KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ PROSEDÜRÜ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ PROSEDÜRÜ

 

  1. Giriş

 

Onatça İnşaat ve Yapı Malzemeleri Tic. A.Ş. (bundan böyle “Onatça” veya “şirket” olarak ifade edilecektir), Özgür Mh.  Kaktüs Cd. No: 2/A Yüreğir/Adana adresinde mukim, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle “KVK Kanunu” olarak ifade edilecektir) kapsamında veri sorumlusu konumundaki tüzel kişiliktir.

 

Kişisel verilerin korunması, Şirketimiz için büyük hassasiyet arz eden ve Şirketimizin öncelikleri arasında yer alan bir husustur. Özellikle, işbu Prosedür ile yönetilen çalışanlarımızın, stajyerlerimizin, web site ziyaretçilerinin, tedarikçi yetkililerinin, hissedar/ortakların, yönetim kurulu üyelerinin, müşterilerin, potansiyel müşterilerin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması en önemli kısmı oluşturmakta ve bu bağlamda, bunu bir şirket politikası haline getirmektedir. Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması, işlenmesi için Şirketimiz tarafından gereken idari ve teknik tedbirler alınmaktadır.

 

Onatça olarak, İşbu Kişisel Verilerin Korunması ve İşlenmesi Prosedürü ile, kişisel verilerin toplanması, kullanılması, işlenmesi, aktarılması, saklanması süreç ve sistemlerimiz ile temel ilkelerimiz hakkında sizleri bilgilendirmeyi amaçlamaktayız.

 

Kişisel verilerin korunması, Anayasal bir hak olup, Şirketimizin öncelikleri kapsamında yer almaktadır. Nitekim bu amaçla, Şirketimizde devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve işbu prosedür oluşturulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, Veri Sorumlusu sıfatıyla, Şirketimiz, iş ortaklarına, hissedarlarına, müşterilerine, hukuki ilişkide ve iletişimde bulunduğu gerçek ya da tüzel kişilere yönelik genel aydınlatma ve bilgilendirme yükümlülüğünü yerine getirmek üzere yapılmakta ve bu Prosedür kapsamında müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, stajyerlerimizin, şirket hissedarlarının, şirket yetkililerinin, web ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması konusundaki temel esaslar düzenlemektedir.

 

Bu Prosedür’de belirtilen konuların uygulanmasına yönelik olarak Şirket içerisinde özel aydınlatma metinleri oluşturulmakta, gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için şirketimiz tarafından gereken idari ve teknik tedbirler alınmakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır. Kişisel Verilerin Korunması konusu üst yönetim tarafından da sahiplenilmekte ve bu konuda KVK Sorumlusu olarak şirket Kişisel Veri Koruma Sorumlusu görevlendirerek kişisel verilerin korunması süreçleri yönetilmektedir.

 

 

Bu prosedürün temel amacı, şirketimiz tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda çalışanlarımız, stajyerlerimiz, şirket hissedarları, şirket yetkilileri, tedarikçi yetkilileri, web ziyaretçilerimiz, müşterilerimiz, potansiyel müşterilerimiz, işbirliği içinde olduğumuz kurumların yetkilileri ile üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır.

 

Bu Prosedür; çalışanlarımızın, stajyerlerimiz, şirket hissedarlarının, şirket yetkililerinin, web ziyaretçilerimizin, müşterilerimizin, potansiyel müşterilerimizin, tedarikçi yetkililerinin, işbirliği içinde olduğumuz kurumların yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

 

 

KISALTMA

TANIM

 

Açık rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Başvuru Formu

Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”

Stajyer  

Şirketimiz tarafından yetenekleri yönlendirilen, eğitilen ve değerlendirilen sözleşmeli çalışan gerçek kişi

İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri

Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler

İş Ortağı

Şirketimizin ticari faaliyetlerini yürütürken bizzat hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel veri sahibi

Kişisel verisi işlenen gerçek kişi

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Özel nitelikli kişisel veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler

Şirket Hissedarı

Şirketimizin hissedarı gerçek kişiler

Şirket Yetkilisi

Şirketimiz yönetim kurulu üyesi ve diğer yetkili gerçek kişiler

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi, bu işlem istatistiki bilgi temini amacıyla sadece şirket politikasının belirlenmesi ve satış planlamalarının yapılması amacıyla kullanılabilecek olup, silme yapılabilecek kişisel verilerin saklama süresi dolduktan sonra yıldızlama yöntemiyle kullanılması yoluyla sadece planlama amacıyla kullanılacaktır.

