6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun, kişisel verilerin “veri sorumlusu” olarak sınıflandırılan ve kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerce kişisel verilerin işlenmesine ilişkin usul ve esasları ortaya koymaktadır.
Kanun kapsamında kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak; işleme ise “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.
Kanun, diğer düzenlemelerinin yanı sıra, veri sorumlularına, kişisel verilerin elde edilmesi sırasında kişisel verisi işlenecek olan veri sahiplerini bilgilendirme / aydınlatma yükümlülüğü getirmiştir. Kanun’un 10. maddesine göre veri sorumluları veri sahiplerini;
konularında bilgilendirmelidir.
Bu doküman (“Politika”), Şirketimiz’in veri sorumlusu olarak kişisel verilerini işlediği gerçek kişilerin yukarıda belirtilen madde kapsamında aydınlatılması amacıyla kaleme alınmıştır. Bu Politika’nın konusu Şirketimiz’in müşterileri, kurumsal müşterilerinin hissedarları, yetkilileri ve çalışanları, potansiyel müşterileri, iş ortaklarımızın ve tedarikçilerimizin hissedarları, yetkilileri ve çalışanları ile çalışan adaylarımız, Şirketimiz’de eskiden çalışanlar ve stajyerlerimiz ile Şirketimizden emekli olan kişiler, ziyaretçilerimiz, şirket yetkilileri ile hissedarlarımız, iş ortağı ve tedarikçi adaylarımız ve sair üçüncü kişiler olup çalışanlarımıza ilişkin kişisel verilerin işlenmesine ilişkin hususlar Kanun’a uygun şekilde çalışanlara sunulan ayrı bir politika metni kapsamında düzenlenmektedir.
Kanun’un 4. maddesi uyarınca kişisel veriler, Kanun ve diğer ilgili mevzuatta öngörülen usul ve esaslara uygun bir şekilde işlenmelidir. Bu kapsamda veri sorumluları, yukarıda 1.Amaç’da belirtilen aydınlatma yükümlülüğünün yerine getirilmesi dışında kişisel verilerin işlenmesi ile ilgili olarak aşağıdaki genel ilkelere uymakla yükümlü kılınmıştır:
2.2 Kanun Kapsamında Kişisel Veri İşleme ve Paylaşım Amaçları
Kanun uyarınca kişisel veriler, kural olarak veri sahibinin açık rızası bulunmaksızın işlenememektedir. Bununla birlikte Kanun, 5 ve 6. maddeleri kapsamında kişisel veriler ve özel nitelikli kişisel veriler bakımından açık rıza bulunmaksızın veri işlenebilecek birtakım durumları belirlemiştir.
5. madde uyarınca kişisel veriler,
hallerinde veri sahibinin önceden alınmış açık rızası bulunmasa dahi (gerekli aydınlatmanın yapılmış olması koşuluyla) işlenebilecektir.
Öte yandan, Kanun, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli” veya “hassas” kişisel veri olarak tanımlamış ve bunların işlenmesi için daha ağır şartlar öngörmüştür. Buna göre, özel nitelikli kişisel veriler, veri sahibinden açık rıza alınmış bulunan haller dışında ancak aşağıdaki koşullarda işlenebilecektir:
Veri işlemeye uygun şekilde, kişisel verilerin üçüncü bir tarafla paylaşılması (aktarım) da ilgilli veri sahibinden bu doğrultuda açık rıza alınmış olmasına tabi kılınmıştır. Ancak Kanun’un 8. maddesine göre veri işlemeye izin verilen şartlarda veri aktarımı da gerçekleştirilebilmekte olup bu doğrultuda yukarıda Bölüm 2.2.a’da belirtilen şartların varlığı halinde veri sahibinin rızası bulunmasa dahi kişisel veri veya özel nitelikli kişisel veri aktarımı yapılabilecektir.
