Kişisel Verilerin Korunması, İşlenmesi ve Saklanması Politikası

Kişisel Verilerin Korunması, İşlenmesi ve Saklanması Politikası

İçindekiler Tablosu

1. Politikanın Amacı ve Kapsamı
2. Kavramlara Ait Tanımlar
3. Kişisel Verilerin Kayıt Ortamları
4. İlgili Kişi Grupları ve İşlenen Kişisel Veri Türleri
4.1 Kişisel Verileri İşlenen İlgili Kişi Grupları
5. Kişisel Verilerin İşlenmesine İlişkin İlkeler
5.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme
5.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
5.3 Belirli, Açık ve Meşru Amaçlarla İşleme
5.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
5.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
6. İlgili Kişi Gruplarının Kişisel Verilerinin İşlenmesi Şartları
6.1 Kanunda Açıkça Öngörülmesi
6.2 Fiili İmkânsızlık Sebebiyle Açık Rızanın Alınamaması
6.3 Sözleşmenin Kurulması ve İfasıyla Doğrudan İlgili Olması
6.4 TEZMAKSAN ‘ın Hukuki Yükümlülüğünü Yerine Getirmesi
6.5 Kişi Gruplarının Kişisel Verilerini Alenileştirmesi
6.6 Bir Hakkın Tesisi ve Korunması için Veri İşlemenin Zorunlu Olması
6.7 Meşru Menfaate Dayalı Olarak Kişisel Verilerin İşlenmesi
6.8 İlgili Kişi Grubunun Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi
7. Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller
7.1 Özel Nitelikli Kişisel Verilerin Açık Rızaya Dayalı İşlenmesi
7.2 Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenebileceği Haller
8. İlgili Kişi Gruplarının Aydınlatılması ve Bilgilendirilmesi
9. Kişisel Verilerin Kategorize Edilmesi
10. Kişisel Verilerin İşlenme Amaçları
10.1 Kişisel Verilerin İşlenme Koşulları
10.2 Kişisel Verilerin İşlenme Amaçları
11. Kişisel Verilerin Yurtiçi ve/veya Yurtdışı Üçüncü Kişilere Aktarılması
11.1 Kişisel Verilerin Aktarılması
11.2 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarım Amaçları
12. Kişisel Verilerin Güvenliği
13. Kişi Gruplarının Yasal Hakları ve Kullanma Yöntemleri
13.1 KVKK Kapsamında Kişisel Verilere İlişkin Haklar
13.2 Kişisel Verilere İlişkin Hakların Kullanılmasına İlişkin Esaslar
14. Yürürlülük ve Güncellenebilirlik

1. Amaç ve Kapsam

TEZMAKSAN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI (“Politika”), TEZMAKSAN MAKİNA VE TİCARET A.Ş. (“TEZMAKSAN”) tarafından gerçekleştirilmekte olan işleme faaliyetlerine ve işlenmekte olan Kişisel Verilerin Korunmasına yönelik iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

2010 yılında yapılan değişiklik sonucunda Anayasanın 20. maddesine eklenen fıkra ile Kişisel Verilerin Korunması Anayasal güvence altına alınmış ve Kişisel Verilerin Korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir. Öncelikle bir Anayasal hak olan Kişisel Verilerin Korunması konusunda TEZMAKSAN, şirket bünyesinde farkındalığın oluşması için gerekli çalışmaları düzenleyerek ve iç işleyişi Kişisel Verilerin Korunması mevzuatına uyumlu hale getirerek, bunu bir şirket politikası haline getirmektedir.

Bu Politika, TEZMAKSAN tarafından Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımaktadır.

2. Kavramlara Ait Tanımlar

AÇIK RIZA Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
ANONİM HALE GETİRME Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
KİŞİSEL VERİ SAHİBİ Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler, çalışanlar…
KİŞİSEL VERİ Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
ÖZEL NİTELİKLİ KİŞİSEL VERİ Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
KİŞİSEL VERİLERİN KORUNMASI Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
VERİ İŞLEYEN Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
VERİ SORUMLUSU Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişidir.
KVKK 6698 sayılı Kişisel Verilerin Korunması Kanunu

3. Kişisel Verilerin Kayıt Ortamları

TEZMAKSAN tarafından kişisel veriler aşağıdaki kayıt ortamları aracılığıyla işlenmektedir.

