BAYMER TURİZM VE YATIRIM ANONİM ŞİRKETİ
BAYMER TURİZM VE YATIRIM ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
İÇİNDEKİLER
MADDE 1 – AMAÇ VE KAPSAM 3
MADDE 2 - TANIMLAR 3
MADDE 3 - SORUMLULUKLAR 4
MADDE 4 – GENEL ESASLAR 4
4.1. VERİ SAHİBİ KİŞİ GRUPLARI 4
4.2. KİŞİSEL VERİLERİ İŞLEME AMAÇLARI 4
5. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN OLARAK BENİMSENEN
İLKELER 5
5.1.KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ 5
5.2. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI 8
5.3. KİŞİSEL VERİ SAHİPLERİNİN BAŞVURU SÜRECİ 8
5.4. KİŞİSEL VERİ İŞLEME FAALİYETLERİ KAPSAMINDA İŞLENEN KİŞİSEL VERİ XXXX-
GORİLERİ VE PAYLAŞILAN TARAF KATEGORİLERİ 9
5.5. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI 11
5.6. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU
BİRİMİN TESPİTİ 13
6. GÜNCELLEME 13
7. YÜRÜRLÜK 14
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
MADDE 1 - AMAÇ VE KAPSAM
Baymer Turizm ve Yatırım Anonim Şirketi (“Baymer” veya “Şirket”), kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır.
Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) ile Baymer tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler düzenlenmektedir.
İşbu Politika ile Baymer tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan düzenlemelere uyumuna ilişkin temel ilkeler belirlenmektedir.
İşbu Politika ile, Baymer bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulması amaçlanmaktadır.
MADDE 2 - TANIMLAR
Politika’da kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:
Xxxx Xxxx : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Anonim Hale Getirme : Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ : 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.
Çalışan(lar) : Baymer çalışanları
Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik : 20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik.
Kişisel Sağlık Verisi : Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri Sahibi : Kişisel verisi işlenen gerçek kişi.
Komite : Baymer tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan birim.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
KVK Kanunu : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
KVK Kurulu : Kişisel Verileri Koruma Kurulu.
KVK Kurumu : Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Şirket : Baymer Turizm ve Yatırım Anonim Şirketi
Kişisel Veri Saklama ve İmha Prosedürü: Baymer Turizm ve Yatırım A.Ş Kişisel Veri İşleme
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
Saklama ve İmha Prosedürü
Politika: Baymer Turizm ve Yatırım A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası
Tedarikçiler : Sözleşme temelli olarak Baymer’e hizmet sunan taraflar.
Veri Sahibi Başvuru Formu : Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarını kullanabilmeleri için hazırlanan başvuru formu.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Veri Sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.
Veri Sorumluları Sicili : KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde tutulan ve kamuya açık olan Veri Sorumluları Sicili.
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ : 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ.
MADDE 3 – SORUMLULUKLAR
Politika’nın Baymer işleyiş, faaliyet ve süreçlerinde uygulanmasından, Komite sorumlu olmakla, Komite’yi denetleme görevi İcra Kurulu’ndadır.
Tüm çalışanlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler Politiya’ya uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, Komite ekibiyle iş birliği yapmakla yükümlüdürler. Xxxxxx’xx tüm organ ve departmanları Politika’ya uyulmasını gözetmekle sorumludur.
MADDE 4 - GENEL ESASLAR
4.1. VERİ SAHİBİ KİŞİ GRUPLARI
Politika kapsamı dahilinde olan ve Baymer tarafından kişisel verileri işlenen veri sahipleri aşağıda gruplandırılmıştır.
• Çalışan : Baymer bünyesinde hizmet akdi kapsamında çalışan gerçek kişiler.
• Çalışan Adayları : Baymer ile hizmet akdi kurulmamış ancak kurulmak üzere değerlendirmeye alınan kişiler.
• Tedarikçi Yetkilileri ve Çalışanları : Baymer’in hizmet aldığı kuruluşların gerçek kişi yetkilileri, hissedarları, çalışanları.
