KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
Versiyon : 1.0
GİRİŞ
Ulus Elektronik Sanayi ve Ticaret Limited Şirketi (Bundan böyle ‘Ulus Elektronik’ veya ‘Şirket’ olarak adlandırılacaktır) için çalışanların, müşterilerin ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması, gerek şirketin kişisel veri kavramına kurumsal yaklaşımı gerekse yasal düzenlemeler açısından büyük önem taşımaktadır. Kişisel verilerin işlenmesi ve korunması için işbu politika ve Ulus Elektronik bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen gaye; çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, potansiyel müşterilerimizin, ziyaretçilerimizin ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.
POLİTİKA’NIN AMACI
Bu Politika’nın amacı, Ulus Elektronik tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda, çalışanlarımızı, çalışan adaylarımızı, müşterilerimizi, ziyaretçilerimizi, bayi ve yetkili servis aracılığıyla kişisel verileri alınmış müşterilerimizi, iş birliği içinde olduğumuz kurumların hissedar ve çalışanlarını ve üçüncü kişileri bilgilendirerek şeffaflık sağlamaktır.
POLİTİKA’NIN KAPSAMI
Bu Politika; Çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, ziyaretçilerimizin, bayi ve yetkili servis aracılığıyla kişisel verileri alınmış müşterilerimizin, iş birliği içinde olduğumuz kurumların çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
KISALTMALAR VE TANIMLAR
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
EBYS : Elektronik Belge Yönetim Sistemi
Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı : Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
SORUMLULUK VE GÖREV DAĞILIMLARI
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
UNVAN |
BİRİM |
GÖREV |
Şirket Genel Müdürü (Veri Sorumlusu) |
Yönetim |
Çalışanların politikaya uygun hareket etmesinden sorumludur. |
Kişisel Veri Koruma Görevlisi |
İnsan Kaynakları |
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
İnsan Kaynakları, Muhasebe,Ar-Ge, Üretim Müdürlüğü |
Diğer Birimler |
Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur.
|
KAYIT ORTAMLARI
Kişisel veriler, Şirket tarafından tablodaki listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
|
|
VERİLERİN SAKLANMASINA İLİŞKİN AÇIKLAMALAR
Kişisel verilerin işlenmesi kavramı kanunda, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlenmesi olarak tanımlanmış olup; işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiştir. Kişisel verilerde oluşacak değişiklikler, ihtiyaç oldukça Şirket tarafından oluşturulan Kişisel Veri Envanterine güncel halleriyle işlenmektedir.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Fakat bunun istisnaları vardır ve kanunda düzenlenmiştir. Bunlar ;
Kanunlarda açıkça öngörülmesi.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli verilerin işlenmesi kanunda bazı şartlara bağlanmıştır. Bu şartlar;
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır
Bu hususlara göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİ KATEGORİZASYONU
VERİ KATEGORİLERİ |
AÇIKLAMALARI |
1-Kimlik |
Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no |
2-İletişim |
Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no |
3-Lokasyon |
Bulunduğu yerin konum bilgileri |
4-Özlük |
Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları |
5-Hukuki İşlem |
Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler |
6-Müşteri İşlem |
Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi |
7-Fiziksel Mekan Güvenliği |
Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları |
8-İşlem Güvenliği |
IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri |
9-Risk Yönetimi |
Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler |
10-Finans |
Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri |
11-Mesleki Deneyim |
Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri |
12-Pazarlama |
Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler |
KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka uygun olarak işlenmesi ve muhafazasını sağlamak ve söz konusu kişisel verilere hukuka aykırı biçimde erişilmesini önlemek için gerekli olan her türlü teknik ve idari tedbirleri almaktan sorumludur. Bu kapsamda KVK Kanunu çerçevesindeki faaliyetlerin iş bu politika çerçevesinde bir bütün olarak yeterli ve etkin bir şekilde yürütülmesi ile ilgili Şirket içi koordinasyondan kurumsal uyum fonksiyonunu üstlenen İnsan Kaynakları sorumludur. Söz konusu birim bu kapsamda;
İş bu politikanın takibinin gerçekleştirilmesi ve gereken durumlarda güncellenmesi kapsamında Veri Sorumlusu’nun onayına sunulması,
Kişisel verilerin korunması, işlenmesi ve imhası ile ilgili iş bu politikanın dışındaki diğer politika ve prosedürlerin ilgili Şirket birimleri ile eş güdüm halinde oluşturması,
Politika ve prosedürlerin uygulanması için gerekli görev dağılımının yapılması ve üst yönetimin onayına sunulması,
Kanun’un 12. maddesi uyarınca alınan her türlü teknik ve idari tedbirlerin uygulanmasının takip edilmesi ve denetiminin planlanması,
Kişisel veri sahipleri tarafından yapılan başvuru ve taleplerle ilgili süreçlerin takibinin yapılması ve ortaya çıkabilecek sorunların çözümü için gerekli koordinasyonun sağlanması,
KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususların tespit edilmesi ve uygulanmasının gözetilmesi,
Kişisel Verileri Koruma Kurulu ile olan ilişkilerin yürütülmesi ile sorumludur.
