KORUNMASI, SAKLANMASI ve İMHA POLİTİKASI
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu “AKCAN Toptan Ev Tekstili Tuhafiye Yün İplik A.Ş. ”, Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), “AKCAN’ın kanuna uyumluluğunun sağlanmasını ve Kurum tarafından kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesini amaçlamaktadır. Kişisel veriler, başta kimlik bilgileri olmak üzere, IP, adres, telefon, e-posta adresleri gibi iletişim bilgileri; araç ve plaka bilgileri; aile durum bilgileri; iş unvanı, meslek ve işyeri bilgileri; eğitim düzeyi ve benzeri öğrenim bilgilerini ve fotoğraf, görüntü ve benzeri bilgileri ifade etmektedir.
Politika, kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde kurum tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, Kurum tarafından Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini, Kurumun işlediği tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel verileri kapsamaktadır.
Kişisel verilerin Kurumla paylaşılması halinde, Kurum Veri Sorumlusu sıfatıyla, kişisel bilgileri kanunda açıklandığı çerçevede; elde edebilecek, kaydedebilecek, depolayabilecek, muhafaza edebilecek, hizmetlerini devam ettirebilmek amacıyla güncelleyebilecek, değiştirebilecek, yeniden düzenleyebilecek, mevzuatın izin verdiği durumlarda ve ölçüde üçüncü kişilere açıklayabilecek, devredebilecek, aktarabilecek, paylaşabilecek, sınıflandırabilecek, anonim hale getirebilecek ve kanunda sayılan diğer şekillerde işleyebilecektir.
Kurum nezdinde işlenen kişisel verileriniz ile ilgili; kişisel verilerin ve kişisel sağlık verilerinin işlenmesi ilkeleri, işbu verilerin işleme amaç ve şartları ile yurt içinde aktarımı, imhası ve işlenen veriler üzerindeki haklarınıza dair uygulama ve esaslar aşağıda sizlere bildirilmektedir.
Kurum, KVKK ve ilgili diğer düzenlemelere uyum sağlanması ve kişisel verilerinizin Kanuna ve diğer düzenlemelere uygun olarak işlenmesi, kullanılması, imhası, aktarımı ve sair hususlarda bu politikada belirlenen prosedür ve süreçlere uygun şekilde davranacaktır.
Açık Rıza: Belirli bir konuya ilişkin, ilgili kişinin bilgilendirilmesine dayanan ve ilgili kişinin özgür iradesiyle açıklanan rıza.
Açık Veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İrtibat Kişisi: Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumlu kişidir. Veri sorumlusu eğer Türkiye’de yerleşik olan bir tüzel kişi ise, bir irtibat kişisi atamak ve Veri Sorumluları Siciline kayıt sırasında atadığı bu irtibat kişisine ait bilgileri VERBİS’e işlemek zorundadır.
Kanun: 24.03.2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
Kişisel verilerin imha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
Kurul: Kişisel Verileri Koruma Kurulu.
Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili (VERBİS).
Üçüncü Kişi: Kurumumuzun yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örneğin hizmet alınan firma çalışan veya yetkilileri, Refakatçi vb)
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Ziyaretçi: Kurumumuzun sahip olduğu fiziksel alanlara çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.
Kurumun tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. Kişisel verilerin işlenmesi, saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Unvan / Birim | Görev |
İşveren / İşveren Vekili | Çalışanların politikaya uygun hareket etmesinden sorumludur. |
İnsan Kaynakları, Finans / Muhasebe, Satış / Pazarlama Birimi, Güvenlik Birimi, Hukuk Birimi, Sekretarya / Müşteri Temsilcisi, Satın Alma Birimi | Görevlerine uygun olarak politikanın yürütülmesinden sorumludur. |
Gerçek ve Özel Hukuk Tüzel Kişilikleri (Avukat, İş Güvenliği Uzmanı, İşyeri Hekimi, Serbest Mali Müşavir, Danışman vb.) | Kurumdan aldıkları kişisel verileri, Gizlilik sözleşmesinde ve bu politika da belirtilen hususlar ile ilgili kanuna göre işlemek, saklamak ve imha etmekle yükümlüdür. |
Politika kapsamındaki veri sahipleri, kurum tarafından kişisel verileri işlenmekte olan kurum çalışanları dışındaki tüm gerçek kişilerdir. Bu çerçevede genel olarak veri sahibi kategorileri aşağıdaki şekildedir:
Çalışan: İşyerinde istihdam edilen gerçek kişileri ifade eder.