• Ziyaretçiler : Baymer binalarını veya Baymer tarafından işletilen internet sitelerini ziyaret eden gerçek kişiler.
• Müşteri : Baymer tarafından işletilmekte olan Carousel Alışveriş ve Yaşam Merkezi’nden (“Car- ousel”)’den hizmet alan gerçek kişiler.
• Kiracı/Kiracı Çalışanları : Carousel’de kiracı durumunda bulunan gerçek kişileri ve çalışanlar.
• Diğer Gerçek Kişiler : Yukarıda sayılanlar dışında kalan diğer gerçek kişiler
4.2. KİŞİSEL VERİLERİ İŞLEME AMAÇLARI
Kişisel veriler aşağıda sıralanmış amaçlarla işlenmektedir.
• İletişim faaliyetlerinin gerçekleştirilmesinin temini,
• Kurum ve fiziksel mekan güvenliğinin sağlanması,
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
• İstatiksel çalışmalar yapabilmek,
• Reklam, çekiliş, kampanya, vb. süreçlerinin yürütülmesi,
• Müşteri/ziyaretçi şikayetlerinin/taleplerinin karşılanması, ziyaretçi kayıtlarının oluşturulması ve takibi, Carocard kapsamında müşteri/ziyaretçilere çeşitli ayrıcalıklar sunulması, Carousel tarafından müşterilere/ziyaretçilere sunulan kampanya/çekiliş/etkinlikler hakkında bilgilendirme yapılması,
• Çalışanlar, çalışanlarının işe alınması, ücretlerinin, yan haklarının ve bağlantılı konuların temini, çalişanlar için iş akdi ve mevzuattan kaynakli yükümlülüklerin yerine getirilmesi, insan kaynakları süreçlerinin planlanması, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
• İmzalanan kira sözleşmeleri kapsamında iş ve işlemlere ilişkin süreçlerin yürütülmesi, kira bedellerinin hesaplanması, kira bedellerinin tahsilatına ilişkin işlemlerin gerçekleştirilmesi,
• Xxxxxxxx başvurusu ve kira sözleşmeleri kapsamında ilgili süreçlerin yürütülmesi,
• Baymer ile iş ilişkisi bulunan gerçek/tüzel kişilerle irtibat sağlamak,
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,
• Mevzuatta öngörülmesi,
• Acil durum yönetimi süreçlerinin yürütülmesi,
• Bilgi güvenliği süreçlerinin yürütülmesi,
• Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
• Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
• Denetim/etik faaliyetlerinin yürütülmesi,
• Eğitim faaliyetlerinin yürütülmesi,
• Erişim yetkilerinin yürütülmesi,
• Faaliyetlerin mevzuata uygun yürütülmesi,
• Finans ve muhasebe işlerinin yürütülmesi,
• Firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi,
• Görevlendirme süreçlerinin yürütülmesi,
• Hukuk işlerinin takibi ve yürütülmesi,
• İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
• İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
• Mal/hizmet satın alım süreçlerinin yürütülmesi, mal/hizmet satış sonrası destek hizmetlerinin yürütülmesi, mal/hizmet satış süreçlerinin yürütülmesi,
• Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, müşteri memnuniyetine yönelik aktivitelerin yürütülmesi, organiazsyon ve etkinlik yönetimi,
• Pazarlama analiz çalışmalarının yürütülmesi, performans değerlendirme süreçlerinin yürütülmesi,
• Risk yönetimi süreçlerinin yürütülmesi, taşınır mal ve kaynakların güvenliğinin temini, veri sorumlusu operasyonlarının güvenliğinin temini,
• Saklama ve arşiv faaliyetlerinin yürütülmesi,
• Sözleşme süreçlerinin yürütülmesi,
• Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
• Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
• Yönetim faaliyetlerinin yürütülmesi,
5. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN OLARAK BENİMSENEN İLKELER 5.1.KIŞISEL VERI İŞLEME FAALIYETLERININ VERI İŞLEME ŞARTLARINA UYGUN OLARAK
GERÇEKLEŞTIRILMESI
Baymer kişisel verilerin işlenmesi faaliyetlerini yürütürken, (i) temel ilkelere, (ii) kişisel veri işleme
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
şartlarına ve (iii) özel nitelikli kişisel veri işleme şartlarına uygun hareket etmektedir.
