Kişisel
verilerin korunması, OTO
IRMAK MOTORLU ARAÇLAR TİCARET VE SANAYİ ANONİM ŞİRKETİ’nin
(OTO IRMAK) ve şubelerinin en önemli öncelikleri arasında yer almaktadır. Bu
konunun en önemli kısmını ise işbu Politika ile yönetilen, çalışan
adaylarımızın, şirket hissedarlarının, şirket yetkililerinin,
ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması
ve işlenmesi oluşturmaktadır.
Çalışanlarımızın
kişisel verilerinin korunmasına ilişkin Şirketimizin yürüttüğü faaliyetler ise,
bu Politikadaki esaslarla paralel olarak kaleme alınan Çalışan Kişisel
Verilerin Korunması ve İşlenmesi Politikası altında yönetilmektedir.
T.C.
Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını
isteme hakkına sahiptir. Anayasa ile güvence altına alınan bir hak olan kişisel
verilerin korunması konusunda OTO IRMAK, işbu Politika ile yönetilen; çalışan
adaylarının, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerinin,
iş birliği içinde olduğu kurumların çalışanları, hissedarları ve yetkililerinin
ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte
ve bunu bir Şirket politikası haline getirmektedir.
Bu
kapsamda, yasal mevzuat çerçevesinde işlenen kişisel verilerin korunması için OTO
IRMAK tarafından gereken idari ve teknik tedbirler alınmaktadır.
Bu
Politikada kişisel verilerin işlenmesinde şirketin benimsediği temel ilkeler
şunlardır;
§ Kişisel verileri
hukuka ve dürüstlük kurallarına uygun işleme,
§ Kişisel verileri
doğru ve gerektiğinde güncel tutma,
§ Kişisel verileri
belirli, açık ve meşru amaçlar için işleme,
§ Kişisel verileri
işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
§ Kişisel
verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan
süre kadar muhafaza etme,
§ Kişisel veri
sahiplerini aydınlatma ve bilgilendirme,
§ Kişisel veri
sahiplerinin haklarını kullanması için gerekli sistemi kurma,
§ Kişisel verilerin
muhafazasında gerekli tedbirleri alma,
§ Kişisel
verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere
aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
§
Özel nitelikli kişisel verilerin işlenmesine, korunmasına ve
aktarılmasında gerekli hassasiyeti göstermek.
POLİTİKA’NIN AMACI
Bu Politikanın
temel amacı, Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri
işleme faaliyeti ve bu kapsamda müşterilerimiz, çalışanlarımız, çalışan
adaylarımız, şirket hissedarlarımız, şirket yetkililerimiz, ziyaretçilerimiz,
işbirliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkilileri ve üçüncü kişiler başta olmak üzere kişisel
verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflık ve
güveni sağlamaktır.
İÇERİK
Bu Politika; çalışanlarımızın, çalışan adaylarımızın, şirket
hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, iş birliği içinde
olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü
kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri
gruplarına ilişkin işbu Politikanın uygulama kapsamı Politikanın tamamı
olabileceği gibi; yalnızca bir kısmı da olabilir.
POLİTİKA’NIN VE
İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte
bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır.
Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda,
Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
Politika,
ilgili mevzuat tarafından ortaya konulan kuralların Şirket uygulamaları
kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.
POLİTİKA’NIN YÜRÜRLÜĞÜ
Şirketimiz
tarafından düzenlenen bu Politika yürürlüğe giren yasa ile aynı tarihlidir.
Politikada yenilik ya da değişiklik olursa yürürlük tarihi güncellenecektir.
Politika Şirketimizin internet
sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
KİŞİSEL VERİLERİN
KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz,
KVKK’nun 12. Maddesi uyarınca, işlemekte olduğu kişisel verilerin hukuka aykırı
olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek
ve verilerin muhafazasını sağlamak için uygun güvenliği sağlamak için gereken
idari, hukuki ve mümkün olan tüm teknik tedbirleri almakta, bu kapsamda gereken
denetimleri sağlamaktadır.