ŞİRKETİMİZDE ALINAN GÜVENLİK TEDBİRLERİ
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar yönetimi uygulanmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim logları düzenli olarak tutulmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Şirket içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.
KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK İÇİN ALINAN TEKNİK TEDBİRLER
Kişisel verilerin korunması amacıyla her türlü teknik güvenlik önlemi alınmış olup olası risklere karşı yeterli koruma düzeyi sağlanmıştır. Alınan başlıca teknik önlemler aşağıda sıralanmaktadır.
Şirketimiz bünyesinde kişisel verilere erişim imkanı sağlayan sistemler üzerinde periyodik olarak yetki ve erişim kontrolleri uygulanmaktadır.
Alınan teknik önlemler risk yönetimi, iç kontrol ve iç denetim süreçleri kapsamında icrai faaliyetlerden bağımsız olarak ayrıca gözetilmektedir.
Yeterli uzmanlık düzeyinde personel istihdam edilmektedir.
KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK İÇİN ALINAN İDARI TEDBIRLER
Şirketimiz çalışanları KVK Kanunu’na uyum konusunda eğitilmekte ve bilinçlendirilmektedir. Kişisel veri aktarımının söz konusu olduğu durumlarda, kişisel verilerin aktarıldığı taraflar ile KVK Kanun’u uyarınca kişisel verilerin güvenliği için yerine getirilmesi gereken yükümlülükleri içeren genel şartlar oluşturulmakta ve bunların karşı taraf bazında imza edilmesi sağlanmaktadır.
KVK Kanunu’na uyum için tespit edilen gerekliliklerin sağlanması için iş birimleri bazında uygulama kuralları belirlenmekte, bunların sürekliliğinin sağlanması için gerekli idari tedbirler şirket içi prosedürler ve eğitimler yoluyla sağlanmaktadır.
Ulus Elektronik ile karşı taraflar bazındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Ulus Elektronik’in talimatları ve Kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta, bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
KİŞİSEL VERİ İHLALİ
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumu bir veri ihlali olarak düzenlenmiştir.
Veri ihlaline ilişkin olarak ;
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler Ulus Elektronik tarafından alınmaktadır,
VERİ İHLALİNE KARŞI ŞİRKETİN SORUMLULUKLARI
Aşağıda belirtilen önlemler alınarak veri ihlallerinin mümkün olduğunca önüne geçilmesi hedeflenmektedir. Şirketimizin aldığı önlemler;
Veri ihlali doğurabilecek senaryolar listelenmesi ve veri ihlali durumunda belirlenen her senaryo için yapılacaklar planlanması.
Veri ihlali durumunda, konuyu sonlandırabilecek yetkili kişi veya kişilerin belirlenmesi, bu kişilerin görev ve yetki tanımlarının yapılması.
Veri ihlalinin çıkış noktası belirlenmesi, delillerin toplanması ve korunması.
Somut olaya uyarlanarak kullanılabilecek taslak ihlal bildirimleri hazırlanması,
VERİ İHLALİ DURUMUNDA YAPILACAKLAR
Veri ihlali ile karşılaşan veya veri ihlalini tespit eden kişi, vakit kaybetmeden Ulus Elektronik KVKK Yönetim Komitesini bu hususla ilgili bilgilendirmelidir.
Veri ihlali sonucu Kişisel Verilerin Korunması Kurumu gibi kurumlara hukuken bildirim yükümlülüğü ortaya çıkmış ise Ulus Elektronik durumu öğrenmesiyle gecikmeksizin en geç 72 saat içerisinde Kişisel Verileri Koruma Kuruluna bildirecektir. Kurula yapılacak ihlal bildirimlerinde ‘Kişisel Veri İhlal Bildirim Formu’ kullanılacaktır.
Ulus Elektronik, veri ihlalinden etkilenen kişiye makul süre içerisinde, iletişim adresine ulaşılabilirse doğrudan, ulaşılamıyorsa şirketimizin internet sitesinden yayınlayarak bildirim yapacaktır. Bilgilendirmenin yapılacağı bilgilendirme metninde;
Veri ihlalinin açıklanması,
Veri ihlalinden kimlerin etkilendiği,
Alınan önlemler,
Şirketimizin veri ihlalinden etkilenen kişilere nasıl yardımcı olacağı,
İhlalden etkilenen kişilerin bu konuyla ilgili Şirketimizde ulaşabilecekleri iletişim bilgileri yer alır.