Çalışan Adayı: İş başvurusunda bulunan gerçek kişileri ifade eder.
Stajyer/Çırak: Mesleki eğitimi ve öğrenimi için staj yapan gerçek kişileri ifade eder.
Aile Üyeleri ve Yakınları: Çırak/Stajyer Öğrencinin aile ve yakınlarını ifade etmektedir.
Veli / Vasi / Temsilci: Velayet altındaki stajyerleri temsil eden velayet sahibi gerçek kişileri ifade etmektedir.
Etkinlik Katılımcısı: Kurum tarafından düzenlenen toplantı, etkinliklere katılım sağlayan gerçek kişileri ifade etmektedir.
Ziyaretçi: Kurumun kampüsünü ziyaret eden gerçek kişileri ifade etmektedir.
Tedarikçi: Kurumun ihtiyaçları doğrultusunda (Servis, Yemek vb.) kuruma hizmet sunan gerçek ve tüzel kişilik adına hareket eden yetkiliyi kişiyi ifade etmektedir.
Tedarikçi Çalışanı: Tedarikçi bünyesinde istihdam edilen ve tedarikçi adına mal veya hizmet üreten gerçek kişidir.
Kurum Yetkilisi / Temsilcisi: Kurumu temsile yetkili gerçek kişileri ifade etmektedir.
Referans Kişi: İş başvurusu yapan kişiye referans olan gerçek kişiyi ifade eder.
Üçüncü Kişiler: Yukarıda yer verilen veri sahibi kategorileri ile kurum çalışanları hariç gerçek kişileri ifade etmektedir.
Veri sahibi kategorileri genel bilgi paylaşımı amacıyla belirtilmiştir. Veri sahibinin, bu kategorilerden herhangi birinin kapsamına girmemesi, Kanun’da belirtildiği şekilde veri sahibi niteliğini ortadan kaldırmamaktadır.
Kurum tarafından kişisel verileriniz ve özel nitelikli kişisel verileriniz, Kanun’da ve ilgili mevzuatta yer alan kişisel veri işleme şartlarına uygun olarak aşağıdaki amaçlarla işlenebilmektedir:
Kimlik: Ad-Soyad, TC Kimlik No, Anne – Baba Adı, Anne Kızlık Soyadı, Doğum Tarihi, Doğum Yeri, Medeni Hali, Nüfus Cüzdanı Seri Sıra No, Aile Sıra No, Sıra No, Cilt No, Nüfusa Kayıtlı Olduğu İl, Nüfusa Kayıtlı Olduğu İlçe, Nüfusa Kayıtlı Olduğu Mahalle / Köy, Cinsiyeti, Uyruk, Son Geçerlilik Tarihini ifade eder.