KİŞİSEL VERİLERİN
GÜVENLİĞİNİN SAĞLANMASI
Kişisel Verilerin
Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak,
kişisel verilerin güvenli ortamlarda saklanması, hukuka aykırı amaçlarla yok
edilmesini, kaybolmasını veya değiştirilmesini önlemek, kişisel verilerin
tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını
veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak
verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve
idari tedbirler almaktadır.
a)
Kişisel Verilerin
Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
· Çalışanlar için veri güvenliği hükümleri
içeren disiplin düzenlemeleri mevcuttur.
· Çalışanlar için veri güvenliği konusunda belli
aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
· Çalışanlar için yetki matrisi oluşturulmuştur.
· Erişim, bilgi güvenliği, kullanım, saklama ve
imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
· Gizlilik taahhütnameleri yapılmaktadır.
· Görev değişikliği olan ya da işten ayrılan
çalışanların bu alandaki yetkileri kaldırılmaktadır.
· İmzalanan sözleşmeler veri güvenliği hükümleri
içermektedir.
· Kâğıt yoluyla aktarılan kişisel veriler için
ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge
formatında gönderilmektedir.
· Kişisel veri güvenliği politika ve
prosedürleri belirlenmiştir.
· Kişisel veri güvenliği sorunları hızlı bir
şekilde raporlanmaktadır.
· Kişisel veri güvenliğinin takibi
yapılmaktadır.
· Kişisel veri içeren fiziksel ortamlara giriş
çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
· Kişisel veri içeren fiziksel ortamların dış
risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
· Kişisel veri içeren ortamların güvenliği
sağlanmaktadır.
· Kişisel veriler mümkün olduğunca
azaltılmaktadır.
· Kurum içi periyodik ve/veya rastgele
denetimler yapılmakta ve yaptırılmaktadır.
· Mevcut risk ve tehditler belirlenmiştir.
· Özel nitelikli kişisel veri güvenliğine
yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
· Veri işleyen hizmet sağlayıcılarının veri
güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
· Veri işleyen hizmet sağlayıcılarının, veri
güvenliği konusunda farkındalığı sağlanmaktadır.
b)
Kişisel Verilerin
Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
· Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
· Bilgi teknolojileri sistemleri tedarik,
geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
· Bulutta depolanan kişisel verilerin güvenliği
sağlanmaktadır.
· Erişim logları düzenli olarak tutulmaktadır.
· Gerektiğinde veri maskeleme önlemi
uygulanmaktadır.
· Güncel anti-virüs sistemleri kullanılmaktadır.
· Güvenlik duvarları kullanılmaktadır.
· Kişisel veriler yedeklenmekte ve yedeklenen
kişisel verilerin güvenliği de sağlanmaktadır.
· Log kayıtları kullanıcı müdahalesi olmayacak
şekilde tutulmaktadır.
· Özel nitelikli kişisel veriler elektronik
posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta
hesabı kullanılarak gönderilmektedir.
· Özel nitelikli kişisel veriler için güvenli
şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce
yönetilmektedir.
· Saldırı tespit ve önleme sistemleri
kullanılmaktadır.
· Siber güvenlik önlemleri alınmış olup
uygulanması sürekli takip edilmektedir.
Kişisel Verilerin
Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirketimiz,
KVKK’ nın 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri
yapmakta veya yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi
kapsamında konu ile ilgili birime raporlanmakta ve alınan tedbirlerin
iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Kişisel Verilerin
Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Şirketimiz, KVKK’ nın 12. maddesine uygun olarak işlenen kişisel
verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu
durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na
bildirilmesini sağlayacaktır.
KVK
Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet
sitesinde veya başka bir yöntemle ilan edilebilecektir.
VERİ SAHİBİNİN HAKLARININ
GÖZETİLMESİ; BU HAKLARI ŞİRKETİMİZE İLETECEĞİ KANALLARIN YARATILMASI VE VERİ
SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRMESİ
Şirketimiz,
kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri
sahiplerine gereken bilgilendirmenin yapılması için KVKK’ nın 13. maddesine
uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri
yürütmektedir.
Kişisel
veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak
Şirketimize iletmeleri durumunda Şirketimiz talebin niteliğine göre talebi en
kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır.
Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından
KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
§
Kişisel veri işlenip işlenmediğini öğrenme,
§ Kişisel verileri
işlenmişse buna ilişkin bilgi talep etme,
§ Kişisel
verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
§ Yurt içinde veya
yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
§ Kişisel
verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
§ KVK
Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin
silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel
verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
§ İşlenen
verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
§ Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme, haklarına sahiptir.
§ Veri sahiplerinin
hakları ile ilgili daha ayrıntılı bilgiye bu Politikada yer verilmiştir.
ÖZEL NİTELİKLİ
KİŞİSEL VERİLERİN KORUNMASI
6698
sayılı Kişisel Verilerin Korunması Kanunu ile bir takım kişisel verilere,
hukuka aykırı olarak işlenmesi durumunda kişilerin mağduriyetine veya
ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir.
Bu
veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel
hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik
ve genetik verilerdir.
Şirketimiz
tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun
olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle
davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin
korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler
bakımından özenle uygulanmakta ve şirket bünyesinde gerekli denetimler
sağlanmaktadır.
Özel
nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu
Politikada yer verilmiştir.
İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA
FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini,
verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını
sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin
düzenlenmesini sağlamaktadır.
OTO IRMAK’ın iş birimlerinin mevcut çalışanlarının ve iş birimi
bünyesine yeni dâhil olmuş çalışanların kişisel verilerin korunması konusunda
farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin
ihtiyaç duyulması halinde profesyonel kişi veya kurumlar ile çalışılmaktadır.
İŞ
ORTAKLARI VE ŞUBELERİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDAKİ
FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesini
önlenmesi, verilere hukuka aykırı olarak erişilmesini önlenmesi ve verilerin
muhafazasını sağlamaya yönelik farkındalığın artırılması için şubelerine
yönelik bilgilendirmeler sağlamaktadır.
Şirketin iş ortaklarına ve şubelerine yönelik yapacağı
bilgilendirmeler değişen hüküm ve mevzuatlar çerçevesinde gerektiğinde
tekrarlanmakta, iş ortaklarının mevcut çalışanlarının ve iş birimi bünyesine
yeni dâhil olmuş çalışanların kişisel verilerin korunması konusunda
farkındalığının oluşması için gerekli hatırlatmalar yapılmakta ve konuya
ilişkin ihtiyaç duyulması halinde profesyonel kişi veya kurumlar aracılığıyla
destek olunmaya çalışılmaktadır.
Şirketin
iş ortaklarının kişisel verilerin korunması ve işlenmesi konusunda
farkındalığın arttırılmasına yönelik yürütülen bilgilendirmeler ve eğitim
sonuçları OTO IRMAK yönetimine raporlanmaktadır. Şirketimiz bu doğrultuda
ilgili toplantı ve bilgilendirme oturumlarına yapılan katılımları
değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır.
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Şirketimiz, Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4.
maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve
dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve
meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel
veri işleme faaliyetinde bulunmaktadır. Şirketimiz kanunlarda öngörülen veya
kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza
etmektedir.
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 5. maddeleri
gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkin KVK
Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak
işlemektedir.
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 10. maddelerine
uygun olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri
sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi
yapmaktadır.
Şirketimiz,
KVK Kanunu’nun 6. maddesine uygun olarak özel nitelikli kişisel verilerin
işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz, KVK
Kanunu’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması
konusunda kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan
düzenlemelere uygun davranmaktadır.
KİŞİSEL VERİLERİN
MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
§ Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirketimiz; kişisel verilerin işlenmesinde
hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına
uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin
işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri
amacın gerektirdiği dışında kullanmamaktadır.
§ Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz; kişisel veri sahiplerinin temel
haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel
verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli
tedbirleri almaktadır.
§ Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, meşru ve hukuka uygun olan kişisel
veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel
verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar
işlemektedir.
§ İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz, kişisel verileri belirlenen
amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın
gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin
işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel
ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti
yürütülmemektedir.
§ İlgili Mevzuatta Öngörülen veya İşlendikleri
Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri ancak
ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre
kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta
kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit
etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre
belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar
saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan
kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok
edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile
Şirketimiz tarafından kişisel veriler saklanmamaktadır. Bu konu ile ilgili
ayrıntılı bilgiye, bu Politikada yer verilmiştir.
