GENEL VERİ KORUMA YÖNETMELİĞİ (GDPR) POLİTİKASI
1. Politika Beyanı
İşletmemiz her gün müşterilerimiz, tedarikçilerimiz, mülakat adayları ve meslektaşlarımız hakkında kişisel bilgiler alacak, kullanacak ve saklayacaktır. Bu bilgilerin [Veri Koruma Kanunu 2018] ve Genel Veri Koruma Yönetmeliği gereklilikleriyle uyumlu bir şekilde yasal bir şekilde işlenmesi ve uygun şekilde ele alınması önemlidir (toplu olarak 'Veri Koruma Gereklilikleri' olarak anılacaktır).
Kişisel verilerin uygun ve sorumlu bir şekilde kullanılmasına olan duyulan güveni saygı gösterdiğimiz için veri koruma görevlerimizi ciddiye alıyoruz.
2. Bu Politika Hakkında
Bu politika ve burada atıfta bulunulan diğer belgeler, topladığımız veya işlediğimiz herhangi bir kişisel veriyi işleyeceğimiz temeli belirler.
Bu politika hiçbir çalışanın iş sözleşmesinin bir parçası değildir ve istenildiği zaman değiştirilebilir.
Alex Smit, Veri Koruma Sorumlusu (VKP) olarak atanmış olup, şirketin Veri Koruma Gerekliliklerine ve bu politikaya uygunluğundan sorumludur. Bu politikanın uygulanmasıyla ilgili herhangi bir soru veya bu politikanın takip edilmediğiyle ilgili herhangi bir endişe ilk olarak VKP'ye yönlendirilmelidir veya şirketin Dilekçe Politikası doğrultusunda rapor edilmelidir (Çalışan El Kitabına bakınız).
3. Kişisel Veri Nedir?
Kişisel veri, bir bireyi doğrudan veya dolaylı olarak tanımlayan (ya da bizim elimizde bulunan diğer bilgilerle birlikte) verilere ilişkin verileri (elektronik olarak saklanan veya kağıt üzerine basılan) ifade eder.
İşleme, kişisel verilerin kullanımını içeren herhangi bir faaliyettir. Bu, verilerin elde edilmesini, kaydedilmesini veya tutulmasını, düzenlenmesini, değiştirilmesini, geri alınmasını, kullanılmasını, açıklanmasını, silinmesini veya imha edilmesini içerir. İşleme ayrıca kişisel verilerin üçüncü taraflara aktarılmasını da içerir.
Hassas kişisel veriler, bir kişinin ırkî veya etnik kökeni, siyasi görüşleri, dini veya felsefi inançları, sendika üyeliği, genetik, biyometrik, fiziksel veya zihinsel sağlık durumu, cinsel yönelimi veya cinsel yaşamı hakkında kişisel verileri içerir. Aynı zamanda suçlar veya mahkumiyetlere ilişkin verileri de içerebilir. Hassas kişisel veriler, yalnızca bireyin onayıyla da dahil olmak üzere katı koşullar altında işlenebilir.
4. Veri Koruma İlkeleri
Kişisel verileri işleyen herkes, verilerin şu şekilde olmasını sağlamalıdır:
a. Adil, yasal ve şeffaf bir şekilde işlenmelidir.
b. Belirli, açık ve meşru amaçlar için toplanmalı ve herhangi bir ilave işleme uyumlu bir amaç için tamamlanmalıdır.
c. Amaçları için gerekli olan şeylerle sınırlı olarak yeterli, ilgili ve sınırlı olmalıdır.
d. Doğru ve gerektiğinde güncellenmelidir.
e. Amaçları için gerekli olana kadar kimliklendirilmeyi mümkün kılan bir biçimde tutulmalıdır.
f. Bireyin haklarına uygun olarak işlenmeli ve kişisel verilerin uygun şekilde güvenliğini sağlayan, yetkisiz veya yasa dışı işlemlere karşı koruma ve kazara kayıp, imha veya zarara karşı koruma sağlayan, uygun teknik veya organizasyonel önlemler kullanılarak işlenmelidir.
g. Bireye danışılmadan önce, yeterli korumaya sahip olmayan ülkelerde bulunan kişilere veya kuruluşlara aktarılmamalıdır.
