ŞİRKETADI KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
6698 sayılı Kişisel Verilerin Korunması Kanunu, 07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Kanun özet olarak; kişisel verileri, bunların işlenmesini ve korunmasını tanımlamakta, özellikle kişisel verilerin işlenmesinin ve korunması şartlarını genel hatlarıyla belirlemekte, ek olarak işleme ve koruma kurallarına uyulmaması halinde uygulanacak yaptırımları tespit etmektedir.
1. TANIMLAR
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Bu kapsamda Orginos.com “VERİ SORUMLUSU”dur.
2. KİŞİSEL VERİ
6698 sayılı KVKK uyarınca “Kişisel Veri”; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelir. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak Orginos.com, KVKK kapsamında aşağıda belirtilen istisnai hallerde ilgili kişinin açık rızası olmaksızın kişisel verilerini işleyebilir;
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
3. ÖZEL NİTELİKLİ KİŞİSEL VERİ
“Özel Nitelikli Kişisel Veri” ise, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileriniz ile biyometrik ve genetik verileri ifade eder. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
4. KİŞİSEL VERİLERİN TOPLANMASI
Orginos.com, herhangi bir sebeple ilişki içinde olduğu kişilerin kişisel verilerini dolaylı ve/veya dolaysız olarak her türlü yazılı, sözlü ve elektronik mecra, üçüncü kişi ve/veya yasal mercilerden temin edebilir.
5. ORGINOS.COM TARAFINDAN İŞLENEN KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Şirketimiz tarafından işlenen kişisel ve özel nitelikli kişisel veriler aşağıda yer alan EK-1 tabloda ayrıntılı bir şekilde gösterilmektedir.
6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Orginos.com, kişisel verileri aşağıda yer alan ilkeler çerçevesinde işlemektedir.
• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• Belirli, açık ve meşru amaçlar için işlenme
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Kişisel veriler aşağıda belirtilen amaçlarla 6698 sayılı KVKK’ya uygun olarak işlenmektedir.
• Şirket tarafından yürütülen her türlü ticari faaliyetlerin gerçekleştirilmesi,
• Şirket faaliyetlerinin ve operasyonel süreçlerin planlanması ve icrası,
• Finansman ve muhasebe işlemlerinin takibi, planlanması ve yürütülmesi,
• Satış öncesi işlemler ve sonrası destek hizmetleri ile yükümlülüklerinin, müşteri memnuniyetinin, kurumsal iletişim faaliyetlerinin, müşteri ilişkileri ile müşteri talep ve şikayetlerinin yönetimi süreçlerinin planlanması ve icrası,
• İş sürekliliğinin sağlanması,
• İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi ve icrası,
• Bilgi teknolojileri oluşturulması ve icrası,
• İnsan kaynakları süreçlerinin planlanması,
• Şirket çalışanları için mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi,
• Sözleşme süreçlerinin veya hukuki taleplerin takibi,
• Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası,
• Ürün ve hizmetlerin satış, pazarlaması ve tanıtımı süreçleri ile pazar araştırması,
• Şirket merkezi ve/veya ofislerinin güvenliğinin temini,
• Şirketin ve şirketle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini,
8. KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILMASI
KVKK, kişisel verilerin ilgili kişinin açık rızası olmaksızın aktarılamayacağını, ancak kanunun 5. maddesinin 2. fıkrasında ve yeterli önlemler alınmak kaydıyla 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceğini düzenlemiştir. Buna göre; aşağıda belirtilen hallerde kişisel veri aktarılabilmektedir.
• Veri sahibinin açık rızası bulunması,
• Veri işlemenin kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için ilgili verilerin işlenmesinin zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
• Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikteki kişiler veriler ise sağlık ve cinsel hayata ilişkin veriler ile bunlar dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) olarak ikiye ayrılmaktadır.
• Sağlık ve cinsel hayata ilişkin veriler açısından; kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi amaçlarına tabi olarak, her halükarda yeterli önlemlerin alınması sonrasında üçüncü kişilerle paylaşılmaktadır.
• Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler açısından; işlemenin kanunlarda öngörülmesi ve her halükarda yeterli önlemlerin alınması sonrasında üçüncü kişilerle paylaşılmaktadır.
9. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Orginos.com, kişisel verileri aşağıdaki şartlar dahilinde yurtdışına aktarabilir.
• Veri sahibinin açık rızasının olması
• KVKK’nın 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; (i) Yeterli korumanın bulunması, (ii) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması.