KİŞİSEL
VERİLERİN, KVKK’ NIN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN
BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME
Kişisel
verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine
dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere
bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü
fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya
kişinin açık rızasıyla işlenebilecektir. Şirketimiz bu doğrultuda ve Anayasa’ya
uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya
kişinin açık rızasıyla işlemektedir. Bu konu ile ilgili ayrıntılı bilgiye, bu
Politikada yer verilmiştir.
KİŞİSEL VERİ
SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirketimiz,
KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi
sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda OTO IRMAK ve varsa temsilcisinin kimliğini, kişisel
verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi
amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile
kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
Bu konu ile ilgili ayrıntılı bilgiye bu Politikada yer verilmiştir.
Anayasa’nın
20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK
Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep
etme” de sayılmıştır. Şirketimiz bu kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun
11. maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi
durumunda gerekli bilgilendirmeyi yapmaktadır. Bu konu ile ilgili ayrıntılı
bilgiye bu Politikada ve Başvuru Formunda yer verilmiştir.
ÖZEL NİTELİKLİ
KİŞİSEL VERİLERİN İŞLENMESİ
Şirketimiz
tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin
işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun
davranılmaktadır.
KVK
Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri
“özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet,
dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVK
Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel
veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması
kaydıyla aşağıdaki durumlarda işlenmektedir:
§
Kişisel veri sahibinin açık rızası var ise veya
§
Kişisel veri sahibinin açık rızası yok ise;
• Kişisel veri
sahibinin sağlığı ve cinsel hayatı dışındaki özel
nitelikli kişisel veriler, kanunlarda öngörülen
hallerde,
• Kişisel veri sahibinin sağlığına ve cinsel
hayatına ilişkin özel
nitelikli kişisel verileri ise ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından işlenmektedir.
KİŞİSEL VERİLERİN
AKTARILMASI
Şirketimiz
hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli
kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, iş ortaklarına,
üçüncü kamu veya özel gerçek veya tüzel kişilerine) aktarabilmektedir.
Şirketimiz bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere
uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politikada
yer verilmiştir.
Kişisel Verilerin
Aktarılması
Şirketimiz meşru
ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan
Kanunun 5.maddesinde belirtilen kişisel veri işleme şartlarından bir veya
birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere
aktarabilmektedir:
§
Kişisel veri sahibinin açık rızası var ise;
§
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir
düzenleme var ise,
§
Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik
tanınmıyorsa;
§
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli
ise,
§
Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel
veri aktarımı zorunlu ise,
§
Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş
ise,
§ Kişisel veri
aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
§
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek
kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu
ise.
Özel Nitelikli
Kişisel Verilerin Aktarılması
Şirketimiz
gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu
tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel
veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli
verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
§
Kişisel veri sahibinin açık rızası var ise veya
§
Kişisel veri sahibinin açık rızası yok ise;
•
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel
nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç,
din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika
üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
•
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel
nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından.
KİŞİSEL VERİLERİN
YURTDIŞINA AKTARILMASI
Şirketimiz
hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli
kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından
kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan
edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli
korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri
sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK
Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden
Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır.
Şirketimiz
bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun
hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politikada yer
verilmiştir.
Kişisel Verilerin
Yurtdışına Aktarılması
Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları
doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri
sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda
kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri
Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
Kanunlarda
kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
§ Kişisel veri
sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu
ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
§ Bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin
taraflarına ait kişisel verinin aktarılması gerekli ise,
§ Şirketimizin
hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
§ Kişisel veriler,
kişisel veri sahibi tarafından alenileştirilmiş ise,
§ Kişisel veri
aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
§ Kişisel veri
sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin
meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
Özel Nitelikli
Kişisel Verilerin Yurtdışına Aktarılması
Şirketimiz gerekli özeni göstererek, gerekli güvenlik tedbirlerini
alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka
uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel
nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli
Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere
aktarabilmektedir.
§ Kişisel veri
sahibinin açık rızası var ise veya
§ Kişisel veri
sahibinin açık rızası yok ise;
•
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel
nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç,
din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika
üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
•
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel
nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenmesi kapsamında.
ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL
VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma
yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının kişisel verilerini
işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve
saklama sürelerini kişisel veri sahibine talep etmesi halinde bildirmektedir.
