KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
- AMAÇ VE KAPSAM
Esenşehir Mahallesi Kürkçüler Caddesi 23/C Ümraniye İSTANBUL adresindeki Gradin Kayış Sanayi A.Ş. (aşağıda kısaca Şirket/İşyeri/Gradin olarak ifade edilecektir.) olarak, anayasal bir hak olarak düzenlenen 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak; faaliyetlerimizi yerine getirirken, herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu bağlamda KVKK’da yer alan gerekliliklerin yerine getirilmesine önem vermekteyiz.
İşbu Kişisel Verilerin Korunması Politikası; kişisel verilerin Esenşehir Mahallesi Kürkçüler Caddesi 23/C Ümraniye İSTANBUL adresindeki Gradin Kayış Sanayi A.Ş. tarafından toplanması, kullanılması, paylaşılması ve saklanması ile ilgili süreçleri hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır. Kişisel verilerin işlenmesi ve korunması sürecinde; yürürlükte bulunan ilgili mevzuat hükümleri öncelikli olarak uygulanacaktır.
Bu çerçevede işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (“Politika”) temel amacı; Şirketimizin benimsemiş olduğu kişisel verilerin korunması mevzuatı kapsamındaki kuralları, önlemleri, görev ve sorumlulukları metodolojik bir yaklaşımla ortaya koymak ve bu kapsamda kişisel verilerin korunmasına yönelik uyguladığımız önlemlerde şeffaflığı sağlamaktır.
- TANIMLAR VE KISALTMALAR
Bu Politika’nın uygulanmasında kullanılan terimler aşağıda yer verilen anlamları ifade ederler.
Çalışanlar: Şirketimizin çalışanlarını ifade eder.
İrtibat Kişisi : Şirketimiz bünyesindeki kişisel veri işleme faaliyetlerini, KVK Politika ve Prosedürlerinin uygulanmasını bireysel bazda takip etmekle sorumlu olan kişidir.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Örneğin; ad, soyad, adres, telefon numarası, doğum tarihi, doğum yeri, göz rengi, T.C. kimlik numarası.
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişidir. Örneğin; çalışan, ziyaretçi , müşteri,
İlgilenen Kişi
Kişisel Verilerin İşlenmesi : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin; elde etmek, kaydetmek, depolamak, değiştirmek, aktarmak.
KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
3.KİŞİSEL VERİLERİN İŞLENMESİ İLKELERİ
İşyerimiz Kişisel verileri, KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulur:
- a) Hukuka ve dürüstlük kurallarına uygun olma:
İşyerimiz yasal mevzuat hükümlerine, hukuka ve dürüstlük kurallarına uygun olarak kişisel verileri işler. Kişisel veri sahiplerine bilgilendirmede bulunur.
- b) Doğru ve gerektiğinde güncel olma:
İşyerimiz işlediği kişisel verilerin doğru ve güncel olması için gerekli tedbirleri almaktadır.
- c) Belirli, açık ve meşru amaçlar için işlenme:
İşyerimiz meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. İşyerimiz kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma:
İşyerimiz verdiği hizmet kapsamında belirlenen amaçların gerçekleştirilmesi için kişisel verileri işlemekte, amacın gerçekleştirilmesi için gerekli olmayan kişisel veriyi almak, işlemek ve saklamaktan kaçınır.
- d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme:
İşyerimiz yasal mevzuat hükümlerine uygun olarak kişisel verileri saklamaktadır. Süre sonunda kişisel veriler silinmekte, anonim hale getirilmekte veya imha edilmektedir.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI:
İşyerimiz kişisel verileri işlerken 6698 sayılı KVKK hükümleri doğrultusunda aşağıdaki şartlara uymaktadır:
(1)Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Kişisel veriler ancak veri sahibinin/ilgili kişinin açık rızası ile işlenir. Bu doğrultuda hastalar konuya ilişkin bilgilendirilir, özgür iradeye dayalı açık rızaları alınır.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
İşyerimiz 6698 sayılı KVKK ile belirtilen özel nitelikli kişisel verileri işlenmesinde belirtilen düzenlemelere uymaktadır.