İletişim : Açık adresi, telefon numarası, kurumsal veya kişisel e posta adresi, şirket içi iletişim bilgileri (Dâhili No vb.), kayıtlı elektronik posta adresi (kep), (aile üyeleri ve yakınları dâhil)
Lokasyon: Araç talip sisteminde yer alan konum bilgilerini,
Özlük Bilgileri: Bordro Bilgileri, Disiplin Soruşturma Bilgisi, İşe Giriş Bilgileri (İşe Giriş Tarihi, Meslek Kodu vb.), Kurum Unvan Bilgisi, Kurum Sicil No Bilgisi, Yaptığı İş / Görev Bilgisi, Özgeçmiş Bilgileri, Mal Bildirimi Bilgileri, Askerlik Durumu, İzin Bilgisi (Ücretli ve Ücretsiz İzinleri Tümü), Çalışma Saatleri / Vardiya Bilgisi, Yabancı Çalışma İzin Bilgileri, Muvafakat Bilgisi (Fazla Mesai, Veli veya Vasi Onayı vb.), Performans Değerlendirme Raporları, Emeklilik Bilgisi, İş Hakkında Talep, Şikayet ve Öneri bilgileri,
Hukuki İşlem ve Uyum Bilgisi: Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Kurumun politikalarına uyum kapsamında işlenen kişisel veriler.
Müşteri İşlem Bilgileri: Fatura Bilgileri, Senet Bilgileri, Çek Bilgileri, Makbuz Bilgileri, Sipariş Bilgisi, Mal / Hizmet Talep Bilgisi, Gişe Dekontlarındaki ve benzeri bilgileri,
Mesleki Deneyim Bilgisi: Diploma Bilgisi, Mesleki Yeterlilik Bilgisi, Gidilen Kurs Bilgisi, Sertifika Bilgisi, Araç / Operatör Ehliyet Bilgisi (İş Makinası, Ticari, Hususi Araç Dâhil), Transkript Bilgisi (Yüksek Öğrenim, Okul ve Stajyer Bilgisi), Bonservis / Hizmet / Çalışma Bilgisi ve benzeri bilgileri,
Aile Bireyleri ve Yakın Bilgisi: Çalışanların aile ve yakınlarına ait kişisel veriler.
Fiziksel Mekân Güvenlik Bilgisi: Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kamera kayıtları, araç plaka bilgisi ve kimlik vb. belgelere ilişkin kişisel veriler.
İşlem Güvenliği: Kurumumuza ait internet ve bilgisayarların kullanımı sırasındaİnternet Sitesi Giriş Çıkış Bilgileri, Şifre ve Parola Bilgileri, IP Adresi Bilgileri ve internet erişim log kayıtları.
Finansal Bilgi: Kurumumuzun kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler.
Görsel ve İşitsel Veri Bilgisi: Fotoğraf, ses ve video kayıtları gibi kayıtlar.
Özel Nitelikli Veri – Sağlık Bilgisi: Mevzuat gereği çalışanlardan alınması zorunluk sağlık durumunu gösterir belge / bilgi.
Özel Nitelikli Veri – Ceza Mahkûmiyeti ve Güvenlik Tedbirleri: Adli makamlar tarafından verilen adli sicil kaydını,
Çalışan / Çalışan Adayı / Tedarikçi Çalışanı / Stajyerlerin kendileri tarafından, tarafımıza sağlanan kişisel veriler işlenebilmektedir. İşlenen kişisel verileriniz, iş başvuru formunda belirttiğiniz bilgileri, kimlik, iletişim, lokasyon, özlük, hukuki işlem, fiziksel mekan güvenliği, finans, mesleki deneyim, görsel ve işitsel kayıtlar, işlem güvenliği, özel nitelikli veri olan sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik verileri, referans kişi bilgileri, aile ve yakını verisi, araç plaka bilgileriniz ve benzeri bilgilerinizdir.
Ziyaretçi görsel verisi; kapalı devre güvenlik kamerası görüntüleri, ziyaretçi kimlik bilgileri, araç bilgileri, çalıştığı kurum ve unvanı.
Kurum tarafından kişisel verileriniz, Kanun’un 4. maddesinde yer alan kişisel veri işleme ilkelerine uygun olarak işlenmektedir. Bu ilkelere her bir kişisel veri işleme faaliyeti açısından uyulması zorunludur:
Kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi; Kurum, kişisel verilerinizin işlenmesinde kanunlara, ikincil düzenlemelere ve hukukun genel ilkelerine uygun olarak hareket eder; kişisel verileri işlenme amacı ile sınırlı olarak işlemeye ve veri sahiplerinin makul beklentilerini dikkate almaya önem verir.