Kişisel Verilerin Silinmesi

Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkeler

Kişisel Verileri Koruma Kurumu tarafından yurtdışı veri aktarımı için onay verilmiş güvenli ülkeleri

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

KVK Kanunu

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu

A.Y.

9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.

KVK Kurulu

Kişisel Verileri Koruma Kurulu

KVK Kurumu

Kişisel Verileri Koruma Kurumu

Onatça/Şirket

Onatça İnşaat ve Yapı Malzemeleri Tic. A.Ş.

Prosedür

Kişisel Verilerin İşlenmesi ve Korunması Prosedürü

Türk Ceza Kanunu

12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.

Yönetmelik

Veri Sorumluları Sicili Hakkında Yönetmelik

 

 

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır.  Yürürlükte bulunan mevzuat ve prosedür arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

 

  1. Kişisel Verilerin İşlenmesinde Benimsenen Genel İlkeler

 

Şirketimiz, KVK Kanunu’nun 4. maddesi doğrultusunda işbu Prosedür kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:

 

Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.  Bu kapsamda Şirketimiz, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.

 

 

Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır. 

 

 

Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir.  Şirketimiz tarafından kişisel verilerin işleneceği amaç işleme faaliyeti öncesi belirlenmektedir.

 

 

Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. 

 

 

Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bu kapsamda hukuk ve ceza zamanaşımı sürelerini dikkate almakta ve kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.  Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. 

 

  1. Kişisel Verilerin İşlenme Şartları

 

Kişisel verilerin korunması Anayasal bir hak olup, temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimizce, kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenmektedir;

 

  1. Kanunlarda açıkça öngörülmesi,

 

  1. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

 

  1. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

 

  1. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

 

  1. İlgili kişinin kendisi tarafından alenileştirilmiş olması,

 

  1. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

 

  1. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

 

Yukarıdaki şartların bulunmaması halinde ilgilinin Şirketimizce açık ve bilgilendirmeye dayalı rızasına başvurulmaktadır.

 

  1. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

 

Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere uygun davranılmaktadır.  KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. KVK Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler, gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir: 

 

 

 

 

  1. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Toplanması ve İşlenmesi Yöntemleri

 

Şirketimiz, KVK Kanunu’na uygun olarak ve Yönetmelik’in 5., 7.,9. ve 10. maddeleri kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanteri’ne dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir. İşbu Prosedür’de ayrıca Kişisel Veri İşleme envanteri başlığına yer verilmemiş olsa da işbu başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır.

 

  1. Kişisel veri işleme amaçları,
  2. Veri kategorisi
  3. Verilerin aktarıldığı alıcı grubu veya alıcı grupları
  4. Veri konusu kişi grupları
  5. Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi
  6. Yabancı ülkelere aktarımı öngörülen kişisel veriler
  7. Veri güvenliğine ilişkin alınan tedbirler
  8. Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre
    • Kişisel Veri Konusu Kişi Grupları

 

Şirketimiz KVK Politikası kapsamı dahilinde olan ve kişisel verileri işlenen veri sahipleri aşağıda gruplandırılmaktadır:

 

 

 

İŞLENEN VERİ TÜRÜ

AÇIKLAMASI

Kimlik Bilgileri

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad isim, doğum tarihi, T.C. Kimlik Numarası, Önlü arkalı Kimlik fotokopisi (Yeni Kimlik belgesine göre. Eski kimlikse, din ve kan grubu hanesi kapatılmaktadır) bilgileri

İletişim Bilgileri

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen kişinin elektronik posta adresi, ikamet adresi, cep telefonu numarası bilgileri