KVKK “MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri” olarak tanımlanmıştır.
İşyerimiz özel nitelikteki kişisel verileri ;
İlgilinin açık rızası ile işler,
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenir,
Sağlık ve cinsel hayata ilişkin kişisel veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenmektedir.
KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ
Kişisel Verilerin Korunması Kanunu 4, 5 ve 6. maddeye uygun olarak ve Yönetmelik’in 5’inci, 7’inci, 9’uncu ve 10’uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanterine dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir.
- Veri kategorisi
- Kişisel veri işleme amaçları ve hukuki sebebi
- Aktarılan alıcı/alıcı grupları
- Veri konusu kişi grupları
- Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi
- Yabancı ülkelere aktarım
- Veri güvenliğine ilişkin alınan idari ve teknik tedbirler
İŞYERİMİZ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Şirketimiz tarafından kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler,Esenşehir Mahallesi Kürkçüler Caddesi, 23/C Ümraniye İSTANBUL adresindeki Gradin Kayış Sanayi A.Ş. tarafından veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler işyerimiz tarafından, veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Veri sahibinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,
Kamu sağlığının korunması,
Koruyucu hekimlik,
Tıbbî teşhis,
Tedavi ve bakım hizmetlerinin yürütülmesi,
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir. Özel nitelikli kişisel verilerin aktarılmasında da, bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.
KİŞİSEL VERİLERİN İLGİLİ MEVZUAT KAPSAMINDA MUHAFAZASI
Şirketimiz kişisel verileri, KVKK ve ilgili diğer kanun hükümlerine uygun olarak Esenşehir Mahallesi Kürkçüler Caddesi 23/C Ümraniye İSTANBUL adresindeki Gradin Kayış Sanayi A.Ş. ticari faaliyetlerinin yerine getirebilmesi amacıyla uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Öncelikle kişisel verilerin saklanması için süre olup olmadığını inceler bu süreye uygun davranır. Yasal süre bulunmaması halinde gerekli süre belirlenerek kişisel veriler bu süreye uygun olarak saklanır. Süre bittiğinde kişisel veriler silinir, yok edilir, anonim hale getirilir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir.
Bu kapsamda işyerimiz bünyesindeki ilgili birimlere gerekli eğitimleri vermekte, farkındalığı sağlamaktadır.
VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER
Esenşehir Mahallesi Kürkçüler Caddesi 23/C Ümraniye İSTANBUL adresindeki Gradin Kayış Sanayi A.Ş. kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
KVKK’nın 12(1). maddesinde öngörülen tedbirler şunlardır:
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak.
Şirketimizin bu kapsamda aldığı önlemler aşağıda sayılmıştır:
İdari Tedbirler
Şirketimiz, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde,Şirketimiz , bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile çerçeve sözleşme imzalar yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar.
Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline gerekli KVK eğitimlerini verir.
Teknik Tedbirler
Şirketimiz, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli KVK eğitimlerini verir.
Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
Kişisel verilerin kurum dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
KİŞİSEL VERİ SAHİPLERİNİN KVKK11. MADDESİ GEREĞİNCE HAKLARI:
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 11. Maddesi çerçevesinde kişisel veri sahipleri Şirketimiz adresine başvurarak;
a-Kişisel veri işlenip işlenmediğini öğrenme,
b-Kişisel veri işlenmiş ise buna ilişkin bilgi talep etme,
c- Kişisel verileri işlenme amacını ve bunların amaca uygun kullanılıp kullanılmadığını öğrenme,
ç- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e- KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak kişisel verilerin silinmesini veya yok edilmesini isteme,
f- Kişisel verilerinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g- İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
ğ- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme,haklarına sahiptir.