Toplanan kişisel verilere ait kanundan doğan zorunluluklar haricinde hangi
verinin ne kadar tutulduğuna dair açıklama VERBİS sayfasında belirtilmiştir.
KİŞİSEL VERİLERİN
KATEGORİZASYONU
Şirketimiz
nezdinde, KVK Kanunu’nun 10. maddesi uyarınca ilgili kişiler bilgilendirilerek,
Şirketimizin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda
KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir
veya birkaçına dayalı ve sınırlı olarak KVK Kanunu’nda başta kişisel verilerin
işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanunu’nda
belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen bütün yükümlülüklere
uyarak işbu Politika kapsamındaki süjelerle sınırlı olarak aşağıda belirtilen
kategorilerdeki kişisel veriler işlenmektedir. Bu kategorilerde işlenen kişisel
verilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili
olduğu da işbu Politikada belirtilmektedir.
·
Kimlik bilgileri,
·
İletişim bilgileri,
·
Özlük bilgileri,
·
Hukuki işlem bilgileri,
·
Müşteri işlem bilgileri,
·
Fiziksel mekan güvenliğine dair bilgiler,
·
Finans bilgileri,
·
Mesleki deneyim bilgileri,
·
Pazarlama bilgileri,
·
Görsel ve işitsel kayıt bilgileri,
·
Felsefi İnanç, Din,
Mezhep Ve Diğer İnançlar,
·
Sağlık bilgileri,
·
Ceza mahkumiyeti ve güvenlik tedbirlerine dair
bilgileri,
·
Araç Plaka bilgileri
KİŞİSEL VERİLERİN
İŞLENME AMAÇLARI
Şirketimiz
tarafından hazırlanan kategorizasyona göre kişisel Verilerin işlenmesine
ilişkin amaçlar aşağıda paylaşılmaktadır:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
KİŞİSEL VERİLERİN
SAKLANMA SÜRELERİ
Şirketimiz,
ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu
mevzuatlarda belirtilen süre boyunca saklanmaktadır.
Kişisel
verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir
süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu
hizmetlerle bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının
teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra
silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel
verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği
saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki
uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın
ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla Şirketimizin meşru
menfaatleri ve iyiniyet doğrultusunda saklanabilmektedir. Buradaki sürelerin
tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri
ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda
Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri
belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka
amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği
zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre
sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
ŞİRKETİMİZ
TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON
Şirketimiz tarafından, aşağıda sıralanan kişisel veri sahibi
kategorilerinin kişisel verileri işlenmekle birlikte, işbu Politikanın uygulama
kapsamı müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın,
şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği
içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve
üçüncü kişilerle sınırlıdır.
Çalışanlarımızın,
kişisel verilerin korunması ve işlenmesi faaliyetleri OTO IRMAK Çalışan Kişisel
Verilerin Korunması ve İşlenmesi Politikası altında değerlendirilmekte ve
çalışanlara dair aydınlatma yükümlülüğümüz yerine getirilmektedir.
Şirketimiz tarafından kişisel verileri işlenen kişilerin
kategorileri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin
dışında yer alan kişiler de KVK Kanunu kapsamında Şirketimize taleplerini
yöneltebilecek olup; bu kişilerin talepleri de bu Politika kapsamında
değerlendirmeye alınacaktır. Ayrıca bu hususta veri sahibi kişiler için
başvuruları kapsamında yol gösteren bir başvuru formu da düzenlenmiştir.
ŞİRKETİMİZ
TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Şirketimiz KVKK’ nın 10. Maddesine uygun
olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine
bildirmektedir.
Şirketimiz
KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak hizmet alanların kişisel
verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
§ Gerçek
kişiler veya özel hukuk tüzel kişileri,
§ İş
ortakları
§ Tedarikçiler
§ Yetkili
kamu kurum ve kuruluşları
ŞİRKETİMİZ TARAFINDAN YÜRÜTÜLEN DİĞER
UYGULAMALAR
Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki
dayanaklar farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde
6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak
hareket edilmektedir.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine
bağlı olarak işlenmesi için, ziyaretçilerden ve 3. Kişilerden farklı veri
toplama uygulamalarına yönelik aydınlatma yapılmakta ve açık rızaları
alınmaktadır. Ziyaretçilerimizin talep etmesi halinde kendilerinden talep
edilen verileri öğrenme ve gerekli aydınlatma yükümlülüğü yapılarak hakları ve sorumluluklarımız
hatırlatılmaktadır.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan
veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir
kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin
zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin
gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
Şirketimizin
veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin
zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Veri
sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde
ilgili kişisel veriler işlenebilecektir.
Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
halinde veri sahibinin kişisel verileri işlenebilecektir.(fatura vb.)
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek
kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması
halinde veri sahibinin kişisel verileri işlenebilecektir. (şirket içi
hesaplamalar yapılması amacıyla vb konularda)
Şirketimiz
tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri
işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun
bir biçimde yürütülmektedir.
Şirketimiz
tarafından güvenliğin sağlanması amacıyla, Şirketimiz binalarında ve
tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş
çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik
kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması
yoluyla Şirketimiz tarafından kişisel veri işleme faaliyeti yürütülmüş
olmaktadır.
Bu
kapsamda Şirketimiz Anayasa, KVK Kanunu ve ilgili diğer mevzuata uygun olarak
hareket etmektedir. Şirketimiz, güvenlik kamerası ile izleme faaliyeti
kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak,
şirketin, çalışanların ve diğer kişilerin güvenliğini sağlamak ve 3. kişilerin
aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Şirketimiz tarafından yürütülen kamera ile
izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata
uygun olarak sürdürülmektedir. Şirketimiz tarafından güvenlik amacıyla kamera
ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun
hareket edilmektedir.
Şirketimiz, ana bina ve şubelerinde güvenliğin sağlanması
amacıyla, kanunlarda öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri
işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde
bulunmaktadır.
Şirketimiz
tarafından izleme faaliyetinin duyurulması, KVK Kanunu’nun 10. maddesine uygun
olarak yapılmaktadır.
Şirketimiz,
KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla
bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Şirketimiz
tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu
Politikada sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının
izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak
için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin
mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek
alanlarda (örneğin tuvaletler) izlemeye tabi tutulmamaktadır.
Şirketimiz
tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme
faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için
gerekli teknik ve idari tedbirler alınmaktadır.
Dijital
ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda şirket
çalışanının erişimi bulunmaktadır. Canlı kamera görüntülerini ise, dışarıdan
hizmet alınması halinde güvenlik görevleri izleyebilecektir. Kayıtlara erişimi
olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin
gizliliğini koruyacağını beyan etmektedir.
Şirketimiz
tarafından; güvenliğin sağlanması ve bu Politikada belirtilen amaçlarla, şirket
binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel
veri işleme faaliyetinde bulunabilmektedir. Bu kapsamda şirket politikası
gereği gerektiğinde ziyaretçilerden ziyaret amaçları, kimlik, iletişim ve
geldikleri araç plakası bilgileri istenebilecektir. Bu kapsamdaki veri toplama
işlemleri doğrudan organizasyon içindeki bir çalışan eliyle yapılabileceği gibi
veri işleyen sıfatına sahip bir özel güvenlik şirketine de yaptırılabilecektir.
Misafir
olarak şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da
Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan
metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda
aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde
edilen veriler yalnızca bu amaçla işlenmekte, ve ilgili kişisel veriler fiziki
ortamda veri kayıt sistemine kaydedilmektedir.
Şirketimiz
tarafından kamera ile izleme faaliyetine yönelik olarak izlemenin yapıldığı
alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır
(yerinde aydınlatma).
Şirketimiz
sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin
sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde
gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler
gösterebilmek maksadıyla teknik vasıtalarla site içerisindeki internet
hareketlerini kaydedilmektedir.
Şirketimizin
yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve
işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin “OTO IRMAK İnternet
Sitesi Çerez Politikası” metinleri içerisinde yer almaktadır.