  • » Sunucular
  • » Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
  • » Bilgi güvenliği cihazları (güvenlik duvarı, günlük kayıt dosyaları, antivirüs vb. )
  • » Bilgi sistemleri veri tabanları (SQL, Progess, vb)
  • » Kişisel bilgisayarlar
  • » Optik diskler (CD, DVD vb.)
  • » Yazıcı, tarayıcı, fotokopi makinesi
  • » Yazılımlar (ofis yazılımları, ticari şirket yazılımları, devlet kurumlarına ait yazılımlar)
  • » Mobil cihazlar (telefon, tablet vb.)
  • » Elektronik olmayan yazılı, basılı, görsel ortamlar
  • » Kamera Kayıt Sistemi
  • » Geçiş Kontrol Sistemi

4. İlgili Kişi Grupları ve İşlenen Kişisel Veri Türleri

4.1 Kişisel Verileri İşlenen İlgili Kişi Grupları

TEZMAKSAN bünyesinde kişisel verileri işlenen kişi grupları ;gönüllü, kısmi süreli, stajyer, öğrenci, çalışanlar, alt yüklenici personelleri, sözleşme ve anlaşmaya bağlı uzaktan veya yerinde hizmet sağlayıcıları, aday çalışanlar da dahil (fakat bunlarla sınırlı olmaksızın) kişilerin ve aile bireylerinin veya yakınlarının, müşterilerin, tedarikçilerin, danışmanların, iş ortaklarının, hissedarlarının, şirket yetkilileri ve şirket vekillerinin, sözleşme ilişkisinde bulunulan kişi/kişilerin ve bunların çalışanlarının, hukuki işlemlerin muhatabı olan kişi/kişilerin (Şirket tarafından veya Şirket aleyhine açılmış/açılacak/kesinleşmiş davalar, icra takipleri, arabuluculuk işlemleri gibi hukuki işlemlerin taraflarının), sosyal sorumluluk sebebiyle burs ve destek sağlanan kişilerin ve ziyaretçilerin (web sitesi ziyaretçisi dahil) dahil olacak şekilde kapsama alınmıştır.

İlgili Kişi gruplarına ait işlenen kişisel veriler, işlenen kişisel veri türlerine, işleme amaçlarına, veri işleme yöntem ve hukuki gerekçelerine, veri aktarım türleri ve aktarım amaçlarına göre 4 farklı gruba ayrılmıştır.

İlgili kişi veri gruplarına göre Aydınlatma Beyanları hazırlanarak, TEZMAKSAN kurumsal kanallarında duyurulur.

  • 1. Müşteri Potansiyel Müşteri, Tedarikçiler, Çağrı Sahipleri, Anket ve Eğitim Katılımcıları vb. ilgili kişi grubuna ait AD-001 Nolu “Müşteri,Potansiyel Müşteri, Tedarikçiler, Çağrı Sahipleri, Anket ve Eğitim Katılımcıları Kişisel Verilerin Korunmasına İlişkin Aydınlatma Beyanı” düzenlenmiştir.
  • 2. Çalışan, Stajyer ve Alt Yüklenici Firma , Hissedar ve Şirket Ortakları vb. ilgili kişi gruplarına ait AD-002 Nolu “Çalışan, Stajyer ve Alt Yüklenici Firma , Hissedar ve Şirket Ortakları Kişisel Verilerin Korunmasına İlişkin Aydınlatma Beyanı” düzenlenmiştir.
  • 3. Çalışan Adayları, Aday Çalışanlar, Anket Katılımcıları vb. ilgili kişi gruplarına ait AD-003 Nolu “Çalışan Adayları, Stajer Adayları, Anket Katılımcıları Kişisel Verilerin Korunmasına İlişkin Aydınlatma Beyanı” düzenlenmiştir.
  • 4. Web sitesi ziyaretçileri ve Sosyal Medya Hesap Takipçileri, Fuar Ziyaretçileri ve Fiziksel Ziyaretçiler vb. ilgili kişi gruplarına ait AD-004 Nolu “Web sitesi ziyaretçileri ve Sosyal Medya Hesap Takipçileri, E-Posta Gönderimi Yapılan Müşteri/Müşteri Adayı/ Ziyaretçilerimiz, Fuar Ziyaretçileri ve Fiziksel Ziyaretçiler Beyanı” düzenlenmiştir.