5. Adil ve Yasal İşleme
Veri Koruma Gereklilikleri, kişisel verilerin işlenmesini engellemek için değil, bunun adil bir şekilde ve bireyin haklarını olumsuz etkilemeden yapılmasını sağlamak içindir.
Veri Koruma Gerekliliklerine uygun olarak, kişisel verileri sadece yasal bir amaç için gerektiğinde işleyeceğiz. Yasal amaçlar arasında yer alanlar şunları içerir: bireyin onayını verip vermediği, işlemenin bireyle bir sözleşmeyi yerine getirmek için gerekli olup olmadığı, yasal bir yükümlülüğe uygun olup olmadığı veya işletmenin meşru çıkarı için gerekliliği. Hassas kişisel veriler işlenirken ek koşulların sağlanması gerekmektedir.
6. Sınırlı Amaçlar İçin İşleme
İşimizin seyri boyunca kişisel verileri toplayabilir ve işleyebiliriz. Bu, doğrudan veri sahibinden aldığımız verileri içerebilir (örneğin, formları doldurarak veya posta, telefon, e-posta veya başka şekillerde bizimle yazışarak aldığımız veriler) ve diğer kaynaklardan aldığımız verileri içerebilir (örneğin, konum verileri, iş ortakları, teknik alt yükleniciler, ödeme ve teslimat hizmetleri, kredi referans kurumları ve diğerleri).
Kişisel verileri yalnızca Zarf 1'de belirtilen belirli amaçlar için veya Veri Koruma Gereklilikleri tarafından özel olarak izin verilen diğer amaçlar için işleyeceğiz. Bu amaçları veri sahibine verileri ilk kez topladığımızda veya mümkün olan en kısa sürede daha sonra bildireceğiz.
7. Bireyleri Bilgilendirme
Eğer kişisel verileri doğrudan bir bireyden topluyorsak, onlara şunlar hakkında bilgi vereceğiz:
a. Kişisel verileri işlemeyi amaçladığımız amaç veya amaçlar, işlemenin yasal dayanağı.
b. İşletmenin meşru çıkarlarını kişisel verileri işlemek için kullandığımızda, takip edilen meşru çıkarlar.
c. Kişisel verileri paylaşacağımız veya açıklayacağımız üçüncü tarafların türleri, varsa.
d. Bireylerin kişisel verilerinin kullanımımızı ve açıklamamızı nasıl sınırlayabileceği hakkında bilgi.
e. Bilgilerinin ne kadar süreyle saklanacağı veya o süreyi belirlemek için kullanılan kriterler hakkında bilgi.
f. Kontrolör olarak bizden kişisel verilere erişim talep etme, düzeltme veya silme veya işleme kısıtlama hakkı.
g. İşleme itiraz etme ve veri taşınabilirliği hakkı.
h. İzni varsa her zaman izni geri çekme hakkı (eğer verilmişse), izin geri çekilmeden önce işlemin yasallığını etkilemeden.
i. Bilgi Komiserlik Ofisi'ne şikayette bulunma hakkı.
j. Bireyle ilgili kişisel verilerin geldiği diğer kaynaklar ve bu verilerin genel erişilebilir kaynaklardan gelip gelmediği.
k. Kişisel verilerin sağlanmasının yasal bir zorunluluk, sözleşme gerekliliği veya sözleşme yapma zorunluluğu olup olmadığı, bireyin kişisel verileri sağlama yükümlülüğü ve verilerin sağlanmamasının sonuçları olup olmadığı.
8. Yeterli, İlgili ve Aşırı Olmayan İşleme
Sadece belirli bir amaca uygun olarak bildirilen miktarda kişisel veriyi toplayacağız.
9. Doğru Veri
Sağladığımız kişisel verilerin doğru ve güncel olduğundan emin olacağız. Kişisel verilerin doğruluğunu toplama anında ve düzenli aralıklarla kontrol edeceğiz. Yanlış veya güncelliğini yitirmiş verileri düzeltmek veya silmek için tüm makul adımları atacağız.
10. Zamanında İşleme
Kişisel verileri, toplandığı amaçlar için veya amaçları için gerektiği kadar uzun süre saklamayacağız. Artık gerekli olmayan tüm verileri yok etmek veya sistemlerimizden silmek için tüm makul adımları atacağız.