Özlük Belgesi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimiz ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak ve özlük dosyasında yer alması kanunen zorunlu tutulan bilgilerdir.  Askerlik durumu, eğitim geçmişi ve detayları, referans bilgileri, çalışma geçmişi ve detayları, özgeçmiş, bakmakla yükümlü olduğu kişilerin ad-soyad bilgisi, çocuk sayısı, eş bilgisi, sigorta sicil numarası, diploma, vesikalık fotoğraf, vukuatlı nüfus kaydı,

İşlem Güvenliği Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimiz kablosuz ağına kullanımı nedeniyle oluşan veri grubudur. Parola, Cihaz MAC Adresi, Dâhili IP Adresi, Harici IP Adresi, Trafik Verileri (ÖRN: Bağlantı Zamanı/Süresi, İletişim Miktarı vb.)

Finans Bilgileri

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre değişkenlik gösteren bilgi, belge ve kayıtlara ilişkin işlenen finansal kişisel veriler ile banka hesap bilgileri, maaş bodrosu bilgileri, çalışanlara ilişkin finansal ve maaş detayları, prim hak edişleri, prim tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, asgari geçim indirimi bilgisi vb bilgiler

Mesleki Deneyim Bilgileri

Kişinin mesleğine ait bilgilerin bulunduğu veri grubudur. Eğitim Belgesi/Sertifikası, Ustalık belgesi

Sağlık Bilgileri

Kişinin sağlık bilgilerinin bulunduğu veri grubudur. Akciğer grafisi, tam kan testi, iş göremezlik raporu, solunum foksiyon testi, odyolojik tektik, atölye çalışanları için tetanoz aşısı

Referans Bilgileri

 

Kişinin işe alım sürecinde şirketimizde sunduğu veri grubudur. İsim, soyad, çalıştığı bölüm, ünvan, referans tipi, telefon numarası

Risk Yönetimi Bilgisi

Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kurallarına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel verileri

Olay Yönetimi Bilgisi

Kişisel veri sahibiyle ilişkilendirilen ve şirketimiz çalışanlarını, hissedarlarını etkileme potansiyeli olan olaylarla ilgili toplanan bilgileri ve değerlendirmeleri (örneğin; kamuoyunun doğru yönetilmesine ilişkin toplanan bilgiler, değerlendirmeler gibi).

 

 

  1. Şirketimiz hissedarlarının, yönetim kurulu üyelerinin ve yetkililerinin kişisel verilerini, Türk Ticaret Kanunu, Vergi Usul Kanunu ve ilgili sair mevzuattan kaynaklanan yasal yükümlülükleri çerçevesinde Giriş kısmında yazılı olan faaliyetlerin gerçekleştirilebilmesi amacıyla işlemektedir. İşbu kişisel veriler resmi kurumlarda şirketimize ilişkin olarak tutulan kayıtlardan, genel kurul ve yönetim kurulu toplantı tutanakları, şirketin kurumsal ve yönetim süreçlerine ilişkin tutulan evraklardan elde edilmektedir.

 

  1. Şirketimiz bünyesinde çalışan personellerin kişisel ve özel nitelikli kişisel verilerini, SGK kaydının yapılabilmesi için, yürürlükteki İş Kanunu ve İş Sağlığı ve Güvenliği Kanunu’nun uygulamaları kapsamında kişilerin personel özlük dosyasında bulunması zorunlu evrakların tamamlanması amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, işe giriş ve iş başvurusu aşamasında açık rızaları ile ilettikleri özgeçmiş, iş başvuru formları, aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net gibi) sunduğu özgeçmiş görüntüleme yöntemleri, mülakat esnasında kendilerine sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar aracılığıyla elde edilmektedir.