Adaylar Hakkında Referans Araştırması Yapılması: TEZMAKSAN, adaylar hakkında, adayların iş başvuru formunda ilgili alanları doldurmak suretiyle belirtmiş olduğu bilgiler ile referans araştırması yapabilir.

Yapılacak referans araştırması genel olarak adayın verdiği bilgilerin doğruluğunu teyit etmeye yönelik olacaktır. Referans araştırması yapılması amacıyla iletişime geçilecek olan kişilere karşı aydınlatma yükümlülüğü ilk iletişim anında TEZMAKSAN yetkilisi tarafından yerine getirilecektir.

Yapılacak referans araştırması kapsamında üçüncü kişilerle, adaylara ait kimlik bilgileri, iş ve eğitim tecrübeleri gibi gerekli kişisel veriler paylaşılabilir. Ayrıca adaylar hakkında üçüncü kişilerden kişisel veri elde edilebilir.

5. Kişisel Verilerin İşlenmesine İlişkin İlkeler

TEZMAKSAN Kişisel Verilerin Korunması Konusunda şirket politikası olarak özel bir hassasiyet göstermekte olup bu doğrultuda aşağıdaki temel ilkelerin ışığında hareket etmektedir.

5.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket edilmektedir.

5.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Kişi gruplarının işlenen kişisel verilerinin doğru ve güncel olması için dönemsel kontrol yılda en az 1 defa olmak üzere, F.133 Kişisel Verilerin Kontrolü Formu kontrol edilmekte gerektiğinde güncellemeler yapılmaktadır. Periyodik Kontroller dışında oluşan Veri güncelleme talepleri F.134 Kişisel Veri Talepleri Formu ile ilgili birimlere iletilmekte ve gerekli düzenleme ve/veya düzeltmeler sağlanmaktadır.

Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya tedbirler TEZMAKSAN bünyesinde oluşturulmuş olup, KVK Komite toplantılarında yılda en az 1 defa olacak şekilde gözden geçirilmektedir.

5.3 Belirli, Açık ve Meşru Amaçlarla İşleme

Kişisel veriler açık, belirli ve meşru veri işleme amaçlarına dayalı olarak işlenmektedir. Verilerin hangi amaçla işleneceği, TEZMAKSAN tarafından düzenlenen Aydınlatma beyanlarında belirtilmektedir.

5.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler öngörülen amaç/amaçların gerçekleştirilebilmesi için ölçülü, amaçla ilintili ve sınırlı biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

5.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

TEZMAKSAN kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse şirket uygulamaları ve ticari yaşamının teamülleri uyarınca veya yukarıda anılan işleme amaçlarının gerekli kıldığı süre boyunca saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler TEZMAKSAN’ ın PL.45 Kişisel Verilerin Saklanması ve Silinmesi Anonim Hale Getirilmesi ve İmhası Politikası’ na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

6. İlgili Kişi Gruplarının Kişisel Verilerinin İşlenmesi Şartları

İlgili kişi gruplarının Açık Rızası, kişisel verilerin hukuka uygun olarak işlenmesini olanaklı kılan hukuka uygunluk sebeplerinden sadece bir tanesidir. Açık Rıza dışında, aşağıda yer alan diğer hukuka uygunluk sebeplerinden birinin varlığı durumunda da kişisel veriler işlenebilir.

Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen hukuka uygunluk sebeplerinden yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen kişisel verilerin, özel nitelikli kişisel veri olması halinde ise; aşağıda “Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller” başlığı içerisinde yer alan koşullar uygulanır.

Kişi grupları, işbu TEZMAKSAN Aydınlatma Beyanları’ nda ile işlenen kişisel verilerinin hangileri olduğu, kişisel verilerinin hangi amaçlarla ve hangi sebeplerle işlendiği, kişisel verilerinin hangi kaynaklardan toplandığı, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı gibi konular hakkında bilgilendirilir.

6.1 Kanunda Açıkça Öngörülmesi

Kanunlarda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, TEZMAKSAN verisi işlenecek kişi gruplarının ayrıca Açık Rızasını almadan kişisel verilerini işler. Örneğin Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca üyelik, ticari elektronik izni verilmesi, sipariş, ödeme, teslimat, ürüne ilişkin iptal veya iade gibi süreçlerde kişisel verilerin işlenmesi.

6.2 Fiili İmkânsızlık Sebebiyle Açık Rızanın Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişi grubunun kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişi grubunun Açık Rızası alınmaksızın verileri işlenebilir.

6.3 Sözleşmenin Kurulması ve İfasıyla Doğrudan İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veriler işlenebilir.

6.4 TEZMAKSAN ‘ın Hukuki Yükümlülüğünü Yerine Getirmesi

Veri sorumlusu olarak hukuki yükümlülükleri yerine getirmek için işlemenin zorunlu olması halinde Açık Rıza alınmaksızın kişi grubunun kişisel verileri işlenebilir.

6.5 Kişi Gruplarının Kişisel Verilerini Alenileştirmesi

Kişi grubunun, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde, Açık Rızaya gerek olmaksızın veriler işlenebilir. Örneğin Üye’nin internette, sosyal medya hesaplarında herkese açık olarak paylaşmış olduğu kişisel veriler, bu paylaşım iradesine uygun ve ölçüde olduğu takdirde işlenebilecektir.

6.6 Bir Hakkın Tesisi ve Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişi grubunun Açık Rızası alınmaksızın verileri işlenebilir. Örneğin Üye’nin mahkemeye yapmış olduğu bir şikâyete istinaden bilgilerinin bu şikâyet dosyasına konulması.

6.7 Meşru Menfaate Dayalı Olarak Kişisel Verilerin İşlenmesi

Kişi grubunun temel hak ve özgürlüklerine zarar vermemek kaydıyla TEZMAKSAN’ın meşru menfaatleri için veri işlemenin zorunlu olması halinde kişi grubunun Açık Rızası alınmaksızın kişisel verileri işlenebilir. Örneğin Müşteri Memnuniyetini sağlamak amacıyla TEZMAKSAN tarafından Memnuniyet Anketleri yapılması.

6.8 İlgili Kişi Grubunun Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi

Kişi grubunun kişisel verileri, yukarıda madde 5(2)’de belirtilen şartlardan herhangi birine dayalı olarak işlenemediği durumlarda, Açık Rızaya dayalı olarak işlenecektir.

7. Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller

Kişisel verilerin bir kısmı, “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır.

7.1 Özel Nitelikli Kişisel Verilerin Açık Rızaya Dayalı İşlenmesi

Özel nitelikli kişisel veriler, kişi grubunun Açık Rızası olması halinde, bu Politika ’da belirtilen ilkeler ve gerekli idari ve teknik tedbirler alınarak işlenebilir.