Kişisel verilerin doğru ve güncel olması; Kurum tarafından işlenen kişisel verilerinizin güncel olup olmadığına, buna ilişkin kontrollerin yapılmasına dikkat edilir. Veri sahiplerine bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesini veya silinmesini isteme hakkı tanınır.
Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi; Kurum, her bir kişisel veri işleme faaliyetinden önce veri işleme amaçlarını tespit eder ve bu amaçların hukuka aykırı olmamasına dikkat eder.
Kişisel verilerin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olması; Kurum tarafından veri işleme faaliyeti toplama amacını gerçekleştirme için gerekli olan kişisel verilerle sınırlandırılmakta ve bu amaçla ilişkili olmayan kişisel verilerin işlenmemesi için gerekli adımlar atılmaktadır.
Kişisel verilerin mevzuatın ya da işleme amaçlarının gerektirdiği süre kadar saklanması; Kurum tarafından kişisel veri işleme amacının ortadan kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması ile birlikte kişisel veriler silinmekte, yok edilmekte veya anonimleştirilmektedir.
Kurum tarafından kişisel verileriniz, Kanun’un 5. maddesinde yer alan kişisel veri işleme şartlarından en az birinin varlığı halinde işlenmektedir. Söz konusu şartlara ilişkin açıklamalar aşağıda yer almaktadır:
Kişisel veri sahibinin açık rızasının olması diğer veri işleme şartlarının var olmadığı durumlarda, 3.1. başlık altında yer verilen genel ilkelere uygun olarak, Kurum tarafından veri sahibinin kişisel verileri, veri sahibinin özgür iradesi ile kişisel veri işleme faaliyetine ilişkin yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak şekilde ve sadece o işlemle sınırlı olarak onay vermesi halinde işlenebilmektedir.
Kişisel veri işleme faaliyetinin kanunlarda açıkça öngörülmesi halinde Kurum tarafından kişisel veriler, veri sahibinin açık rızası olmadan işlenebilecektir. Bu durumda Kurum, ilgili hukuki düzenleme çerçevesinde kişisel verileri işleyecektir.
Fiili imkânsızlık nedeniyle veri sahibinin açık rızasının elde edilememesi ve kişisel veri işlemenin zorunlu olması halinde, Kurum tarafından rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan veri sahibine ait kişisel veriler, veri sahibinin veya üçüncü bir kişinin hayatı veya beden bütünlüğünü korumak adına kişisel veri işlemenin zorunlu olması durumunda işlenecektir.
Kişisel veri işleme faaliyetinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması durumunda, veri sahibi ile Kurum arasında kurulan veya hali hazırda imzalanmış olan sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise kişisel veri işleme faaliyeti gerçekleştirilecektir.
Veri sorumlusu hukuki yükümlülüğünü yerine getirme için kişisel veri işleme faaliyeti yürütülmesinin zorunlu olması durumunda Kurum, yürürlükteki mevzuat kapsamında öngörülen hukuki yükümlülüklerini yerine getirme amacıyla kişisel verileri işlemektedir.
Veri sahibinin kişisel verilerini alenileştirmiş olması, veri sahibi tarafından herhangi bir şekilde kamuoyuna açıklanmış, alenileştirilme sonucu herkesin bilgisine açılmış olan kişisel veriler alenileştirme amacı ile sınırlı olarak Kurum tarafından veri sahiplerinin açık rızası olmasa da işlenebilecektir.
Bir hakkın tesisi, kullanılması veya korunması için kişisel veri işlemenin zorunlu olması durumunda, Kurum zorunluluk kapsamında veri sahiplerinin açık rızası olmaksızın veri sahibinin kişisel verilerini işleyebilecektir.