5.1.1. Xxxxx Xxxxxxxx Uygunluk
Baymer tarafından aşağıda sıralanan temel ilkeler benimsenmektedir:
(1) Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme : Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütülür.
(2) İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme : Kişisel verilerin işlenmesi faaliyeti yürütülürken, teknik imkanlar dahilinde kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik gerekli her türlü idari ve teknik tedbirler alınmaktadır.
(3) Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi : Kişisel verilerin işlenmesi faaliyetleri, kişisel veri işleme faaliyeti başlamadan önce belirlenmiş olan, açık ve hukuka uygun amaçlar dahilinde yürütülmektedir.
(4) Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme : Kişisel veriler, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlenmektedir. Bu kapsamda, kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenerek, ileride kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir.
(5) Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme : Kişisel veriler, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza edilmektedir. Bu doğrultuda mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Baymer tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5.1.2. Kişisel Veri İşleme Şartlarına Uygunluk
Kişisel veri işleme faaliyetleri, KVK Kanunu’nun 5. Maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütülmektedir. Bu kapsamda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:
(1) Kişisel Veri Sahibinin Açık Rızasının Varlığı : Veri sahibinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde, kişisel veri işleme gerçekleştirilir.
(2) Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması : Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme gerçekleştirilir.
(3) Fiili İmkansızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması : Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise, Baymer tarafından bu kapsamda veri işleme gerçekleştirilir.
(4) Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması : Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise veri işleme faaliyeti yürütülür.
(5) Baymer ’in Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme Faaliyeti Yürütülmesinin Zorunlu Olması: Hukuki yükümlülüğün söz konusu olması durumunda, hukuki yükümlülüğün yerine getirilmesi için kişisel veri işleme faaliyeti yürütülür.
(6) Veri Sahibinin Kişisel Verisini Alenileştirmesi: İlgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel veriler alenileştirilme amacına uygun olarak işlenir.
(7) Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması: Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, bu zorunluluk ile paralel olarak kişisel veri işleme faaliyet yürütülür.
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
(8) Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin Baymer’in Meşru Menfaatleri için Zorunlu Olması: Baymer’in meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faaliyeti yürütülebilecektir.
5.1.3. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk
Baymer tarafından özel nitelikli kişisel veri işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti yürütülmektedir.
Özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir:
(1) Kişisel Sağlık Verilerinin İşlenmesi : Kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:
• kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; veya
• Kişisel veri sahibinin açık rızasının varlığı,
(2) Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi : Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri); veri sahibinin xxxx xxxx vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir.
5.1.4. Kişisel Veri Aktarım Şartlarına Uygunluk
Kişisel veri aktarımlarında KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.
(1) Kişisel Verilerin Yurtiçinde Aktarılması : KVK Kanunu’nun 8. maddesi gereğince, yurtiçinde yürütülecek veri aktarımı faaliyetlerinde veri işleme şartlarına uygun olarak hareket edilmektedir.
(2) Kişisel Verilerin Yurtdışına Aktarılması : KVK Kanunu’nun 9. maddesi gereğince kişisel veriler; (i) kişisel veri işleme şartlarına uygun olarak ve (ii) aktarım yapılacak ülkenin KVK Kurulu tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulunun izninin bulunması ile yurtdışına aktarılabilmektedir.
(3) Kişisel Verilerin Aktarıldığı Kişi Grupları
KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak Politika kapsamı dahilinde olan veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarabilir:
(i) Tedarikçi Firmalara, tedarikçiden temin edilen ve Baymer’in ticari faaliyetlerini yerine getirmek amacıyla sınırlı olarak,
(ii) Yetkili kamu kurum ve kuruluşları ile yetkili özel hukuk kişilerine, ilgili kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak,
(iii) Üçüncü kişilere kişisel veri aktarım şartlarına uygun olarak.
