Kişisel Verilerin İşlenmesi Politikası
ÇAĞRI GROUP olarak Firmamız İstihdam, üretim/sanayii sektörlerinde hizmet vermekte olup mevcut ve potansiyel müşterilerimizin, tedarikçilerimizin, şirket hissedarlarımızın, istihdam ettiğimiz çalışanlarımızın veya çalışan adaylarımızın, ziyaretçilerimiz ile işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının yahut diğer üçüncü kişilerin kişisel verilerinin hukuka uygun olarak işlenmesi ve korunması, Firmamız için son derece önemli bir husustur.
İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve diğer ikincil mevzuat çerçevesinde öngörülen kişisel verilerin işlenmesine ve korunmasına ilişkin yerine getirilecek yükümlülükler ile bu kapsamda uygulanacak usul ve esaslar düzenlenmektedir.
MADDE 2 – POLİTİKANIN AMACI
İşbu Politika’nın temel amacı, Firmamız bünyesinde ve bağlı olduğu ortaklıklar düzeyinde kişisel verilerin işlenmesi ve korunması hususunda hukuka uygun olarak yürütülen kişisel veri işleme faaliyetlerinin ve kişisel verilerin korunmasına yönelik sistemlerin açıklanması ve Firmamız tarafından işlenen kişisel veriler ile ilgili veri sahiplerinin bilgilendirilmesidir.
MADDE 3 – POLİTİKANIN KAPSAMI
İşbu Politika hükümleri, mevcut ve potansiyel müşterilerimizin, tedarikçilerimizin, şirket hissedarlarımızın, istihdam ettiğimiz çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, işbirliği içinde olduğumuz diğer kurum çalışanlarının, hissedarlarının yahut üçüncü kişilerin, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Firmamız bünyesinde işlenen tüm kişisel verileri kapsamaktadır.
MADDE 4 – TANIMLAR
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (ad-soyad, TC, e-posta, adres, doğum tarihi, kredi kartı numarası vb.) ifade etmektedir.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
Kişisel Veri Sahibi/ İlgili Kişi : Kişisel verisi işlenen gerçek kişileri (müşteriler, tedarikçiler, çalışanlar, ziyaretçiler vb.) ifade etmektedir.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Örneğin, çalışan adaylarının bilgilerini göndermiş olduğu tedarikçi firmalar.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Firmamız bu kapsamda veri sorumlusu olarak addedilmektedir.
MADDE 5 – TEMEL İLKELER VE KİŞİSEL VERİ İŞLENMESİ YÖNTEMİ
İşbu Politika, KVKK ve ilgili ikincil mevzuat tarafından öngörülen kuralları somutlaştırma amacını taşımakta olup söz konusu amaca hizmet edecek yöntemleri belirleyen ve yol gösterici bir nitelik taşıyan bir düzenlemedir. Bu kapsamda, Firmamız bu Politika’yı rehber edinerek gerçekleştirilen veri işleme faaliyetlerini analiz edecek, gerekli tüm aksiyonları belirleyecek ve gerekli her türlü idari ve teknik önlemleri alacaktır. Aksiyonların uygulanmaya başlanması ile birlikte iç denetim sistemi işletilerek işbu Politika’ya uyumluluk sağlanacak ve sağlanan bu uyumluluk korunacaktır. İç denetim uygulamasının yanı sıra, çalışanların farkındalığının sağlanması için çalışmalar yapılacak, Firmamız bünyesine yeni dahil olmuş çalışanlar için gerekli uyum süreçleri işletilecek ve Firmamızın bağlı ortaklıkları ve iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılacaktır.
Tüm bu süreçlerde Firmamız, yasal uyumluluğun sağlanması amacıyla işlenen kişisel verilerin KVKK ve ilgili diğer mevzuat uyarınca belirlenen genel ilke ve hükümlere uygun olması gerektiğinin bilincindedir. Bu doğrultuda, KVKK madde 4 kapsamında tüm kişisel veri işleme faaliyetlerinde göz önünde bulundurulması gereken temel ilkeler aşağıda yer almaktadır:
· Hukuka ve dürüstlük kurallarına uygun olma.