VERİ İHLALİ SONRASI YAPILACAKLAR
Veri ihlali sebeplerinin değerlendirilmesi, veri ihlalinden etkilenen veri sahiplerinin belirlenmesi, ihlale uğrayan verilerin ne gibi amaçlar için kullanılacağı ve risk altındaki diğer sistemlerin belirlenmesi hususu incelenir.
İhlalin hangi verileri ve sistemleri etkilediği, yapılan işlemlerin saati ve tarih bilgileri, ihlal ile ilgili olabilecek kişiler, ihlalin sonlanması için atılan adımlar Komite tarafından değerlendirilecektir.
İlgili birimin veri ihlalinin nasıl gerçekleştiğini belirlemesinin ardından, ihlalin tekrar yaşanmaması ve zararın büyümemesi için önlemler alınır.
KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Ulus Elektronik; KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Ulus Elektronik, veri sorumlusunun kimliği, temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu haklar konusunda veri sahibinin niteliğine ve veri işleme sürecine göre aydınlatma yapmaktadır. Bu kapsamda veri sahibi ilgili kişilerin kolayca görebilecekleri alanlara AYDINLATMA metinleri yerleştirilmiştir. Ulus Elektronik web sitelerinde bu politika ile birlikte müşteri aydınlatma metni, çerez politikası, başvuru formu da yayınlanmıştır.
ULUS ELEKTRONİK BİNASI GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Ulus Elektronik tarafından güvenliğin sağlanması amacıyla, Ulus Elektronik binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Ulus Elektronik tarafından kişisel veri işleme faaliyeti yapılmaktadır.
Ulus Elektronik, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Ulus Elektronik tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
Ulus Elektronik tarafından; güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla, Ulus Elektronik binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Ulus Elektronik binalarına gelen kişilerin kimlik verileri elde edilirken ya da Ulus Elektronik nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
VERİ İMHA POLİTİKASI
Kişisel Veriler kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından kullanılabilecek 3 imha yöntemi vardır. Bunlar; silme, yok etme veya anonim hâle getirmedir.
KİŞİSEL VERİLERİN SİLİNMESİ
Sunucularda Yer Alan Kişisel Veriler; sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler; elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler; fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler; flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
KİŞİSEL VERİLERİN YOK EDİLMESİ TEKNİKLERİ
Kişisel verilerin kayıt ortamlarına uygun yöntemlerle silinmesi ve yok edilmesi esastır.
Ulus Elektronik tarafından kullanılması muhtemel silme veya yok etme teknikleri aşağıda sıralanmaktadır:
Fiziksel Olarak Yok Etme ; Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
Yazılımdan Güvenli Olarak Yok Etme ; Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler yok edilirken; verinin bir daha belirli kişilerce ya da hiçbir biçimde kurtarılamayacak şekilde ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Uzman Tarafından Güvenli Olarak Yok Etme ; Ulus Elektronik bazı durumlarda kendisi adına kişisel verileri yok etmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak yok edilir.
KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
SAKLAMA VE İMHA SÜRELERİ
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Veri Yönetimi Dairesi Başkanlığınca güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı tarafından yerine getirilir.
Süreç |
Saklama Süresi |
İmha Süresi |
Çalışan Özlük Dosyası Oluşturma |
İş ilişkisinin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ürün veya Hizmet Alan Kişi Verileri |
10 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Eğitimci Verileri |
Eğitimin Bitiminden İtibaren 1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Stajyer Verileri |
İşten Ayrılmasından İtibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Aile Verileri |
İşten Ayrılmasından İtibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ziyaretçi Verileri |
Ziyaretin Bitiminden İtibaren 6 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Tedarikçi Verileri |
10 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan ve Ziyaretçi Kamera Kayıt Verileri |
Ziyaretin Bitiminden İtibaren 3 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Başvurusu Verileri |
Başvuru Tarihinden İtibaren 1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan Ziyaretçi Verileri |
Ziyaretin Bitiminden İtibaren 6 Ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Eğitimci Verileri Tedarikçi Çalışanı |
Eğitimin Bitiminden İtibaren 1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da İnsan Kaynakları Birimi tarafından saklanır.
POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Yönetim Kararı ile İnsan Kaynakları Birimi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile İnsan Kaynakları tarafından saklanır.