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde, Kurum ile veri sahibinin menfaat dengesinin gözetilmesi şartıyla Kurum tarafından kişisel veriler işlenebilecektir. Bu kapsamda, meşru menfaate dayanarak verilerin işlenmesinde Kurum öncelikle işleme faaliyeti sonucunda elde edeceği meşru menfaati belirler. Kişisel verilerin işlenmesinin veri sahibinin hak ve özgürlükleri üzerindeki olası etkisini değerlendirir ve dengenin bozulmadığı kanaatindeyse işleme faaliyetini gerçekleştirir.
Kanunun 6. maddesinde özel nitelikli kişisel veriler, sınırlı sayıda olacak şekilde belirtilmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Kurum, özel nitelikli kişisel verileri Kişisel Verileri Koruma Kurulu tarafından belirlenen ilave tedbirlerin alınmasını sağlayarak aşağıdaki durumlarda işleyebilmektedir:
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi, veri sahibinin açık rıza vermesi halinde veya kanunlarda açıkça öngörülmesi durumunda işlenebilmektedir.
Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmaksızın işlenebilmektedir.
Kurum, Kanun’un 8. ve 9. maddelerinde sıralanan ve Kişisel Verileri Koruma Kurulu tarafından belirlenmiş olan ilave düzenlemelere uygun olarak; kişisel verilerin aktarılması şartlarının bulunması durumunda kişisel verileri yurtiçinde yer alan kurum ve kuruluşlara aktarılabilmektedir.
Kişisel verilerin yurtiçinde üçüncü kişilere aktarımı, Kanun’un 5. ve 6. maddesinde yer alan ve işbu Politikanın 3. Başlığı altında açıklanmış olan veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel ilkelere uymak şartıyla kişisel verileriniz Kurum tarafından aktarılabilmektedir.
Kanunun genel ilkeleri ile 8. ve 9. maddelerinde yer alan veri işleme şartları dâhilinde Kurum, aşağıdaki tabloda kategorizasyonu yapılmış taraflara veri aktarımı gerçekleştirebilmektedir.
Kanunen Yetkili Kamu Kurum ve Kuruluşu
Kapsamı: Hukuken kurumdan bilgi ve belge almaya yetkili kamu kurum ve kuruluşlar. (Örn. Aile, Çalışma Sosyal Hizmetler Bakanlığı, SGK)
Aktarım Amacı: İşverenin, çalışanlara karşı kanunlarda açıkça öngörülen sorumluluklarını veya hukuki yükümlülüğün yerine getirmek amacıyla veriler paylaşılmaktadır.
Kanunen Yetkili Özel Kurum veya Kişiler
Kapsamı: Hukuken kurumdan bilgi ve belge almaya yetkili özel hukuk kişileri. (Örn. Avukat, İş Güvenliği Uzmanı, İşyeri Hekimi, Serbest Mali Müşavir)
Aktarım Amacı: Özellikle 4857 Sayılı İş Kanunu, 5510 Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ile 6331 sayılı İş Sağlığı ve Güvenliği Kanunlarda belirtilen yükümlülüklerin yerine getirilmesi amacı ile sınırlı olarak verilerin paylaşımı
Herkese Açık Veri
Kapsamı: Kurumda çalışan özellikle öğretmenlerin veya yöneticilerin etkinlik, organizasyon gibi faaliyetlerde veya kurumsal reklam için ile webde, sosyal medyada, bültenlerde veya yazılı görsel medyada yayınlanması.
Aktarım Amacı: Kurumsal reklam ve pazarlama.
Tedarikçi (Servis, Yemek vb.)
Kapsamı: Kurumdan aldığı talimatlar doğrultusunda ve kurum ile arasındaki sözleşmeye dayanarak kurumun ticari faaliyetlerini sürdürmesine yönelik hizmet sunan taraflar.