10. KİŞİSEL VERİLERİN AKTARILDIĞI TARAFLAR
Kişisel veriler işbu politikada belirtilen amaçlar doğrultusunda; kanunen yetkili kamu kurum ve kuruluşlarına, hukuken yetkili özel hukuk tüzel kişilerine, iş ortaklarımıza, tedarikçilerimize, hissedarlarımıza, şirket yetkililerimize, sağlık hizmeti sağlayan kurum ve kuruluşlarına, banka ve sigorta şirketlerine aktarılabilecektir.
11. KİŞİSEL BİLGİLERİN MUHAFAZASI VE SİLİNMESİ
Orginos.com, kişisel verileri işbu politikada belirtilen amaca uygun olarak gerektiği kadar muhafaza eder. KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine Orginos.com tarafından silinir, yok edilir veya anonim hâle getirilir.
12. VERİ SAHİPLERİNİN HAKLARI
Kişisel veri sahipleri KVKK’nın 11. maddesi uyarınca aşağıda belirtilen haklara sahiptir;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) KVKK 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
13. VERİ SORUMLUSUNA BAŞVURU
Kişisel veri sahiplerinin yukarıda sayılan haklarına ilişkin talepleri aşağıda yer alan başvuru formunu doldurarak [email protected] e-posta adresine iletmesi gerekmektedir. Veri sorumlusu olan Orginos.com başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
VERİ TÜRÜ | VERİ AÇIKLAMASI | VERİ BİLGİLERİ |
KİMLİK BİLGİSİ | Gerçek kişiye ait ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı vb. bilgiler | TCKN, pasaport no., nüfus cüzdanı seri no., ad-doyad, fotoğraf, doğum yeri, doğum tarihi, yaş, nüfusa kayıtlı olduğu yer, vukuatlı nüfus cüzdanı örneği |
İLETİŞİM BİLGİSİ | Gerçek kişiye ait olan ve o kişiyle iletişim kurmak için kullanılan bilgiler | Açık adres, telefon, e-mail |
AİLE BİREYLERİ BİLGİSİ | Gerçek kişi veri sahibinin menfaatlerini korumak amacıyla işlenen, kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler | Veri sahibinin eşi, çocukları, yakınlarının kimlik, iletişim, iş vb. bilgileri |
İŞ ORTAĞI BİLGİSİ | Tüzel kişi iş ortağının yetkilisi veya gerçek kişi iş ortağıyla ilgili bilgiler | Sözleşme numarası, meslek alanı vb. bilgiler |
İŞLEM GÜVENLİĞİ BİLGİSİ | Gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan Orginos.com’un teknik, idari, hukuki ve ticari güvenliğini sağlamak amacıyla işlenen kişisel veriler | Kişisel veri sahibiyle ilişkilendirilen işlem ile o kişiyi eşleştirmeye ve kişinin o işlemi yapmaya yetkili olduğunu gösteren bilgiler (örn. Internet sitesi şifre ve parola bilgileri) |
FİNANSAL BİLGİLER | Gerçek kişiye ait olduğu açık olan, kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler | Veri sahibinin yapmış olduğu işlemlerin finansal sonucunu gösteren bilgiler, ödenecek faiz tutarı ve oranı, borç bakiyesi, alacak bakiyesi v.b. |
POTANSİYEL ÇALIŞAN BİLGİSİ | Orginos.com’a iş başvurusu yapmak üzere bilgilerini paylaşan veri sahiplerine ait, başvuru değerlendirme sürecinde kullanılan kişisel veriler | CV, görüşme notları, iş görüşmesinde yapılan testler vb. |
ÇALIŞAN ADAYI BİLGİSİ | Çalışanlarla ilgili her türlü kişisel bilgi | İşe giriş-çıkış kayıtları, iş seyahatleri, katıldığı toplantılara ilişkin bilgiler, güvenlik sorgusu, mail trafikleri izleme bilgisi, araç kullanım bilgisi, şirket kredi kartı harcama bilgisi v.b. |
ÖZLÜK DOSYASI BİLGİSİ | Çalışanların özlük dosyalarında bulunması gereken her türlü bilgi | İşe giriş - işten çıkış bildirgeleri, imzalı bordrolar, izin kağıtları vb. |
HUKUKİ İŞLEM BİLGİLERİ | Gerçek kişilere ilişkin hukuki alacak ve hakların tespiti ve takibi ile borç ve kanuni yükümlülüklerin ifası amacıyla işlenen kişisel veriler | Mahkeme gibi idari mercilerde yer alan her türlü bilgi |