Kişisel Verilerin Korunması Prosedürü

AMAÇ VE KAPSAM

7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu”) temel amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır.

 ECE ARMATÜR veri sorumlusu olarak, kişilerin temel hak ve özgürlüklerine son derece önem vermekte olup ürün ve hizmetlerinden faydalanan kişiler dahil, kuruluş ile ilişkili gerçek kişilere ilişkin tüm kişisel verilerin KVK Kanunu’na uygun olarak işlenmesine, gizliliğinin ve güvenliğinin sağlanmasına azami hassasiyet göstermektedir.

 Faaliyetlerimizi sürdürürken elde ettiğimiz kamuya açık olmayan kişisel/özel nitelikli kişisel verilerin gizliliğini korumayı, muhafaza etmeyi, bu verileri işlerken yürürlükte bulunan mevzuata uyumlu olmayı taahhüt ederiz. Bu taahhüdü; gerekli yönetim modelini kurma, denetim yapma/yaptırma, süreç yönetimi ile risk analizi çalışmalarını hayata geçirme yoluyla yerine getirmekteyiz.

 Bu prosedür; müşteri ve potansiyel müşterilerimizin, müşterilerimizin yetkililerinin ve hissedarlarının, çalışan adayı ve stajyer adaylarının, iş ortağı adaylarımızın, iş ortaklarımızın çalışanlarının, hissedarlarının ve yetkililerinin, taşeron/tedarikçi/destek hizmeti kuruluşu adaylarımızın, taşeronlarımızın/tedarikçilerimizin/destek hizmeti kuruluşlarımızın çalışanlarının, hissedarlarının ve yetkililerinin, ziyaretçilerimizin, basın mensuplarının, veri sahiplerinin aile üyelerinin ve yakınlarının ve diğer üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi kapsamındaki uygulamaları tanımlamaktadır.

 

TANIMLAR

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Aydınlatma Yükümlülüğü: Veri sorumlusunun, KVK Kanunu Madde 10 çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla bilgileri ilgili kişiye sağlamakla yükümlü olduğu hususları,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumunu,

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade etmektedir.

 

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

Kişisel Verilerin İşlenmesinde Genel İlkeler

Kişisel veriler, ancak kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkeler dikkate alınır:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

 

Kişisel ve Özel Nitelikli Kişisel Verilerin İşlenmesi

Anayasanın 20’nci maddesinde yapılan düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür. Bu doğrultuda, kişisel verilerin korunması anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Kuruluşumuz kişisel verileri, Anayasa ve Kanun’a uygun biçimde veri sahibinin açık rızasını temin ederek veya KVK Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak işlemektedir.

Dolayısıyla, kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.

Kişisel veriler, KVK Kanunu’nda sayılan aşağıdaki hallerin varlığında ilgili kişinin rızası olmaksızın işlenebilir:

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

Kişisel Veriler

“Kişisel Veriler” ilgili kişinin açık rızası olmadan işlenemez. İlgili kişinin açık rızası olmadan kişisel verilerin işlenebilme istisnaları KVK Kanunu Madde 5/2’de detaylandırılmıştır. ECE ARMATÜR, Kişisel verileri aşağıdaki kanuni koşullara uygun olarak toplayacak ve işleyecektir.

İlgili kişi, kişisel verilerinin toplanması ve/veya işlenmesine mevzuat ve politikaya uygun olarak bilgilendirildikten sonra özgür iradesi ile yazılı yahut elektronik ortamda açık rıza verdikten sonra işlenecektir. Kişisel sağlık verilerin işlenmesi durumunda açık rıza muhakkak yazılı alınır. Alınan açık rıza beyanları fiziksel ya da elektronik ortamda  belgelenip ve saklanacaktır.

Çalışanlara KVK Kanunu kapsamında “KVK Kanunu Personel Taahhütnamesi” ile taahhütname imzalatılır.

 

Özel Nitelikli Kişisel Veriler

“Özel Nitelikli Kişisel Veriler’in ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. İlgili kişinin açık rızası olmadan kişisel verilerin işlenebilme istisnaları KVK Kanunu Madde 6/3’te detaylandırılmıştır.

Özel Nitelikli Kişisel veriler yalnızca ilgili kişinin açık rızasının bulunması ya da, sağlık ve cinsel hayata ilişkin veriler hariç olmak üzere, kanunlarda açıkça öngörülen hallerde işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde “Kişisel Verileri Koruma Kurulu” kararlarına uygun hareket edilir.

Özel nitelikli verileri işleyen kişilere “Özel Nitelikli Verilerin Gizlilik Personel Taahhütnamesi “ imzalatılır. Örneğin; İnsan kaynakları süreç çalışanları, üretim şefleri, işyeri hekimi, iş güvenliği uzmanı vb.

Bu kapsamda hazırlanan açık rıza beyanları:

  • Çalışan Açık Rıza Beyanı – Erkek
  • Çalışan Adayı Açık Rıza Beyanı
  • Müşteri Açık Rıza Beyanı
  • Tedarikçi Açık Rıza Beyanı

 

Kişisel Verilerin Elde Edilme Yöntemleri

Kişisel veriler, ECE ARMATÜR tarafından sağlanan ürün, hizmet ve ECE ARMATÜR’ün ticari faaliyetlerine bağlı olarak değişkenlik göstermekle birlikte; otomatik ya da otomatik olmayan yöntemlerle veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla; onay ve/veya imzanızla tanzim edilen işlemlere ilişkin tüm sözleşmeler/bilgilendirme formları ve sair belgelerle, ECE ARMATÜR birimleri ve bölümleri, internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilecektir.