Aktarım Amacı: Tedarikçiden dış kaynaklı olarak temin edilen hizmetlerin alınması ile sınırlı olarak aktarım.
Kanunen Yetkili Kamu Kurum ve Kuruluşu
Kapsamı: Adli Makamlar, Emniyet Birimleri, Hastane ve Sağlık Kuruluşları
Aktarım Amacı: Gizlilik, güvenlik, can ve mal güvenliği ile iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacı ile aktarılmaktadır.
Kişisel veri içeren bilgisayarları ağ güvenliği sağlanmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Kişisel verilere erişmeye yetkili kişiler belirlenmiş ve yetki matrisi oluşturulmuştur.
5651 sayılı kanuna uygun bir şekilde uygun erişim logları düzenli olarak tutulmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Kişisel verilerin aktarıldığı kurum ve kuruluşlarla gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri ve güvenlik duvarları bulunmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve kişisel verilerin gizliliği sağlanıp sağlanmadığı kontrol edilmektedir.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Olası kişisel veri ihlallerine ilişkin risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Kanun’un 7. maddesi gereğince hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler tarafından resen veya veri sahibinin talebi üzerine Kurum kişisel verileri siler, yok eder veya anonim hâle getirir. Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve saklama sürelerinin de sonuna gelinmiş olmasına rağmen kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklama süresi uzayabilir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı sürelerinin sona ermesinden sonra yine kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel veriler, kurum tarafından kişisel bilgisayarlarda, mobil cihazlarda, bilgi güvenliği cihazlarında (firewall, modem), kağıt ve yazılı basılı görsel ortamlarda işlenmekte, saklanmaktadır.
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir.
Bu kapsamda kişisel veriler;
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Politikanın 2 maddesinde kurumun veri işleme amaçlarına ilişkin ayrıntılı olarak anlatılmıştır.
Kişisel veriler;
Durumlarında kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel bilgisayarlarda ve elektronik ortamda tutulan kişisel veriler saklama süresi sonuna gelindiğinde ilgili kişi tarafından tekrar geri getirilemeyecek şekilde silinmektedir.
Fiziksel ortamda yer alan kişisel veriler saklama süresi sonuna gelindiğinde ilgili kişi tarafından tekrar geri getirilemeyecek şekilde yırtılır / imha edilir.
Veri Sahibi | Süreç | Saklama Süresi | İmha Süresi |
Çalışan | Sözleşme Süreçleri | İş Akdinin Sona Ermesinden İtibaren 15 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ürün veya Hizmet Alan Kişi | Sözleşme Sona Ermesinden İtibaren 5 Yıl | ||
Çalışan | Acil Durum Süreçleri | İş Akdinin Sona Ermesinden İtibaren 6 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Tedarikçi Çalışanı | Sözleşme Sona Ermesinden İtibaren 6 Yıl | ||
Çalışan | Bilgi Güvenliği Süreçleri | İş Akdinin Sona Ermesinden İtibaren 15 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Tedarikçi Yetkilisi | Sözleşme Sona Ermesinden İtibaren 15 Yıl | ||
Tedarikçi Çalışanı | Sözleşme Sona Ermesinden İtibaren 15 Yıl | ||
Çalışan Adayı | Çalışan Adayı / Stajyer / Öğrenci Başvuru, Seçme ve Yerleştirme Süreçlerinin Yürütülmesi | İş Başvuru Tarihinden İtibaren 5 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Stajyer | İş Başvuru Tarihinden İtibaren 5 Yıl | ||
Çalışan | Meslek içi eğitim, sertifikalı eğitim ve benzeri eğitim süreçleri | İş Akdinin Sona Ermesinden İtibaren 15 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Tedarikçi Çalışanı | Sözleşme Sona Ermesinden İtibaren 15 Yıl | ||
Çalışan | İş Sağlığı / Güvenliği Süreçleri | İş Akdinin Sona Ermesinden İtibaren 15 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Stajyer | İş Akdinin Sona Ermesinden İtibaren 15 Yıl | ||