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
5.2. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
Baymer, KVK Kanunu’nun 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler bulunmaktadır:
(1) Şirketimizin unvanı,
(2) Baymer tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,
(3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
(4) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
(5) Veri sahibinin hakları olan;
- Kişisel verilerinin işlenip işlenmediğini öğrenmek,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
– Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.
5.3. KİŞİSEL VERİ SAHİPLERİNİN BAŞVURU SÜRECİ
Şirketimiz, veri sahiplerinin kişisel verilerine ilişkin taleplerini Şirketimize yazılı olarak veya KVK Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir.
Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir.
Veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edilebilir. Şirketimiz ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
Veri sahibinin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumlarda gerekçesi açıklanarak talep reddedilebilecektir.
5.3.1. Kişisel Veri Sahiplerinin Hakları
KVK Kanunu’nun 11. maddesi uyarınca, Şirketimize başvurarak aşağıda yer alan konularda talepte bulunabilirsiniz:
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
(1) Kişisel verilerinizin işlenip işlenmediğini öğrenmek,
(2) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etmek,
(3) Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
(4) Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenmek,
(5) Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,
(6) KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,
(7) İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etmek,
(8) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etmek.
5.3.2. Mevzuat Gereği Kişisel Veri Sahiplerinin Hakları Dışında Kalan Haller
KVK Kanunu’nun 28. maddesi gereğince aşağıdaki hallerin KVK Kanunu’nun kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır:
(1) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
(2) Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
(3) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
(4) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:
(1) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
(2) Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
(3) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
(4) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
5.4. KİŞİSEL VERİ İŞLEME FAALİYETLERİ KAPSAMINDA İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE PAYLAŞILAN TARAF KATEGORİLERİ
5.4.1. Kişisel Veri Kategorileri
Baymer tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
kategorileri ve açıklamaları aşağıda düzenlenmektedir:
KİŞİSEL VERİ KATEGORİLERİ | AÇIKLAMA |
Kimlik Bilgisi | Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad-soyad, X.X. xxxxxx numa- rası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içe- ren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler. |
İletişim Bilgisi | İletişim bilgileri; telefon numarası, adres, e- mail adresi, faks numarası gibi kişisel veriler. |
Lokasyon Verisi | Bulunduğu yerin konumunu tespit eden kişi- sel veriler; GPS lokasyonu, seyahat verileri vb. |
Aile Bireyleri ve Yakın Bilgisi | İş birimleri tarafından yürütülen operasyon- lar çerçevesinde ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler. |
Fiziksel Mekan Güvenlik Bilgisi | Fiziksel mekana girişte, fiziksel mekanın içe- risinde kalış sırasında alınan kayıtlar ve bel- gelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar v.b. |
İşlem Güvenliği Bilgisi | Baymer’in ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler. |
Risk Yönetimi Bilgileri | Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kurallarına uygun olarak kullanılan yöntemler vasıtasıyla işle- nen kişisel veriler. |
Finansal Bilgi | Baymer ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonu- cu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numa- rası, IBAN numarası, kredi kartı bilgisi, finan- sal profil, malvarlığı verisi, gelir bilgisi gibi kişisel veriler. |
Çalışan Adayı Bilgisi | Baymer çalışanı olmak için başvuruda bu- lunmuş veya ticari teamül ve dürüstlük kural- ları gereği Şirket’imizin insan kaynakları ihti- yaçları doğrultusunda Çalışan Adayı olarak değerlendirilmiş veya Şirket’imizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler. |
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
Hukuki İşlem Bilgisi | Baymer’in hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlü- lükler kapsamında işlenen kişisel veriler. |
Özel Nitelikli Kişisel Veri | KVK Kanunu’nun 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil sağlık verileri, din bilgisi gibi). |
Talep/Şikayet Bilgisi | Baymer’e yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesi- ne ilişkin kişisel veriler. |
Çalışan Bilgisi | Baymer çalışanı olan kişiler ile ilgili mevzuat ve sözleşme kuralları gereği işlenen kişisel veriler. |
5.4.2. Paylaşılan Taraf Kategorileri
KVK Kanunu’nda yer alan ilkelere ve özellikle, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak Politika kapsamı dahilinde olan veri sahiplerinin kişisel verileri aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarılabilir:
(i) Tedarikçilere
(ii) Yetkili kamu kurum ve kuruluşlar ile yetkili özel hukuk kişilerine,
(iii) Veri aktarım şartlarına uygun olarak, diğer üçüncü kişilere. Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve olası veri aktarım amaçları aşağıda belirtilmektedir.