 

  1. Şirketimiz, işbirliği içerisinde olduğu iş ortaklarının çalışanları ve yetkili gerçek kişilerin verilerini iş ortaklığının kurulma amaçları çerçevesinde kaydetmektedir. Mal ve hizmet tedarikçilerinden temin edilen ve şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin şirketimize sunulmasının sağlanması ve bunun denetlenmesi amacıyla bu kişilerin kişisel verilerini kaydeder. İşbu kişisel veriler imzalanan sözleşmeler, gönderilen faturalar, teslim tutanakları, imza beyannameleri, vekaletnameler, kendileri ile kurulan iletişim sonucu kendi açık rızalarıyla yollanan ve alınan emailler, telefon ve sair yollarla kurulan iletişim yollarıyla elde edilmektedir.

 

 

  1. Şirketimizin web sitesini ziyaret eden web-ziyaretçilerimizin trafik verileri, bilgi güvenliği süreçlerinin yürütülmesi, erişim yetkilerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, iç denetim / disiplin faaliyetlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, veri sorumlusu operasyonlarının güvenliğinin temini, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amacıyla işlenmekte ve bu veriler, web sitemizin ziyareti anında elde edilmektedir.

 

 

İŞLENEN VERİ TÜRÜ

İLİŞKİLİ OLDUĞU VERİ SAHİBİ

Kimlik Bilgileri

Şirket hissedarları, yetkilileri, çalışan, stajyerler, müşteriler, tedarikçi yetkilileri, potansiyel müşteriler

İletişim Bilgileri

Şirket hissedarları, yetkilileri, çalışan, stajyerler, müşteriler, tedarikçi yetkilileri, potansiyel müşteriler

Özlük Bilgisi

Şirket hissedarları, yetkilileri, çalışan, stajyerler, tedarikçi yetkilileri

İşlem Güvenliği Bilgisi

Şirket hissedarları, yetkilileri, çalışan, stajyerler, web ziyaretçileri

Finans Bilgileri

Şirket hissedarları, yetkilileri, çalışan, müşteriler, tedarikçi yetkilileri

Mesleki Deneyim Bilgileri

Şirket yetkilileri, çalışan

Sağlık Bilgileri

Çalışan, stajyerler

Referans Bilgileri

Çalışan, stajyerler

Risk Yönetimi Bilgisi

Şirket hissedarları, yetkilileri, çalışan, stajyer, müşteriler, tedarikçi yetkilileri, potansiyel müşteriler

Olay Yönetimi Bilgisi

Şirket hissedarları, yetkilileri, çalışan, stajyer, müşteriler, potansiyel müşteriler, tedarikçi yetkilileri

 

5.5. İnternet Sitemizde Yer Alan Çerezler Üzerinden Toplanan Kişisel Verilerin İşlenmesi

 

https://www.onatcayapi.com adresli internet sitemiz üzerinden çerezler aracılığıyla kişisel verilerinizi toplamaktayız.

 

Çerezleri, internet sitemizin işleyiş biçimini ve kullanımını geliştirmek ve kolaylaştırmak, internet sitemizin çeşitli özelliklerinin düzgün bir şekilde çalışmasını sağlamak amacıyla kullanmakta ve internet sitemizde geçirdiğiniz vakti daha verimli ve keyifli hale getirmeye çalışmaktayız. Bunlara ek olarak, internet sitelerimizde yaptığınız tercihleri hatırlamaya yönelik bazı çerezlerden yararlanmakta ve bu sayede size geliştirilmiş ve kişiselleştirilmiş bir deneyim sağlamaktayız.

 

İnternet sitemizde yer alan çerezler üzerinden kişisel verilerinizi toplayabilir, aktarabilir, saklayabilir ve başka şekillerde işleyebiliriz. Çerezler üzerinden topladığımız veriler, kimliğinizin belirlenmesi, şahsınıza özel profilleme ve hedefleme yapılması veya internet sitemiz haricindeki internet faaliyetlerinizin takibi amacıyla kullanılmamaktadır.

 

Kişisel verilerinizin çerezler aracılığıyla toplanıp işlenmesini istemiyorsanız internet sitemizde yer alan çerezleri reddedebilirsiniz. Çerezleri reddetmeniz durumunda internet sitelerimizin gerektiği gibi çalışmayabileceğini ve hizmetlerin görüntülenmesi veya sunulmasında aksaklıklar meydana gelebileceğini hatırlatırız.