Tezmaksan tarafından belirlenen Açık Rıza ilgili kişi grupları ;

  • 1. Aday Çalışan Grubu AR-001 Çalışan Adayları, Stajer Adayları, Anket Katılımcıları Kişisel Verilerin Korunmasına İlişkin Açık Rıza Beyanı
  • 2. Çalışan, Stajyer, Alt Yüklenici Firma Çalışanları AR-002 Çalışan, Stajyer ve Alt Yüklenici Firma, Hissedar ve Şirket Ortakları Kişisel Verilerin Korunmasına İlişkin Açık Rıza Beyanı
  • 3. Üçüncü Taraf Kurum Çalışanları veya Kişiler (Bağımsız Denetçiler, yurt dışı ziyaretçiler vb) AR-003 Üçüncü Taraf Açık Rıza Beyanı belirtilen ilgili kişi gruplarının kişisel verileri işlenmeden önce Açık Rızaları alınmaktadır.

7.2 Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenebileceği Haller

Özel nitelikli kişisel veriler, kişi grubunun Açık Rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilecektir:

  • » Kişi grubunun sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
  • » Kişi grubunun sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

8. İlgili Kişi Gruplarının Aydınlatılması ve Bilgilendirilmesi

Kişisel verilerin elde edilmesi sırasında ilgili kişi grubu TEZMAKSAN tarafından bilgilendirilir. Bu kapsamda TEZMAKSAN tarafından, Madde 4.1 ‘de belirtildiği gibi ilgili kişi gruplarına özgü Aydınlatma Metinleri ile ; irtibat kişi bilgisi, başvuru yöntemi, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve yönetimi, saklama süresi ve hukuki sebebi, veri sahibinin hakları da dahil olmak üzere ile kişi gruplarına bildirilir.

Kişi gruplarının, kişisel verilerine ilişkin bilgi talep etmesi halinde F.135 KVKK Aydınlatma Başvuru Formu kvkk@tezmaksan.com e-posta adresine, güvenli elektronik imza, mobil imza ya da TEZMAKSAN sistemlerinde kayıtlı bulunan e-posta adresini kullanmak suretiyle e-posta göndererek ya da TEZMAKSAN MAKİNA SANAYİ VE TİCARET A.Ş. Abdi İpekçi Caddesi No:129 34040 Bayrampaşa/ İstanbul adresine başvuru sahibinin bizzat gelerek kimliğini tevsik edici belge ile başvurması yazılı başvuruda bulunulması halinde ya da noter vasıtasıyla tebligat göndermek suretiyle başvuru süreci başlatılır ve ilgili kişi grubuna gerekli bilgilendirme yapılır.

9. Kişisel Verilerin Kategorize Edilmesi

İs bu POLİTİKA kapsamında, TEZMAKSAN tarafından ilgili kişi gruplarının aşağıda belirtilen kategorilerdeki kişisel verileri işlenmektedir:

Çalışan / Alt Taşeron Çalışanı / Stajyer Grubu

Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Fiziksel Mekan Güvenliğine ait geçiş kontrol logları, İşlem Güvenliği, Finans, Mesleki Deneyim, Görsel Kayıtlar, Kılık Kıyafet, Sağlık Bilgileri, Ceza Mahkumiyeti ve Güvenlik Tedbirleri ,5651 yasası gereği İnternet kullanım logları, Veri tabanlarına bağlı sistem kullanım logları, Bilgi Sistemlerinde yapılan işlemlere ait kayıt logları, mail sunucularında bulunan iletilere ait loglar,

Çalışan Adayı Grubu

Aday Çalışan Bilgisi, Kimlik, İletişim, Fiziksel Mekân Güvenliği, İşlem Güvenliği, Mesleki Deneyim, Görsel Kayıtlar, Kişilik Veri Envanteri Kayıtları, 5651 yasası gereği İnternet kullanım logları,

Hissedar/Ortak Grubu

Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Finans, Mesleki Deneyim, Görsel Kayıtlar, Kılık Kıyafet, Sağlık Bilgileri, Ceza Mahkumiyeti ve Güvenlik Tedbirleri, Dava Dosyalarına ait Bilgiler,

Potansiyel Müşteri veya Müşteri Çalışanı / Yetkilisi Grubu

Kimlik, İletişim, Lokasyon, Fiziksel Mekân Güvenliği, Finans, Görsel Kayıtlar. 5651 yasası gereği İnternet kullanım logları

Tedarikçi Çalışanı / Yetkilisi Grubu

Kimlik, İletişim, Lokasyon, Fiziksel Mekân Güvenliği, Finans, Görsel Kayıtlar, 5651 yasası gereği İnternet kullanım logları

Veli / Vasi / Temsilci /Burslu Öğrenci/ Üçüncü Tarafa Konu Olan Kişiler Grubu

Kimlik, İletişim, Finans.