EK-1 Ulus Elektronik San. Tic. Ltd. Şti Aydınlatma Metni
Sayın Ziyaretçimiz;
Aydınlatma yükümlülüğü, veri sorumluları için bir yükümlülük olmakla birlikte Kişisel Verisi işlenen gerçek kişiler için bir haktır. Bu nedenle 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki haklarınız hususunda sizleri bilgilendirmek isteriz.
Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Ulus Elektronik Sanayi ve Ticaret Limited Şirketi tarafından aşağıda açıklanan kapsamda işlenebilecektir.
Kişisel Verileri İşleme Amacı:
Ulus Elektronik, sahip olduğu gerçek ve tüzel kişilere ait kişisel verilerin hukuka uygun bir biçimde toplanması, saklanması ve paylaşılması ile bu verilerin gizliliğinin koruması amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hükümleri çerçevesinde gerekli olan tüm güvenlik tedbirlerini almaktadır.
İşbu Aydınlatma Formu, kişisel verileri Ulus Elektronik tarafından KVKK hükümleri kapsamında edinilmiş veya işlenmiş olan gerçek ve tüzel kişileri, bu verilerin işlenmesi veya paylaşılması esnasında uyulan kurallar ile bu kişilerin sahip oldukları haklar hakkında bilgilendirilmesi amacıyla düzenlenmiştir.
İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği:
Mevzuatın izin verdiği kişi veya kuruluşlarla,
Kanunen yetkili kılınan kamu kurum ve kuruluşlarıyla, idari veya yasal mercilerle,
Şirketimizin iş ortaklarıyla, tedarikçileriyle, hissedarlarıyla veya iştirakleriyle,
Merkezi, şubesi, işyeri, faaliyetleri yahut veri saklama birimleri yurt içinde veya dışında olan ve şirketimizde de bulunan tüzel kişilerle ve bunların hissedarlarıyla, bağlı işletmeleriyle, iştirakleriyle, iş ortaklarıyla, tedarikçileriyle, ajanslarıyla, acenteleriyle, taşeronlarıyla, yüklenicileriyle, danışmanlarla,
Kişisel Veriler, Ulus Elektronik tarafından sunulan ürün ve hizmetlerden yararlanılması, sunulan hizmetin beğeni, kullanım alışkanlıkları ve ihtiyaçlara göre özelleştirilerek farklılaştırılması ve önerilmesi, hukuki, fiziki ve ticari güvenliğin temini, hizmetlerin kalitesinin yükseltilmesi ile denetimi ve hizmetlerin değerlendirilmesi, işletme stratejilerinin ve politikalarının oluşturulabilmesi ile yasal mevzuata uyulması amacıyla, KKVK m. 8 hükmü çerçevesinde paylaşılabilir.
Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz Ulus Elektronik tarafından farklı kanallarla ve farklı hukuki sebeplere dayanarak; sunduğumuz ürün ile hizmetleri geliştirmek ve ticari faaliyetlerimizi yürütmek amacıyla toplanmaktadır. Bu süreçte kişisel verileriniz; internet sitelerimiz ve mobil uygulamalarımızdaki bilgi ve talep formları aracılığıyla yahut fiziki ortamda toplanmaktadır. Bu hukuki sebeple toplanan kişisel verileriniz 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında bu Aydınlatma Metni’nde belirtilen amaçlarla da işlenebilmekte ve aktarılabilmektedir.
Veri işleme süresi:
Kişisel verileriniz, işbu ‘Aydınlatma Metni’nde belirtilen amaçlarla sınırlı olmak üzere; Şirket’in tabi olduğu tüm kanun ve sair yasal mevzuatta yer alan veri işleme ve zamanaşımı sürelerine riayet edilerek
işlenecektir. Kanunlarda veri işleme sürelerine ilişkin değişiklik yapılması halinde, belirlenen yeni süreler esas alınacaktır.
Kişisel Veri Sahibinin 6698 sayılı Kanun’un 11. maddesinde Sayılan Hakları
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Başvurular, şirketimizin www.uluselektronik.com adresinde yer alan Veri Sahibi Başvuru Formu doldurulduktan sonra, aşağıda yer alan yöntemlerle yazılı veya elektronik ortamda yapılabilecektir.
Yazılı olarak talepte bulunulması halinde;
Veri Sahibi Başvuru Formu’nun ıslak imzalı bir nüshasını, şirketimize kimliğinizi tespit edici bir belge ile şahsen veya 11. Madde kapsamında sayılan haklara ilişkin başvuru yapmaya yetkili olduğunuzu gösterir ve noter tasdikli bir vekâletname ile vekaleten teslim edebilir ya da noter aracılığıyla şirket adresine gönderebilirsiniz.
