KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
- Giriş
Bu Politika ile kişisel verilerin işlenmesi ve korunması hususunda Şirket tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır.
- Amaç
Bu Politika ile kişisel verilerin işlenmesi ve korunması konusunda 6698 sayılı Kişisel Verilerin Korunması Kanununa, bu Kanuna dayanan ikincil mevzuata ve Kişisel Verileri Koruma Kurulu Kararlarına etkin, doğru ve eksiksiz uyumlanılması ve ilgili kişilerin bilgilendirilerek şeffaflığın sağlanması amaçlanmaktadır.
- Kapsam
İşbu Politika, müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, referanslarının, Şirket hissedarlarının, tedarikçi yetkililerinin ve çalışanlaının, ziyaretçilerimizin ve diğer ilgili kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
- Tanımlar:
Bu Politikanın uygulanmasında,
- Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
- Çalışan: Şirket ile arasında yapılmış olan iş akdi gereğince Şirkette çalışmakta olan kişileri,
- Çalışan Adayı: Şirket ya herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine açmış olan gerçek kişileri,
- İlgili Kişi (Kişisel Veri Sahibi): Kişisel verisi işlenen gerçek kişiyi,
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Müşteri: Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketin sunmuş olduğu ürün veya hizmetleri kullanan veya kullanmış olan gerçek kişileri,
- Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri,
- Potansiyel Müşteri: Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişileri,
- Şirket Hissedarı: Şirketin hissedarı gerçek kişileri,
- Şirket Yetkilisi: Şirketin yönetim kurulu üyesi ve diğer yetkili gerçek kişilerini,
- Üçüncü Kişi: Şirketin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişileri,
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişileri,
- Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Şirket tüzel kişiliğini,
- Ziyaretçi: Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişileri
ifade eder.
Bu Politikada yer almayan tanımlar için Kanun veya bu Kanuna dayanılarak yürürlüğe konulan ikincil mevzuattaki tanımlara başvurulabilir.
- Kişisel Verilerin İşlenmesinde Genel İlkeler:
Kişisel veriler, 6698 sayılı Kişisel Verileri Koruma Kanununa ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak aşağıda yer alan ilkeler doğrultusunda işlenir.
- Hukuka ve dürüstlük kurallarına uygun olma
Veri Sorumlusu, kişisel verileri hukuka ve dürüstlük kuralına uygun olarak işler.
- Doğru ve gerektiğinde güncel olma
Veri sorumlusu, kişisel verilerin eksiksiz, doğru ve güncel olması için gerekli her türlü önlemleri alır.
- Belirli, açık ve meşru amaçlar için işlenme
Veri Sorumlusu, kişisel verileri işlemeden önce işleme amacını belirler ve ilgili kişileri bu amaçlara ilişkin aydınlatır. Hukuka uygun amaçlar dışında kişisel veri işlenemez.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
Veri sorumlusu,kişisel verileri işleme amacını belirler ve işleme faaliyetini bu amaçla sınırlandırır. Kişisel veri işleme amacı ile ölçülü olmayan veriler işlenmez.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Veri Sorumlusu, ilgili mevzuatta kişisel verilerin saklanmasına ilişkin süreleri tespit eder, bir süre belirlenmemişse işlendikleri amaçlara uygun olarak veri saklama süreleri belirler ve verileri bu sürelere uygun olarak muhafaza eder.
- Aydınlatma yükümlülüğü
Veri sorumlusu kişisel verilerin işlenmesinden önce ilgili kişileri bilgilendirilir. Aydınlatma Yükümlülüğünün Yerine Getirilmesi Prosedüründe ayrıntılı olarak düzenlendiği üzere bu bilgilendirme asgari olarak aşağıdaki konuları içermektedir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.
- Kişisel Verilerin İşlenme Şartları
Kişisel veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.
- Veri sorumlusu, aydınlatma yükümlülüğünü yerine getirmesinin akabinde ilgili kişinin açık rızasını alarak işler.