 

İnternet sitemizde kullandığımız çerezlere ilişkin detaylı bilgi için ilgili sitemizde yayınlanmakta olan Çerez Politikası’nı inceleyebilirsiniz.

 

5.6.  Kablosuz Ağa Erişim Kapsamında Toplanan Kişisel Verilerin İşlenmesi

 

Şirket içinde kablosuz internet hizmeti verilmekte olup, söz konusu hizmet kapsamında ilgili mevzuat gereği Onatça, “İnternet Kullanım Sağlayıcı”sı olarak tanımlanmaktadır.

 

Şirket içinde kablosuz ağa erişim hizmetin faydalanmak isteyen kullanıcıların tanımlanması, IP adres bilgisi, kullanıma başlama ve bitirme zamanı, hedef IP bilgisi gibi erişim kayıtlarının elektronik ortamda sisteme kaydedilmesi İnternet Toplu Kullanım Sağlayıcı’nın yükümlülükleri arasındadır. Bu kayıtlara ek olarak, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve ilgili mevzuat gereğince log bilgileri de saklanmaktadır.

 

  1. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Aktarılma İlkeleri

 

Şirketimiz, veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu politikada belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir. Veri aktarım amaç ve kapsamları aşağıda belirtilmektedir.

 

Bu kişi ve Kurumlar;

 

 

VERİ AKTARIMI YAPILABİLECEK ALICI GRUPLARI

TANIMI

 

İŞLENEN VERİLERİN

AKTARIM AMACI

 

İş ortakları

Şirketimizin ticari faaliyetlerini yürütürken birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır.

İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak aktarılmaktadır.

Tedarikçileri

Şirketimizin ticari faaliyetlerini yürütürken şirketin emir ve talimatlarına uygun olarak sözleşme temelli yahut sözleşme olmaksızın münferit olarak şirketimize hizmet sunan tarafları tanımlamaktadır.

Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin şirkete sunulmasını sağlamak amacıyla sınırlı olarak aktarılmaktadır.

Şirket Hissedarları

Şirketimiz hissedarı tüzel ve gerçek kişileri tanımlamaktadır.

İlgili mevzuat hükümlerine göre şirketimizin şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak aktarılmaktadır.

Şirket Yetkilileri

Şirket yönetim kurulu üyeleri ve diğer yetkili gerçek kişileri tanımlamaktadır.

İlgili mevzuat hükümlerine göre şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak aktarılmaktadır.

Hukuken bilgi almaya yetkili kamu kurum ve kuruluşlar

İlgili mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları tanımlamaktadır.

İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçlarla sınırlı olarak aktarılmaktadır.

Hukuken bilgi almaya yetkili özel hukuk / kamu hukuku tüzel kişiler

İlgili mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya yetkili özel hukuk kişilerini tanımlamaktadır.

İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak aktarılmaktadır.

 

  1. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

 

Kişisel veriler ve özel nitelikli kişisel veriler şirketimiz tarafından yurtdışına aktarılmamaktadır.

 

 

  1. Kişisel Verilerin Korunmasına İlişkin Alınan Tedbirler

 

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesi ile 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır. Kişisel ve özel nitelikli kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirlere ilişkin detaylar “Kişisel Veri Saklama ve İmha Politika”mızda belirtilmiştir.

 

  1. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

 

Şirketimiz, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkına haizdir ve bu kapsamda gerekli rutin (takribi 6 ayda bir) denetimleri yapar veya yaptırır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında değerlendirilir ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülür.

 

Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.

 

  1. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Saklanma Süreleri

 

Şirketimiz, ilgili kanun ve mevzuatlarda öngörülmesi halinde, kişisel verileri bu mevzuatlarda belirtilen yasal süreler boyunca saklamaktadır.