Tedarikçi Çalışanı | Sözleşme Sona Ermesinden İtibaren 15 Yıl | ||
Ürün veya Hizmet Alan Kişi | Müşteri İlişkileri Yönetimi Süreçleri | 5 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Potansiyel Müşteri | 5 Yıl | ||
Çalışan | Özlük Dosyalama Süreçleri | İş Akdinin Sona Ermesinden İtibaren 15 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Tedarikçi Çalışanı | Sözleşme Sona Ermesinden İtibaren 15 Yıl | ||
Veri Sahibi | Süreç | Saklama Süresi | İmha Süresi |
Ürün veya Hizmet Alan Kişi | Reklam / Kampanya / Promosyon Süreçleri | 5 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Potansiyel Müşteri | 5 Yıl | ||
Çalışan | Kamera Kayıtları | 6 Ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ürün veya Hizmet Alan Kişi / Potansiye Müşteri | |||
Ziyaretçi | |||
Tedarikçi Çalışanı | |||
Tedarikçi Yetkilisi | |||
Hissedar / Ortak | |||
Çalışan | İnternet Erişim Log Kayıtları | 2 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ürün veya Hizmet Alan Kişi | |||
Ziyaretçi | |||
Tedarikçi Çalışanı | |||
Tedarikçi Yetkilisi | |||
Hissedar / Ortak | |||
Çalışan | Maaş ve Sözleşme Süreçleri Gereği Tutulması Gerekli Finansal Kayıtlar | İş Akdinin Sona Ermesinden İtibaren 15 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Stajyer | İş Akdinin Sona Ermesinden İtibaren 15 Yıl | ||
Ürün veya Hizmet Alan Kişi | 5 Yıl | ||
Hissedar / Ortak | Hukuki İlişki + 30 Yıl | ||
Çalışan | Gezi, Etkinlik, Toplantı vb. Organizasyonlar |
Organizasyonun
sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Etkinlik Katılımcısı | |||
Stajyer | |||
Veri Sahibi | Süreç | Saklama Süresi | İmha Süresi |
Çalışan | Bilgi Talepleri, Müşteri Şikayet ve Önerilerinin Değerlendirilmesi | Başvuru Tarihinden İtibaren 5 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Stajyer | |||
Ürün veya Hizmet Alan Kişi | |||
Potansiyel Müşteri |
Kurum sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini, ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla site içerisindeki internet hareketlerini kaydedilmektedir.
Kurum, tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Kurum, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır. Kurum tarafından Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır.
Kurum tarafından kamera ile izleme faaliyetine yönelik olarak; Kurumun internet sitesinde işbu Politika yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır. Kurum Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Kişinin mahremiyetini ve güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Kurumun çalışanlarının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
Kurum tarafından; güvenliğin sağlanması ve bu Politikada belirtilen amaçlarla, Kurum binalarında ve tesislerinde ziyaretçi giriş çıkışlarının takibine yönelik ve bu amaçla sınırlı olarak kişisel veri işleme faaliyetinde bulunulmaktadır. Ziyaretçi olarak Kurum binalarına gelen kişilerin isim ve soyadları elde edilirken ya da kurum nezdinde asılan ya da diğer şekillerde ziyaretçilerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar.
Kurum olarak şirket faaliyetleri çerçevesinde işlediğimiz kişisel verilerinizin kanuna ve ilgili mevzuata uygun olarak muhafaza edilmesi güvenliğinin sağlanması için gerekli görülen idari ve teknik tedbirlerin alınması için gerekli teknolojik alt yapı çerçevesinde yerine getiriyor; bu doğrultuda veri ihlali, yetkisiz erişim, veri kaybı, verilerin izinsiz değiştirilmesi ve sair tehditlere karşı önlem alarak gerekli denetimleri gerçekleştiriyoruz. Bütün bu önemlere ve tedbirlere rağmen, yine de bir veri ihlali söz konusu olursa gecikmeksizin en kısa sürede ve en geç 72 saat içerisinde durumu ilgili kişilere ve Kişisel Verileri Koruma Kurumuna bildiriyoruz.