Kanun, kişisel verilerin üçüncü taraflara aktarımı ile ilgili olarak yurtdışına aktarımı özel koşullara bağlamıştır. Buna göre, kişisel veriler;
Kanun’un 28. maddesi uyarınca aşağıdaki durumlarda Kanun uygulanmayacaktır:
Şirketimiz tarafından kişisel veriler, aşağıda tanımlı kategoriler altında işlenmektedir:
Veri Katogorisi / Açıklaması |
|
Kimlik |
Ad Soyad, Anne - Baba Adı, Anne Kızlık Soyadı, Doğum Tarihi, Doğum Yeri, Medeni Hali, Nüfus Cüzdanı Seri Sıra No, Tc Kimlik No Gibi |
İletişim |
Adres No, E-Posta Adresi, İletişim Adresi, Kayıtlı Elektronik Posta Adresi (Kep), Telefon No Gibi |
Özlük |
Bordro Bilgileri, Disiplin Soruşturması, İşe Giriş-Çıkış Belgesi Kayıtları, Mal Bildirimi Bilgileri, Özgeçmiş Bilgileri, Performans Değerlendirme Raporları Gibi |
Hukuki İşlem |
Adli Makamlarla Yazışmalardaki Bilgiler, Dava Dosyasındaki Bilgiler Gibi |
Müşteri İşlem |
Çağrı Merkezi Kayıtları, Fatura, Senet, Çek Bilgileri, Gişe Dekontlarındaki Bilgiler, Sipariş Bilgisi, Talep Bilgisi Gibi |
Fiziksel Mekan Güvenliği |
Çalışan Ve Ziyaretçilerin Giriş Çıkış Kayıt Bilgileri, Kamera Kayıtları Gibi |
İşlem Güvenliği |
Ip Adresi Bilgileri, İnternet Sitesi Giriş Çıkış Bilgileri, Şifre ve Parola Bilgileri Gibi |
Risk Yönetimi |
Ticari, Teknik, İdari Risklerin Yönetilmesi İçin İşlenen Bilgiler Gibi) |
Finans |
Bilanço Bilgileri, Finansal Performans Bilgileri, Kredi Ve Risk Bilgileri, Malvarlığı Bilgileri Gibi |
Mesleki Deneyim |
Diploma Bilgileri, Gidilen Kurslar, Meslek İçi Eğitim Bilgileri, Sertifikalar, Transkript Bilgileri Gibi) |
Pazarlama |
Alışveriş Geçmişi Bilgileri, Anket, Çerez Kayıtları, Kampanya Çalışmasıyla Elde Edilen Bilgiler |
Görsel Ve İşitsel Kayıtlar |
Görsel Ve İşitsel Kayıtlar Gibi |
Sağlık Bilgileri |
Engellilik Durumuna Ait Bilgiler, Kan Grubu Bilgisi, Kişisel Sağlık Bilgileri, Kullanılan Cihaz Ve Protez Bilgileri Gibi |
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Ceza Mahkûmiyetine İlişkin Bilgiler, Güvenlik Tedbirlerine İlişkin Bilgiler Gibi |
Biyometrik Veri |
Avuç İçi Bilgileri, Parmak İzi Bilgileri, Retina Taraması Bilgileri, Yüz Tanıma Bilgileri Gibi |
Şirketimiz, yukarıda belirtilen kapsamda kişisel verileri aşağıdaki amaçlarla işlemektedir:
Şirketimiz, veri sorumlusu sıfatı ile Kanun’dan doğan yükümlülükleri kapsamında, veri sahiplerinden kişisel verilerini temin etmeden evvel Kanun’un 10. maddesi doğrultusunda veri sahiplerini aydınlatmaktadır. Şirketimiz tarafından gerçekleştirilen herhangi bir veri işleme süreci Kanun’da belirtilen ve yukarıda Bölüm 2.2.a ve b’de detaylandırılan şartları karşılamadığı takdirde ise veri sahiplerinden açık rızaları temin edilmekte ve ilgili süreçler bahsi geçen açık rıza çerçevesinde sürdürülmektedir.
