe numarası |
|
Özlük Bilgisi |
Yasa gereği özlük dosyası oluştururken alınan her türlü bilgi ve belgeler |
|
Finansal Bilgi |
Kredi kartı borcu, kredi tutarı, kredi ödemeleri, ödenecek faiz tutarı ve oranı, borç bakiyesi, alacak bakiyesi |
|
Çalışan Bilgisi |
Çalışan ID, kullanıcı adları, şifreler, giriş-çıkış kayıtları, performas değerlendirme raporları, mülakatlar ve sonuçları, performans değerlendirme testleri, kişinin gönderildiği kurslar, kullandığı izinler, performans KPI’ları |
|
Log Bilgisi |
Kullanıcıların internet hareketleri kayıtları, şirkete giriş-çıkış kayıtları |
|
Pazarlama Bilgisi |
Alışkanlıkları beğenileri gösteren raporlar ve değerlendirmeler, hedefleme bilgileri, cookie kayıtları, veri zengileştirme faaliyetleri, memnuniyet anketleri, kampanyalar, doğrudan pazarlama çalışmaları netiesinde elde edilen |
|
İtibar Yönetimi Bilgisi |
Medyada ve sosyal medyada kurum yöneticileri ile ilgili yapılan yorumlar ve buna istinaden alınan aksiyonlar |
|
Şikayet Yönetimi Bilgisi |
Ürün ve hizmetler ile ilgili yapılan şikayetler, tavsiyeler ve sonuçları |
|
Hukuk Bilgisi |
Şirketin açtığı veya şirkete açılan davalara dair her türlü bilgi ve belge |
|
el Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
|