Fiziksel Ziyaretçi Grubu

Kimlik, İletişim, Lokasyon, Fiziksel Mekân Güvenliği, İşlem Güvenliği, Görsel Kayıtlar, 5651 yasası gereği İnternet kullanım logları

Web Sitesi Ziyaretçileri

İşlem Güvenliği, TEZMAKSAN Çerez Politikaların’da beyan edilen çerez içeriklerine ait kayıtlar.

10. Kişisel Verilerin İşlenme Amaçları

10.1 Kişisel Verilerin İşlenme Koşulları

Kişisel veriler aşağıdaki koşullarla sınırlı olarak işlenmektedir. Bu koşullar;

  • » Kişisel verilerinizin işlenmesine ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi,
  • » Kişisel verilerinizin TEZMAKSAN tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • » Kişisel verilerin işlenmesinin TEZMAKSAN’ ın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • » Kişisel verilerin kişi grubu tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde TEZMAKSAN tarafından işlenmesi,
  • » Kişisel verilerin TEZMAKSAN tarafından işlenmesinin TEZMAKSAN veya kişi gruplarının veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • » Kişi gruplarının temel hak ve özgürlüklerine zarar vermemek kaydıyla TEZMAKSAN’ın meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
  • »TEZMAKSAN tarafından kişisel veri işleme faaliyetinde bulunulmasının ilgili kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da ilgili kişinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.

Yukarıda belirtilen şartların bulunmaması halinde; kişisel veri işleme faaliyetinde bulunmak için TEZMAKSAN kişisel veri sahiplerinin Açık Rızalarına başvurmaktadır.

10.2 Kişisel Verilerin İşlenme Amaçları

  • » TEZMAKSAN tarafından yürütülen operasyonel ve ticari faaliyetlerin gerçekleştirilmesi ve buna bağlı iş süreçlerinin, iş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi ve yürütülmesi.
  • » Şirketimizin web sitelerinin teknik olarak yönetimi, müşteri yönetimi ve şikayetlerin takibi, ürün anketleri ve Şirketimize gönderdiğiniz soruların takibi, Şirketimiz tarafından sunulan ürün ve hizmetlerden sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması.
  • » Ürün ve/veya hizmetlerin satış, pazarlama, satış sonrası süreçlerinin planlanması ve icrası, söz konusu ürün ve hizmetlerin içerikleri konusunda bilgilendirme yapılması.
  • » Yasal mevzuata uygun şekilde ayrıca (gerekmesi halinde) onay alınmak suretiyle ticari elektronik ileti gönderilebilmesi, etkinlik ve diğer organizasyonların yürütülmesi.
  • » Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişilerle hukuki ve ticari ilişkilerin yürütülmesi ve bu ilişkilerin güvenliğinin temini.
  • » Şirketimiz tarafından yürütülen iletişime yönelik idari operasyonlar, çalışan idaresi ve yönetimi.
  • » Şirkete ait lokasyonların fiziksel güvenliğini ve denetiminin sağlanması.
  • » Lojistik faaliyetlerinin planlanması ve yürütülmesi
  • » İtibar araştırma süreçlerinin yürütülmesi, etik değerlere ve hukuka uyum ve hukuki iş ve politikanın yürütülmesi, sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
  • » İnsan Kaynakları ve personel alım süreçlerinin planlanması, yürütülmesi ile eğitim ve öğretim faaliyetlerinin takibi ve gerçekleştirilmesi,
  • » İş Sağlığı ve/veya Güvenliği süreçlerinin planlanması ve/veya icrası, araştırma ve geliştirme faaliyetlerinin yürütülmesi
  • » Şirketimizin teşviklerden faydalanabilmesinin sağlanması kurumsal iletişim ve kurumsal yönetim faaliyetlerinin planlanması ve yürütülmesi,
  • » Bilgi güvenliği yönetimi hizmetlerinin yürütülmesi,
  • » Finans ve/veya Muhasebe işlerinin takibi, denetimi ile müşterilerin finansal risklerinin tespitine yönelik faaliyetlerin yürütülmesi,
  • » Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
  • » Ziyaretçi kayıtlarının oluşturulması ve takibi amacıyla kişisel veri işlenmektedir.

