ORSAN TİCARİ ARAÇ FREN SİSTEMLERİ A.Ş.
KVKK – KİŞİSEL VERİLERİN KORUNMASI POLİTİKALARI
Doküman Tarihi: 01.04.2021
İÇİNDEKİLER
KİŞİSEL VERİLERİN KORUNMASI POLİTİKALARI …………………………………………………
- VERİ GİZLİLİĞİ TAAHHÜDÜ………………………………………………………………………..
- POLİTİKANIN AMACI ……………………………………………………………………………………
- POLİTİKANIN KAPSAMI ……………………………………………………………………………….
- TANIMLAR ……………………………………………………………………………………………………..
- KİŞİSEL VERİ İŞLEMENİN İLKELERİ ………………………………………………………….
- KİŞİSEL VERİLERİN İŞLENMESİ………………………………………………………………….
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ …………………………………..
- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ……………………………………………………………….
- KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ ……………………………………………………………………..
- ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ VE VERİ SAHİBİNİN HAKLARI……….
- VERİ YÖNETİMİ, GÜVENLİĞİ VE KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER………………………………………………………………..
- EĞİTİM ………………………………………………………………………………………………………….
- DENETİM ………………………………………………………………………………………………………
- İHLALLER …………………………………………………………………………………………………….
- SORUMLULUKLAR………………………………………………………………………………………
- POLİTİKADA YAPILACAK DEĞİŞİKLİKLER…………………………………………….
- POLİTİKANIN YÜRÜRLÜK TARİHİ ……………………………………………………….
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
- VERİ GİZLİLİĞİ TAAHHÜDÜ
ORSAN TİCARİ ARAÇ FREN SİSTEMLERİ A.Ş. bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
- POLİTİKANIN AMACI
İşbu politikanın amacı, Şirket aktivitelerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘KVKK’) kapsamında, kişisel verilerin korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
- POLİTİKANIN KAPSAMI
Şirketin temel faaliyet alanı veri işlemek olmayıp, ticari araç fren sistemleri üretimidir. İşbu Politika, Şirket’in faaliyetlerinin devamı amacıyla her tür işleme faaliyetini gerçekleştirdiği Kişisel Verilere yönelik tüm aktiviteleri kapsar ve söz konusu aktivitelere uygulanır.
İşbu Politika, KVK Düzenlemelerinin gerektirmesi halinde yahut Şirketin Veri Sorumlusu Temsilcisi yahut yönetimin gerekli gördüğü hallerde, kanuni yükümlülükleri gözetmek koşuluyla zaman zaman değiştirilebilir.
- TANIMLAR
İşbu Politikada geçen tanımlar aşağıdaki anlamlara gelmektedir;
“Açık Rıza” Kişisel Veri Sahiplerinin verilerinin islenmesine dair bilgilendirilmeye dayalı olarak ve herhangi bir koşula bağlı olmaksızın, özgür iradeleriyle açıkladıkları rızayı ifade eder.
“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
“Anonim Hale Getirilmiş Veri” Gerçek kişi ile hiçbir şekilde ilişkilendirilmesi mümkün olmayan veriyi ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder.
“Kurum” Kişisel Verileri Koruma Kurumunu ifade eder.
“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri/Hükümleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“KVK Prosedürleri” Şirketin, çalışanların ve Veri Sorumlusu Temsilcisinin işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
“Silme veya Silinme” Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
“Kişisel Veri Envanteri” Şirketin Kişisel Veri İşleme faaliyetlerine yönelik olarak Kişisel Veri İşleme süreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifade eder.
“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Sahibi” Kişisel Verinin ait olduğu gerçek kişiyi ifade eder.
“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumlusu Temsilcisi” Şirketin, Kurum ile olan ilişkilerini yürüten çalışanı ifade eder.
“Yok Etme” Kişisel verilerin yok edilmesini, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve kullanılamaz hale getirilmesini ifade eder.
- KİŞİSEL VERİ İŞLENMESİ İLKELERİ
5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi
Kişisel Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işlenir. Ölçülülük esası ile kast edilen, şirket faaliyetleri için gerektiği kadar kişisel verinin, gerekli olan süre boyunca işlenmesidir.