Şirketimiz, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun
7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş
olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi
üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Şirketimiz bu ilgili yasal yükümlülüğünü yasal yöntemlerle yerine
getirmektedir.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
TEKNİKLERİ
Kişisel Verilerin
Silinmesi ve Yok Edilmesi Teknikleri
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi
kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri
silebilir veya yok edebilir. Şirketimiz tarafından en çok kullanılan silme veya
yok etme teknikleri aşağıda sıralanmaktadır:
(i)
Fiziksel Olarak
Yok Etme
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler
silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde
fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
(ii) Yazılımdan Güvenli Olarak Silme
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital
ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha
kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin
yöntemler kullanılır.
(iii) Uzman Tarafından Güvenli Olarak Silme
Şirket bazı durumlarda kendisi adına kişisel verileri silmesi için
bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan
kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok
edilir.
Kişisel Verileri
Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka
verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini
ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin
işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
KVK
Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler
araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler
KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası
aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu
kapsamı dışında olacağından Politikada düzenlenen haklar bu veriler için
geçerli olmayacaktır.
Şirketimiz
tarafından en çok kullanılan anonimleştirme teknikleri şöyledir;
·
Maskeleme
Veri
maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden
çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
·
Toplulaştırma
Veri
toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler
herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
·
Veri Türetme
Veri
türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik
oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek
hale getirilmesi sağlanmaktadır.
·
Veri Karma
Veri
karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler
ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
Şirketimiz,
KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını
kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri
sahibine yol göstermektedir ve Şirketimiz, kişisel veri sahiplerinin haklarının
değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin
yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç
işleyişi, idari ve teknik düzenlemeleri
yürütmektedir.
VERİ SAHİBİNİN
HAKLARI VE BU HAKLARINI KULLANMASI
Kişisel Veri Sahibinin Hakları
Kişisel veri
sahipleri aşağıda yer alan haklara sahiptirler:
(1) Kişisel veri
işlenip işlenmediğini öğrenme,
(2) Kişisel verileri
işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerin işlenme amacını ve
bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya
yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
(5)
Kişisel verilerin eksik veya yanlış işlenmiş
olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin
kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6)
KVK Kanunu ve ilgili diğer kanun hükümlerine
uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini
isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
(7)
İşlenen verilerin münhasıran otomatik
sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir
sonucun ortaya çıkmasına itiraz etme,
(8)
Kişisel verilerin kanuna aykırı olarak
işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince
aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri
sahiplerinin bu konularda aşağıda sayılan haklarını ileri süremezler:
1. Kişisel
verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi.
2.
Kişisel verilerin millî savunmayı, millî
güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın
gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek
kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü
kapsamında işlenmesi.
3. Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve
istihbari faaliyetler kapsamında işlenmesi.
4. Kişisel
verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK
Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri
sahipleri zararın giderilmesini talep etme hakkı hariç, aşağıda sayılan diğer
haklarını ileri süremezler:
1. Kişisel veri
işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. Kişisel
veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi.
3. Kişisel
veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
4. Kişisel
verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
5.
Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel
veri sahipleri bu bölümün yukarıda sıralanan haklarına ilişkin taleplerini
aşağıda belirtilen yöntemle Şirketimize ücretsiz olarak iletebileceklerdir:
1.
www.irmakgrup.com.tr adresinde bulunan
formu doldurulup ıslak imzalı olarak imzalandıktan sonra TUNA MAHALLESİ 5500 SOKAK NO:14/B-C
ÇAMDİBİ BORNOVA/İZMİR adresine şahsen başvuru ile,
2.
www.irmakgrup.com.tr adresinde bulunan formu
doldurulup ıslak imzalı olarak imzalandıktan sonra TUNA MAHALLESİ 5500 SOKAK NO:14/B-C
ÇAMDİBİ BORNOVA/İZMİR adresine
Noter vasıtasıyla, 5070 Sayılı Elektronik İmza Kanunu kapsamındaki güvenli
elektronik imzanızla imzalandıktan sonra güvenli elektronik imzalı formun otoirmak@hs01.kep.tr
KEP adresine
gönderilecek bir e-posta ile.
Kişisel veri
sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.
Kişisel
veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya
ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına
düzenlenmiş resmi özel vekâletname bulunmalıdır.