11. Kişisel Verilerin Yurtiçi ve/veya Yurtdışı Üçüncü Kişilere Aktarılması

Kişi grubuna ait kişisel veriler, işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınarak üçüncü kişilere (üçüncü taraf şirketlere, üçüncü gerçek kişilere) aktarılabilmektedir.

11.1 Kişisel Verilerin Aktarılması

Kişisel veriler, KVKK Madde 8 ve Madde 9’da öngörülen koşulların gerçekleşmesi durumunda üçüncü kişilere aktarılabilir.

Siteye üye olmayan çevrimiçi ziyaretçilerin anonim nitelikteki bilgileri, site kullanım alışkanlıkları çerezlar ile toplanmakta ve paylaşılabilmektedir.TEZMAKSAN Çerez Politikaları’nda toplanan çerez verileri belirtilmiştir.

11.2 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarım Amaçları

Kişisel verileriniz aşağıda sıralanan veri konusu kişi gruplarına aktarılabilir:

  • » İş ortaklarına (Bağımsız Denetmenler, Anlaşmalı olunan sigorta şirketleri),
  • » Firmanın sosyal medya hesaplarında bu hesapları takip eden kişiler ile( şirket içinde kutlama ve etkinliklerde kişilerin Açık Rızaları doğrultusunda(fotoğraf paylaşımı da dahil) çekilen fotoğraf ve videolar için),
  • » Hukuken yetkili kamu kurum ve kuruluşlarına,
  • » Hukuken yetkili özel hukuk kişilerine (Şirket Avukatı/ Hukuk Müşaviri, İşyeri Hekimi)
  • » Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları KVKK madde 8 ve 9’da yer almaktadır.

12. Kişisel Verilerin Güvenliği

Kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul önlemler alınmaktadır.

Kişisel verilere, erişim yetkisi bulunan kişilerden başkasının erişmesini engellemek adına gereken her türlü teknik ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, hiç kimsenin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanır. Sağlık verileri gibi özel nitelikli kişisel verilerin güvenliği sağlanırken diğer kişisel verilere göre daha katı önlemler alınır.

Kullanıcı erişimlerinin kısıtlanması, yetkilendirilmesi ve yetkilerin geri alınması için PR.29 Erişim Yönetimi Prosedürü oluşturulmuştur. Mevcut yetki ve izin listesi F.130 Sanal-Fiziki Erişim Listesi Yetki Formu’nda belirtilmiştir. Yetkilendirilmiş kişilere ait yetkiler yılda en az 1 defa gereken güvenlik kontrollerinden geçirilir.

Ayrıca bu kişiler görev ve sorumlulukları hakkında eğitilir. Kişisel verilere ait tüm kurum çalışanlarına ait genel görev ve sorumluluklar görev tanımlarına eklenmiştir. Komite üyeleri aynı zamanda KVKK Komite sorumluklarını da yerine getirmek ile yükümlüdür.

Tüm kurum çalışanları ile bilgi güvenliği sözleşmeleri yapılmakta olup, Kişisel veri güvenliği hakkında çalışanların farkındalığını arttırmak üzere kurum içi eğitimler düzenlenmektedir. F.126 Eğitim Katılım Listesi ile eğitimler kayıt altına alınmaktadır. Aynı zamanda PL.13 Bilgi Sistemleri Genel Kullanım Politikası hazırlanmış olup, çalışanlar ile paylaşılmıştır.