ALICI GRUPLARI | AKTARIM AMACI |
Tedarikçi | Baymer’in ticari faaliyetlerinin yürütülmesi kapsamında, Baymer’in emir ve talimatlarına uygun ve sözleşme temelli olarak Baymer’e hizmet sunan taraflar Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için ge- rekli hizmetlerin Şirket’e sunulmasını sağla- mak amacıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluş- ları | İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge vermekle yükümlü olduğu yetkili kamu kurum ve kuruluşlarına ilgili kamu ku- rum ve kuruluşlarının hukuki yetkisi dahilin- de talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri | İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişile- rine ilgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
5.5. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
Kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
Bu kapsamda Baymer tarafından gerekli her türlü (i) idari ve (ii) teknik tedbirler alınmakta, (iii) şirket bünyesinde denetim sistemi kurulmakta ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirlere uygun olarak hareket edilmektedir.
(1) İdari Tedbirler
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kağıt yolu ile aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kurum içi periyodik ve / veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.
(2) Teknik Tedbirler
• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Anahtar yönetimi uygulanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Güncel antivirüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
• Özel nitelikli kişisel veriler için güncel şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Sızma testi uygulanmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir.
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
• Şifreleme yapılmaktadır.
• Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
(3) Kişisel Verilerin Korunmasına İlişkin Denetim Faaliyetleri Yürütülmesi
Kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği Komite tarafından denetlenir. Komite söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi gerekli gördüğü hallerde dış kaynaklı denetim firmalarına da yaptırabilir. Bu kapsamda gerçekleştirilen denetim faaliyetlerinin sonuçları, Komite’ye, İcra Kurulu Başkanı’na ve ilgili fonksiyon yöneticilerine raporlanır.
Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin sorumluluğundadır.
Süreç sahipleri periyodik olarak takip ve ilerleme durumlarını Komite’ye raporlar, Komite de bu rapor kapsamındaki aksiyonların takibini, doğrulama testlerini ve denetimlerini yapar. Denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler ilgili icra birimlerince yürütülür.
(4) Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
Yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum KVK Kurulu’na ve ilgili veri sahiplerine bildirilecektir.
5.6. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ
Kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan Komite kurulmuştur. Komite, Şirket birimleri ve departmanları arasında birlik sağlanması, yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin yürütülmesi ve iyileştirilmesinden sorumludur.
6. GÜNCELLEME
İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Baymer tarafından Genel Müdüre yetki verilmiştir. Genel Müdür onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir.
İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Genel Müdür onayına sunularak güncellenir.
Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile Politika arasında
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |
çelişki bulunması halinde, Baymer yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir.
7. YÜRÜRLÜK
Politika, Baymer tarafından onaylandığı andan itibaren yürürlüğe girer.
Politika, Baymer internet sitesinde (xxx.xxxxxxxx.xxx.xx) yayımlanır ve ilgili mevzuatta gerçekleştirilecek değişiklik ve yeniliklere paralel olarak, Politika’da gerçekleştirilecek değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde veri sahiplerinin erişimine açılacaktır.
HAZIRLAYAN | ONAY |
Kişisel Verileri Koruma Komitesi | İcra Kurulu |