11. Veri Konusu Haklarına Uyumlu İşleme
Tüm kişisel verileri, veri konularının haklarına uygun olarak işleyeceğiz, özellikle de şu haklarına:
a. Bireyi ilgilendiren kişisel verilerin işlenip işlenmediğine dair onay.
b. Bir veri denetleyicisi tarafından ellerinde tutulan herhangi bir veriye erişim talebi.
c. Kişisel verilerinin düzeltilmesini, silinmesini veya işlenmesinin kısıtlanmasını talep etme.
d. Bir denetleme otoritesine şikayette bulunma.
e. Doğrudan pazarlama dahil olmak üzere işleme itiraz etme.
12. Veri Güvenliği
Kişisel verilerin yasa dışı veya izinsiz işlenmesine karşı uygun güvenlik önlemlerini alacağız ve kişisel verilerin iletilmesi, depolanması veya başka şekilde işlenmesindeki kazara veya yasa dışı imha, zarar, kayıp, değiştirme, izinsiz açıklama veya erişime karşı önlemler alacağız. Yasadışı veri transferi olması durumunda, bu durum ilgili görevli tarafından soruşturulacak ve şirket disiplin prosedürleri uygulanacaktır.
İşleme yöntemlerinin belirlendiği andan veri toplama noktasına ve imha noktasına kadar tüm kişisel verilerin güvenliğini sağlamak için prosedürler ve teknolojiler uygulayacağız. Kişisel veriler, yalnızca veri işleyiciye aktarılacaksa, o kişinin bu prosedürler ve politikalara uyacağına veya kendi yeterli önlemleri alacağına söz vermesi durumunda aktarılacaktır.
Kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini koruyarak veri güvenliğini sürdüreceğiz. Bu kavramlar şöyle tanımlanmıştır:
a. Gizlilik, veriyi kullanmaya yetkili olanların yalnızca erişebileceği anlamına gelir.
b. Bütünlük, kişisel verilerin doğru ve işlendiği amaç için uygun olması gerektiği anlamına gelir.
c. Erişilebilirlik, yetkili kullanıcıların yetkilendirilmiş amaçlar için ihtiyaç duyduklarında veriye erişebilmeleri gerektiği anlamına gelir. Bu nedenle, kişisel veriler bireysel PC'ler yerine şirketin merkezi bilgisayar sisteminde saklanmalıdır.
Güvenlik prosedürleri şunları içerir:
a. Giriş kontrolleri. Giriş kontrollü alanlarda görülen herhangi bir yabancı bildirilmelidir.
b. Güvenli kilitlenebilir masa ve dolaplar. Masa ve dolaplar, herhangi bir türde gizli bilgi içeriyorsa kilitli tutulmalıdır. (Kişisel bilgi her zaman gizli kabul edilir.)
c. Veri minimizasyonu.
d. Yok etme yöntemleri. Kağıt belgeler parçalanmalıdır. Dijital depolama cihazları artık gerekli olmadığında fiziksel olarak yok edilmelidir.
e. Ekipman. Personel, bireylerin geçerken gizli bilgileri görmemesini sağlamalı ve bilgisayarlarını kullanılmadığı zaman kapatmalıdır.
13. Konu Erişim Talepleri
Bireyler, kendileri hakkında bulundurduğumuz bilgiler için resmi bir talepte bulunmalıdır. Talep alan çalışanlar, talebi derhal VKP'ye veya İnsan Kaynaklarından bir üyeye iletmelidir.
Telefon sorularını aldığımızda, sistemlerimizde bulunan kişisel verileri yalnızca aşağıdaki koşullar sağlandığında açıklayacağız:
a. Bilgiyi yalnızca ona hak sahip olan bir kişiye verildiğinden emin olmak için arayanın kimliğini kontrol edeceğiz.
b. Arayanın kimliği konusunda emin olmadığımız ve kimliği kontrol edilemeyen durumlarda, talebi yazılı olarak iletmelerini öneririz.
Elektronik bir talep geldiğinde, mümkünse veriler elektronik olarak sağlanacaktır.
Çalışanlarımız zor durumlarda yardım için talebi üst yöneticilerine yönlendirecektir.
14. Bu Politikada Değişiklikler
Bu politikayı istediğimiz zaman değiştirme hakkımızı saklı tutarız. Uygunsuz durumlarda, değişiklikleri web sitesindeki çerez bildirimi ile bildireceğiz.