Kişisel verilere erişim kayıtları teknik imkânlar elverdiği ölçüde tutulur ve bu kayıtlar düzenli aralıklarla incelenir. KVKK Komitesi, kurum içerisinde KVK Rehberi Teknik ve İdari Tedbirler kapsamında yılda en az 1 defa olacak şekilde denetim yapmakla yükümlüdür. Denetim PR.05 İç Tetkik Prosedürü’ne uygun olarak F.11 İç Tetkik Raporu hazırlanarak gerçekleştirilir. İç Denetim süresinde bulunan uygunsuzluklar F.04 Düzeltici Faaliyet Formu’na kaydedilir ve sürecin takibi PR.03 Düzeltici Faaliyet Prosedürü ile sağlanır. KVK denetim raporları KVK Komite toplantısında sunulur. Düzeltici Faaliyet sonuçlanana kadar KVK Komitesi takibindedir.

KVKK Komitesi her yıl kişisel verilerin güvenliği için PR.10 Risk Prosedürü’ne uygun şekilde risk analizi yapmak ile sorumludur. Tespit edilen riskler, F.76 Risk ve Fırsat Analizi Formu ile önlem ve tedbirler alınır. Risklerin sonuçlandırılması Komite’nin görevi olup, üst yönetime sonuçları raporlanır.

Yetkisiz erişim söz konusu olduğunda derhal soruşturma başlatılır. Kurum soruşturma süreçlerinde KVKK Komitesini yetkili kılmıştır. PR.22 Bilgi Güvenliği İhlal Yönetimi Prosedürü’ ne uygun olarak gerekli önlem ve tedbirler Komite üyelerince alınır. Herhangi bir veri ihlali veya veri sızıntısının olması veya olmasından şüphe duyulması halinde KVKK Kurumu tarafından yayınlanan Kişisel Veri İhlali Bildirimi Formu doldurularak, KVK Kurumuna bildirimde bulunulur.

TEZMAKSAN işlenen verilerin güvenliğinin sağlanması amacıyla aşağıdaki yükümlülüklere uyar:

  • » Kişisel Verilerin Korunmasına ilişkin konularda hukuka uygun ve dürüst davranma,
  • » Kişisel Verileri doğru, tam ve eksiksiz işleme,
  • » Güncelliğini kaybeden kişisel verilerin güncellenmesi amacıyla gerekli çalışmaları yapma,
  • » Kişisel verilere ilişkin kanuni hakların kullanılabilmesi için gerekli yönlendirmeleri yapma.

13. Kişi Gruplarının Yasal Hakları ve Kullanma Yöntemleri

13.1 KVKK Kapsamında İlgili Kişilerin Kişisel Verilerinin İşlenmesine Yönelik Hakları

Kişisel verilere ilişkin olarak kişi gruplarının kullanabileceği haklar KVKK Madde 11’de yer almakta olup, aşağıdaki gibidir:

  • » Kişisel veri işlenip işlenmediğini öğrenme,
  • » Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • » Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • » Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • » Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • » İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • » (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • » İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • » Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

13.2 Kişisel Verilere İlişkin Hakların Kullanılmasına İlişkin Esaslar

Kişisel verilere ilişkin hakları kullanmak için kişiler, F.135 KVK Aydınlatma Başvuru Formu’unu formunu doldurarak, belirtilen başvuru yöntemlerinden uygun yöntemi kullanarak başvuru yapabilirler.

Yapılan başvurular başvurular en geç 30 gün içerisinde TL-001 KVK Başvuru Süreç Talimatı na uygun şekilde cevaplandırılmalıdır.

14. Yürürlük ve Güncellenebilirlik

İşbu Politika yayımı 16.12.2019 tarihinde yürürlüğe girmiştir. Politika değişen koşullara ve mevzuata uyum amacıyla güncellenebilecektir. İlgili güncelleme hakkında www.cubeboxautomation.com adresi üzerinden duyurulur.