- Kanun kapsamında açık rıza alınmaksızın kişisel verilerin işlenmesinin öngörüldüğü durumlarda ilgili kişinin açık rızası olmaksızın kişisel verileri işlenir. Açık rıza aranmaksızın kişisel verilerin işlenebileceği durumlar aşağıda yer almaktadır:
- Kanunlarda açıkça öngörülmesi,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşme taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Fiili imkânsızlık nedeni ile rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişilerin kendileri veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu bir durum olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verinin ilgili kişisi tarafından alenileştirilmesi,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması, veya
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olmasıdır.
- Özel nitelikli kişisel veriler de yukarıda yer alan hükümlere tabi olup sağlık ve cinsel hayat verileri ise yalnızca:
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenir.
- Özel nitelikli kişisel veriler işlenirken kurul tarafından belirlenen önlemler alınır.
- Kişisel Verilerin Aktarılması
Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel veriler, ilgili kişinin açık rızası alınmak suretiyle ya da madde 6.2.’de yer verilen durumların varlığı halinde açık rıza aranmaksızın üçüncü kişilere aktarılabilmektedir.
- Yurt içi aktarım: Hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınarak kişisel veri sahibinin genel ve özel nitelikli kişisel verileri açık rızası alınmak suretiyle ya da madde 6.2.’de yer verilen durumların varlığı halinde açık rıza aranmaksızın üçüncü kişilere aktarabilmektedir.
- Yurt dışı aktarım : İlgili kişinin açık rızasının bulunması şartıyla Kanunda belirtilen hallerin varlığı halinde yeterli korumanın bulunduğu ülkelere kişisel veri aktarımı yapılabilir. Yeterli korumanın bulunmadığı ülkelere veri aktarımı ise Kanunda belirtilen hallerin varlığı, açık rızanın olmasına ek olarak yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması durumlarında gerçekleştirilebilir. Konuya ilişkin ayrıntılar Kişisel Verilerin Yurt Dışına Aktarım Prosedürü’nde düzenlenmiştir.
Aktarımın gerçekleştirileceği Alıcı Grupları; gerçek veya özel hukuk tüzel kişileri, hissedarlar, iş ortağı, tedarikçi, yetkili kamu kurum ve kuruluşları olmak üzere işleme amacına uygun olarak ilgili kişi aktarımın gerçekleştirileceği gerçek veya tüzel kişilerin kimliği hakkında aydınlatılır.
- İş Ortakları, Tedarikçiler ve Hizmet Sağlayıcılarının Farkındalığı ve Denetimi
Kişisel Verileri Koruma Görevlisi, kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için İş Ortaklarına, Tedarikçilerine ve Dış Hizmet Sağlayıcılarına gerekli bilgilendirmeler yapılmakta ve Kişisel Verilerin hukuka uygun olarak işlenmesi ve güvenliğinin sağlanması yönünde taahhütnameler alınmaktadır.
- Kişisel Veri Saklama Süreleri
Kişisel verileri saklama süreleri Kişisel veri Saklama ve İmha Politikasında ayrıntılı olarak düzenlenmiştir.
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
- Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
- Veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
- Bu hususlara ilişkin yapılması gereken işlemler Kişisel Veri Saklama ve İmha Politikasında ayrıntılı olarak açıklanmıştır.
- Kişisel Veri Sahiplerinin Başvurularını Sonuçlandırma Yükümlülüğü
İlgili kişilerin, Şirkete başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. İlgili kişi ayrıntıları Kişisel Verilerin Korunmasına İlişkin Başvuru Prosedürü’nde belirtildiği üzere başvuru ve şikayet haklarını kullanabilir.
- Başvuru : İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.
- Şikayet : İlgili kişinin şikayet yoluna başvurulabilmesi için Şirkete başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gereklidir. İlgili kişilerin Şirkete başvurmadan doğrudan Kurula şikayet yoluna gitmesi mümkün değildir.
Kişisel Verilerin Korunmasına İlişkin Başvuru Prosedürü’ne uygun olarak yapılan başvuruları Kişisel Verileri Koruma Görevlisi, Kişisel Verilerin Korunmasına İlişkin Başvuruların Cevaplandırılması Prosedürüne uygun olarak cevaplandırır.
- Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların Şirket tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Kişisel Verileri Koruma Kurulu Kararlarının Yerine Getirilmesi Prosedüründe ayrıntılı olarak belirtildiği üzere Şirket, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirir.
- Veri Sorumluları Sicili (VERBİS) Kayıt Yükümlülüğü
Şirket , veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri kayıt sistemi olan Veri Sorumluları Siciline (VERBİS) kayıt olur ve bu kayıtları günceller.
- Kişisel Veri İhlali
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirket Veri İhlali Müdahale Planını derhal uygular. Veri ihlali, Veri İhlali Raporlama Prosedürüne uygun olarak raporlanır ve Kişisel Verileri Koruma Görevlisi tarafından en kısa sürede Veri İhlali Bilgilendirme Prosedüründe belirtildiği şekilde ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
- Veri Kategorileri
Şirket, kişisel veri işleme amacına uygun olarak belirtilen kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, mesleki deneyim, görsel ve işitsel kayıtlar, sağlık bilgileri ve biyometrik veriler işlenmektedir.
- Kişisel Veri İşleme Amaçları
Şirket aşağıdaki amaçlara göre kişisel verileri kaydedebilir, işleyebilir veya aktarabilir:
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Hukuk İşlerinin Takibi Ve Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- Yönetim Faaliyetlerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans Ve Muhasebe İşlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Görevlendirme Süreçlerinin Yürütülmesi
- Hukuk İşlerinin Takibi Ve Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Lojistik Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Taşınır Mal Ve Kaynakların Güvenliğinin Temini
- Ücret Politikasının Yürütülmesi
- Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
- Kişisel Veri Güvenliği Tedbirleri
Şirket Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak için aşağıdaki teknik ve idari tedbirleri Şirket yapısına uygun düzeyde almaktadır:
- Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenir.
- İş birimi bazında belirlenen uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
- Çalışanların erişim yetkileri sınırlı olup yetki matrisi ile sınırlar belirlenir ve yetkiler düzenli olarak gözden geçirilmektedir. Eski çalışanlara erişim kısıtlaması uygulanmakta, hesaplar belirli süreler sonunda kapatılmaktadır.
- Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.
- Çalışanlar, kişisel verilerin korunması mevzuatı ve kişisel verilerin bu mevzuata uygun olarak erişilmesi konusunda bilgilendirilmekte ve eğitilmektedir.
- Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- Veri Sorumlusu tarafından hukuka uygun olarak kişisel veri aktarılan kişiler ile akdedilen sözleşmelere; kişisel veri aktarılan kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
- Veri Sorumlusu tarafından alınacak tedbirler bu madde ile sınırlı olmayıp, Veri Sorumlusu tarafından oluşturulan “Kişisel Verileri Saklama ve İmha Politikasında” belirtilen tedbirler de uygulanır.
- Alınan teknik tedbirler Veri Sorumlusu Sicilinde ilan edilir ve değişiklik durumunda Sicil üzerinden düzenlenir.
- Politika’nın Yayınlanması ve Saklanması
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Kişisel Verileri Koruma Görevlisi tarafından dosyasında saklanır.
- Politika’nın Güncellenme Periyodu
Politika, ihtiyaç duyuldukça ve altı aylık periodlarla gözden geçirilir ve gerekli olan bölümler güncellenir.
- Politikanın Yürürlüğü ve Yürürlükten Kaldırılması
İşbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politika ve prosedürleri yönetmek, kanun kapsamında gerekli yükümlülükleri yerine getirmek ve kişisel verilerin korunmasına yönelik tedbirleri almak üzere Şirket üst yönetiminin kararı gereğince Kişisel Verilerin Korunması Görevlisi atanmıştır.
Şirket tarafından düzenlenen bu Politika 01/01/2021 tarihlidir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Politika Şirket internet sitesinde www.akindemir.com yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
Politika, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Yönetim Kurulu Kararı ile Kişisel Veri Koruma Görevlisi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Kişisel Veri Koruma Görevlisi tarafından saklanır.
BAYİ GİRİŞİ
Bayi girişi yaparak ödeme yöntemlerimizi kullanabilir, hızlı ve 3D SMS güvenlik ile ödeme gerçekleştirebilirsiniz.
Müşteri Girişi