5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması
Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri alır ve Veri Sahibinin Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili Kişisel Verileri günceller.
5.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi
Kişisel Verilerin İşlenmesinden önce Şirket tarafından Kişisel Verilerin hangi amaçla işleneceği belirlenir. Bu kapsamda, Veri Sahibi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.
5.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Şirket, Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında açık rıza gerekmeyen hallerde ve/veya açık rıza alınması gerekli olan hallerde Veri Sahibinden alınan Açık Rıza kapsamındaki amaç doğrultusunda ve ölçülülük esasına uygun olarak işler.
5.5. Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi
5.5.1. Şirket, Kişisel Verileri işlenme amacına uygun olarak şirket aktiviteleri için gerektiği kadar muhafaza eder. Şirketin, KVK Düzenlemelerinde öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde belirtilen yükümlülüklere uygun davranır.
5.5.2. Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler Silinir, Yok Edilir veya Anonim Hale Getirilir. İşbu halde, Şirketin Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut Anonim Hale Getirmesi sağlanır.
5.5.3. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu Temsilcisi sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi tarafından oluşturulur.
- KİŞİSEL VERİLERİN İŞLENMESİ
Şirket faaliyetleri kapsamında, ticari faaliyetin gerçekleştirilmesi amacıyla ve hizmet sağlama amacıyla aşağıda sayılan amaçlar dahil ancak bunlarla sınırlı olmayacak şekilde kişisel veriler işlenebilmektedir;
- Faaliyetlerin yürütülmesi,
- Sözleşme kapsamında ve hizmet standartları çerçevesinde hizmet sağlanması ve sözleşme gerekliliklerinin yerine getirilmesi,
- Mevzuatın gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesi
- İş başvurularının değerlendirilmesi ve istihdam sağlanması. Çalışan Aday’ı olarak yapacağınız başvurular sürecinde herhangi bir yöntemle paylaşılan özgeçmiş, diploma v.b. sair evrakta yer alan kişisel veriler, işbu Politika kapsamında, iş başvurusu değerlendirmesi amacıyla işlenebilmekte, saklanabilmekte ve aktarılabilmektedir. İstihdam sağlanması halinde çalışanların kişisel verileri, 4857 sayılı İş Kanunu ve sair mevzuat yükümlülükleri uyarınca işlenmekte, saklanmakta ve aktarılmaktadır,
- Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlanması,
- Pazarlama,
- Reklam alınması ve verilmesi,
- Yasal ve finansal raporlama,
- Faturalandırma.
Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.
6.1. Açık Rıza
KVK Düzenlemeleri kapsamında Kişisel Verinin işlenmesi için açık rıza alınmasının gerekli olduğu hallerde;
6.1.1. Kişisel Veriler, Veri Sahiplerine Aydınlatma Yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Sahiplerinin Açık Rıza vermesi halinde işlenir.
6.1.2. Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Sahiplerine hakları bildirilir.
6.1.3. Veri Sahiplerinin Açık Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza edilir.
6.1.4. Veri Sorumlusu Temsilcisi tüm Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve muhafazasını sağlar. Kişisel Veri İşleyen tüm departman çalışanları Veri Sorumlusu Temsilcisinin talimatlarına, işbu Politika’ya uymakla yükümlüdür.
6.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
6.2.1 KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2 ve Madde 6.3 dahil ancak bunlarla sınırlı olmayacak şekilde kanunlarda sayılan hallerde), Şirket Veri Sahibinin Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi durumunda Şirket KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde ve Aydınlatma Yükümlülüğüne uyarak Kişisel Verileri İşler. Bu kapsamda:
6.2.1.1. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Öznesinin ve/veya Veri Öznesi dışındaki bir kişinin hayatının veya beden bütünlüğünün korunması için Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.2. Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin taraflarına ait Kişisel Veriler Veri Sahiplerinin Açık Rızaları olmadan Şirket tarafından işlenebilir. Bu anlamda Şirket’in taraf olduğu hizmet sözleşmeleri, iş sözleşmeleri, kira sözleşmeleri vb. gibi faaliyetlerinin devamı için gerekli tüm sözleşmeler kapsamında topladığı kişisel veriler, açık rıza olmaksızın işbu Politika çerçevesinde işlenmekte, saklanmakta, silinmekte ve imha edilmektedir.