Kişisel
veri sahipleri, haklarını kullanmak için yapacakları başvuruda, yukarıda
bağlantı sağlanan “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince
İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak
Başvurulara İlişkin “Başvuru Formu”nu dolduracaklardır. Bu formda yapılacak
başvurunun yöntemi de ayrıntılı bir şekilde anlatılmaktadır.
Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Kişisel
veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi,
verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hâllerinde; Şirketimizin cevabını öğrendiği tarihten itibaren otuz ve her hâlde
başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette
bulunabilir.
ŞİRKETİN BAŞVURULARA CEVAP VERMESİ
Şirketimizin Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün yukarıdaki kısmında yer alan
usule uygun olarak talebini Şirketimize iletmesi durumunda Şirketimiz talebin
niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz
olarak sonuçlandıracaktır.
Ancak, işlemin
ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından başvuru
sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
Şirketimizin Başvuruda Bulunan Kişisel Veri Sahibinden Talep
Edebileceği Bilgiler
Şirketimiz,
başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek
adına ilgili kişiden bilgi talep edebilir.
Şirketimiz,
kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına,
kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
Şirketimizin, Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Şirketimiz
aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini
açıklayarak reddedebilir:
(1) Kişisel verilerin
resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve
istatistik gibi amaçlarla işlenmesi,
(2) Kişisel verilerin
millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik
güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da
suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya
da ifade özgürlüğü kapsamında işlenmesi,
(3) Kişisel verilerin
millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum
ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler
kapsamında işlenmesi,
(4) Kişisel verilerin
soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı
makamları veya infaz mercileri tarafından işlenmesi,
(5) Kişisel veri
işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
(6) Kişisel veri
sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi,
(7) Kişisel veri
işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve
kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması
için gerekli olması,
(8) Kişisel veri
işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve
mali çıkarlarının korunması için gerekli olması,
(9) Kişisel veri
sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali
olması,
(10) Orantısız çaba
gerektiren taleplerde bulunulmuş olması,
(11) Talep edilen
bilginin kamuya açık bir bilgi olması.
ŞİRKET
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ DİĞER POLİTİKALARLA OLAN
İLİŞKİSİ
Şirket
bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları
yönetmek üzere Şirket üst yönetimin kararı gereğince Kişisel Verilerin
Korunması Komisyonu kurulmuş ya da bu görev için bir görevli atanmıştır. Bahse
konu görevler aşağıda belirtilmektedir.
•
Kişisel Verilerin Korunması ve İşlenmesi ile
ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere üst yönetimin
onayına sunmak.
•
Kişisel Verilerin Korunması ve İşlenmesine
ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine
getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak
ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak.
•
Kişisel Verilerin Korunması Kanunu ve ilgili
mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve
yapılaması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve
koordinasyonunu sağlamak.
•
Kişisel Verilerin Korunması ve İşlenmesi
konusunda Şirket içerisinde ve Şirketin işbirliği içerisinde olduğu kurumlar
nezdinde farkındalığı arttırmak.
•
Şirketin kişisel veri işleme faaliyetlerinde
oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek;
iyileştirme önerilerini üst yönetimin onayını sunmak.
•
Kişisel verilerin korunması ve politikaların uygulanması
konusunda eğitimler tasarlamak ve icra edilmesini sağlamak.
• Kişisel veri
sahiplerinin başvurularını en üst düzeyde karara bağlamak.
•
Kişisel veri sahiplerinin; kişisel veri işleme
faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere
bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
•
Kişisel Verilerin Korunması ve İşlenmesi ile
ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak
üzere üst yönetimin onayına sunmak.
•
Kişisel Verilerin Korunması konusundaki
gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun
olarak Şirket içinde yapılması gerekenler konusunda üst yönetime tavsiyelerde
bulunmak.
• Kişisel Verilerin
Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek.
•
Şirket üst yönetiminin kişisel verilerin
korunması konusunda vereceği diğer görevleri icra etmek.
Belirtilen
politikaların bir kısmı Şirket içi kullanıma yöneliktir. Şirket içi
politikalarının esasları ilgili olduğu ölçüde kamuoyuna açık politikalara
yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve Şirketin yürütmüş
olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap
verilebilirliğin sağlanması hedeflenmiştir.