 

Kişisel verilerin saklanmasına ilişkin mevzuatta bir süre belirlenmemişse, bu veriler şirketimizin o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak şirketimizin uygulamaları ve sektörün teamülleri uyarınca saklanmasını gerektiren süre kadar saklanmakta daha sonra verinin niteliği uyarınca şirketimiz tarafından Şirketimizin Saklama ve İmha Politikası uyarınca veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketimizin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler sadece olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda şirketimize yöneltilen örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda, saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

  1. Veri Sorumlusunun Aydınlatma Yükümlülüğü

 

Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir. Kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

 

KVK Kanunu’nun 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:

 

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. KVK Kanunu’nun 11. maddesinde sayılan diğer haklar.

 

Şirketimiz, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVK Kanunu hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır. Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, şirketimizin ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVK Kanunu’na dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin şirketimiz tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.

 

Öte yandan, KVK Kanunu’nun 28/1. maddesi çerçevesinde sayılan durumlarda şirketimizin aydınlatma yükümlülüğü bulunmamaktadır.

 

  1. Veri Sahibinin Hakları ve bu hakların kullanılması

 

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

 

 

 

 

 

 

 

 

 

 

Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda işbu politikanın 14. maddesinde sayılan haklarını ileri süremezler:

 

 

 

 

 

KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, işbu politikanın 14. maddesinde sayılan diğer haklarını ileri süremezler:

 

 

 

 

 

 

Kişisel Veri Sahipleri bu politikada belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak şirketimize ücretsiz olarak iletebileceklerdir:

 

 

 

 

gerekmektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname verilmesi gereklidir.

 

 

Kişisel veri sahibi, KVK Kanunu’nun 14.2. maddesi gereğince, yapmış olduğu başvurunun reddedilmesi veya verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.

 

 

Kişisel veri sahibinin, işbu politikanın 14.2. maddesinde belirtilen usule uygun olarak talebini şirketimize iletmesi durumunda şirketimiz talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, şirketimiz tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

 

 

Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

 

 

Şirketimiz, aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddetme hakkına sahiptir;

 

 

 

 

 

 

 

 

 

 

 

 

  1. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

 

Şirketimiz tarafından; güvenliğin sağlanması ve bu Prosedür’de belirtilen amaçlarla, şirketimiz binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmamaktadır. Ancak misafir olarak şirketimiz binalarına gelen kişiler, şirketimiz nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar.

 

  1. Bina ve Tesislerinde Çalışanlara Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması

 

Şirketimiz tarafından güvenliğin sağlanması ve bu Prosedür’de belirtilen amaçlarla; bina ve tesislerimiz içerisinde bulunan çalışanlarımıza internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya şirketimiz içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

 

Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda şirketimiz çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

 

  1. İnternet Sitesi Ziyaretçileri

 

Şirket, internet sitesini ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Kurabiyeler-cookie gibi) site içerisindeki internet hareketlerini kaydedilmektedir. Şirketimizin yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar Çerez Politikamızda yer almaktadır.

  1. Kişisel Verilerin Korunması ve İşlenmesi Bakımından Yönetim Yapısı

 

Şirket bünyesinde kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında KVK Sorumlusu olarak Kişisel Veri Uyum Sorumlusu görevlendirilmiştir.

 

Şirket içinde görevlendirilen KİŞİSEL VERİ UYUM SORUMLUSUNUN yükümlülükleri aşağıda belirtilmiştir;

 

 

 

gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak

 

nezdinde farkındalığı arttırmak

 

 

 

 

 

 

 

 

  1. Dökümanın yayınlanması ve saklanması

 

İşbu Prosedür basılı kağıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanır.

 

  1. Güncelleme periyodu

 

İşbu Prosedür yılda bir kez gözden geçirilir ve ihtiyaç halinde esaslar dahilinde güncellenir. Bunun haricinde ihtiyaç halinde veyahut veri işleme politikasında yapılacak değişiklikler en geç bir hafta içerisinde Politika ve Prosedür üzerinde değişiklik yapıldıktan sonra verbis sistemine değişiklik işlenecektir.

 

İşbu prosedür 17 sayfa ve 18 maddeden oluşmaktadır.

 

Copyright © 2021 Betek Boya ve Kimya Sanayi A.Ş.