6.2.1.3. Kişisel Verilerin İşlenmesi Şirketin hukuki yükümlülüğünü yerine getirmesi için zorunluysa, Kişisel Veriler Veri Sahiplerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.4. Veri Sahibi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafından işlenebilir.
6.2.1.5. Kişisel Verilerin Açık Rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması veya korunması için tek mümkün yol ise Kişisel Veriler Açık Rıza alınmaksızın Veri Sorumlusu Temsilcisinin bilgisi dâhilinde Şirket tarafından işlenebilir.
6.2.1.6. Veri Sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
7.1. Özel Nitelikli Kişisel Veriler yalnızca Veri Sahibinin Açık Rızasının bulunması yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.
7.2. Şirket, taraf olduğu veya kendisine aktarılan iş sözleşmeleri dolayısıyla kanuni gereklilik olarak alınması öngörülen özel nitelikli kişisel veriler haricinde, özel nitelikli kişisel veri toplamamakta, saklamamakta ve herhangi bir şekilde işlememektedir.
7.3. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla Açık Rıza almaksızın işlenebilir. Dolayısıyla KVK Düzenlemelerinde aksi öngörülene dek kişisel sağlık verileri ve cinsel hayat verileri yalnızca Açık Rıza kapsamında yahut sır saklama yükümlülüğü altında olan Şirket hekimi tarafından işlenebilir.
7.4. Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler alınır.
7.5. Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından Veri Sorumlusu Temsilcisi bilgilendirilir.
7.6. Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından Veri Sorumlusu Temsilcisinden görüş alınır.
- KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
8.1. Kişisel Verinin İşlenmesine yönelik meşru amaç ortadan kalktığında, ilgili Kişisel Veriler Silinir, Yok Edilir yahut Anonim Hale Getirilir. Kişisel Verilerin Silinmesi, Yok Edilmesi yahut Anonim Hale Getirilmesi gereken durumlar, Veri Sorumlusu Temsilcisi tarafından takip edilir.
8.2. Şirket’e herhangi bir yolla iletilen özgeçmişler, bir dönüş olmaması halinde en geç 1 yıl içerisinde silinmektedir.
8.3. Şirket’e www…………………..com adresi üzerinde belirtilen iletişim ekranından paylaşılan kişisel veriler, en geç üç ay içerisinde silinmektedir.
8.4. Şirket’in taraf olduğu iş sözleşmeleri dolayısıyla edindiği kişisel veriler, iş sözleşmesinden doğan saklama yükümlülüğünün sona ermesiyle yok edilmektedir.
8.5. Şirket Kişisel Verileri yalnızca gelecekte kullanma ihtimalini gözeterek saklamaz. Yukarıdaki maddeler, şirketin toplamadığı ancak şirkete benzer amaçla aktarılan kişisel veriler için de geçerlidir.
- KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ
Şirket, üçüncü bir gerçek ya da tüzel kişiye (“Yüklenici”) KVK Düzenlemelerine uygun şekilde Kişisel Veri aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen sözleşmelere eklenecek madde ise Veri Sorumlusu Temsilcisinden temin edilir. Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Temsilcisine bildirir.
Kişisel veriler aşağıda sayılanlar dahil ancak bunlarla sınırlı olmayacak şekilde;
- Tedarikçilere,
- İş ortakları ve iş bağlantılarına,
- Hukuken yetkili kamu kurum ve kuruluşlarına,
- Hukuken yetkili özel hukuk kişilerine,
- Hissedarlara, işbu Politikada açıklanan ilke ve kurallara göre aktarılabilir.
9.1. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarım
9.1.1. Kişisel Veriler, KVK Hükümlerinin belirttiği hallerde Açık Rıza olmaksızın, Açık Rızanın arandığı hallerde Veri Sahibinin Açık Rızası alınmak şartı ile Türkiye’de bulunan üçüncü kişilere Şirket tarafından, faaliyetlerinin devamı veya yükümlülüklerinin yerine getirilmesi amacıyla aktarılabilir.
9.1.2. Şirket, Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamakla sorumludur.