 

Kişisel Verilerin İmha Edilmesi ve Anonim Hale Getirilmesi

Kişisel veriler işlenme amaçlarına uygun olarak azami muhafaza süresince saklanır; bu süre mevzuatta belirlenen yükümlülüklere uygun davranmak ya da meşru işletme menfaatlerini korumak amacıyla daha uzun süre tutulabilir.

Hukuki, idari ya da ticari olarak gerekli süreler sona erdikten sonra ihtiyaç duyulmayan kişisel veriler mevzuata ve ilgili prosedüre uygun şekilde silinecek, anonimleştirilecek veya yok edilecektir.

ECE ARMATÜR fiziksel ve elektronik veri kayıt sistemlerinde bulunan kişisel verilere ilişkin olarak bu verilerin toplanma amacının ortadan kalkması ve hukuki saklama sürelerinin sona ermesi halinde tüm verilerin mevzuata uygun şekilde imhasından sorumludur.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınacaktır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç (3) yıl süreyle saklanacaktır.

 

Kişisel Verilerin Aktarılması

Kişisel veriler yalnızca ilgili kişinin veri aktarımına açık rızasının bulunması veya açık rızanın aranmadığı hallerden birinin varlığı halinde Türkiye’de bulunan üçüncü kişilere aktarılabilir.

Kişisel verilerin yurtdışında bulunan üçüncü kişilere aktarılmasında ise açık rızanın aranmadığı hallere ek olarak;

  • Kişisel verilerin aktarıldığı yabancı ülkenin yeterli seviyede koruma sağlaması,
  • İlgili yabancı ülkede yeterli korumanın bulunmaması durumunda ECE ARMATÜR’ün ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumanın sağlandığını yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması,

şartları bulunmalıdır.

 

Haklar ve Yükümlülükler

İlgili Kişinin Hakları

Kişisel verisi ECE ARMATÜR tarafından toplanan veya işlenen gerçek kişiler, KVK Kanunu uyarınca veri sorumlusuna başvuru hakkına sahiptir.

Kişisel verisi işlenen gerçek kişilerin KVK Kanunu’nun 11. maddesi uyarınca sahip olduğu haklar ve başvuru yöntemi,  “Kişisel Verilerin Korunmasına İlişkin Başvuru” bölümünde yer almaktadır.

 

Veri Sorumlusu’nun Yükümlülükleri

Aydınlatma Yükümlülüğü

ECE ARMATÜR ilgili kişilere, kişisel verilerin elde edilmesi sırasında kişisel verilerinin işlenmesi süreci ve veri işlemenin amaçları hakkında bilgilendirici, açık ve anlaşılır bir bildirim yapacak; bu kişilerin kişisel verilerine ilişkin hakları konusunda bilgilendirilmesini ve ECE ARMATÜR tarafından işlenen kişisel verilerine makul ölçüde erişimlerinin olmasını sağlayacaktır.  İlgili kişilere yapılacak bildirim asgari olarak aşağıdaki unsurları içerir:

  • Veri sorumlusunun veya var ise temsilcisinin kimliği,
  • Veri işlemenin amacı, yöntemi ve hukuki sebebi,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • İlgili kişilerin kanuni hakları,

ECE ARMATÜR kişisel verileri genel olarak “Kişisel ve Özel Nitelikli Kişisel Verilerin İşlenmesi” maddesinde tanımlanan sebeplerden dolayı işlemektedir. Bu kapsamda; çalışan, çalışan adayı, tedarikçi, müşteri ve ziyaretçi olmak üzere beş ayrı aydınlatma metni hazırlanmıştır. Bu aydınlatma metinlerine ECE ARMATÜR ile iletişime geçerek ulaşabilirsiniz:

  • Çalışan Aydınlatma Metni
  • Çalışan Adayı Aydınlatma Metni
  • Müşteri Aydınlatma Metni
  • Tedarikçi Aydınlatma Metni
  • Ziyaretçi Aydınlatma Metni

 

Veri Güvenliğine İlişkin Yükümlülükler

ECE ARMATÜR ilgili mevzuatta belirlenen kapsamda;

  • Kişisel verilerin hukuka aykırı olarak işlenmemesini
  • Kişisel verilere hukuka aykırı olarak erişilmemesini
  • Kişisel verilerin kötüye kullanılmasını, ifşasını, değiştirilmesini ve yok edilmesine karşı muhafazasını

sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alır.

  • Kişisel veri güvenliğini sağlamak amacıyla gerekli denetimleri yapar veya yaptırır.
  • Kuruluşumuz faaliyetleri çerçevesinde topladığı ve/veya işlediği kişisel verileri;
    • KVK Kanunu hükümlerine ve politikaya uygun olarak gizli tutar,
    • İşleme amacı dışında kullanmaz,
    • Görevi gereği Kişisel verilerin işlenmesi faaliyetine dahil olmayan çalışanının her türlü veri İşleme faaliyetini yasaklar,
    • Çalışanlarının görevinin sınırlarına uygun kapsamda ve ölçüde kişisel verilere erişimine imkan tanır. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, ECE ARMATÜR bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

 

Veri Sorumluları Siciline Kayıt 

ECE ARMATÜR, “Veri Sorumluları Sicili Hakkında Yönetmelik” kapsamında Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan veri sorumluları siciline kayıt ve gerekli durumlarda güncelleme yükümlülüğü yerine getirilmektedir.