Bu kapsamda, mevcut risk ve tehditleri tespit ediyor, çalışanlarımızı eğiterek farkındalık çalışmaları gerçekleştiriyor, kişisel veri güvenliğine ilişkin politika ve prosedürleri belirliyoruz. Kurumumuz tarafından kanunun 12. maddesi uyarınca “veri güvenliğini” sağlamaya yönelik alınan idari ve teknik tedbirler aşağıda belirtilmekte olup bu tedbirlerin gereği gibi uygulanması amacıyla gerekli kontroller gerçekleştirilmektedir.
Kanunun 10. maddesine göre kişisel verilerin işlenmesinden önce veya en geç kişisel verilerin işlenmesi anında, veri sahiplerinin kişisel veri işlenmesine ilişkin aydınlatılmaları gerekmektedir. İlgili madde gereğince veri sorumlusu sıfatıyla Kurum tarafından kişisel veri işleme faaliyetinin yürütüldüğü her durumda veri sahiplerinin aydınlatılmasını sağlamak üzere Kurum içi gerekli yapı oluşturulmuştur.
Bu kapsamda;
Kişisel verilerinizin işlenme amacı için lütfen Politikanın 2.2. bölümünü inceleyiniz.
Kişisel verilerinizin aktarıldığı taraflar ve aktarım amacı için lütfen Politikanın 4. Bölümünü inceleyiniz.
Fiziki veya elektronik ortamlarda farklı kanallarla toplanabilen kişisel verilerinizi işlenmesine ilişkin şartları incelemek için lütfen Politikanın 3.2 bölümüne bakınız.
Kurum, faaliyetleri kapsamında işlenen kişisel veriler ile ilgili olarak veri sahibi, kanunun 11. Maddesi ile İlgili Yönetmeliğin 10. maddesinde sayılı haklarınız için başvurarak;
Kişisel verilerinizin işlenmesi ile ilgili hususlarda Şirketin internet adresinde bulunan “Kişisel Veri Talep Formunu” doldurarak, formda belirtilen yöntemlerden sizin için uygun olanı ile “kimliğinizi ispatlamak suretiyle” başvuruda bulunabilirsiniz. Yukarıda yer alan haklarınızı kullanmanız ve yukarıda yer alan hususlarda başvuru yapmanız halinde, başvurunuzda yer alan talepleriniz, talebin niteliğine göre ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.
Kurum tarafından veri sahibi başvurularına yanıtlar, yazılı olarak veya elektronik ortamda veri sahiplerine bildirilmektedir. Başvurunun reddedilmesi halinde ret nedenleri gerekçeli olarak veri sahibine açıklanacaktır.
Aşağıda belirtilen durumlar Kanun kapsamı dışındadır:
Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç̧ teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş̧ kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Aşağıda sayılan durumlarda Kurum tarafından veri sahiplerine aydınlatma yapılması gerekmemektedir ve veri sahipleri, zararlarının giderilmesine ilişkin hakları hariç olmak üzere, Kanun’da belirtilen haklarını kullanamayacaklardır:
Kişisel veri işlemenin suç̧ islenmesinin önlenmesi veya suç̧ soruşturması için gerekli olması,
İlgili kişinin kendisi tarafından alenileştirilmiş̧ kişisel verilerin işlenmesi,
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Politika, “AKCAN” tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politikada yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
“AKCAN”, yasal düzenlemelere paralel olarak politikada değişiklik yapma hakkını saklı tutar. Politikanın güncel metnine Kurumun web sitesinden www.akcan.com.tr adresinden erişilebilir.