· Doğru ve gerektiğinde güncel olma.
· Belirli, açık ve meşru amaçlar için işlenme
· İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
· İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Bu çerçevede Firmamız tarafından kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilecek her türlü veri işleme faaliyetinde yukarıda yer alan tüm ilkeleri göz önünde bulunduracaktır.
MADDE 6 – KİŞİSEL VERİLERİN GÜVENLİĞİ
KVKK madde 12 gereğince ŞİRKETİMİZ kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak ile yükümlüdür. Bununla beraber, ileride Kişisel Verileri Koruma Kurulu (“Kurul”) kararları tarafından belirlenebilecek her türlü güvenlik ölçütleri de dikkate alınacak ve uygulanacaktır.
Şirketimiz ve bağlı ortaklıklarına ait ortak bir veri tabanında işlenen kişisel veriler, KVKK madde 12 doğrultusunda alınan teknik ve idari önlemler çerçevesinde gizli olarak saklanacak ve ticari amaç gerekçesiyle hiçbir şekilde üçüncü kişiler ile paylaşılmayacaktır.
Firmamız, KVKK madde 12 doğrultusunda alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli iç denetim sistemleri kurmaya, kurulan sistem neticesinde iç denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu iç denetim Firma yetkililerce belirlenen birimler veya görevliler tarafından incelenerek gerekli aksiyonlar alınacaktır.
Firmamız, işlenen kişisel verilerin hukuka veya dürüstlük kuralına aykırı yollar ile üçüncü kişiler tarafından elde edilmesi durumunun tespiti halinde bahsi geçen bu durumu mümkün olan en kısa sürede ilgili kişisel veri sahibine ve gerektiğinde Kurul’a bildirmekle yükümlüdürler.
Firmamız tarafından işlenen kişisel veri güvenliği ihlali riskini verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumlarının tespiti halinde yol açacağı kayıplar doğru bir şekilde belirlenerek buna uygun teknik ve idari tedbirlerin derhal alınacaktır. Bu riskler belirlenirken öncelikle kişisel verilerin
(i) özel nitelikli kişisel veri olup olmadığı,
(ii) mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği ve
(iii) güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınacaktır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra, söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilecektir, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulacaktır.
MADDE 7 – ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
Özel nitelikli kişisel veri, KVKK kapsamında kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak tanımlanmaktadır. Bu verilerin hukuka aykırı olarak işlenmesi durumunda ilgili kişilerin ciddi olarak mağduriyetine veya ayrımcılığa neden olma riski sebebiyle özel önem atfedilmiştir.
Bu doğrultuda, Firmamız tarafından “özel nitelikli” olarak atfedilen her türlü verinin ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında özel bir hassasiyet göstermektedir. Firmamız tarafından, kişisel verilerin korunması için işbu Politika madde 6 uyarınca alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da özenle uygulanmakta ve gerekli denetimler uygulanmaktadır.
Yürürlükte bulunan mevzuat ile uyumlu olarak ve Kurul tarafından belirlenecek önlemlerin de alınması kaydıyla Firmamız tarafından özel nitelikli kişisel veriler, kişisel veri sahibinin açık rızasının bulunup bulunmamasına göre değişkenlik göstermektedir. Buna göre, özel nitelikli kişisel veriler:
· Kişisel veri sahibinin açık rızası ile işlenmektedir.
· Kişisel veri sahibinin açık rızası yok ise,
§ Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
§ Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
MADDE 8 – AYDINLATMA YÜKÜMLÜLÜĞÜ
ŞİRKETİMİZ, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini, verilerinin hangi gerekçe ve hangi usul ile işleneceği konusunda aydınlatmak ile yükümlüdür. Aydınlatma yükümlülüğüne ilişkin asgari hususlar KVKK madde 10 kapsamında düzenlemektedir:
· Veri sorumlusu olarak Firmamızın ve varsa temsilcisinin kimliği,
· Kişisel verilerin hangi amaçla işleneceği,
· Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
· Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
· Kişisel veri sahibinin sahip olduğu haklar.