Elektronik olarak talepte bulunulması halinde;
Veri Sahibi Başvuru Formu’nu, 5070 sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” sertifikasına sahip bir elektronik ya da mobil imza ile imzalayarak, Şirketimizin Kayıtlı Elektronik Posta (KEP) adresi olan “ info@uluselektronik.com “ adresine göndererek iletebilirsiniz. Başvurular 30 gün içinde sonuçlandırılacaktır.
EK-2
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KANUNU UYARINCA
ÇALIŞAN ADAYI AÇIK RIZA FORMU
Otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde belirtilen özel nitelikli kişisel verilerimden şirketinizin işlenmesini istediği veriler olan dini inanç ve sağlık bilgilerimin şirketiniz tarafından işlenmesine ve muhafaza edilmesine rıza gösterdiğimi beyan ediyorum.
Ulus Elektronik Sanayi ve Ticaret Limited Şirketi tarafından hazırlanan aydınlatma metnini okuduğumu ve 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, yukarda istenen özel nitelikli kişisel verilerimin Ulus Elektronik Sanayi ve Ticaret Limited Şirketi tarafından yasadaki esaslar çerçevesinde toplanmasına, kaydedilmesine, işlenmesine saklanmasına peşinen izin verdiğimi kabul, beyan ve taahhüt ederim.
RIZAM VARDIR
Ad- Soyadı
EK3-ŞİRKETİMİZİN ÇEREZ POLİTİKASI
Çerez, internet siteleri tarafından erişim sağladığınız bilgisayarınıza, cep telefonlarınıza, tabletlerinize veya diğer mobil cihazlarınıza kaydedilen küçük veri depolama dosyalarıdır. Bu dosyada Web Sitemizdeki gezintinize ait bilgiler saklanır. Böylelikle erişim sağladığınız cihazlarınız Web Sitemizi tekrar kullandığınızda bu verilerinizi hatırlayacaktır. Dolayısıyla çerezler, Web Sitemizi etkili ve daha kolay kullanabilmeniz için gerekli ve önemlidir. Çerezler Web Sitemizde size daha uygun hizmet, ürün veya teklifler sunabilmemiz için kullanılmaktadır.
Çerez Türleri
Geçerlilik sürelerine göre Kalıcı Çerez ve Geçici Çerez olarak iki çerez tipi bulunmaktadır. Geçici çerezler internet sitesini ziyaret ettiğiniz sırada oluşur, tarayıcı kapatılıncaya kadar geçerlidir. Kalıcı çerezler ise internet sitesi ziyaret edildiğinde oluşur ve siz silinceye veya süreleri doluncaya kadar kalır.
Kullanım Bakımından Çerez Türleri
Kullanılması Zorunlu Olan Çerezler: Bu çerezler, Web Sitesi'nin düzgün şekilde çalışması için mutlaka gerekli olan çerezlerdir. Bu çerezlere, sistemin yönetilebilmesi, sahte işlemlerin önlenmesi için ihtiyaç vardır ve engellenmesi halinde Web Sitesi çalışamayacaktır.
İşlev Çerezleri: Bu çerezler size daha gelişmiş ve kolay bir kullanım deneyimi yaşatmak için kullanılan çerezlerdir.
Analiz/Performans Çerezleri: Bu çerezler, Web Sitesi'nin işleyişinizi analiz edip anlamımızı sağlayan ve sizinle etkileşime geçerek Web Sitesi'ni geliştirebilmemizi sağlamaktadır.
Hedefleme/Reklam Çerezleri: Bu çerezler, size, reklam içerikleri de dâhil olmak üzere, ilginizi çekebilecek içerikleri saptayarak sunmamız için kullanılmaktadır.
Şirketimizin Çerez Kullanmasındaki Temel Amaçları
Web Sitemizin daha etkili kullanılabilmesi için bazı teknik verilere ihtiyaç duyulması,
Şirketimizin sizin Web Sitemizi tarama ve kullanma tercih ve alışkanlıklarınıza ilişkin bilgileri toplanması,
Şirket'in, 5651 sayılı Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve Internet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik'ten kaynaklananlar başta olmak üzere, kanuni ve sözleşmesel yükümlülüklerini yerine getirebilmesi için IP adresiniz gibi kişisel verilerinize ihtiyaç duyması.
Çerezlerin Toplanması,
Veriler tarayıcılara eriştiğiniz cihazların aracılığıyla toplanır. Toplanan bu bilgiler cihazlara özeldir. Bilgilere erişim veya bilgilerin silinmesi istenildiği zaman mümkündür.
.