9.2. Yurt Dışında Bulunan Üçüncü Kişilere Kişisel Veri Aktarım
9.2.1. Şirket, mail sistemi dolayısıyla kişisel verileri işbu Politika ve mevzuat hükümleri çerçevesinde yurtdışına aktarabilecektir.
9.2.2. Kişisel Veriler, KVK Hükümlerinin belirttiği hallerde Açık Rıza olmaksızın, Açık Rızanın arandığı hallerde Veri Sahibinin Açık Rızası alınmak şartı ile yurt dışında bulunan üçüncü kişilere Şirket tarafından aktarılabilir.
9.2.3. Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekir:
9.2.3.1 Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması (liste için lütfen Kurul’un güncel listesini takip edin),
9.2.3.2 Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler listesinde yer almaması halinde Şirketin ve ilgili ülkedeki Veri Sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin alması.
9.2.4. Şirket Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan sorumludur.
9.2.5. Şirket, elektronik haberleşme amacıyla Google, Hotmail, Outlook gibi hizmet sağlayıcılardan hizmet alabilmektedir. Bu kapsamda şirketin yapacağı elektronik haberleşmelerin içerebileceği kişisel veriler, hizmet sağlayıcıların sunucularında depolanmakta olup, söz konusu şirketlerin veri koruma politikaları kapsamında saklanmakta, aktarılmakta ve işlenmektedir.
- ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ VE VERİ SAHİBİNİN HAKLARI
10.1. Şirket, KVKK’nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesine ilişkin Veri Sahiplerini aydınlatır. Bu kapsamda Şirket, Kişisel Verilerin elde edilmesi sırasında hazırladığı Aydınlatma Metni ile Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Öznelerine yapılacak olan bildirim sırasıyla şu unsurları içermektedir:
- Veri Sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel Verilerin hangi amaçla işleneceği,
- İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
İlgili kişi, Başvuru Formu’nu doldurup Şirket’in Aydınlatma Metninde belirlenen kvkk@………………com.tr adresine ileterek aşağıdaki konularda bilgi alabilir;
- Kişisel verisinin işlenip işlenmediğini öğrenme,
- Kişisel verisi işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verileri eksik veya yanlış işlenmişse bunların düzeltilmesini talep etme
- Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
10.2. Şirket, Veri Sahibinin KVK Hükümleri uyarınca işlenen kişisel verisine dair bilgi talep etmesi halinde, Veri Sahibinin kimliğini doğruladıktan sonra en geç 30 (otuz) gün içerisinde gerekli bilgilendirmeyi yapar. Aşağıda sayılan gerekçeler dahil ancak bunlarla sınırlı olmayacak şekilde Şirket’in başvuruyu reddetme haklı saklıdır;
- Bilgi talep eden kişinin, ilgili veri sahibi olduğuna dair kimliğinin doğrulanamaması,
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
- Kişisel Veri Sahibi tarafından alenileştiren kişisel verilerin işlenmesi,
- Başvurunun haklı bir nedene dayanmaması,
- Başvurunun ilgili mevzuata aykırı bir istem içermesi,
- Başvuru usulüne uyulmaması, gibi durumlarda kabul edilmeme gerekçesi açıklanarak reddedilir.
10.3. Başvurunun reddedilmesi, başvuruya verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikayette bulunma hakkı bulunmaktadır.
10.4. Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine getirilmesini, ilgili süreci takip eden çalışan ve Veri Sorumlusu Temsilcisi yürütür.
10.5. Veri İşleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşlemeye başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirkete Kişisel Veri aktardığı durumlarda sözleşmelere eklenecek madde Veri Sorumlusu Temsilcisinden temin edilir. Her bir çalışan Şirkete üçüncü bir kişi tarafından Kişisel Veri aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verileri aktaran üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Temsilcisine bildirir.
- VERİ YÖNETİMİ, GÜVENLİĞİ VE KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER
11.1. Şirket, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politikanın uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak ve denetlemek ve bunların işleyişine yönelik önerilerde bulunmak üzere Veri Sorumlusu Temsilcisi atar.
Şirket, kişisel veri güvenliğini sağlamak adına KVK Kurumu’nun konu üzerine ilgili rehberi kapsamında idari ve teknik tedbirler almaktadır.