Bu doğrultuda ŞİRKETİMİZ , tarafından öncelikle kişisel veri toplama kanalları tespit edilecek ve her kanal özelinde aydınlatma noktaları ve metinleri belirlenecektir.
MADDE 9 – KİŞİSEL VERİ SAHİPLERİNİN BAŞVURMA HAKKI
Firmamız bünyesinde işlenen kişisel verileri ile ilgili kişisel veri sahipleri veri sorumlusu olan Firmamıza başvurarak KVKK madde 11 kapsamında öngörülen bazı haklardan yararlanabilecektirler. Bu çerçevede, kişisel veri sahipleri:
· Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
· Kişisel verilerin silinmesini veya yok edilmesini isteme,
· Yapılan işlemlerin ve kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
Kişisel veri sahipleri bahsi geçen bu hakları Firmamızın internet sitesinde www.cagrielektrik.com.tr yer alan “KVKK Başvuru Formu” nu doldurularak ve doldurulan bu formun Başvuru Formu’nda belirtilen kanallar üzerinden Firmamıza ulaşmasını sağlayarak bu haklardan yararlanabilecektirler. KVKK madde 13 ile uyumlu olarak Başvuru Formu’nda öngörülen başvuru usulüne uyulmaması sonucunda, kişisel veri sahipleri tarafından gönderilen başvurular dikkate alınmayacaktır.
MADDE 10 – VERİ SORUMLULARI SİCİLİNE KAYIT OLMA YÜKÜMLÜLÜĞÜ
Firmamız, Kurul tarafından belirlenerek ilan edilecek süre zarfında, KVKK ve Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca belirtilen başvurulara ilişkin belgeleri ve bilgileri sunarak Veri Sorumluları Sicili’ne kayıt olacaktır. Kurul tarafından talep edilebilecek ek bilgi ve belgeler haricinde Veri Sorumluları Sicili’ne ibraz edilecek bilgiler gibidir:
· Veri sorumlusu olarak kimlik ve adres bilgileri,
· Kişisel verilerin hangi amaçla işleneceği,
· Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
· Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
· Yabancı ülkelere aktarımı öngörülen kişisel veriler,
· Kişisel veri güvenliğine ilişkin alınan tedbirler,
· Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
MADDE 11 – KİŞİSEL VERİLERİN AKTARIMI
Kişisel verilerin aktarılması, kural olarak kişisel veri sahibinin açık rızası ile veya KVKK madde 5’de öngörülen istisnalar doğrultusunda veya yeterli önlemler alınmak kaydıyla, KVKK madde 6/3 atfı ile diğer kanunlarda öngörülen istisnalar doğrultusunda meşru ve hukuka uygun olacaktır. ŞİRKETİMİZ bu ilkeler ve şartlar çerçevesinde kişisel veri aktarımı sağlayacaktır.
Bununla beraber ŞİRKETİMİZ, kişisel verileri yurt dışına aktarırken ya ilgili kişisel veri sahibinin açık rızasını temin edecek ya da KVKK madde 5 çerçevesinde öngörülen istisnalar doğrultusunda veya ile yeterli önlemler alınmak kaydıyla, KVKK madde 6/3 atfı ile diğer kanunlarda öngörülen istisnalar doğrultusunda belirtilen şartlardan birini sağlayacak ve ayrıca kişisel verinin aktarılacağı yabancı ülkede:
· Yeterli korumanın bulunması,
· Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarabilecektir.
MADDE 12 – POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunmasına konusunda mevcut kanun, ikincil düzenlemeler ve ilgili diğer mevzuat ile işbu Politika, ŞİRKETİMİZ bünyesinde uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde, Firmamız yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kurallar çerçevesinde somutlaştırılmış olup Firmamız KVKK kapsamında öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.
MADDE 13 – POLİTİKANIN YÜRÜRLÜĞÜ
İş bu politika 01.01.2020 tarihinde yürürlüğe girecektir.