Kanun kapsamında açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup bu doğrultuda Şirketimiz veri sahiplerini Kanun’un 10. maddesi uyarınca aydınlattıktan sonra açık rızalarını temin etmektedir.
Kanun kapsamında kişisel verilerin saklanması için herhangi bir süre belirlenmemiş olmakla birlikte, genel ilkeler uyarınca kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. Şirketimiz, söz konusu ilkeye uygun bir şekilde saklama süreleri tespit etmek adına, her bir veri işleme süreci ile ilgili olarak yürürlükte bulunan mevzuatı ve sürecin amacını esas alarak bir değerlendirme yapmaktadır. Bu doğrultuda Şirketimiz, asgari olarak yasal yükümlülüklerinin gerektirdiği süre ile ve her halükârda ilgili zamanaşımı süreleri dolana kadar kişisel verileri saklamaktadır.
Şirketimiz, bahsi geçen sürelerin sona ermesi durumu da dahil olmak üzere herhangi bir süreç kapsamında ilgili kişisel verinin işleme amacının ortadan kalkması ile birlikte kişisel verileri Kanun’a uygun bir şekilde anonimleştirmekte, silmekte veya yok etmektedir. Kanun kapsamında anonimleştirme “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” şeklinde tanımlanmış olup Şirketimiz anonimleştirme faaliyetleri yürürlükteki mevzuata uygun bir şekilde gerçekleştirilmektedir.
Şirketimiz, kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya zarar görmesini engelleyecek makul teknik ve idari önlemleri almaktadır. Bu kapsamda Şirketimiz tarafından asgari aşağıdaki aksiyonlar alınmaktadır:
Kanun’un 11. maddesine göre kişisel veri sahipleri;
Kanun’un 28. maddesinin 2. fıkrası belli hallerde veri sahibinin veri sorumlusundan zararlarının tazmini dışında bir talepte bulunamayacağını düzenlemiştir. Buna göre,
hallerinde ilgili verilere yönelik olarak yukarıda belirlenen haklar kullanılamayacaktır.
4.2 Hakların Kullanılması
Veri sahipleri, yukarıda bahsi geçen hakları kullanmak için Başvuru Formu ’nu kullanabileceklerdir.
Başvurular, ilgili veri sahibinin kimliğini tespit edecek belgelerle birlikte, formun ıslak imzalı bir kopyasının elden veya noter aracılığıyla ya da Kanun’da belirtilen diğer yöntemler ile Çakmaklı Mah. Hadımköy Yolu Cad. No: 73 A Büyükçekmece/ İstanbul / Türkiye adresine iletilmesi veya 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza ile imzalanarak candasaydinlatma@hs01.kep.tr adresine kayıtlı elektronik posta gönderimi ile veya Şirketimiz’e daha önce bildirilen ve Şirketimiz sisteminde kayıtlı bulunan elektronik posta adresinden gönderilecek e-mail ile gerçekleştirilebilmektedir. Kişisel Verileri Koruma Kurulu tarafından bahsi geçen yöntemler dışında bir yöntem öngörülmesi halinde başvurular bu yöntemle de iletilebilecektir.
Yukarıda belirtilen yöntemlerden biri ile iletilen veri sahibi talepleri, Şirketimiz tarafından azami otuz (30) gün içerisinde değerlendirilmekte ve cevaplanmaktadır. Şirketimiz, özellikle başvuru sahibinin ilgili veri sahibi olup olmadığının değerlendirilmesi amacıyla başvuru sahibinden ek bilgi ve belge talep etme hakkını saklı tutmaktadır.
Veri sahibi başvuruları kural olarak Şirketimiz tarafından ücretsiz olarak değerlendirilmektedir. Ancak Kişisel Verileri Koruma Kurulu tarafından veri sahibinin talebine ilişkin bir ücret belirlenmiş ise, Şirketimiz bu ücret üzerinden ödeme talep etme hakkına sahip olacaktır.