11.1.1. İdari Tedbirler
- Şirket, tüm veri işleme sürecini kapsayan Politikalar ve prosedürler oluşturmakta, mevcut risk ve tehditlerin belirlenmesi için periyodik çalışmalar yürütmekte ve veri işleme sürecinde şeffaflık sağlamaktadır.
- Şirket çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.
- İşlenen ve depolanan kişisel verileri mümkün olduğunca azaltmakta ve mümkün olduğu takdirde verileri anonimleştirerek kullanmaktadır.
- Şirket içerisindeki iş tanımı veya Şirket ile iş ilişkisi gereğince kişisel verileri işleyen gerçek ve tüzel kişilerle ilişkilerini yönetmektedir. Bu kapsamda, Şirket çalışanları, Kişisel Verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVK Prosedürüne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir. Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur. Her Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki ve elektronik dosyaların/verilerin güvenliğinden sorumludur. Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman, işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili departman Veri Sorumlusu Temsilcisi talimatlarına uygun hareket ederler. Özel Nitelikli Kişisel Verilere erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Veri Sorumlusu Temsilcisi tarafından yapılır. KVK Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür. Kişisel Verilerin işbu Politika ve KVK Prosedürlerine uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar kusurları oranında müteselsilen sorumludur. Şirket çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket ilgili çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
11.1.2. Teknik Tedbirler
-
- Şirket, bünyesinde işlediği, depoladığı tüm kişisel verilerin siber güvenliğini sağlamaktadır. Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili, bilgi işlem personeli istihdam edilmektedir.
- Şirket, bünyesinde işlediği, depoladığı tüm kişisel verilerin siber güvenliğini takip etmekte ve periyodik aralıklarla bakım ve denetim yapmaktadır. Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir.
- Şirket, bünyesinde işlediği, depoladığı tüm kişisel verilere ilişkin bir bulut depolama sistemi kullanmamaktadır.
- Şirket, bilgi teknolojileri sistemleri tedarik etmekte, bu hizmeti veren firmalardan geliştirme ve bakım almaktadır. Şirkette Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır. Şirkette Kişisel Verilerin korunmasına ilişkin teknik önlemleri içeren bir güvenlik politikası mevcuttur.
- Şirkette Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.
- EĞİTİM
Şirket, Kişisel Verilerin korunması konusunda çalışanlarına Politika ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir ve bu eğitimlere dair kayıtları tutar.
- DENETİM
Şirket, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar. Veri Sorumlusu Temsilcisi bu denetimlere dair KVK Prosedürü oluşturur ve anılan prosedürün uygulanmasını sağlar.
- İHLALLER
14.1 Şirketin her bir çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Veri Sorumlusu Temsilcisine raporlar. Bu kapsamda ilgili ihlale yönelik Veri Sorumlusu Temsilcisi, işbu Politika ve KVK Prosedürlerine uygun şekilde eylem planı oluşturur.
14.2. Yapılan bilgilendirmeler sonucunda Veri Sorumlusu Temsilcisi, KVK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri Sahibini veya Kurum’a yapılacak bildirimi hazırlar. Veri Sorumlusu Temsilcisi Kurum ile yapılan yazışma ve iletişimi yürütür.
- SÜREÇ YÖNETİMİ
Şirket içerisinde Kişisel Verilerin Korunmasına ilişkin süreç yönetimi çalışan, departman, Veri Sorumlusu Temsilcisi tarafından sağlanır. Bu kapsamda Politika’nın uygulanmasını sağlayacak ve Kişisel Veri Korunması sürecini yönetecek Veri Sorumlusun Temsilcisi Şirket yönetimi kararı ile atanır ve bu kapsamda değişiklikler de yine anılan yolla yapılır.
- POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile Veri Sahipleri ile paylaşır ve/veya işyerinde görünebilecek şekilde ve/veya ileride kurulabilecek bir internet sitesi üzerinden erişime sunar.
İşbu Politika 01.04.2021 tarihinde yönetim kurulu tarafından onaylanarak yürürlüğe girmiştir.
ORSAN TİCARİ ARAÇ FREN SİSTEMLERİ A Ş.